В минувший уик-энд IT-службам Telegram довелось отражать DDoS-атаку, по мощности превзошедшую все предыдущие инциденты на этом популярном веб-сервисе обмена шифрованными сообщениями. По оценке защитников, атака, на пике показавшая 200 Гбит/с, затронула 5% клиентской базы компании; сильнее прочих проблемы с подключением испытывали пользователи из Азиатско-Тихоокеанского региона.

Неполадки, вызванные DDoS, начались в пятницу утром. «Мусорный трафик исходил примерно с сотни тысяч зараженных серверов, — пишет разработчик в своем блоге. — Особенно заметными были потоки из сетей LeaseWeb B.V., Hetzner Online AG, PlusServer AG, NFOrce Entertainment BV, Amazon и Comcast. Тем не менее этот трафик был равномерно распределен по тысячам хостов, каждый из которых генерировал не более 5% общего объема».

Как удалось определить, атакующие применяли в основном технику SYN flood, но при этом использовали крупноразмерные пакеты. «Айтишники» Telegram также отметили, что авторы DDoS проявили некоторую гибкость, быстро реагировали на меняющиеся условия и вносили соответствующие коррективы в свою тактику.

Согласно наблюдениям Incapsula, SYN с большими, свыше 250 байт, пакетами получили широкое распространение в начале прошлого года, а сейчас эта тенденция идет на спад. Атаки такого рода очень быстро забивают интернет-каналы и эффективно выводят из строя весь диапазон подсетей. Другой специалист по защите от DDoS — компания Radware в минувшем году фиксировала мусорные пакеты величиной до 1 Кбайт, тогда как при обычной SYN flood их размер составляет примерно 40–60 байт. По оценке экспертов, даже весьма скромная SYN-цунами (так они называют SYN flood с большими пакетами) способна создавать резкие всплески в 4–5 Гбит/с.

Инициаторы новой мощной DDoS неизвестны, однако представители Telegram полагают, что это один из их менее успешных конкурентов. Установлено, что данная атака координировалась из Восточной Азии. За последние две недели на сервисе втрое увеличился поток новых регистраций из Южной Кореи, где помимо Telegram функционируют также местные мессенджеры Line и Kakao Talk. По свидетельству жертвы DDoS, аналогичная ситуация наблюдалась в минувшем сентябре, когда правительство Южной Кореи начало мониторить приватные послания пользователей Kakao Talk. Telegram в то неспокойное время тоже подверглась DDoS-атаке, но не такой мощной, как ныне.

Не исключена также причастность к новой DDoS правительства Китая. По имеющимся данным, услуги Telegram используют ряд китайских правозащитников, и в условиях ужесточения интернет-цензуры местные власти на днях объявили этот веб-сервис «антиправительственным».

Как бы то ни было, руководство атакованной службы, ныне обрабатывающей до 2 млрд сообщений в сутки, предпочитает воздерживаться от необоснованных выводов. «Мы не знаем ничего наверняка, — заявил TechCrunch учредитель Telegram Павел Дуров, комментируя новую DDoS-атаку. — По этой причине мы не выдвигаем никаких обвинений. Ясно лишь одно: кто-то обладающий большими ресурсами в Азии сильно расстроен. Мы еще не сталкивались с DDoS такого масштаба и мощности, хотя повидали немало».

Категории: DoS-атаки, Главное