Сейчас уже любой вебмастер или просто пользователь, имеющий собственный сайт, слышал о DDoS-атаках. Согласно исследованию Qrator Labs, компании, защищающей от киберугроз, 2022 год стал рекордным по количеству и сложности DDoS-атак. По сравнению с 2021 годом, в 2022-м атак с помощью мусорного трафика было на 73,09% больше. Самыми популярными мишенями оказались СМИ (18,5%), банки (9,9%) и платежные системы (13%). При этом индустрия защиты от DDoS-атак совершенствуется. Поэтому подобные активности уже научились достаточно успешно распознавать и нейтрализовать. В ответ киберпреступники изобретают все более сложные решения для обхода блокировок, пытаясь добиться цели. Сегодня DDoS-атаку можно заказать в даркнете. Причинами могут быть финансовые интересы, идеологические расхождения с владельцами сайта и просто личная неприязнь.
Когда-то DDoS-атаки были редким явлением и забавой для гиков. В широкий обиход они вошли еще в 90-е годы, на заре интернета. Тогда мощности были смехотворными по нынешним временам, как и пропускные способности каналов. Однако атаки типа «отказ в обслуживании» постепенно эволюционировали благодаря появлению новых протоколов передачи данных, увеличению канальных емкостей и скорости обработки информации. Со временем появилась целая индустрия заказных атак и защиты от них. Бывшие хакеры, начинавшие с мелких шалостей в интернете еще в 90-е, разделились на white hats (светлую сторону) и black hats (темную сторону). Оглянемся на историю кибератак и вспомним, как это было.
Самая первая DoS-атака
Сегодня сложно поверить, но первое упоминание о DoS-атаке зарегистрировано еще до зарождения интернета, каким мы его знаем. В 1974 году 13-летний школьник из Иллинойса Дэвид Деннис атаковал не просто рандомный объект, а Исследовательскую лабораторию компьютерного образования (CERL), которая находилась через дорогу от его школы. Дэвид был зарегистрирован на платформе совместного обучения PLATO, одной из первых в своем роде. Само собой, она располагалась на терминалах CERL. Школьник узнал о команде «ext», предназначенной для взаимодействия с внешними устройствами, подключенными к системе. Фишка была в том, что в момент, когда в терминале не было подключенных внешних устройств, отправка команды «ext» блокировала весь терминал. Чтобы его реанимировать, нужно было отключить и включить питание.
Из чистого любопытства Дэвид написал программу, которая одновременно отправляла команду «ext» на все терминалы PLATO. Талантливый script kiddie* показал свою разработку в CERL, где программу протестировали. В итоге 31 пользователь был отключен от PLATO благодаря программе. После эту уязвимость легко устранили, отключив по умолчанию прием команды «ext».
*Script kiddie — в хакерском комьюнити так называют людей, которые еще слишком неопытны, чтобы написать программу для атаки, и пользуются чужими скриптами, не понимая, как они работают и до конца не осознавая последствий. Термин пошел от неопытных, но любопытных подростков, которые совершали мелкие (и крупные) киберпреступления, пытаясь произвести впечатление на сообщество или сверстников.
1994: Митник vs Шимомура
Кевин Митник в 90-е был одним из первых хакеров в мире. Родившийся в Лос-Анджелесе в 1963 году, мальчик еще в доинтернетную эпоху демонстрировал свои технические таланты. В 12 лет он научился подделывать автобусные билеты и бесплатно катался по всему городу. Далее юный Кевин получил доступ к системе голосовой связи в местном McDonalds, что давало ему возможность бесплатно есть фаст-фуд. В 16 лет Кевин взломал школьную компьютерную сеть, с помощью которой можно было исправлять оценки. Но парень так и не воспользовался этой возможностью. И это было лишь начало в череде его проделок.
После пары непродолжительных отсидок за киберпреступления в американских тюрьмах уже взрослый Кевин Митник задался целью получить доступ к станциям мобильных операторов. В первую очередь его интересовали станции компании Motorola. Это привело его к Цутому Шимомура, известному японскому специалисту в области кибербезопасности. В его компьютер Митник проник в 1994 году. Шимомура вскоре распознал атаку и специально не закрывал брешь в защите, чтобы выяснить источник вторжения. Так японец узнал номер телефона, с которого Митник заходил в сеть. Надо заметить, что это была SYN Flood-атака с помощью SYN-пакетов, которые Кевин отправлял с чужого взломанного компьютера и IP-адреса. Это еще была не распределенная атака, а воздействие с одного устройства, как и в случае с Дэвидом Деннисом.
Кевин Митник — человек, вышедший за рамки хакинга
Цутому Шимомура выяснил, что телефон, номер которого использовался для атаки, находился в городе Роли, столице штата Северная Каролина. Японец лично прилетел туда и пару дней ходил по городу с сотовым сканером в руках, пытаясь выследить нужное устройство. Вскоре Шимомура нашел нужный адрес и позвонил в ФБР. 15 февраля 1995 года Митника арестовали, вместе с группой захвата там был и Шимомура, желающий насладиться победой. После 6,5-летнего срока Кевин Митник все-таки перешел на светлую сторону и открыл собственную IT-компанию. Сегодня он живая легенда, его отец распродает личные вещи сына на интернет-аукционах. Кевин консультирует правоохранительные органы и другие компании в сфере кибербезопасности.
1996: Атака на PANIX
Первая в истории распределенная DDoS-атака с разных устройств была проведена в 1996 году на крупнейшего интернет-провайдера Нью-Йорка PANIX Networks. Причина была в том, что сеть не позволяла рассылать пользователям спам. В ответ спамеры объединились и отомстили. Как и в случае с Кевином Митником, атака проводилась при помощи множественного SYN flood-трафика. SYN flood подразумевает отправку большого количества запросов на подключение в предельно короткий срок.
В атаке использовались несколько взломанных компьютеров, а результате канал лежал 1,5 суток. Точная мощность атаки так и осталась невыясненной, но, по словам исследователей, 20 пакетов в секунду было вполне достаточно, чтобы уложить сервер. Об атаке на PANIX Networks написали несколько нишевых СМИ. Это был первый случай, когда кто-то вообще написал о DDoS-атаке. А Координационный центр CERT (computer emergency response team) университета Карнеги-Меллона опубликовал рекомендации по противодействию SYN flood-атакам. Но ничего конкретного в этом документе так и не было сказано.
Однако уже через неделю после атаки решение проблемы нашлось. Дэниел Бернштейн и Эрик Шенк изобрели механизм под названием SYN сookies. А еще через месяц его создали и внедрили. Этот механизм позволяет фильтровать входящие SYN-пакеты, отделяя невалидные. Он работает и сейчас в большинстве систем защиты от мусорного трафика.
В том же 1996 году на одном из форумов зарождающегося интернета кто-то разместил набор инструментов для DDoS-атак и открытым исходным кодом. Разумеется, рано или поздно это должно было иметь последствия.
1999: Сайт Университета Миннесоты лежит
И последствия не заставили себя долго ждать. 22 июля 1999 года Университет Миннесоты атаковали 114 компьютеров, зараженных вирусом Trin00. В результате сеть университета легла более чем на 2 дня. Что интересно, злоумышленники разделили сеть атакующих компьютеров на «обработчиков» (handlers) и «зомби». Несколько «обработчиков» получали от злоумышленника инструкцию для атаки, а те пересылали документ «зомби». IP-адреса зараженных компьютеров не шифровались. Поэтому с их владельцами оперативно связывались. Люди понятия не имели, что их компьютеры использовались для DDoS-атаки.
Архитектура DDoS-атак
2000: Мировой интернет-апокалипсис
Начало нового тысячелетия было отмечено DDoS-атакой, которая стала исторической во всех смыслах. В этот раз в феврале 2000 года легли многие крупнейшие сайты, среди которых ресурсы принадлежащие:
- Amazon;
- Yahoo!;
- eBay;
- CNN;
- Dell;
- FIFA.
Примечательно, что это также была SYN Flood-атака по методу, опубликованному еще в 1996 году. Сайты-жертвы лежали в течение 8 дней дней. Едва администраторы поднимали ресурсы после атаки, хакер снова поливал их мусорным трафиком. Таким образом он проводил 1-2 атаки в день. Полоса атаки была равна примерно 800 Mbps, что было неслыханно по тем временам. Мусорный трафик шел со взломанных хостов университетов Санта-Барбары, Калифорнии и Массачусетса.
Об этом случае СМИ во всем мире писали наперебой. Никто толком не знал, что со всем этим делать. Эта неопределенность породила мнение, что под угрозой весь интернет. Во всяком случае, казалось, что он ничем не защищен. Само собой, компании, владеющие взломанными сайтами, понесли многомиллионные убытки.
В итоге оказалось, за всем интернет-апокалипсисом стоял 15-летний школьник из Канады под ником Mafiaboy. Его настоящее имя Майкл Кольче. Подросток не смог молчать о своих подвигах и хвастался в чатах. Благодаря этому и следам, оставленным на взломанных компьютерах его и выследили. Интересно, что Mafiaboy — первый в мире хакер, получивший реальный срок за DDoS-атаку. А все потому, что через несколько часов после первой атаки Бил Клинтон собрал саммит, посвященный кибербезопасности. На нем было решено сажать в тюрьму хакеров, использующих мусорный трафик для атак на сайты.
Благодаря грамотной работе адвоката в силу ряда смягчающих обстоятельств Майкл Кольче через некоторое время был освобожден под залог. Но уже в конце 2000 года вновь предстал перед судом из-за нарушения условий освобождения.
2004: Атака на MasterHost. Первая DDoS-атака в РФ
В начале 2000-х годов многие российские сайты находились на хостингах провайдеров MasterHost с вложенным PeterHost. 21 января 2004 года на их сайты началась первая в России DDoS-атака. Заодно был атакован и провайдер компании «РТКомм». В результате множество самых разных сайтов в Рунете легли. Злоумышленник использовал для атаки уязвимость в утилите Remote Admin. Благодаря ей на диск C компьютеров на Windows запускался скрипт, который и генерировал разные виды мусорных запросов: SYN Flood, ACK Flood, UDP Flood. О силе атаки сейчас невозможно точно судить.
Рано или поздно в России должна была произойти DDoS-атака. На тот момент статьи о распределенном мусорном трафике появились уже на русском языке. В журнале Хакер можно было прочитать, как проводить DDoS-атаки.
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
Обложка того самого журнала
2004: Первое средство защиты от DDoS
В 2004 году, известная уже тогда, Cisco Systems поглотила израильскую компанию Riverhead Networks, которая создавала инструменты для предотвращения атак. Благодаря этому слиянию возникло первое в мире успешное коммерческое решение, позволяющее защищаться от DDoS. Оно называлось Cisco Guard. Этот момент можно считать отправной точкой большой технической гонки между киберпреступниками и кибербезопасниками. К тому моменту в мире уже полностью сформировалась индустрия коммерческого DDoS.
2006: Появление Amplification-атак
Предпосылки для этого метода атак появились гораздо раньше. К 2006 году в мировой сети появилось слишком много рекурсивных DNS-резолверов. Если направить один из них много DNS query, резолвер увеличит их количество в разы и создаст еще больше исходящего трафика. Амплификация как раз определяет, во сколько раз увеличится количество запросов от резолвера. Еще в 2005 году CERT предупреждал, что рано или поздно найдется кто-то любопытный, кто захочет проверить механизм в действии. И он нашелся в 2006 году. Тогда были атакованы корневые DNS-сервера по всему миру, легли сайты в топовых доменных зонах, включая com, uk и ru. Само существование интернета было поставлено под угрозу. Его инфраструктура частично вышла из строя, а мусорный трафик достигал невиданных ранее значений 2,4 Gbps в пике за 14 минут атаки на TLD.
