При смене A-записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь до 100 гбит/с. Это настоящий ад и гомора.
По данным ДЦ, спустя 1 час после дропа целевого IP, атака продолжалась на другие подсети их AS. По данным от клиента они попытались быстро перенести сайт на Leaseweb, IP сменили. При этом хваленный Evoswitch частично лег моментально, пока они также спешно не зануллраутили IP.
Для локальных пользователей пол-Европы не было видно. Все матерятся при звонке к ним — все рутят нас в ноль.
Не тут-то было, старый друг вернулся! Венгерские каналы за рубеж для многих сайтов закрылись очень быстро, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал европейской фондовой биржи, ADSL сети и походу несколько ДЦ на пути.
Рассказываю что происходит: на моего клиента-хостера, а точнее на его клиента (далее буду называть его товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA-подсетями туго, решили блокировать его IP, попросили нуллрутнуть весь трафик.
Doomsday — 7 октября 2010 г.:
После объяснительной и многочисленных наших звонков начальству нашу сеть включают, естественно атакованный ресурс сразу попросили уйти, сменить быстро свою А-запись и забыть про наш хостинг еще 25-ого, потому как эта атака уже пару ДЦ положила гуляя (уже лег не выдержав netdirekt и какой-то ещё украинский крупный провайдер).
27 сентября 2010 г.:
Подсеть не с нашей AS. Сделать ничего невозможно.
Предпоследний вопрос получил ответ — неверно! На наш IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Наш апстрим быстро сообразил что к чему — null-рутнул всю подсеть.
ДЦ в ответ рапортует о нашей блокировке с красивым графиком падения нагрузки на порт.
На один IP-адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим наш ДЦ закрыть UDP-траффик на IP, никто больше 10 гбит/с не атакуют верно?
Затишье перед бурей — 25 сентября 2010 г.
Типичная схема организации DDoS-атаки
И не дай-бог Вам увидеть подобное. Если кто-то думал, есть ли термоядерное оружие в интернете — оно есть. Хронология уникальной по мощности DDoS-атаки в 100+ Гбит/с глазами её очевидца.
Когда-нибудь, кто-нибудь видел, как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
Скажите, Вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?
Просмотров: 48929 DDoS в 100 Гбит/с - репортаж с линии фронта от очевидца
Эксклюзивные ИТ-новости, обзоры и интервью
DDoS в 100 Гбит/с - репортаж с линии фронта от очевидца
Комментариев нет:
Отправить комментарий