Составленный из IoT-устройств ботнет, недавно засветившийся на радарах CDN-провайдера CloudFlare, способен генерировать более 1 млн запросов в секунду. Этого HTTP-потока зачастую достаточно, чтобы эффективно вывести из строя целевое веб-приложение.

В минувший вторник исследователи из CloudFlare опубликовали результаты расследования двух DDoS прикладного уровня, зафиксированных в CDN-сети за последние пару недель. По свидетельству экспертов, продолжительность этих атак измерялась минутами, однако созданный ими трафик оказался необычно большим.

Одна из этих DDoS на пике показала 1,75 млн запросов в секунду; анализ показал, что короткие, по 121 байт, HTTP-запросы генерировали около 52,5 тыс. IP-адресов, закрепленных за сотнями AS-сетей. Самые большие потоки исходили с территории Украины и Вьетнама. «Эти атаки знаменуют новый тренд, поэтому нельзя винить AS-операторов в том, что они не чистят устройства, используемые злоумышленниками, — пишут исследователи в блоге. — Вместе с тем в данном случае особо отличились украинский интернет-провайдер и вьетнамская AS45899».

Вторая DDoS, отраженная CloudFlare, характерна тем, что полезная нагрузка была сокрыта в HTTP-запросах большего размера. При этом ее пиковая мощность, по данным CloudFlare, составила 360 Гбит/с — это очень много для HTTP-трафика. Вредоносные запросы выглядели следующим образом:

CloudFlare - вредоносный запрос с IoT-ботнета

«Большой объем полезной нагрузки, вставленной длинной строкой в запрос после заголовков, позволил атакующим создать внушительный трафик, — комментирует CloudFlare. — Временами это был поток GET-запросов, иногда — POST. Эта атака продолжалась примерно час и задействовала 128 833 уникальных IP-адреса».

По данным CloudFlare, в обоих случаях атакующие использовали открытые на порту 80 камеры ТВ-наблюдения, привязанные к вьетнамским сетям. «Хотя в атаки были вовлечены в основном соединенные с Интернетом камеры, нет причин полагать, что это единственно возможный источник грядущих DDoS-атак, — предупреждают исследователи. — По мере расширения армии подключенных к Сети устройств (холодильников, фитнес-браслетов, трекеров сна и т.д.) их невольное участие в атаках становится все более вероятным». Большинство таких IoT-устройств, по свидетельству CloudFlare, легко обнаружить онлайн; они обычно используют слабые пароли и редко поддерживают дополнительную защиту, такую как шифрование данных или автоматизированный патчинг.

Категории: DoS-атаки, Аналитика