21.10.2016 19:22
heathen 58 26900 Источник
Массовая DDoS атака на инфраструктуру крупного провайдера сетевых сервисов Dyn, происходящая в настоящий момент, привела к недоступности множества популярных ресурсов, использующих DNS-сервисы компании. В число пострадавших входят такие известные организации как Github, Twitter, eBay, New York Times, Etsy, SoundCloud, Spotify, Heroku, Shopify, PayPal и множество других.

Согласно заявлению компании Dyn, атака на DNS-инфраструктуру началась 21 октября 2016 года в 11:10 UTC (14:10 по московскому времени). В 13:20 UTC работоспособность была восстановлена. Однако уже в 15:52 UTC началась вторая волна, отразить которую их инженеры не могут до сих пор.

Последняя информация от 21:43 UTC

Буквально несколько минут назад публичные DNS Google не имели информации об IP адресах github.com, однако в процессе написания этой статьи она появилась. IP-адреса доменов twitter.com, soundcloud.com, heroku.com, quora.com, box.com до сих пор недоступны.

Источник атаки на текущий момент остаётся неизвестен, однако, учитывая срок, в течение которого не может с ней справиться один из крупнейших сервис-провайдеров, можно только поражаться количеству ресурсов, доступных атакующим.

UPD1: Тем временем, события развиваются. Компания сообщила телеканалу CNBC, что до неё дошла третья волна атаки. Любопытная деталь: по словам представителей компании, один из источников атаки — «интернет вещей» (Internet of Things). Так же они сообщают, что атака производится с помощью устройств, заражённых вредоносным кодом, появившимся в последние недели. По-прежнему неизвестно, кто стоит за этой атакой. Злоумышленники молчат. «Всё, что они делают — это перемещаются с каждой атакой по миру», — заявил Кайл Йорк (Kyle York), директор по стратегическим вопросам компании Dyn.

Министерство национальной безопасности США заявило, что «расследует все возможные причины» атаки. Официальные представители разведки США заявили, что исключили Северную Корею из списка подозреваемых.

Атака «хорошо спланирована и реализована, и происходит одновременно с десятков миллионов адресов», — сообщили каналу CNBC в компании.
Поделиться с друзьями
-->

Комментарии (58)


  1. samizdam
    21.10.2016 22:24
    #9872458
    +6

    Пушу, не пушиться, пушу не пушиться…
    Уф… А уж подумал, НАЧАЛОСЬ!!1


  1. kamtec1
    21.10.2016 22:35
    #9872472
    +10

    Постепенно подымаются сайты. Этот DDOS точно зайдёт в истории интернета. Чтоб PAYPAL и twitter лежали часами...


    1. Jeditobe
      22.10.2016 00:28
      #9872630
      +32

      Никогда такого не было и вот опять.


  1. Wedmer
    21.10.2016 22:53
    #9872486
    +1

    Кстати, на тот момент пока github отсутсвовал в google public DNS, у некоторых других он присутствовал. Поэтому проблему недоступности я решил дополнительной строчкой в resolv.conf


    1. heathen
      21.10.2016 22:56
      #9872492
      +1

      Когда у меня не открылся hex.pm, я удивился, но не придал большого значения — мало ли. Но вот когда не открылся github — начал искать причину. Оказалось, что проблема глобальная. Решил рассказать. Пока рассказывал — github починился :-D


      1. KorDen32
        21.10.2016 23:06
        #9872508
        +1

        Он сегодня еще днем лагал напару с амазоном, потом вроде починили, получше стало. А под вечер опять.


      1. Wedmer
        21.10.2016 23:07
        #9872512

        У меня гораздо раньше начались проблемы, но они проявились на серверах в Канаде, поэтому я просто быстро проверил, кто все еще резолвит имена как надо и добавил их куда надо. Так то на работе у нас свой DNS, который тянет с гугла, яндекса и еще кое откуда. Поэтому проблемы вообще не было видно, и я подумал что она носит локальный характер.
        Ошибся я, конечно, но работа не встала)


  1. KorDen32
    21.10.2016 22:54
    #9872488
    +1

    Замечу, яндексовские DNS'ы отдавали IP (из кеша?), гугловские и все прочие, что проверял (включая собственный) валились в таймаут.


