Στόχος της μεγαλύτερης DDoS επίθεσης το GitHub, με traffic 1,35Tbps

[nnn]

Το GitHub την Τετάρτη, έγινε στόχος της μεγαλύτερης ως τώρα επίθεσης DDoS, με την κίνηση προς αυτό να φτάνει τα 1.35 terabits per second, η οποία πραγματοποιήθηκε χωρίς την χρήση botnet, αλλά με την όλο και πιο δημοφιλή μέθοδο του memcached DDoS attack.

memcached DDoS attacks don't require a malware-driven botnet. Attackers simply spoof the IP address of their victim, send small queries to multiple memcached servers—about 10 per second per server—that are designed to elicit a much larger response. The memcached systems then return 50 times the data of the requests back to the victim.

Known as an amplification attack, this type of DDoS has shown up before. But as internet service and infrastructure providers have seen memcached DDoS attacks ramp up over the last week or so, they've moved swiftly to implement defenses to block traffic coming from memcached servers.

Το δημοφιλές developer portal, "άντεξε" 10 λεπτά με outages λόγω της επίθεσης, πριν στραφεί για βοήθεια στην υπηρεσία αντιμετώπισης επιθέσεων DDoS, Akamai Prolexic, η οποία ανέλαβε το routing και το φιλτράρισμα της κίνησης, απορρίπτοντας τα κακόβουλα requests. Μετά από 8 λεπτά οι επιτιθέμενοι σταμάτησαν την επίθεση τους.

Σύμφωνα με τους υπεύθυνους της Akamai, τα συστήματα τους είναι σχεδιασμένα να αντέχουν σε κίνηση ίση με 5 φορές την μεγαλύτερη καταγεγραμμένη επίθεση.

Πηγή : Wired

[deniSun]

Με το GitHub τι ζόρι τραβάνε;
Εκτός και αν το κάνουν από θέμα επίδειξης.

[alexandros]

Με το GitHub τι ζόρι τραβάνε;
Εκτός και αν το κάνουν από θέμα επίδειξης.

Ελα ντε!

[Mirmidon]

Και γιατί δεν κλείσανε εξ αρχής το UPD να τελειώνουν;

[Cha0s]

...δημοφιλή μέθοδο του memcached DDoS attach.

Διορθώστε το γιατί βγάζει μάτι! :P

Με το GitHub τι ζόρι τραβάνε;

Ίσως να σβήσανε το project κάποιου και είπε να πληρώσει για 8 λεπτά κάποιο botnet Ρώσου για να το ρίξει για να τους εκδικηθεί

Γενικά τις τελευταίες μέρες γίνονται παντού DDoS attacks λόγω αυτού του νέου vector και υπάρχει γενικότερη αστάθεια στο Internet. Υπήρξαν προβλήματα και στην Ελλάδα, πχ με την Forthnet να δέχεται attacks πάνω από 20Gbit (σεβαστό νούμερο για τα Ελληνικά δεδομένα).
Ή προβλήματα σε διεθνή carrier backbones να έχουν μέχρι και διπλάσιο latency και αρκετό packet loss για ώρες.

Το κακό με την χρήση του memcached για amplification είναι ότι με ελάχιστα bytes ανά request το reply μπορεί να είναι υπερβολικά τεράστιο (συγκριτικά με άλλα vectors όπως DNS, NTP, LDAP, etc) επιτυγχάνοντας έτσι νέα DDoS records.

Σχετικό blog post της CloudFlare επί του θέματος: https://blog.cloudflare.com/memcrash...om-port-11211/ για όσους θέλουν να μάθουν περισσότερες πληροφορίες.


Ουσιαστικά το πρόβλημα με τα amplification attacks δεν είναι ότι υπάρχουν χύμα memcached (ή dns, ntp, ldap, etc) ανοιχτά στο internet ή το implementation των πρωτοκόλλων τους, αλλά το ότι υπάρχουν BGP AS στο internet τα οποία επιτρέπουν να στείλουν πακέτα με spoofed source IPs δίνοντας έτσι την δυνατότητα σε κάποιον κακόβουλο χρήστη να αξιοποιήσει τους τόνους από ανοιχτά memcached στο internet για να κάνει επιθέσεις όπου θέλει.
Αν κοπούν αυτά τα AS από το internet (ή εφαρμόσουν το BCP38) τότε θα σταματήσουν όλα αυτά τα DDoS. Χωρίς spoofing δεν δουλεύουν τα amplification attacks.

