Атака на рутовые DNS-серверы, зафиксированная в начале февраля, возможно, являлась своеобразной рекламной акцией. «Рекламодатели» продемонстрировали свой потенциал в организации масштабных атак с использованием бот-сетей. Такую версию выдвинули в специальном документе представители ICANN — организации по назначению доменных имен, сообщает сайт Darkreading.com.

С тем, что версия о рекламной акции выглядит весьма интересной, соглашается генеральный директор DNS-сервисов OpenDNS и EveryDNS Дэвид Улевич (David Ulevitch): «Представители ICANN предположили, что это мог быть кто-то, пытающийся продемонстрировать силу своих бот-сетей и возможность их заказного использования. Речь идет не о тестовой атаке в рамках подготовки к глобальной акции в отношении самих DNS-серверов, а о способе демонстрации потенциала бот-сетей тому, кто может использовать этот потенциал против менее защищенных целей». По мнению Улевича, новая подобная атака возможна, однако вряд ли она дестабилизирует работу серверов.

Февральское нападение на рутовые DNS-серверы доказало, насколько эффективным методом их защиты является использование технологии anycast. Данная технология подразумевает расположение IP-адреса DNS-сервера одновременно на нескольких физических (аппаратных) серверах, а DNS-запрос, посланный по anycast-адресу, доставляется на ближайший сервер. Пять DNS-серверов, которые пока не используют anycast, будут переведены на нее в ближайшее время, отметили представители ICANN.

Документ, который ICANN составила для аудитории без специальной технической подготовки, также обращает внимание на силу атаки, выраженную в цифрах. Поток трафика, направленного на некоторые рутовые серверы, достигал 1 Гбит/с, что эквивалентно 13 тысячам электронных писем в секунду или 1,5 миллионам электронных писем за 2 минуты. Атака началась около 7 утра и продлилась 2,5 часа. Вторая волна DDOS-атаки началась через три с половиной часа и продлилась 5 часов. Отчет ICANN подтверждает ранние оценки, согласно которым атака повлияла на обычных интернет-пользователей «ограниченно». Документ подтвердил и прежние гипотезы, касающиеся возможной территории происхождения атаки — ей оказалась одна из стран восточно-азиатского региона. Однако пока нет убедительных доказательств того, что бот-сеть была расположена именно на территории Республики Корея.

По мнению ICANN, атака могла производиться с территории сразу нескольких стран. Впрочем, с учетом того, что IP-адреса, с которых шли запросы к DNS-серверам, могли быть сымитированы, утверждать это однозначно нельзя. Вполне возможно, что источником атаки могли стать так называемые зомби-машины, находящиеся в любой другой части света.

Наибольшая нагрузка пришлась на DNS-сервер G, расположенный в штате Огайо и администрируемый Министерством обороны США, а также на сервер I, находящийся в Калифорнии и администрируемый ICANN. Эти два сервера были единственными из шести атакованных, не использовавшими anycast. По словам представителей ICANN, неполное внедрение технологии anycast было сознательным решением рутовых операторов. «Возникали опасения, что представление нескольких разных серверов как единой точки входа могло создать угрозу безопасности», — говорится в документе. По плану операторов, необходимо сначала было провести тесты на нескольких серверах, а затем уже устранить недостатки.

Для противостояния будущим атакам ICANN в прошлом году порекомендовала DNS-операторам подтверждать IP-адреса источников запросов и принимать запросы только от проверенных ресурсов (например, собственных клиентов). ICANN признала, что рекомендации были встречены «с переменным успехом».