Pro lepší představu – takové množství odpovídá přibližně 9 350 celovečerním HD filmům, nebo více než 7 400 hodinám videa ve vysokém rozlišení. Jinými slovy – v řádu několika sekund proudil na jedinou IP adresu objem dat, který by běžnému uživateli zabral týdny nebo měsíce přenést.

V tomto konkrétním případě útok směřoval na IP adresu jednoho nejmenovaného poskytovatele hostingu. Podle společnosti Cloudflare, která útok detekovala a odrazila, proudilo na server 7,3 terabitu za sekundu. Navíc se útok zaměřil na téměř 22 000 různých portů této IP adresy, což situaci ještě více komplikovalo.

Hlavní zbraň: UDP pakety

Útok byl postaven především na UDP paketech. Tento typ datového přenosu je méně spolehlivý než běžnější TCP, protože nevyžaduje potvrzení o přijetí. To útočníkům umožňuje doslova "zaplácat" server, který nestíhá reagovat.

UDP pakety tvořily 99,996 % celého útoku. Zbytek (asi 0,004 %) byl tvořen složitějšími technikami – reflektivními a amplifikačními útoky. Ty využívají různé servery na internetu k tomu, aby „odrážely“ data zpět na cíl a tím násobily účinek.

Útočníci se navíc nebáli využít ani starší diagnostické nástroje, původně určené k testování sítí. Při masivním použití mohou být i tyto nástroje zneužity ke zpomalení infrastruktury.

Botnet tvořený běžnými zařízeními

Zní to možná jako dílo sofistikované hackerské skupiny, ale realita je prozaická – útok provedla známá síť botů.

Botnet tvoří běžná internetová zařízení, například chytré televize, domácí routery nebo IP kamery, která byla infikována malwarem. Mnoho uživatelů přitom vůbec netuší, že jejich zařízení bylo napadeno a využito k útoku.

Malware se do těchto zařízení šíří hlavně pomocí phishingových e-mailů, škodlivých souborů nebo díky neaktualizovanému a zranitelnému firmwaru.

Odkud útok přišel?

Podle analýzy Cloudflare pocházel útok z více než 161 zemí.

Největší část provozu, téměř polovina, pocházela z Brazílie a Vietnamu. Významné objemy dat však proudily také z Tchaj-wanu, Číny, Indonésie, Ukrajiny, Ekvádoru, Thajska, USA a Saúdské Arábie.

Vrchol útoku dosáhl neuvěřitelných 45 097 unikátních IP adres za sekundu, přičemž průměr během celého útoku činil 26 855 IP adres za sekundu.

Zdroj: Shutterstock

Jak se podařilo útok odrazit?

Cloudflare použila několik osvědčených obranných metod.

Nejprve došlo k rozložení útoku na více datových center, což umožnilo přesměrovat provoz na servery co nejblíže k místům, odkud útok přicházel.

Dalším krokem byla rychlá detekce otisků paketů – bezpečnostní systém dokázal během několika milisekund rozpoznat, které pakety patří k útoku, a ty pak okamžitě filtroval, aniž by ovlivnil legitimní provoz.

Díky těmto opatřením se podařilo útok zcela eliminovat. Napadená služba ve finále nezaznamenala žádný výpadek.