DDoS с плечом и проблема открытых резолверов

Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой с плечом, построенной по методу отражения DNS-запросов. 20 Гб/с паразитного трафика вполне способны сокрушить солидный веб-узел, однако при наличии защитных технологий ёмкая прокси-сеть легко поглощала этот нескончаемый поток, причем без каких-либо проблем с доступностью. Посему было решено помониторить текущую атаку с целью сбора данных и локализации источников агрессивного DNS-трафика.

Обычный ботнет способен сгенерировать DDoS-трафик мощностью около 100Мбит/с. Некоторым сайтам этого может хватить, чтобы лечь, но в целом с точки зрения DDoS такие нагрузки вряд ли можно назвать серьезными. Усилить мощность атаки дидосерам помогает техника » умножения » DDoS-трафика, предполагающая использование дополнительных сетевых устройств в качестве посредников. Такой трамплин работает на злоумышленника лишь при следующих условиях:

• механизм допускает фальсификацию источника запроса (не производит проверку источника);
• ответ по объему должен значительно превосходить запрос.

Первой разновидностью DDoS с плечом были SMURF-атаки, использующие протокол ICMP. Посредником здесь служит маршрутизатор широковещательной локальной сети, конфигурация которого позволяет транслировать ping-запросы, поданные на внешний адрес, всем участникам этой сети. ICMP-протокол работает по принципу «fire and forget» ― «отправь и забудь», без процедуры взаимного опознавания отправителя и получателя. Если в заголовке пакета подменить источник эхо-запроса, подставив адрес жертвы, и направить его на широковещательный адрес, все ответы устройств за маршрутизатором единым потоком ударят по мишени. Мощность такого трафика зависит от числа участников широковещательной сети, подключенных к маршрутизатору.

Со временем SMURF-атаки сошли на нет: маршрутизаторы стали блокировать ICMP Echo-Reply или игнорировать ICMP Echo-Request. Злоумышленники переключились на другую платформу, также удовлетворяющую названным критериям, ― DNS. DNS-запросы передаются по протоколу UDP, тоже не проверяющему отправителя и посему не застрахованному от злоупотреблений. Рычагом, позволяющим увеличить мощность DDoS-удара в десятки раз, здесь служат открытые резолверы ― плохо сконфигурированные кэширующие DNS-серверы, способные принимать запросы не только от своих клиентов, но от любого пользователя Сети. Схема DDoS-атаки, использующей так называемый метод отражения DNS-запросов (DNS reflection), уже рассматривалась в нашем блоге в связи с предыдущим, более сокрушительным нападением на CloudFlare.

Новую DDoS-кампанию, использующую DNS, исследователи наблюдали 3 недели, исправно распределяя по CDN-сети ежесуточные 20 Гб/с потоки, изливающиеся на клиентский сайт. За этот период удалось установить около 68,5 тыс. открытых резолверов, принявших участие в DDoS-атаке. Наибольшее количество таких серверов было обнаружено на территории США ― страны с несметным числом автономных систем (AS). Однако с учетом общей популяции последних главным источником паразитного DNS-трафика оказался Тайвань. Его крупнейший провайдер HiNet (AS3462) занял второе место в рейтинге CloudFlare по количеству открытых резолверов, работающих на дидосеров (2992). Возглавила этот список пакистанская Pakistan Telecom Company (AS45595 ― 3359 серверов). Полный перечень AS-сетей с числом открытых резолверов (без указания IP), задействованных в свежей DDoS-атаке, можно посмотреть на отдельной странице, а также обратиться в CloudFlare за помощью.

В заключение стоит отметить, что проблема открытых резолверов существует уже более 10 лет. Беда в том, что последнее время они активно используются злоумышленниками для проведения мощных DDoS-атак. CloudFlare обещает продолжить публикацию списков открытых резолверов, которые давно ведут такие организации, как Team Cymru, и оказывать операторам сетей посильную помощь в исправлении ситуации. К этому блоку недавно примкнули и активисты HostExploit, публикующие рейтинги AS-систем по уровню вредоносной активности (Top 50 Bad Hosts). Проблеме открытых резолверов они посвятили особый раздел нового отчета, выпущенного по итогам III квартала. Здесь же приведена актуальная статистика по открытым резолверам в AS-системах, которая впредь будет регулярно обновляться. Как оказалось, 4 провайдера, включенных HostExploit в Тор 10 по этому показателю, стали невольными и весьма активными соучастниками свежей DDoS-атаки на CloudFlare. Например, тайваньская HiNet, 2-й «обидчик» CloudFlare по агрессивности DNS-трафика, в рейтинге HostExploit попала на 3-ю строчку (2464 открытых резолвера) ― после бразильской Telecomunicacoes de Santa Catarina (AS8167) и чилийской Terra Networks Chile (AS7418; 2998 и 3219 серверов соответственно).