http://habrahabr.ru/blogs/hosting/105830/#habracut
//UPD Немного поменял форматирование
Скажите, Вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?
Когда-нибудь кто-нибудь видел как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
И не дай-бог Вам увидеть подобное.
Если кто-то думал, есть ли термоядерное оружие в интернет — оно есть.
Затишье перед бурей
25 сентября 2010 г.:
18:25 На один IP адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим дц закрыть UDP траффик на IP, никто больше 10 гбит/с не атакуют верно?
18:35 Дц рапортует о блокировки с красивым графиком падения нагрузки на порт.
18:40 Предпоследний вопрос получил ответ — неверно! На IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Провайдер null рутнул всю подсеть. Подсеть не с нашей AS. Сделать ничего невозможно.
27 сентября 2010 г.:
17:30 После объяснительной нашу сеть включают, естественно атакованного попросили уйти, сменить А запись и забыть про наш хостинг еще 25-ого, пару дц положил он гуляя (кажется netdirekt и какой-то украинский).
Doomsday
7 октября 2010 г.:
10:30 На клиента-хостера, а точнее его клиента (code-named товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA подсетями туго, решили блокировать IP, попросили нуллрутнуть. Не тут-то было, старый друг вернулся. Венгерские каналы за рубеж для многих сайтов закрылись, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал фондовой биржи, ADSL сети и несколько ДЦ. Для локальных пользователей пол-Европы не было видно. Нас рутят в ноль.
13:44 По данным дц, спустя 1 час после дропа IP атака продолжалась на другие подсети их AS. По данным от клиента они попытались перенести сайт на Leaseweb, IP сменили. Evoswitch частично лег моментально, пока не зануллраутили IP. При смене A записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь.
19:17 Товарищ сделали 127.0.0.1 у домена.
Утро вечера не мудренее
8 октября 2010 г.:
10:30 Клиент сообщает, что после переноса сайта товарища в дц webazilla на него опять полилось 60 гбит/с
11:57 Вебазилла умоляет убрать из домена A запись, т.к. магистральщики умирать начинают — льется больше 100 гбит/с.
Весело да?
После этого товарищ попрыгал по антиддосерам (укртелеком и еще какие-то вроде sharktech и еще кто-то), сайты которых быстро валились и подсети тоже. Напомню смена A записи моментальна давала атаку, а нулрут — атаку на под-сеть, мулти-запись А — мулти-атаку!
Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.
Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1.
Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.
Встает вопрос: как в условиях net neutrality бороться с этим, без nullрута подсетей?
36 часов атаки, кто на такое вообще способен? И сколько такое вообще может стоить?
P.S.: Мои подсети до сих пор не включили, магистральщики боятся и просят ждать 72 часа. Дц боится вообще прикасаться к ним, оно и ясно, у них SLA 99.9% дважды нарушено, выходит они и нам должны и остальным клиентам, проще им с нами судиться, чем если что, с тысячами их клиентов.
Пару ссылок по теме:
lenta.ru/news/2010/10/08/ddos/
lenta.ru/news/2010/10/08/yandex/
P.P.S.: Может кто-то помочь со срочным анонсом BGP и некст-хопом BGP до наших IP здесь? Готовы заплатить.
Остаётся только добавить, что в этом описанном выше случае атака велась на LifeMeet.biz (это крупная партнерская программа конвертации дэйтинг и адалт трафика), основатель которого — наш соотечественник.
update 1:
Первая надпись в новостях этого ресурса, когда он всё-таки окончательно восстановился: “Лучше бы вы фейсбук такой махиной давили”
update 2:
Ещё из переписки технического работника, занимавшегося непосредственно восстановлением атакуемого ресурса (есть некоторые новые детали):
Официально заявляли в прессе, что будто бы DDOS укртела и яндекса были совершены по отдельности. Но что же было тогда с webazilla? А cуть в том, что владелец атакуемого ресурса немного “поэкспериментировал” с нагрузкой на свой входной канал:
“первоначально грандиозная DDoS-атака в 100 Гбит/с была направлена на один ничем не примечательный русскоязычный «взрослый» сайт…Не имея возможности справиться с огромной нагрузкой, владелец ресурса несколько раз менял A-запись домена, направляя атаку на другие сайты.
Один мой друг в теме заявил, что это все очень похоже на “войну” порносайтов, во что вериться с трудом, хотя я недоумеваю. Но заявленные мощности атаки впечатляют масштабностью.
Камменты из чата техсуппорта, где первоначально хостился этот “товарищ”
lasthero, Сегодня в 03:29
А чем вы занимаетесь? Как думаете, кому вы дорогу перешли?
equand, Сегодня в 03:33
Это не я, а попались на впс клиенту такие вот клиенты…
А отвечать приходится мне, т.к. эти атакуемые подсети мне выданы. Как назло все случилось именно перед расширением и акквайрингом AS-ки…
То есть своей AS еще не дали, а подсети частично в дауне, по-крайней мере на 10-гбитном канале.
Почти все восстановили на бекапных подсетях на бекапном канале, но BGP не удалось, т.к. ДЦ отказывается делать что-либо со всеми сервисами, которые были на том закатаном в дупель канале… а, да, пару раз что-то о русской мафии упоминали 🙂
xReaper, Сегодня в 03:35
А поискать плохишей нереально, или это был ботнет?
ofiginuri, Сегодня в 03:38
Да это была целая стая из ботнетов, судя по описанному мочилову.
equand, Сегодня в 03:39
Около миллиона IP, и это то что успели посчитать. Поди поищи их… Весь мир против нас тута воюет…
Вполне может быть, можно по DNS вычислить их папу, но надо как минимум 150 гбит/с канал, чтобы попереключать по подсетям и отловить козла по странным прямым запросам к ДНСу, хотя возможно запрос будет не странным, и с разных серверов мира.
Кстати этот ботнет скорее всего русский, т.к. атака была на русскоязычный сайт, при беглом осмотре, что-то вроде адалт-тематики, нелегала не нашел. Второй адалт уже за неделю – и тот же ботнет. Первый правда ToS нарушал, а к этому даже придраться невозможно было, хорошо что товарищ все-таки убрал IP из нашего ДНСа. Да, подрал этот ботнет тут всех, тут в нашем немецком ДЦ кишки намотаны (чьи-то) буквально на каждом серваке. Сталинградская битва, тока незнамо с кем воюем, ептыть 🙂
kibizoidus, Сегодня в 03:40
Судя по разрушениям, даже страшно подумать, чем занимаются ваши клиенты, Вова.
equand, Сегодня в 03:43
А то, самому страшно! И я взял этого клиентика на заметку, т.к. уже второй случай такой атаки на его IP-адреса. Но сейчас он ваще творит что-то нереальное, шанса на третий раз я ему не дам точно!!!1! С кем он там таким инферальным мочится на смерть я даже знать не хочу, ну их всех нах, вторые сутки поспать не могу.
А вот отголоски этих событий глазами официальных СМИ: