Archiwum w kategorii: Awaria!

W wyniku dzisiejszych przedpołudniowych problemów jeden z przełączników wykazywał niestabilne działanie.
Dokonaliśmy jego restartu, wysłano raport błędu do producenta.

Obserwujemy problemy transmisyjne.
Pracujemy nad zlokalizowaniem usterki.

Napływają do nas informacje o poważnej awarii TKT w Małopolsce.
Nie owocuje ona problemami po stronie EPIX, natomiast może powodować niedostępność naszych usług na łączach realizowanych dla uczestników przez TKT.

Otrzymaliśmy informację o uszkodzeniu jednego z kabli łączących kolokacje 4DC i Jordana.
Wszystkie obwody idące po tym kablu będą przerzucane w ciągu najbliższego czasu na kabel zapasowy.
Mogą występować przerwy przełączeniowe i krótkie zaniki transmisji wynikające z czasu konwergencji naszego szkieletu.

W ciągu ostatnich kilkunastu dni następuje eskalacja ataków DDOS wykorzystujących luki w zabezpieczeniach Waszych systemów.
Problem dotyczy wszystkich, tak użytkowników korzystających bezpośrednio z dostępu do sieci globalnej (GTT, Tinet, KAIA) jak i EP-Global.
W obydwu przypadkach problemy ma tak atakowany, jak i operatorzy nadrzędni.
Ostatnie obserwacje wskazują, że skala problemu dotyka wszystkich naszych dostawców, miewają oni problem z wysycaniem się ich sieci szkieletowej i uplinków globalnych.
Konsekwencją tego jest coraz częstsze pojawianie się okresów utrudnionego dostępu do różnych części internetu, strat i zwiększania się czasów odpowiedzi.
Co raz częściej zdarza się, iż sesje z tymi operatorami ulegają zerwaniu, a trasy są zmieniane w na tyle istotnym zakresie, że staje się to odczuwalne.
Nie bez znaczenia jest też częste niż zwykle użytkowanie przez użytkowników community blackhole, co powoduje przeładowania tablic BGP, a tym samym zakłóceń w dystrybucji tras.

Obecnie większość bieżących ataków dotyczy luki:
https://www.us-cert.gov/ncas/alerts/TA14-268A
Każdy z ataków poprzedzają skany portów: 80,443,22,161,123,53, w wypadku znalezienia luk pojawia się atak.
Jednocześnie cały czas wykorzystywane są stare luki bezpieczeństwa, czyli IPMI, SNMP, DNS.
Statystycznie każdy z Was posiada na publicznych adresach dostępne hosty z lukami, prosimy więc o pilne przystąpienie do działań naprawczych.

W świetle obecnej sytuacji, oraz ciągłego wzrastania liczby zagrożeń konieczne staje się bieżące kontrolowanie Waszych sieci.
EPIX z racji skali nie jest w stanie realizować takiego zadania, musicie działać sami.
Nie wyobrażam sobie istnienia współczesnego operatora ISP mieniącego się profesjonalistą bez wprowadzenia reżimu cyklicznego skanowania własnych publicznych zasobów.
Prowadzenie takich działań może być kosztowne i wymagające czasu, dlatego też stanowczo zalecam bezzwłoczne zarejestrowanie się do projektu:
http://n6.cert.pl/

Niezbędne jest również posiadanie własnych systemów antyDDOS/autoBH, zwłaszcza w wypadku większych sieci.

Informujemy, że zaostrzamy zasady automatycznego dodawania do blackholingu atakowanych adresów, oraz wydłużamy politykę karencji adresu dodanego do BH, do 48h.

W przypadkach nagminnego pojawiania się adresów danego operatora w BH, będziemy zmuszeni realizować czasowe wyłączenia sesji, do czasu usunięcia problemów po ich stronie.