Το πρόβλημα είναι πως να εντοπιστούν αυτά τα κακά AS αφού τα πακέτα έχουν spoofed IPs και δεν μπορείς να κάνεις trace πίσω στον αληθινό attacker... Και άντε και τους εντόπισες... αν το business model τους βασίζεται στο να κάνουν host κόσμο που θέλει να στέλνει spoofed packets, σιγά μην το αλλάξουν για σένα

Και γιατί δεν κλείσανε εξ αρχής το UPD να τελειώνουν;

Αν εννοείς γιατί το GitHub δεν έκοψε τα UDP πακέτα σε κάποιο firewall, τότε δεν θα βοηθούσε πουθενά κάτι τέτοιο.
Τα UDP πακέτα θα φτάσουν μέχρι και το firewall πριν γίνουν drop, γεμίζοντας έτσι το φυσικό μέσο και προκαλώντας και πάλι packet loss.
Τα UDP attacks μπορούν να κοπούν μόνο upstream ή όπου υπάρχει παραπάνω bandwidth τελοσπάντων. Είτε τα κόβεις upstream, είτε τα απορροφάς (drop σε κάποιο edge) αν το αντέχει η υποδομή σου και τα uplinks σου.

[gravis]

Ερώτηση κρίσεως, αν γινει μια τετοια επίθεση στην cosmote, εχει την δυνατότητα να το αντιμετωπίσει ως ο μεγαλύτερος πάροχος στην Ελλαδα?

[Cha0s]

Ναι. Απλά κάνει null route την IP που τρώει το attack στους upstream της.
Η IP που τρώει το attack θα μείνει down για όση ώρα είναι null routed, αλλά ο ΟΤΕ θα συνεχίσει να παίζει κανονικά.

Κανένας πάροχος στην Ελλάδα δεν έχει διεθνή χωρητικότητα στο 1.35TB. Δεν το πλησιάζουν ούτε για πλάκα τέτοιο νούμερο lol
Και δικαιολογημένα. Δεν έχουν ανάγκη τόση χωρητικότητα.

[globalnoise]

Υπήρξαν προβλήματα και στην Ελλάδα, πχ με την Forthnet να δέχεται attacks πάνω από 20Gbit (σεβαστό νούμερο για τα Ελληνικά δεδομένα).

Υπάρχει κάποια πηγή για αυτό;

[Zer0c00L]

εγώ πάντως θα ήθελα να δω μια DDOS επίθεση στους παρόχους κινητής/σταθερής/διαδικτύου ώστε να δούμε τι θα γίνει αν πέσει το δίκτυο της κινητής/σταθερής/διαδικτύου θα πέσει πολύ κλάμα πιστεύω...

[NoDsl]

... κινητής/σταθερής/διαδικτύου...

• Κινητής, είτε θα σε κόβανε τα διαθέσιμα data, είτε το διαθέσιμο rate.
• Σταθερής, θα είχε πλάκα να σπαμάρουν dialers για πάντα σε γραμμές ηλικιωμένων ή πρωινές ώρες να πετυχαίνουν νοικοκυρές. Εκεί να δείς Amplification!!!(DailDDoS)
• Διαδικτύου, τα είδαμε.

[Revolution]

1.35Tbps για 10 λεπτά, μπετό το Github

[gvard]

Καλημέρα,

Υπάρχει κάποια πηγή για αυτό;

Ναι, εγώ Έφαγα επίθεση τα ξημερώματα της Δευτέρας από το εν λόγω memcache amplification attack. Χρειάστηκε manual παρέμβαση στο Arbor για να αρχίσει να αναγνωρίζεται και το εν λόγω είδος attack και έγινε mitigate, παρόλα αυτά οι επιθέσεις συνεχίστηκαν σε διάφορα sites και όχι μόνο στον upstream provider μας. Υπήρξε προσωρινό θέμα για κάποιες ώρες και σε uplink της Oteglobe με την LH (δεν γνωρίζω αν είχε να κάνει με την εν λόγω επίθεση αλλά ήταν ίδια περίοδο), με αποτέλεσμα όλα τα sites που είχαν CloudFlare (έχει Athens PoP στην LH) να έχουν διάφορα θεματάκια, ανεξαρτήτως τον πάροχο τους, αν τα έβλεπες από Ελλάδα (το GR-IX πέρναγε την κίνηση στον Athens PoP).

