Корневые DNS-серверы под DDoS: демонстрация силы?

Бизнес

DDoS-атаки являются внушительной (и в некотором роде регулярной) проблемой для бизнеса, но иногда представляют угрозу и для целостности Всемирной сети. 30 ноября и 1 декабря некто устроил массивную и необычную DDoS-атаку, нацеленную на корневые серверы интернета, ответственные за разрешение IP-адресов. Судя по всему, это был акт вандализма, даже граничащий с терроризмом, но, по счастью, воздействие атаки на корневые серверы было минимальным благодаря архитектуре DNS.

В своём сообщении Администрация адресного пространства интернета (IANA) отметила, что эффект был «ограничен потенциально незначительными задержками для некоторых разрешений имён, когда рекурсивному серверу имён приходилось запрашивать корневой DNS-сервер, то есть кэш-промахом».

Злоумышленники использовали довольно необычный способ нападения. Усиленные запросы были отправлены к большинству букв корневых DNS-серверов, а исходные адреса были «рандомизированы и распределены», утверждают в IANA. Однако, согласно тому же их сообщению, исходные адреса были «широко и равномерно распределены», а имя запроса — нет.

Как пишет Threatpost, многие более традиционные атаки с DNS-усилением используют преимущество публичной доступности и открытости DNS-серверов, подменяя исходные адреса адресом цели, чтобы завалить этот адрес откликами.

В данном конкретном случае коренные DNS-серверы, которые используют IP Anycast (сетевую маршрутизацию от одного многим) получили трафик значительных объёмов: наблюдавшийся поток составил примерно 5 миллионов запросов в секунду на каждую принимавшую букву корневого DNS-сервера.

Это весьма много, надо сказать. Но, по счастью, не достаточно, чтобы вырубить всю систему DNS.

Организация рекомендует задействовать проверку адреса источника и BCP-38 (фильтрацию входящих пакетов), чтобы уменьшить способность злоумышленников использовать поддельные пакеты в своих интересах.

rapid

Полное сообщение IANA читайте здесь.

Можно долго рассуждать о том, кто запустил эту атаку и зачем. IANA говорит, что нереально определить реальный источник атаки по той причине, что IP источника легко подделать, а также потому, что событийный трафик разошёлся по большому количеству неопределённых сайтов.

Ещё одной мощной DDoS-атаке недавно подверглась академическая компьютерная сеть Janet, что было охарактеризовано оператором сети Jisc как «непрерывная и направленная цепь нападений».

По сообщениям, атака лишила университетских студентов по всей Великобритании возможности сдавать свои работы, что само по себе может служить намёком на причины организации такого нападения (если не на его происхождение вообще).

Но в первой атаке, очевидно, смысла было куда меньше. Мы можем только предполагать, что некто тестировал новый тип атаки или просто рисовался. Во всяком случае, нападение такого масштаба, может, и не опаснее комариного укуса для корневых серверов WWW, но для сети одной компании это равносильно столкновению с товарным поездом.

Если не предусмотрены защитные меры, такие как решение Kaspersky DDoS Prevention, которое использует комбинацию технологий на сайте и вне его для защиты вашего бизнеса.

Более подробное описание решения можно найти по этой ссылке.