Форум на Kuban.ru - Одна из самых больших DDoS-атак в истории

Просто пара цитат, важное выделил.

[quote]
всем привет.

новостей будет несколько, конспектом.

1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.

[b]2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.[/b]

3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)

4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.

5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.

6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.

7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( [url]www.redbarn.org/dns/ratelimits[/url] )

8. генератором второй ступени могут выступать и другие UDP services, например NTP.

9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7.

пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN.
[/quote]

[quote]
[b]Атаки без ботнета[/b]

Существуют атаки, [b]которые не используют ботнеты.[/b] Распределенную атаку можно провести и с помощью механизма отражения. Самое распространенное явление - атаки DNS amplification с отражением и увеличением мощности. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один подключенный к высокоскоростному Интернет-каналу сервер, который выдаст набор запросов в эти «отражатели» с подделанным IP-адресом жертвы. Ответы отправятся к жертве, снизят до нуля ее пропускную способность и выведут ее из рабочего состояния. Речь идет о сервере DNS - UDP 53, где можно сделать рекурсивный запрос по зоне. Сам запрос небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти серверы фальшивыми доменными зонами с очень длинными именами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант - это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.
[/quote]

[quote]
К наиболее популярным методикам относится DNS amplification. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, [b]один очень хорошо подключенный сервер на гигабите, который выдаст набор пакетов в эти «отражатели» с поделанным IP-адресом жертвы.[/b] Пакет отправится к жертве и снизит до нуля ее пропускную способность и выведет ее из рабочего состояния. Речь идет о сервере DNS — UDP 53, где можно сделать такую штуку, как рекурсивный запрос по зоне. Сам по себе он небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти сервера каким-нибудь большими фальшивыми доменными зонами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант — это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.

Существуют атаки, [b]которые не используют ботнеты.[/b] Распределенную атаку можно провести и с помощью механизма отражения. Классика жанра — атаки DNS amplification с отражением и увеличением мощности.
[/quote]

Цитаты от компетентных в деле защиты от DDOS товарищей. Как Вы понимаете, у провайдера хватит и серверов и каналов и адресного пространства, чтобы самому осуществить подобную атаку без помощи ботнетов.