vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

"Оверсан" правда отбил 20 Гбит/с? 14

Дата публикации: 27.08.2010
Количество просмотров: 12035

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац:

“Компания “Оверсан” уведомляет, что 24 августа в 13 час 40 мин системы мониторинга дата-центра “Оверсан-Меркурий” зафиксировали мощную DDoS-атаку на подсеть этой компании. Сообщается, что объем паразитного (зарубежного) трафика достигал 20 Гбит/с, и тем не менее в 14.10 атака была локализована за счет собственных средств защиты, оперативного взаимодействия с операторами связи и корректной работы специалистов “Оверсан-Меркурия”. По оценкам специалистов “Оверсан”, подобная атака практически не имеет прецедентов в российском сегменте Интернета, поскольку мощность среднестатистической атаки в Рунете достигает 1 Гбит/с”.

В целом - есть поле для обсуждения. Оперативно набрав телефон пресс-службы компании я задал несколько вопросов по делу, ответы на которые заставили меня задуматься еще больше. Судите сами. Формально атака была отбита за полчаса. Что за клиент - непонятно. "Атака была направлена изначально именно на ресурсы нашего клиента, в частности, на несколько его ip-адресов. Далее атака расширилась на всю подсеть, в которую входили IP-адреса этого клиента". Мне это не говорит ровным счетом ничего. Уточнений не было, технических деталей ноль. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить". Предположу, что из-за рубежа было 99% трафика - можно до хрипоты спорить есть ли боты с числом больше 100 тыс. машин, но явно, что такое количество активных компьютеров можно "насобирать" только не в России. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки. Так что основными угрозами будет Китай и США. Ну и как все удалось "погасить" - опять же  непонятно. Ответ был еще более расплывчатым: "В качестве основных решений по защите применялись мощные активные системы Cisco. Однако мы не полагались только на аппаратные решения. В процессе отражения атаки был задействован богатый практический опыт наших инженеров".

Исходя из ситуации, предположу следующее:

- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно смогло "погасить" мощность в два раза больше? Загадка;

- скорее всего, видя ситуацию и проанализировав структуру ботнета, было принято решение "перекрыть кран" иностранном трафику;

- возможно ресурсу удалось быстро сменить DNSы;

- если я правильно понимаю намек, то у "Оверсана" может быть доступ к компаниям, которые выставляют в Сеть группу незащищенных компьютеров с тем, чтобы те были заражены наиболее активными ботнетами (своего подобного кластера у них нет). А уже с помощью специальных утилит сбора информации, они "вскрываются" и производится анализ управляющих команд и выделяются основной и резервный "командные центры". Мне известно несколько компаний в России, которые собирают соответствующие базы таких ботнетов, по которым можно, с определенной долей вероятности, вычислить их владельцев - их базы насчитывают от 2 до 4 тыс. записей активных ботнетов. В таком случае можно либо позвонить авторам атаки по телефону (такие случаи бывали) с предложением все-таки прекратить подобную противоправную деятельность (очень, к слову, действенно), либо "выбить" управляющий и резервные центры с помощью обращения к провайдерам, на чьих хостингах они находятся. Можно сделать и то и другое.

В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро. К слову, в продемонстрированных мне "Оверсаном" скриншотах, положить которые сюда не получится по соображениям безопасности, в параметре Attack duration значится 3:18:31. Начало в 13:37, завершение - в 16:55. А вот официально разрешенный скрин показывает пик в 3 Гбит/с - это Cisco отбить в состоянии. Правда, пресс-служба поясняет, что "на самом деле было 20, поэтому эта картинка не говорит о масштабе, она просто показывает атаку". На дополнительные вопросы о тестовом кластере машин, о способе отбития был получен лаконичный ответ, что это "не могу уточнять, не в интересах компании". Нам же остается обоснованно сомневаться в том, что все было так гладко, как это написано в официальном сообщении.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/19594/-oversan-pravda-otbil-20-gbit-s-.html

Комментарии:(14) комментировать

27 августа 2010 - 13:53
Robot_NagNews:
#1

Материал:
Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац.

Полный текст


27 августа 2010 - 13:53
Гость_Ermak_:
#2

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;
Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.
>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.
При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.


31 августа 2010 - 0:37
kostich:
#3

Просмотр сообщенияErmak (27 августа 2010 - 12:53) писал:

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;
Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.
>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.
При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.


для фильтрации 20 гигабит UDP нужна всего одна ACL :)


31 августа 2010 - 2:47
kostich:
#4

Цитата

. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить".


интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы.

Цитата

. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки.


На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета.

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.


1 сентября 2010 - 0:41
Алексей Андриянов:
#5

Просмотр сообщенияkostich (31 августа 2010 - 01:47) писал:

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.


Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.


1 сентября 2010 - 1:31
kostich:
#6

Просмотр сообщенияАлексей Андриянов (31 августа 2010 - 23:41) писал:

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.


т.е. такая атака по вашему невозможна?


1 сентября 2010 - 1:51
st_re:
#7

насчет "ни один", эт Вы, Алексей, здря.. Очень часто не фильтруют левый соурс ип. тоесть совсем.


1 сентября 2010 - 1:55
ingress:
#8

Просмотр сообщенияАлексей Андриянов (31 августа 2010 - 23:41) писал:

Просмотр сообщенияkostich (31 августа 2010 - 01:47) писал:

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.


Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.


тем не менее от спуфленных адресов пакеты прилетают.
вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.
так что там провайдеры не допускают - спорный вопрос.


1 сентября 2010 - 2:58
kostich:
#9

Просмотр сообщенияingress (01 сентября 2010 - 00:55) писал:

тем не менее от спуфленных адресов пакеты прилетают.
вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.
так что там провайдеры не допускают - спорный вопрос.


да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто.


1 сентября 2010 - 17:43
Гость_z0m_:
#10

Надо начинать с меньшего - гасить нафиг всех СЕОшников


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться