Месть ценой в 300 Гб/с, поразившая Европу

DDoS-атака, начавшаяся как акция протеста против «произвола» антиспамерской организации Spamhaus, переросла в методичный обстрел всех линий ее обороны из тяжелых орудий. Возрастающая волна паразитного трафика докатилась до верхних магистралей сетевой иерархии, забив многие каналы, вызвав заторы в точках обмена трафиком и сбои в работе ряда сервисов. Самые большие проблемы при этом наблюдались в европейском регионе. Как выяснилось, основную массу вредоносного потока генерировали открытые DNS-резолверы; мощность этих DDoS-атак на пике превысила 300 Гб/с, побив все известные рекорды.

Первые проблемы у Spamhaus начались 15 марта. Веб-сайт и почтовый сервер борцов со спамом легли под DDoS‑атакой на весь уикенд, и подписчики вынуждены были прибегнуть к альтернативным способам обновления списков запрещенных, составляемых британскими активистами. Эти блоклисты, по некоторым оценкам, помогают ежедневно отсеивать до 80% спама в интернете. Судя по нелицеприятным заявлениям на Pastebin и позднее в New York Times, нападение было предпринято противниками антиспамеров; последний оратор даже прикрылся именем заведомо «обиженной» стороны – голландского хостинг-провайдера Cyberbunker, занесенного в списки запрещенных за спам полтора года назад. К слову сказать, сам Cyberbunker пока не подтвердил свое участие в этом заговоре.

Следует также отметить, что DDoS‑атаки для Spamhaus, как и для прочих борцов за чистоту интернета, – не редкость, однако британцы почли за благо обратиться за помощью к стороннему и более искушенному защитнику. Так, 18 марта антиспамеры подписались на услуги CloudFlare, оператора крупнейшей сети доставки контента (content delivery network, CDN), имеющего большой опыт по отражению DDoS-атак. Новый хостер быстро погасил избыточные 10 Гб/с трафика, атакующего сетевую инфраструктуру новобранца. На следующий день мощность DDoS-атаки, проводимой по методу отражения DNS-запросов, повысилась до 90 Гб/с и колебалась в пределах 30-90 Гбит еще сутки. Взяв тайм-аут, злоумышленники возобновили атаку, которая на пике составила 120 Гб/с. Для сравнения: во время осенней DDoS-кампании против американских банков, известной как «операция Абабиль», мощность паразитного трафика составляла 70-100 Гб/с.

Обширная CDN-сеть CloudFlare поглотила и этот поток – без ущерба для Spamhaus и прочих клиентов. Тогда атакующие решили поменять тактику и перевели стрелки на вышестоящих провайдеров (пиров) CloudFlare и ближайшие точки обмена трафиком (Internet Exchange, IX). Большинство пиров CloudFlare быстро отфильтровали DDoS-трафик, направив избыток на каналы верхнего уровня. Из четырех IX-центров, попавших под раздачу, особенно пострадала лондонская LINX: 23 марта в пиковые часы трафик здесь упал вдвое против обычного и держался на этом уровне более часа. CloudFlare пришлось направить свой трафик в обход этого затора, а потом вместе с другими экспертами помогать команде LINX в ликвидации узких мест в обороне. Нелегко пришлось и провайдерам высшего звена, коих всего около десятка в интернете; во время инцидента CloudFlare зафиксировала переполнение нескольких европейских каналов этого уровня. К этому моменту мощность DDoS-атак достигла своего предела.

В настоящее время атаки стихли, все системы Spamhaus восстановлены и работают в обычном режиме. ВВС сообщает, что получивший широкую известность инцидент уже расследует киберполиция пяти стран. А эксперты вновь призывают интернет-сообщество вплотную заняться решением проблемы открытых DNS-резолверов, помогающих злоумышленникам осуществлять столь мощные DDoS-кампании. За время атаки на Spamhaus операторы CDN-сети насчитали свыше 30 тыс. уникальных резолверов, используемых злоумышленниками как трамплин для увеличения паразитного трафика. По данным CloudFlare, в настоящее время в Сети функционируют 27 млн. DNS-резолверов, и 25 млн. из них представляют серьезную угрозу безопасности.