semenich Posted March 28, 2008 Posted March 28, 2008 Система Интернет - банкинга банка «Северная казна» 30-31 сентября 2007 года подверглась массированной распределенной DDos - атаке со стороны неустановленных пользователей. Начало атаки было зафиксировано с 5-00 часов 30 сентября, когда со стороны всех провайдеров пошел вал пакетов на сервер www.kazna.ru по адресам ххххх. Атака протекала с динамически изменяющихся ip адресов. Одновременно атака велась в пике с 400 000 адресов. Передавались бессмысленные сообщения, мусор, резаные пакеты, иногда просто открывалось соединение и через некоторое время закрывалось. Попыток передать осмысленные сообщения или фиктивные документы не зафиксировано. Основной поток направлялся на 80 порт, на котором располагался web сервер банка и демонстрационная версия системы Интернет- банк. Получаемый трафик «забивал» весь канал, блокировав работу не только Интернет-банкинга, но и системы Клиент - банк, которую вообще не атаковали. Клиенты не могли осуществлять электронные переводы и обращения на информационные ресурсы. В 15 часов 30 августа web сервер был переведен на другой адрес, атака продолжалась по прежнему уже пустому адресу. Это говорит о том, что атака была нацелена на конкретные ip адреса, а не на DNS имя www.kazna.ru. В 14-30 30 августа зафиксировано начало атаки на основные сервера Интернет-банкинга по новым адресам. Максимум атаки пришелся на 19 часов - сотни мегабайт информации на 80 порт, множество зловредного трафика на 443 порт. С помощью организации работы farewall удалось обрезать все обращения к 80 порту, но канал связи был занят полностью, что привело к неработоспособности банка с клиентами. Одновременно велась активная работа с провайдерами услуг связи. Первым отреагировал УТК, поскольку поток зловредного трафика был настолько велик, что угрожал блокировать работу самого провайдера. Специалисты УТК установили ассеss листы на своем телекоммуникационном оборудовании и блокировали пересылку зловредного трафика. Эквант сообщил, не уточняя деталей, что у них установлена система блокировки трафика DDos атак и их оборудование блокирует эти пакеты. 30 августа Эквант зафиксировал поток 223 Мбит/сек с западного направления и блокировал своими средствами 200Мбит/сек, но и оставшийся представил проблему для провайдера. Таким образом, 30 августа к 24 часам работали 2 провайдера, которые обеспечивали блокировку трафика DDos атак. Пользователи получили возможность проведения операций по системе Интернет-банкинга, продолжили функционирование другие системы. Большая проблема возникла с третьим провайдером -- Golden Telecom, который не проводил никаких работ по фильтрации и блокировке трафика. Через этого провайдера продолжал идти поток зловредного трафика, забивающий каналы телекоммуникационной системы банка. Поэтому канал Golden Telecom был отключен, продолжив работу с двумя другими провайдерами. Особо следует отметить, что оборудование компании Golden Telecom настроено таким образом, что запросы клиентов Golden Telecom к ресурсам банка адресовались только через каналы Golden Telecom, даже в случае отключения этого канала. Хотя оборудование банка и других провайдеров организовывается таким образом, чтобы информационные потоки маршрутизировались через доступные каналы. В результате этого была блокирована работа большого числа пользователей Интернет-банкинга. На 15 часов 31 августа по информации банка «Северная казна» атака велась с 3 500 адресов при отключенном канале Golden Telecom и включенной фильтрации трафика у двух других провайдеров. К 16 часам Golden Telecom начал также фильтровать трафик. С 15 до 16 часов ужесточение атаки на адрес ххххх с использованием IСМР протокола. Провайдеры отреагировали добавлением новых правил в ассеss листы. С 21 до 23 часов новая совокупная атака на адреса хххххххххх, http запросы, IСМР. Банк «Северная казна» проводил и собственные мероприятия - специалисты анализировали трафик, проверяли ответы клиентам и, если проходило несколько отказов в обслуживании из-за отбраковки по подтверждению ЭЦП, такого клиента временно отключали от системы. Тем не менее, 31 августа работали в среднем, 600 пользователей. Банк предоставил клиентам всевозможные льготы, бесплатно принимая данные на бумажных носителях, продлив операционный день. В дальнейшем, 1 и 2 сентября на информационные ресурсы банка «сыпались» отдельные пакеты, а с 3 сентября - установилась нормальная работа без внешнего воздействия. Вставить ник Quote
grama Posted March 28, 2008 Posted March 28, 2008 Печально все это , у нас сегодня две точки входа до 70 % кратковременно прогрузились от DDoS во вне, но дальше себя не выпустили. Методы борьбы я полагаю конкретные никто не предложит и не опишет по причине безопасности ради чего она и создается. Правда лично меня этот вопрос сильно волнует. Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ? Вставить ник Quote
Прохожий Posted March 28, 2008 Posted March 28, 2008 Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ? Э, то ли еще будет! А вот когда 4D по приличному блоку, да со структурой трафика "как настоящий"... Не вижу ничего невозможного. Вставить ник Quote
grama Posted March 28, 2008 Posted March 28, 2008 Уважаемый Профессор. Я всегда с трепетом отношусь к вашим сообщениям. Я не сомневаюсь в динамике развития событий по теме ,например, я понимаю, что каждый сам кузнец своего счастья. Объясните мне одно, созерцая происходящее с вершин своего Олимпа (уверен заслуженного), у Вас не возникает желания помочь страждущим ? Вставить ник Quote
Прохожий Posted March 28, 2008 Posted March 28, 2008 Ой? Это мне? Не, я точно не профессор! И у меня точно нету Олимпа! Я просто Прохожий, философ, идущий по тропинке жизни под дырявым зонтом, совсем не укрывающим от непогоды. Я не представляю, как помочь страждущим. Я не умею останавливать лавины, прогонять взад цунами и лечить фундаментальные проблемы протоколов :( Если Вы хотите защитить Сеть от своих абонентов - то Вы все сами все знаете. Другого пути нет, ну, некоторые обещают чудеса, но если как следует разобраться - то вопрос только в способе определения "аномалий". Если Вы хотите защитить себя от Сети... То это невозможно. Если кому-то будет действительно нужно поддерживать Вашу AS в коме - он это сделает. Тогда самым разумным было бы найти и убить его. Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет. Удачи! Я всегда с трепетом отношусь к вашим сообщениям.И совершенно напрасно! Аз есмь ярко выраженный ложный авторитет и пизбрехло. Вставить ник Quote
grama Posted March 28, 2008 Posted March 28, 2008 (edited) Почему Профессор- если помните на НАГЕ звания иначе раздавались ;) Я к сожелению или к счастью своему не программист и не спец в узкой отрасли связи (вендоры и т.п.) Я просто инженер из авационной отрасли (оптимизация процессов обработки металлов). Возможно кто то постыдится данному званию, только не я и только не БУРСЫ где я учился. Скажу одно там где меня учили с 87 по 92 , мне дали почти все ;) Именно поэтому мне нужна любая ИНФОРМАЦИЯ, а проанализировать я ее смогу :) Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет. Долго пытался найти связь так и не нашел. Весь парадокс в том, что процитированное выражение и есть суть процесса. И вся абсурдность на первый взгляд, полностью характеризует ситуацию. P.S. Если позволите, то я проведу небольшой анализ Фигурантов на этом Форуме. 1. Это лично для меня несомненный Авторитет -Клава Маус , я давно подозревал, что это МОЗГ, но когда КМ "прокололся" с Доктором наук у меня все сразу встало на свои места. :) 2. Все остальные Гуру меня постоянно радуют "открытой информацией" , называть с моей стороны ники по меньшей мере неприлично :) 3. Ну и самое главное. Я безгранично благдарен Вам ВСЕМ ГУРУ и человекам с Олимпа, что иногда Вы забыаетесь в спорах и позволяете нам простым смертным прикоснуться к сОкровенному ;) Edited March 29, 2008 by grama Вставить ник Quote
