DDoS

С утра на две наших стойки началась DDOS-атака, достаточно сильная чтобы привести в неработоспособное состояние оборудование датацентра. В результате приблизительно к 9 тысячам ip-адресов в датацентре либо был затруднен доступ, либо они были полностью недоступны. Насколько мы можем судить — источником трафика являются уязвимые серверы во внешней сети, которые в результате DNS-reflection генерируют больше количество UDP-пакетов, направленных в сеть датацентра.

Спустя некоторое время сетевой отдел датацентра выявил, что целью атаки являются две подсети наших ip-адресов. В результате этого, подсеть 185.49.68/24 была заблокирована полностью и подсеть 185.49.70/25 частично. Нет какого то конкретного ip-адреса или клиента, который является цель атаки. Входящий трафик достаточно равномерно распределяется между десятками серверов в стойках.

В стойке 185.49.70/25 выявлено 4 сервера, которые стали жертвами атаки. Их ip-адреса временно заблокированы. Мы периодически проверяем закончилась атака или нет. К сожалению пока нет. На каждый сервер приходится примерно 500 мегабит в секунду входящего UDP-трафика. В данный момент мы можем попробовать выделить несколько ip-адресов, не подверженных атаке, чтобы привязать их к серверам.

В стойке 185.49.68/24, где находятся так же наши VPS и хостинг-серверы, ситуация хуже. Датацентр отказывается разблокировать подсеть, опасаясь повторения утренней ситуации. Сейчас мы ведем переговоры с целью решить эту проблему каким-нибудь образом. При наихудшем развитии событий подсеть останется заблокированной до понедельника.

0 комментариев

Оставить комментарий