Яндекс поделился подробностями о «крупнейшей в истории интернета» DDoS-атаке

Ранее Яндекс отразил крупнейшую в истории интернета DDoS-атаку на компанию — в ней было более чем в 20 млн RPS (Requests Per Second, количество запросов в секунду), как отмечает компания, источник атаки — новый ботнет Mēris («чума» по-латышски). DDoS-атаки продолжаются уже несколько недель.

Нашим специалистам действительно удалось отразить рекордную атаку более чем в 20 млн RPS — это самая крупная атака из известных за всю историю Интернета. Но это лишь одна из множества атак, направленных не только на Яндекс, но и на многие другие компании в мире, – сообщили в компании.

Ботнет – сеть компьютеров, зараженных вредоносным ПО, позволяющую контролировать тысячи устройств. Ботнеты используются в том числе для организации DDoS-атак и рассылки спама.

Специалисты отметили, что новый ботнет пока не изучен, но уже сейчас понятно, что он продолжает расти. Представители Яндекса отметили, что в последние пару недель было замечено несколько разрушительных DDoS-атак в Новой Зеландии, США и России.

График запросов в секунду DDoS-атаки на Яндекс за 5-ое сентября

Все эти атаки приписывают ботнету Mēris. В настоящий момент он может перегрузить практически любую сетевую инфраструктуру, включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку. Главный признак ботнета – огромный показатель RPS.

Предварительно удалось выяснить, устройства, из которых он состоит, используют Ethernet-подключение. У Mēris есть некоторые особенности – в частности, Яндекс установил, что ботнет использует конвейерную обработку HTTP, а атаки ориентированы на эксплуатацию RPS, около 65% атакующих устройств открывают SOCKS4-прокси на порту 5678.

Принцип работы конвейерной обработки в HTTP/1.1 (справа)

Конвейерная обработка (или же «мультиплексирование» в рамках HTTP/2) выглядит как: «запрос – запрос – запрос – запрос – ответ», в то время как обычная общепринятая обработка запросов такова: «запрос – ответ»

Такой метод обработки заставляет принимающий сервер отвечать на целый пакет мусорных запросов от одного источника. И это один является основным источником проблем, из-за неё этот ботнет может выжать гораздо больше запросов в секунду по сравнению с «классическими» ботнетами. Проблема в том, что классические методы нейтрализации атаки попытаются заблокировать атакующий IP-адрес. Однако порядка 10-20 запросов, оставшихся в буферах, всё равно будут обработаны даже после этого.

В конце представили компании добавили, что предоставили собранные данные компании MikroTik, сетевому поставщику и разработчику RouterOS, эксплуатирование которой было замечено в ботнете. Вся собранная информация уйдёт в профильные организации. В Яндексе надеется, что совместные усилия позволят интернету избавиться от пандемии Mēris.

Источник 📢