Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

DDoS-атака была построенна по методу отражения DNS-запросов. 20 Гб/с паразитного трафика вполне способны сокрушить солидный веб-узел, однако при наличии защитных технологий ёмкая прокси-сеть легко поглощала этот нескончаемый поток, причем без каких-либо проблем с доступностью. Посему было решено помониторить текущую атаку с целью сбора данных и локализации источников агрессивного DNS-трафика.

Обычный ботнет способен сгенерировать DDoS-трафик мощностью около 100Мбит/с. Некоторым сайтам этого может хватить, чтобы лечь, но в целом с точки зрения DDoS такие нагрузки вряд ли можно назвать серьезными. Усилить мощность атаки дидосерам помогает техника " умножения " DDoS-трафика, предполагающая использование дополнительных сетевых устройств в качестве посредников. Такой трамплин работает на злоумышленника лишь при следующих условиях:

  • механизм допускает фальсификацию источника запроса (не производит проверку источника);
  • ответ по объему должен значительно превосходить запрос.

Первой разновидностью DDoS с плечом были SMURF-атаки, использующие протокол ICMP. Посредником здесь служит маршрутизатор широковещательной локальной сети, конфигурация которого позволяет транслировать ping-запросы, поданные на внешний адрес, всем участникам этой сети. ICMP-протокол работает по принципу «fire and forget» ― «отправь и забудь», без процедуры взаимного опознавания отправителя и получателя. Если в заголовке пакета подменить источник эхо-запроса, подставив адрес жертвы, и направить его на широковещательный адрес, все ответы устройств за маршрутизатором единым потоком ударят по мишени. Мощность такого трафика зависит от числа участников широковещательной сети, подключенных к маршрутизатору, пишет securelist.com.

Со временем SMURF-атаки сошли на нет: маршрутизаторы стали блокировать ICMP Echo-Reply или игнорировать ICMP Echo-Request. Злоумышленники переключились на другую платформу, также удовлетворяющую названным критериям, ― DNS. DNS-запросы передаются по протоколу UDP, тоже не проверяющему отправителя и посему не застрахованному от злоупотреблений. Рычагом, позволяющим увеличить мощность DDoS-удара в десятки раз, здесь служат открытые резолверы ― плохо сконфигурированные кэширующие DNS-серверы, способные принимать запросы не только от своих клиентов, но от любого пользователя Сети. Схема DDoS-атаки, использующей так называемый метод отражения DNS-запросов (DNS reflection), уже рассматривалась в нашем блоге в связи с предыдущим, более сокрушительным нападением на CloudFlare.

Новую DDoS-кампанию, использующую DNS, исследователи наблюдали 3 недели, исправно распределяя по CDN-сети ежесуточные 20 Гб/с потоки, изливающиеся на клиентский сайт. За этот период удалось установить около 68,5 тыс. открытых резолверов, принявших участие в DDoS-атаке. Наибольшее количество таких серверов было обнаружено на территории США ― страны с несметным числом автономных систем (AS). Однако с учетом общей популяции последних главным источником паразитного DNS-трафика оказался Тайвань. Его крупнейший провайдер HiNet (AS3462) занял второе место в рейтинге CloudFlare по количеству открытых резолверов, работающих на дидосеров (2992). Возглавила этот список пакистанская Pakistan Telecom Company (AS45595 ― 3359 серверов). Полный перечень AS-сетей с числом открытых резолверов (без указания IP), задействованных в свежей DDoS-атаке, можно посмотреть на отдельной странице, а также обратиться в CloudFlare за помощью.

В заключение стоит отметить, что проблема открытых резолверов существует уже более 10 лет. Беда в том, что последнее время они активно используются злоумышленниками для проведения мощных DDoS-атак. CloudFlare обещает продолжить публикацию списков открытых резолверов, которые давно ведут такие организации, как Team Cymru, и оказывать операторам сетей посильную помощь в исправлении ситуации. К этому блоку недавно примкнули и активисты HostExploit, публикующие рейтинги AS-систем по уровню вредоносной активности (Top 50 Bad Hosts). Проблеме открытых резолверов они посвятили особый раздел нового отчета, выпущенного по итогам III квартала. Здесь же приведена актуальная статистика по открытым резолверам в AS-системах, которая впредь будет регулярно обновляться. Как оказалось, 4 провайдера, включенных HostExploit в Тор 10 по этому показателю, стали невольными и весьма активными соучастниками свежей DDoS-атаки на CloudFlare. Например, тайваньская HiNet, 2-й «обидчик» CloudFlare по агрессивности DNS-трафика, в рейтинге HostExploit попала на 3-ю строчку (2464 открытых резолвера) ― после бразильской Telecomunicacoes de Santa Catarina (AS8167) и чилийской Terra Networks Chile (AS7418; 2998 и 3219 серверов соответственно).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Лишь четверть разработчиков внедрили сквозной DevTestSecOps-конвейер

Согласно исследованию ИАА Telecom Daily и ИТ-экосистемы «Лукоморье», несмотря на стремительный рост интереса к практикам DevOps, DevSecOps и DevTestSecOps, лишь четверть разработчиков внедрила полноценный сквозной DevTestSecOps-конвейер.

Исследование проходило с 1 по 10 сентября 2025 года. В нем приняли участие представители 100 средних и крупных российских компаний — руководители и специалисты ИТ-подразделений, отвечающие за разработку и эксплуатацию программного обеспечения.

По результатам опроса, полноценный DevTestSecOps-конвейер внедрили ровно 25% участников. Более половины компаний уже автоматизировали тестирование безопасности с помощью таких инструментов, как статический (SAST) и динамический (DAST) анализ, а также анализ зависимостей (SCA). CI/CD используют две трети организаций, однако лишь 38% интегрировали в эти процессы комплексные практики безопасности.

Среди компаний, внедривших CI/CD, 80% отметили повышение уровня безопасности выпускаемых продуктов. Каждая вторая организация зафиксировала сокращение числа ошибок и улучшение прозрачности процессов разработки.

Ключевыми проблемами респонденты назвали сложности перехода на альтернативные решения после ухода зарубежных вендоров (37%), высокую стоимость внедрения и поддержки инструментов безопасной разработки (33%), снижение скорости разработки (27%), а также кадровый дефицит и недостаточную зрелость отечественных продуктов (по 22%).

При этом все участники исследования планируют развивать практики DevTestSecOps в ближайшие год-два. Основные ожидания связаны с повышением качества и безопасности продуктов, увеличением гибкости и масштабируемости процессов, а также сокращением затрат на тестирование и эксплуатацию. Особый интерес (45% респондентов) вызывает развитие отечественных экосистемных решений.

Арсен Благов, генеральный директор ИТ-экосистемы «Лукоморье», так прокомментировал результаты исследования:

«Рынок постепенно уходит от разрозненного применения практик — проектирования, тестирования, анализа и поддержки — к стремлению объединить их в единую логичную цепочку. Конвейеризация становится способом синхронизировать команды, ускорить Time-to-Market и сделать процессы прозрачными как для разработки, так и для бизнеса. Проблем и вызовов по-прежнему немало: интеграция инструментов, нехватка сквозной аналитики, сопротивление изменениям внутри команд — всё это тормозит развитие. Но тенденция очевидна: компании начинают воспринимать CI/CD не как набор скриптов, а как архитектурную основу зрелой разработки».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru