Pull to refresh

Comments 96

Топик был бы куда информативнее, если бы вы рассказали как все же с этим бороться. Как я понимаю первый способ — обратиться к вам. А еще как?
В настоящее время мы сделали несколько частных решений для наших клиентов. И решаем вопрос о запуске такого решения в продуктиве для более широкого круга клиентов. Вот и хотелось бы услышать мнение сообщества, есть ли в этом необходимость или нет.
Судя по минусам, решение неактуально?
Если у вас был вопрос — его можно было и в q&a задать. Если вы просто пиаритесь — наверное стоило писать в «Я пиарюсь». А так вроде как написано про безопасность, а в топике только общее описание проблемы и намек на то, что вы умеете ее решать. Что это, если не реклама?

Хотется отметить, что основная идея статьи заключалась в том, чтобы обратить внимание людей на проблемы, связанные с правильным отношением к услугам телефонной связи, компетентным обслуживанием телеком-инфрастуктуры.
Статья была размещена в официальном блоге компании — и мы лишь поделились своими мыслями, что угроза телефонных атак в последнее время приобретает все большее значение. Решений защиты от них на рынке не так уж много. И раскрывать все технические подробности было бы не совсем дальновидно с нашей стороны (да, мы живем в эпоху товарно-денежных отношений).
Мы готовы помогать, но универсальных решений все равно не существует. Каждая атака — она индивидуальна, и мы работаем индивидуально с каждым клиентом, потому что методики атак менются очень быстро — злодеи тоже не дремлют. В любом случае, алгоритмы, которые мы используем, они дорабатываются постоянно.
Мы не рекламируем себя в явном виде, а позиционируем себя как сервисного оператора связи, который готов помочь в разрешении ситуаций, с которыми другие операторы оставят Вас, как клиента, наедине. Мы такое отношение, увы, наблюдаем очень часто.
UFO just landed and posted this here
Вы не находите, что было бы глупо себя «пиарить» в такой узкой теме, если бы мы ею не занимались? Я разделяю Ваши сомнения и на Вашем месте, возможно, высказывал бы такой же скепсис, но есть вещи, о которых я не имею право говорить в подробностях (технических, по крайней мере).
Вас не смущает тот факт, что практически каждая компания, которая использует номер 8-800, подвержена даже минимальной атаке? Не стоит ли поискать здесь каких-то решений?

P.S. при чем тут «IP боты и блеклисты в фаере», когда мы обсуждаем телефонные каналы?
UFO just landed and posted this here
И раскрывать все технические подробности было бы не совсем дальновидно с нашей стороны (да, мы живем в эпоху товарно-денежных отношений).


Вообще то я никаких не то что технических, а вообще никаких подробностей не видел. Только две строчки общих слов.

— были разработаны специальные алгоритмы определения злоумышленника еще до установления голосовой сессии, — и звонок просто отклонялся,
— совместно с вышестоящим оператором были определены источники «паразитного» трафика и частично ограничены «сверху».


Алгоритмы на базе чего? Хоть из какой степи вообще? Источники как были вычислены? Речь не о коде. Хоть пару слов бы написали, по каким признакам. Не все признаки, хоть что-то!
Тогда я попробую предложить варианты:

