TheUser Posted June 19, 2024 Posted June 19, 2024 Со времен slizen.net не припоминаю сколько-нибудь интересных заказных атак на компании/персоны. А тут коллеги переслали такой хороший наброс. Цитата В мае-июне Таттелеком продолжает удивлять своими кринжовыми новостями. Сначала 1 мая абоненты оператора связи начали жаловаться на низкую скорость и полное отсутствие интернета. Оператор молчал сутки и 2 мая разразился жалобными статьями якобы о "сильнейшей в истории" DDoS-атаке. Атаку не могли отбить 10 дней, из-за чего абоненты завалили Таттелеком жалобами, а его хваленый колл-центр с ИИ просто перестал отвечать на звонки - ожидание переваливало за 2 часа. Однако, даже когда почитаешь цифры, оправдывающийся и надувающий щеки директор по ИБ (оперативно назначенный замом по ИТ чтоб принять вину на себя) смог раздуть величину атаки всего лишь до 300Гб/сек. Ну тут от недоумения остается развести руками - несколькими днями ранее оператор Уфанет в Башкирири за два дня справился с последствиями атаки 500Гб/сек. А по данным Минсвязи Татарстана, на госсистемы республики в ЦОД под защитой ИТ-парка, атаки осуществляются практически ежедневно, но пользователи этого даже не замечают. Ученый же начальник Таттелеком рассказывал сказки, что "...интернет устроен так, что вредоносный трафик можно отфильтровать только на вышестоящем узле" и разводил руками, сваливая вину на вышестоящих операторов. Более того, в майские праздники, когда горожане разъехались за город, Таттелеком из-за невозможности сдержать атаку на свои сервера, отключил все домофоны, которые обслуживает. Это более 40% всех домофонов! Подъезды в жилые дома были просто открыты все выходные дни. Но об этом Таттелеком не оповещал в СМИ или на сайте - команду разместить объявления дали только на страницах социальных сетей сотрудников Таттелеком - см. скриншот. Страшно подумать, какими беззащитными были сервера, на которых работает система Безопасный город МВД, ведь ее тоже обслуживает Таттелеком. Необходимо пожалеть абонентов Таттелекома в связи с тем, что глубокоученый искусственный интеллект директора их оператора связи не в курсе существования таких средств защиты как межсетевые экраны, системы очистки трафика и ISP. Но давайте вместе посмотрим какого оператора выбрал наш директор Таттелекома еще с 2019 года, и который бессовестно не защитил по мнению руководства Таттелекома его абонентов от вредоносной атаки. Как мы удивились, поставщик на десятки миллионов рублей в год выбран без конкурса, и это не Ростелеком, МТС или БиЛайн. Знакомьтесь с малоизвестным оператором RETN, имеющим номер сети AS9002 и зарегистрированным в Великобритании. На удивление, компания в России имеет только представительство и не одного офиса, сетью связи управляет из Риги, а анализ и "защита" трафика абонентов клиентов осуществляется в компании Arbor (Netscout) из штата Массачусетс! Получается пока страна сражается с НАТО, Таттелеком финансирует операторов связи из Лондона?! Пока раис Татарстана призывает ловить дроны над нефтяными скважинами - абоненты интернета в регионе спонсируют поставки боеприпасов в Украину?! Алло, Казань? Документы о подготовке саммита БРИКС отправляемые чиновниками региона читают в Массачусетсе? А в камеры МВД точно больше никто не смотрит? Оставим вопросы пока без ответов. Но под занавес нашего расследования выяснился еще один удивительный факт - прямо в разгар ПМЭФ, 6 июля, именно в сети Таттелеком подозрительно стали открываться сайт Инстаграмма и некоторые сайты СМИ украины. Об этом Таттелеком утаивает или они даже не замечают? По данным Radar.Qrator, у Таттелеком четыре ноги (31133, 9002, 12389, 20764). В лучших традициях многоногости, оператор должен выживать при падении 50%, т.е. двух. Что мешало Таттелеком погасить RETN и жить на трех - загадка. Скорее всего, подковерная борьба внутри Таттелеком. Что думаете, коллеги? Вставить ник Quote
