«Оверсан-Меркурий» отбился от «паразитного» трафика

Хронология атаки следующая. 24 августа в 13.40 системы мониторинга дата-центра «Оверсан-Меркурий» зафиксировали мощную DDoS-атаку на подсеть компании.  В 14.10 атака была локализована за счет собственных систем защиты от DDoS, оперативного взаимодействия с операторами связи и слаженной работы специалистов «Оверсан-Меркурий».   

Атака была направлена изначально именно на ресурсы клиента «Оверсан-Меркурий», в частности, на несколько его IP-адресов. Далее атака расширилась на всю подсеть, в которую входили IP-адреса этого клиента. Как пояснили в компании «Оверсан-Меркурий»,  если бы атака шла с нескольких IP любой мощности, ее бы отфильтровали практически мгновенно с помощью системы мониторинга. Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить.   

«Нас атаковало одновременно более 100 тыс. зомбированных машин, - прокомментировал технический директор «Оверсан-Меркурий» Яков Равшанов. - Группировать эти адреса по каким-либо характеристикам крайне сложно, тем более что заказчик атаки всегда может изменить плоскость атаки таким образом, что мы будем дезинформированы касательно его реального расположения. Однозначно одно: трафик шел с Запада, не из России. В качестве основных решений по защите применялись мощные активные системы Cisco. Однако мы не полагались только на аппаратные решения. В процессе отражения атаки был задействован богатый практический опыт наших инженеров».  

Злоумышленники пытались парализовать  работу ресурса, на который направлена атака, что дает косвенные и прямые убытки для того, кого атакуют. То есть, для веба это означает то, что клиент не сумел получить сервис от одного поставщика, и фактически уходит к другому. Также это «опускает» ресурсы клиента в результатах выдачи в поисковых системах. Хотя стоит отметить, что «дидосят» не поставщика услуг, которые сам предоставляет сервисы защиты, а клиентов компании. 

Комментирует руководитель департамента консалтинга компании «Verysell Проекты» Павел Петров: «Для организации подобных атак требуются ресурсы средних или крупных ботнетов, задействующих десятки тысяч компьютеров. В настоящее время достаточно широко распространены как инструменты для создания ботнетов, так и продажа услуг уже существующих сетей для осуществления DDoS-атак. Стоимость DDoS-атаки зависит как от уровня нагрузки, который необходимо сгенерировать, так и от продолжительности самой атаки. В случае с атакой на «Оверсан-Меркурий» можно говорить, что были задействованы достаточно серьезные ресурсы. То, что с момента начала DDoS-атаки до ее локализации прошло всего полчаса, говорит либо об очень высокой готовности дата-центра к подобным угрозам, либо о непродолжительности самой атаки. Для крупных организаций, в том числе хостинговых дата-центров и корпоративных ЦОД, угроза DDoS-атак стоит постоянно и со временем уровень паразитной нагрузки будет только расти. Сейчас многие компании-производители телекоммуникационного оборудования предлагают свои решения класса Intrusion Prevention Systems для защиты от подобных угроз. В крупных западных компаниях нередко ставят системы, предотвращающие атаки в 10 Гб/с и больше». 

Что еще прочитать по данной теме 

20.08.2010 Intel купила McAfee  

03.08.2010 Рейтинг вредоносных программ, июль 2010: хакеры продолжают эксплуатировать "слабые звенья" легальных программ  

15.07.2010 Берегите номер