Александр Лямин (анти-DDoS сервис Qrator): Веселье только начинается

Волна DDoS-атак накрыла Рунет сразу после праздников 8 марта и не отпускает до сих пор. 9 марта лег lifenews.ru, 13 марта - сайт Первого канала, 14 марта - сайты Кремля, Роскомнадзора, ЦБ РФ и Ленты, 17 марта - сайты ВТБ-24 и Альфа-банка.
Атак было не так много, но они были достаточно мощными, чтобы привести к недоступности крупных ресурсов, рассказывает Дмитрий Волков, руководитель отдела расследований инцидентов информационной безопасности Group IB. Вначале страдали новостные и ведомственные сайты, а в понедельник начались атаки на сайты банков России. 
Отличительной особенностью нападений стало использование уязвимости протокола NTP, говорит Волков. При этом типе атак используются не бот-сети, а списки уязвимых серверов, которые и участвовали в атаке. У злоумышленников такой список насчитывает 5-6 тысяч серверов.

Для проведения атаки используется готовый инструментарий, которым может воспользоваться даже человек без глубоких технических познаний. Все что нужно это вредоносная программа и список серверов с уязвимой NTP службой. Собрать такой список не очень сложно.

_______________

Александр Лямин, генеральный директор HighLoad Lab (разработчик анти-DDoS сервиса Qrator), предсказывает, что эти атаки - только начало. Он рассказал Roem.ru о том, сколько нужно ботов, чтобы положить сайт Центрального Банка России (очень мало), о том, что связь волны DDoS-атак с Украиной наверняка есть (но украинские компании страдают не намного меньше российских) и о том, как атакующие кладут дата-центры полностью, чтобы добраться до конкретного ресурса. 


Александр Лямин:


Все веселье только начинается, ситуация продолжает развиваться. 
В первую очередь под удар попали, конечно же, СМИ. Следом идут государственные  ресурсы (kremlin.ru, Роскомнадзор итд ) и известные российские брэнды, плотно ассоциируемые с государством. "Газпром", "Внешторгбанк", "Альфа-банк" итд. Все то, на чем можно "поймать PR".
Мы понятия не имеем, кто должен был заботиться о правительственных серверах, но, что меня расстраивает - эти парни не были готовы к случившимся проблемам и отнеслись к обязательной сегодня домашней работе без должного внимания. 
Например, ЦБ РФ. Думаю, они были уверены, что готовы к DDoS-атакам. Но "что-то видимо пошло не так" (сайт ЦБ РФ был недоступен 14 марта с 10 утра в течение примерно часа - Roem.ru). И эта ситуация повторяется уже который раз. Причем, Anonymous Caucasus (которые 13 марта положили сайт Первого канала и пообещали, что продолжат атаки на российские ресурсы; именно их подозревают в атаке на сайт ЦБ РФ - Roem.ru) - это, мягко говоря, не самые злые парни из темы DDoS. 
В прошлый раз ЦБ РФ был убит ботнетом в 200 голов. Для сравнения, средняя атака по Рунету сегодня - примерно 2000. Атаки на СМИ и сайты посерьезнее вроде парламентских/президентских - 200-300 тысяч. Абсолютный рекорд прошлого года  - "банковский ботнет": 700 тысяч компов, специализировался на банках средней руки, когда ЦБ активно отзывал лицензии.
Думаю, определенно есть корреляция с событиями на Украине. Раньше мы видели такие атаки раз в 7-14 дней, а сейчас по пять-семь штук в сутки, каждая мощностью 100+ Гб/с. И никаких других поводов к такой активности, кроме как названный, мы не видим. Думаю, что работает 5-10 групп, возможно, даже часть из них координируют совместные действия. 
Причем, атакуют не только российские сайты, но и украинские - у нас наплыв украинских заказчиков
Актуальный список атакованных сайтов гораздо длиннее, чем публично озвучиваемый. Подвергаются нападению некоторые нейтральные/оппозиционные сайты вроде Lenta.ru, частные медиасайты. Все началось 8 марта и продолжается до сих пор. Мы хорошо справляемся с большей частью атак на наших клиентов, за исключением случаев, когда исполнителям становится известно местонахождение оборудования (предполагается, что оно должно держаться в секрете) - и тогда "кладут само оборудование. Хотя даже если раскрыто место, но есть резервный канал - клиенты в основном держатся. А вот если нет канала, то приходится работать с поставщиками клиента, хостерами - выдавать набор рекомендаций, как "срезать" атаку. Но это часто бывает довольно сложно, поскольку DDoS идет не на один адрес, а на все адресное пространство дата-центра.
С технической точки зрения не происходит ничего особенно нового. Мы все это уже не раз видели в 2013 году. Чтобы осуществлять такие атаки, вам не нужно располагать большим количеством ресурсов - хватит 5-10 выделенных серверов в сети, которым достаточно подделать IP-адреса - и все готово. Арендовать нужные серверы можно в России, Европе или США за скромные 250-1000 евро в месяц. Дешево и просто. 
По данным нашего мониторинга, для атак используется одна и та же технология - DNS/NTP Amplification + SYN flood. Так что мы можем предположить, что за всеми инцидентами стоят одни и те же  преступные группы. 
Они научились читать топологию сети и "обходить" фильтр, атакуя непосредственно дата-центр, в котором расположен сайт. Если есть "засвет", то  атака сразу переключается на инфраструктуру хостинга. К сожалению, мало кто осознает эти риски и готов потратиться на резервный канал от оборудования фильтрации до своего ДЦ. 
Раньше было с точностью до наоборот. Ддосеры вообще не ведали, что творят. Они включали атаку, которая "убивала" зарубежные каналы, по которым она непосредственно приходила в Россию. Приложение оживало и они еще  больше прибавляли скорости, не понимая сути происходящего, чем доставляли проблемы уже крупным магистралам. Со стороны специалистов это смотрелось даже смешно. 
Это как уничтожить африканский континент, потому что там приземлилась неугодная муха. ...Не попав по мухе. 
Сейчас попадают и по Африке, и по мухе. Уже не столь смешно. 

