Свежий дайджест за прошедший октябрь. Что нового



Что нового?
  • Добавили возможность выбора автоматической установки панели 3X-UI при заказе виртуального сервера. Совсем скоро будет опубликован подробный гайд по размещению собственного VPN.
  • Поделились кейсом решения реальной задачи из нашей повседневной работы. Благодаря таким историям мы чувствуем, что становимся ближе!
  • Минимальный платеж в криптовалюте был снижен до 1 евро. Пополняйте баланс в крипте для заказа даже самых бюджетных серверов!
  • Перевели множество тарифов VPS на сеть 1Гбит/с. Теперь серверы буквально летают! Опробуйте новую скорость со скидками до 20%
  • Запустили новейшие тарифы с посуточной оплатой. Это фантастически удобно! Вы можете заказать сервер для тестирования своего ПО или чтоб наконец убедиться, что наше оборудование действительно мощное!

Каждый новый клиент получает скидку 20% на свой первый заказ. Не упустите возможность заказать серверы с самой космической скоростью от SpaceCore!

Подписывайтесь и будьте в курсе самых актуальных новостей компании SpaceCore.
Кроме того, мы доступны на английском и украинском языках.

Новые условия предоставления телекоммуникационных услуг



MEVSPACE Sp. z o. o. сообщает вам, что 10 ноября 2024 г. вступит в силу Закон Польши от 12 июля 2024 г. об электронных коммуникациях (Законодательный вестник от 2024 г., поз. 1221), заменивший действующий Закон о телекоммуникациях от 16 июля 2004 г..В связи с этим сообщаем, что в отношении телекоммуникационных услуг мы вводим новые Условия оказания телекоммуникационных услуг, вступающие в силу с ноября. 10, 2024. Новые Условия доступны на нашем веб-сайте по адресу mevspace.com/files/telecommunications-services-terms-and-conditions-v1-0.pdf (далее «Условия»). Это уведомление предоставляется в соответствии с положениями Закона от 12 июля 2024 г. о введении Закона об электронных коммуникациях (ОЖ от 2024 г., пункт 1221). Если вы не принимаете положения Условий, у вас есть 30 дней на прекращение действия вашего Соглашения. договор на оказание телекоммуникационных услуг. Если расторжение произойдет до окончания согласованного срока действия договора, мы оставляем за собой право потребовать компенсацию, указанную в соглашении, для таких обстоятельств.

Команда МЕВСПЕЙС
mevspace.com

Менеджер / IPv4 IPv6

Дополнительного заказа IP для парковки (т.е. теперь клиент может заказать несколько IPv4 для парковки, чтобы позже подключить их к своим услугам, предвидя потребности в масштабировании инфраструктуры)


В процессе заказа дополнительного IP-адреса просто выберите парковку IP-адресов в качестве целевой услуги и целевой регион, в котором такой дополнительный IP-адрес будет доступен для использования (а также для перемещения).


Дополнительный заказ IP напрямую с подключением к сети vRack (т.е. заказ IPv4 напрямую в сети vRack для гибкого управления дополнительными общедоступными IP-адресами таким образом)
Это было возможно для Additinoal IPv6, но не для IPv4. Теперь мы унифицируем опыт.
В процессе заказа дополнительного IP-адреса просто выберите целевую сетевую службу vRack и целевой регион, в котором будет настроен такой дополнительный IP-адрес (который также можно перемещать).



Отличные поля поиска для IP-сервисов и IP-менеджмента также доступны некоторое время! (небольшое напоминание). Теперь вы можете вводить данные для поиска в полях «Сервис» или «Все сервисы»


на странице списка IP-адресов для быстрого поиска интересующих вас IP-адресов (по имени сервиса, идентификатору сервиса, имени или идентификатору сети vRack, имени или идентификатору проекта PCI и т.д.!)

Уведомление о прекращении сотрудничества



Уважаемый клиент!
Хотя мы считаем, что наши клиенты могут не поддерживать политику российского правительства, нет сомнений в том, что российское правительство нарушает права человека, используя местный бизнес в качестве хранилища ресурсов.

Вынуждены сообщить Вам, что в связи с напряженной геополитической обстановкой, сложными бизнес-решениями и обновленными правовыми нормами наша компания приостанавливает сотрудничество с клиентами из Российской Федерации. Мы больше не будем оказывать услуги клиентам, зарегистрированным (находящимся) на территории Российской Федерации.

По данным нашей базы данных, вы или контакт, указанный в вашей учетной записи, можете находиться в Российской Федерации. Поэтому с сожалением сообщаем вам, что:
  • (а) все предоставляемые вам услуги будут прекращены с 9 января 2025 года;
  • (б) Ваши доменные имена будут приостановлены после прекращения предоставления Услуг.

Пожалуйста, инициируйте передачу ваших доменных имен другому регистратору, который соответствует вашим требованиям, до 9 января 2025 года.

Наша команда готова ответить на любые ваши вопросы.
ahnames.com

С наилучшими пожеланиями,
Команда AHnames.com
действующий на основании лицензии
ДАНЕСКО ТРЕЙДИНГ ЛИМИТЕД

Мега-распродажа 11.11 от PQ.Hosting!



Только 11 ноября, с 00:00 до 23:59, вы сможете воспользоваться СУПЕР-СКИДКАМИ на все услуги PQ.Hosting! Всего один день, когда ваши любимые сервисы становятся доступнее, чем когда-либо.

Что вас ждёт:
  • VPS-серверы — скидка 20% на заказ и продление!
  • «Резервное копирование» — скидка 20%!
  • Выделенные серверы — скидка 15% на заказ и продление!
  • Proxy — 15% на заказ и продление!
  • VPN — скидка 40% на заказ и 30% на продление!
  • SSL-сертификаты — скидка 80% на заказ и продление!
  • Внешнее FTP-хранилище — скидка 20% на тарифы до BACKUP-1000!

Помните: распродажа продлится всего сутки!

Всё, что нужно сделать — ввести промокод PQ11 при покупке или продлении услуг 11 ноября!

Обращаем ваше внимание, что скидки не суммируются и приобретенные сервисы с промокодом не могут быть возвращены.

https://pq.hosting

11.11.2024: Ваша МЕГАРАСПРОДАЖА серверов от 4vps!

11.11.2024: Ваша МЕГАРАСПРОДАЖА серверов от 4vps!



Впервые за год — уникальная возможность обновится по лучшей цене! Если вы ждали момент для выгодного апгрейда, то он настал.

С 10 по 12 ноября — скидка 30% на все виртуальные серверы в любой локации! Самая большая и яркая распродажа года, где каждый найдет подходящее решение.

Скидка действует на все заказы: арендуйте новые серверы или продлевайте текущие по фантастическим ценам!

Не упустите шанс на этой глобальной распродаже! Поторопитесь — количество серверов ограничено!
4vps.su

Рост числа атак на скорость пакетов: когда основные маршрутизаторы становятся злом

Атаки типа «распределенный отказ в обслуживании» (DDoS) — это постоянная угроза, которая продолжает оставаться эффективным способом воздействия на доступность онлайн-сервисов. За последнее десятилетие несколько злоумышленников продемонстрировали, как легко они могут создать армию зомби-устройств с помощью своего ботнета, используя широкий спектр методов: от фишинга до установки вредоносного ПО на настольный хост и использования различных уязвимостей, влияющих на устройства IoT, системы видеонаблюдения или домашние маршрутизаторы.

Эти ботнеты в основном использовались для запуска DDoS-атак, используя десятки тысяч скомпрометированных устройств по всему миру. Стратегия атаки часто одна и та же — генерировать как можно больше пакетов, чтобы максимизировать битрейт или скорость пакетов, перегружая сеть цели. Так было с ботнетом Mirai в 2016 году, который первым сгенерировал более 1 Тбит/с трафика. С тех пор другие ботнеты превзошли Mirai, и трафик достиг 3,47 Тбит/с в 2021 году. Однако атаки, превышающие 1 Тбит/с, были относительно редки — до недавнего времени.

С начала 2023 года наши команды в OVHcloud заметили резкое увеличение DDoS-атак, как по частоте, так и по интенсивности. Более того, начиная с ноября того же года, наблюдалось значительное ускорение тенденции. За последние 18 месяцев мы перешли от атак мощностью 1+ Тбит/с, которые были довольно редкими, к еженедельным, а затем к почти ежедневным (в среднем за одну неделю). Самая высокая скорость передачи данных, которую мы наблюдали в этот период, составила ~2,5 Тбит/с.



Интересно, что недавнее объявление о ликвидации ботнета 911 S5 в период с 25 по 30 мая 2024 года примерно совпадает со значительным снижением DDoS-атак, начавшимся в середине мая. Однако мы не можем с уверенностью утверждать, что эти события связаны между собой.

Хотя частота атак, по-видимому, вернулась к норме, мы по-прежнему наблюдаем большое количество DDoS-атак со скоростью передачи пакетов свыше 100 миллионов пакетов в секунду (Mpps).

Интересно, что недавняя ликвидация ботнета 911 S5 между 25 и 30 мая 2024 года совпала с заметным снижением DDoS-атак, начавшимся в середине мая. Однако мы не можем однозначно сказать, что эти события связаны. Хотя частота атак вернулась к норме, мы все еще наблюдаем значительное количество DDoS-атак с пакетной скоростью, превышающей 100Mpps.

А как насчет атак на скорость пакетов?
Обычно большинство DDoS-атак основаны на отправке большого количества мусорных данных для переполнения полосы пропускания (атаки на сетевом уровне) или отправке большого количества запросов приложений для чрезмерного использования ЦП или памяти (атаки на уровне приложений). Конечно, есть и другие методы, такие как атаки на основе скорости пакетов или атаки на основе пакетов в секунду.

Целью атак на скорость пакетов является перегрузка процессоров обработки пакетов сетевых устройств, расположенных близко к месту назначения, вместо того, чтобы истощать доступную полосу пропускания. Общая идея заключается в том, чтобы парализовать инфраструктуры перед целевой службой (например, балансировщики нагрузки, системы защиты от DDoS и т. д.), таким образом, возможно, повлияв на большую инфраструктуру в качестве сопутствующего ущерба. Проще говоря, вместо того, чтобы пытаться найти дыры в системах защиты от DDoS, просто выведите их из строя!

Атаки на скорость пакетов довольно эффективны, поскольку работа с большим количеством маленьких пакетов обычно сложнее, чем работа с большими, но менее многочисленными пакетами. Это связано с тем, что стоимость вычислений обычно выше. Например, если вы используете программное обеспечение для обработки пакетов, каждый пакет означает как минимум один доступ к памяти (исключая возможное копирование, доступ к сохраненным данным, таким как таблицы соединений и т.д.), вместо простого перебора большего количества байтов.

Если вы используете оборудование, то, хотя производительность обработки пакетов не обязательно зависит от скорости пакетов, конвейер обработки, вероятно, зависит от других компонентов, таких как память (опять же!), которая может быть значительно нагружена высокой скоростью пакетов. В этих условиях вы можете достичь некоторых пределов из-за очень высокой скорости или просто потому, что у вас недостаточно буферов для хранения всего этого, что, вероятно, вызовет задержку или потерю производительности. Мы можем обобщить эту проблему в одном предложении — если ваша работа заключается в том, чтобы иметь дело в основном с полезными нагрузками, пропускная способность может быть жестким ограничением; но если ваша работа заключается в том, чтобы иметь дело в основном с заголовками пакетов, скорость пакетов является жестким ограничением.

Вот почему в большинстве случаев работать с маленькими пакетами сложнее, чем с большими. В двух словах, DDoS-атака 10 Гбит/с с большими пакетами (1480 байт) дает ~0,85Mpps. Для сравнения, 10 Гбит/с с самыми маленькими пакетами (84 байта на проводе для Ethernet) дает колоссальные ~14,88Mpps.

В контексте стандартного интернет-MTU (1500) вы можете разместить в 17 раз больше пакетов на проводе, генерируя только самые маленькие возможные пакеты по сравнению с большими пакетами. Чтобы дать представление о вычислительных возможностях, необходимых в контексте смягчения DDoS, рассмотрим канал 100 Гбит/с, который будет соответствовать скорости линии ~149Mpps. Это позволяет до 6 наносекунд времени обработки на пакет или 18 циклов для одного вычислительного конвейера, работающего на тактовой частоте 3 ГГц. Другими словами, даже с десятками параллельных конвейеров у вас не будет много доступных циклов, особенно если вам нужно получить доступ к некоторой памяти.

Рост числа атак с (большой) скоростью передачи пакетов
DDoS-атаки, основанные на высокой скорости передачи пакетов, не являются чем-то новым, и сетевым операторам по всему миру приходилось сталкиваться с такими атаками по крайней мере один раз. Например, самая высокая публично известная атака с пакетной скоростью была зарегистрирована Akamai в 2020 году и достигла 809Mpps. Несмотря на эту большую цифру, подавляющее большинство атак с пакетной скоростью значительно ниже 100Mpps. Вероятно, это связано с тем, что генерировать несколько небольших пакетов сложнее, чем генерировать большие — вам нужно гораздо больше вычислительной мощности (аналогично обработке) и ее сложнее скрыть от систем мониторинга сети и противодействия злоупотреблениям.

Атаки на скорость пакетов начали привлекать серьезное внимание в OVHcloud два года назад после того, как мы подверглись — но были успешно нейтрализованы — гигантскому потоку UDP, длившемуся более шести часов, достигавшему в среднем ~700 млн пакетов в секунду в течение примерно четырех часов.


За последние 18 месяцев, и особенно за последние шесть месяцев, мы заметили резкое увеличение DDoS-атак, использующих скорость пакетов более 100Mpps. Мы перешли от нейтрализации нескольких из них каждую неделю к десяткам или даже сотням в неделю. Нашим инфраструктурам пришлось нейтрализовать несколько атак 500+Mpps в начале 2024 года, включая одну с пиком в 620Mpps. В апреле 2024 года мы даже нейтрализовали рекордную DDoS-атаку, достигшую ~840Mpps, что немного выше предыдущего рекорда, о котором сообщила Akamai.


Эта атака на 99% состояла из TCP ACK, исходящих примерно из 5000 исходных IP-адресов. Интересно, что оставшийся 1% был атакой отражения DNS, использующей ~15000 DNS-серверов для усиления трафика, что не очень эффективно при попытке достичь атак с высокой скоростью пакетов.

Хотя атака была распространена по всему миру, 2/3 от общего числа пакетов поступило всего из четырех точек присутствия (PoP), все из которых расположены в США, и три из них на Западном побережье. Это подчеркивает способность противника отправлять огромную скорость пакетов всего через несколько пирингов, что может оказаться очень проблематичным. Как правило, команды реагирования на DDoS предполагают, что довольно сложно отправлять массивные DDoS-атаки только из нескольких географических точек. Исходя из этого предположения, наши инфраструктуры масштабируются горизонтально и распространяются по всему миру, поэтому они легче поглощают нагрузку. Однако распределение трафика атаки 840Mpps серьезно поставило это предположение под сомнение. Хотя у нас есть локальные возможности для смягчения этой атаки, мы рассмотрим корректировку общей модели масштабирования и распределения наших инфраструктур против DDoS, чтобы гарантировать, что они справятся с будущими (и, вероятно, более крупными) атаками, как мы делаем это сегодня.

В конце концов, значительный рост атак с высокой скоростью пакетов заставил нас глубоко погрузиться в тему. Как всемирный поставщик облачных услуг, OVHcloud ежедневно отбивает множество DDoS-атак, что дает нам исключительную точку зрения по этой теме. Мы хотели понять, как эти атаки были сгенерированы, откуда они взялись, и, возможно, определить, что мы можем сделать, чтобы лучше защитить наши инфраструктуры и клиентов от такого рода огневой мощи.

Раскрытие вредоносных маршрутизаторов ядра
В ходе нашего анализа мы вручную проверили около сотни атак с пакетной скоростью от 100 до 500Mpps. Мы заметили, что значительная часть трафика исходила из относительно небольшого числа источников. Мы определили список известных IP-адресов, способных генерировать не менее 1Mpps каждый, и решили провести дальнейшее расследование.

Мы проанализировали 70 лучших IP-адресов, выдающих самые высокие скорости пакетов, до 14,8Mpps на IP-адрес. Эти IP-адреса в основном принадлежат автономным системам (AS) в Азии, но также представлены Европа, Ближний Восток, Северная Америка и Южная Америка. Выявленные AS, по-видимому, в основном принадлежат интернет-провайдерам или поставщикам облачных подключений.


