В сентябре 2012 года компания Cloudflare, оператор одной из крупнейших сетей доставки контента, рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Руководители компании Cloudflare — бывшие хакеры, работавшие над проектом Project Honey Pot, поэтому им было интересно разобраться в причинах такого усиления мощности DDoS-атак. Они выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-резолверы, которые установлены у каждого интернет-провайдера. Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов».
Вчера специалисты Cloudflare опубликовали ещё одну статью в блоге, где более подробно описывают данный метод атаки.
Схематично метод описывался в прошлый раз: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.
Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов.
dig ANY isc.org x.x.x.x Где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта. ; > DiG 9.7.3 > ANY isc.org @x.x.x.x ;; global options: +cmd ;; Got answer: ;; ->>HEADER Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS. Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать пару десятков гигабит в секунду для них — вполне реальная задача. Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России. Они обозначены на карте, если навести курсор на страну. Все эти серверы можно использовать для эффективной DDoS-атаки.
Подробнее: http://www.xakep.ru/post/59564/default.asp
Источник: