Жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS.

Эффект от этой DDoS-атаки почувствовали миллионы пользователей интернета, у которых стали подтормаживать сайты. Причина в том, что DDoS организован методом флуда через тысячи открытых DNS-резолверов по всему миру.

Известная американская компания CloudFlare, которая специализируется на защите от DDoS-атак, опубликовала разъяснения по поводу этого случая. Специалисты говорят, что сегодня мощность DDoS-атаки выросла до 300 Гбит/с, и теперь она уж точно самая мощная в истории интернета. Для сравнения, DDoS-атака скоростью в 50 гигабит в секунду может вывести из строя работу крупной финансовой организации.

Вообще говоря, DDoS против Spamhaus начался ещё на прошлой неделе, 18 марта. На следующий день 19 марта она достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с и затихла 21 марта. Атака возобновилась с новой силой 120 Гбит/с уже на следующий день 22 марта.

По мнению CloudFlare, в этой атаке не было ничего особенного, кроме её исключительной мощности. Технически она осуществлялась такими же методами, как и предыдущие атаки — умножением трафика через открытые DNS-резолверы.

CloudFlare для отражения атаки распределяет весь трафик равномерно между своими дата-центрами, которые подключены к большому количеству сетей и пиринговых точек обмена трафиком. Когда атакующие Spamhaus поняли, что не могут повредить CloudFlare напрямую, то начали атаковать её вышестоящих пиров. Часть пакетов была отфильтрована на уровне провайдеров Tier 2, а остальное пошло провайдерам уровня Tier 1, где и была зафиксирована мощность атаки 300 Гбит/с.

В целом провайдеры нормально выдержали атаку и никто не отключился от сети, но их сильно зафлудили. В Европе было зафиксировано некоторое увеличение пинга при доступе к разным сайтам.

Атака сказалась даже в центрах обмена трафиком. Например, в лондонском LINX в пиковые часы 23 марта из-за заторов трафик упал более чем вдвое.

Атака велась методом DNS amplification — серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки Cyberbunker были очень длинными и качественными. Об этой уязвимости DNSизвестно уже давно, но до сих пор миллионы серверов по всему миру не закрыли её.

Ситуация усугубляется тем, что правоохранительные органы Голландии не могут проникнуть внутрь ядерного бункера, где размещается хостинг-провайдер Cyberbunker. Они уже предприняли несколько силовых попыток штурма, но все они оказались безуспешными.