08.08.13

DoS – проверить на прочность весь Интернет

Новости о новых DoS-атаках, направленных против известных интернет-ресурсов, приходят едва ли не каждый день. В конкурентной борьбе или по политическим мотивам, ради интереса или денег – мотивы у хакеров могут быть разные, цель – одна: вывести из строя серверы компании. И если раньше наиболее популярной была DDoS-атака с участием зараженных компьютеров пользователей, то сейчас злоумышленники активно атакуют DNS-серверы.

Сам тип атаки на DNS был впервые зафиксирован аж 8 лет назад, но именно в последние месяцы эксперты видят интерес к нему со стороны хакеров.

Спамеры обиделись

В марте 2013 года была совершена крупнейшая в истории Интернета кибератака мощностью 300 Гбит в секунду. Эксперты признавали, что она замедлила скорость Интернета во всем мире. Если атаки будут вот так увеличивать свою мощность и вообще будут продолжаться, дойдет до того, что простые пользователи не смогут открывать базовые сервисы в Сети, такие как электронная почта или интернет-банкинг, цитирует экспертов по безопасности The New York Times.

Целью той громкой атаки стала британская некоммерческая организация Spamhaus, она занимается составлением списков серверов, с которых рассылается спам. Блок-листы размещаются на DNS-серверах компании, а почтовые серверы разных организаций сверяются с ними перед получением новой почты.

«Атака была такой большой, что команда Spamhaus не знала о ее размерах, - рассказывают в компании Cloudflare, к которой те обратились за помощью. – Компания за время работы нажила себе очень много врагов и под атаками разной силы находилась регулярно. Кто стоял за этой – мы не знаем».

Раньше Spamhaus атаковали с помощью зараженных компьютеров пользователей, вызывая отказ серверов (классический DDoS), в этот раз атака была во много раз сильнее и была направлена на ядро инфраструктуры Интернета – на DNS.

За кулисами атаки

Эксперты назвали это нападение – атакой на 3 уровень, которая почти всегда исходит из нескольких источников и не ставит своей целью получить ответ на исходящие запросы. Тип атаки в Cloudflare определили как DNS reflection (также известный как DNS amplification), когда на открытые резолверы (промежуточные серверы) поступают небольшие по объему запросы с подмененного IP-адреса, которые требуют большой по объему ответ. Он в свою очередь приходит опять же на подмененный IP-адрес, таким образом атакующий умножает свои силы во много раз.

Сначала атака была мощностью около 10 Гбит в секунду. Затем суммарный трафик, который приходил на серверы Spamhaus, составлял 75 Гбит в секунду. Магистральный провайдер сообщил Cloudflare о мощности около 300 Гбит.

Компания зафиксировала больше 30 тысяч уникальных резолверов, вовлеченных в атаку. Каждый резолвер отправлял в среднем 2,5 Мбит в секунду. При этом атакующим требовалось контролировать ботнет или кластер из серверов, чтобы генерировать 750 Мбит, что возможно сделать с помощью небольшого ботнета или группы AWS instances (виртуальных машин в облаке Amazon).

Параллельно шли и другие типы атак на Spamhaus, например, ACK reflection, где используется процесс установки TCP-соединения без умножения трафика.

Некоторые эксперты говорили, что атака против Spamhaus была по меньшей мере в пять раз больше, чем известные атаки на банковские системы Америки.

Из-за постоянно присутствующих в сети открытых резолверов атаки будут продолжаться, пока провайдеры не начнут принимать меры, уверены в Cloudflare.

Сложность нового типа атаки в том, что выключить DNS – серверы на время нападения невозможно, так как это нарушит работу интернета в мире, а вот заблокировать трафик с компьютеров пользователей во время «привычного» DDoS, - теоретически можно. В случае с DNS прекратить атаку можно, только если найти и арестовать атакующих.

Прошло не так много времени, когда в Барселоне был арестован подозреваемый в организации атаки. Им оказался голландец, чье имя пока не называют, раскрывая только буквы S.K. Во время ареста были изъяты компьютеры и мобильные телефоны в доме задержанного. Подробностей о том, что дальше произошло с возможным виновником, еще нет.

