Ответы на вопросы, возникшие в результате DDoS атак в марте 2014 года

Что произошло и почему не был доступен интернет длительное время?

С 20 марта на сети компании ИнфоЛада начались DDoS атаки.

DDoS атака (Distributed Denial of Service - распределённая атака “отказ в обслуживании") — атака на коммуникационное оборудование, с целью прекращения обслуживания. Цель DDoS атак - блокировать оборудование и каналы связи, так, чтобы ресурс (сервер, сеть, провайдер) не смог оказывать услуги. Методы таких атак бывают разными, цель одна — сделать так, чтобы серверы и каналы были полностью заняты обработкой паразитного трафика с десятков или даже сотен тысяч компьютеров, одновременно посылающих пакеты данных на целевой сервер. Мощность такого трафика может достигать десятков гигабит в секунду, что может многократно превышать все запасы мощности, созданные с учётом типовых пиковых нагрузок. За такими атаками всегда кто-то стоит, это не стихийное бедствие, а осознанное желание заказчика, подкреплённое определёнными финансами. Учитывая количество инфицированных компьютеров или не обновлённого своевременно программного обеспечения, организовать такую атаку достаточно просто. Стоимость часовой атаки на один компьютер колеблется в районе ста долларов. Природа DDoS атак такова, что заблокировать её быстро невозможно. К сожалению, застраховаться от таких атак на 100% никто не может.

Хронология событий

20 марта c 15:30 до 17:30 сети ИнфоЛада подверглись первой DDoS атаке. Был большой поток “мусорного” трафика, загрузившего полностью наши магистральные каналы. Вероятно это была “пристрелочная” или “демонстрационная атака”.

21 марта с 22:05 началась основная, более мощная атака. Частично заблокировать её удалось только к 10 утра 23 марта. Для этого пришлось использовать возможности вышестоящих магистральных операторов (Ростелеком). К 16 часам 23 марта удалось блокировать большую часть “мусорного” трафика и восстановить предоставление услуг интернет.

25 марта в 13:40 началась третья атака, к ней уже были готовы и она практически не оказала влияния на качество предоставления услуг интернет. К 15:40 она была полностью блокирована.

По результатам анализа данных выяснили тип применённой атаки — NTP Amplification. Данная атака характеризуется тем, что используются заражённые компьютеры для отправки специального небольшого запроса к NTP серверам, в ответ на который сервер выдаёт большой пакет информации. При этом, адрес, на который сервер отправляет ответ, заменяется на адрес атакуемого сервера. Это позволяет эффективно “заметать” следы и многократно усилить атаку. По данным одного из ведущих разработчиков средств киберзащиты, с января мировой трафик таких атак стремительно вырос и превысил 300 Гбит/с.

Почему абоненты других провайдеров Тольятти ничего не заметили?

Для предоставления доступа в интернет ИнфоЛада использует собственные сети и оборудование, при этом к "внешнему миру" подключается через каналы магистральных операторов, как того требует действующее законодательство и организация российского интернета. В качестве магистральных каналов используются в том числе и каналы Ростелеком.

Атака была именно на сети ИнфоЛады, а не на сети других провайдеров, поэтому их абоненты могли заметить лишь некоторое снижение скорости, связанное с внеплановой загрузкой каналов трафиком атаки. Большая часть трафика атаки сначала шла со стороны магистралей Ростелеком, затем такой трафик был зафиксирован и по другим магистральным каналам.

В настоящее время в мировом интернете ежедневно фиксируется большое количество атак на различные серверы, в том числе в марте были атаки на сайты правительства и президента, на сайты СМИ и банков. В частности, 27 марта, были недоступны ресурсы habrаhabr.ru на который велась мощная атака (около 20Гбит/с). Так же, есть информация, что атаке подверглись несколько сайтов городских СМИ.

Специалисты по информационной безопасности создали несколько ресурсов, на которых отражается активности кибератак, на которых можно увидеть текущую активность и что происходило ранее.

http://www.digitalattackmap.com/

http://cyberwar.kaspersky.com/

http://atlas.arbor.net/worldmap/index

https://radar.qrator.net/botnetmap/

 

Компенсация абонентам

Компания ИнфоЛада стремится быть открытой и оказывать качественные услуги. Сложившиеся форс-мажорные обстоятельства нарушили качество предоставления услуг интернет и доставили неудобства, в виде отсутствие нормального доступа в интернет в течении почти 2 суток нашим клиентам, к которым мы относимся с большим уважением. Принимая это во внимание, руководство компании приняло решение, компенсировать возникшие неудобства всем абонентам, в виде продления тарифных планов, действовавших на 21 марта, на 7 дней.

Какие меры принимаются по защите от повторения подобного?

Нашими специалистами были изучены прошедшие атаки и на пограничном оборудовании, установленном на границе между "внешним миром" магистральных каналов и внутренней сетью ИнфоЛады, созданы специальные правила, которые позволяют быстро определять начинающиеся атаки, их тип и принимать меры по их блокировке в более сжатые сроки. Кроме того в блокировках текущих атак задействованы операторы наших магистральных каналов.

 

Помогла ли вам эта статья?