AlexBT Posted March 29, 2008 Posted March 29, 2008 Грама, как бы не хотелось получить помощь - это не удастся. Тем более на форуме, не посвященном борьбе с атаками в Инет. Единственный стопроцентный способ ликвидации проблем на сети - это отключение источника проблемы. Абонента на его порту, заглючевшего устройства от сети. С последующим разбором полета и причин, приведщим к пике. Это внутри своей сети. Если пришло снаружи - то собственная защита не поможет. Пакеты уже пришли на Ваши интерфейсы. Отключив собственные интерфейсы Вы получите тот же результат, которого желал атакующий - Вы пропали для сети. Здесь нужно трясти соседа - что бы он искал источник беды, и гасил его. Фильтровал... И это должно двигаться по цепочке. От оператора к оператору. А если атака распределенная, то очень большое количество операторов должно быть вовлечено в действия противодействия. Но тут - как повезет - захотят ли, есть ли ресурсы. До большинства можно просто не дозвониться, не дописаться. Да и реакция большинства удаленных от Вас будет простой - у нас проблем нет, нам пофиг... Ибо Интернет - всем все пофиг, кроме бабла, зарабатываемого на Интернете... (с) слямжено... Вставить ник Quote
puh Posted March 29, 2008 Posted March 29, 2008 Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?Cisco Guard? Вставить ник Quote
Yokodzun Posted March 29, 2008 Posted March 29, 2008 Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?Cisco Guard? А оно способно потянуть существенные объёмы трафика\кол-во pps? Есть в этом сомнения. Тут ув. Mr.Bear тестил вроде какую-то железку посуровей. Вставить ник Quote
MrBear Posted March 29, 2008 Posted March 29, 2008 А оно способно потянуть существенные объёмы трафика\кол-во pps? Есть в этом сомнения.Тут ув. Mr.Bear тестил вроде какую-то железку посуровей. Да там не сколько железка суровей, сколько её маркетинг. :) Arbor PeakFlow SP называется. Общий вывод - для регионалов с дефицитом полосы лучшее средство - blackhole у аплинка, а мониторить трафик лучше самописками. Поскольку в эффективные системы вход начинается с $50К, но основной их функционал не будет востребован в условиях, когда сначала ложатся внешние каналы, а потом хоть ты чего уже делай. :) Хорошо помогают банальные антивирусы на почтовых серверах и блокировка наиболее уязвимых портов на бордере сети. Вставить ник Quote
puh Posted March 29, 2008 Posted March 29, 2008 А оно способно потянуть существенные объёмы трафика\кол-во pps? он же inline только для трафика на сеть, подверженную атаке. А весь остальной трафик через него не ходит. Вставить ник Quote
Прохожий Posted March 29, 2008 Posted March 29, 2008 Кхм. Товарищи, давайте не будем валить в кучу совершенно разные вещи. С точки зрения абстрактной атаки она может быть: 1. Внутри Вашей сети. Не всегда осознано, например, вирусный шторм, вызванный локальным трафиком сканирования зараженных хостов для разновидностей триппера, которые сканируют сперва что поближе. Эффективно давить можно только фильтрацией апстрима на абонентском порту. Как привило в связи со сравнительно дешевым ресурсом, который она жрет - на нее просто плюют. 2. Изнутри Вашей сети наружу. Атака Вашими хостами на внешний ресурс, вирусный шторм вызванный повальным сканированием без учета топологии (всякие рандомные алгоритмы размножения). Есс-но давится либо на абонентском порту, либо на BRASе. Некоторые внутри - плюют, но на границе сети левак давят, наружу срань не выпускают. Респект! 