Популярные сайты все еще уязвимы для массовой DDoS-атаки

[Revertis]

Так ведь CDN'ы как раз и требуют переводить управление доменами на них, чтобы они могли CNAME'ы всякие прописывать, то есть для защиты от DDoS (ну и экономии трафика и CPU сервера). Но при этом становятся бутылочным горлышком на уровне DNS :)

[apkotelnikov]

«Считается, что атака была организована достаточно хитроумно, через ботнет MIrai, который включал в себя множество устройств «интернета вещей» — чайников, кофеварок, телевизоров и так далее.» Сам Mirai ещё возможно подходит под эпитет «хитро умный» атака же из этого ботнета не может похвастаться тем ввиду ограниченности «вычислительной мощности» участников. Сформировать один пакетик и повторять его так быстро как сможем (1.5-2 мегабита с устройства), это про Mirai. Да и кофеварки и телевизоры в нем не очень то замечены. Open WRT камеры, домашние роутеры и так далее вот составляющие этого ботнета. Что касается объёмов атаки 1.2 терабита надо где то «увидеть» сам по себе dyn не пострадал во время той атаки, пострадала канальная часть провайдеров. Я уж не говорю о том, что фактически не было там 1.2 и даже упоминающихся в некоторых источниках 600 гигабит. Особенно учитывая что эти цифры были получены не от инлайн сенсоров, а из NetFlow где все решения не имеют одной нужной вещи — возможности дедупликации. В результате один флоу прошедшей по сети оператора и «удачно» попавший в интерфейсы с настроенным flow export, будет защитан по полосе как произведение реальной полосы на количество «попаданий». Ну а принцип «не можешь завалить ресурс, завали его dns» стар, как мир.