TakeWYN, перебои, DDoS атаки

Наверняка вы заметили что последнюю неделю у нас раз в день-два случаются серьезные перебои, иногда даже чаще. Те кто следит за нами или подписан на твиттер знают причины, многие уже обращались в тикеты. На нас идет массированная распределенная атака (DDoS) мощностью выше 25 гигабит в секунду. К сожалению ни мы, ни вышестоящий провайдер побороть или даже выдержать такую атаку не можем и сервисы становятся недоступными.

Объектами DDoS атак становились множество даже самых крупных провайдеров, не говоря уже о мелком и среднем бизнесе. Это проблема современной IT сферы.

Для решения данного вопроса мы были вынуждены затратить огромные средства на прокладку (она уже идет) новой оптической магистрали к ближайшему узлу и организовать DDoS защиту способную противостоять столь мощной атаке. Ориентировочная дата включения нового аплинка с защитой от DDoS атак — 23-24 Января 2017 года. До этого времени могут быть перебои.

Мы благодарим Вас за понимание ситуации. Когда атака будет полностью устранена и защита подключена — простой будет достойно компенсирован. Спасибо что Вы с нами и в трудные минуты!

С уважением.

Наша цель - сделать качественную защиту для всех наших клиентов!



Теперь, немого о текущей ситуации и о том, что нами было проделано в последнее время.
По моему ощущению 2016 год пройдет под знаком DDoS. Думаю, что в этом году мы все станем свидетелями огромного количества атак на всё подряд и на всех подряд. Об этом свидетельствуют целый ряд факторов:
  1. Мощность средней атаки выросла в 3-6 раз по сравнению с предыдущим годом. По нашей собственной статистике, в 2015 году редкая атака на наши ресурсы превышала 10 Гбит/с. Но буквально с декабря прошлого года средняя сила атак стала 25-30G, а самая крупная атака на нас была почти в 60G.
  2. Стоимость подобных атак стала стоить копейки. Буквально за 5$ в месяц, можно купить аккаунт и поливать налево и направо.
  3. В этом году уже пошли массовые атаки на различных хостеров, положили не только нас и нескольких коллег по цеху обитающих здесь на серчах, но даже и нынешнего лидера российского хостинга: roem.ru/21-03-2016/221280/regru-fall/ Также, прошли успешные атаки и на другие очень крупные интернет-ресурсы.

Но больше всего в текущем положении дел удручает то, что большинство IT-компаний просто не готовы своими инфраструктурами выдерживать возросшую силу ддос-атак.
Собственно говоря, отсутствие здесь моих комментов на этой неделе было связано как раз с тем, что мною и моей командой были проведены целый ряд ключевых встреч и переговоров по организации защиты нашего ДЦ от DDoS-атак. И самое печальное во всем этом, что вопрос упирается не деньги, а в отсутствие технических возможностей для быстрого развертывания хорошей защиты на необходимом уровне практически у всех, с кем мы общались. Вот несколько примеров:
  1. Один из ведущих экспертов по развитию услуг информационной безопасности одного из операторов большой тройки был сильно удивлен, когда мы сказали, что ддосы в 30G на нас это норма, а в пике было и 60. В своей практике он не сталкивался с ддосами больше 25G (везет ему, если бы у нас это было пиковым значением, наверное вообще почти никто не заметил бы из наших клиентов), при этом они активно продвигают свою услугу защиты от ддос, с центром очистки с максимальной пропускной способностью до 80G. Хватит на 1,5 таких клиента как мы .
  2. На наше предложение оператору связи №1 в России, расширить с ними стык на М9 с 10 до 80G, сначала долго совещались между собой, потом сказали, что оперативно смогут поднять только до 20G, а к концу апреля только до 40G. Как-то так...
  3. Ну о том, как прилег ТТК, когда мы встали под ддос-гвард, я уже писал… Поступало и много других предложений для защиты нас от атак аж до 20G!.. Здорово конечно, но это мы как-нибудь и сами отфильтруем.
В общем кажется мне, что в этом году у многих будут откровения и много SLA полетят в топку ддосов.

В общем то, это было понятно, что надо наращивать инфраструктуру еще в прошлом году. Но, к сожалению, не всегда получается делать все настолько быстро как мне того хочется, мир — достаточно инертная штука ).
Тем не менее, подвижки есть.
Попытка прикрыться ДДоС-Гуардом, оказалась не совсем удачной. Хотя со многими атаками они успешно справились, было несколько, достаточно мощных атак, от которых шатало самих гвардов и их апстримов. С добавлением нас в качестве клиентов, возникло ощущение, что возможности их системы фильтрации были на пределе своих ресурсов (честно говоря, думалось, что мы не очень большой генератор трафика, но видимо, получается, что не маленький).

Также, идея пропускать весь трафик через фильтры оказалась не очень удачной. Хотя это и дает возможность моментальной реакции при начале атаки, возникает очень много ложных срабатываний (из-за этого и происходили спонтанные обрывы сессий).
Тем не менее, мы продолжаем переговоры с гвардами и на понедельник запланирована встреча с ними у нас в офисе на предмет обсуждения альтернативных схем эффективной защиты от атак.
В настоящий момент, мы переключились под защиту от Ростелекома, которая построена на железках одного из лидеров в этой области Arbor Networks. Плюсы — фильтрация трафика происходит только в случае атаки. Минусы — время срабатывания детектора атаки и перевод трафика на очистку может достигать до 5 минут из-за этого и наблюдаются периодические провалы в доступности ресурсов. В течение этой недели нам удалось настроить фильтры на ключевые ресурсы совместно со специалистами из РТ. Некоторые ресурсы были переведены под постоянную защиту.

По этому, если Ваш сайт или сервер атакуют мелкими но частыми атаками, пишите в поддержку, будем вешать их на постоянную защиту.
Закончено тестирование антиддос-железки Radware DefensePro. В целом, наши админы остались довольны тестовым образцом. По этому поставили на заметку к возможному приобретению старшей модели. Однако, ждем железку от Huawei которая должна приехать к нам до 15 апреля на тест. Поскольку ее производительности хватит на закрытие от атак всего ДЦ, финальные тесты попробуем провести на живом трафике, о чем оповестим заранее. По окончании тестов будем определятся с покупкой.
Сегодня (в пятницу), привезли на тест анализатор атак от Инновентики, поставили на стенд, будем проводить испытания.
Анализатор атак понадобится в дальнейшем для выстраивания правильного контура очистки, наподобие того, как это сделано в OVH.

По факту, мы сейчас гоняем трафик только через Ростелеком, в силу того, что другие апстримы не смогли оперативно организовать защиту от атак в своих сетях. К сожалению, это несколько ухудшило нашу прекрасную связанность с другими сетями (отсюда и увеличение пингов по некоторым направлениям). Но к сожалению, без защиты сейчас вообще никак.
Тем не менее, мы уже ведем работы по модернизации нашей сети с целью подготовки контура очистки трафика, пока мы определяемся с покупкой железа для контура, постараемся отдать очистку трафика на аутсорс (например, к тем же гвардам и/или РТ), при этом используя собственные внешние каналы для приема и передачи трафика. Как только закончим работы, связанность будет полностью восстановлена и даже улучшена, за счет подключения новых апстримов.
Параллельно, продолжаем прочесывать рынок на предмет поиска интересных решений в области защиты от атак при большом объеме разнородного трафика.

Сообщение техподдержки: атака на подсети SIM-NETWORKS

В субботу, 5 сентября, сети нашей компании подверглись массированной DDoS-атаке. Злоумышленники использовали комбинированные методы нападения на сети с переменной интенсивностью.

Спешу уверить, что на данный момент работоспособность всех систем полностью восстановлена. Тем не менее, я считаю своим долгом поделиться с вами информацией об инциденте, следуя принципам открытой коммуникации SIM-NETWORKS.

В 12:40 берлинского времени началась сравнительно небольшая атака (несколько гигабит) на мощности одного из клиентов. Автоматическая защита отработала в штатном режиме, атака закончилась в 13:05.
В 16:00 атака возобновилась. Поскольку автоматическая защита все еще работала и специалистами SIM-NETWORKS были предприняты индивидуальные меры по защите атакуемого клиента, злоумышленники начали перебирать все адреса подряд в поисках цели. Были зафиксированы точечные удары мощностью в десятки Gbit, что привело к высокому уровню потери пакетов на одном из сегментов сети и, как следствие, к перегрузке некоторых магистральных линий.

Мы привлекли к мероприятиям по восстановлению качественной работы, помимо наших инженеров, сотрудников магистральных провайдеров. Однако, в связи с постоянно изменяющимся характером атаки и целей (атакуемые адреса перебирались в случайном порядке), отразить атаку внутри сети удалось только к 19:00. За это время атакующие, помимо клиентских адресов, сконцентрировались на сайте нашей компании, а также на некоторых других инфраструктурных узлах, что привело к кратковременной недоступности нашего сайта.

К 19:30 по берлинскому времени ситуация была стабилизирована и полностью под контролем SIM-NETWORKS. Количество дежурных инженеров увеличено, мы находимся в интенсивном контакте с магистральными провайдерами.

Несмотря на серьезность ситуации, вышеописанные проблемы коснулись лишь небольшой части клиентов, находящихся в атакуемых подсетях, а также собственно сайта компании. Большинство наших клиентов не почувствовали никаких неудобств.

Кроме успешно предпринятых мер по отражению атаки и полному восстановлению работоспособности всех систем, мы намерены:
Передать всю информацию об атаке в правоохранительные органы для дальнейшего расследования.
Провести – уже в текущем месяце — внеплановое расширение мощностей с целью повышения отказоустойчивости системы.
Кроме того, провести уже в сентябре работы по добавлению новых аплинков для увеличения общей пропускной способности и уменьшению количества «узких мест».

Я хочу уверить вас в том, что специалисты SIM-NETWORKS делали и продолжат делать все возможное для того, чтобы и далее обеспечивать привычную для вас надежность наших услуг.