1. Ограничить количество одновременных входящих звонков. Узнайте сколько в среднем занимается линий, добавьте еще пару сверху и ограничьте прием. Если VoIP-транк, то на сервере, если переадресация на номер — то запросом к оператору.
2. Разделить с помощью временных групп на рабочие и нерабочие часы. Последних — примерно три четверти всего времени, и атаки, как показывает практика, идет именно в нерабочие часы, т.к. проще остаться незаметным. В нерабочие часы не нужно воспроизводить приветствие, ограничившись простыми гудками, за которые денег не возьмут.
3. Уточнить у оператора 8-800 возможность ответа в канал без начала тарификации. Т.е. голос на уровне RTP уже пошел, а SIP-ового ответа еще не было. Тут можно поэкспериментировать. Чаще всего работает.
4. Узнать у оператора телефон техподдержки, по которому можно будет оперативно связаться в любое время суток, в случае если обнаружите атаку в субботу ночью.
5. Ну и вывести график количества звонков, обслуженных вашей АТС себе на панельку (у нас это Pandora FMS на плазме под потолком), чтобы поглядывать краем глаза.
+6. При достаточном количестве входящего трафика на 8800 договориться с оператором об аренде канала (с ограничением АОНов например до конкретного региона) за фиксированный прайс, а не босяцкой поминутке в кредит.
+7. Такие ддос атаки вычисляются на раз, ибо внутриоператорские отношения (равно как и коммутация) строится на доверительном принципе в России, и если имеет место АОН спуфинг (подстановка чужих аонов при терминации трафика в тфоп) то будет «ата та». Во всех остальных случаях, по закону о связи, СОРМ API и CDR которые требуют хранить за последние X лет — в руки.
Странно, что приветствие вообще тарифицируется.
Приветствие — это «ответ» станции, то есть «снятие» трубки. Для Вашего оператора без разницы, говорит там живой человек или автоответчик — тарификация идет.
А как же тогда работает принцип установки своего гудка вместо стандартных?
Пару раз звонил попадал на такие, и музычку слушаешь и ничего не платишь.
Так гудок ставится на стороне оператора, а приветствие на стороне принимающего звонок абонента уже.
Вы о разных «гудках» говорите. Вы слушали гудки без включения голосового приветствия — в этом случае действительно не платится (как у сотовых операторов). Если гудки после приветствия — уже идет оплата (с момента включения самого приветствия).
А что по поводу early media? Почему приветствие нельзя выдавать вместо длинных гудков ещё до момента соединения и необходимости тарификации?
Можно отправлять приветствие вместо гудков. И разговор тарифицироваться не будет.
А Вам не кажется, что робот-злоумышленник таки дождётся соединения и выполнит свою задачу? Правда, сам факт наличия атаки быстро вскроется, но на некоторое время работа колл-центра будет парализована.
Ага, только настроился вникать про «специальные алгоритмы определения злоумышленника», и ни слова про них.
Черные списки может быть…
С другой стороны, если про них расскажут, появятся способы их обойти.
Так-то кроме них ничего и не приходит в голову, сколько-то неудачных звонков (сброшенных, с тишиной итд) — номер попадает в чёрный список. По идее должно быть достаточно, хотя не знаю, есть ли ботнеты из телефонов.
С учётом взломов серверов с астерисками и прописанными платными аплинками — наверняка есть.
Можно искать аномальную активность по базе биллинга. DDoS будет выглядеть как всплеск звонков на конкретный номер.
Почему-то в голову сразу же пришла «голосовая каптча»: в первые три секунды разговора робот пробормотал вам по телефону восьмизначное число. Если в оставшиеся 2 секунды (до начала тарификации) пользователь не набрал его правильно — робот кладёт трубку.

:)
Бабушки в панике.
буквально — «нажмите 89», пару раз, абонент должен перевести в тональный и набрать цифру, число всегда рандомное, и, допустим разным голосом. проблема решена!
За 10 минут 3500, за 10 часов работы 35000.
Странный у вас час. В час выходит 21000 звонков, за 10 часов — 210000.
Спасибо, внес исправления
«Тарификация поминутная с первой (или пятой — потом мы увидим, почему это не так принципиально) секунды соединения.»
«Злоумышленник начинает атаку из 70 одновременных дозвонов с длительностью 10 секунд — звонок-то все равно бесплатный для звонящего.»

простите, но не увидел, почему тарификация с пятой минуты не спасает
простите, покажите мне такого оператора, который будем Вам тарифицировать звонок с пятой минуты :)
«Тарификация поминутная с первой (или пятой — потом мы увидим, почему это не так принципиально) секунды соединения.»
С пятой секунды. Приветствие всё равно в порог укладывается.
Я таких не знаю, но такое написано у вас в статье.
В статье указано, что неважно, какой у Вас оператор — звонок-то все равно бесплатный для атакующего.
UFO just landed and posted this here
Наиболее часто используют каналы Skype для подобного рода атак, аоны там разные встречаются.