    1. YaakovTooth
      22.10.2016 03:01
      #9872752

      Ага, а потом и там экспайры протухли.


  1. KorDen32
    21.10.2016 23:07
    #9872514
    +1

    Из массового еще вроде у Sony консоли подлагивают, т.к. часть доменов PSN в аналогичной ситуации. У некоторых не получается войти в аккаунт, у других обновления не качаются, всякий раз выдаются странные ошибки.


    1. heathen
      21.10.2016 23:10
      #9872516

      Да, корни отсюда же. Список пострадавших, на самом деле, значительно больше, я поленился писать всех, упоминания о ком нашёл. Да и смысл?


      1. kamtec1
        21.10.2016 23:16
        #9872524
        +1

        Вот тут есть список
        http://downdetector.com/archive/


  1. PerlPower
    21.10.2016 23:30
    #9872540
    +1

    Спасибо, мистер Мейлец!


  1. dmitry_dvm
    22.10.2016 00:02
    #9872594
    +6

    Хм, интересно. Понадобился гитхаб — не открывается. Попробовал хабру, гугл ии еще парочку — вроде работает инет. Думаю, неужели гитхаб лег? Подумал, где можно оперативно почитать новости, вспомнил про твиттер. Пошел на него — тоже не открывается. Ну, думаю, оба-то они не могли вместе лечь, проблема точно у меня. А вон оно как.


    1. Barafu
      22.10.2016 01:26
      #9872696
      +1

      Я по этой же логике полгода бился головой об ошибку в компиляторе.


      1. TheKnight
        22.10.2016 07:23
        #9872804
        +6

        Любопытства ради — что за язык, и что за ошибка?


        1. eee
          25.10.2016 11:12
          #9876460

          Предполагаю Go


        1. Barafu
          27.10.2016 01:45
          #9879680

          Ой, это уже ненужные вещи. Проприетарная адаптация gcc 2 под проприетарный чип.
          Ошибку я тоже не изучал детально. Если malloc упирался в предел разрешённой ему памяти, то не всегда выдавал ошибку, а иногда возвращал указатель, словно так и надо. Попытки работать с выданным массивом приводили, увы, не к сегфолту, а к порче глобальных переменных. Что там с чем соединялось — не знаю, не вникал.


  1. NeoCode
    22.10.2016 00:21
    #9872612

    Интересно что с этим можно сделать на архитектурном уровне. Возможна ли архитектура интернета, устойчивая в DDoS атакам? Что нибудь децентрализованное?


    1. Vilgelm
      22.10.2016 00:41
      #9872654
      -1

      Существуют децентрализованные DNS на основе блокчейна, например EmerCoin.


    1. Melanxolik
      22.10.2016 00:49
      #9872668

      Хм, а она сейчас не децентрализована?
      Из этой атаки видно что ДНС пока самое слабое место, можно раскидывать ns по разным доменам верхнего уровня… но кто такое практикует…


      1. Fly3110
        22.10.2016 02:41
        #9872742

        Амазон :)


        1. f0rk
          22.10.2016 23:19
          #9873466

          У Амазона вчера как минимум некоторые бакеты в s3 не резолвились.


        1. Rockafella
          25.10.2016 11:12
          #9876458

          Амазон вчера тоже не особо пробивался. По крайней мере, в регионе eu-west-1.


  1. heathen
    22.10.2016 00:50
    #9872670

    Опубликовал UPD1. Пора бы спать, но тут такие события развиваются, эскалация вовлечённых служб на глазах происходит.


    1. MagisterLudi
      22.10.2016 00:57
      #9872678

      А где следить за развитием событий?


      1. heathen
        22.10.2016 01:14
        #9872690

        В Гугле, конечно :)


        1. kamtec1
          22.10.2016 01:25
          #9872694

          Сейчас в фейсбуке написано что вес PSN упал… так что даже в игрушку поиграть не дадут…
          https://status.playstation.com/en-GB/


          Думаю что даже следить не надо. Это так скоро не закончиться.


          1. kamtec1
            22.10.2016 01:31
            #9872700

            image
            image


          1. Ladence
            25.10.2016 11:11
            #9876454

            До сих пор не работает гитхаб, через tor все нормально работает, но как теперь работать с git?

