Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, успешно нейтрализовала DDoS-атаки на международную хостинговую платформу Servers.com, длившиеся c 18 по 20 августа.
В их числе была первая в мире зафиксированная на практике широкомасштабная атака с использованием одного из векторов TCP-амплификации (реплицированный SYN/ACK-флуд).
Servers.com – это глобальная хостинговая IaaS-платформа, предоставляющая полный спектр услуг для решения вычислительных задач, хранения данных и построения сетей. Она предлагает решения премиум-класса с размещением оборудования в дата-центрах, расположенных в США, странах ЕС, Великобритании, России, Сингапуре и Гонконге.
18 августа злоумышленники начали атаковать сетевую инфраструктуру Servers.com, создавая регулярные высокоскоростные всплески трафика. Уже через несколько часов Servers.com встала под защиту Qrator Labs, подключившись к сервису Qrator Ingress, предназначенному для защиты от DDoS-атак инфраструктуры операторов связи и хостинг-провайдеров.
Qrator Labs зафиксировала несколько волн атаки. Для организации нападения в основном использовались техники LDAP-амплификации и SYN/ACK-флуда, при этом периодически идентифицировались и другие виды UDP-амплификации.
Техника атаки типа Amplification (“усиление”) заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP. Возможность использования протокола TCP для проведения масштабных атак типа Amplification впервые была описана в исследовательской работе учёных из Рурского университета (Германия) пять лет назад, но до сего дня оставалась теорией.
Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой “мусорным” трафиком составил 11,5 часов. Все атаки были успешно нейтрализованы сетью фильтрации Qrator Labs.
Поиск злоумышленников, организовавших атаку, чрезвычайно затруднён ввиду того, что зафиксированный вид DDoS-атак практически не поддается отслеживанию из-за низкого уровня применения методов противодействия спуфингу (таких как BCP 38). Реализация этих методов требует существенного изменения архитектуры сети.
«Произошедший инцидент – отличная демонстрация того, насколько хрупким является современный Интернет. Прошло почти пять лет с тех пор, как был опубликован исследовательский документ, описывающий технику SYN/ACK-амплификации. Тем не менее, за это время не было предпринято никаких инженерных усилий для решения проблемы, что в итоге привело к серии успешных атак с абсолютно разрушительными последствиями, – комментирует Александр Лямин, основатель и генеральный директор Qrator Labs. – Сегодня нам нужны более совершенные протоколы, инфраструктура и технологии для предотвращения подобных атак в ближайшем будущем. Необходимо построение системы управления угрозами, составление планов по снижению рисков и их корректировка не реже одного раза в год, поскольку в наши дни ситуация с угрозами безопасности меняется очень быстро».
О компании
Qrator Labs – номер один в области противодействия DDoS в России (согласно отчету IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Компания основана в 2009 году и предоставляет услуги противодействия DDoS-атакам в комплексе с решениями WAF (Web Application Firewall), организованными по технологии партнёрской компании Wallarm. Для эффективного противодействия DDoS-атакам Qrator Labs использует данные собственного сервиса глобального мониторинга интернета Qrator.Radar.
Сеть фильтрации Qrator построена на узлах, расположенных в США, России, ЕС и Азии, что наряду с собственными алгоритмами фильтрации является конкурентным преимуществом компании.
Команда Qrator Labs занимается исследованиями в области противодействия DDoS-атакам с 2006 года, и постоянно совершенствует уникальные алгоритмы фильтрации, которые строятся с использованием технологий машинного обучения. Это позволяет фильтрам оперативно реагировать на новые типы угроз в автоматическом режиме.
Клиенты Qrator Labs – компании из различных отраслей по всему миру. Среди российских клиентов ведущий банк «Тинькофф Кредитные Системы», платёжные системы (Qiwi, Cyberplat, Элекснет), сайты электронной коммерции (Lamoda, Юлмарт, Эльдорадо, Wildberries, Ситилинк), СМИ (МИА «Россия Сегодня», Регнум, телеканалы «Звезда», ТНТ, «Дождь», НТВ-Плюс) и многие другие.