«Купить DID-номеров» — тут поднимается еще очень важная проблема. Многие ратуют за «свободу» IP-телефонии, возможности выноса номерной емкости, покупки без паспортных данных и т.д. Мы отчасти разделяем необходимость изменения законодательства и упрощения работы на телеком-рынках. Но встает вопрос — как контролировать тех, кто покупает эти номера не во влаго, а во вред. Порой отследить таких злоумышленников (я имею в виду их физическое присутствие) очень непросто, а порой невозможно.
UFO just landed and posted this here
Объясняю как: перестать брать дикие деньги за голосовой трафик. Как только VoIP будет идти по цене обычного трафика (или в 3 раза дороже, если с qos), то вопросы «ааа, страшные ддосеры мне сделали входящий поток в 70*64 кбит и мне за это выставили счёт на поллимона в день» просто отпадут.
И как позвонить на российский 8-800 не из России?
UFO just landed and posted this here
В международном формате тогда напишите мне с +7 как его набрать например из Skype.
UFO just landed and posted this here
Поэтому все ваши разговоры про Skype и взломанные SIP-шлюзы — ерунда.
UFO just landed and posted this here
Дайте какой нибудь такой номер ))
Если речь идет о нероссийских номерах, то никак.
А если идет речь об Африке с подключенным по SIP-каналу одного из российских операторов номеру (то есть рассматриваем только географическую смену локации), то легко. И в этом накладываемые ограничения на вынос номерной емкости создает дилемму — безопасность или функциональность.
Хм. Голосовая капча с разпознаванием речи?.. :)
Уже есть такие системы. О них подробнее напишу в ближайшие дни — как раз посещал одно из мероприятий, где презентовались такие плюшки :) Очень перспективная штука.
Что-то вроде «Вычислите два плюс два умножить на два, переключите телефон в тоновый режим и введите ответ.Спасибо»?
Так вы же сами оператор номера 8-800. Условие брать с клиента за целую минут при разговоре несколько секунд установили вы. Если изменить тариф на посекундный — ваш клиент будет менее затратно переносить атаку.

Тогда голосовая капча может быть выходом: нажмите две последние цифры своего номера. Будет только 10-12 секунд.
Мы для некоторых своих клиентов предлагаем и посекундную тарификацию. Я взял наиболее распространенный подход к биллингу.
Наш клиент об атаке узнает намного быстрее, чем ему придет счет. Благодаря системе аналитики звонков (мы о ней писали недавно) клиенты могут постоянно контролировать потоки данных. + у инженеров стоит мониторинг на загрузку каналов и лимит расходования средств.
А просто ограничения на суточные расходы нет?
Ограничение на суточные расходы это не совсем решение.

Вот представьте, произошла DDoS атака с 8 утра до 10 утра, сработало ограничение и номер заблокировался и что дальше до 0:01 следующего дня теряем клиентов?

Естественно как верхнюю планку расходов его можно использовать.
Можно и суточные лимиты ставить. При этом должна быть возможность менять эти лимиты в случае превышения по договоренности с оператором.
надо было тэг выставить — я пиарюсь.
т.к. больше похоже на рекламу вашего сервиса и не более…
Если сервис является полезным, что в этом плохого?
я не говорю что плохо, даже наоборот.
просто конкретный топик больше похож на рекламу себя.
было бы интересней хотя бы в приближении рассказать что вы сделали…
Безусловно, на каком-то конкретном примере было бы интереснее это разобрать, но цель именно этой публикации все-таки была несколько иная. Я поговорю с инженерами, возможно, мы какой-то кейс попробуем разобрать.
UFO just landed and posted this here
— Нажмите 1 для вызова торгового зала, 2 для вызова сервисного центра, 3 для вызова отдела продаж, 4 для связи с оператором, 0 для повтора списка меню.