При возникновении проблем техподдержка SIM-NETWORKS всегда к вашим услугам.
Кстати: задать короткие вопросы о наших продуктах, поделиться мнением или получить совет вы можете в твиттере компании и в открытой группе на Фейсбуке.

С уважением, Олег Яловицын
Старший менеджер службы технической поддержки
  • SIM-Networks
  • Hosted in Germany
  • Johann-Sebastian-Bach-Strasse 3/1
  • 75015 Bretten
  • Germany
  • www.sim-networks.com

FirstDEDIC: Все в порядке?

Меня зовут Егор и я представляю компанию FirstDEDIC. Рад знакомству!



Не смотря на то, что вы не арендуете у нас ни одного сервера, уверен, этим летом вы заняты работой над своим проектом. Правда, согласно статистике, злоумышленники, специализирующиеся на распределенных атаках типа «отказ в обслуживании» (DDoS), отдыхать тоже не намерены.

В связи с этим я хотел бы узнать у вас — все ли в порядке?

Согласно исследованию «Лаборатории Касперского» на основе данных Akamai Technologies (один из крупнейших в мире операторов сетей доставки контента), опубликованному в конце мая, количество DDoS атак по сравнению с 2014 годом увеличилось на 117%, 90,68% из которых — сетевого уровня.

Как поставщик услуг аренды выделенных серверов, FirstDEDIC ежедневно пресекает атаки на серверы клиентов. Крупные и развивающиеся проекты любых направлений становятся жертвами массированных DDoS атак на регулярной основе, влекущими финансовый и репутационный ущерб. Шансы стать мишенью злоумышленников этим летом, к сожалению, велики и я очень хотел бы помочь Вам избежать простоя проекта и связанных потерь, выдвинув личное предложение.

Мы основательно подготовили FirstDEDIC к лету 2015 и полностью обновили услугу защиты от DDoS атак.

Я уверен — получилось привлекательно. Взгляните:
  • Падение стоимости — до 90% в месяц. Я даже не шучу.
  • Защита от DDoS атак сетевого и канального уровней
  • Оплата только за «белый» трафик и никак иначе
  • Минимальная пропускная способность от 5 мбит/сек
  • «Горячее» подключение (прямо в момент атаки) к серверам FirstDEDIC
  • Три базовых тарифных плана на выбор

Так как защита подключается только к серверу, арендованному у нашей компании, я готов:
  • Предоставить 10% скидку на серверы FirstDEDIC на весь период заказа

Цены на выделенные серверы размещены на сайте firstdedic.ru, но это не было бы личным предложением, если бы ограничивалось скидками.

Арендуйте сервер FirstDEDIC и подключите DDoS защиту сегодня, и я подарю вам услугу Забота о сервере" (1000руб. в месяц), на весь период действия DDoS защиты.

Получите подробную информацию на сайте и оставьте заявку на подключение. Наш отдел продаж проконсультирует вас по телефону 8-800-775-53-32, в личном кабинете или по электронной почте. Желаю вам стабильной работы проектов!

С уважением, Егор Матвеев
Менеджер проекта FirstDEDIC

Вчера, около 20:00 по мск

Вчера, около 20:00 по мск, была достаточно сильная DDOS-атака, более 100 гигабит в секунду.

Мы справились с этой атакой в течение часа. Атака шла на всю инфраструктуру из-за клиента на хостинге. Цель DDOS атаки была локализована и изолирована.
Атака была в несколько этапов и через разных провайдеров, а некоторые из них, даже порвали с нами BGP, чтобы их инфраструктура не пострадала.
Мы оптимизируем процесс отражения DDOS атаки, чтобы при следующей крупной атаке отразить её быстрее.

Такие крупные DDOS атаки бывают крайне редко. DDOS атаки меньшего размера мы отбиваем быстро
и без влияния на инфраструктуру. Для клиентов они практически не заметны.
Приносим наши извинения за неудобства.

Подключение канала 1Gb/s ко всем VPS серверам.

У нас очередная хорошая новость. Теперь все наши VPS SSD подключены к каналу 1Gb/s. Что позволяет сделать еще более качественными наши услуги.

Так-же хочу вам напомнить, что стоимость VPS сервера от 1$. Все сервера расположены в одном из самых надежных ДЦ в центральной Европе, что позволяет обеспечивать хорошую скорость и хорошие пинги. А что бы ваши сервера чувствовали себя в полной надежности, на всех серверах подключены SSD диски с RAID 10, а так-же включена DDoS защита, что позволит вашим VPS серверам работать стабильно и без сбоев в самых сложных ситуациях.

Почему выгодно брать VPS сервера от компании ProHoster.Info:
— Быстрая активация VPS, в течении нескольких минут.
— Тестовый период на все VPS тарифы.
— PRO DDoS защита на всех тарифных планах.
— Все VPS сервера подключены к каналу 1Gb/s.
— Полностью безлимитный трафик на всех тарифах.
— SSH доступ к виртуальному серверу.
— Низкие цены на VPS.

Читать дальше →