Cloudflare рассказала о 65 Гбит/с DDoS-атаке, которая обрушилась на их серверы в субботу

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 19 сен 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Руководители компании Cloudflare рассказали о DDoS-атаке, которая обрушилась на их серверы в субботу 15 сентября, в результате чего сервис Cloudflare оказался временно недоступен для части пользователей.

    Cloudflare —это сеть доставки контента, под управлением которой находится несколько дата-центров в разных регионах. Компания легко выдерживает DDoS-атаки в десятки гигабит, но с субботней атакой на 65 Гбит/с не справилась.

    Самое интересное в рассказе Cloudflare — часть о методах организации атаки. Поскольку руководители компании являются бывшими хакерами, которые работали над проектом Project Honey Pot, то им известны эти методы, в общих чертах. Они объясняют, что для атаки подобной мощности не получится задействовать ботнет, потому что нам требуется около 65 тысяч активных ботов, которые генерируют трафик по 1 Мбит/с каждый. Это нереально, потому что подобная атака возможна при общем размере ботнета в районе 650 тыс. машин. Такое количество исходящего трафика будет легко замечено и блокировано интернет-провайдерами, да и аренда ботнета — дорогое удовольствие.

    [​IMG]

    В случае атаки на Cloudflare использовался один из методов умножения запросов. Здесь умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-резолверы, которые установлены у каждого интернет-провайдера.

    Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета.

    DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к плохо сконфигурированным DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Таким образом, генерируется трафик. Чтобы максимально усилить его, злоумышленники отправляют такие запросы, чтобы ответ на них был как можно больше по объёму: например, запрос списка всех DNS-записей в определённой зоне. Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать 65 Гбит/с для них — не такая уж фантастическая задача. Жертва DDoS-атаки к тому же подвергается гонениям со стороны владельца DNS-сервера, который требует прекратить генерацию потока вредоносных UDP-пакетов.

    Источник
     
    5 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    На нас не отразилось и ладно.
     

Поделиться этой страницей