15.10.2003: Информация об атаках на сеть Zenon/Internet

10-го октября в течение двух часов и 14 октября 2003 г. с 14.31 до 00.33 на сеть Zenon/Internet компании «Зенон Н.С.П.» были организованы распределенные атаки типа "отказ в обслуживании" (Distributed Denial of Service Attack, DDoS). К техническим средствам сети, участвующим в оказании услуг пользователям, было направлено огромное число запросов на установление соединения (порядка 500 тысяч в секунду), причем запросы формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов.

Таким атакам подвергались и продолжают подвергаться сети сотен компаний. Естественно, они не обходят стороной и компании, оказывающие услуги сети интернет, и, нашему большому сожалению, вызывают затруднения или невозможность использования ряда услуг. Достаточно вспомнить атаки на зарубежные сайты Yahoo!, CNN, microsoft.com , ресурсы российских компаний - Valuehost, .masterhost и другие. С мощными DDos-атаками возникают проблемы даже у операторов национального масштаба, например, РТКомм.РУ.

Нагрузка на оборудование сети Zenon/Internet во время второй атаки превысила среднестатистические показатели в сотни раз, нагрузка на каналы возросла "всего лишь" на 250%. Атакующими использовались так называемые SYN-пакеты, предназначенные в нормальных условиях для организации установки соединения между компьютерами через интернет. Отправка большого количества SYN-пакетов на атакуемый узел приводит к чрезмерной нагрузке на его ресурсы, а поддельные адреса отправителя пакетов не позволяют определить злоумышленника и использовать стандартные способы блокировки.

Атаки направлены на нанесение ущерба нашим пользователям, их результат - затруднение доступа к ресурсам виртуального хостинга компании «Зенон Н.С.П.», в первую очередь, www-хостинга. Имеющиеся в распоряжении провайдеров средства защиты позволяют уменьшить интенсивность атак, но не могут предупредить о них заранее.

Специалисты «Зенон Н.С.П.» работали над устранением атаки с момента ее возникновения и до тех пор, пока проблема не была решена. Восстановление работоспособности велось по всем возможным направлениям:

• В договоре с магистральным оператором TeliaSonera предусмотрены технические решения по нейтрализации DDoS-атак, усилиями специалистов Сонеры и Телии ведутся поиск источников атаки и их фильтрация.
• Мы обратились к российским провайдерам, в сетях которых обнаружены пользовательские компьютеры, участвующие в атаке. На помощь пришли специалисты РусКомНет и наши партнеры по московской точке обмена трафиком - MSK-IX.
• Особая благодарность - АМТ Груп за техническое консультирование и предоставление необходимого дополнительного оборудования для защиты от нежелательного трафика.
• Кроме стандартных технических решений, постоянно применяемых в «Зенон Н.С.П.» для обеспечения должного уровня безопасности, задействованы все штатные средства в соответствии с планом обеспечения непрерывной работы.
• Введены мощные дополнительные защитные программные и аппаратные средства.
• Введены резервные мощности, во время атаки увеличена до 400 Мбит/с пропускная способность каналов, обеспечивающих глобальную связность.
• Сотрудники компании переведены на аварийный режим работы.
• По факту атаки подготовлен запрос в правоохранительные органы для возбуждения уголовного дела.

Однозначно можно сказать, что нет и не будет потерь почты, не пострадало содержимое www-сайтов. Предпринятые меры позволили в возможно короткие сроки вернуть ресурсы хостинга к нормальной работе.