Масштаби DDoS-атак, спрямованих на виведення інтернет-сервісів з ладу через їхнє перевантаження трафіком, продовжують зростати. Так, постачальник послуг інтернет-безпеки та продуктивності Cloudflare повідомив про рекордний напад на одного зі своїх клієнтів: на піку потужність атаки сягнула 7,3 Тбіт/с.

Представники Cloudflare повідомили, що хакери влаштували «килимове бомбардування» майже 22 000 портів з одного IP, який належав жертві, яку компанія поки що позначила як одного зі своїх клієнтів. Загалом було атаковано 34 500 портів, що демонструє ретельну продуманість та планування DDoS-атаки. Із потужністю у декілька терабітів на секунду загальний обсяг небажаного трафіку, який перевантажував цільовий ресурс протягом лише 45 секунд, становив 37,4 терабайта. Основну масу трафіку складали пакети User Datagram Protocol. UDP – це один з найпростіших протоколів, який виконує швидкий обмін повідомленнями без підтвердження та гарантії доставки: він є ефективним для серверів, що надсилають невеликі відповіді великій кількості клієнтів. Від протоколу TCP він відрізняється тим, що працює без встановлення з’єднання. Отже, DDoS-атака з застосуванням UDP-флуду надсилає надзвичайно великі обсяги пакетів на випадкові або обрані порти цільової IP-адреси. Це ефективно перевантажує інтернет-з’єднання жертви.

Оскільки для надсилання пакетів UDP-флуду не потрібне підтвердження від адресата, зловмисники можуть «затопити» цільові сервери трафіку, не отримавши попереднього дозволу на початок передачі. Такими пакетами зазвичай завантажують одразу декілька портів однієї системи, яка має відповісти таким же обсягом пакетів даних, щоб повідомити про недоступність своїх портів для передачі. Зрештою, платформа-жертва не може впоратися з тиском, що призводить до заборони не лише шкідливого, але й легітимного трафіку.

Незначна доля трафіку (0,004%) припала на так звану атаку відбиття / віддзеркалення (reflection attack). Цей тип DDoS-атаки використовує сторонні вразливі сервери посередників для збільшення обсягу трафіку, який спрямовується на жертву, наприклад, через мережевий протокол часу (NTP). Зловмисник підробляє IP-адресу відправника шкідливих пакетів, щоб створити враження, що їх доставляє не він, а його мішень. Тоді посередник надсилає відповідь не оригінальному джерелу трафіку, а цільовій системі, додатково перевантажуючи її. Хакери використовують атаки відбиття, щоб диверсифікувати джерела походження трафіку та ускладнити відстеження реальної загрози і протистояння їй. До того ж, обираючи сервери посередників, які генерують відповіді, що іноді у тисячі разів перевищують за обсягом вихідні запити, зловмисники можуть значно збільшити доступну їм потужність для DDoS-атаки.

Cloudflare та інші сервіси інтернет-безпеки регулярно наголошують на важливості блокування серверів задля запобігання відповідям на підроблені пакети, але цілком очікувано багато хто не дослухається цієї поради. За даними Cloudflare, цього разу для атаки відбиття злочинці використовували декілька векторів збільшення трафіку, у тому числі через згаданий раніше мережевий протокол часу, а також протоколи Quote of the day та Echo і службу Portmap. І врешті, до атаки також долучили ботнетів Mirai, утворених скомпрометованими «розумними» пристроями типу IoT. За останні десятиліття розмахи DDoS-атак суттєво збільшилися. Наприклад, у березні Nokia повідомила про атаку ботнету Eleven11bot потужністю 6,5 Тбіт/с, а в травні жертвою атаки потужністю 6,3 Тбіт/с стала компанія KrebsonSecurity. На думку експертів Cloudflare, навіть новий рекорд у 7,3 Тбіт/с навряд чи протримається довго, і з часом такі атаки ставатимуть все серйознішими, а стримувати їх буде дедалі складніше.

Джерело зображень: Cloudflare