Добавить 29 комментариев

  • Ответить

    Примечательна беспечность разработчиков ntpd. Это ведь даже «не баг, а фича»: слишком либеральные настройки по умолчанию позволяют запрашивать большой кусок отладочной информации сервера. Запрашивая его с поддельного IP, можно забрасывать жертву UDP трафиком. Об уязвимости они знали четыре года назад, но не включили патч в стабильную версию, и, соответственно, в дистрибутивах распространялась уязвимая версия. Я заметил неладное, когда в отчете по трафику ntp стал занимать 30 Гб в час. Такой трафик смогла, особо не напрягаясь, сгенерировать машинка на Атоме. Представляете, что сделает мощный сервер на толстом канале?

  • Ответить
    Alexander Lyamin Qrator/HLL

    Это не только к NTP относится. SNMP, uTP и SIP так-же вполне exploitable. Основная проблема здесь в том что сети пропускают трафик с поддельным source IP.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Для произвольного UDP сервиса частично решит задачу ratelimiting. Для DNS лучше будет если ответы не умещающиеся в 512b вы будете отдавать в tcp. Для NTP достаточно поапдейтить до последней версии или # cat /etc/ntp.conf | grep -v «#"server 0.freebsd.pool.ntp.org iburstserver 1.freebsd.pool.ntp.org iburstserver 2.freebsd.pool.ntp.org iburstdisable monitorrestrict default nomodify nopeer noqueryrestrict 127.0.0.1 Для сетей операторов и хостеров достаточно следовать http://tools.ietf.org/html/bcp38 и не выпускать из своей сети трафик с поддельными source ip. Да, я понимаю что это просто сказать, но сложно сделать. Особенно в multihomed AS, но альтернативы как мы видим — горазадо хуже.

  • Ответить

    Александр, а как вы измеряете объем атак? Вы берете весь канальный флуд себе на грудь или все же действуете совместно с вышестоящим оператором? Если второе, то ваш апстримы по всем своим граничным роутерам предоставляют вам информацию по каунтерам фильтрующих правил?

  • Ответить
    Alexander Lyamin Qrator/HLL

    f204121: Да, берем канальный флуд на грудь и считаем свои каунтеры. В случаях когда идет перехват силами bgp flowspec или другими методами перехвата мусора в upstream, то каунтеры не считаются.

  • Ответить

    Заголовок верный, что бы вы там теперь не делали — решения проблемы с данными атаками нет. Уже год назад на spamhaus прилетало 300Гбит/с, так что когда на сайты под вашей «защитой» прилетит столько или больше — вопрос времени. Только радикальные меры сейчас ситуацию исправят: 1) Накрыть все сайты, где за $30 долларов дается доступ к веб-форме ввода IP для таких атак; 2) Заставить магистральных операторов фильтровать трафик от уязвимых сервисов; 3) Работать с ICANN в направлении оповещения и снятия анонсов с сетей, содержащих уязвимые сервисы. Проверку source-IP на выходе никто не включит, это фантастика, она с десяток лет в оборудовании присутствует, а воз и ныне там. Магистралы тоже фильтровать ничего не будут. ICANN если зашевелится — вообще фантастика. Остается ждать, пока все обновят уязвимые сервисы, лет 10 так. И если Qrator может и сможет себе позволить купить 300Гбит канал, с их то ценами, то остальные участники рынка так и будут падать по велению правой пятки какой-то школоты. Остается только надеяться на сознательность людей с большими ресурсами и влиянием, что на проблему обратят внимание и хотя б сайты выпилят где школьникам такие атаки продают.

