Александр Лямин, HighloadLab, об атаках на Ру-Центр, ХЦ: «Думаю, атака пройдет по всем крупных регистраторам»

Александр Лямин из HighloadLab рассказал Roem.ru подробнее о технической стороне вчерашней атаки на DNS Ру-Центра и сегодняшней на Хостинг-Центр:

DDoS атаки на DNS — это, в силу специфики DNS, как правило атаки на полосу. Явным признаком таких атак является увеличение разброса в RTT начиная с тех маршрутизаторов на которых сходится атака, как правило это пограничные маршрутизаторы ДЦ. В случае с NIC.RU обычных синдромов перегруженных каналов, таких как RTT jitter мы не отметили. Между тем, ночью 22 апреля NIC.RU заблокировал весь зарубежный трафик, что может указывать на наличие атаки и является распостраненной в рунете контр-мерой.

Противостоять таким атакам практически невозможно, поскольку невозможно выделить критерий по которому можно распознать и отфильтровать вредоносные DNS запросы.

Аналогичная ситуация наблюдается и у «Хостинг-центра» — несмотря на не слишком высокую интенсивность атаки, противостоять ей возможно только запасом мощностей для обслуживания чрезмерного потока запросов к DNS. Александр Лямин полагает, что источник атаки — тот же, что парализовал в конце марта антиспам-организацию Spamhaus. Это был первый случай использования технологии DNS-усиления для DDoS-атаки такого масштаба.

Это вероятнее всего происходит с использованием тех же мощностей, что использовались для атаки на Spamhaus — русско-украинская тусовка, которая то ли развлекается, то ли уже выполняет чьи-то коммерческие заказы. Предполагаю, что Ru-Center и ХЦ не последние жертвы, и в ближайшее время подобные атаки пройдут по другим регистраторам, предоставляющим услугу хостинга DNS.

Добавить 9 комментариев

  • Ответить
    Маша Форманюк Яндекс.Деньги

    >>Cui prodest? Зачем кому-то валить регистраторов? Может, если такая долбежка по хостерам будет недорогой и постоянной — выжить смогут большие/технологически продвинутые, цены за стабильность станут выше. Типа вы покупаете не просто хостинг, а хостинг «с крышей»

  • Ответить

    Значит скоро начнется рекламная компания очередного облачного хостера с новым ДЦ. Осталось подождать и выяснить кто же это будет :)

  • Ответить
    Альтер Эго

    А чем остальные регистраторы провинились, чтобы их DDoS’ить? Ру-Центр то понятно, с их загребущими лапами, наверное нет в России ни одного пользователя интернета, которому Ру-Центр как-нибудь прямо или косвенно не насолил (например, разделегировал домен любимого сайта по предписанию какого-нибудь чертановского суда)

  • Ответить

    >> Cui prodest? Зачем кому-то валить регистраторов? элементарно, ватсон — чтобы насолить кому-то из их пользователей. возможно, завалить регистратора оказалось заметно проще, чем завалить конкретный ресурс, который держит свой dns у них. сменить NS-записи у регистратора не очень просто, у большинства TTL стоит по сутки-двое-четверо.

  • Ответить
    Альтер Эго

    Народ, там пишут про усиление через ДНС. Если это так, то это атака не на хостера, а их ДНС сервера используются для атаки на кого-то, как инструмент. Погуглите про DNS amplification attack

  • Ответить
    Альтер Эго

    Кстати, в ру-центре очень странное начальство. Например, финдиректор требует знать от специалистов по ПОД/ФТ вещи из области маркетинга и PR, что уже само по себе очень странно.