3. Атака извне на ресурсы внутри Вашей сети. Наиболее уязвим в этом случае сам аплинк (ибо ограничен), и АФАИК, плотность атаки в 4-10 Гбит/с на сегодня уже является вполне достижимой. Эти потоки не создают больших проблем для магистралов, ибо с сорсе обычно весь мир, и подобно свету, оно как бы даже ничего, пока линзой в одной точке не сфокусируется. Единственным реальным выходом является блэкхол на апстриме. Потому я и кошмарил, что последние "наработки" в этой области - это 4DoS с профилем трафика, достаточно близким к нормальному. Чего в блекхол отправлять прикажете? Если там десятки тысяч адресов в сырцах и дестенейшнах, десятки протоколов и не тупое содержание пакетов? Поможет только фулл стейт анализ, но, пардон, кто его будет делать на магистральных маршрутизаторах? Почему Профессор- если помните на НАГЕ звания иначе раздавались ;)Много постов - еще не значит много смысла в них. Если помните, как звания раздавались :) Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет. Долго пытался найти связь так и не нашел. Весь парадокс в том, что процитированное выражение и есть суть процесса. И вся абсурдность на первый взгляд, полностью характеризует ситуацию. Тут знаете ли, от контекста зависит. Сказанное мною справедливо в глобальном контексте, и бессмысленно в локальном. Очень просто. Это как с чистотой. Если никто не будет сорить и харкать - будет чисто, и даже мести надо будет намного реже. Но это только если все. А если я один - то сильно чище не станет. То есть вроде как соблюдение чистоты самим чистоту вокруг вовсе не гарантирует :) Что до разбора наиболее одиозных форумных фигур - а есть ли смысл их разбирать? Разве что на запчасти. Правда, большинство их запчастей и к ним самим-то не очень подходят, не то, чтобы в другое место быть примененными. Вставить ник Quote
Тимур Posted March 30, 2008 Posted March 30, 2008 Потому я и кошмарил, что последние "наработки" в этой области - это 4DoS с профилем трафика, достаточно близким к нормальному. Чего в блекхол отправлять прикажете? Если там десятки тысяч адресов в сырцах и дестенейшнах, десятки протоколов и не тупое содержание пакетов? Поможет только фулл стейт анализ, но, пардон, кто его будет делать на магистральных маршрутизаторах? Da, eto ochen hrenovo. Nedavno nashim druzejam dosili DNS vsem internetom. Nichego ne rabotaet i hren chto sdelaesh. :-( Вставить ник Quote
Прохожий Posted April 1, 2008 Posted April 1, 2008 Nedavno nashim druzejam dosili DNS vsem internetom.Nichego ne rabotaet i hren chto sdelaesh. Что значит "досили DNS"? Опять растяжимо сильно. Потому что одно дело DNS сервис для пользователей, друге дело публичный - DNS сервис в мир для ресурсов. Вставить ник Quote
belovictor Posted April 1, 2008 Posted April 1, 2008 Вот прям щас наблюдаем красивый такой ддос... 3Гбит/сек на одного из наших клиентов... Вставить ник Quote
Прохожий Posted April 1, 2008 Posted April 1, 2008 Вот прям щас наблюдаем красивый такой ддос... 3Гбит/сек на одного из наших клиентов...Ну и как оно? Фильтрабельно? Хотя, вроде Вам самим три гига должно быть далеко не смертельно, АФАИК. Вроде Вам до десятки лили, нет? Вообще, похоже на то, что положить плашмя некрупного провайдера на недельку скоро сможет галимый пионЭр... :(((( Ставки падают, мощности растут :((( Вставить ник Quote
puh Posted April 2, 2008 Posted April 2, 2008 так провайдеры тоже растут. аплинк в двушку для обычного провайдера среднего города был нормой ещё в начале этого века. Вставить ник Quote
MrBear Posted April 2, 2008 Posted April 2, 2008 Вообще, похоже на то, что положить плашмя некрупного провайдера на недельку скоро сможет галимый пионЭр... :(((( Ставки падают, мощности растут :((( Это уже сравнительно давно так. Вставить ник Quote