Интересно, что злоумышленники придумали подставить в DNS query IP жертвы. Тогда весь мусорный трафик с резолверов шел на конкретный сайт. Причем он был увеличен во множество раз за счет фактора амплификации. Так появились Amplification-атаки.
2007: Появление хакерского волонтерства и атака на Эстонию
2007 год в истории DDoS-атак отмечен появлением хактивизма. Как нетрудно догадаться, от слов «хакер» и «активизм». Если раньше, чтобы собрать ботнет, хакерам приходилось заражать множество компьютеров троянами, которые шифровали машины или воровали данные, то в 2007 году пользователи добровольно «отдавали» злоумышленникам свои вычислительные мощности, чтобы высказать политическую или иную позицию.
Чтобы присоединиться к DDoS-атаке на сайт организации, вызывающей неприязнь, люди устанавливали на офисные и домашние компьютеры специальные утилиты, которые генерировали мусорный трафик. Участнику интернет-протеста нужно было лишь сообщить destination-адрес, выбрать тип атаки и нажать «старт». Среди популярных утилит были Low Orbit Ion Cannon, High Orbit Ion Cannon (HOIC). Олдфаги и продвинутые люди знают.
Также добавились «медленные» организованные атаки по HTTP с использованием утилиты Slowloris. Так открывается множество соединений, в которые идут мелкие объемы данных, например, раз в минуту. Постепенно таких соединений становится так много, что сервера уже не могут их обрабатывать и ложатся. Подобные «медленные» атаки применяют и в наши дни, только немного в другом виде.
Одним из ярких проявлений хактивизма можно назвать DDoS-атаку на Эстонию в 2007 году. Это был первый случай, когда атаке подверглось целое государство. Точных данных о ее мощности не сохранилось, но время активности превзошло все мыслимые пределы. Около 3 недель огромное количество «компьютеров-зомби» рассылали множество запросов в эстонскую сеть. В результате наблюдались сбои в платежных системах, кассовом оборудовании, электронные почтовые сервисы и другие каналы передачи информации вышли из строя. Причиной акции был протест против демонтажа Памятника Воину-освободителю в Эстонии. В итоге монумент был перенесен на военное кладбище в Таллине.
Так сейчас выглядит памятник Воину-освободителю
2010-2016: Новые средства защиты от DDoS-атак и новые атаки
Годы с 2011 по 2014 стали нелегкими для компании Sony. Тому есть множество разнообразных причин, например, уход ключевых сотрудников компании, землетрясение в Японии, повлиявшее на производственные мощности корпорации, череда судебных разбирательств и, конечно, крупные DDoS-атаки. Последние примечательны не только своими размерами, но и целью. С их помощью злоумышленники отвлекали внимание сотрудников кибербезопасности от взломов сайтов Sony. Так в результате первой DDoS-атаки ложится файервол или экран приложения. Именно в это время происходит попытка взлома или подсадки нужного бэкдора. Затем, когда сисадмины все восстановили, проводилась еще одна атака. Так можно было скрыть следы пребывания в системе.
Именно этим и занимались хакеры, которые провели первую DDoS-атаку на Sony в 2011 году. После нее киберпреступники взломали сервера PlayStation Network. Из-за этого компания отключила их более чем на 3 недели и недополучила прибыли на $150 миллионов. Хакеры DDoSили Sony каждое католическое Рождество с 2011 по 2014 годы. Последняя атака была самой крупной и сопровождалась наиболее значительными утечками данных. Тогда в открытый доступ попали сценарии, разработки игр, кино и другие материалы.
Оказалось, что Sony атаковала хакерская группировка Lizard Squad. Она использовала ботнет, состоящий из роутеров в подъездах. Зараженные машины группировка также сдавала в аренду. Мощность этого ботнета составляла рекордные тогда 100 гигабит в секунду.
Следующая крупнейшая DDoS-атака в истории произошла весной 2013 года. Тогда компания Spamhaus, занимающаяся борьбой со спамерами и прочими деятелями серого интернета, занесла в черный список голландского хост-провайдера CyberBunker. Последний ответил DDoS-атакой через открытые DNS-серверы. На пике мощность атаки составила 300 гигабит в секунду. 18 марта на Spamhaus обрушилась волна мусорного трафика. 19 ее мощность скакнула от 30 до 90 гигабит в секунду. Затем было небольшое затишье. Но 22 марта 2013 года Spamhaus подвергся новой волне атаки, уже мощностью в 120 гигабит в секунду. Чтобы нейтрализовать этот поток, Spamhaus обратились в облачную компанию CloudFlare. Последние распределили входящий трафик на свои дата-центры. Тогда в CyberBunker перераспределили атаку уже на пиры CloudFlare. Большинство трафика попало на Tier-1 гео, в результате чего у миллионов пользователей по всему миру сильно тормозил интернет.
После серии атак в CloudFlare составили отчет об их параметрах.
Изображение взято из блога компании Qrator Labs на Хабре
В плане защиты от DDoS-атак прогресс также не стоял на месте. До 2010 года появились Customer On-Premises Equipment — серверы в жестком корпусе, которые устанавливались среди оборудования компании-заказчика и фильтровали трафик, предоставляя пользователю только чистые данные. Также эти приспособления имеют гибкую систему настройки правил. С появлением Customer On-Premises Equipment от компаний Arbor, Radware и Cisco коробочки быстро заполонили собой все дата-центры. Однако скоро стало понятно, что с постоянно возрастающей мощностью атак они не слишком эффективны. У заказчика требовалось установить около 20 таких коробочек. Это было неоправданно дорого.
С начала 2010 года крупные компании стали массово устанавливать Customer On-Premises Equipment у провайдеров. У последних оказались больше каналы передачи данных и связность. Так крупные интернет-провайдеры стали создавать центры фильтрации трафика.
В 2015-16 годах с ростом мощностей DDoS-атак стали появляться распределенные центры фильтрации трафика. Они имеют широкую географию и используют подключение к разным провайдерам. Это позволяет фильтровать большое количество DDoS-трафика. Сегодня крупные компании для защиты от атак успешно комбинируют все три описанных подхода.
2016-2018: Mirai и новые скорости, DDoS, как услуга, новые алгоритмы
Самым известным и крупным сервисом, на котором можно было заказать DDoS-атаку, был vDos. Он просуществовал с 2012 по 2016 год. Официально сервис использовался для стресс-тестов ресурсов. Там любой желающий мог выбрать комфортный тарифный план и поливать сайт конкурента мусорным трафиком. Сервис активно рекламировался на крупных хакерских форумах, поэтому стал широко известен. Дела шли отлично, владельцы vDos были долларовыми миллионерами. Пока 8 сентября 2016 года специалист по кибербезопасности Брайан Крэбс не опубликовал на своем сайте независимое расследование о деятельности сервиса. В статье он представил миру владельцев vDos. Ими оказались двое израильтян, 18-летний Ярден Байдани и Итай Хьюри. Кстати, они были задержаны через пару часов после публикации расследования. Израильский суд присудил ребятам всего 6 месяцев исправительных работ. Смягчающим обстоятельством стало то, что на vDos они внесли черный список израильские IP-адреса. То есть атаковать компьютеры и серверы, расположенные на Земле обетованной, с помощью сервиса было нельзя.
