Как стать автором
Обновить

Как мощная DDoS-атака не стала для нас форс-мажором. Ну почти

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров3.3K
Всего голосов 10: ↑8 и ↓2+8
Комментарии10

Комментарии 10

есть возможность создать много подсетей класса А полностью недоступных из-за рубежа и поэтому защищенных от D-DOS атак из-за рубежа. если интересно то я напишу как

Интересно!

очень расплывчато написано. вам лилось более 40гбит/с атаки l3-l4, l7.
вы обнаружили, что много трафика из гугла. сняли анонсы к ним. остался какой-то трафик, который вы фильтровали на уровне аплинков. но это вы фильтровали l3-l4. вы сами сказали, что l7 так не фильтруется.

вы всех поставили под защиту провайдера анти-ддос, чтобы защищаться от l7 атак? или прст терпели?

я слышал, при фильтрации tcp-flood могут быть побочные эффекты типа ломающегося исходящего трафика и прочих приключений. расскажите подробнее, как вы боролись с остатками атаки (после фильтрации на аплинках) разных уровней, как фильтровали.

если не секрет, какая полоса суммарная у вас на аплинках?

Спасибо за вопросы.

  1. Наши критичные сервисы (как и наиболее осознанных в плане защиты от DDoS-атак наших клиентов) и так всегда находятся под защитой L3-4 и L7. Принудительно поставить всех под защиту от DDoS на L7 технически невозможно, тем более во время атаки.

  2. Единственное, что все заметили - если были указаны зарубежные DNS-серверы (Google, CloudFlare и т.д.), то сайты перестали резолвиться после того, как истек срок хранения зон в кэше. Других побочных эффектов не замечали. Если что и осталось после фильтрации на аплинках, то оно какого-то значимого негативного эффекта не создавало, мы на этом не концентрировались, было чем заняться в это время =)

  3. Это не секрет, а тайна =)

Тогда мы попробовали отсекать входящий трафик по GeoIP. Выяснили, что основной поток идёт из автономной системы Google. C помощью BGP community попросили наши аплинки не анонсировать наши сети в AS Google. Тогда мы смогли отсечь довольно большой объём трафика.

Хотел бы поставить под сомнение озвученные факты.

А именно: BGP Community могут ограничить распространение маршрутной информации через определенный стык, но, при наличии других маршрутов, трафик (в том числе вредоносный) все равно найдет лазейку. Учитывая связность Google, он всегда сможет доставить свой трафик.

Я видел десятки атак (самая крупная - около 350 гбит/с), их обычные источники - страны ЮВА, ШПД-сети (в том числе российские), камеры, роутеры, холодильники и прочие IoT-девайсы, поганые хостинги и CDN, но никогда источником хоть сколько-нибудь серьезного объема подозрительного трафика не был ни сам Google, ни его облачные сервисы.

Так что, либо Вам что-то не то сообщили, либо Вы что-то не так поняли.

у меня есть сервер с белым IP и на него постоянно идут атаки подбора пароля. за много лет там много логов. если брать по организациям то наибольшее число идут из облаков гугл, майкросовт и aws.

я так понял это вообще предпочтительный способ искать новые сервера в ботнеты установив несколько первых в существующие облака. и оттуда уже распространять атаки на все возможные адреса в интернете.

по странам наибольшее число из сша.

вы же понимаете, что запустить бота в GCP и AWS для брутфорса виртуалок это не то же самое, что запустить ботнет? тем более, с большими мощностями

хорошие облачные провайдеры пресекают исходящие атаки, т.к. дорожат репутацией адресов. я работал в небольшом хостинге и даже там мы детектили всякие ботнеты (а ещё чаще спидтест =D) и блокировали такое. потому что это репутация адресов.

Есть коробки по названием технические средства противодействия угрозам, они как то умеют против такого рода атак, интересно? Или ддос для них не считается угрозой? Вдруг кто знает.

Как правило установка технического средства не поможет - вам просто забьют всю полосу пропускания до этого технического средства. К тому же, какой мощности должно быть это средство, чтобы прожевать весь этот трафик?

На пике мы зафиксировали более 50 Гбит/с входящего трафика

Ну лет так 10 назад это могло считаться как вы написали мощной атакой. Уже несколько лет как преодолён рубеж в терабиты в секунду и так на несколько дней. Насколько помню первая такая была официально озвучена в 2017 году. Тем более у вас не наколенный хостинг с одним линком к сети, а несколько подключений к магистральным операторам, которым размазать по чёрным дырам такой трафик не составляет большого труда. Они куда больший могут переварить. Мелькание названия вашего сервиса защиты смахивает на ненавязчивую рекламу.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий