Исследователи CloudFlare считают, что новый масштабный ботнет, который, как предполагают, ответственен за ряд мощных и продолжительных атак, можно сравнить с Mirai.

Атаки начались 23 ноября и продолжались по восемь часов в день, будто согласно рабочему графику. Они происходили в течение семи дней, начинаясь в 10 утра по тихоокеанскому времени. На восьмой день дидосеры решили усилить эффект, и атаки продолжались по 24 часа подряд. Пиковая мощность составила 400 Гбит/c — это сравнимо с мощностью Mirai, достигавшей 620 Гбит/c.

«По нашим сведениям, злоумышленники атакуют ресурсы для геймеров, а также площадки, где продаются виртуальные товары и услуги», — сказал Джон Грэм-Камминг (John Graham-Cumming), технический директор CloudFlare, заметивший атаки и сообщивший о них в блоге в прошлую пятницу. Атаки осуществляются, по некоторым данным, с китайских IP-адресов и направлены исключительно на сервера в Калифорнии.

«Цель атак — истощение ресурса протоколов передачи TCP-трафика на уровнях L3 и L4 сетевой архитектуры», — пояснил Грэм-Камминг. Кроме того, эксперт уточнил, что исследуемый ботнет в DDoS-атаках использует SYN-пакеты, тогда как атаки Mirai нацеливались на уровень L7 сети (HTTP).

В настоящий момент CloudFlare не может определить, какой тип устройств (IoT-устройства, ПК или сервера) используется в ботнете. В случае с Mirai атакующие задействовали ботнеты из IoT-устройств.

В сентябре после первой атаки исходный код Mirai был опубликован в открытом доступе. На прошлой неделе исследователи наткнулись на новый вариант Mirai, нацеленный на DSL-роутеры германского оператора Deutsche Telekom и атакующий порт 7547 для трафика TCP NTP. В результате атаки 900 тыс. пользователей испытывали проблемы с доступом в Интернет.

«Мы наблюдаем ряд подобных DDoS-атак нового типа, — сказал Грэм-Камминг. — Сами атаки с технической точки зрения не новы, но мощность, продолжительность и масштаб этих атак — причина пристально следить за ними».

По мнению исследователя, DDoS-атаки Mirai продолжатся и будут краткими, интенсивными и направленными на определенных жертв. Это можно объяснить тем, что со времени публикации исходного кода Mirai большинство дидосеров арендуют ботнеты Mirai на время для проведения краткосрочных атак.

Категории: DoS-атаки, Аналитика