Уже 12 сентября 2016 года, по следам задержания ребят из Крэбс опубликовал еще одну статью о сервисе. После этого на его сайт обрушилась мощнейшая DDoS-атака мощностью 632 гигабита в секунду на пике. Мусорный трафик лился настолько масштабно и продолжительно, что компания Akamai, защищающая сайт Крэбса от DDoS, заявила, что не может выполнять свои обязанности из-за слишком больших расходов. При этом компания Akamai на тот момент была одной из крупнейших на рынке. В итоге сайт Крэбса лег на 4 дня. Но и это были еще не все новости. казалось, что 19 сентября сайт французского провайдера OVH была атакован волной мусорного трафика мощностью в 1,1 терабит в секунду. К чести французов, они справились с атакой благодаря большой емкости канала передачи данных. Мало того, OVH обнаружили одну очень интересную деталь. Технический директор компании Октав Клаба заявил, что их атакуют IP-камеры и видеорегистраторы систем видеонаблюдения.
В ходе атаки на OVH также стало ясно, что новый ботнет может атаковать сразу все IP-адреса, а не один сайт или сервер. Это позволяло разрушить всю сеть компании.
30 сентября 2016 года пользователь, назвавший себя Anna-senpai, разместил на одном известном хакерском форуме открытый исходный код нового ботнета. Он назвал его Mirai. Под этим названием ботнет и вошел в историю. Кроме исходного кода, Anna-senpai указал учетные данные 46 устройств IoT, за счет которых во многом и рос ботнет. Агенты ФБР, уже занимавшиеся проблемой, поняли, что злоумышленники таким способом хотят запутать следы. Ведь теперь ботнетом для атак мог воспользоваться кто угодно. И это, конечно, произошло.
Атака на DNS-сервер Dyn, случившаяся 21 октября 2016 года, стала настоящей катастрофой. В результате пострадали миллионы пользователей. Интернет по всему восточному побережью США начал сильно тормозить или пропал полностью. Была остановлена работа сайтов компаний:
- AirBnB;
- Netflix;
- Spotify;
- PayPal;
- Twitter;
- CNN;
- Etsy;
- Amazon;
- PlayStation Network;
- The Guardian.
Атака продлилась 8 часов, и никто не мог ее остановить. Позже аналитики из CloudFlare посчитали, что ее мощность была равна 1,2 терабитам в секунду. В результате в американских СМИ случилась истерика, а в Белом доме провели экстренное совещание.
Интернет-сообществу было, о чем беспокоиться. Mirai представлял собой ботнет нового поколения и в корне отличался от того, что киберзащитники видели до сих пор. Теперь в DDoS-атаках участвовали подключенные к интернету утюги, видеокамеры, холодильники, телевизоры, чайники, скороварки, «умные» замки, пылесосы, светильники и любая другая техника. Кроме того Mirai имеет 10 векторов атаки и постоянно сканирует сеть на наличие устройств со слабой защитой. Стоит заметить, что большинство «умных» приспособлений защищают настройки, выставленные пользователем по умолчанию. Этим слабым местом и пользовался ботнет, легко захватывая такие устройства. На пике своего развития Mirai удалось поработить около 600 000 устройств по всему миру. Причем основными гео были страны с дешевой техникой — Колумбия, Бразилия, Вьетнам и Китай.
В ноябре 2016 года с помощью ботнета Mirai лег весь интернет в Либерии. Это была заказная атака на крупного местного провайдера, которую выполнил британец по имени Дениэл Кайе. В феврале 2017 года его задержали в Лондоне. Всего с использованием кода Mirai было проведено 15 194 DDoS-атаки с сентября 2016 по февраль 2017 года.