[nnn]

1.35Tbps για 10 λεπτά, μπετό το Github

Και μετά ανέλαβε ο Hulk Akamai

[Cha0s]

Υπάρχει κάποια πηγή για αυτό;

Με πρόλαβε ο Gvard

Σοβαρά τώρα, περιμένεις επίσημη ενημέρωση από την Forthnet;
Εδώ σε πιο σοβαρά θέματα και βγάζανε ψευδή δελτία τύπου

- - - Updated - - -

Καλημέρα,

Ναι, εγώ Έφαγα επίθεση τα ξημερώματα της Δευτέρας από το εν λόγω memcache amplification attack. Χρειάστηκε manual παρέμβαση στο Arbor για να αρχίσει να αναγνωρίζεται και το εν λόγω είδος attack και έγινε mitigate, παρόλα αυτά οι επιθέσεις συνεχίστηκαν σε διάφορα sites και όχι μόνο στον upstream provider μας. Υπήρξε προσωρινό θέμα για κάποιες ώρες και σε uplink της Oteglobe με την LH (δεν γνωρίζω αν είχε να κάνει με την εν λόγω επίθεση αλλά ήταν ίδια περίοδο), με αποτέλεσμα όλα τα sites που είχαν CloudFlare (έχει Athens PoP στην LH) να έχουν διάφορα θεματάκια, ανεξαρτήτως τον πάροχο τους, αν τα έβλεπες από Ελλάδα (το GR-IX πέρναγε την κίνηση στον Athens PoP).

Μερικές πληροφορίες παραπάνω για το εν λόγο περιστατικό:

Το attack διήρκεσε 24 λεπτά και έφταναν σε εμάς 10Gbps/860Kpps. Η επίθεση έγινε στο www.hyperhosting.gr και όλα τα πακέτα ήταν UDP με source port 11211 και τυχαίες source IPs.

Mbps

Packets per second


Μέσα σε 24 λεπτά ήρθαν πάνω από 1.5TB δεδομένων.

Ένα sample των πακέτων που έπιασε το σύστημα μας με το που έγινε trigger το attack threshold:

Κώδικας:

IP: 31.22.112.8
Attack type: udp_flood
Initial attack power: 60666 packets per second
Peak attack power: 60666 packets per second
Attack direction: incoming
Attack protocol: udp
Total incoming traffic: 652 mbps
Total outgoing traffic: 0 mbps
Total incoming pps: 60666 packets per second
Total outgoing pps: 0 packets per second
Total incoming flows: 1431 flows per second
Total outgoing flows: 0 flows per second
Average incoming traffic: 652 mbps
Average outgoing traffic: 0 mbps
Average incoming pps: 60666 packets per second
Average outgoing pps: 0 packets per second
Average incoming flows: 1431 flows per second
Average outgoing flows: 0 flows per second
Incoming ip fragmented traffic: 0 mbps
Outgoing ip fragmented traffic: 0 mbps
Incoming ip fragmented pps: 0 packets per second
Outgoing ip fragmented pps: 0 packets per second
Incoming tcp traffic: 0 mbps
Outgoing tcp traffic: 0 mbps
Incoming tcp pps: 0 packets per second
Outgoing tcp pps: 0 packets per second
Incoming syn tcp traffic: 0 mbps
Outgoing syn tcp traffic: 0 mbps
Incoming syn tcp pps: 0 packets per second
Outgoing syn tcp pps: 0 packets per second
Incoming udp traffic: 652 mbps
Outgoing udp traffic: 0 mbps
Incoming udp pps: 60563 packets per second
Outgoing udp pps: 0 packets per second
Incoming icmp traffic: 0 mbps
Outgoing icmp traffic: 0 mbps
Incoming icmp pps: 102 packets per second
Outgoing icmp pps: 0 packets per second

Network: 31.22.112.8/32
Network incoming traffic: 940 mbps
Network outgoing traffic: 0 mbps
Network incoming pps: 87158 packets per second
Network outgoing pps: 0 packets per second
Average network incoming traffic: 645 mbps
Average network outgoing traffic: 0 mbps
Average network incoming pps: 60044 packets per second
Average network outgoing pps: 0 packets per second
Average packet size for incoming traffic: 1409.6 bytes 
Average packet size for outgoing traffic: 0.0 bytes 