AAS Posted June 19, 2024 Posted June 19, 2024 Цитата >Что мешало Таттелеком погасить RETN и жить на трех - загадка. А это не поможет. Причём совсем. Как люди которые прошли через это уже не однократно (г.Белгород и тут своя "специфика" сейчас). Атака идет на AS и блок адресов привязанный к ним. Причем идет он даже не на какой-то определенный адрес... а тупо на весь диапазон твоих адресов. Идут "обрывочные" пакете, идут пакеты с "подменных" адресов (такую херню оказывается позволяют делать всякие датацентры с арендными VPS_ками). В атаке на нас было больше 2х миллионов IP-адресов со всего земного шарика, общее кол-во "трафика" в сторону нас превысило 300Гбит+, что собственно и "засрало" все входные каналы на UpLink-ах. У нас 4 "ноги"... и наш блок анонсировался естественно, через четверых вышестоящих UpLink-ов. По большому счету выключение любой из этих ног, не приводило ни к чему - т.к. через 10-15 минут трафик в сторону нашего блока перестраивался с других оставшихся UpLink-ов. Первый раз - мы были не готовы к такой атаке... во второй раз уже были готовы и объективно нас это уже мало коснулось (в основном проблемы были с "закипанием" абонентских устройств по CPU, тех кто был на прямых IPv4-адресах) и 90% абонентов даже и не вкурсе была, что нас "жестко" DDOS-ят с полосой в сотни Гбит. но это уже секрет :) Но враги неделю жгли ресурсы, даже не понимая, что нас это уже не "цепляет"... гы...гы...гы... А за стоимость тех ресурсов которые они "сожгли" за неделю такой атаки, если бы мне их принесли в чемодане на стол - я бы и сам выключил сеть на это время 😄 Вставить ник Quote
Morty Posted June 19, 2024 Posted June 19, 2024 43 минуты назад, AAS сказал: А это не поможет. Причём совсем. Как люди которые прошли через это уже не однократно (г.Белгород и тут своя "специфика" сейчас). Атака идет на AS и блок адресов привязанный к ним. Причем идет он даже не на какой-то определенный адрес... а тупо на весь диапазон твоих адресов. Идут "обрывочные" пакете, идут пакеты с "подменных" адресов (такую херню оказывается позволяют делать всякие датацентры с арендными VPS_ками). В атаке на нас было больше 2х миллионов IP-адресов со всего земного шарика, общее кол-во "трафика" в сторону нас превысило 300Гбит+, что собственно и "засрало" все входные каналы на UpLink-ах. У нас 4 "ноги"... и наш блок анонсировался естественно, через четверых вышестоящих UpLink-ов. По большому счету выключение любой из этих ног, не приводило ни к чему - т.к. через 10-15 минут трафик в сторону нашего блока перестраивался с других оставшихся UpLink-ов. Первый раз - мы были не готовы к такой атаке... во второй раз уже были готовы и объективно нас это уже мало коснулось (в основном проблемы были с "закипанием" абонентских устройств по CPU, тех кто был на прямых IPv4-адресах) и 90% абонентов даже и не вкурсе была, что нас "жестко" DDOS-ят с полосой в сотни Гбит. но это уже секрет 🙂 Но враги неделю жгли ресурсы, даже не понимая, что нас это уже не "цепляет"... гы...гы...гы... А за стоимость тех ресурсов которые они "сожгли" за неделю такой атаки, если бы мне их принесли в чемодане на стол - я бы и сам выключил сеть на это время 😄 Поделитесь, пожалуйста, как вы решили эту проблему? Вставить ник Quote
Умник Posted June 19, 2024 Posted June 19, 2024 (edited) 14 минут назад, 1boris сказал: Поделитесь, пожалуйста, как вы решили эту проблему? Он же написал - "секрет". :) Вообще, как-то мутно. С одной стороны во второй раз "нас мало коснулось", а с другой их же клиенты с реальниками все равно пострадали. Это как? Начали анонсить через еще одного оператора новую нигде не засвеченную сетку? Тогда похоже атакующий оказался совсем идиотом, если не предусмотрел такой простой вариант. Или даже не анонсить, а просто использовать адреса оператора X, который согласился отроутить их им статикой. А так вообще Qrator предлагает услугу фильтрации в BGP-стыке: https://docs.qrator.ru/ru/connect/bgp.html Edited June 19, 2024 by Умник Вставить ник Quote