Возможно, автора Mirai так и не удалось бы вычислить, если бы не тщеславие. Падение ботнета началось, когда в сентябре 2016 года Роберт Кайелло, вице-президент ProxyPipe. inc., занимающейся защитой от DD0S-атак, получил сообщение в Skype. Ему писал некто Anna-senpai. Дел было в том, что незадолго до этого ряд клиентов ProxyPipe. inc. подверглись масштабным атакам. В компании ничего смогли с этим сделать, но отправили жалобы на все зараженные серверы. В результате удалось отключить управляющий сервер ботнета Mirai, из-за чего он потерял множество устройств. Anna-senpai выражал Кайелло уважение по этому поводу. Постепенно между ними завязалась переписка, в которой Anna-senpai рассказывал о мотивах своих действий, поведал, кому и для чего сдавал ботнет в аренду, хвастался своими успехами. Кайелло все время казалось, что он где-то уже общался с Anna-senpai, но никак не мог вспомнить где. Но, наконец, при упоминании одного ника вице-президент ProxyPipe. inc. все понял. На другом конце с ним все это время общался Парас Джа. Несколько лет назад Кайелло работал с ним над несколькими проектами. Также Роберт отмечал, что изначально Джа не был действительно крутым программистом, и многому его приходилось учить. Но по мере повышения своего уровня Парас становился все более высокомерным. А в общении Кайелло после атак Mirai Джа явно старался получить похвалу.
Обо всем этом Роберт Кайелло рассказал Брайану Крэбсу в январе 2017 года. Далее последний по косвенным уликам убедился, что Anna-senpai — это действительно Парас Джа. Однако к тому времени его портрет уже висел на стенде в офисе ФБР. Также там были сообщники Параса. 8 декабря 2017 года в Питтсбурге агенты постучались в дверь дома Джа. И за беседой в гостиной программист во все признался. Также в разных городах США были задержаны сообщники Параса Джа, Далтон Норман и Джосайя Уайт. Все трое работали в компании ProTraf Solutions, специализирующейся на защите от DDoS-атак. Постепенно ребята поняли, что просто атаковать компании и предлагать им свои услуги. Также с помощью ботнета ребята занимались фродом партнерок, накручивая клики со взломанных машин. Деньги текли рекой. Приговор судьи по делу Джа, Уайта и Нормана оказался обыденным для Штатов. Все трое были обязаны помогать ФБР и правоохранительным органам в расследовании киберпреступлений. Учитывая стремительное появление и распространение новых ботнетов, парням предстояло долгое сотрудничество.
2018-2021: Memcached и новые протоколы
С 23 по 27 февраля 2018 года в Европе были зафиксированы первые Memcached amplification атаки. Интересно, что изначально Memcached использовался только для кэширования контента. Этот инструмент стоит на многих серверах. Но со временем смекалистые люди придумали, как использовать его для DDoS-атак. Оказалось, что если запросить у Memcached достаточно кэша и указать адрес неугодного сайта, на него пойдет мусорные трафик.
Атака 2018 года имела мощность 1,35 терабайт. Это было что-то совершенно немыслимое. Опасность метода в том, что для Memcached amplification-атак в 2018 году можно было использовать 90 тысяч серверов организаций по всему миру. Как только выяснилось, в чем проблема, CERT вместе с GitHub выпустили ряд рекомендаций по предотвращению Memcached атак. Основная рекомендация была отключить UDP. Но в большинстве случаев это грозило сайтам значительным снижением производительности. Однако вскоре специалисты придумали более адекватны способ противостоять Memcached amplification-атакам.
Примерно через год был зафиксирован новый метод рассылки мусорного трафика. В 2019-м интернет-сообщество столкнулось с TCP SYN-ACK Amplification-атаками. DDoS-трафик никогда до этого не распространялся по протоколу TCP. Однако оказалось, что это возможно, используя факторы амплификации.
18 августа 2019 года TCP SYN-ACK Amplification-атака мощностью в 208 миллионов пакетов в секунду на пике обрушилась на международную хостинговую платформу Servers.com. Специалисты наблюдали регулярные всплески высокоскоростного трафика. Но уже через несколько часов к защите Servers.com подключилась компания Qrator Labs. Поэтому эксперты смогли достаточно подробно описать атаку и впоследствии изучить ее. Максимальная непрерывная волна длилась 11,5 часов, а фактор амплификации составил 3-5х. Это значит, что количество мусорного трафика, который шел на атакуемый сайт, было в 3-5 раз больше, чем количество трафика, генерируемого DDoSером.