Чтобы определить типы устройств, задействованных в этих DDoS-атаках, мы использовали Onyphe для проверки того, были ли IP-адреса уже известны. Многие из этих IP-адресов действительно были распознаны как маршрутизаторы MikroTik, которые, по крайней мере, были открыты для Интернета через свои веб-страницы конфигурации.

На данный момент остается возможность, что этот трафик генерируется серверами, расположенными за маршрутизатором, настроенным с помощью трансляции сетевых адресов (NAT), с использованием поддельных IP-адресов или с использованием какого-то странного отражения TCP. Однако мы быстро отклонили эти гипотезы из-за маловероятности обнаружения столь значительного количества идентифицированных маршрутизаторов MikroTik, учитывая, что MikroTik не занимает пропорционально большую долю мирового рынка.

Кроме того, раскрытие интерфейса администрирования отражает плохие методы управления. Это увеличивает поверхность атаки устройства и может облегчить его взлом злоумышленником. Более того, RouterOS — операционная система MikroTik — пострадала от нескольких критических CVE за последние годы. Даже если был выпущен патч, эти устройства могли еще не быть исправлены.

Поскольку интерфейс HTTP открыт на большинстве устройств, его можно использовать для восстановления версии RouterOS, работающей на этих устройствах. Половина из них работает под управлением версии RouterOS до 6.49.8, выпущенной 23 мая 2023 года, а другая половина — под управлением более поздней версии. Например, были идентифицированы устройства под управлением RouterOS 6.49.14, выпущенной 4 апреля 2024 года.


Мы были удивлены, обнаружив, что устройства с последней прошивкой потенциально скомпрометированы. Насколько нам известно, до сих пор не было опубликовано ни одной уязвимости, влияющей на RouterOS 6.49.14 и более поздние версии. Возможным объяснением может быть то, что эти устройства могли быть исправлены после того, как были скомпрометированы.

Мы пока не можем сказать, почему эти устройства участвуют в скоординированных DDoS-атаках, но одной из возможных гипотез может быть функция проверки пропускной способности в RouterOS. Она позволяет администратору проверить реальную пропускную способность маршрутизатора, создавая пакеты и выполняя стресс-тесты. По совпадению, в документации указано: «До версии RouterOS 6.44beta39 проверка пропускной способности использовала только одно ядро ​​ЦП и достигала своих пределов, когда ядро ​​было загружено на 100%. Проверка пропускной способности [теперь] использует всю доступную пропускную способность (по умолчанию) и может повлиять на удобство использования сети». Это довольно интересно, поскольку среди IP-адресов-нарушителей мы в основном идентифицировали RouterOS v6.44 или выше.

99 382 устройств доступны в Интернете
Используя Simple Network Management Protocol (SNMP) на устройствах, которые его раскрывают, мы смогли определить, какие устройства способны выдавать такую ​​высокую скорость передачи пакетов. Как и ожидалось, это не домашние маршрутизаторы, а скорее основные сетевые устройства.

Используя Simple Network Management Protocol (SNMP) на устройствах, которые его раскрыли, мы смогли определить типы устройств, способных генерировать такие высокие скорости передачи пакетов. Как и ожидалось, это были не домашние маршрутизаторы, а основные сетевые устройства.


Рисунок 6 показывает серию MikroTik Cloud Core Router (CCR). Действительно, SNMP вернул несколько CCR1036-8G-2S+ и CCR1072-1G-8S+

Чтобы получить представление о том, сколько устройств может быть скомпрометировано и использовано в таких массированных DDoS-атаках с пакетной скоростью, мы снова использовали Onyphe для поиска устройств CCR, широко распространенных в Интернете. Было идентифицировано 99 382 устройства CCR.


Наш анализ показывает, что две модели устройств, задействованные в атаках на скорость пакетов, CCR1036-8G-2S+ и CCR1072-1G-8S+, составляют не менее 40 000 устройств, открытых в Интернете. CCR1036-8G-2S+ является наиболее распространенной, с 30 976 обнаруженными случаями, в то время как CCR1072-1G-8S+ занимает четвертое место с 9 353 случаями. Хотя мы пока не знаем конкретную уязвимость, использованную для взлома этих моделей, неясно, могут ли быть затронуты и другие модели CCR. Однако открытие административной панели в Интернете остается значительным риском безопасности.

Еще больше злых моделей?
Благодаря внутреннему обмену данными и обсуждениям мы вспомнили об атаке уровня 7 (L7), которая произошла в ноябре 2023 года. Хотя маршрутизаторы MikroTik были идентифицированы в то время, это не вызвало опасений. Эта атака достигла 1,2 миллиона HTTPS-запросов в секунду и включала около 3000 исходных IP-адресов. Учитывая наши последние выводы, мы решили пересмотреть инцидент.


Чтобы определить, какие типы маршрутизаторов были задействованы, мы извлекли 3000 IP-адресов, связанных с атакой. Предыдущие расследования показали, что около 700 из этих IP-адресов были идентифицированы как маршрутизаторы MikroTik с открытым портом TCP 8291. Однако в то время мы не исследовали конкретные устройства, задействованные в атаке.

Как и прежде, мы провели быстрый поиск с помощью Onyphe, сначала вручную, и нашли похожие результаты: CCR также были вовлечены в эту атаку. Среди IP-адресов, идентифицированных как устройства CCR, более 10% имели публично раскрытый SNMP. И снова мы обнаружили, что основными сетевыми устройствами были целевые устройства — 16% раскрытых устройств были CCR1009-7G-1C-1S+, еще одна похожая модель. Эта модель является второй по степени раскрытия в Интернете, как было отмечено в наших предыдущих выводах.

