В удивительном откровении компания Global Secure Layer, ведущий поставщик решений по смягчению DDoS-атак, сообщила о беспрецедентной DDoS-атаке, которая установила новый рекорд по количеству пакетов в секунду (PPS). Эта атака, нацеленная на «клиента Minecraft», достигла ошеломляющих 3,15 миллиарда PPS, исходя из ботнета, преимущественно базирующегося в России, но также привлекавшего трафик из 17 дополнительных стран. Важно отметить, что это не подразумевает участие людей из этих стран; скорее, это указывает на географические источники атаки.
Детали атаки
Стивен Фергюсон и Кэмерон Тикнер из Global Secure Layer предоставили подробный анализ инцидента, который произошел 25 августа. Они заявили: «Наша команда перекрестно проверила размер этой атаки с поставщиками первого уровня и операторами интернет-обмена, чтобы подтвердить, что пропускная способность на границе совпадает с телеметрией устройств». В отчете также уточняется, что по сравнению с ранее задокументированными рекордами размер этой атаки превышает их в 3,2-3,5 раза, что подтверждает ее статус как самой крупной публично зарегистрированной атаки по скорости пакетов на сегодняшний день.
Целевой сервер, по-видимому, является Minemen Club, как отметил энтузиаст Minecraft Эли, который поделился своими выводами в Twitter. Этот инцидент не является первым случаем, когда эксперты по безопасности связывают значительные ботнеты с серверами Minecraft, однако заявленные цифры поражают воображение.
Чтобы понять механику DDoS-атаки, важно признать, что цель заключается в том, чтобы перегрузить систему чрезмерным количеством пингов или запросов, тем самым затрудняя ее эффективное функционирование. Хотя были и более крупные DDoS-атаки по объему данных, этот конкретный инцидент выделяется своим пиковым показателем скорости пакетов, который является важным параметром при оценке серьезности таких атак.
Фазы атаки
Атака разворачивалась в две четко различимые фазы. Сначала, 24 августа, злоумышленники запустили предварительный удар, который достиг пика в 1,7 Гбит/с, но в конечном итоге не оказал заметного влияния на конечных пользователей. После этой тестовой фазы на следующий день началась полномасштабная «ковровая бомбардировка», кульминацией которой стал рекордный показатель в 3,15 Гбит/с. Global Secure Layer объясняет, что «ковровые бомбардировки» направлены на заливку трафика на все IP-адреса в пределах подсети жертвы с целью обойти обнаружение атак по назначению.
Эта масштабная DDoS-атака продолжалась чуть более часа, при этом наибольшая активность ботнета была зафиксирована в России, Вьетнаме и Южной Корее. Тайвань следовал за ними, а Бразилия, США и Украина внесли свой вклад в общий трафик. Всего было выявлено 42 209 источников, участвующих в этой кампании по скорости пакетов.
Global Secure Layer отметила заметное отклонение от типичных моделей атак, заявив: «Обычно для атак, которые мы наблюдаем, страны-источники распределены равномерно, и ни одна страна не составляет более 7% от общего объема атакующего трафика. В этом случае Россия, Вьетнам и Корея составляют 42,8% от общего объема». Большая часть трафика из этих источников была очищена во Франкфурте и Сингапуре.
Ранее в этом году игровое сообщество стало свидетелем аналогичной волны нарушений, когда Final Fantasy 14 испытала три последовательных дня DDoS-атак, совпавших с подготовкой к расширению Dawntrail, что побудило Square Enix принять оперативные меры для восстановления стабильности серверов.