Китайский домен .cn является одним из основных мировых источников DDoS-атак и иных преступных действий, направленных против иностранных пользователей. В воскресенье, 25 августа, против него была совершена беспрецедентная по своим масштабам DDoS-атака, в результате которой треть зарегистрированных в этом домене сайтов были недоступны в течение определенного времени. Согласно заявлению China Internet Network Information Center (CINIC), страна столкнулась с крупнейшей DDoS-атакой в ее истории.

Сервис уже окончательно восстановил привычный режим работы, нарушенный атакой. CINIC принес извинения своим пользователям за медленный и не всегда доступный Интернет и сообщил, что в соответствии с планом действий во внештатных ситуациях работы по восстановлению систем безопасности DNS идут полным ходом. Причиной отказа систем центр объявил DDoS-атаку, которая началась в 4 часа утра по UTC (2 часа ночи по пекинскому времени) и через два часа усилилась. При этом источник атаки до сих пор не удалось идентифицировать.

Wall Street Journal в своей статье процитировал слова представителей компании по обеспечению информационной безопасности Cloudflare о том, что атака была нацелена на .cn — домен верхнего уровня. На пике атаки, по словам компании, трафик нескольких тысяч сайтов упал более чем на 30% по сравнению с предыдущими 24 часами.

Генеральный директор Cloudflare Мэттью Принс (Matthew Prince) изначально объявил, что перебои в работе домена вызваны техническим сбоем. «Вероятно, так получилось, что злоумышленники нашли узкое место в реестре инфраструктуры и взломали его, перекрыв трафик», — объяснил Принс Threatpost. По его словам, атака длилась более четырех часов, прежде чем удалось уменьшить ее мощность.

По данным экспертов, сам Китай является одним из основных источников DDoS-нападений в мире. На его долю приходится от 38 до 55% всего мирового объема DDoS-атак.

Система DNS имеет серию кэшей с определенным сроком существования, поэтому любые рекурсивные DNS-запросы к провайдеру обрабатывались, если они успели попасть в кэш и срок их жизни не истек в течение этого четырехчасового окна. «В противном случае DNS-запрос не сработал бы. То есть это не то, что треть доменов были недоступными, — это значит, что треть посетителей домена .cn не смогли получить к ним доступ».

Руководитель исследовательской группы компании Arbor Networks Дэн Холден (Dan Holden) сообщил, что система мониторинга сети Интернет ATLAS, разработанная его компанией, также зафиксировала атаку, по мощности в среднем в четыре раза превышающую обычный трафик. «Выросшее в два раза количество атак и данные статистики ATLAS, демонстрирующие масштабы нападения, указывают на его серьезность», — отметил Холден в электронной переписке.

Банки и другие финансовые учреждения в США с сентября являются мишенями массированных DDoS-атак. Беспрецедентный уровень трафика был зафиксирован для организаций такого уровня, как Bank of America, PNC, JP Morgan и другие. При этом онлайновые банковские сервисы на некоторое время становятся недоступными и вынуждают банки тратить немалые средства на ликвидацию последствий.

Ответственность как минимум за последние три серии этих атак взяли на себя хактивисты группировки Izz ad-Din al-Qassam Cyber Fighters. Однако многочисленные сообщения на популярном текстовом сервисе Pastebin, а также информация о масштабах и финансировании этих нападений, которую можно обнаружить в некоторых сообществах, посвященных политике или информационной безопасности, заставляют скептически отнестись к заявлению хакеров. Одни обвиняют в атаках иранское правительство, другие подозревают Китай. Но кто бы ни стоял за DDoS-атаками, нацеленными на банки, он задал высокую планку применения автоматизированного программного обеспечения, такого как bRobot, предназначенного для осуществления синхронизированных массированных атак мощностью 70–100 GBps против большого количества целей.

«DDoS-атаки напоминают действия пещерного человека с дубинкой, — заявил Принс. — Их проведение не требует особого мастерства. Все, что требуется, — это способность генерировать больше трафика, чем может выдержать атакуемая инфраструктура».

«Неизвестно, насколько инфраструктура .cn была защищена резервированием, — уточнил эксперт. — Некоторые домены верхнего уровня с ограниченными ресурсами могут оказаться уязвимыми для подобных атак. Это, кстати, говорит о том, что, гоняясь за привлекательным доменным именем, следует проверить, располагает ли домен, на котором вы собираетесь регистрироваться, инфраструктурой, способной противостоять DDoS-атакам».

Категории: DoS-атаки, Хакеры