Определение версии RouterOS, работающей на идентифицированных устройствах восемь месяцев назад, вероятно, не имеет значения, поскольку мы не можем сказать, какая версия была запущена на устройстве в то время. Однако анализ показывает, что 22% устройств работают под управлением RouterOS, выпущенной между 1 июля 2023 года и 1 июля 2024 года. Самая последняя версия — v6.49.15 (24/05/2024), а самая старая — v5.20 (15/08/2012).





К сожалению, у нас больше нет достаточного количества данных, чтобы оценить частоту запросов для каждой модели устройства.

Как упоминалось ранее, до сих пор неясно, как эти устройства были скомпрометированы. Аналогично, сложно определить, связаны ли атаки с высокой скоростью пакетов и атаки L7 или в них был задействован один и тот же ботнет. Тем не менее, идентификация основных сетевых устройств в атаках L7 имеет важное значение, поскольку подчеркивает потенциальную угрозу, которую представляют эти устройства.

Давайте займемся математикой.
Чтобы оценить возможную мощность ботнета, использующего эти устройства, мы решили сосредоточиться на хорошо идентифицируемых атаках на скорость передачи пакетов.

Беглый взгляд на заявленные возможности идентифицированных устройств показывает, что они могут обрабатывать до 28 Гбит/с для CCR1036-8G-2S+ и 80 Гбит/с для CCR1072-1G-8S+. С точки зрения скорости передачи пакетов эти устройства, как утверждается, обрабатывают около теоретической скорости пакетной линии на основе их пропускной способности. Для ясности, соединение 1 Гбит/с может обрабатывать максимум около 1,5 млн пакетов в секунду.

Однако количество пакетов в секунду, которые может генерировать устройство, зависит от того, создает ли оно пакеты (обычно это обрабатывается ЦП) или просто пересылает их (обычно это делают ASIC). Это означает, что фактическая скорость пакетов может быть намного ниже заявленной производительности обработки. Кроме того, генерация трафика с использованием оборудования скомпрометированного устройства сложна, и злоумышленник, скорее всего, будет полагаться на возможности ЦП или повторно использовать встроенные функции для непреднамеренных целей.

В контексте этого мысленного упражнения мы предполагаем, что сетевые устройства способны создавать пакеты со скоростью, равной 10% от их максимальной емкости, что приводит к следующим предположениям:
  • CCR1036-8G-2S+ должен иметь возможность генерировать 4Mpps каждый
  • CCR1072-1G-8S+ должен иметь возможность генерировать 12Mpps каждый
Эти оценки кажутся в основном точными по сравнению с тем, что мы фактически наблюдали в плане скоростей пакетов в зависимости от идентифицированной модели. Учитывая доступный ЦП на этих устройствах, мы считаем, что эти оценки довольно консервативны. Например, в случае устройств CCR1036-8G-2S+ генерация более 4Mpps с 36 ядрами на частоте 1,2 ГГц не должна быть сложной.

На этом этапе любой может провести математические расчеты, чтобы построить наивную масштабную модель ботнета, использующего эти устройства. Принимая во внимание показатель в 1% (произвольное консервативное значение) скомпрометированных устройств и сосредоточившись только на первых двух моделях, которые мы определили как скомпрометированные:
  • ~ 300x CCR1036-8G-2S+ / 4Mpps каждый
  • ~ 90x CCR1072-1G-8S+ / 12Mpps каждый
Такой ботнет теоретически сможет генерировать 2,28 млрд пакетов в секунду (или Gpps).

С точки зрения пропускной способности запросов в секунду для атак L7 у нас недостаточно данных, чтобы сформировать достаточно сильную гипотезу. Мы можем только утверждать, что эти устройства, по-видимому, способны выполнять атаки L7 и атаки с высокой скоростью пакетов. Попытка оценить возможную пропускную способность L7 остается в качестве упражнения для читателя.

Заключение
Доказательства, представленные в этой статье, указывают на новую тенденцию использования скомпрометированных сетевых основных устройств для запуска мощных атак. Хотя устройства MikroTik и раньше были замешаны в DDoS-атаках, не было никаких предварительных указаний на то, что ботнеты специально полагались на основные сетевые устройства для проведения этих атак.

Хотя любой высокопроизводительный сервер вполне способен генерировать пакетные скорости в таком масштабе, они, вероятно, будут ограничены фактическим объемом доступной общедоступной полосы пропускания. Из-за своего расположения в сети основные устройства гораздо меньше подвержены этому утверждению. Они, как правило, подключены к еще более крупным устройствам с использованием высокопроизводительных сетевых соединений. Более того, меры по смягчению последствий, реализованные сетевыми администраторами для выявления ненормального поведения в сети, например, серверов, инициирующих DDoS-атаки, в этом случае можно обойти, поскольку маршрутизаторы, как правило, не подлежат этим мерам.

В зависимости от количества скомпрометированных устройств и их реальных возможностей это может стать новой эрой для атак с пакетной скоростью. С ботнетами, которые, возможно, способны выдавать миллиарды пакетов в секунду, это может серьезно оспорить то, как строятся и масштабируются инфраструктуры анти-DDoS. Мы обязательно учтем эту новую угрозу, когда будем думать о том, как мы строим и масштабируем наши собственные инфраструктуры анти-DDoS, чтобы быть уверенными, что мы остаемся вне любого возможного воздействия.

Безопасность сетевых устройств является как насущной проблемой, так и актуальной проблемой. С 1 января 2024 года было выпущено более 10 критических CVE, затрагивающих различные сетевые устройства от разных поставщиков (таких как Ivanti, Cisco, Fortinet, Palo Alto и т. д.). Некоторые из них даже эксплуатировались в дикой природе до публичного выпуска CVE. Однако это первый случай, когда мы сталкиваемся с устройствами ядра сети, участвующими в скоординированных DDoS-атаках. Это несколько тревожно, поскольку идентифицированные устройства предназначены для малых и средних сетевых ядер, а сегодня доступно гораздо более мощное оборудование.

Заключительное замечание: Мы обратились к MikroTik по нескольким каналам связи, чтобы рассказать им о ситуации. MikroTik связался с нами 04.07.2024 и расследует возможные причины проблемы.

В настоящее время мы также связываемся с различными AS, чтобы сообщить им о проблеме.

OVHcloud не уходит с фондового рынка



Я получаю сообщения с поздравлениями и разочарованием по поводу предполагаемого ухода OVHcloud с фондового рынка!? Но, но… OVHcloud не уходит с фондового рынка!

Мы объявили об OPRA, что означает публичное предложение о выкупе акций, а не об OPA, которое является публичным предложением о покупке. Конкретно это означает, что OVHcloud выкупит собственные акции у акционеров, желающих их продать, но без каких-либо обязательств: каждый волен продавать или нет. В отличие от предложения о поглощении, за которым может последовать выкуп, никто не принуждается продавать свои акции.

Бюджет этого OPRA установлен в размере 350 миллионов евро. Это означает, что:
  • Если количество выставленных на продажу акций меньше этой суммы, OVHcloud потратит меньше средств на выкуп.
  • Если больше акционеров захотят продать, чем бюджет в 350 миллионов евро, OVHcloud не выйдет за рамки этой суммы. В этом случае акции будут выкуплены пропорционально доле каждого акционера. Правила пропорционального распределения могут показаться нелогичными, поэтому не стесняйтесь узнать о конкретном принципе пропорционального распределения в OPRA и, в более общем плане, прочитать проект информационной записки, опубликованный на нашем сайте, который содержит всю информацию, касающуюся OPRA, и который остается предметом проверки со стороны Управления по финансовым рынкам (AMF).

Наконец, если АИФ даст свое согласие на эту операцию, часть акций останется в обращении на Парижской фондовой бирже для акционеров, которые решили сохранить свои акции.

А OVHcloud? Где мы? Вот где мы находимся, по моему мнению.

Я основал OVH без денег, потому что у меня их не было. За 15 лет я руководил тремя пятилетними стратегическими планами, всегда с положительным свободным денежным потоком, не привлекая средств, просто реинвестируя заработанное. Старая школа. Хорошая школа.

Затем я решил реализовать 10-летний или два пятилетних стратегических плана с отрицательным свободным денежным потоком. Мы компенсировали большие вложения благодаря капиталу, предоставленному инвесторами: 250 М € + 350 М €, или 600 М €.

Эти 10 лет были необходимы для ускорения развития OVHcloud. С 2016 по 2020 год мы смогли инвестировать в многочисленные новые центры обработки данных и укрепить свое глобальное присутствие. С 2021 по 2025 год мы инвестировали в программное обеспечение для создания 40 продуктов публичного облака.

Всего за несколько лет мы увеличились вдвое – спасибо, Мишель! – и сейчас мы приближаемся к концу этого периода отрицательного свободного денежного потока. Я хочу, чтобы мы вернулись к роли «хорошего отца»: инвестируем то, что зарабатываем, не более того. Да, я немного старомоден, я знаю.

Несколько слов о публичном облаке: мы думали отказаться от всей дорожной карты в период с 2021 по 2024 год. Короче говоря, идите быстрее. Имея +300 разработчиков за 18 месяцев, приобретенных 5 стартапов, мы все равно двигались быстро, но после 3 лет работы, надо признать, нам еще осталось немного поработать, чтобы закончить все разработки. Я бы сказал, около 12-24 месяцев.

Поэтому мы продолжаем усердно работать над тем, чтобы завершить и предложить нашим клиентам эти 40 продуктов Public Cloud в 7 регионах, каждый регион в форме 3 AZ (3 DC) в версии ISO27000 (гражданская) и версии SecNumCloud (военная).

Кроме того, присоединяйтесь к нам на Саммите 28 ноября, чтобы узнать больше!
summit.ovhcloud.com/en-ie/



Несмотря на более длительные, чем ожидалось, сроки, наши инвестиции в публичное облако продолжаются, поскольку наши клиенты просят нас об этих 40 продуктах, и поэтому мы приложим все усилия, чтобы их доставить.

В то же время мы сохраняем четкую видимость роста частного облака и извлекаем из него выгоду благодаря инновациям, строгому управлению и экономии за счет масштаба.

Другими словами, теперь мы можем финансировать все эти инвестиции в публичное облако благодаря доходам от частного облака и даже снова получить положительный денежный поток с 26 финансового года, если все пойдет хорошо. Это безумие, но это правда!

В 26 финансовом году мы будем, как и в начале OVH, в течение первых 15 лет, снова свободными от любой зависимости от внешнего капитала, но на этот раз оставаясь публичной компанией, котирующейся на фондовой бирже, со строгой обязанностью хорошо инвестировать каждый евро. Я очень хочу! Спасибо всем нашим клиентам, которые поддерживают нас и всегда за нас!

С начала сентября мы с Бенджамином, новым генеральным директором OVHcloud, решили развивать мой вклад в течение следующих 18 месяцев. Мне понадобится 3 x 6 месяцев, чтобы повторно просканировать всю коробку: сначала отрасль, затем продукт и, наконец, торговлю. Цель состоит в том, чтобы дать совет Бенджамину и предложить изменения, которые устранят наши опасения и еще больше ускорят работу, все, что можно ускорить.

