С 23 по 27 февраля 2018 года по всей Европе прокатилась волна memcache амплифицированных DDoS-атак. Техника такой атаки заключается в прослушивании злоумышленниками UDP-трафика при условии установки параметров memcache по умолчанию, то есть фактически используется UDP-флуд – отправка множества поддельных UDP-пакетов в единицу времени от широкого диапазона IP-адресов (источник).

За прошедшие несколько дней множество источников подтвердили факт атаки амплифицированными ответами от memcache ресурсов, с вкраплениями ответов от DNS и NTP. Источниками этих spoofed-атак стал крупный европейский провайдер OVH, который в настоящий момент размещает 300 000 серверов в 27 центрах обработки данных 19-ти стран и имеет общую полосу пропускания трафика 12 терабит в секунду.

Вчера, 26 февраля 2018 года в 19:55 один из партнеров компании «Релком ХОСТ», компания «РЕГ.РУ», несколько серверов которой расположены в Курчатовском институте на площадке Релком, подверглась массированной DDoS-атаке полосой более 50 Гбит/c UDP трафика от скомпрометированных memcache амплификаторов.

Время идентификации типа атаки (UDP SRC PORT 11211) и поиска цели составило 20 минут, для полного восстановление связности сети понадобилось еще 20 минут. Общее время отказа в обслуживании сети Релком составило 40 минут.

В настоящее время атака продолжается, так в период с 11:45 до 12:10 некоторые сетевые ресурсы были частично недоступны. Инженеры узла связи Релком постоянно контролируют ситуацию и оперативно реагируют на возникающие угрозы. Благодаря наличию практически неограниченного количества IP-адресов (порядка 120 000) мы гибко нейтрализуем атакуемые сегменты, предоставляя абонентам (находящимся под атакой) другие подсети.

На 14:20 ситуация стабилизирована и находится под полным контролем.



Tuesday, February 27, 2018

« Назад