Когда корневые DNS попадают на линию огня дидосеров, всех охватывает тревожное волнение, и не без оснований: это ключевые серверы, обеспечивающие работоспособность и связность Интернета.

В конце прошлого года DDoS-атака, продолжавшаяся два дня, затронула все 13 корневых DNS; в результате наблюдалось превышение времени ожидания на всех серверах, кроме трех, а четыре из них работали с перебоями.

Тем не менее исследователи из VeriSign, оператора двух корневых DNS, уверены, что злоумышленники не планировали вывести из строя ключевую инфраструктуру Интернета. На 24-й конференции DNS-OARC, проходящей в эти дни в Буэнос-Айресе, Мэтт Вайнберг (Matt Weinberg) и Дуэйн Весселз (Duane Wessels) доложат о том, что настоящей целью дидосеров являлись два китайских IP-адреса.

В свой доклад они включили результаты мониторинга вредоносного UDP-трафика, который поглощался серверами A- и J-Root, контролируемыми VeriSign. Судя по слайдам, исследователям удалось идентифицировать два домена — мишени дидосеров, 336901[.]com и 916yy[.]com; поток мусорных обращений к обоим на пике достигал почти 5 млн запросов в секунду.

Согласно записям Whois, эти домены зарегистрированы на жителей Китая. Исследователи также полагают, что атака была проведена с ботнета, построенного на основе зловреда BillGates или WebTools; оба известны своей способностью атаковать DNS.

Основная часть мусорного потока исходила примерно с 4 тыс. IP-адресов, причем 200 из них генерировали 68% трафика. Это весьма скромные цифры, хотя, согласно презентации VeriSign, общее количество IP-источников, зафиксированных в ходе DDoS на два корневых сервера, составило 895 млн. Первая атака, проведенная 30 ноября против 336901[.]com, длилась более двух часов; вторая началась на следующий день, была направлена против 916yy[.]com, ее продолжительность составила 58 минут.

В итоге сервер A-Root с успехом справился с мусорным потоком, распределив его между четырьмя крупными сайтами в Нью-Йорке, Лос-Анджелесе, Гонконге и Лондоне. Для сервера J-Root была зафиксирована небольшая потеря пакетов на более мелких региональных сайтах, так как у этого сервера меньше вычислительных ресурсов, а его восходящие каналы обладают более скромной пропускной способностью.

Исследователи также отметили эффективность такой меры защиты, как Response Rate Limiting (RRL), притормаживание отклика при большом количестве идентичных запросов из одного источника: этот механизм позволил сбросить до 60% DDoS-трафика. Кроме RRL защитники с успехом применяли фильтры, позволившие отсеять ответы на вредоносные запросы без ущерба для нормального трафика. К сожалению, такая фильтрация возможна лишь вручную.

Категории: DoS-атаки, Аналитика