            Может подскажет кто, как обойти проблему?


            1. heathen
              25.10.2016 11:12
              #9876456

              Очень странно, они ещё 21 переехали на другую DNS-площадку. Должно работать.


  1. heathen
    22.10.2016 01:35
    #9872704
    +1

    Wired опубликовал интересную статью на эту тему. Переводить её бессмысленно, там более подробно написано то, что я уже описал, но может быть кому-то интересно. Кстати, из любопытных подробностей — уже куча народа считает, что немалая «заслуга» в выложенном недавно в публичный доступ софте для создания ботнета Mirai, как раз таки специализирующемся на IoT. Этот софт сканирует Интернет и пытается заразить устройства, получив к ним доступ с дефолтными либо жёстко заданными производителями устройств реквизитами.

    Между прочим, вот тут говорят, что в прошлом месяце с помощью этого ботнета была организована крупнейшая в истории DDoS атака со зловредным трафиком в 665 Гигабит/сек (!!!). Похоже, в этот раз трафик посерьёзнее будет.


  1. neopug
    22.10.2016 04:07
    #9872764
    +1

    Мне один ушлый канадский провайдер прислал сообщение следующего содержания:

    10/21/2016 02:03 PM
    Well, it appears AWS is down.
    How about 60% off everything on our site while AWS is down?
    Coupon Code: AWSISDOWN
    NOTE: Once AWS is back up 100% we will disable this coupon.
    Thanks for your continued business.

    Зашел на AWS и получил пятихатку. Не могу утверждать, связано ли это на прямую с ddos на них, но завалилось что-то наверняка. Буквально через 15 минут все вернулось на круги своя. Может и раньше — не добавлял им эффекта своими рефрешами :-)


    1. ProRunner
      22.10.2016 08:49
      #9872824

      Ушлый канадский провайдер частенько шлет 80% купоны, так что так себе скидочка)


      1. istui
        22.10.2016 11:18
        #9872908

        а что за провайдер? (можно в личку)


        1. ProRunner
          22.10.2016 11:37
          #9872928
          +1

          Cloud At Cost


      1. TrueBers
        22.10.2016 12:49
        #9873024
        +1

        ProRunner и neopug, а подскажите, если есть опыт использования данного ушлого провайдера? Не падает ли, не сильно ли оверселлит, насколько честные ресурсы даёт и т.п.
        Есть ли вообще поддержка за такую стоимость?

        Мне так-то, чисто личных проектов, впн поднять там, редмайны всякие, энджинксы.


        1. istui
          22.10.2016 14:04
          #9873066

          ну и про latency тоже было б интересно услышать


        1. ProRunner
          22.10.2016 19:36
          #9873258

          Честно — даже не отвечу. Когда-то купил на год, поигрался и забыл. Но, судя по тому, что они предлагают серверы в «вечное пользование» за одновременный платеж, по-моему трудно на что-то серьезное надеяться.


        1. soar
          22.10.2016 20:41
          #9873310

          Для личных — может быть. Но уж точно для серьезных проектов они никак не подходят.

          Купил года два назад у них пару серверов без абонплаты, начал пользоваться и понял, что запускать там ничего нельзя. Сейчас заглянул в консоль — ничего не изменилось: https://yadi.sk/i/CtK0i76PxPZD5


          1. istui
            23.10.2016 13:51
            #9873718

            Ну да, я уже убедился что дешевле ~$20 в год ничего нормального+быстрого нету. В диапазоне $10-$20 изредка попадаются интересные предложения, но там мало либо диска, либо ОЗУ, либо это действительно сезонное предложение.


        1. neopug
          22.10.2016 21:12
          #9873376

          Я его для VPN и держу, в принципе, раньше нетфликс через него гонял, сейчас пинговалку сделал. Жалоб за $6 в год нет…


          1. istui
            23.10.2016 13:51
            #9873720

            так в год или насовсем?


            1. Wedmer
              23.10.2016 15:03
              #9873774

              Так доменное имя что то стоит.


            1. TrueBers
              23.10.2016 16:36
              #9873860

              Насовсем минимальная конфигурация сейчас $10 стоит.


