Zmasowane DDOSy – kontynuacja – wymagane działania!
W ciągu ostatnich kilkunastu dni następuje eskalacja ataków DDOS wykorzystujących luki w zabezpieczeniach Waszych systemów.
Problem dotyczy wszystkich, tak użytkowników korzystających bezpośrednio z dostępu do sieci globalnej (GTT, Tinet, KAIA) jak i EP-Global.
W obydwu przypadkach problemy ma tak atakowany, jak i operatorzy nadrzędni.
Ostatnie obserwacje wskazują, że skala problemu dotyka wszystkich naszych dostawców, miewają oni problem z wysycaniem się ich sieci szkieletowej i uplinków globalnych.
Konsekwencją tego jest coraz częstsze pojawianie się okresów utrudnionego dostępu do różnych części internetu, strat i zwiększania się czasów odpowiedzi.
Co raz częściej zdarza się, iż sesje z tymi operatorami ulegają zerwaniu, a trasy są zmieniane w na tyle istotnym zakresie, że staje się to odczuwalne.
Nie bez znaczenia jest też częste niż zwykle użytkowanie przez użytkowników community blackhole, co powoduje przeładowania tablic BGP, a tym samym zakłóceń w dystrybucji tras.
Obecnie większość bieżących ataków dotyczy luki:
https://www.us-cert.gov/ncas/alerts/TA14-268A
Każdy z ataków poprzedzają skany portów: 80,443,22,161,123,53, w wypadku znalezienia luk pojawia się atak.
Jednocześnie cały czas wykorzystywane są stare luki bezpieczeństwa, czyli IPMI, SNMP, DNS.
Statystycznie każdy z Was posiada na publicznych adresach dostępne hosty z lukami, prosimy więc o pilne przystąpienie do działań naprawczych.
W świetle obecnej sytuacji, oraz ciągłego wzrastania liczby zagrożeń konieczne staje się bieżące kontrolowanie Waszych sieci.
EPIX z racji skali nie jest w stanie realizować takiego zadania, musicie działać sami.
Nie wyobrażam sobie istnienia współczesnego operatora ISP mieniącego się profesjonalistą bez wprowadzenia reżimu cyklicznego skanowania własnych publicznych zasobów.
Prowadzenie takich działań może być kosztowne i wymagające czasu, dlatego też stanowczo zalecam bezzwłoczne zarejestrowanie się do projektu:
http://n6.cert.pl/
Niezbędne jest również posiadanie własnych systemów antyDDOS/autoBH, zwłaszcza w wypadku większych sieci.
Informujemy, że zaostrzamy zasady automatycznego dodawania do blackholingu atakowanych adresów, oraz wydłużamy politykę karencji adresu dodanego do BH, do 48h.
W przypadkach nagminnego pojawiania się adresów danego operatora w BH, będziemy zmuszeni realizować czasowe wyłączenia sesji, do czasu usunięcia problemów po ich stronie.
Napisz komentarz
Want to join the discussion?Feel free to contribute!