Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

DDoS-атака была построенна по методу отражения DNS-запросов. 20 Гб/с паразитного трафика вполне способны сокрушить солидный веб-узел, однако при наличии защитных технологий ёмкая прокси-сеть легко поглощала этот нескончаемый поток, причем без каких-либо проблем с доступностью. Посему было решено помониторить текущую атаку с целью сбора данных и локализации источников агрессивного DNS-трафика.

Обычный ботнет способен сгенерировать DDoS-трафик мощностью около 100Мбит/с. Некоторым сайтам этого может хватить, чтобы лечь, но в целом с точки зрения DDoS такие нагрузки вряд ли можно назвать серьезными. Усилить мощность атаки дидосерам помогает техника " умножения " DDoS-трафика, предполагающая использование дополнительных сетевых устройств в качестве посредников. Такой трамплин работает на злоумышленника лишь при следующих условиях:

  • механизм допускает фальсификацию источника запроса (не производит проверку источника);
  • ответ по объему должен значительно превосходить запрос.

Первой разновидностью DDoS с плечом были SMURF-атаки, использующие протокол ICMP. Посредником здесь служит маршрутизатор широковещательной локальной сети, конфигурация которого позволяет транслировать ping-запросы, поданные на внешний адрес, всем участникам этой сети. ICMP-протокол работает по принципу «fire and forget» ― «отправь и забудь», без процедуры взаимного опознавания отправителя и получателя. Если в заголовке пакета подменить источник эхо-запроса, подставив адрес жертвы, и направить его на широковещательный адрес, все ответы устройств за маршрутизатором единым потоком ударят по мишени. Мощность такого трафика зависит от числа участников широковещательной сети, подключенных к маршрутизатору, пишет securelist.com.

Со временем SMURF-атаки сошли на нет: маршрутизаторы стали блокировать ICMP Echo-Reply или игнорировать ICMP Echo-Request. Злоумышленники переключились на другую платформу, также удовлетворяющую названным критериям, ― DNS. DNS-запросы передаются по протоколу UDP, тоже не проверяющему отправителя и посему не застрахованному от злоупотреблений. Рычагом, позволяющим увеличить мощность DDoS-удара в десятки раз, здесь служат открытые резолверы ― плохо сконфигурированные кэширующие DNS-серверы, способные принимать запросы не только от своих клиентов, но от любого пользователя Сети. Схема DDoS-атаки, использующей так называемый метод отражения DNS-запросов (DNS reflection), уже рассматривалась в нашем блоге в связи с предыдущим, более сокрушительным нападением на CloudFlare.

Новую DDoS-кампанию, использующую DNS, исследователи наблюдали 3 недели, исправно распределяя по CDN-сети ежесуточные 20 Гб/с потоки, изливающиеся на клиентский сайт. За этот период удалось установить около 68,5 тыс. открытых резолверов, принявших участие в DDoS-атаке. Наибольшее количество таких серверов было обнаружено на территории США ― страны с несметным числом автономных систем (AS). Однако с учетом общей популяции последних главным источником паразитного DNS-трафика оказался Тайвань. Его крупнейший провайдер HiNet (AS3462) занял второе место в рейтинге CloudFlare по количеству открытых резолверов, работающих на дидосеров (2992). Возглавила этот список пакистанская Pakistan Telecom Company (AS45595 ― 3359 серверов). Полный перечень AS-сетей с числом открытых резолверов (без указания IP), задействованных в свежей DDoS-атаке, можно посмотреть на отдельной странице, а также обратиться в CloudFlare за помощью.

В заключение стоит отметить, что проблема открытых резолверов существует уже более 10 лет. Беда в том, что последнее время они активно используются злоумышленниками для проведения мощных DDoS-атак. CloudFlare обещает продолжить публикацию списков открытых резолверов, которые давно ведут такие организации, как Team Cymru, и оказывать операторам сетей посильную помощь в исправлении ситуации. К этому блоку недавно примкнули и активисты HostExploit, публикующие рейтинги AS-систем по уровню вредоносной активности (Top 50 Bad Hosts). Проблеме открытых резолверов они посвятили особый раздел нового отчета, выпущенного по итогам III квартала. Здесь же приведена актуальная статистика по открытым резолверам в AS-системах, которая впредь будет регулярно обновляться. Как оказалось, 4 провайдера, включенных HostExploit в Тор 10 по этому показателю, стали невольными и весьма активными соучастниками свежей DDoS-атаки на CloudFlare. Например, тайваньская HiNet, 2-й «обидчик» CloudFlare по агрессивности DNS-трафика, в рейтинге HostExploit попала на 3-ю строчку (2464 открытых резолвера) ― после бразильской Telecomunicacoes de Santa Catarina (AS8167) и чилийской Terra Networks Chile (AS7418; 2998 и 3219 серверов соответственно).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ тоже может ошибаться: чат-бот застрял на президентстве Байдена

Компания Meta (в России признана экстремистской и запрещена) в приоритетном порядке фиксит баг своего чат-бота на основе ИИ. В ответ на просьбу назвать президента США умный собеседник по-прежнему выдает имя «Джо Байден».

Инаугурация Трампа в качестве нового главы государства состоялась в минувший понедельник, полученную информацию о заблуждении ИИ-бота в Reuters проверили в четверг.

«Президентом США в настоящее время является Джо Байден, — цитирует репортер полученный ответ. — Однако, по последним данным, 20 января к присяге Президента был приведен Дональд Трамп».

Конфуз вынудил Meta внепланово запустить на сервисах процедуру поиска и решения настоятельных проблем. В ответ на запрос о комментарии представитель компании заявил:

«Президентом США является Дональд Трамп, это всем известно. Системы на основе генеративного ИИ иногда выдают устаревшие результаты, мы продолжим работу по улучшению функциональности».

Возвращение Трампа в Белый дом доставило Meta много хлопот. Пришлось заменить директора по глобальным контактам компании — им был назначен республиканец Джоэл Каплан (Joel Kaplan). В совет директоров был введен приятель новоиспеченного президента.

Процедура смены владельцев аккаунтов Белого дома в соцсетях засбоила, читателей пришлось персонально просить вернуться к Дональду и Мелании Трамп. В довершение всех бед Instagram начал блокировать поиск по тегам #Democrat и #Democrats, явно отдавая предпочтение #Republican.

Напомним, после инаугурации Трамп осуществил давнюю мечту своих друзей-либертарианцев: помиловал Росса Ульбрихта (Ross William Ulbricht), обреченного на пожизненное заключение за создание теневого маркетплейса Silk Road. Оператор даркнет-площадки с оборотом в $200 млн провел за решеткой около 10 лет и уже перестал надеяться на смягчение приговора.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru