Сегодня, когда ситуация позади, могу сказать, что это большой опыт, которым я с удовольствием готов поделиться с коллегами.
В целом, DDoS-атаки – довольно традиционный способ вывести из строя компании, предоставляющие сервисы через Интернет. Особенностью происшествия является его несистемность. Дело в том, что когда говорят об атаке, имеют в виду очень широкий класс воздействий на информационные системы. Даже когда говорят о классе атак — DDoS, вряд ли можно представить себе два одинаковых DDoS. Это с одной стороны брутальный метод воздействия на систему – просто силой – а с другой стороны, интеллектуальный, ведь и в боксе большое разнообразие ударов. И говорить о том, что кто-то идеально защищается от DDoS или другого класса атак – значит проявлять непрофессионализм. Фактически грамотно противодействовать атаке можно только, оперативно реагируя на возникающие проблемы, ну и, конечно, применяя технические средства страховки, защиты от таких рисков. В то же время необходимо понимать, что на 100% техника не спасает, и окончательным щитом может быть только быстрая реакция на происходящие, например, изменения в сетевых настройках. Именно по такому пути пошли мы.
DDoS-атака, совершенная на наш дата-центр, относится к классу, направленному на полное засорение каналов. Подобные атаки не преодолимы никакими техническими средствами со стороны атакуемого дата-центра. От технологий, которые работают на пострадавшей стороне, практически зависит многое, например, устойчивость работы систем в такой непростой ситуации. Но если каналы связи, которых в нашем дата-центре множество, – это трубы, то какие бы фильтры мы не применяли на своей стороне, если пробку заткнуть с другой – к нам просто не поступает воздух, что собственно, и произошло. В нашем случае атака была направлена на заказчика, расположенного в «облаке». Но с таким же успехом она могла быть адресована собственному дата-центру заказчика, в котором все равно есть сервисы, ориентированные на Интернет через каналы связи.
Что делать, если атака произошла? Максимально оперативно, технически профессионально, а главное совместно с провайдерами связи начать фильтровать вредоносный трафик в магистральных каналах. Чем дальше от пострадавшей стороны будет происходить фильтрация, тем лучше. И если мошенники могут засорить наш канал, то магистральный канал значительно шире, в нем наличие вредоносного трафика не является критичным. Скорость реакции на атаку определялась скоростью распространения технических изменений на магистральных сетях провайдеров, которые позволили фильтровать это как можно дальше от нас. Сначала начали фильтровать у нас, это первое, что мы сделали, но т.к. весь канал был засорен, заказчики не могли работать нормально: появилась связь, но потерь в сети было много, т.к. канал был забит. Как только нам удалось организовать удаленную фильтрацию, атака перестала быть для нас проблемой – она продолжалась, но мы ее фильтровали в магистральных каналах, там она и умирала, не доходя до нас.
Кроме того, мы буквально за первые несколько часов выяснили всех хозяев хостов, с которых нас атакуют, и разослали им письма с просьбой пресечь нелегальную активность. Это обычная практика, когда пострадавшая компания извещает хозяина хостов о том, что с одного из его IP-адресов идет атака. Дело в том, что ботнеты обычно строятся путем вирусного проникновения, и хозяин хостов может даже не знать, что с одного из его ресурсов идет атака. Проведенная работа позволила очень быстро отключить половину атакующих хостов. В результате, хакерская сеть сильно пострадала, мы ее быстро приглушили.
Руслан Заединов http://i-business.ru/
DoS-атака: коллапс или рабочая ситуация?: 2 комментария