evd Posted June 19, 2024 Posted June 19, 2024 Для справки: 1. ReTN в России это не 9002, а 57304. С ней и пирится ТатТелеком. А то, что в мир он светится как подключённый к 9002, так это заложенные в сертифицированный софт опции, альтернатива bgp confederation, который в своём первозданном виде несколько неуклюж. В RIPE, правда, навести порядок ещё руки не дошли, но дойдут 2. Средства защиты от DDoS в арсенале есть, как для себя любимых, так и для клиентов. И в 57304 этот набор btw несколько отличен от набора 9002. Но - защита от DDoS это дополнительная услуга за отдельную денюжку 3. Автор пасквиля видимо никогда не заглядывал на www.retn.ru, где указаны адреса офисов в России и Беларуси 4. Если по его же мнению "сражаться с НАТО" следует разрывом всех коммуникаций, то пусть он будет последователен и предложит эту меру всем апстримам ТатТелекома, и не только, а не одному из них, наступившему кому-то на мозоль Вставить ник Quote
ipaddr.ru Posted June 19, 2024 Posted June 19, 2024 4 hours ago, AAS said: ... А за стоимость тех ресурсов которые они "сожгли" за неделю такой атаки, если бы мне их принесли в чемодане на стол - я бы и сам выключил сеть на это время Вы, видать, совсем не в курсе нынешних цен на атаки, раз позволяете себе такие опрометчивые заявления. Вставить ник Quote
Saab95 Posted June 19, 2024 Posted June 19, 2024 А что, перенаправить данные в обратку на атакующие IP адреса не было возможности? Что бы те 300Г трафика передать через свободные аплинки обратно? Атака сразу бы прекратилась. Вставить ник Quote
ipaddr.ru Posted June 20, 2024 Posted June 20, 2024 39 minutes ago, Saab95 said: А что, перенаправить данные в обратку на атакующие IP адреса не было возможности? 39 minutes ago, Saab95 said: Атака сразу бы прекратилась. На заспуфленные адреса? С заспуфленных адресов? Вставить ник Quote
Unker Posted June 20, 2024 Posted June 20, 2024 Наброс хорош, прям отработали заказ. Для тарифика на внешку ретн - хороший европеец с хорошей связанностью. Сказ про спонсирование нато ну прям в духе ура-патриотов. Российские операторы ведь тоже оплачивают за связанность в внешним миром и никто их не обвиняет в спонсировании нато и тому подобной чюши. Не справились с ддос- ну да, тут можно поразгонять "о том о сём". Вставить ник Quote
TheUser Posted June 20, 2024 Author Posted June 20, 2024 7 часов назад, Saab95 сказал: А что, перенаправить данные в обратку на атакующие IP адреса не было возможности? Что бы те 300Г трафика передать через свободные аплинки обратно? Атака сразу бы прекратилась. Такая технология реализована только в оборудование MikroTik. Остальные вендоры еще не придумали как такое реализовать... 15 часов назад, Умник сказал: А так вообще Qrator предлагает услугу фильтрации в BGP-стыке: https://docs.qrator.ru/ru/connect/bgp.html И что, есть опыть фильтрации операторского трафика? Или там тупо срезают NTP/DNS/etc amplification, а 100500 сессий с третьесортных европейских CDNов продолжают забивать канал? Вставить ник Quote
Умник Posted June 20, 2024 Posted June 20, 2024 17 минут назад, TheUser сказал: есть опыть фильтрации операторского трафика Нет, опыта использования этого решения нет. Что они срезают, а что продолжает забивать канал - не знаю. А какие альтернативы знаете вы? Есть ли опыт их использования? Вставить ник Quote
Ivan_83 Posted June 20, 2024 Posted June 20, 2024 Коряво заспуфленные пакеты скорее всего имеют какой то паттерн, его могли заметить и добавить в матчинг фильтр на какой то железке, которая на wirespeed всю атаку порезала и не заметила. У меня провайдер сайт блочил своим корявым TCP-RST пакетом, он легко матчился :) Более сложный и менее вероятный что был включён statefull фаер, но ИМХО он бы сам и полёг. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.