Qrator Labs защитила хостинговую платформу Severs.com от высокоскоростных DDoS-атак нового типа
Заказчики: Servers.com Подрядчики: Curator (Эйч-Эль-Эль) ранее Qrator Labs Продукт: Qrator.IngressДата проекта: 2019/08 — 2019/08
|
Технология: ИБ - Межсетевые экраны
|
2019: Защита от DDoS-атак с применением одного из векторов TCP-амплификации
22 августа 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, сообщила о том, что нейтрализовала DDoS-атаки на международную хостинговую платформу Servers.com, длившиеся c 18 по 20 августа. В их числе была первая в мире зафиксированная на практике широкомасштабная атака с использованием одного из векторов TCP-амплификации (реплицированный SYN/ACK-флуд), заявили в Qrator Labs.
18 августа злоумышленники начали атаковать сетевую инфраструктуру Servers.com, создавая регулярные высокоскоростные всплески трафика. Уже через несколько часов Servers.com встала под защиту Qrator Labs, подключившись к сервису Qrator Ingress, предназначенному для защиты инфраструктуры операторов связи и хостинг-провайдеров от DDoS-атак.
Qrator Labs зафиксировала несколько волн атаки. Для организации нападения в основном использовались техники LDAP-амплификации и SYN/ACK-флуда, при этом периодически идентифицировались и другие виды UDP-амплификации.
Как пояснили в Qrator Labs, техника атаки типа Amplification ("усиление") заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP. Возможность использования протокола TCP для проведения масштабных атак типа Amplification впервые была описана в исследовательской работе учёных из Рурского университета (Германия) пять лет назад, но до сих пор дня оставалась теорией, уточнили в компании.
Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой "мусорным" трафиком составил 11,5 часов. Все атаки были нейтрализованы сетью фильтрации Qrator Labs.
Поиск злоумышленников, организовавших атаку, чрезвычайно затруднён ввиду того, что зафиксированный вид DDoS-атак практически не поддается отслеживанию из-за низкого уровня применения методов противодействия спуфингу (таких как BCP 38). Реализация этих методов требует существенного изменения архитектуры сети.
Произошедший инцидент — отличная демонстрация того, насколько хрупким является современный интернет. Прошло почти пять лет с тех пор, как был опубликован исследовательский документ, описывающий технику SYN/ACK-амплификации. Тем не менее, за это время не было предпринято никаких инженерных усилий для решения проблемы, что в итоге привело к серии успешных атак с абсолютно разрушительными последствиями, — рассказал Александр Лямин, основатель и генеральный директор Qrator Labs. — Нам нужны более совершенные протоколы, инфраструктура и технологии для предотвращения подобных атак в ближайшем будущем. Необходимо построение системы управления угрозами, составление планов по снижению рисков и их корректировка не реже одного раза в год, поскольку в наши дни ситуация с угрозами безопасности меняется очень быстро. |