Мы должны поставить эти темы в центр: цифровой опыт клиентов, менеджер, выставление счетов, мы также должны улучшить поддержку, снизить цены, быстрее внедрять инновации, ускорить реализацию планов, развернуть все наши продукты во всех центрах обработки данных, чтобы предложить их всем. клиенты… Я сделаю предложения по этим вопросам Бенджамину, чтобы он и команды могли их выполнить, чтобы это приобрело форму в ближайшие кварталы :)

Все это говорит о том, что мне очень приятно, что мы запускаем эту OPRA, продолжая делать все, что уже делаем. OVHcloud в конечном итоге станет европейской альтернативой облаку с реальным каталогом продуктов публичного облака и размещенного частного облака, продолжая при этом инвестировать в Baremetal Cloud и Web Cloud.

29 ноября на саммите мы сделаем множество анонсов по нашим 4 продуктам для гражданского и военного использования.

Я не говорю этого достаточно: Спасибо! Спасибо всем нашим клиентам за их доверие, их требования, их способность всегда подталкивать нас вперед и помогать нам расти. OVHcloud каждый день борется вместе с крупнейшими компаниями мира. Это нормально, что некоторые люди сомневаются или не понимают, как мы этого добиваемся, но главное, что мы, команда OVHcloud, знаем, как этого добиться, и что наши клиенты поддерживают нас в этом невероятном приключении! Это единственные условия успеха – и они у нас есть :)

СПАСИБО! Мы знаем, что осталось сделать: приступить к работе ;)

H2.NEXUS - Создавать проще, промо меньше, новые скидки




???? Создавать проще, промо меньше, новые скидки

Всем привет! По вашим запросам мы оптимизировали процесс создания сервера — убрали лишние пункты, сделали список ОС более наглядным и самое главное — добавили возможность установки браузера Google Chrome и отключения обновлений в один клик при создании сервера! Это то, что многим раньше приходилось делать самостоятельно.

1 октября мы запустили настоящую революцию в мире хостинга — PROMO-Platinum
Полноценный сервер на топовом процессоре Intel Xeon 8260 Platinum всего за 0,5$ в месяц, без каких-либо скрытых ограничений!
На старте таких серверов было всего 4000, и вы их выкупили за 38 дней, в среднем вы покупали по 100 серверов в день
А сегодня у нас на осталось менее 200 серверов такой конфигурации, и услугой начали пользоваться мошенники, по этой причине мы решили временно добавить разовую платную установку по 10$ за тариф. Стоимость самого тарифа не меняется. Это поможет снизить спрос и защитить серверы от мошенников, пока мы не добавим новые и не улучшим систему безопасности.

А ещё готовимся к распродажам 11.11 — добавляем новые узлы для действительно огромных скидок! Готовьте свои деньги ????

Есть вопросы? Обращайтесь! @h2nexus_support

H2.NEXUS ????

Лоукост VPS в России и зарубежом. Возможно ли?



Было бы нечестно отрицать, что эта статья является прямой отсылкой к уже существующей публикации на Хабре, которая вышла ровно 9 лет назад. Что же изменилось за последнее десятилетие, и есть ли смысл сейчас искать дешевые виртуалки? Давайте разбираться.

Забегая вперед, отметим, что во многом именно история самого главного лоукостера в России и самого качественного провайдера в нашей стране помогли нам стать теми, кем мы являемся сейчас. Так с чего же всё началось?



История
Как и все, многие веб-разработчики начинают с веб-хостинга, кто вырастает — берет свою виртуальную машину, затем — выделенный сервер, второй, третий и так вы уже становитесь какой никакой компанией. Наша история случилась именно так.

В начале пути мы искали дешевые виртуалки, затем дедики — нашли это в Айхор Хостинге, некогда известном крупном российском лоукост провайдере. Все работало как часы до момента переделки бизнеса между владельцами. В те дни ЦОД на Угрешской в Москве был обесточен на несколько дней.



Переехали в Selectel. Сначала арендовали выделенные сервера, затем привезли свои на colocation, тогда же впервые арендовали свой первый /24 префикс.

Близился 2022. Уже под Новый год мы понимали что хотим чего-то большего. Так появились мысли о собственном ЦОДе. К переезду в «собственный дом» подтолкнуло резкое повышение цен у Selectel. Для нас расходы выросли почти в 2 раза. Не долго думая, наша единственная на тот момент стойка начала готовиться к переезду.

Дальше все по протоколу — регистрация ASN, получение лицензии в Роскомнадзоре, поиск upstream, установка ДГУ, проектирование сети и настройка всего и вся. В общем, всё то, что тянет на отдельную статью на Хабре.

Так к чему всё это? Самое главное во всей этой истории, что мы стали более независимыми и у нас появился большой простор для принятия решений: от финансовых оптимизаций до разработки собственных сервисов.

Как итог за 2 года самостоятельной жизни накопили много бесценного опыта, запустили аренду VPS в 10 локациях по всему миру, полностью переписали собственный сайт, попробовали разные каналы привлечения.

Себестоимость
Накопив багаж знаний по запуску от локальной «точки» до локаций зарубежом, решили поделиться с вами цифрами и рассуждениями.

Так из чего же складывается стоимость аренды виртуалки? Вот список всех затрат в первом приближении:
  • Стоимость электричества
  • Стоимость канала связи
  • Стоимость IP
  • Стоимость железа
  • Стоимость привлечения
  • Накладные расходы

Электричество
Пожалуй, самый главный расход любого ЦОДа — электричество. И здесь все просто — чем оно дешевле, тем больше шансов довести показатель энергоэффективности ЦОДа до идеальных значений. Нам в этом плане повезло меньше и на текущий момент цена за розетку у нас как у всех небольших предприятий — примерно 8.5 рублей за 1 кВт.