belovictor Posted April 2, 2008 Posted April 2, 2008 Прохожий, арбор ловит и блэкхолит... Но все равно неприятно наблюдать :-) Такие потоки только убивать можно к сожалению. Атаки поменьше размером можно заруливать на другую запчасть, которая фильтрует только атакующие пакеты, а клиент живет. 3 гига из 40 нам не смертельно, это да. Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов. Вставить ник Quote
DiM_TauRus Posted April 2, 2008 Posted April 2, 2008 Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов. А чем вызванна такая тенденция ? Вставить ник Quote
belovictor Posted April 2, 2008 Posted April 2, 2008 Тем что за каждым пиром на IX'е стоит вполне контроллируемая сеть, а за tier-1 - весь мир :-) Вставить ник Quote
st_re Posted April 2, 2008 Posted April 2, 2008 А не потому ли, что за аплинком их просто больше на порядки? хостов вообще. Сколько их там, за IX. К примеру, с MskIX < 6к префиксов, на фоне >250к это стремящаяся к 0 величина. ботнет, это не p2p, он не пытается найти ближайший пир, он где заразился, оттуда и ддосит. Что из Бразилии, что из сети конкурента. В отличии от p2p и веба, которые в массе своей таки более привязаны к стране. Да и нельзя исключать возможность, что так атакующий может пытаться стать менее уязвимым для атакуемого. Найти в 10 утра по Москве админов из Бразилии будет не реально. Соответственно нереально отключить поток, максимум тамошний хелпдеск зарегистрирует хаявку, если он там вообще есть. А учитывая количество таких потоков и их распределение по часовым поясам... Вставить ник Quote
Прохожий Posted April 3, 2008 Posted April 3, 2008 Прохожий, арбор ловит и блэкхолит... Но все равно неприятно наблюдать :-) Такие потоки только убивать можно к сожалению. Атаки поменьше размером можно заруливать на другую запчасть, которая фильтрует только атакующие пакеты, а клиент живет.Правильно понимаю, что по сути получается, что клиент в оффлайне, т.е. цель атаки достигнута. И арбор, на самом деле, просто высвобождает Ваши ВНУТРЕННИЕ канальные ресурсы. То есть в принципе можно было просто отправить в /dev/null весь адресованный этому клиенту входняк по его адресам? 3 гига из 40 нам не смертельно, это да.Угу. Но вот следующий вопрос: где предел мощности атаки? Теоретический предел посчитать несложно, но он настолько велик, что разум его понимать отказывается. Это как посчитать вес Луны в момент размышляя о сволочи, которая бросила на крышу машины кирпич. Вот практический-то предел чем определяется? Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов.Виктор, а Вы действительно не думали оценить корелляцию между объемом ДОС трафика и количеством адресов, видимых через этот интерфейс? Очень интересно может получиться, знаете ли! А ЕЩЕ интереснее может получиться анализ удельного ДОС-потока на один IP адрес в разрезе AS. Вставить ник Quote
t92 Posted April 3, 2008 Posted April 3, 2008 Прохожий, а не следует ли из того что основная масса пакетов ДОС атаки следует через Tier1 операторов, сервисы ориентированные на именно российских потребителей, могут в этот момент фильтровать весь _не_ рунет, и ручками узлы в рунете. Ну и пытаться выжить. (Ессно на стороне оператора) Вообще насколько сильна на данный момент атака именно из российского сегмента ? :) оч сильно интересует. Вставить ник Quote
kostich Posted April 3, 2008 Posted April 3, 2008 (edited) Тем что за каждым пиром на IX'е стоит вполне контроллируемая сеть, а за tier-1 - весь мир :-) Не смешите, пожалуйста, про контролируемость... http://stopddos.ru/current/ ps. Могу автоматом NOC-ам абузы слать по каждому инциденту... надо? Edited April 3, 2008 by kostich Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.