2018-02-26 00:04:14.593354 158.69.51.11:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593381 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593390 185.89.204.4:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 54 sample ratio: 1  
2018-02-26 00:04:14.593398 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
2018-02-26 00:04:14.593406 188.130.7.87:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
2018-02-26 00:04:14.593414 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593421 218.232.75.192:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593430 185.89.204.4:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 54 sample ratio: 1  
2018-02-26 00:04:14.593442 188.132.219.171:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
2018-02-26 00:04:14.593450 188.132.219.171:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
2018-02-26 00:04:14.593526 166.78.211.144:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
2018-02-26 00:04:14.593535 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593542 58.191.154.83:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
2018-02-26 00:04:14.593550 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
2018-02-26 00:04:14.593557 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
2018-02-26 00:04:14.593566 153.126.138.38:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
2018-02-26 00:04:14.593574 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
2018-02-26 00:04:14.593586 37.187.196.9:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593598 188.132.219.171:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
2018-02-26 00:04:14.593606 198.202.88.97:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
2018-02-26 00:04:14.593613 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593620 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593628 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593635 169.46.56.105:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 51 sample ratio: 1  
2018-02-26 00:04:14.593642 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
2018-02-26 00:04:14.593650 188.132.219.171:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
2018-02-26 00:04:14.593657 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593665 37.187.196.9:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
2018-02-26 00:04:14.593673 58.191.154.83:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
2018-02-26 00:04:14.593681 169.46.56.105:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 51 sample ratio: 1  
2018-02-26 00:04:14.593772 172.98.194.242:11211 > 31.22.112.8:32469 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
2018-02-26 00:04:14.593781 91.121.54.91:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
2018-02-26 00:04:14.593789 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593797 91.121.54.91:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
2018-02-26 00:04:14.593804 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
2018-02-26 00:04:14.593812 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1

Επιβεβαιώνονται τα άρθρα που αναφέρουν για τα μεγάλα replies της memcache αφού όπως φαίνεται και πάνω όλα τα πακέτα έχουν μέγεθος 1442 bytes.


Από το 1ο δευτερόλεπτο της επίθεσης μπήκε σε λειτουργία το δικό μας mitigation (πέρα του Arbor που μας παρέχει η Forthnet) γυρνώντας την IP που έτρωγε το attack στον 2ο standby router μας ώστε η επίθεση να έρχεται από dedicated 10g fiber uplink χωρίς να επηρεάζει καθόλου την κίνηση στους υπόλοιπους πελάτες που συνέχιζαν κανονικά από τον 1ο master router.

Στον 2ο router έγινε ξεκαθάρισμα της κίνησης για όση ώρα διαρκούσε το attack επιτρέποντας μόνο κίνηση από Ελλάδα να φτάσει στον server. Δεδομένου πως το 99% της κίνησης μας είναι από Ελλάδα, το προσωρινό μέτρο αποκλεισμού της κίνησης από εξωτερικό μας επιτρέπει να συνεχίζουμε να τρώμε το attack απορροφώντας το στο edge μας και ταυτόχρονα να παραμένει προσβάσιμη η σελίδα που τρώει το attack.

Το DDoS mitigation μας είναι συνδυασμός του FastNetMon μαζί με in-house/custom scripts τα οποία εκτελούνται όταν γίνει detect κάποιο attack επιτρέποντας την παραπάνω συμπεριφορά εντός 1-2seconds από την ώρα που θα γίνει trigger το FNM.

Καθόλη τη διάρκεια του attack δεν έπεσε κανένας πελάτης και παρόλο που το 10g uplink ήταν γεμάτο δεν υπήρξε packet loss ή lag με τον upstream (Forthnet) μας.


Αυτό που έχει ενδιαφέρον είναι πως κατά τη διάρκεια του attack υπήρξε αυξημένο latency & loss με κάποιους διεθνής προορισμούς και δεν ήταν στην forthnet ή στους upstreams της αλλά πιο κάτω.
Πχ προς Γαλλία (Online.net)

Traceroute:

Κώδικας:

