Разработчики: | Curator (Эйч-Эль-Эль) ранее Qrator Labs |
Отрасли: | Интернет-сервисы |
Содержание |
Radar.Qrator функционирует, как бесплатный онлайновый сервис, анализирующий отношения действующих в интернете Автономных систем с использованием методов, разработанных компанией. На сайте http://radar.qrator.net в визуальной форме отражаются связи Автономных систем, а также дается прогноз по изменению используемых связей при смене политики маршрутизации. В рамках развития портала планируется реализация интерфейса проектирования, который позволит телеком-операторам оценить влияние добавления новых подключений на уже функционирующую или только проектирующуюся Автономную систему. Данная математическая модель прогнозирования поможет избежать ошибок при проектировании сетей, последствия которых могут измеряться десятками тысяч потерянных долларов.
Помимо этого, Radar.Qrator также производит мониторинг угроз безопасности на уровне междоменной маршрутизации и выявляет сетевые уязвимости, которыми могут воспользоваться злоумышленники для генерации больших объемов вредоносного трафика. В планах – создание системы оповещения в реальном времени о возникающих аномалиях, которые могут иметь значительное влияние на глобальную доступность сетевых ресурсов. В частности, могут привести к потере значительных объемов трафика или его перехвату и анализу злоумышленниками по схеме MITM (Man In The Middle) для последующей атаки на интернет-ресурсы.
При использовании системы QRATOR весь пользовательский трафик проходит через фильтрационную сеть, проверяется и перенаправляется на сервер клиента. Запросы от «ботов» отбрасываются на основании сигнатур атак, эвристического, статистического анализа и черных списков. Время обучения фильтров в среднем составляет 30 минут.
Из преимуществ системы следует отметить результативность решения (менее 5% ложных срабатываний в процессе отражения DDoS-атаки), которая достигается путем анализа трафика на уровне приложения, возможность увеличения пропускной способности без потери эффективности фильтрации.
История и статистика
2015: Qrator Radar фиксирует свыше 5000 route leaks
Qrator Labs, специализирующаяся на противодействии DDoS-атакам, фиксирует в Интернете свыше пяти тысяч «утечек маршрутов» (route leaks) — ошибок в работе глобальной системы маршрутизации BGP, влияющих на качество работы интернет-сервисов (данные мая 2015 года).
В Интернете механизмы, участвующие в работе цепочки «пользователь-сервис» бывают двух типов: локальные (например, канал связи имеет четкую географическую локализацию и находится в зоне ответственности строго определенного участника этой цепочки) и распределенные. Примером распределенного механизма является глобальная система маршрутизации, в которой участвуют все сети Интернета. Примером распределенного механизма нарушения качества - так называемые, «утечки маршрутов».
Масштаб явления огромен: Qrator Labs наблюдает ежесекундно свыше 5000 таких инцидентов в масштабе всей сети Интернет. Время жизни у них может быть очень разным - от нескольких минут до нескольких лет.
Чаще всего явление route leaks ассоциируется с умышленной деятельностью со стороны хакеров или локальных регуляторов в разных странах. Однако в реальности подавляющая часть утечек связана с ошибками маршрутизации или некорректной конфигурации и является результатом простых человеческих ошибок. На втором месте по влиянию - политика регуляторов, как это было в известном случае блокировки YouTube в Пакистане в 2008 году. На третьем – действия злоумышленников (hijacking/ «угоны сетей»).
Следствием route leaks является увеличение количества отказов, потери трафика и существенная деградация качества связи. В результате такой утечки проигрывают как транзитные операторы, так и потребители сервиса (а, значит, косвенно и сам сервис). Однако оценить реальный размер ущерба не представляется возможным, он может варьироваться от одного рубля до миллионов долларов, если затронутыми оказываются крупные финансовые организации.
Существует набор как платных, так и бесплатных инструментов для выявления проблем, а также много исследований сценариев их возникновения. С помощью системы мониторинга глобальной маршрутизации Qrator Radar владелец интернет-сервиса может получить детализированную информацию о путях следования трафика, «местах утечки», а также о пострадавшей автономной системе.
2014: Сайты российских СМИ подверглись DDoS-атакам, которые удалось нейтрализовать, благодаря сервису фильтрации трафика Qrator
30 январья 2014 года на сайт газеты «Ведомости» была произведена DDoS-атака, объемы трафика в которой достигли 1,2 Гбит/сек. Пик ее пришелся на полночь с 28 на 29 января, когда на сайт начали поступать обращения от ботнета, состоящего из шести тысяч ботов, преимущественно с российскими IP-адресами. Затем характер атаки на сайт «Ведомостей» изменился: DNS-сервера издания подверглись нападению, в результате которого они прекратили работать. То есть все обращения к доменному имени vedomosti.ru перестали доходить до web-сервера. DNS-сервера отвечают за перенаправление запросов по доменным именам на сервера по IP-адресам. Доменные имена были придуманы для удобства людей, машины же общаются по цифровым IP-адресам.
Благодаря технологиям Qrator.net, специалистам «Ведомостей» удалось нейтрализовать атаку и обеспечить доступность сайта. Специалисты Qrator перенаправили трафик на свою сеть фильтрации, а также предоставили издательскому дому свои DNS-сервера. К сожалению, обновление записей о DNS-серверах в сети занимает несколько часов, в это время сайт мог быть недоступен для некоторых пользователей.
2013
Сервисом Qrator на январь 2014 года пользуется более 200 компаний. За 2013 год Qrator отразил 5786 DDoS-атак на российские сайты. Число таких атак за год, по данным на III квартал 2013 года, выросло на 34%.
За 2013 год компания Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 6 644 DDoS-атак. Годом ранее эта цифра составила 3 749. Рост обусловлен как увеличением числа клиентов Qrator Labs, так и ростом активности киберпреступников в целом.
По сравнению с предыдущим 2012 годом, в 2013 году максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, возросло с 73 до 151.
Максимальный размер ботнета, задействованного в атаке, вырос с 207 401 до 243 247 машин. Увеличилась также доля Spoofing-атак – с 43,05% до 57,97%. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.
Максимальная длительность атаки сократилась с 83 дней в 2012 году до 22 дней в 2013, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,71% до 99,83%.
По данным Qrator Labs, на фоне заметного роста «интеллектуализации» ботнетов, имитирующих поведение рядового пользователя, также существенно выросло количество высокоскоростных атак типа SYN-flood.
Число атак в 2013 году увеличилось также в среднем на одного клиента сети Qrator. Такая тенденция уже наблюдалась в 2012 году по сравнению с 2011, однако в 2013 году темпы роста увеличились в два раза – с 17% до 34%.
С марта по октябрь 2013 года подавляющее число атак производилось с использованием DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. Часто объектом такой атаки оказывается инфраструктура провайдера, которым пользуется жертва. Нападения такого типа совершались в прошлом году как на клиентов крупных операторов, так и небольших провайдеров хостинговых услуг.
С октября по декабрь проявила активность крупная бот-сеть, объединяющая более 700 тысяч компьютеров-зомби, которая использовалась для нападения преимущественно на российские банки среднего размера. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков.
В декабре 2013-го стало расти число атак c использованием технологии NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени -- NTP. Увеличение количества подобных инцидентов продолжается и в первые два месяца 2014 года.