Jump to content
Калькуляторы

Опять про DDOS

Система Интернет - банкинга банка «Северная казна» 30-31 сентября 2007

года подверглась массированной распределенной DDos - атаке со стороны

неустановленных пользователей.

 

Начало атаки было зафиксировано с 5-00 часов 30 сентября, когда

со стороны всех провайдеров пошел вал пакетов на сервер www.kazna.ru

по адресам ххххх. Атака протекала с динамически изменяющихся ip

адресов. Одновременно атака велась в пике с 400 000 адресов.

Передавались бессмысленные сообщения, мусор, резаные пакеты, иногда

просто открывалось соединение и через некоторое время закрывалось.

Попыток передать осмысленные сообщения или фиктивные документы не

зафиксировано. Основной поток направлялся на 80 порт, на котором

располагался web сервер банка и демонстрационная версия системы

Интернет- банк.

 

Получаемый трафик «забивал» весь канал, блокировав работу не

только Интернет-банкинга, но и системы Клиент - банк, которую вообще

не атаковали. Клиенты не могли осуществлять электронные переводы и

обращения на информационные ресурсы.

 

В 15 часов 30 августа web сервер был переведен на другой адрес,

атака продолжалась по прежнему уже пустому адресу. Это говорит о том,

что атака была нацелена на конкретные ip адреса, а не на DNS имя

www.kazna.ru.

 

В 14-30 30 августа зафиксировано начало атаки на основные

сервера Интернет-банкинга по новым адресам.

 

Максимум атаки пришелся на 19 часов - сотни мегабайт информации на 80

порт, множество зловредного трафика на 443 порт. С помощью организации

работы farewall удалось обрезать все обращения к 80 порту, но канал

связи был занят полностью, что привело к неработоспособности банка с

клиентами.

 

Одновременно велась активная работа с провайдерами услуг связи.

Первым отреагировал УТК, поскольку поток зловредного трафика был

настолько велик, что угрожал блокировать работу самого провайдера.

Специалисты УТК установили ассеss листы на своем телекоммуникационном

оборудовании и блокировали пересылку зловредного трафика. Эквант

сообщил, не уточняя деталей, что у них установлена система блокировки

трафика DDos атак и их оборудование блокирует эти пакеты. 30 августа

Эквант зафиксировал поток 223 Мбит/сек с западного направления и

блокировал своими средствами 200Мбит/сек, но и оставшийся представил

проблему для провайдера.

 

Таким образом, 30 августа к 24 часам работали 2 провайдера,

которые обеспечивали блокировку трафика DDos атак. Пользователи

получили возможность проведения операций по системе Интернет-банкинга,

продолжили функционирование другие системы.

 

Большая проблема возникла с третьим провайдером -- Golden

Telecom, который не проводил никаких работ по фильтрации и блокировке

трафика. Через этого провайдера продолжал идти поток зловредного

трафика, забивающий каналы телекоммуникационной системы банка. Поэтому

канал Golden Telecom был отключен, продолжив работу с двумя другими

провайдерами. Особо следует отметить, что оборудование компании Golden

Telecom настроено таким образом, что запросы клиентов Golden Telecom к

ресурсам банка адресовались только через каналы Golden Telecom, даже в

случае отключения этого канала. Хотя оборудование банка и других

провайдеров организовывается таким образом, чтобы информационные

потоки маршрутизировались через доступные каналы. В результате этого

была блокирована работа большого числа пользователей

Интернет-банкинга.

 

На 15 часов 31 августа по информации банка «Северная казна»

атака велась с 3 500 адресов при отключенном канале Golden Telecom и

включенной фильтрации трафика у двух других провайдеров. К 16 часам

Golden Telecom начал также фильтровать трафик.

 

С 15 до 16 часов ужесточение атаки на адрес ххххх с

использованием IСМР протокола. Провайдеры отреагировали добавлением

новых правил в ассеss листы.

 

С 21 до 23 часов новая совокупная атака на адреса хххххххххх,

http запросы, IСМР.

 

Банк «Северная казна» проводил и собственные мероприятия - специалисты

анализировали трафик, проверяли ответы клиентам и, если проходило

несколько отказов в обслуживании из-за отбраковки по подтверждению

ЭЦП, такого клиента временно отключали от системы.

 

Тем не менее, 31 августа работали в среднем, 600 пользователей. Банк

предоставил клиентам всевозможные льготы, бесплатно принимая данные на

бумажных носителях, продлив операционный день.

 

В дальнейшем, 1 и 2 сентября на информационные ресурсы банка

«сыпались» отдельные пакеты, а с 3 сентября - установилась нормальная

работа без внешнего воздействия.

Share this post


Link to post
Share on other sites

Печально все это , у нас сегодня две точки входа до 70 % кратковременно прогрузились от DDoS во вне, но дальше себя не выпустили. Методы борьбы я полагаю конкретные никто не предложит и не опишет по причине безопасности ради чего она и создается. Правда лично меня этот вопрос сильно волнует. Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?

Share this post


Link to post
Share on other sites
Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?

Э, то ли еще будет! А вот когда 4D по приличному блоку, да со структурой трафика "как настоящий"... Не вижу ничего невозможного.

Share this post


Link to post
Share on other sites

Уважаемый Профессор. Я всегда с трепетом отношусь к вашим сообщениям. Я не сомневаюсь в динамике развития событий по теме ,например, я понимаю, что каждый сам кузнец своего счастья. Объясните мне одно, созерцая происходящее с вершин своего Олимпа (уверен заслуженного), у Вас не возникает желания помочь страждущим ?

Share this post


Link to post
Share on other sites

Ой? Это мне? Не, я точно не профессор! И у меня точно нету Олимпа! Я просто Прохожий, философ, идущий по тропинке жизни под дырявым зонтом, совсем не укрывающим от непогоды. Я не представляю, как помочь страждущим. Я не умею останавливать лавины, прогонять взад цунами и лечить фундаментальные проблемы протоколов :(

 

Если Вы хотите защитить Сеть от своих абонентов - то Вы все сами все знаете. Другого пути нет, ну, некоторые обещают чудеса, но если как следует разобраться - то вопрос только в способе определения "аномалий". Если Вы хотите защитить себя от Сети... То это невозможно. Если кому-то будет действительно нужно поддерживать Вашу AS в коме - он это сделает. Тогда самым разумным было бы найти и убить его.

 

Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет.

 

Удачи!

 

Я всегда с трепетом отношусь к вашим сообщениям.
И совершенно напрасно! Аз есмь ярко выраженный ложный авторитет и пизбрехло.

Share this post


Link to post
Share on other sites

Почему Профессор- если помните на НАГЕ звания иначе раздавались ;)

Я к сожелению или к счастью своему не программист и не спец в узкой отрасли связи (вендоры и т.п.) Я просто инженер из авационной отрасли (оптимизация процессов обработки металлов). Возможно кто то постыдится данному званию, только не я и только не БУРСЫ где я учился. Скажу одно там где меня учили с 87 по 92 , мне дали почти все ;) Именно поэтому мне нужна любая ИНФОРМАЦИЯ, а проанализировать я ее смогу :)

 

Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет.

Долго пытался найти связь так и не нашел. Весь парадокс в том, что процитированное выражение и есть суть процесса. И вся абсурдность на первый взгляд, полностью характеризует ситуацию.

P.S. Если позволите, то я проведу небольшой анализ Фигурантов на этом Форуме.

1. Это лично для меня несомненный Авторитет -Клава Маус , я давно подозревал, что это МОЗГ, но когда КМ "прокололся" с Доктором наук у меня все сразу встало на свои места. :)

2. Все остальные Гуру меня постоянно радуют "открытой информацией" , называть с моей стороны ники по меньшей мере неприлично :)

3. Ну и самое главное. Я безгранично благдарен Вам ВСЕМ ГУРУ и человекам с Олимпа, что иногда Вы забыаетесь в спорах и позволяете нам простым смертным прикоснуться к сОкровенному ;)

Edited by grama

Share this post


Link to post
Share on other sites

Грама, как бы не хотелось получить помощь - это не удастся. Тем более на форуме, не посвященном борьбе с атаками в Инет.

 

Единственный стопроцентный способ ликвидации проблем на сети - это отключение источника проблемы. Абонента на его порту, заглючевшего устройства от сети. С последующим разбором полета и причин, приведщим к пике.

Это внутри своей сети.

Если пришло снаружи - то собственная защита не поможет. Пакеты уже пришли на Ваши интерфейсы. Отключив собственные интерфейсы Вы получите тот же результат, которого желал атакующий - Вы пропали для сети.

Здесь нужно трясти соседа - что бы он искал источник беды, и гасил его. Фильтровал... И это должно двигаться по цепочке. От оператора к оператору.

А если атака распределенная, то очень большое количество операторов должно быть вовлечено в действия противодействия.

Но тут - как повезет - захотят ли, есть ли ресурсы. До большинства можно просто не дозвониться, не дописаться.

 

Да и реакция большинства удаленных от Вас будет простой - у нас проблем нет, нам пофиг...

Ибо Интернет - всем все пофиг, кроме бабла, зарабатываемого на Интернете... (с) слямжено...

Share this post


Link to post
Share on other sites
Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?
Cisco Guard?

 

Share this post


Link to post
Share on other sites
Как защитить прежде всего себя от сумашедших кило-мега пакетов в секунду, кроме как разрывая сессии в автомате по радиусу при возникновении неприличных аномалий ?
Cisco Guard?

А оно способно потянуть существенные объёмы трафика\кол-во pps?

Есть в этом сомнения.

Тут ув. Mr.Bear тестил вроде какую-то железку посуровей.

Share this post


Link to post
Share on other sites
А оно способно потянуть существенные объёмы трафика\кол-во pps? Есть в этом сомнения.

Тут ув. Mr.Bear тестил вроде какую-то железку посуровей.

Да там не сколько железка суровей, сколько её маркетинг. :) Arbor PeakFlow SP называется.

Общий вывод - для регионалов с дефицитом полосы лучшее средство - blackhole у аплинка,

а мониторить трафик лучше самописками. Поскольку в эффективные системы вход начинается

с $50К, но основной их функционал не будет востребован в условиях, когда сначала ложатся

внешние каналы, а потом хоть ты чего уже делай. :) Хорошо помогают банальные антивирусы

на почтовых серверах и блокировка наиболее уязвимых портов на бордере сети.

Share this post


Link to post
Share on other sites

А оно способно потянуть существенные объёмы трафика\кол-во pps?

он же inline только для трафика на сеть, подверженную атаке. А весь остальной трафик через него не ходит.

Share this post


Link to post
Share on other sites

Кхм. Товарищи, давайте не будем валить в кучу совершенно разные вещи.

 

С точки зрения абстрактной атаки она может быть:

 

1. Внутри Вашей сети. Не всегда осознано, например, вирусный шторм, вызванный локальным трафиком сканирования зараженных хостов для разновидностей триппера, которые сканируют сперва что поближе. Эффективно давить можно только фильтрацией апстрима на абонентском порту. Как привило в связи со сравнительно дешевым ресурсом, который она жрет - на нее просто плюют.

 

2. Изнутри Вашей сети наружу. Атака Вашими хостами на внешний ресурс, вирусный шторм вызванный повальным сканированием без учета топологии (всякие рандомные алгоритмы размножения). Есс-но давится либо на абонентском порту, либо на BRASе. Некоторые внутри - плюют, но на границе сети левак давят, наружу срань не выпускают. Респект!

 

3. Атака извне на ресурсы внутри Вашей сети. Наиболее уязвим в этом случае сам аплинк (ибо ограничен), и АФАИК, плотность атаки в 4-10 Гбит/с на сегодня уже является вполне достижимой. Эти потоки не создают больших проблем для магистралов, ибо с сорсе обычно весь мир, и подобно свету, оно как бы даже ничего, пока линзой в одной точке не сфокусируется. Единственным реальным выходом является блэкхол на апстриме.

 

Потому я и кошмарил, что последние "наработки" в этой области - это 4DoS с профилем трафика, достаточно близким к нормальному. Чего в блекхол отправлять прикажете? Если там десятки тысяч адресов в сырцах и дестенейшнах, десятки протоколов и не тупое содержание пакетов? Поможет только фулл стейт анализ, но, пардон, кто его будет делать на магистральных маршрутизаторах?

 

Почему Профессор- если помните на НАГЕ звания иначе раздавались ;)
Много постов - еще не значит много смысла в них. Если помните, как звания раздавались :)

 

Вопрос только в том, что если каждый будет защищать сеть от своих абонентов - то каждый будет защищен от Сети. Ибо абоненты и есть Сеть. Нет ничего, что заставит это делать, но я искренне надеюсь, что именно так и будет.

Долго пытался найти связь так и не нашел. Весь парадокс в том, что процитированное выражение и есть суть процесса. И вся абсурдность на первый взгляд, полностью характеризует ситуацию.

Тут знаете ли, от контекста зависит. Сказанное мною справедливо в глобальном контексте, и бессмысленно в локальном.

 

Очень просто. Это как с чистотой. Если никто не будет сорить и харкать - будет чисто, и даже мести надо будет намного реже. Но это только если все. А если я один - то сильно чище не станет. То есть вроде как соблюдение чистоты самим чистоту вокруг вовсе не гарантирует :)

 

Что до разбора наиболее одиозных форумных фигур - а есть ли смысл их разбирать? Разве что на запчасти. Правда, большинство их запчастей и к ним самим-то не очень подходят, не то, чтобы в другое место быть примененными.

Share this post


Link to post
Share on other sites
Потому я и кошмарил, что последние "наработки" в этой области - это 4DoS с профилем трафика, достаточно близким к нормальному. Чего в блекхол отправлять прикажете? Если там десятки тысяч адресов в сырцах и дестенейшнах, десятки протоколов и не тупое содержание пакетов? Поможет только фулл стейт анализ, но, пардон, кто его будет делать на магистральных маршрутизаторах?

Da, eto ochen hrenovo.

 

Nedavno nashim druzejam dosili DNS vsem internetom.

Nichego ne rabotaet i hren chto sdelaesh.

 

:-(

Share this post


Link to post
Share on other sites
Nedavno nashim druzejam dosili DNS vsem internetom.

Nichego ne rabotaet i hren chto sdelaesh.

Что значит "досили DNS"? Опять растяжимо сильно. Потому что одно дело DNS сервис для пользователей, друге дело публичный - DNS сервис в мир для ресурсов.

Share this post


Link to post
Share on other sites

Вот прям щас наблюдаем красивый такой ддос... 3Гбит/сек на одного из наших клиентов...

Share this post


Link to post
Share on other sites
Вот прям щас наблюдаем красивый такой ддос... 3Гбит/сек на одного из наших клиентов...
Ну и как оно? Фильтрабельно?

 

Хотя, вроде Вам самим три гига должно быть далеко не смертельно, АФАИК. Вроде Вам до десятки лили, нет?

 

Вообще, похоже на то, что положить плашмя некрупного провайдера на недельку скоро сможет галимый пионЭр... :(((( Ставки падают, мощности растут :(((

Share this post


Link to post
Share on other sites

так провайдеры тоже растут. аплинк в двушку для обычного провайдера среднего города был нормой ещё в начале этого века.

Share this post


Link to post
Share on other sites
Вообще, похоже на то, что положить плашмя некрупного провайдера на недельку скоро сможет галимый пионЭр... :(((( Ставки падают, мощности растут :(((

Это уже сравнительно давно так.

Share this post


Link to post
Share on other sites

Прохожий, арбор ловит и блэкхолит... Но все равно неприятно наблюдать :-) Такие потоки только убивать можно к сожалению. Атаки поменьше размером можно заруливать на другую запчасть, которая фильтрует только атакующие пакеты, а клиент живет.

3 гига из 40 нам не смертельно, это да.

Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов.

 

Share this post


Link to post
Share on other sites
Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов.

А чем вызванна такая тенденция ?

Share this post


Link to post
Share on other sites

Тем что за каждым пиром на IX'е стоит вполне контроллируемая сеть, а за tier-1 - весь мир :-)

Share this post


Link to post
Share on other sites

А не потому ли, что за аплинком их просто больше на порядки? хостов вообще. Сколько их там, за IX. К примеру, с MskIX < 6к префиксов, на фоне >250к это стремящаяся к 0 величина. ботнет, это не p2p, он не пытается найти ближайший пир, он где заразился, оттуда и ддосит. Что из Бразилии, что из сети конкурента. В отличии от p2p и веба, которые в массе своей таки более привязаны к стране.

 

Да и нельзя исключать возможность, что так атакующий может пытаться стать менее уязвимым для атакуемого. Найти в 10 утра по Москве админов из Бразилии будет не реально. Соответственно нереально отключить поток, максимум тамошний хелпдеск зарегистрирует хаявку, если он там вообще есть. А учитывая количество таких потоков и их распределение по часовым поясам...

 

 

Share this post


Link to post
Share on other sites
Прохожий, арбор ловит и блэкхолит... Но все равно неприятно наблюдать :-) Такие потоки только убивать можно к сожалению. Атаки поменьше размером можно заруливать на другую запчасть, которая фильтрует только атакующие пакеты, а клиент живет.
Правильно понимаю, что по сути получается, что клиент в оффлайне, т.е. цель атаки достигнута. И арбор, на самом деле, просто высвобождает Ваши ВНУТРЕННИЕ канальные ресурсы. То есть в принципе можно было просто отправить в /dev/null весь адресованный этому клиенту входняк по его адресам?

 

3 гига из 40 нам не смертельно, это да.
Угу. Но вот следующий вопрос: где предел мощности атаки? Теоретический предел посчитать несложно, но он настолько велик, что разум его понимать отказывается. Это как посчитать вес Луны в момент размышляя о сволочи, которая бросила на крышу машины кирпич. Вот практический-то предел чем определяется?

 

Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов.
Виктор, а Вы действительно не думали оценить корелляцию между объемом ДОС трафика и количеством адресов, видимых через этот интерфейс? Очень интересно может получиться, знаете ли!

 

А ЕЩЕ интереснее может получиться анализ удельного ДОС-потока на один IP адрес в разрезе AS.

Share this post


Link to post
Share on other sites

Прохожий, а не следует ли из того что основная масса пакетов ДОС атаки следует через Tier1 операторов, сервисы ориентированные на именно российских потребителей, могут в этот момент фильтровать весь _не_ рунет, и ручками узлы в рунете. Ну и пытаться выжить. (Ессно на стороне оператора)

Вообще насколько сильна на данный момент атака именно из российского сегмента ? :)

оч сильно интересует.

Share this post


Link to post
Share on other sites
Тем что за каждым пиром на IX'е стоит вполне контроллируемая сеть, а за tier-1 - весь мир :-)

Не смешите, пожалуйста, про контролируемость... http://stopddos.ru/current/

 

ps. Могу автоматом NOC-ам абузы слать по каждому инциденту... надо?

Edited by kostich

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this