Нажимаем на 0 каждые n секунд и перезваниваем при дисконнекте. Profit?
Не профит. Идея в том, что для атакующего звонок бесплатный (< 5 сек), а для отвечающего платный (минута пошла). Это ставит стороны в резко различные условия.
Атакующие очень легко могут ставить вообще любые номера и звонить с посекундной оплатой.

Помочь можно клиенту как и в случае с ddos можно на трех уровнях:
1) Дать возможность самому настраивать списки отбоя и другие условия
2) Установить лимиты расходования, дневные, часовые, месячные. В DDoS — использование умных железок с легким фильром на стороне оператора.
3) На стороне оператора связи и вашестоящего оператора определить кто из мелких «приземлюящих» льет трафик. В основном это делается незаконно, к тому же используется указание номера не своего номерного диапазона.
Этот коммент круче всей статьи :)
Тут все не так однозначно:
1) Для составления поднобного списка в ручном режиме может уйти очень много времени.
2) Лимиты это выход, но при достижении «уровня отсечки» атаку можно считать состоявшейся.
3) Вот тут есть пространство для творчества, но практика показывает, что делать трассировку достаточно долго. Вообще, передача АОНа не из своего пула грозит отзывом лиценизии для оператора, т.о. вычислив оператора можно с ним работать.

Третий пункт самый долгий, но самый верный)))

Вообще, суть статьи, это всего лишь констатация факта незащищенности клиентов, пользующих 8800.
>> В последнее время компании стараются использовать современные и удобные средства для завоевания лояльности клиентов. Одним из наиболее распространенных и, по мнению многих, эффективным средством является бесплатный номер «8-800».

А Ваша компания использует номер 8-800?
Нет, конечно. Эту уязвимость у себя они уже заранее закрыли :-)
Нет, мы не используем этот номер.

Еще раз хочу повторить — основая идея статьи заключалась с том, чтобы люди сначала продумывали, насколько им необходима та или иная возможность. К нам часто обращаются клиенты с вопросом: «Хотим номер 8-800». Потом начинаем разбирать кейс (какой бюджет, как контроолировать эффективность звонков, кто является покупателем, система учета обращений и т.д.) для оптимизации услуги и выясняется, что услуга и не так уж жизненно необходима, есть другие решения для данного клиента.
Например, наши клиенты, у которых 90% потока клиентов идет через web, используются webcallback — но не в виде формы заказа звонка с просьбой оставить телефон и дежурной фразой «мы Вам перезвоним», а моментального соединения с оператором с бесплатным входящим звонком. Это дешевле, чем звонок 8-800, и осуществляется заодно оценка эффективности работы именно сайта с как канала коммуникации.
На стороне клиента можно только банить определившиеся номера, если несколько раз сбрасывали.

Дополнить квотой на прием звонков с непределившихся номеров.

Для клиента телефонных услуг разумно в договоре сразу прописать, что тарифицироваться должен только полезный трафик. Плюс должно быть оповещение оператором клиента о перерасходе установленного лимита средств на неделю, на день, или на час.

ИМХО, решение проблем с DDOS-ом хороший оператор должен взять на себя, у клиента не должна об этом болеть голова. Если сейчас это не общепринято, то значит есть куда расти, и наличие такой возможности у оператора может быть хорошим козырем в конкуренции.
Хороший оператор, как правило берет на себя отвественность предоставить связь — бизнес клиента и его последствия — не проблема оператора.

Кстати, от DDoS даже далеко не все ЦОДы защищают.
Кстати, это идея — злодей вовсе не конкурент, а сам оператор связи, когда показатели доходности нужно быстро увеличить =)
Вы сможете дать опеределение «только полезного трафика»?
У оператора, как правило, емкости позволяют выдержать атаку — он может даже и не заметить нагрузку. А вот клиент, у которого количество каналов четко регламентировано, может ее и не пережить. Поэтому вопрос взаимодействия клиента и оператора, который я озвучил в статье, тоже очень важен.
Хороший оператор, как правило берет на себя отвественность предоставить связь — бизнес клиента и его последствия — не проблема оператора.
Это Вы так думаете, или хотите, чтобы так было. Я думаю совершенно по-другому.
Кстати, от DDoS даже далеко не все ЦОДы защищают.
Именно по этой причине я закажу услугу именно у того ЦОДа, который возьмет на себя проблемы DDoS, а не у какого-нибудь другого.
Вы сравнивали тарифы цодов с защитой от DDoS и без нее?! Спрашивали, какой у них SLA будет при защите? Из собственно опыта, Highload (не рекламирую) это делает намного лучше многих в ЦОДах.
В чем Вы меня интересно хотите убедить? Что клиент услуги должен разбираться в технических тонкостях её реализации? Что оператор/продавец услуги не заинтересован подать её качественнее, чем у конкурентов? Что оператор не заинтересован в том, чтобы клиент купил услугу именно у него, а не у кого-то другого?..

