На прошлой неделе сайты в национальной доменной зоне Турции .tr испытывают проблемы из-за масштабной DDoS-атаки, которой подверглись сервера доменного регистратора NIC.tr. Эта организация кроме осуществления регистрации доменных имен в зоне .tr также предоставляет магистральную связь турецким вузам. Ответственность за атаку взяли на себя хактивисты Anonymous, обвиняющие турецкое руководство в поддержке ИГИЛ.

Первые признаки DDoS проявились утром 14 декабря, к полудню пять серверов NIC.tr сдались под натиском мусорного трафика мощностью до 40 Гбит/с. Также проблема затронула координационный центр RIPE, обеспечивающий альтернативную NS-инфраструктуру NIC.tr. Представители RIPE отметили, что атака была модифицирована таким образом, чтобы обойти средства защиты RIPE.

Масштабные DDoS-атаки становятся самым действенным способом прервать работу веб-сервисов — стоимость атак постоянно снижается, что позволяет увеличивать мощность: всего за два года средняя мощность DDoS-атаки выросла вчетверо и составляет 8 Гбит/с. Относительно средних значений атака на национальную доменную зону Турции выглядит внушающе, но эксперты подчеркивают, что DDoS-атаки уровня 400 Гбит/с скоро станут нормой.

Уникальность турецкой атаки состоит в том, что злоумышленники выбрали правильную цель: сконцентрировавшись на сравнительно малом количестве IP-адресов, они смогли практически вывести из строя инфраструктуру целой страны при помощи всего лишь 40-гигабитной атаки.

Турецкий национальный центр реагирования на киберинциденты заблокировал весь трафик, поступающий на сервера NIC.tr из других стран, из-за чего все 400 тыс. турецких сайтов стали недоступными, а все сообщения электронной почты вернулись отправителям. Позже центр решил сменить тактику, проводя выборочную блокировку подозрительных IP-адресов. DNS-сервера доменов в зоне .tr были переконфигурированы, чтобы распределить запросы между публичными и приватными серверами, в чем помогли турецкие интернет-провайдеры Superonline и Vodafone.

Атакованные домены вернулись онлайн в тот же день, однако многие сайты и почтовые сервисы еще несколько дней работали с перебоями. Пострадали не только местные компании и правительственные организации, но также многие национальные веб-ресурсы, выбравшие доменное имя в зоне .tr; в совокупности это около 400 тыс. веб-сайтов, 75% которых являются корпоративными. Турецкий национальный домен также используют образовательные учреждения, муниципалитеты и военные.

Пока «анонимусы» не выступили с заявлением, многие винили в DDoS-атаке россиян — из-за напряженных отношений между Турцией и Россией. В свое время российских хакеров по аналогичным причинам подозревали в причастности к масштабным кибератакам на Эстонию (2007), Грузию (2008) и Украину (2014). Некоторые эксперты сочли турецкую DDoS ответом россиян на DDoS-атаку турецких кибергруппировок на российский новостной сайт «Спутник».

Заявление Anonymous лишило гипотезу о «российском следе» основания. Хактивисты также грозят атаковать турецкие аэропорты, банки, серверы правительственных структур и военных организаций, если Турция не перестанет помогать ИГИЛ.

Категории: DoS-атаки, Главное