Подвергшиеся в конце прошлого года DDoS-атаке корневые DNS-серверы не были целью злоумышленников

Корневые DNS-серверы, в декабре прошлого года подвергшиеся DDoS-атаке, на самом деле не были целью злоумышленников. По данным исследователей из компании VeriSign, управляющей двумя корневыми DNS-серверами (A и J), атака планировалась на зарегистрированные в Китае два доменных имени. Мэтт Вайнберг (Matt Weinberg) и Дуэйн Уэсселс (Duane Wessels) представят результаты своего исследования в пятницу, 1 апреля, на конференции по ИБ в Аргентине, однако презентация уже доступна online.

Вайнберг и Уэсселс тщательно проанализировали «мусорный» трафик, получаемый серверами в ночь с 30 ноября на 1 декабря 2015 года, и сделали два вывода. Во-первых, новая технология RRL (Response Rate Limiting), ограничивающая интенсивность отправки ответов DNS-сервером, действительно эффективна в отражении DDoS-атак (объем вредоносного трафика уменьшился на 60%). Во-вторых, инцидент затронул девять из тринадцати серверов, и четыре даже отключились на непродолжительное время, однако на самом деле атака была направлена на зарегистрированные в Китае доменные имена 336901.com и 916yy.com.

Исследователи не разделяют уверенность ИБ-эксперта Джона Макафи в причастности к инциденту террористов. По мнению Вайнберга и Уэсселса, злоумышленники подменили IP-адреса, откуда осуществлялась атака. Макафи же отрицал возможность спуфинга, поскольку исходные адреса были широко и равномерно распределены между адресным пространством IPv4, а вредоносный запрос оставался одинаковым.

Как пояснили Вайнберг и Уэсселс, злоумышленники провели три атаки одновременно. Одна из них была масштабной, но со сравнительно небольшим объемом трафика, и осуществлялась со множества IP-адресов (по данным Макафи, с 895 млн). Еще две атаки отличались большим объемом трафика и осуществлялись с 5 тыс. IP-адресов (ответственны за 86% всего «мусорного» трафика).

По данным исследователей, злоумышленники использовали хорошо известный ботнет BillGates. Напомним, согласно версии Макафи, атака осуществлялась с помощью специального мобильного приложения, находящегося в распоряжении террористической организации ДАИШ (запрещена в РФ). Правда, обе теории не противоречат друг другу.

Причины инцидента по-прежнему неясны. Доменные имена, являвшиеся истинной целью злоумышленников, не отличаются ничем выдающимся. Возможно, ранее они использовались в преступной деятельности, и неизвестные решили их «прикрыть».