Попробую повторить еще раз — я высказал личное мнение, что решение проблем по телефонному DDoS должен взять на себя продавец услуги, и как минимум заранее сообщить о наличии таких проблем клиенту. Если это условие выполнено не будет (например, не будет прописано в договоре), то я просто либо откажусь от заказа этой услуги, либо закажу услугу у другого оператора. Как Вы думаете, оператор/продавец услуги заинтересован в таком раскладе?
Где это 2р в среднем за 8-800? Даже у вас вижу регионы России 3.9 стационарные и 6.2 сотовые, при этом 8-800 берут в основном для регионов.
При больших объемах трафика цены существенно снижаются. Я назвал усреденную.
Тарификация обычно с 6-й секунды на 8-800 начинается. Что не сильно поможет.

Здесь в первую очередь видится решение от ребят из Capital City на базе RRD, они публиковали тут его — анализировать характер трафика, его отклонения и при превышении отклонения какой-то нормы сразу же бить в набат.

Да, в принципе решение должно работать, можно настроить анализ статистики по количеству звонков и ACD по потокам с интервалом снятия статистики 1 или 2 минуты, в случае атаки резко возрастет количество звонков и, весьма вероятно, упадет ACD. При лавинообразной атаке система сама ее вычислит и через 10-15 минут даст алерт. Кто не в курсе, я имею в виду вот этот метод.
Сама же атака может быть организована различными методами, к примеру вот так. Сложно себе представить как её вычислить другими методами, если атакующий может произвольно менять A номер.
В том то и дело, что совсем произвольно А нормер атакующий не может. Либо пул номеров, либо вообще без него, тогда вышестоящие закрывают его либо своим «общим», либо передают annonymous. Как правильно было сказано по ACD можно определить только факт атаки.
Ничего не мешает купить 100-200 симок разных, вставить в шлюз и за сутки «кинуть» компанию на пару десятков килобаксов.
Мешает, это количество номеров будет очень просто вычислить: первые пару (2,3) коротких звонков — suspected, потом — blocked. Т.е. всего 200-400-600 звонков — не сопоставимо с затратами на сами симки.
UFO just landed and posted this here
Терпеть не могу, когда отвечает робот. Ни разу в жизни не было случая, чтобы он ответил на интересующий вопрос. Имхо, лучше позвонить на обычный платный номер и сразу связаться с живым человеком.
Мда… расширить оглашение методов борьбы с конкурентами — гениально. Все такие я остаюсь при своем мнении, что острые вопросы IT безопасности должны решаться на закрытых конференциях.

Уже жду, когда школота понесется за левыми симками и атакует кого-нибудь из клиентов…
Разориться за один день? Прецеденты были?
Да с такими цифирками — не мудрено. Вполне реально и просто реализуемо, что самое прескорбное.

У ПриватБанка (Украина) интересное решение.
Когда звонишь (правда, не 8 800, а короткий номер), он сбрасывает звонок а потом перезванивает сам.

У нас тоже есть такое решение. Но не всем клиентам это нравится — они воспринимают это как занятость линии — и могут не взять трубку при перезвоне.

Ну они сначала все-таки берет трубку и говорят "Ви звернулися в ПриватБанк. Зачекайте будь ласка, ми з вами зв'яжемось протягом трьох хвилин"

Sign up to leave a comment.