Читаем Цифровой журнал «Компьютерра» № 167 полностью

Атака, начавшаяся 18 марта, была и обычной, и новаторской одновременно. Серверы Spamhaus (а днями позже и компаний, ей помогавших) стали заливать избыточными объёмами трафика — однако трафик порождали оригинальным способом, известным как DNS-отражение или DNS-усиление. Идея проста, как всё гениальное: открытому для запросов со стороны DNS-серверу (активисты, ратующие за уничтожение таких серверов, насчитывают их свыше 20 миллионов по всему миру, см. The Open DNS Resolver Project) направляется кратенькая просьба, предполагающая сравнительно длинный ответ (в 60-100 раз длиннее). Но обратный IP-адрес в заявке подделывается: вместо него вписывается IP жертвы. В результате DNS-сервер отправляет ответ по указанному адресу — и жертве, хоть она ничего и не запрашивала, волей-неволей приходится полученные данные обрабатывать.

А теперь представьте, что запрос отправляется не одному DNS-серверу, а сотне, тысяче одновременно. В руках атакующего оказывается невероятно длинный рычаг, которым он и прижимает жертву. Лаборатория Касперского сравнила происходящее с попыткой завалить почтой одного получателя, когда отправленные ему тонны корреспонденции выводят из строя целое почтовое отделение. А в компании CloudFlare, которую Spamhaus наняла для отражения атаки, происходившее сравнили со взрывом атомной бомбы: маленькое по габаритам устройство легко причиняет гигантский ущерб. И «цепную реакцию» DNS-усиления точно так же трудно остановить, если она запущена: DNS-серверы нельзя отключить, потому что они нужны миллионам рядовых сетян, а отыскать организаторов атаки сложно, потому что DNS-запросы отправляются не ими лично, а нанятой бот-сетью.

В пике поток данных, обрушивающихся на Spamhaus, достигал 300 гигабит в секунду. Чтобы оценить эту цифру, вспомните, например, что крупнейшая атака на американские банки в конце прошлого года едва превышала 60 Гбит/сек, а взятая наугад рядовая DDoS в 2012-м измерялась всего единицами гигабит. Давление со стороны атакующих было так велико, что хоть расследованием по горячим следам занялись пять киберполицейских подразделений из разных стран, их имена не разглашались — из опасения, что ударят и по ним. Госучреждения вообще, как правило, обладают слабенькой ИТ-инфраструктурой, которая валится после первого тычка: это впервые показали ещё теракты 11 сентября 2001 года и с тех пор регулярно подтверждается в периоды стихийных бедствий (см. «ИТ и ураган Ирина»).

Что ж, после такого естественно было ожидать страшных историй о трагических последствиях не только для Spamhaus, но и для всей Сети. Тем интересней, что ничего особенного не случилось. Сайт Spamhaus.org какое-то время был недоступен, но чёрные списки спамеров — растиражированные десятками серверов на разных континентах — оставались доступными даже во время атаки. Говорят, в некоторые моменты «тормозила» вся глобальная сеть: Akamai Technologies (постоянно наблюдающая за состоянием интернета) зафиксировала «пробки» на интернет-магистралях России и Англии; кто-то сообщал о перебоях в работе потокового медиасервиса Netflix. Но мнения экспертов относительно причин этого расходятся. Как раз в эти дни был оборван крупный подводный интернет-кабель у берегов Египта, часть магистралей находилась в ремонте, велась трансляция важного матча по футболу и т.д. Так что некоторое замедление работы Сети было чем объяснить помимо атаки. Кроме того, Renesys и Keynote Systems, также занятые мониторингом здоровья Сети, вообще никаких отклонений не заметили.

Так почему же беспрецедентная по размаху атака оказала стремящееся к нулю влияние? Благодарить нужно децентрализацию и диверсификацию интернет-архитектуры. Если бы всё вышеописанное происходило на одном интернет-канале, с парой серверов по разные стороны (злоумышленник — жертва), то последствия, конечно же, были бы очевидны. Однако серверы Spamhaus разнесены по континентам, атакующие машины тоже находились в разных точках планеты — и в результате DDoS-трафик оказался «размазан» по десяткам и сотням интернет-каналов.