Start: 2018-02-26T00:15:00+02:00 
HOST: ***************                                             ASN  Snt  Rcv  Loss%   Last   Best    Avg   Wrst
  1.|-- ***** (*******)                                             0   10   10     0%   0.28   0.22    0.3   0.57
  2.|-- Gi-08-core1-ase.hyperhosting.net (185.23.88.241)       197746   10   10     0%   0.39   0.34   0.36   0.41
  3.|-- e2-10.host-ase-01.forthnet.gr (62.1.2.1)                 1241   10   10     0%   0.72   0.72   0.83   1.25
  4.|-- te0-0-0-1.distr-kln-02.forthnet.gr (213.16.247.201)      1241   10   10     0%   1.08   1.08   1.21    1.6
  5.|-- BE3.core-kln-03.forthnet.gr (213.16.247.17)              1241   10   10     0%   1.41    1.1   1.35   1.56
  6.|-- ??? (80.249.212.93)                                      1200   10   10     0%  57.74  57.74  60.86  66.84
  7.|-- ??? (195.154.2.103)                                     12876   10    9    10%  81.02  77.53   81.8  84.51
  8.|-- ??? (195.154.1.67)                                      12876   10   10     0%  72.42  70.66  73.45  79.04
  9.|-- ***** (*******)                                         12876   10    9    10%  82.09  74.33  78.52  82.09

Ή προς Αγγλία (RapidSwitch)

Traceroute:

Κώδικας:

Start: 2018-02-26T00:15:00+02:00 
HOST: ***************                                             ASN  Snt  Rcv  Loss%   Last   Best    Avg   Wrst
  1.|-- ***** (*******)                                             0   10   10     0%   0.32   0.24   0.28   0.32
  2.|-- Gi-08-core1-ase.hyperhosting.net (185.23.88.241)       197746   10   10     0%   0.39    0.3   0.39    0.7
  3.|-- e2-10.host-ase-01.forthnet.gr (62.1.2.1)                 1241   10   10     0%   0.81   0.73   0.84   1.21
  4.|-- te0-2-0-0.distr-kln-01.forthnet.gr (213.16.252.169)      1241   10   10     0%   0.79   0.71   0.85   1.51
  5.|-- BE2.core-kln-03.forthnet.gr (213.16.247.13)              1241   10   10     0%   0.79   0.69   0.92   1.22
  6.|-- ??? (79.140.91.14)                                       6762   10   10     0%   1.03   0.92   1.02   1.22
  7.|-- et2-1-0-51.franco71.fra.seabone.net (195.22.205.131)     6762   10   10     0%  64.83  64.76  64.83  64.95
  8.|-- be3034.rcr22.fra06.atlas.cogentco.com (130.117.15.37)     174   10    7    30% 143.22 143.22 149.86 154.86
  9.|-- be2846.ccr42.fra03.atlas.cogentco.com (154.54.37.29)      174   10    9    10% 143.33 143.33 148.77 155.46
 10.|-- be2814.ccr42.ams03.atlas.cogentco.com (130.117.0.141)     174   10    9    10% 150.06  148.7  154.4 161.38
 11.|-- be12488.ccr42.lon13.atlas.cogentco.com (130.117.51.41)    174   10    9    10% 155.56 153.31 158.77 167.56
 12.|-- be2869.ccr22.lon01.atlas.cogentco.com (154.54.57.162)     174   10    8    20%  140.7 138.29    144 152.33
 13.|-- be5.asr01.thn.as20860.net (149.6.184.50)                  174   10   10     0%  77.72  77.71  77.85  78.06
 14.|-- po112.net1.north.dc5.as20860.net (185.91.76.106)        20860   10   10     0%  85.61  85.46  87.12 101.27
 15.|-- ??? (87.117.211.38)                                     20860   10   10     0% 157.29 156.69 162.28 171.68
 16.|-- ***** (*******)                                         20860   10    9    10% 156.14 154.41 159.39 167.71

Για όσους πρόσεξαν, το latency/loss στα 2 παραπάνω γραφήματα κράτησαν παραπάνω ώρα απόση ώρα έφτανε το attack στους router μας.
Αυτό είναι γιατί το Arbor έκοψε το attack στα 24 λεπτά αφότου ξεκίνησε (αναφέρει ο gvard τον λόγο) αλλά το attack συνέχιζε να φτάνει στην Forthnet για 17 λεπτά ακόμα όπου και σταμάτησε (σχεδόν ακριβώς στα 40 λεπτά σύνολο).

[uncharted]

Φανταστειτε τι εχει να γινει στο μελλον που ο average joe θα εχει 100 Mbps upload για πλακα (ενω τωρα ουτε 1 λογω ADSL), τι δυναμη θα εχουν τα botnets... εκτος αν πανε ολα στο cloud και εκλειψουν τα παραδοσιακα PC, μαζι με τα malware που τα μολυνουν.