DDoS-атаки вновь выходят из под контроля

В сентябре этого года на сайт независимого журналиста Брайана Кребса была проведена серия DDoS-атака мощностью 620-665 Гбит/с. Все началось со статьи, в которой Кребс обличал создателей сервиса DDoS-атак на заказ, vDos. По заявлениям представителей компании Akamai, предоставлявшей Кребсу бесплатные защиту и хостинг, помимо столь высокой мощности атаки, необычность ситуации подкрепляется осуществлением атаки с помощью пакетов GRE. Так же было установлено, что большая часть трафика генерировалась IoT-устройствами: IP-камерами, маршрутизаторами, DVR и другими.

Вскоре после этого, на портале Hack Forums пользователем под ником Anna-senpai были опубликованы исходные коды малвари, известной по символическому названию Mirai (яп. «будущее»). В своем сообщении на форуме пользователь взял на себя ответственность за атаки на сайт Брайана Кребса, упомянув, что не планировал долго заниматься DDoS-атаками.

Метод компрометации устройств со стороны вредоносной малвари выглядит следующим образом: происходит сканирование интернета на наличие открытых портов web/telnet, после чего происходит подбор одной из наиболее часто используемых учетных записей. Поскольку владельцы IoT-устройств, как правило, не меняют базовые учетные данные, сеть ботнет насчитывала порядка 400 тыс. Управление сетью осуществлялось с помощью 3-х серверов с каналами на 10Гбит/с. Этого оказалось достаточно и для проведения DDoS-атаки мощностью 1 Тбайт на известный хостинг OVH.

Злоумышленники не остановились на достигнутом и 21 октября с помощью Mirai была проведена мощная атака на компанию Dyn, предоставляющую инфраструктуру и обслуживание DNS для множества ключевых американских организаций. Результатом атаки стала нестабильность работы существенной части сети Интернет, и осложнением доступа к сервисам Netflix, Reddit, Amazon и др. Примечательно, что у последней есть собственный отдел по защите от DDoS-атак, возглавляемый бывшим СЕО Black Lotus, одного из пионеров сферы защиты от DDoS (Компания поглощена Level3 в 2015 году).

СЕО ESTEQ, Игорь Пахомов:

«Последние восемь недель были очень богаты на перемены на поле DDoS атак. Последний раз виток атак такой разрушительности был пять лет назад, когда мир узнал сначала о DNS амплификации, потом и NTP амплификации. Тогда рекорд составил 250-400Gbps по разным оценкам и продержался до наших дней. Сейчас планка поднята на уровень 1150Gbps (атака на OVH).

Атаки с IoT устройств давно не новость. В Китае устройства и смартфоны участвуют в атаках с 2013 года, тогда наблюдались атаки, выполненные в похожей технике и генерирующие порядка 120 млн PPS непрерывно на протяжение трех-четырех недель. Компания Huawei получала атаки более 600Gbps летом 2015, выполненные с помощью подобного ботнета.

Однако снаружи Китая, в Большом Мире, атаки такого масштаба застали всех врасплох, и мы еще не раз услышим о похожих инцидентах. Слишком мощное «оружие» стало публичным, подробно документированным и простым в использовании даже для скрипт-кидди»/