vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

"Оверсан" правда отбил 20 Гбит/с? 14

Дата публикации: 27.08.2010
Количество просмотров: 12299
Автор:

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац:

“Компания “Оверсан” уведомляет, что 24 августа в 13 час 40 мин системы мониторинга дата-центра “Оверсан-Меркурий” зафиксировали мощную DDoS-атаку на подсеть этой компании. Сообщается, что объем паразитного (зарубежного) трафика достигал 20 Гбит/с, и тем не менее в 14.10 атака была локализована за счет собственных средств защиты, оперативного взаимодействия с операторами связи и корректной работы специалистов “Оверсан-Меркурия”. По оценкам специалистов “Оверсан”, подобная атака практически не имеет прецедентов в российском сегменте Интернета, поскольку мощность среднестатистической атаки в Рунете достигает 1 Гбит/с”.

В целом - есть поле для обсуждения. Оперативно набрав телефон пресс-службы компании я задал несколько вопросов по делу, ответы на которые заставили меня задуматься еще больше. Судите сами. Формально атака была отбита за полчаса. Что за клиент - непонятно. "Атака была направлена изначально именно на ресурсы нашего клиента, в частности, на несколько его ip-адресов. Далее атака расширилась на всю подсеть, в которую входили IP-адреса этого клиента". Мне это не говорит ровным счетом ничего. Уточнений не было, технических деталей ноль. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить". Предположу, что из-за рубежа было 99% трафика - можно до хрипоты спорить есть ли боты с числом больше 100 тыс. машин, но явно, что такое количество активных компьютеров можно "насобирать" только не в России. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки. Так что основными угрозами будет Китай и США. Ну и как все удалось "погасить" - опять же  непонятно. Ответ был еще более расплывчатым: "В качестве основных решений по защите применялись мощные активные системы Cisco. Однако мы не полагались только на аппаратные решения. В процессе отражения атаки был задействован богатый практический опыт наших инженеров".

Исходя из ситуации, предположу следующее:

- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно смогло "погасить" мощность в два раза больше? Загадка;

- скорее всего, видя ситуацию и проанализировав структуру ботнета, было принято решение "перекрыть кран" иностранном трафику;

- возможно ресурсу удалось быстро сменить DNSы;

- если я правильно понимаю намек, то у "Оверсана" может быть доступ к компаниям, которые выставляют в Сеть группу незащищенных компьютеров с тем, чтобы те были заражены наиболее активными ботнетами (своего подобного кластера у них нет). А уже с помощью специальных утилит сбора информации, они "вскрываются" и производится анализ управляющих команд и выделяются основной и резервный "командные центры". Мне известно несколько компаний в России, которые собирают соответствующие базы таких ботнетов, по которым можно, с определенной долей вероятности, вычислить их владельцев - их базы насчитывают от 2 до 4 тыс. записей активных ботнетов. В таком случае можно либо позвонить авторам атаки по телефону (такие случаи бывали) с предложением все-таки прекратить подобную противоправную деятельность (очень, к слову, действенно), либо "выбить" управляющий и резервные центры с помощью обращения к провайдерам, на чьих хостингах они находятся. Можно сделать и то и другое.

В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро. К слову, в продемонстрированных мне "Оверсаном" скриншотах, положить которые сюда не получится по соображениям безопасности, в параметре Attack duration значится 3:18:31. Начало в 13:37, завершение - в 16:55. А вот официально разрешенный скрин показывает пик в 3 Гбит/с - это Cisco отбить в состоянии. Правда, пресс-служба поясняет, что "на самом деле было 20, поэтому эта картинка не говорит о масштабе, она просто показывает атаку". На дополнительные вопросы о тестовом кластере машин, о способе отбития был получен лаконичный ответ, что это "не могу уточнять, не в интересах компании". Нам же остается обоснованно сомневаться в том, что все было так гладко, как это написано в официальном сообщении.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/19594/-oversan-pravda-otbil-20-gbit-s-.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться