Одним ранним утром, проснувшись и попивая чашечку кофе уселся перед монитором. Забегал по ссылкам из твиттера, всяким фидерам и подобным полезным штукам, как вдруг в поле моего зрения попала статья: DDoS со скоростью 100 Гбит/с. Такие вещи не могут оставить равнодушным человека, который хоть как-то связан с информационными технологиями. DDoS такого масштаба еще не знала история. Среднестатистическая атака такого типа идет раз в 10 меньшими силами… Но ничего в этом сверхестественного я не заметил. Зная, что громаднейшую долю рынка десктопных ПК составляет продукция известной компании и так же зная ее склонность ко всяким там насморокам и чиханиям, невольно понимаешь, что если ботнет такого масштаба попадет в заточенные руки, произойдет что-то весомое и значимое. Забегая вперед скажу, что этот день настал.

ff_estonia_map_w

Вчитался я в статью с громадным интересом и не заметил, как переключился уже на комментарии. Комментариев было около сотни. Возможно даже больше, чем самой статьи. Но это и не мудрено. Многих задела такая свежая и интересная тема. Решив немного передохнуть после прочтения всех комментов я занялся своими делами. Прошло пару часов. Лента должна была пополнится свежими мыслями, но какого было мое удивление, когда я увидел следующую надпись:

Доступ к публикации закрыт

Вы пытаетесь открыть публикацию, написанную пользователем equand.

Автор переместил топик в черновики.

Это немного смутило и обрадовало. – Новые детали – подумал я. – Сейчас статья пополнится.

Но не тут то было. Время шло. Надежда уходила. Любознательнаясть моя не заставила долго ждать. Поискав немного информацию по автору, я выяснил страну, где он проживает, его предпочтения и самое главное – электронную почту.

Письмо вылетело незамедлительно:

“Привет. Сегодня с интересом читал твою тему на хабре о ДДоС 100+. После прочтения с не меньшим энтузиазмом читал комментарии, умные и не очень. Очень хотелось бы читать дальше дискуссии, но после попытки зайти на тему, увидел следующее:

Доступ к публикации закрыт

Тема будет открыта заново ? Ты вносишь в нее какие-то изменения ?

Надеюсь на твой положительный ответ.


С уважением,

Алексей”

Ответ не заставил себя должно ожидать:

“Привет,

Нет, к сожалению, тему удалил по просьбе одного из пострадавших, еще судом пригрозили. Мне и так проблем хватает, разбираться.

С Уважением,
Андрей”

Мы немного попереписывались с Андреем, я узнал некоторые интересующие меня детали и завершили наш диалог.

Я: “В любом случае, не падай духом, проблемы временные, все разрулится. Зато какой экспириенс приобретешь! Сколько людей о тебе узнало. ”

Он: “Да, надеюсь все разрулится. Ситуация не ахти.”
В СМИ эту тему вообще не обсуждали за исключением, одной новости. Укртелеком под ударом. ДДоСят… ДДоСят. Но все было намного серьезнее.
Ну, не буду томить.
Открывается ширма. Действие первое:
Скажите, вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?

Когда-нибудь кто-нибудь видел как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
И не дай-бог вам увидеть подобное.

Если кто-то думал, есть ли термоядерное оружие в интернет — оно есть.

Затишье перед бурей

25 сентября 2010 г.:

18:25
На один IP адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим дц закрыть UDP траффик на IP, никто больше 10 гбит/с не атакует, верно?

18:35
Дц рапортует о блокировке с красивым графиком падения нагрузки на порт.

18:40
Предпоследний вопрос получил ответ — неверно! На IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Провайдер null рутнул всю подсеть. Подсеть не с нашей AS. Сделать ничего невозможно.

27 сентября 2010 г.:

17:30
После объяснительной нашу сеть включают, естественно атакованного попросили уйти, сменить А запись и забыть про наш хостинг еще 25-ого, пару дц положил он гуляя (кажется netdirekt и какой-то украинский).

Doomsday

7 октября 2010 г.:

10:30
На клиента-хостера, а точнее его клиента (code-named товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA подсетями туго, решили блокировать IP, попросили нуллрутнуть. Не тут-то было, старый друг вернулся. Венгерские каналы за рубеж для многих сайтов закрылись, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал фондовой биржи, ADSL сети и несколько ДЦ. Для локальных пользователей пол-Европы не было видно. Нас рутят в ноль.

13:44
По данным дц, спустя 1 час после дропа IP атака продолжалась на другие подсети их AS. По данным от клиента они попытались перенести сайт на Leaseweb, IP сменили. Evoswitch частично лег моментально, пока не зануллраутили IP. При смене A записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь.

19:17
Товарищ сделал 127.0.0.1 у домена.

Утро вечера не мудренее

8 октября 2010 г.:

10:30
Клиент сообщает, что после переноса сайта товарища в дц webazilla на него опять полилось 60 гбит/с

11:57
Вебазилла умоляет убрать из домена A запись, т.к. магистральщики умирать начинают — льется больше 100 гбит/с.

Весело да?

После этого товарищ попрыгал по антиддосерам (укртелеком и еще какие-то вроде sharktech и еще кто-то), сайты которых быстро валились и подсети тоже.

Напомню смена A записи моментальна давала атаку, а нулрут — атаку на под-сеть, мулти-запись А — мулти-атаку!

Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.

Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1.

Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.

Встает вопрос: как бороться с этим, без nullрута подсетей?
36 часов атаки, кто на такое вообще способен? И сколько такое вообще может стоить?

P.S.: Мои подсети до сих пор не включили, магистральщики боятся и просят ждать 72 часа. Дц боится вообще прикасаться к ним, оно и ясно, у них SLA 99.9% дважды нарушено, выходит они и нам должны и остальным клиентам, проще им с нами судиться, чем если что, с тысячами их клиентов.

Оригинал: habrahabr.ru/blogs/hosting/105830/

Антракт, занавес…
Страшно это, господа хорошие. Любой ресурс в данный момент может быть просто заDDoS’ен. Причем, мало что может его спасти, если ложатся под напором не просто промежуточные провайдеры, а целые, отдельно взятые регионы.
Сейчас, мне кажется, компетентные люди уже всерьез занялись этой проблемой. Поэтому и хотели первое время скрыть, или особо не оглашать интересные новости.
Любопытно будет, какие меры предпримут провайдеры для предотвращения таких нагрузок.
Очень жалею, что не успел снять снимок с комментариев на хабре. Ой как мне их не хватает.