DDoS в 100 Гбит/с - репортаж с линии фронта от очевидца

Предыдущие сообщения
14 апреля 2012
#1 MyP3uk uid#1395 Скажите, Вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?
Когда-нибудь, кто-нибудь видел, как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
И не дай-бог Вам увидеть подобное. Если кто-то думал, есть ли термоядерное оружие в интернете — оно есть. Хронология уникальной по мощности DDoS-атаки в 100+ Гбит/с глазами её очевидца.

.

Затишье перед бурей — 25 сентября 2010 г.
18:25
На один IP-адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим наш ДЦ закрыть UDP-траффик на IP, никто больше 10 гбит/с не атакуют верно?

18:35
ДЦ в ответ рапортует о нашей блокировке с красивым графиком падения нагрузки на порт.
18:40

Предпоследний вопрос получил ответ — неверно! На наш IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Наш апстрим быстро сообразил что к чему — null-рутнул всю подсеть.
Подсеть не с нашей AS. Сделать ничего невозможно.

27 сентября 2010 г.:

17:30
После объяснительной и многочисленных наших звонков начальству нашу сеть включают, естественно атакованный ресурс сразу попросили уйти, сменить быстро свою А-запись и забыть про наш хостинг еще 25-ого, потому как эта атака уже пару ДЦ положила гуляя (уже лег не выдержав netdirekt и какой-то ещё украинский крупный провайдер).

.
Doomsday — 7 октября 2010 г.:

10:30
Рассказываю что происходит: на моего клиента-хостера, а точнее на его клиента (далее буду называть его товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA-подсетями туго, решили блокировать его IP, попросили нуллрутнуть весь трафик.

Не тут-то было, старый друг вернулся! Венгерские каналы за рубеж для многих сайтов закрылись очень быстро, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал европейской фондовой биржи, ADSL сети и походу несколько ДЦ на пути.

Для локальных пользователей пол-Европы не было видно. Все матерятся при звонке к ним — все рутят нас в ноль.

13:44
По данным ДЦ, спустя 1 час после дропа целевого IP, атака продолжалась на другие подсети их AS. По данным от клиента они попытались быстро перенести сайт на Leaseweb, IP сменили. При этом хваленный Evoswitch частично лег моментально, пока они также спешно не зануллраутили IP.

При смене A-записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь до 100 гбит/с. Это настоящий ад и гомора.

19:17
Товарищ сделал 127.0.0.1 у атакуемого домена.

Утро вечера не мудренее — 8 октября 2010 г.:
10:30
Клиент сообщает, что после переноса сайта товарища в один из самых крупных мировых ДЦ — webazilla, — и при возобновлении работы сайта на него опять полилось 60 гбит/с.

11:57
Через час — к черту хостинг, Вебазилла теперь умоляет своего клиента срочно убрать из домена A-запись на себя, т.к. магистральщики умирать начинают — уже льется больше 100 гбит/с!

Весело, ад и гомора продолжаются.



После этого этот товарищ начал прыгать по хваленным антиддосерам (укртелеком и еще какие-то вроде sharktech и еще кто-то из американских), сайты которых очень быстро валились и все их подсети тоже.

Так, после попытки оказать услугу "анти-ддос" и принятии на себя потока в 130 гбит/сек, Укртелеком стало колбасить так, что в Киеве пропала связь между банками, начала сбоить сотовая связь по всей Украине, часть национальной точки обмена траффиком UA-IX слягло, как и не было.

Как пишет в своем твиттере третий по величине провайдер Украины: "Аллах-акбар хоть мой диапазон не ддосили, моих 5 г/битов на такой атаке слегли бы моментально".

Второй был rtcomm со своей услугой rtcomm.ru/services/anti-DDos — входной балансировщик этой "российской системообразующей компании" (как написано на их сайте) вообще сразу сдуло нахрен из интернет-видимости со всей подсетью.

Напомню, каждая смена A-записи моментально давала новый вектор атаки, а нулрут — атаку на под-сеть, мулти-запись А — мулти-атаку! Все хостеры этого проекта, старые—новые-будущие, смешались в кучу с единой мольбой — только не на нас!

Тут увидел, что Яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и своей глупости вписывал IP адреса darpa.mil, yandex.ru, Голдентелекома, Google и еще кого-то, атака продолжалась на эти IP, — пока никто не продержался.
Представьте у Вас шланг — в виде A-записи, — с возможностью направить его куда угодно и уничтожить почти всё, что угодно на своем пути. Попросил клиента уговорить этого своего товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо, как и ему, и прописать 0.0.0.0 или 127.0.0.1. Чудо случилось к 21:00 — darpa.mil поднялась, а DDoS после этого магически исчез
Встает вопрос: как бороться с этим, без nullрута подсетей? Редиректить такую атаку к американским военным — сразу на Пентагон, там быстро разберутся? Пока у меня других ответов нет.



А что можно поделать, если буквально весь мир со всех сторон ддосит конкретный IP?.. Даже дропать пакеты не успевают. Можно, конечно, логически отключать сегменты сети или просто обесточить оборудование на неопределенное время (но это рубит на корню электронный бизнес).

36 часов непрерывной атаки ровным потоком в 100-130 Гбит/с, кто на такое вообще способен?
И сколько такое вообще может стоить?


Мои подсети до сих пор не включили, магистральщики суеверно боятся и просят пождать ещё 72 часа, не высовываться пока в сеть, посмотреть что дальше будет...

ДЦ боится вообще прикасаться к ним, оно и ясно, у них SLA 99.9% дважды нарушено, выходит они и нам должны и остальным клиентам, проще им с нами судиться, чем, если что, с тысячами их клиентов.

Остаётся только добавить, что в этом описанном выше случае атака велась на LifeMeet.biz (это крупная партнерская программа конвертации дэйтинг и адалт трафика), основатель которого — наш соотечественник.
Первая надпись в новостях этого ресурса, когда он всё-таки окончательно восстановился: "Лучше бы вы фейсбук такой махиной давили" Камменты из чата техсуппорта, где первоначально хостился этот "товарищ" kibizoidus, Сегодня в 03:40
Судя по разрушениям, даже страшно подумать, чем занимаются ваши клиенты, Вова.

equand, Сегодня в 03:43
А то, самому страшно! И я взял этого клиентика на заметку, т.к. уже второй случай такой атаки на его IP-адреса. Но сейчас он ваще творит что-то нереальное, шанса на третий раз я ему не дам точно!!!1! С кем он там таким инферальным мочится на смерть я даже знать не хочу, ну их всех нах, вторые сутки поспать не могу.

А вот отголоски этих событий глазами официальных СМИ:
Хакеры атаковали крупнейшего украинского провайдера Укртелеком.
Главная страница "Яндекса" перестала открываться
==================================================================================================================
Ребят, не ругайтесь что новость древняя, просто только что прочитал. Когда читал, даже мурашки по коже :D Может кому ещё интересно будет...
22:05:47 4
#2 Naiki_ uid#1926 флудерUDP flood Эффективен ведь только когда в одной сети находитесь,ведь так?Просто до конца не читал ,смысл тогда ебашить именно UDP? возможно очередной хитроплан. 22:24:34 0
#3 MyP3uk uid#1395 почитай и подумай почему именно upd ;) 22:29:16 0
#4 SemifolS uid#2431 ух еб) вот ето злость) Анонимусы нервно курят? да они там обосрались со страху в своей сторонке 0_0..мне кажется ето тупо конкуренты...хотя) да даже нету мыслей кто бы ето мог быть.. 22:29:51 1
#5 MyP3uk uid#1395 На мой взгляд это было проведено с Зевса. Почему? Да потому что как раз несколько месяцев до нападения был резкий скачок ZeuS bot. Если не ошибаюсь, нашли где-то какую-то уязвимость... 22:33:11 0
#6 SemifolS uid#2431 ну хз) ну всеравно кому ето нужно? ето вам не ХОИК"ом сайт ддосить) тут нада определенную цель 22:35:05 0
#7 Naiki_ uid#1926 флудер
почитай и подумай почему именно upd
Ололо всё равно не выгодно боты дохнут как говно UDP пакеты забивает к хуям всю сеть.
22:35:53 0
#8 Naiki_ uid#1926 флудерХитроплан по любому. 22:36:07 0
#9 MyP3uk uid#1395
Наики
В асю зайди Наик (:
UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
22:40:15 0
#10 MyP3uk uid#1395
ХОИК"ом сайт ддосить)
улыбнуло :)
22:41:02 0
#11 Naiki_ uid#1926 флудерВсё говно в том что боты дохнут очень и очень быстро,по этому я и считаю хитропланом ибо профит не очень большой.Там сеть должна быть овер9000 ботов и кроме не без известных людей это не кто не мог организовать.Как всегда меряются пиписьками.

В аське попозже буду с телефона сижу.
22:44:52 0
#12 SemifolS uid#2431 а мне кажется конкуренты... 22:48:39 0
#13 MyP3uk uid#1395 Ты просто представь себе сколько стоит такая атака? Если это конкуренты то они выкинули 0Оочень большие бабки... (800к-1.5млн руб) 23:00:30 0
#14 SemifolS uid#2431 а если ето они сами? например какойто крупный провайдер заразил своих пользователей и валит других провайдеров.. 23:01:29 0
#15 SemifolS uid#2431 хотя ето тупость совсем)) 23:01:47 0
#16 Naiki_ uid#1926 флудерЭто по минимуму.Скорей всего как всегда кто то играет в пиписькомеренье,не зря сейчас ботнеты у военных часто стоят хоть те и отрицают но как бы всем и так понятно. 23:03:17 1
#17 Naiki_ uid#1926 флудерИ насчёт зевса тоже идея. 23:03:54 1
#18 SemifolS uid#2431 ну да..но зачем владельцу самого розыскиваемого бота в америке палится и убивать своих ботов на каких то руских сайтах?полюбому ему ктото заплатил..но как? если никто не знает кто он..хотя... 23:10:34 0
#19 MyP3uk uid#1395 ага, он ещё и админам сайтов должен писать кто их атакует? xD 23:18:37 0
#20 Naiki_ uid#1926 флудер
ну да..но зачем владельцу самого розыскиваемого бота в америке палится и убивать своих ботов на каких то руских сайтах
Фэйл.
23:23:33 1
#21 MyP3uk uid#1395
ну да..но зачем владельцу самого розыскиваемого бота в америке палится и убивать своих ботов на каких то руских сайтах
Для непосвещённых, расскажу, Русские хакеры в Америке и Европе почётны, Российский Web для них это сгусток русских Зевсов. Задай себе вопрос - "Где лучший Hack Tool?", "Где Родина знаменитейших ботнетов?" ,"Сколько Российских хакеров поймали на Западе за влом банковских систем?"...
23:42:48 1
#22сообщение удалено
#23сообщение удалено
16 апреля 2012
#24 in062 uid#1029 ЭТО ПРОСТО П*ЗДЕЦ, но я рад за тех кто это все сделал, всетаки есть еще люди которые против системы не боятся идти 13:19:26 0
#25 in062 uid#1029 Вот Минусуют) мне это нравиться Свобода слова 13:40:20 1
#26 Naiki_ uid#1926 флудер
всетаки есть еще люди которые против системы не боятся идти
Опять угарал в голос всё токи веселые школьники к нам заходят.
Вот Минусуют) мне это нравиться Свобода слова
А мне нет.
P.S Хотел кинуть ролик про питуха из фильма беспредел но не нашел.
13:48:32 1
#27 in062 uid#1029 умничка 5 тебе по поведению 14:20:30 0
#28 Naiki_ uid#1926 флудерПечально школьники уже не в состояние выдать хоть какой то original content. 14:37:47 0
#29 Naiki_ uid#1926 флудерМурзик это не твои школьниги там музыку испортили?Сучечки))

22:27:56 1
#30 MyP3uk uid#1395
Мурзик это не твои школьниги там музыку испортили?Сучечки))
не, мои школьники усиленно пытаются выполнить задание которое я им дал (:
Переделывают, украшают, апгрейдят админку DJ5 :D
22:34:45 0
19 августа 2012
#31 nh3amiak uid#3274 пиздатый ddos 23:36:39 0
#32 atom uid#2722
пиздатый ddos
но лоик лучше?
03:26:08 2
#33 Alfinnov uid#3276 сталкивались, с массштабами поменьше чем у яндекса - но все равно, вопрос решали)))

В большенстве случаев вопрос решается подобным образом:
1. зеркалирование рессурса и балансировкой запросов
2. настройка iptables с целью ограничить кол-во одновременных соединений от одного пользователя в минуту/5минут
3. через iptables запрет на лишние соединения по не нужным нам протоколам

p.s. счаз наиболее страшно, это когда ddos идет через формы обратной связи и прочее (POST со временем ожидания) - кому интересно, на хабре была заметка)
08:42:25 0
#34 Alfinnov uid#3276 кста, по теме loic`а, есть еще и hoic - вроде как у hoic`а продуктивность выше) 08:44:11 0
#35 atom uid#2722
кста, по теме loic`а, есть еще и hoic - вроде как у hoic`а продуктивность выше)
не просто nh3amiak в какойто теме хвалил лоик
12:56:26 0
#36сообщение удалено
#37сообщение удалено
#38сообщение удалено
#39сообщение удалено
#40сообщение удалено
#41 MyP3uk uid#1395 Эд, будь чуток сдержаннее ;) 12:13:25 0
#42сообщение удалено
#43 MyP3uk uid#1395 Хорошо флудить! Все вопросы и т.д. в ЛС! 15:42:26 0
#44 MACTEP uid#646 Мурзик во первых ЛС нет во вторых хабы расчитаны на скорость 100мб/с не могут пропустить канал на 100гбит отсюда вывод что это всё пиздеж да и оборудованрие счас по витой паре максимум можно 1 гбит но не как не 100 а если рассуждать дальше то сетевые карты идут только до 1 гбит и похую на твои 100 гбит отсюда вывод тема говно это все хуйня и нехуя вводить в заблуждение других людей
тему в топку и не спорь
То что здесь написано это называется перекрытие канала оборудования и вывод его из строя
ребята самая крутая защита сетевой карты на 1 гбит это поставить свитч на 100 мбит между сетевой картой и проводом по которому идет интернет
00:46:40 0
#45 MyP3uk uid#1395 Ха Ха Ха!!!
Ты понял что ты сейчас сморозил))))))
Ты представь себе ботнет в 500 млн компов, какой от них DDoS будет? 500 000 000 х 1мб\с = 500 000 000 Мб\с = 500 000 Гб\с = 500Тб\с
Так что 10Гбит это не предел))))
И причём витая пара если идёт DDoS а не DoS?
сетевые карты идут только до 1 гбит и похую на твои 100 гбит
Чего? А хостинг состоит из одного кома? Я более чем уверен что на норм хостингах стоит оптоволокно которое ведёт 40Гб ;)
Да и той же хвалённой Амбрелле дай ты 40Гб - она упадёт как карточный домик.
Вывод: Свой пост либо удали либо признай, что ты что-то напутал....
01:05:05 0
#46 MACTEP uid#646 Да если верить цифрам то там идет по логарифмической уменьшению это во первых теория во вторых на практике все по другому самое топовое оборудование будь то хостинг или еще что и какой бы не был канал связи они не используют 100 % возможностей от этого и защищают таким образом как я написал то есть ставят хаб на 1 гбит и насрать им на DDoS так как они знают что максимум что вы можете добиться это выгорит один порт у хаба и всё
и твои подсчеты в корне не верны
по твоим подсчетам это на нобелевскую премию тянет т.к. нет канала связи способный передать 100 гбит а уж тем более 500 тбит
01:25:01 0
#47 MyP3uk uid#1395 Так, в чём смыл DDoSа? Либо задушить сетевуху, либо забить все каналы связи до состояния нестояния, в нашем случае даже если судя по твоим рассуждениям просто забивается хаб, т.е. он не может функцианировать нормально. 10:23:37 0
#48 Qemu uid#2451 Код от самп крашера мне дайте!!!!
crash.exe черное окно
02:28:33 0
#49 DSX3 uid#1883 Интересно какой должен быть объем трафика чтоб в теории убить стандартную сетевуху на ПК? 16:02:01 0
#50 MyP3uk uid#1395 Ну я для себя сделал вывод что объём пакета - не убъёт сетевуху, а только процессор.
А вот колличество этих самых пакетов и желательно отсылаемых с самого компа на самого себя, вот это может её потушить ;)
16:18:44 0
Следующие сообщения
*Ник: Проверка уникальности... Если вы уже зарегистрированы, авторизуйтесь.
*Сообщение:
  Загрузка...