22.08.2019
Qrator Labs защитила глобальную хостинговую платформу Severs.com от ряда высокоскоростных DDoS-атак нового типа
Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, успешно нейтрализовала DDoS-атаки на международную хостинговую платформу Servers.com, длившиеся c 18 по 20 августа. В их числе была первая в мире зафиксированная на практике широкомасштабная атака с использованием одного из векторов TCP-амплификации (реплицированный SYN/ACK-флуд).
Servers.com – это глобальная хостинговая IaaS-платформа, предоставляющая полный спектр услуг для решения вычислительных задач, хранения данных и построения сетей. Servers.com предлагает решения премиум-класса с размещением оборудования в дата-центрах, расположенных в США, странах ЕС, Великобритании, России, Сингапуре и Гонконге.
18 августа злоумышленники начали атаковать сетевую инфраструктуру Servers.com, создавая регулярные высокоскоростные всплески трафика. Уже через несколько часов Servers.com встала под защиту Qrator Labs, подключившись к сервису Qrator Ingress, предназначенному для защиты инфраструктуры операторов связи и хостинг-провайдеров от DDoS-атак.
Qrator Labs зафиксировала несколько волн атаки. Для организации нападения в основном использовались техники LDAP-амплификации и SYN/ACK-флуда, при этом периодически идентифицировались и другие виды UDP-амплификации.
Техника атаки типа Amplification (“усиление”) заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP. Возможность использования протокола TCP для проведения масштабных атак типа Amplification впервые была описана в исследовательской работе учёных из Рурского университета (Германия) пять лет назад, но до сего дня оставалась теорией.
Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой “мусорным” трафиком составил 11,5 часов. Все атаки были успешно нейтрализованы сетью фильтрации Qrator Labs.
Поиск злоумышленников, организовавших атаку, чрезвычайно затруднён ввиду того, что зафиксированный вид DDoS-атак практически не поддается отслеживанию из-за низкого уровня применения методов противодействия спуфингу (таких как BCP 38). Реализация этих методов требует существенного изменения архитектуры сети.
«Произошедший инцидент – отличная демонстрация того, насколько хрупким является современный Интернет. Прошло почти пять лет с тех пор, как был опубликован исследовательский документ, описывающий технику SYN/ACK-амплификации. Тем не менее, за это время не было предпринято никаких инженерных усилий для решения проблемы, что в итоге привело к серии успешных атак с абсолютно разрушительными последствиями, – комментирует Александр Лямин, основатель и генеральный директор Qrator Labs. – Сегодня нам нужны более совершенные протоколы, инфраструктура и технологии для предотвращения подобных атак в ближайшем будущем. Необходимо построение системы управления угрозами, составление планов по снижению рисков и их корректировка не реже одного раза в год, поскольку в наши дни ситуация с угрозами безопасности меняется очень быстро».