Александр Лямин из HighloadLab рассказал Roem.ru подробнее о технической стороне вчерашней атаки на DNS Ру-Центра и сегодняшней на Хостинг-Центр:
DDoS атаки на DNS - это, в силу специфики DNS, как правило атаки на полосу . Явным признаком таких атак является увеличение разброса в RTT начиная с тех маршрутизаторов на которых сходится атака, как правило это пограничные маршрутизаторы ДЦ. В случае с NIC.RU обычных синдромов перегруженных каналов, таких как RTT jitter мы не отметили. Между тем, ночью 22 апреля NIC.RU заблокировал весь зарубежный трафик, что может указывать на наличие атаки и является распостраненной в рунете контр-мерой.
Противостоять таким атакам практически невозможно, поскольку невозможно выделить критерий по которому можно распознать и отфильтровать вредоносные DNS запросы.
Аналогичная ситуация наблюдается и у "Хостинг-центра" - несмотря на не слишком высокую интенсивность атаки, противостоять ей возможно только запасом мощностей для обслуживания чрезмерного потока запросов к DNS. Александр Лямин полагает, что источник атаки - тот же, что парализовал в конце марта антиспам-организацию Spamhaus. Это был первый случай использования технологии DNS-усиления для DDoS-атаки такого масштаба.
Это вероятнее всего происходит с использованием тех же мощностей, что использовались для атаки на Spamhaus - русско-украинская тусовка, которая то ли развлекается, то ли уже выполняет чьи-то коммерческие заказы. Предполагаю, что Ru-Center и ХЦ не последние жертвы, и в ближайшее время подобные атаки пройдут по другим регистраторам, предоставляющим услугу хостинга DNS.
Добавить 9 комментариев
Cui prodest ? Зачем кому-то валить регистраторов ?
Их и не валят, они инструмент. Но вроде как от усиления через ДНС есть контрмеры?
>>Cui prodest ? Зачем кому-то валить регистраторов ? Может, если такая долбежка по хостерам будет недорогой и постоянной — выжить смогут большие/технологически продвинутые, цены за стабильность станут выше. Типа вы покупаете не просто хостинг, а хостинг «с крышей»
Значит скоро начнется рекламная компания очередного облачного хостера с новым ДЦ. Осталось подождать и выяснить кто же это будет :)
А чем остальные регистраторы провинились, чтобы их DDoS’ить? Ру-Центр то понятно, с их загребущими лапами, наверное нет в России ни одного пользователя интернета, которому Ру-Центр как-нибудь прямо или косвенно не насолил (например, разделегировал домен любимого сайта по предписанию какого-нибудь чертановского суда)
>> Cui prodest ? Зачем кому-то валить регистраторов ? элементарно, ватсон — чтобы насолить кому-то из их пользователей. возможно, завалить регистратора оказалось заметно проще, чем завалить конкретный ресурс, который держит свой dns у них. сменить NS-записи у регистратора не очень просто, у большинства TTL стоит по сутки-двое-четверо.
Народ, там пишут про усиление через ДНС. Если это так, то это атака не на хостера, а их ДНС сервера используются для атаки на кого-то, как инструмент. Погуглите про DNS amplification attack
Что-то у руцентра год нехорошо начался, то суды, то атака.
Кстати, в ру-центре очень странное начальство. Например, финдиректор требует знать от специалистов по ПОД/ФТ вещи из области маркетинга и PR, что уже само по себе очень странно.