1. Новости
Заметки пользователей
27.08.2010 09:21
PDF
13339
15

"Оверсан" правда отбил 20 Гбит/с?

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац:

“Компания “Оверсан” уведомляет, что 24 августа в 13 час 40 мин системы мониторинга дата-центра “Оверсан-Меркурий” зафиксировали мощную DDoS-атаку на подсеть этой компании. Сообщается, что объем паразитного (зарубежного) трафика достигал 20 Гбит/с, и тем не менее в 14.10 атака была локализована за счет собственных средств защиты, оперативного взаимодействия с операторами связи и корректной работы специалистов “Оверсан-Меркурия”. По оценкам специалистов “Оверсан”, подобная атака практически не имеет прецедентов в российском сегменте Интернета, поскольку мощность среднестатистической атаки в Рунете достигает 1 Гбит/с”.

"Оверсан" правда отбил 20 Гбит/с?

В целом - есть поле для обсуждения. Оперативно набрав телефон пресс-службы компании я задал несколько вопросов по делу, ответы на которые заставили меня задуматься еще больше. Судите сами. Формально атака была отбита за полчаса. Что за клиент - непонятно. "Атака была направлена изначально именно на ресурсы нашего клиента, в частности, на несколько его ip-адресов. Далее атака расширилась на всю подсеть, в которую входили IP-адреса этого клиента". Мне это не говорит ровным счетом ничего. Уточнений не было, технических деталей ноль. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить". Предположу, что из-за рубежа было 99% трафика - можно до хрипоты спорить есть ли боты с числом больше 100 тыс. машин, но явно, что такое количество активных компьютеров можно "насобирать" только не в России. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки. Так что основными угрозами будет Китай и США. Ну и как все удалось "погасить" - опять же  непонятно. Ответ был еще более расплывчатым: "В качестве основных решений по защите применялись мощные активные системы Cisco. Однако мы не полагались только на аппаратные решения. В процессе отражения атаки был задействован богатый практический опыт наших инженеров".

Исходя из ситуации, предположу следующее:

- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно смогло "погасить" мощность в два раза больше? Загадка;

- скорее всего, видя ситуацию и проанализировав структуру ботнета, было принято решение "перекрыть кран" иностранном трафику;

- возможно ресурсу удалось быстро сменить DNSы;

- если я правильно понимаю намек, то у "Оверсана" может быть доступ к компаниям, которые выставляют в Сеть группу незащищенных компьютеров с тем, чтобы те были заражены наиболее активными ботнетами (своего подобного кластера у них нет). А уже с помощью специальных утилит сбора информации, они "вскрываются" и производится анализ управляющих команд и выделяются основной и резервный "командные центры". Мне известно несколько компаний в России, которые собирают соответствующие базы таких ботнетов, по которым можно, с определенной долей вероятности, вычислить их владельцев - их базы насчитывают от 2 до 4 тыс. записей активных ботнетов. В таком случае можно либо позвонить авторам атаки по телефону (такие случаи бывали) с предложением все-таки прекратить подобную противоправную деятельность (очень, к слову, действенно), либо "выбить" управляющий и резервные центры с помощью обращения к провайдерам, на чьих хостингах они находятся. Можно сделать и то и другое.

В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро. К слову, в продемонстрированных мне "Оверсаном" скриншотах, положить которые сюда не получится по соображениям безопасности, в параметре Attack duration значится 3:18:31. Начало в 13:37, завершение - в 16:55. А вот официально разрешенный скрин показывает пик в 3 Гбит/с - это Cisco отбить в состоянии. Правда, пресс-служба поясняет, что "на самом деле было 20, поэтому эта картинка не говорит о масштабе, она просто показывает атаку". На дополнительные вопросы о тестовом кластере машин, о способе отбития был получен лаконичный ответ, что это "не могу уточнять, не в интересах компании". Нам же остается обоснованно сомневаться в том, что все было так гладко, как это написано в официальном сообщении.

15 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац.

 

Полный текст

Гость Ermak
Гость Ermak

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

kostich
kostich
>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

для фильтрации 20 гигабит UDP нужна всего одна ACL :)

 

kostich
kostich
. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить".

интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы.

 

. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки.

На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета.

 

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

 

Алексей Андриянов
Алексей Андриянов
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

kostich
kostich
Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

т.е. такая атака по вашему невозможна?

 

st_re
st_re

насчет "ни один", эт Вы, Алексей, здря.. Очень часто не фильтруют левый соурс ип. тоесть совсем.

ingress
ingress
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

kostich
kostich
тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто.

 

Гость z0m
Гость z0m

Надо начинать с меньшего - гасить нафиг всех СЕОшников