В нашей истории объект атаки и задачи тоже были вполне серьёзными. Считается, что повод для крупнейшей DDoS всех времён и народов подала годовалая склока между некоммерческой организацией Spamhaus и голландским провайдером-либералистом Cyberbunker. Первая занимается составлением «чёрных списков» спамерских IP-адресов: фильтруя, к примеру, почту, приходящую от узлов из такого списка, можно уменьшить количество спама в своём ящике — и списки Spamhaus защищают сегодня свыше 1,7 млрд. почтовых ящиков по всему миру. Напротив, Cyberbunker, квартирующая в подземном убежище, выстроенном пятьдесят лет назад на случай атомной войны, предоставляет хостинг под любые проекты, за исключением детской порнографии и терроризма (именно там одно время размещались The Pirate Bay и WikiLeaks). И, конечно, не брезгует спамерами. Вот уже полтора года тянется вялотекущая война между сторонами, но нынче весной она переросла в активные боевые действия. В ответ на очередную «дерзость» Spamhaus (она методично блокирует IP-адреса оппонента) представитель Cyberbunker прозрачно намекнул, что их терпение иссякло («не вам решать, что можно делать в Сети, а чего нельзя!»). После чего, якобы, компания заручилась поддержкой чёрных хакеров из Восточной Европы и нанесла удар.

Атака, начавшаяся 18 марта, была и обычной, и новаторской одновременно. Серверы Spamhaus (а днями позже и компаний, ей помогавших) стали заливать избыточными объёмами трафика — однако трафик порождали оригинальным способом, известным как DNS-отражение или DNS-усиление. Идея проста, как всё гениальное: открытому для запросов со стороны DNS-серверу (активисты, ратующие за уничтожение таких серверов, насчитывают их свыше 20 миллионов по всему миру, см. The Open DNS Resolver Project) направляется кратенькая просьба, предполагающая сравнительно длинный ответ (в 60-100 раз длиннее). Но обратный IP-адрес в заявке подделывается: вместо него вписывается IP жертвы. В результате DNS-сервер отправляет ответ по указанному адресу — и жертве, хоть она ничего и не запрашивала, волей-неволей приходится полученные данные обрабатывать.

А теперь представьте, что запрос отправляется не одному DNS-серверу, а сотне, тысяче одновременно. В руках атакующего оказывается невероятно длинный рычаг, которым он и прижимает жертву. Лаборатория Касперского сравнила происходящее с попыткой завалить почтой одного получателя, когда отправленные ему тонны корреспонденции выводят из строя целое почтовое отделение. А в компании CloudFlare, которую Spamhaus наняла для отражения атаки, происходившее сравнили со взрывом атомной бомбы: маленькое по габаритам устройство легко причиняет гигантский ущерб. И «цепную реакцию» DNS-усиления точно так же трудно остановить, если она запущена: DNS-серверы нельзя отключить, потому что они нужны миллионам рядовых сетян, а отыскать организаторов атаки сложно, потому что DNS-запросы отправляются не ими лично, а нанятой бот-сетью.

В пике поток данных, обрушивающихся на Spamhaus, достигал 300 гигабит в секунду. Чтобы оценить эту цифру, вспомните, например, что крупнейшая атака на американские банки в конце прошлого года едва превышала 60 Гбит/сек, а взятая наугад рядовая DDoS в 2012-м измерялась всего единицами гигабит. Давление со стороны атакующих было так велико, что хоть расследованием по горячим следам занялись пять киберполицейских подразделений из разных стран, их имена не разглашались — из опасения, что ударят и по ним. Госучреждения вообще, как правило, обладают слабенькой ИТ-инфраструктурой, которая валится после первого тычка: это впервые показали ещё теракты 11 сентября 2001 года и с тех пор регулярно подтверждается в периоды стихийных бедствий (см. «ИТ и ураган Ирина»).