Массовый DDoS на инфраструктуру DNS-провайдера Dyn.com привёл к недоступности сайтов Twitter, Github, Heroku и прочих

    Массовая DDoS атака на инфраструктуру крупного провайдера сетевых сервисов Dyn, происходящая в настоящий момент, привела к недоступности множества популярных ресурсов, использующих DNS-сервисы компании. В число пострадавших входят такие известные организации как Github, Twitter, eBay, New York Times, Etsy, SoundCloud, Spotify, Heroku, Shopify, PayPal и множество других.

    Согласно заявлению компании Dyn, атака на DNS-инфраструктуру началась 21 октября 2016 года в 11:10 UTC (14:10 по московскому времени). В 13:20 UTC работоспособность была восстановлена. Однако уже в 15:52 UTC началась вторая волна, отразить которую их инженеры не могут до сих пор.

    Последняя информация от 21:43 UTC

    Буквально несколько минут назад публичные DNS Google не имели информации об IP адресах github.com, однако в процессе написания этой статьи она появилась. IP-адреса доменов twitter.com, soundcloud.com, heroku.com, quora.com, box.com до сих пор недоступны.

    Источник атаки на текущий момент остаётся неизвестен, однако, учитывая срок, в течение которого не может с ней справиться один из крупнейших сервис-провайдеров, можно только поражаться количеству ресурсов, доступных атакующим.

    UPD1: Тем временем, события развиваются. Компания сообщила телеканалу CNBC, что до неё дошла третья волна атаки. Любопытная деталь: по словам представителей компании, один из источников атаки — «интернет вещей» (Internet of Things). Так же они сообщают, что атака производится с помощью устройств, заражённых вредоносным кодом, появившимся в последние недели. По-прежнему неизвестно, кто стоит за этой атакой. Злоумышленники молчат. «Всё, что они делают — это перемещаются с каждой атакой по миру», — заявил Кайл Йорк (Kyle York), директор по стратегическим вопросам компании Dyn.

    Министерство национальной безопасности США заявило, что «расследует все возможные причины» атаки. Официальные представители разведки США заявили, что исключили Северную Корею из списка подозреваемых.

    Атака «хорошо спланирована и реализована, и происходит одновременно с десятков миллионов адресов», — сообщили каналу CNBC в компании.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 58
    • +6
      Пушу, не пушиться, пушу не пушиться…
      Уф… А уж подумал, НАЧАЛОСЬ!!1
      • +10

        Постепенно подымаются сайты. Этот DDOS точно зайдёт в истории интернета. Чтоб PAYPAL и twitter лежали часами...

        • +32
          Никогда такого не было и вот опять.
        • +1
          Кстати, на тот момент пока github отсутсвовал в google public DNS, у некоторых других он присутствовал. Поэтому проблему недоступности я решил дополнительной строчкой в resolv.conf
          • +1
            Когда у меня не открылся hex.pm, я удивился, но не придал большого значения — мало ли. Но вот когда не открылся github — начал искать причину. Оказалось, что проблема глобальная. Решил рассказать. Пока рассказывал — github починился :-D
            • +1

              Он сегодня еще днем лагал напару с амазоном, потом вроде починили, получше стало. А под вечер опять.

              • 0
                У меня гораздо раньше начались проблемы, но они проявились на серверах в Канаде, поэтому я просто быстро проверил, кто все еще резолвит имена как надо и добавил их куда надо. Так то на работе у нас свой DNS, который тянет с гугла, яндекса и еще кое откуда. Поэтому проблемы вообще не было видно, и я подумал что она носит локальный характер.
                Ошибся я, конечно, но работа не встала)
            • +1

              Замечу, яндексовские DNS'ы отдавали IP (из кеша?), гугловские и все прочие, что проверял (включая собственный) валились в таймаут.

              • 0
                Ага, а потом и там экспайры протухли.
              • +1

                Из массового еще вроде у Sony консоли подлагивают, т.к. часть доменов PSN в аналогичной ситуации. У некоторых не получается войти в аккаунт, у других обновления не качаются, всякий раз выдаются странные ошибки.

                • 0
                  Да, корни отсюда же. Список пострадавших, на самом деле, значительно больше, я поленился писать всех, упоминания о ком нашёл. Да и смысл?
              • +1
                Спасибо, мистер Мейлец!
                • +6
                  Хм, интересно. Понадобился гитхаб — не открывается. Попробовал хабру, гугл ии еще парочку — вроде работает инет. Думаю, неужели гитхаб лег? Подумал, где можно оперативно почитать новости, вспомнил про твиттер. Пошел на него — тоже не открывается. Ну, думаю, оба-то они не могли вместе лечь, проблема точно у меня. А вон оно как.
                  • +1

                    Я по этой же логике полгода бился головой об ошибку в компиляторе.

                    • +6
                      Любопытства ради — что за язык, и что за ошибка?
                      • 0
                        Предполагаю Go
                        • 0

                          Ой, это уже ненужные вещи. Проприетарная адаптация gcc 2 под проприетарный чип.
                          Ошибку я тоже не изучал детально. Если malloc упирался в предел разрешённой ему памяти, то не всегда выдавал ошибку, а иногда возвращал указатель, словно так и надо. Попытки работать с выданным массивом приводили, увы, не к сегфолту, а к порче глобальных переменных. Что там с чем соединялось — не знаю, не вникал.

                    • 0
                      Интересно что с этим можно сделать на архитектурном уровне. Возможна ли архитектура интернета, устойчивая в DDoS атакам? Что нибудь децентрализованное?
                      • –1
                        Существуют децентрализованные DNS на основе блокчейна, например EmerCoin.
                        • 0
                          Хм, а она сейчас не децентрализована?
                          Из этой атаки видно что ДНС пока самое слабое место, можно раскидывать ns по разным доменам верхнего уровня… но кто такое практикует…
                          • 0
                            Амазон :)
                            • 0
                              У Амазона вчера как минимум некоторые бакеты в s3 не резолвились.
                              • 0
                                Амазон вчера тоже не особо пробивался. По крайней мере, в регионе eu-west-1.
                          • 0
                            Опубликовал UPD1. Пора бы спать, но тут такие события развиваются, эскалация вовлечённых служб на глазах происходит.
                            • 0
                              А где следить за развитием событий?
                              • 0
                                В Гугле, конечно :)
                                • 0

                                  Сейчас в фейсбуке написано что вес PSN упал… так что даже в игрушку поиграть не дадут…
                                  https://status.playstation.com/en-GB/


                                  Думаю что даже следить не надо. Это так скоро не закончиться.

                                  • 0

                                    image
                                    image

                                    • 0
                                      До сих пор не работает гитхаб, через tor все нормально работает, но как теперь работать с git?

                                      Может подскажет кто, как обойти проблему?
                                      • 0
                                        Очень странно, они ещё 21 переехали на другую DNS-площадку. Должно работать.
                              • +1
                                Wired опубликовал интересную статью на эту тему. Переводить её бессмысленно, там более подробно написано то, что я уже описал, но может быть кому-то интересно. Кстати, из любопытных подробностей — уже куча народа считает, что немалая «заслуга» в выложенном недавно в публичный доступ софте для создания ботнета Mirai, как раз таки специализирующемся на IoT. Этот софт сканирует Интернет и пытается заразить устройства, получив к ним доступ с дефолтными либо жёстко заданными производителями устройств реквизитами.

                                Между прочим, вот тут говорят, что в прошлом месяце с помощью этого ботнета была организована крупнейшая в истории DDoS атака со зловредным трафиком в 665 Гигабит/сек (!!!). Похоже, в этот раз трафик посерьёзнее будет.
                                • +1
                                  Мне один ушлый канадский провайдер прислал сообщение следующего содержания:

                                  10/21/2016 02:03 PM
                                  Well, it appears AWS is down.
                                  How about 60% off everything on our site while AWS is down?
                                  Coupon Code: AWSISDOWN
                                  NOTE: Once AWS is back up 100% we will disable this coupon.
                                  Thanks for your continued business.

                                  Зашел на AWS и получил пятихатку. Не могу утверждать, связано ли это на прямую с ddos на них, но завалилось что-то наверняка. Буквально через 15 минут все вернулось на круги своя. Может и раньше — не добавлял им эффекта своими рефрешами :-)
                                  • 0
                                    Ушлый канадский провайдер частенько шлет 80% купоны, так что так себе скидочка)
                                    • 0
                                      а что за провайдер? (можно в личку)
                                    • +1
                                      ProRunner и neopug, а подскажите, если есть опыт использования данного ушлого провайдера? Не падает ли, не сильно ли оверселлит, насколько честные ресурсы даёт и т.п.
                                      Есть ли вообще поддержка за такую стоимость?

                                      Мне так-то, чисто личных проектов, впн поднять там, редмайны всякие, энджинксы.
                                      • 0
                                        ну и про latency тоже было б интересно услышать
                                        • 0
                                          Честно — даже не отвечу. Когда-то купил на год, поигрался и забыл. Но, судя по тому, что они предлагают серверы в «вечное пользование» за одновременный платеж, по-моему трудно на что-то серьезное надеяться.
                                          • 0
                                            Для личных — может быть. Но уж точно для серьезных проектов они никак не подходят.

