В последние месяцы в странах Азиатско-Тихоокеанского региона наблюдается усиление DDoS-активности, всплески которой, по свидетельству экспертов, четко совпадают с манифестациями и другими приметными событиями в рамках «революции зонтиков» в Гонконге.

Так, в сентябре Arbor Networks зафиксировала около 1,7 тыс. атак на онлайн-ресурсы этого административного района КНР; в следующем месяце число таких инцидентов возросло более чем в два раза. Доля мощных DDoS при этом заметно увеличилась: в диапазоне 10–20 Гбит/с — с 6 до 13,1%, выше 20 Гбит/с — c 2 до 13%. Пик DDoS-активности в гонконгском сегменте Интернета пришелся на вторую декаду октября, когда наблюдался рост и суточной нормы атак, и их показателей; предельное значение мощности, зарегистрированное Arbor в этот период, составило 45,6 Гб/с. В начале ноября эксперты четыре дня подряд отмечали пики 30 Гб и выше.

Примерно в это же время, в середине октября, были вновь атакованы сайт гонконгской редакции независимой газеты Apple Daily и целевой онлайн-проект университета Гонконга PopVote, которые известны своими продемократическими взглядами. Их защитник от DDoS, крупнейший CDN-провайдер CloudFlare, отражает такие нападения уже несколько месяцев. По словам Мэтью Принса (Matthew Prince), исполнительного директора CloudFlare, DDoS-атаки на PopVote начались еще в июне, затем распространились и на Apple Daily. В ходе одной из недавних атак CloudFlare зафиксировала на пике 500 Гбит/с — беспрецедентный уровень, побивший и февральский рекорд в 400 Гб, и тем более прошлогодний в 300 Гб.

«[Она] мощнее всех атак, которые нам довелось наблюдать, а ведь мы пережили несколько самых мощных DDoS в истории Интернета», — заявил Принс репортерам Forbes, давая интервью по телефону. За несколько месяцев атакующие, по свидетельству эксперта, улучшили свои навыки по обходу типовых защитных решений и научились хорошо маскировать мусорные пакеты под легитимный трафик. По оценке CloudFlare, в распоряжении дидосеров имеются как минимум пять ботнетов, некоторые из них составлены их серверов, «угнанных» из облака Amazon (эта возможность уже закрыта) и у европейского хостинг-провайдера LeaseWeb. Злоумышленники также не раз прибегали к взлому обоих сайтов и фишинговым атакам на обслуживающий персонал PopVote.

В ходе одной из недавних DDoS-атак в Гонконге CloudFlare зафиксировала на пике 500 Гбит/с.

Проблему усугубляет не всегда правильная защитная реакция интернет-провайдеров, которым становится все труднее отсеивать мусорный трафик. Опасаясь перегрузок, некоторые из них, например британский Virgin Media, начали попросту блокировать все запросы по атакуемым сайтам, играя на руку дидосерам. «Это порочная практика, — отмечает Принс. — Хотя инфраструктура PopVote и наши защитные меры хорошо держат удар, всегда найдутся такие провайдеры, которые будут упрямо блокировать доступ к сайту».

Текущую DDoS‑кампанию можно было бы легко объяснить реакцией правительства КНР на протестное движение в Гонконге, однако руководитель CloudFlare не уверен, что причина кроется именно в этом. В обоснование своих сомнений эксперт указал, что прошлогоднюю 300-гигабайтную атаку на Spamhaus, по последним данным, провел школьник, причем в одиночку. «Можно лишь смело утверждать, что атакующие не симпатизируют гонконгскому движению за демократию, — поясняет свою позицию Принс, — однако не обязательно кивать при этом на китайское правительство. Инициатором атак вполне может оказаться частное лицо или кто-то, кому нужно бросить тень на правительство Китая».

О технике гонконгских DDoS журналистка Forbes почти ничего не пишет, хотя упоминает DNS-резолверы, которые, как известно, используются в атаках по методу отражения и усиления трафика (DrDoS, DDoS с DNS-плечом). Со слов представителя CloudFlare она также рассказала, что «атакующие используют DNS-инфраструктуру Интернета» и с помощью «сети зараженных ПК и серверов» создают «поток поддельных запросов, привязанных к гонконгским сайтам». «Мы регистрируем свыше 250 млн DNS-запросов в секунду, что, наверное, сравнимо с нормой DNS-запросов для всего Интернета», — цитирует Forbes Принса.

CloudFlare удалось связаться с некоторыми интернет-провайдерами Гонконга и смежных азиатских районов и донести до них, что в текущих DDoS-атаках задействована DNS-инфраструктура. Эксперты также дали рекомендации, как осложнить задачу дидосерам, не препятствуя доступу постоянных пользователей сайтов-мишеней.

Категории: DoS-атаки