В интервью Slon.ru директор Spamhaus Стив Линфорд говорил о том, что его компания была выбрана в качестве мишени, скорее всего, из-за того, что она включила в черный список серверов, с которых рассылается спам, Cyberbunker, провайдера, который предоставляет хостинг в том числе и сомнительным ресурсам. Но истинной целью было проверить Интернет на прочность. Стоимость атаки такого масштаба он оценил в полмиллиона долларов, а одной из движущих сил – хакеров из России (видимо, напрасно).

DoS, которого не было

Год назад мощная атака вывела из строя серверы крупнейшего регистратора доменов – GoDaddy - более чем на 6 часов. Предполагалось, что за этим нападением стояли представили группировки Anonymous. Предполагаемый лидер хакеров позже заявлял, что это он атаковал GoDaddy, чтобы проверить уровень безопасность компании и по другим причинам, которые он не хотел бы озвучивать.

Правда, в самой компании внезапно опровергли информацию о DoS и других внешних воздействиях. Руководство заявило, что нарушения в работе сервиса были связаны с рядом внутренних ошибок, которые привели к повреждению таблицы на роутере.

«99.999% времени мы обеспечиваем доступность нашей DNS-инфраструктуры, - подчеркнули в GoDaddy, - Такой уровень сервиса ждут от нас клиенты и мы сами. Да, мы допустили отключение наших клиентов, и мы знаем об этом».

4 года назад регистратор пережил большую распределенную хакерскую атаку, в результате которой более 10 тысяч сайтов в течение суток были недоступны. Но системы, обслуживающие электронную почту и DNS, работали тогда в штатном режиме. Предыдущая масштабная DDoS-атака была совершена на серверы компании в ноябре 2005 года, тогда пострадало почти 600 000 сайтов.

Пушкой – по воробьям

Точное количество DoS-атак в мире неизвестно: одни компании никогда не рассказывают, что стали объектом интереса хакеров, другие выдают за DoS внутренние проблемы, с которыми не удалось быстро справиться. По данным компании Neustar, 35% организаций (а в исследовании принимали участие 704 зарубежные компании) в 2012 году попадали под DDoS.

Атаки типа DNS amplification направляют и против больших ресурсов (недавно – против сайта «Новой газеты»), и против маленьких (например, против одной финансовой организации). На пике мощность атак на сайт газеты достигала 60Гбит и 4 млн пакетов/сек, атаки продолжались трое суток. Мощность атаки против финансовой компании была сравнима с мощностью атак на «Новую газету». В результате на короткое время были заблокированы магистральные каналы провайдера.

«Мы не ожидали, что атака этого типа будет применена против такой небольшой компании. – признаются в “Лаборатории Касперского”, - Мы поняли, что злоумышленники, действующие в Рунете, действительно имеют в арсенале мощный инструмент и готовы его использовать».

«За несколько лет работы нашей системы защиты от DDoS-атак (Kaspersky DDoS Prevention) мы редко сталкивались с атаками мощностью более 1Гбит и продолжительностью более нескольких минут. – говорит Алексей Афанасьев, эксперт «Лаборатории Касперского», - В 2012 году максимальная мощность отраженной нами атаки составила всего 2,9Гбит, а средняя — 109Мбит. Наша статистика по Рунету настолько отличалась  от мировой, что нас даже спрашивали, бывают ли вообще в Рунете атаки большой мощности и способны ли мы их отразить».

DDoS-атаки малой мощности были особенностью всего Рунета, объясняет эксперт, поскольку атаки в 1Gb вполне хватает, чтобы «положить» практически любой незащищенный российский сайт. В первом квартале 2013 года ситуация изменилась: мощность некоторых DDoS-атак в Рунете резко возросла.

«Сегодня в Рунете DDoS-атаки типа DNS amplification перестали быть чем-то необычным. – утверждает Афанасьев, - Когда сайт или какой-то ресурс не сдается под напором атаки небольшой мощности, злоумышленники используют атаку типа DNS amplification и блокируют хостера, ЦОД, провайдера или даже группу провайдеров. Нам уже известны случаи, когда атаки такого типа обрушивались и на торговую площадку, и на типовой web-сайт – никто не застрахован от этого инструмента».

Марина Пурим