Archiwum w kategorii: Awaria!

Obserwujemy dalej problemy z jakością połączeń realizowanych dla EP-Global przez Cogent.
Wydaje się, iż Cogent nie jest w stanie udźwignąć ataków na hosty w sieciach ich polskich klientów, co skutkuje wypadaniem sesji i wysycaniem się ich łącz do upstreamów.
Koniec tego miesiąca będzie właściwym czasem na przemyślenie dalszej współpracy z CC.

W dniu wczorajszym w godzinach dwóch naszych uczestników stało się ofiarą zmasowanego ataku DDOS.
W szczycie obserwowaliśmy ~60Gbps ruchu przychodzącego, ~62Mpps.
Do momentu uruchomienia blackholingu wysyceniu uległy niektóre styki do naszych upstreamów, oraz łącz tranzytowych.
Pracujemy nad wdrożeniem rozwiązania zapewniającego krótszy czas blokowania tego typu ataków.
Przepraszamy za kłopoty!

W dniu dzisiejszym nastąpiła eskalacja problemu DDOS.
Po porannych skanach znalezione otwarte serwery NTP w Waszych sieciach zostały wykorzystane do amplifikacji zmasowanego ataku na różne hosty w Internecie.
W ekstremalnym momencie generowały one blisko 50 milionów pps ruchu wychodzącego.
Niestety spowodowało to zerwanie sesji do niektórych upstreamów, których routery przestały sobie z tym ruchem radzić.

Aby zapobiec dalszej eskalacji zdecydowaliśmy się na globalne zablokowanie ruchu wychodzącego od nas na port 123 UDP do Waszych IP.
Jeśli posiadacie inne niż epixowe łącza, taka blokada niewiele zmieni, gdyż Wasze podatne adresy IP będą wykorzystywane dalej do bycia ofiarą, lub kreowania ataków.
Proponujemy bezzwłoczne wdrożenie ACL na Waszych routerach, uniemożliwiające otrzymywania z Internetu (nie tylko globala, ale też innych usług z zewnątrz) zapytań z celem na Wasze adresy publiczne na porcie 123 UDP, oraz wysyłania ruchu z Waszej sieci z portu 123 do Internetu.

Żadne z powyższych zabezpieczeń nie rozwiązuje problemu, niezbędne jest jego rozwiązanie poprzez ELIMINACJĘ przyczyny, czyli usunięcie/zabezpieczenie podatnych IP z własnych sieci.
Przykładowe narzędzia (po realizacji powyższych ACL będą działały już tylko te z wewnątrz!):

Zalecamy bezzwłoczne skanowanie swoich podsieci pod kątem występowania na dostępnych z Internetu rzeczywistych adresach IP podatnych usług.

W ostatnich okresie obserwujemy CODZIENNIE wzmożony ruch oraz konkretne ataki na hosty w sieciach naszych uczestników.
Dodatkowo pojawił się również ruch wychodzący o charakterystyce abusywnej, co świadczy o tym, iż nieświadomie możecie brać udział w botnetach atakujących innych uczestników sieci.

Proszę o bezzwłoczne zajęcie się tematem, zanim nastąpi eskalacja problemu na poziom który zagrozi stabilności naszych i Waszych usług!

Chcemy uniknąć sytuacji, gdy w skrajnych przypadkach będziemy zmuszeni składać sesje użytkownika, lub blackholować jego sieć u naszych upstreamów.

Uwagi naszych inżynierów:

W związku z nasilonymi skanami sieci mającymi na celu wykrycie błędnie skonfigurowanych i niezabezpieczonych serwerów ntp prosimy wszystkich klientów o sprawdzenie swoich instalacji serwerów czasu.
Więcej informacji na temat tego czy Wasz serwer jest narażony na ataki ddos oraz mogący być ich źródłem poniżej:
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks

Dodatkowo prosimy o sprawdzenie posiadanych instalacji serwerów DNS czy nie są narażone na ataki oraz mogą być ich bezpośrednim źródłem wykorzystywanym przez botnety do wykonywania ataków na innych.
Większość aktualnych ataków które nasilają się od około 3 miesięcy wymierzona jest w adresy ip które posiadają zainstalowane niezabezpieczone serwisy DNS/NTP.
Dla ataków DNS opis wykorzystania luki:
http://www.watchguard.com/infocenter/editorial/41649.asp

Przypominamy, iż podatne na ataki DNS/NTP mogą być nie tylko Wasze linuxy, to też routery, switche i inne urządzenia posiadające IP na dostępnych z internetu adresach!