Канал связи
Цена 1 Gb/s в России составляет порядка 40 тысяч рублей. Есть варианты несколько дешевле, но здесь все сильно зависит от того где вы находитесь. Не забываем, что для надежности нужно иметь как минимум два upstream провайдера. С кем-то можно договориться о 95 перцентиле и не платить, пока не пользуешься, варианты есть. Так или иначе в среднем 1 клиент по VPS расходует примерно 3,5 / 2,6 mb/s на прием и отдачу соотвественно, по крайней мере у нас получаются такие цифры. Это значит, что мы можем думать что 1000 mb/s должно хватить как минимум на 250 клиентов, соотвественно стоимость интернета составляет примерно 160 рублей с одного клиента.

Аренда IP подсети
Цены на аренду IP-подсети варьируются в среднем от 11 до 15 тысяч рублей. В нашем случае чистая стоимость одного адреса составляет — 55,33 рублей. Складываем в копилку.

Стоимость железа
В августе 2024 у нас получилось собрать платформу на базе двух Intel Xeon Gold 6136, 512 GB оперативной памяти DDR4 и 8 TB U.2 NVMe дисков за 240 тысяч рублей. В среднем амортизацию железа принято считать равной 3-5 годам.
Если предположить, что на таком сервере получится разместить 120 виртуальных машин, где каждая потребляет 1 vCPU, 2 GB RAM и 30 GB диска, то при тарифе в 500 рублей ежемесячная выручка составит порядка 60 тысяч рублей.
Стоимость аренды при окупаемости в 24 месяцев — порядка 83,3 рублей.
Энергопотребление — примерно 20,4 рублей с клиента.
Конечно, это очень абстрактные расчёты без учёта возможных затрудняющих факторов. Но, тем не менее, эти цифры достаточно приближены к реальным.

Стоимость привлечения
Так или иначе любой бизнес нуждается в привлечении клиентов — каким бы крутым ты не был, без рекламы не обходится ни Apple Сбер, ни Google Яндекс.

Реалии 2024 года таковы, что стоимость рекламных размещений в Яндекс.Директе и других подобных каналах сильно завышена и стоит для конечного потребителя весьма дорого. Поэтому, если мы говорим про лоукост, давайте оперировать лоукост решениями — к примеру, публикация на Хабре вроде этой ;)

Пользуясь случаем просто покажем наши тарифы:


Помимо самого привлечения важно по максимуму оптимизировать конверсию. К примеру, у себя на сайте мы вынесли все сложные действия по типу регистрации и заполнения настроек продуктов в самый конец после оплаты, тем самым сократили отказы при работе клиентов с сайтом.



Для упрощения расчетов примем затраты на продвижения равными нулю, хоть это далеко не так.

Накладные расходы
В этот пункт можно отнести лицензии на ПО, стоимость работы инженеров, административного персонала.

К примеру, на 120 виртуалок:
  • Аренда лицензии на биллинг-систему BillManager — 5000 рублей в месяц
  • Аренда лицензии на систему управления виртуализацией VMmanager — 4800 рублей в месяц
  • Минимально нам нужно 9800 рублей только на ПО. В пересчете на одну виртуальную машину получается 81,6 рублей.

Подводим итоги:
  • Виртуальная машина стоимостью 1 vCPU, 2 GB RAM, 30 GB NVMe SSD в себестоимости составляет:
  • Электричество: 20,4 руб
  • IP-адрес: 55,33 руб
  • Железо: 83,3 руб
  • Аренда ПО: 81,6 руб
  • Интернет-канал: 160 рублей
  • В сумме 400,63 рублей.

Что не учитывается в этой цифре?
  • Сетевое оборудование
  • Оборудование защиты
  • Охлаждение
  • Запасные части
  • Работа персонала
  • Стоимость привлечения
  • Стоимость собственной разработки
  • Амортизация оборудования
  • Налоги, отчисления и комиссии платежных систем

Важные замечания по расчету:
  • Стоимость некоторых ресурсов уменьшается при росте количества виртуальных машин (к примеру, аренда ПО / интернет-канал)
  • Стоимость электричества тоже можно оптимизировать. К примеру, выбрав более выгодную локацию.
  • Многие хостеры (в том числе и мы) применяют подход, когда начальные тарифы отдаются почти по себестоимости или даже в убыток.

Выводы:
Лоукост в 2024 году уже совсем не тот, что 10 лет назад, однако обилие предложений в Интернете недвузначно даёт понять, что нам есть из чего выбрать и однозначно лоукост в России возможен. За рубежом ситуация плюс/минус похожая — где-то дешевле интернет канал, но дороже электричество, где-то можно договориться о более выгодных условиях.

Так или иначе конечный потребитель сейчас выбирает скорее исходя из своих целей — кому-то нужна виртуалка для VPN и 512 мегабайт оперативной памяти вполне хватит для запуска RouterOS, кто-то ищет надежность с четырьмя девятками после запятой, а кто-то выбирает экосистему или попросту возможность оплачивать российской картой зарубежные ресурсы.

Как итог любой лоукост — это компромисс. Компромисс между стоимостью, надежностью и удобством. И, конечно, же огромная ежедневная работа над тем, чтобы добиться снижения расходов и повышения эффективности.

В конце концов, лоукост — это кофе за 99 или за 250 рублей?

dline-media.com