  • Ответить

    Вообще ведутся какие-нибудь работы по блокированию сайтов стрессеров, с которых в основном и идут такие атаки? По запросу «stresser» или «booter» в Google, сотни их. Организовать атаку стоит $10−30, а ваша защита от $3000, и страдают все в итоге. Если вас конечно интересует общее благо, а не сугубо личное, то было бы неплохо посодействовать в выпиливании таких сервисов …

  • Ответить

    Ничего подобного, никто их не выпиливает, те что работали год назад — все еще работают, и с каждым днем появляются новые. В общем-то я думаю вы и не заинтересованы в их выпиливании, зачем выпиливать причину, если можно заработать на следствии …

  • Ответить
    Alexander Lyamin Qrator/HLL

    как вы предлагаете нам их выпиливать? Мы похожи нa людей с достаточными полномочиями для закрытия произвольных веб-сайтов? Уважаемый Амолед, Вы глубоко заблуждаетесь по части наших выгод в подобного рода атаках. Дело в том что для противодействия таким атакам необходима ПРОСТО ПОЛОСА. Добавленной стоимости нашей тут нет, а иметь эту полосу на готове нам нужно всегда. И платить за нее всегда. Основной фокус наших фильтров — это отлов умных L7 атак с браузерами и хорошей мимикрией под пользователя. Основная математика и R&D именно там. И соответственно основная добавочная стоимость именно там. Ситуация сложившаяся сейчас не выгодна никому, кроме криминала.

  • Ответить

    Александр, раз нет вашей добавочной стоимости, как на счет предоставления услуги защиты от данного типа атак по более либеральным ценам, раз уж вы так и так покупаете эту полосу всегда? У меня вот например игровой проект с 1Гбит полосой чистого трафика (UDP, и до 1Гбита там на самом деле еще далеко, но допустим). По вашим тарифам защита для него стоит 135 000р. + 700 рублей за Мбит, т.е. 851 800 рублей в месяц. Но L7 атак там нет, зато Amplification прилетает частенько до 20−30Гбит, уже год головная боль регулярная.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Вы лукавите. Очевидно-же что наш cost of materials это: 1. Трафик переданный ДВА раза. 2. Это содержание готовой к приему этих 30Gbps (а возможно и больше) гарантированной полосы и оборудования способного это перелопатить. Вы-же понимаете что best-effort подключение не годится. 3. Про R&D и развитие сети. Вы-же понимаете что ситуация с ddos-атаками сейчас и 3 года назад — это две больших разницы? +На таких обьемах мы безусловно будем готовы разговаривать о скидке, при условии подписания годового договора. Сравните это с ценами Prolexic на уровне 600USD за мегабит. Вы знаете, как правило интернет-бизнес имеющий аудиторию способную сгенерировать гигабит легитимного трафика имеет обороты для которых наша цифра не кажется столь существенной. Какие у Вас есть альтернативы? 1. Приобрести оборудования Arbor. 2. Приобрести 40Gbps полосы у поставщика с мощной сетью, например Ростелеком. 3. Нанять минимум двух тех.специалистов способных адекватно управлять всем этим хозяйством. 4. Получить в конечном итоге решение которое кратно проигрывает Qrator по ТТХ. Стоимость первых трех пунктов, я думаю, вы уже посчитали. Цены Qrator уже не кажуся такими «заоблачными», ведь правда ?

  • Ответить

    Покупать оборудование Arbor для защиты от атак Amplification, это как носки на МКС отправлять стираться. 4 правила ACL, и Amplification полностью отфильтрован. Во Франции в OVH на любом сервере линейки Enterprise есть доступ к ACL в их сети с фильтрацией до 120Gbps. 200 евро в месяц аренда сервера. Все работает на ура. В Online.fr вообще Arbor подключают за копейки. Но мы то в России, тут все «коммерсанты». > «Очевидно-же что наш cost of materials это» Вы в любом случае будете покупать эту полосу для приема входящих атак. Так что я не вижу причины не продавать её частями, пусть там даже х2 будет, см. пример с Францией выше. Хотя конечно круче продать за 800 т.р. > «Вы знаете, как правило интернет-бизнес имеющий аудиторию способную сгенерировать гигабит легитимного трафика имеет обороты для которых наша цифра не кажется столь существенной.» Сайты и игры — вещи разные.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Значит ваш круг задач OVH VAC решает. Я очень рад за Вас и OVH. Надеюсь головные боли вас не мучают. Есть атаки которых OVH VAC не решает, для этого есть мы. TAANSTAFL

  • Ответить

    Боли мучают, т.к. там пинг до Франции выше … приходится работать с Россией. Так бы конечно уже давно перестало болеть. А в России только и делают, что IP-адреса в blackhole отправляют. Но альтернативы особой нет в России.

  • Ответить

    to Alexander Lyamin, А теоретически можно DOS-ить не сервер, а компьютер конечного пользователя с обычным windows на борту? Есть ли возможности есть от этого защититься?

  • Ответить

    27.03.2014 работа qRator встала, видимо были не в силах противостоять DDoS, и даже не пытались решить проблему, на письма отвечали только когда всё заработало, а из-за этих наглых и некомпетентных граждан были недоступны многие сайты. Видимо надо отказываться от них в пользу зарубежных защитников.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Anton Антон, атака на Хабрахабр зацепила только заказчиков размещенных на Caravan. С Qrator или без Qrator — конечный результат для них это не меняет.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Антон, ваш вебсайт работал в штатном режиме. В качестве подтверждения прилагаю график секции Ответы за прошлые сутки, вы и сами можете ознакомиться с ним в нашем Dashboard. https://twitter.com/melanor9/status/449411502420680704/photo/1/large Как видите «ни единого разрыва». Атака Хабрахабра на Вас никак не повлияла, кроме необычно долгого времени реакции на вашу заявку. В обычном режиме мы действительно отвечаем на заявки практически моментально, но вчера действительно нагрузка на наших инжeнеров была несколько выше обычного — у ТематическихМедиа достаточно много проектов. Ликвидировать последствия DDoS сродни медицинским мероприятиям — профилактика доступнее и прощще чем оперативное вмешательство. Вчера ТематическиеМедиа и Караван посетили реанимобиль ;) В соотвествии с Вашим тарифным планом наш SLA по обработке заявок составляет «до 24 часов». В случае нарушения данного SLA в нашем договоре предусмотрены штрафные санкции в нашу сторону. Если вам необходим более высокий уровень SLA — с нашими тарифными планами можно ознакомиться здесь: http://qrator.net/rates/ SLA выше 99.5% со временем реакции на заявку менее 15 минут возможен, но требует дополнительного проектирования и расценки на него предоставляются по запросу.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Anton, Я запросил данные по этой заявки у нашей Службы Эксплуатации. 27.03.2014 13:24 client: Открыта заявка 27.03.2014 13:35 qrator: Запрос доп.данных 27.03.2014 14:03 client: Уточнение 27.03.2014 14:13 qrator: Ответ 27.03.2014 14:22 client: Уточнение 27.03.2014 16:14 qrator: Ответ 28.03.2014 12:12 qrator: Запрос актуальности заявки Реакция на первое обращение по заявке составила всего 11 минут. Максимальное время реакции на заявку составило 1 час 52 минуты. Как наглядно видно, несмотря на загруженность мы отвечали существенно быстрее заявленных в SLA по вашему тарифному плану 24 часов. Не совсем понятно, в этом контексте, ваше заявление про нашу наглость и некомпетентность.

  • Ответить
    dima5ty гасконец

    > а из-за этих наглых и некомпетентных граждан были недоступны многие сайты. > Видимо надо отказываться от них в пользу зарубежных защитников. Да, это отвратительно. Действительно. Помнится, когда qrator был ещё молод и вообще был ещё hll, пришлось звонить в пятницу вечером в совсем нерабочее время, чтобы человек на том конце провода перекрикивая поезд сообщил куда и чего надо отправить и где чего прописать. И через полчаса всё заработало. И представляете, эти подлецы всё время отказывались от денег =)

  • Ответить

    Alexander Lyamin, извиняюсь за своё поведение, я всегда очень резок в высказиваниях (стараюсь работать над этим). И как Вы узнали откуда я? Вроде не писал какой домен имел проблемы. Проблема, возможно, была или на вашей стороне или на стороне ix соединения с вами. Причина — не было маршрута до вас, т.е. он заканчивался последним узлом, после которого должен был быть ваш хост, но его не было (не пинговался, 80 порт тоже был недоступен) (Последний хост — Транстелеком). Самое непонятное — это совпадение, хабр лежал и был недоступен наш сайт, вчера только хабр заработал, наш сайт тоже (только потом хабр лёг ещё, а нащ сайт работал), только он был недоступен около 2−5 часов (за которые мне вынесли весь мозг). Так же наш хост с другим именем (напрямую, без защиты от qRator) был доступен и полностью функционален. Так же, если прописать напрямую ip адрес домена который под вашей защитой, то тоже всё работает, поэтому был сделан вывод что проблема на вашей стороне. В тоже время из других стран до вас трафик ходил, но доменное имя не выдавало вообще никакх ошибок, но потом, очень редко, появлялись сообщения об ошибке что нельзя соединится с доменом. P. S. Существует, оказывается, практически online связь с работниками qRator. :)