Неделю назад компании Incapsula, специализирующейся на облачной защите от DDoS, довелось отражать серьезный DNS flood, мощность которого на пике составила около 25 млн пакетов в секунду (Mpps). Как оказалось, для создания столь внушительного потока атакующие использовали мощности других анти-DDoS-сервисов.

Поскольку мусорные DNS-запросы подавались без подмены IP-адреса отправителя, эксперты быстро установили истинные источники DDoS-трафика. Ими оказались очистные серверы канадского и китайского коллег Incapsula, бомбардировавшие мишень в защищенной сети с интенсивностью 1,5 млрд запросов в минуту. Таким образом, за 7 часов непрерывной атаки клиенту Incapsula было совокупно адресовано более 630 млрд обращений.

Получив уведомление от Incapsula, оба сервис-провайдера признали факт атаки и заблокировали виновников. По словам экспертов, злоупотребление возможностями защитных решений давно не новость, однако они впервые сталкиваются со случаем использования чистящих трафик серверов для проведения масштабной DDoS-атаки. «Сервисы защиты от DDoS, расположенные рядом с опорными сетями Интернета и снабженные широкими каналами, создаются с расчетом на большие нагрузки по трафику, — поясняет Игал Зайфман (Igal Zeifman), занимающийся продвижением продуктов Incapsula. — Такие возможности плюс тот факт, что многих вендоров больше заботит «то, что входит», чем «то, что выходит», как нельзя лучше отвечают потребностям хакеров, замысливших мощную DDoS-атаку без усиления».

Эксперт отмечает, что при адекватной мощности исходных ресурсов атаки типа DNS flood могут быть весьма эффективными и разорительными. В отличие от асимметричных DNS с плечом, забивающих каналы большими UDP-пакетами, DNS flood нацелены на истощение серверных ресурсов нескончаемой чередой пакетов обычного размера. Их генерируют скрипты, установленные на нескольких скомпрометированных машинах. Поскольку мусорные DNS-запросы схожи с легитимными, их невозможно блокировать до индивидуальной обработки на уровне сервера. DNS с усилением, напротив, легко погасить граничными фильтрами, например, блокировать все незапрошенные DNS-ответы на порту 53 (напомним, DNS с плечом предполагает подмену IP отправителя запросов).

Аналогичной flood-атаке несколько ранее подверглись сервис UltraDNS американского регистратора доменов Neustar и PointDNS поставщика инструментов для разработки веб-приложений Copper.io. Incapsula также упоминает о других сообщениях о DNS flood, исходящих «из разных мест», и о нескольких мощных DDoS на ее собственную инфраструктуру. Эксперты полагают, что при таком обилии однотипных атак можно говорить о новом тренде, который «ставит под удар даже самые защищенные сетевые инфраструктуры».

В качестве заставки использованы результаты мониторинга DNS DDoS, приведенные в блоге Incapsula.

Категории: DoS-атаки, Главное