Первая DDoS-атака 100 Гбит/с без DNS-умножения

ddos

В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с (http://www.xakep.ru/post/60346/). Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов (http://www.xakep.ru/post/59564/) через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов. 

Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.

Актуальный список открытых резолверов всегда можно найти здесь (http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/latest.html).

24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает (http://www.eweek.com/security/latest-100-gigabit-attack-is-one-of-internets-largest.html) компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.

В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *