В конце прошлого года мы зафиксировали одну из самых объемных DDoS-атак, которая велась одновременно на два ресурса нашего клиента. Суммарная мощность атаки составила 60 Гб/с, по 30 Гб/с на каждый ресурс.
Клиент обслуживает более 15 млн пользователей, поэтому каждая минута простоя ресурсов компании критична.
Особенности атаки
Киберпреступники использовали распространенные типы атак: CLDAP Amplification и DNS Amplification. Подобные атаки направлены на превышение пропускной способности канала и основаны на отправке множества запросов с поддельными IP-адресами от имени жертвы на DNS-сервер.
Такие запросы требуют объемных ответов, которые и направляются на сайт жертвы, перегружая его. Наиболее эффективная защита от таких атак — очистка трафика на уровне оператора связи.
Отображение атаки мощностью 30 Гб/с на один ресурс в личном кабинете
Цель киберпреступников
Нашего клиента атаковали в пятницу в 14:26 с целью вымогательства. Писали письма, в которых угрожали обрушить значительно более мощную атаку, если им не заплатят в биткоинах.
Как мы действовали
Сразу после начала атаки включилась система очистки Flowspec, трафик начал очищаться на бордер-роутерах нашего периметра. В таких случаях часть применяемых контрмер имела негативные последствия — система не позволяла отрисовывать полный объем атаки на графиках, поэтому было сложно понять истинный объем атаки. На данный момент мы устранили это ограничение.
Так как мощность атаки была значительной, специалисты нашего SOC оперативно переключили трафик на серверы центра очистки во Франкфурте, где очистка запускается в полуавтоматическом режиме. Это значит, что после автоматической активации часть настроек очистки необходимо переключать вручную. Иначе защита не будет отрабатывать с максимальной эффективностью.
Илья Янгляев,
старший специалист сектора кибербезопасности
Сразу после атаки система автоматически открыла кейс. Подключили меня, чтобы вручную изменить настройки на глобальных серверах. Это было необходимо, потому что очистка активируется автоматически с неоптимальными настройками. Для непрерывности работы ресурсов клиента потребовалось оперативно оптимизировать очистку вручную.
Отразили DDoS-атаку с помощью Internet Umbrella
Мы защищаем клиентов от DDoS-атак с помощью нашего сервиса Internet Umbrella, построенного на решении Arbor Sightline/TMS компании Netscout (Arbor Networks), что дает возможность защитить IPv4- / IPv6-трафик от сложных многовекторных DDoS-атак.
Весь входящий трафик, направляемый на узел клиента, предварительно проходит через наш сервер. Регистрируемые показатели сравниваются с параметрами стандартного легитимного трафика. Если в потоке данных нет аномалий, то он поступает напрямую клиенту. При обнаружении DDoS-атаки Internet Umbrella перенаправляет трафик на центр очистки, где применяются контрмеры для его обработки. Нелегитимные пакеты сбрасываются сразу либо после проведения поведенческого анализа с помощью, например, наборов порогов, рассчитанных по нашим методикам.
Архитектура сервиса Internet Umbrella
Глобальный центр очистки во Франкфурте
В обычном режиме весь трафик идет напрямую в сеть клиента. Во время DDoS-атаки низкой мощности, до 30 Гб/с, весь входящий трафик перенаправляется на московский центр очистки. Если мощность атаки больше 30 Гб/с, трафик перенаправляется в центр очистки во Франкфурте. При этом доступ к веб-сервисам и веб-приложениям клиента сохраняется.
Таким образом Internet Umbrella отражает атаки мощностью до 400 Гб/с при тонкой очистке и до 5 Тб/с при грубой очистке.
Итог: отразили мощную DDoS-атаку и оптимизировали процесс очистки трафика
Атака велась 3 часа, за это время ресурсы клиента работали в штатном режиме.
Киберпреступники угрожали повторением более мощных атак. В течение недели мы внимательно отслеживали возможный нелегитимный трафик, но повторные атаки не последовали. С большой вероятностью киберпреступники блефовали и у них не было ресурсов для более мощных атак.
Любой значительный киберинцидент — это возможность проверить и улучшить свой ИБ-продукт. Эта DDoS-атака не стала исключением, она помогла нам выявить точку роста во взаимодействии между специалистами. Сразу после атаки мы ускорили механизм переключения, убрав лишние действия специалистов из процесса.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.