DDoS на 600 Гбит/с как демократизация цензуры

71589f9f22f54379a0629334598b5843.jpgИзвестный американский журналист Брайан Кребс давно пишет на темы информационной безопасности, вскрывая личности тёмных аферистов преимущественно из Восточной Европы. За годы работы Брайану пришлось многое пережить. Злобный украинский хакер собрал на форумах два биткоина, чтобы купить героин и прислать Кребсу по почте, другие хакеры направляли отряд спецназа в дом по звонку в службу спасения 911 якобы с его номера, брали кредит на $20 тыс. на его имя, перечислили $1000 на его счет Paypal с украденной платёжной карты. Авторы вредоносного ПО упоминают Брайана Кребса даже в коде своих программ. Что ж делать, таковы издержки работы журналиста в сфере ИБ.

Сейчас Кребс подвергся новым нападкам. На этот раз злоумышленники организовали мощнейшую DDoS-атаку 600 Гбит/с на сайт KrebsOnSecurity.com. Через несколько дней компания Akamai сдалась. Чтобы защитить других клиентов, она вывела KrebsOnSecurity.com из-под своей защиты.
Атака началась вечером во вторник 20 сентября. Изначально она не дала результата благодаря оперативной работе инженеров Akamai. Трафик удалось отфильтровать, но специалисты Akamai признались, что эта атака оказалась почти вдвое мощнее самого большой DDoS’а, какой они видели в жизни. И, вероятно, одной из самых крупных вообще в истории интернета.

20 сентября в 20:00 поток мусорного трафика достиг 620 Гбит/с. Это более чем достаточно, чтобы положить любой сайт. До этого максимальная DDoS-атака на ресурсы Akamai составляла 363 Гбита/с.

DDoS не был организован стандартным методом с амплификацией запросов через DNS-серверы. Вместо этого большая часть трафика представляла собой пакеты данных generic routing encapsulation (GRE). Коммуникационный протокол GRE используется для установления прямых P2P-соединений между сетевыми узлами. Такой большой объём трафика удивил специалистов — не совсем понятно, как здесь выполнялась амплификация. Если же амплификации никакой не было, то получается, что злоумышленник задействовал для атаки сотни тысяч заражённых машин. Это какой-то рекордный ботнет. Возможно, он состоит из устройств IoT типа маршрутизаторов, IP-камер и цифровых видеоприставок (DVR).

Брайан Кребс не обижается на Akamai. За четыре года они много раз вместе с дочерней фирмой Prolexic защищали его от DDoS-атак. Просто нынешний DDoS оказался слишком большим. Когда стало очевидным, что атака затронет других клиентов, компания Akamai заблаговременно 21 сентября в 16:00 предупредила Брайана Кребса, что у него есть два часа, чтобы перейти в другую сеть, а в 18:00 они снимают защиту.

Руководство компании позже объяснило, что иначе отражение такой атаки нанесло бы им ущерб в миллионы долларов. Наверное, руководитель немного преувеличил, но на самом деле защита от атак такого масштаба действительно стоит от $100 тыс. до $150 тыс. в год. Кребса всегда защищали бесплатно.

Чтобы не подвести своего хостера, журналист попросил перенаправить весь трафик на 127.0.0.1, а сам попытался воспользоваться услугами Project Shield — благотворительного проекта компании Google, предназначенного специально для защиты журналистов от DDoS-атак. Оказалось, что это идеальный вариант, так что 25 сентября сайт вернулся в онлайн и до сих пор работает без сбоев.

Эти события подтолкнули Брайана Кребса к философским размышлениям о сути цензуры в интернете. Он напоминает знаменитые слова предпринимателя и либертарианца Джона Гилмора о невозможности цензуры интернета. Гилмор говорил: «Сеть распознаёт цензуру как повреждение и обходит её». Это великолепные слова, которые неоднократно подтверждала жизнь. Даже сейчас в России отлично видно, насколько неэффективна цензура в интернете. Попытки Роскомнадзора и других цензоров блокировать отдельные ресурсы Сеть действительно воспринимает как повреждение целостности своей структуры, как аномалию в нормальной работе — и предлагает варианты обхода этой аномалии.

Но этот принцип действует только в случае «политической» цензуры, которую традиционно осуществляют правительства разных стран, ограничивая свободный доступ своих граждан к информации.

В случае с DDoS-атакой мы видим другой пример — попытку «заткнуть рот» оппоненту, заставить его замолчать. Здесь не участвует государство. Цензура реализуется скоординированными усилиями множества людей или ботов. В этом смысле можно сказать, что DDoS-атака представляет собой «демократический» вариант цензуры, когда большинство навязывает свою волю меньшинству и заставляет замолчать оппонента (конечно, к истинной демократии такие действия не имеют никакого отношения).

Брайан Кребс считает, что в настоящее время наибольшую угрозу цензуры представляют как раз не беззубые попытки государственных чиновников запретить что-то в интернете (чиновники всё равно совершенно ничего не понимают в технологиях и не способны нанести существенный ущерб), а именно действия опытных профессионалов. Подпольное хакерское сообщество в последние годы незаметно превратилось в мощнейшую транснациональную организацию, в руках которых сконцентрировались огромные компьютерные ресурсы. Эти ресурсы в определённых условиях могут превратиться в кибероружие.

Сложно представить, что правительство какой-то страны смогло бы организовать DDoS-атаку мощностью 600 Гбит/с, это невероятно. А вот транснациональное хакерское сообщество — может. В этом смысле Брайан Кребс и говорит о «демократизации цензуры».

© Geektimes