В DDoS-атаке на провайдера Dyn участвовали до 100 тысяч устройств

В прошлую пятницу была зафиксирована мощнейшая DDoS-атака на крупного американского сервис-провайдера Dyn, в результате чего работа многих сайтов и популярных сервисов была нарушена. Весточка об этом быстро облетела Интернет, но только сейчас компания Dyn опубликовала отчёт, в котором анализируется пятничное происшествие.

Уязвимые хосты, с которых совершалась атака

Злоумышленники действовали в два этапа. Первая DDoS-атака на управляемую DNS-инфраструктура Dyn прошла с 11:10 до 13:20 по Гринвичу. Далее в 15:50 стартовала ещё одна атака, которая продлилась до 17:00. В ходе первой атаки инженеры Dyn зафиксировали увеличение нагрузки на серверы в Азиатско-Тихоокеанском регионе, Южной Америке, Восточной Европе и западной части США. В результате анализа удалось выяснить, что массовые потоки TCP- и UDP-пакетов загружали порт 53. Атака оказалась сложной и многовекторной, поэтому администраторам пришлось вмешаться, так как автоматическая система защиты не могла справиться с таким «наводнением». Вторая атака использовала такие же самые протоколы и проходила по схожей схеме, поэтому администраторам не составило труда справиться с ней. Вслед за этими масштабными атаками были зафиксированы также многочисленные попытки TCP-атак в течение нескольких дней, но они были не очень серьёзными и не нанесли вреда конечным пользователям.

Крупный ботнет Mirai

По оценкам специалистов, в атаке был задействован ботнет с количеством устройств до 100 тысяч. Большое количество уязвимых хостов работало под управлением известного зловредного ПО Mirai, а основой ботнета, как и во многих подобных инцидентах сегодня, стали IoT-устройства. В ходе атак поток TCP-пакетов увеличивался в 40–50 раз по сравнению с типичным уровнем. По некоторым оценкам, мощность атак достигала 1,2 Тбит/с.

Dyn продолжит анализировать атаки. Также компания призвала коллег к широкой дискуссии о сетевой безопасности в условиях стремительного развития Интернета вещей.