        1. Erelecano
          23.10.2016 21:39
          #9874070
          +1

          Для ВПНа их хватает. Вот редмайн на минималке у них точно поднимать не стоит, ибо редмайн захочет базу, база захочет с диском работать, а диск там узкое место.
          Имею их минималку, решил, что $10 не жалко за «пожизненную» виртуалку. Трафик через них гонять нормально.


  1. tgz
    22.10.2016 09:28
    #9872830
    +2

    И никто ничего в этих самых IoT фиксить не будет. Так что дидосить можно круглосуточно, без перерыва на обед.


    1. Barafu
      22.10.2016 11:45
      #9872938
      +4

      Скоро будет война троянов, когда следующая бяка сначала удаляет из твоего утюга предыдущую.


      1. istui
        22.10.2016 14:06
        #9873070
        +1

        а вообще сейчас самое время принять стандарт на iot, в котором первым приоритетом сделать безопасность и возможность автообновления прошивки. И распиарить этот стандарт, чтобы люди без соответствующей наклейки и не думали ничего покупать :)


        1. Mystray
          25.10.2016 11:10
          #9876446

          Актуальная проблема не в том, есть или нет автообновление прошивки, а в том, что производители в принципе не хотят и не будут поддерживать прошивки в актуальном состоянии на весь свой зоопарк выпущенных устройств десятилетиями.
          Пользователи и сейчас успешно могут зайти на устройство и нажать две кнопки (или найти того, кто сможет) по пинку от своего интернет-провайдера (из своего опыта, при чем намеки в письме что это «в связи с вашими действиями/бездействием причиняются убытки» сильно помогают). Но толку с того, если веб-камера выпущена в 2005 году, уже 6 лет EOL и сменилось 5 поколений камер у этого вендора? Себе в убыток содержать штат инженегров для патчинга старья вендор не будет.

          P.S. авторы ботнетов, пожалуй, будут первыми, кто воспользуется стандартизированным интерфейсом заливания себя в устройства :)


          1. istui
            25.10.2016 21:57
            #9877642

            Цифровая подпись, как у Apple. Да, зло, но иначе прошивку обновят и без вас. При этом через условный локальный JTAG/UART все же надо оставить возможность прошивать устройство без подписей, чтобы не получался vendor-lock.


      1. tigr72
        25.10.2016 11:11
        #9876450

        Главное что бы в пылу атаки не начали утюгом отмахиваться…


  1. Biggo
    22.10.2016 09:43
    #9872838

    А я вчера гадал, почему indiegogo не работает.


  1. ALexhha
    22.10.2016 12:30
    #9873002

    $ host -t ns github.com
github.com name server ns-1283.awsdns-32.org.
github.com name server ns-1707.awsdns-21.co.uk.
github.com name server ns-421.awsdns-52.com.
github.com name server ns-520.awsdns-01.net.


    это github переехал на aws во время этой атаки? Или как атака на инфраструктуру Dyn могла задеть github?


    1. encyclopedist
      23.10.2016 17:02
      #9873888

      Да, они переехали.


      October 21, 2016
      22:35 CEST
      We have migrated to an unaffected DNS provider. Some users may experience problems with cached results as the change propagates.

      отсюда


  1. handicraftsman
    22.10.2016 13:49
    #9873056

    Это явно не обычные машины. Скорее всего, тут замешан тот-же план, что и с «Crebs on Security» — взлом малозащищённого интернета вещей.


  1. WFrag
    22.10.2016 20:37
    #9873304
    +7

    Смотрим host -t на pornhub.com, youporn.com и redtube.com.
    Смотрим host -t на twitter.com, github.com и reddit.com

    Видно, где серьёзный бизнес, а кто так, постоять рядом.


  1. timelle
    25.10.2016 11:11
    #9876452

    Предполагаю, скоро дойдет дело до того, что в корпорациях заведутся секретные карательные отряды, которые будут находить и физически выпиливать участников хакерских группировок. Не просто так, а за подобные вещи. То волной из-под пальмы кого-то смоет, то из отеля кто-то выпадет. Прямо как в Deus Ex. Сто процентов же не просто так атакуют. Или инфу хотят получить или денег отжать. Может даже уже выкатывали свои требования, мол, кошелек или жизнь. Прямо пираты 21-го века.