Масштабні атаки, спрямовані на виведення з ладу Інтернет-сервісів шляхом надсилання їм більшої кількості трафіку, ніж вони можуть обробити, продовжують зростати, і наймасштабніша з них, зафіксована на рівні 7,3 терабіт на секунду, була зафіксована в п’ятницю компанією Cloudflare, що займається безпекою та продуктивністю Інтернету.
Атака на 7,3 Тбіт/с виробила 37,4 теребайти сміттєвого трафіку, який обрушився на ціль за лише 45 секунд. Це майже неможливо усвідомити – обсяги даних еквівалентні більш ніж 9 300 повнометражним HD-фільмам або 7 500 годинам HD-стрімінг контенту менш ніж за хвилину.
Несанкціоновані атаки на цілі
Cloudflare повідомила, що зловмисники «бомбили» в середньому майже 22 000 портів призначення одного IP-адреси, що належить цільовому об’єкту, який не було ідентифіковано, окрім як клієнта Cloudflare. Загалом було атаковано 34 500 портів, що свідчить про ретельність і добре сплановану природу атаки.
Основна частина атаки була реалізована у вигляді пакетів протоколу UDP (User Datagram Protocol). Легітимні трансакції, засновані на UDP, використовуються у особливо чутливих до часу комунікаціях, таких як відтворення відео, ігрові програми та DNS-запити. Цей протокол прискорює обмін даними, не встановлюючи формального з’єднання перед передаванням інформації. На відміну від більш загального протоколу TCP (Transmission Control Protocol), UDP не чекає, поки між двома комп’ютерами буде встановлено з’єднання, і не перевіряє, чи дані були отримані коректно. Натомість, дані негайно надсилаються з одного комп’ютера на інший.
Атаки UDP-флуду надсилають надзвичайно великі обсяги пакетів на випадкові або специфічні порти цільового IP. Такі флуди можуть перевантажити Інтернет-зв’язок цілі або захопити внутрішні ресурси, посилаючи більше пакетів, ніж вони можуть обробити.
Оскільки для UDP не потрібно встановлювати з’єднання, зловмисники можуть використовувати його для заповнення цільового сервера величезними обсягами трафіку без попереднього отримання дозволу на початок передачі. Флуди UDP, як правило, надсилають велику кількість датаграм на численні порти цільової системи. Цільова система, у свою чергу, повинна відправити таку ж кількість пакетів даних назад, щоб вказати, що порти недоступні. Зрештою, цільова система не витримує навантаження, що призводить до відмови у обробці легітимного трафіку.