Изображение взято из блога компании Qrator Labs на Хабре
Тогда это была первая в истории TCP SYN-ACK Amplification-атака. Сейчас они используются гораздо чаще. Ведь их значительно проще организовать.
2021: Крупная атака на Яндекс
5 сентября 2021 года сервисы Яндекса подверглись «самой крупной из известных за всю историю интернета» DDoS-атаке. Так ее называют сами представители корпорации. Впрочем, на тот момент это и вправду было так, мощности были огромные — 21,8 миллиона запросов в секунду на пике. К чести Яндекса, его сервисы не пострадали, а данные пользователей не были украдены. Уже 9 сентября в корпорации написали отчет о DDoS-атаке и опубликовали его в блоге на Хабре. Специалисты Яндекса совместно с экспертами Qrator Labs провели целое расследование, в ходе которого удалось многое выяснить.
Согласно заявлению корпорации, для атаки использовался «новый ботнет, о котором пока мало что известно». Его назвали Mēris, что означает «чума» в переводе с латышского. Такое название дали потому, что, по данным Яндекса, ботнет атаковал роутеры латвийской компании MikroTik. Атака состояла из десятков миллионов запросов в секунду. Такую нагрузку не могла бы выдержать ни одна сеть, кроме, разве что, очень крупных сетей и специализированных провайдеров.
По свидетельству Яндекса, признаки ботнета Mēris были замечены в мировой сети еще в июне 2021 года. Тогда это были десятки тысяч устройств, но их количество росло и в сентябре, когда было проведено расследование. Также эксперты заявили, что хозяева ботнета не хотят показывать всю его мощь, поэтому точных данных о количестве устройств нет. При этом представители Яндекса заявили, что связались с компанией MikroTik и отправили ей все данные об атаке.
2023: Последняя крупная атака и прогноз от Mordor Intelligence
В феврале 2023 года компания Cloudflare зафиксировала и остановила атаку, которую исследователи считают самой крупной в истории. По данным представителей организации, мощность атаки на пике превышала 71 миллион запросов в секунду. Это значительно превышает рекорд 2022 года, когда зафиксированная мощность DDoS-атаки равнялась 46 миллионам запросов в секунду.
Активность зараженных компьютеров состояла из нескольких крупных волн. Представители Cloudflare утверждают, что были задействованы более 30 000 IP-адресов ряда облачных сервисов. Целями оказались сайты клиентов компании, названия которых не разглашаются. Однако в отчете сказано, что это были платформы облачных вычислений, хостеры, криптовалютные организации и игровые провайдеры.
Согласно исследованию Cloudflare, опубликованному в январе 2023 года, число DDoS-атак, длящихся более 3 часов увеличилось на 87% по сравнению с предыдущим кварталом. При этом число крупных атак мощностью более 100 Гбит/с также увеличилось на 67% по сравнению с прошлым кварталом.
По прогнозам американской аналитической компании Mordor Intelligence, к 2027 году объем рынка защиты от DDoS-атак вырастет до $5,14 миллиарда. Причем с каждым годом он будет расти минимум на 18%. По утверждению аналитиков, это связано с непрекращающейся эволюцией методов атак. Ведь хакеры постоянно разрабатывают все более изощренные вирусы и методы взлома. Для них это весомый источник дохода, а не просто шалость, как это было в 90-е.
Резюме
Очевидно, что это далеко не конец истории DDoS-атак. Пока у людей существуют идейные разногласия или корыстные мотивы, техническая гонка будет продолжаться. Напомним, что в России за организацию DDoS-атак уже дают реальные сроки. Например, 18 мая 2023 года Ростовский областной суд приговорил IT-специалиста Евгения Котикова к лишению свободы сроком на 3 года. Была доказана его причастность к кибератакам на сайты Министерства обороны РФ и Президента России. Кстати, редакция Партнеркина не одобряет DDoS-атаки. Статья носит исключительно информационный характер.