                                            Купил года два назад у них пару серверов без абонплаты, начал пользоваться и понял, что запускать там ничего нельзя. Сейчас заглянул в консоль — ничего не изменилось: https://yadi.sk/i/CtK0i76PxPZD5
                                            • 0
                                              Ну да, я уже убедился что дешевле ~$20 в год ничего нормального+быстрого нету. В диапазоне $10-$20 изредка попадаются интересные предложения, но там мало либо диска, либо ОЗУ, либо это действительно сезонное предложение.
                                            • 0
                                              Я его для VPN и держу, в принципе, раньше нетфликс через него гонял, сейчас пинговалку сделал. Жалоб за $6 в год нет…
                                              • 0
                                                так в год или насовсем?
                                                • 0
                                                  Так доменное имя что то стоит.
                                                  • 0
                                                    Насовсем минимальная конфигурация сейчас $10 стоит.
                                                • +1
                                                  Для ВПНа их хватает. Вот редмайн на минималке у них точно поднимать не стоит, ибо редмайн захочет базу, база захочет с диском работать, а диск там узкое место.
                                                  Имею их минималку, решил, что $10 не жалко за «пожизненную» виртуалку. Трафик через них гонять нормально.
                                            • +2
                                              И никто ничего в этих самых IoT фиксить не будет. Так что дидосить можно круглосуточно, без перерыва на обед.
                                              • +4

                                                Скоро будет война троянов, когда следующая бяка сначала удаляет из твоего утюга предыдущую.

                                                • +1
                                                  а вообще сейчас самое время принять стандарт на iot, в котором первым приоритетом сделать безопасность и возможность автообновления прошивки. И распиарить этот стандарт, чтобы люди без соответствующей наклейки и не думали ничего покупать :)
                                                  • 0
                                                    Актуальная проблема не в том, есть или нет автообновление прошивки, а в том, что производители в принципе не хотят и не будут поддерживать прошивки в актуальном состоянии на весь свой зоопарк выпущенных устройств десятилетиями.
                                                    Пользователи и сейчас успешно могут зайти на устройство и нажать две кнопки (или найти того, кто сможет) по пинку от своего интернет-провайдера (из своего опыта, при чем намеки в письме что это «в связи с вашими действиями/бездействием причиняются убытки» сильно помогают). Но толку с того, если веб-камера выпущена в 2005 году, уже 6 лет EOL и сменилось 5 поколений камер у этого вендора? Себе в убыток содержать штат инженегров для патчинга старья вендор не будет.

                                                    P.S. авторы ботнетов, пожалуй, будут первыми, кто воспользуется стандартизированным интерфейсом заливания себя в устройства :)
                                                    • 0
                                                      Цифровая подпись, как у Apple. Да, зло, но иначе прошивку обновят и без вас. При этом через условный локальный JTAG/UART все же надо оставить возможность прошивать устройство без подписей, чтобы не получался vendor-lock.
                                                  • 0
                                                    Главное что бы в пылу атаки не начали утюгом отмахиваться…
                                                • 0
                                                  А я вчера гадал, почему indiegogo не работает.
                                                  • 0
                                                    $ host -t ns github.com
                                                    github.com name server ns-1283.awsdns-32.org.
                                                    github.com name server ns-1707.awsdns-21.co.uk.
                                                    github.com name server ns-421.awsdns-52.com.
                                                    github.com name server ns-520.awsdns-01.net.
                                                    


                                                    это github переехал на aws во время этой атаки? Или как атака на инфраструктуру Dyn могла задеть github?
                                                    • 0

                                                      Да, они переехали.


                                                      October 21, 2016
                                                      22:35 CEST
                                                      We have migrated to an unaffected DNS provider. Some users may experience problems with cached results as the change propagates.

                                                      отсюда

                                                    • 0
                                                      Это явно не обычные машины. Скорее всего, тут замешан тот-же план, что и с «Crebs on Security» — взлом малозащищённого интернета вещей.
                                                      • +7
                                                        Смотрим host -t на pornhub.com, youporn.com и redtube.com.
                                                        Смотрим host -t на twitter.com, github.com и reddit.com

                                                        Видно, где серьёзный бизнес, а кто так, постоять рядом.
                                                        • 0
                                                          Предполагаю, скоро дойдет дело до того, что в корпорациях заведутся секретные карательные отряды, которые будут находить и физически выпиливать участников хакерских группировок. Не просто так, а за подобные вещи. То волной из-под пальмы кого-то смоет, то из отеля кто-то выпадет. Прямо как в Deus Ex. Сто процентов же не просто так атакуют. Или инфу хотят получить или денег отжать. Может даже уже выкатывали свои требования, мол, кошелек или жизнь. Прямо пираты 21-го века.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.