Проект

Qrator Labs защитила хостинговую платформу Severs.com от высокоскоростных DDoS-атак нового типа

Заказчики: Servers.com

Москва; Информационные технологии

Продукт: Qrator.Ingress

Дата проекта: 2019/08 — 2019/08
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1453
системы - 729
вендоры - 263

2019: Защита от DDoS-атак с применением одного из векторов TCP-амплификации

22 августа 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, сообщила о том, что нейтрализовала DDoS-атаки на международную хостинговую платформу Servers.com, длившиеся c 18 по 20 августа. В их числе была первая в мире зафиксированная на практике широкомасштабная атака с использованием одного из векторов TCP-амплификации (реплицированный SYN/ACK-флуд), заявили в Qrator Labs.

18 августа злоумышленники начали атаковать сетевую инфраструктуру Servers.com, создавая регулярные высокоскоростные всплески трафика. Уже через несколько часов Servers.com встала под защиту Qrator Labs, подключившись к сервису Qrator Ingress, предназначенному для защиты инфраструктуры операторов связи и хостинг-провайдеров от DDoS-атак.

Qrator Labs зафиксировала несколько волн атаки. Для организации нападения в основном использовались техники LDAP-амплификации и SYN/ACK-флуда, при этом периодически идентифицировались и другие виды UDP-амплификации.

Как пояснили в Qrator Labs, техника атаки типа Amplification ("усиление") заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP. Возможность использования протокола TCP для проведения масштабных атак типа Amplification впервые была описана в исследовательской работе учёных из Рурского университета (Германия) пять лет назад, но до сих пор дня оставалась теорией, уточнили в компании.

Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой "мусорным" трафиком составил 11,5 часов. Все атаки были нейтрализованы сетью фильтрации Qrator Labs.

Поиск злоумышленников, организовавших атаку, чрезвычайно затруднён ввиду того, что зафиксированный вид DDoS-атак практически не поддается отслеживанию из-за низкого уровня применения методов противодействия спуфингу (таких как BCP 38). Реализация этих методов требует существенного изменения архитектуры сети.

«
Произошедший инцидент — отличная демонстрация того, насколько хрупким является современный интернет. Прошло почти пять лет с тех пор, как был опубликован исследовательский документ, описывающий технику SYN/ACK-амплификации. Тем не менее, за это время не было предпринято никаких инженерных усилий для решения проблемы, что в итоге привело к серии успешных атак с абсолютно разрушительными последствиями, — рассказал Александр Лямин, основатель и генеральный директор Qrator Labs. — Нам нужны более совершенные протоколы, инфраструктура и технологии для предотвращения подобных атак в ближайшем будущем. Необходимо построение системы управления угрозами, составление планов по снижению рисков и их корректировка не реже одного раза в год, поскольку в наши дни ситуация с угрозами безопасности меняется очень быстро.
»