The Spamhaus Projectと米CloudFlareが、3月18日から大規模なDDoS攻撃を受けていたことが明らかになった。両者は3月27日と28日、それぞれのWebサイトでDDoS攻撃に関する情報を公開した。それによると攻撃者は手法を変えて、サイトを攻撃する代わりにネットワークプロバイダもターゲットにしていたという。

Spamhausは、スパム配信に関連するIPアドレスをISPやセキュリティ企業などに提供する非営利団体で、CloudFlareは性能・セキュリティ企業。

CloudFlareによると、3月18日にSpamhausのWebサイトを狙った攻撃がスタートし、Spamhausの援助要請を受けてCloudFlareが攻撃を緩和した。当時トラフィックにして10Gbps程度の攻撃だったが、3月19日には最大で90Gbpsに拡大した。この時点ですでに最大級の攻撃だったという。

少しの休止を経た後、22日に再開された攻撃ではピーク時に120Gpbsに。CloudFlareは分散技術を利用して攻撃に耐えた。

だがCloudFlareによると、攻撃者はその後戦術を変え、サイトを直接狙うのではなく、CloudFlareが帯域を利用するプロバイダーを攻撃した。Tier 1プロバイダーの中にはこの攻撃に関連したトラフィックを300Gbps以上観測したところもあったという。さらには、相互接続ポイントのインターネットエクスチェンジ(IX)にも攻撃が及んだという。ロンドン、フランクフルト、香港などのIXが標的になり、最大の影響を受けたと見られるロンドンIX(LIX)の場合トラフィック量が急速に減少したことがモニタリングからわかったという。この結果、ロンドンベースのCloudFlareの顧客から接続が断続的になるなどの問題が報告された。

Spamhausによると、現在攻撃の規模は縮小しているが、攻撃者についてはさまざまな指摘があり誰が行ったのかはわからないとしている。

SpamhausとCloudFlareは今後の対策として、1)DNSリフレクション攻撃を防止するようネットワークを安全にすること、2)OpenDNSリゾルバのロックダウンによる安全確保を業界に呼びかけている。