Десять дней назад была зафиксирована нестандартная DDoS с усилением против 13 корневых DNS — ключевых серверов, обеспечивающих работоспособность и связность Интернета.

DDoS-атака была проведена 30 ноября и возобновилась 1 декабря; оба раза это был мощный мусорный поток, на пике составивший 5 млн запросов в секунду. В информационном бюллетене представители агентства IANA (ведомства по распределению номеров Интернета) отметили, что воздействие на Интернет как таковой было минимальным, хотя в ряде случаев пропускная способность каналов, близких к корневому серверу DNS, была превышена.

«Насколько известно, сбоев, очевидных для конечного пользователя, зафиксировано не было ни в ходе, ни вследствие инцидента, — констатирует IANA. — Поскольку протокол DNS предусматривает возможное ограничение доступа в группах серверов доменных имен, воздействие было, по нашим данным, лишь в виде потенциальных небольших задержек при преобразовании некоторых имен, когда рекурсивный сервер обращался к корневому DNS-серверу (например, при промахе кэша). Это могло проявиться как еле заметная начальная задержка в некоторых браузерах или других клиентских программах (FTP, SSH)».

Усиленный поток запросов был зафиксирован на большинстве корневых DNS-серверов, при этом источники были «рандомизированы и распределены». «Событие примечательно тем, что адреса источников были широко и равномерно распределены, чего не скажешь о запрашиваемых именах, — гласит бюллетень. — В этом основное отличие данного инцидента от типовой DNS-атаки с усилением, когда серверы DNS (в том числе корневые) используются как отражатели с целью выведения из строя стороннего ресурса».

Многие более традиционные DNS-атаки с усилением делают ставку на общедоступные, открытые DNS-серверы; при этом злоумышленник подставляет адрес мишени в качестве адреса источника запросов, чтобы поток ответов сокрушил намеченную мишень. В данном случае мощный мусорный поток изливался на корневые DNS-серверы, использующие Anycast — рассылку пакетов на IP получателя, ближний в группе.

«Система корневых зон DNS функционировала в пределах нормы, в целом показав устойчивость в условиях большой нагрузки, наблюдаемой на многих корневых DNS-серверах, — заключает IANA. — Поскольку IP-адрес источника легко подменить и мусорный поток наблюдался на многих anycast-сайтах, проследить этот трафик до первоисточника не представляется возможным».

Во избежание неприятностей IANA рекомендует применять валидацию IP источников запросов и входной фильтр, подобный тому, что описан в документе BCP-38 Сетевой рабочей группы IETF. Это затруднит подмену заголовков пакетов, практикуемую дидосерами.

Категории: DoS-атаки