«Ростелеком» відзвітував про відбитті атаки «інтернету речей» на найбільші російські банки

image

Сьогодні компанія «Ростелеком» як повідомила про відбитті атаки ботнету «інтернету речей» на п'ять найбільших російських банків. Атака проводилася 5 грудня з використанням TCP SYN Flood. За інформацією «Ростелекома» пікове навантаження становила 3,2 мільйона пакетів в секунду.

Яких-небудь деталей, крім того, що частина трафіку генерувалася з IoT-пристроїв, провайдер не надав. Також була надана загальна інформація про небезпеку DDoS-атак і про те, хто вже постраждав від дії зловмисників, керуючих ботнетами з «інтернету речей». Загалом, прес-реліз «Ростелекома» викликає більше питань, ніж відповідей.

Перше, компанія змовчала про інтенсивність атаки. Цифра в 3,2 мільйона пакетів з «Пятерочки» виглядає переконливо, тим більше, SYN-flood атаки насправді вимірюються в кількості пакетів.

При атаці SYN-flood з підставних IP-адрес розсилається TCP-запит на встановлення з'єднання. Атакується сервер відправляє відповідь на SYN/ACK і переходить в стан SYN-RECEIVED, яке без відповіді з запитуваної сторони знімається тільки через 75 секунд. При цьому максимальний розмір пакету SYN становить 64 Кб, але стандартом є його менша версія на 16 Кб. Шляхом нехитрих підрахунків отримуємо найбільш ймовірну інтенсивність атаки в 51,2 Гбайт/с.

При цьому в прес-релізі «Ростелекома» відкрито нагнітається ситуація з атаками на європейські структури і організації потужністю до 1 Тбіт/c (125 Гбайт/c).

Атака типу SYN Flood відома давно (ще з початку 2000-х) і використовується зловмисниками з перемінним успіхом. При цьому ефективність подібних методів через півтора десятиліття викликає сумніви.

Відомий ботнет Mirai, який поклав DNS-провайдера Dyn в жовтні цього року (і якому приписують згадані «Ростелекомом» атаки в Європі), використовував UDP-атаку, також відому як DNS retry.

При цьому один з фахівців з інформаційної безпеки на умовах анонімності так прокоментував прес-реліз «Ростелекома» і проведену атаку для Хабра:

Після релізу linux 4.7 вийшло два патча:

Add SOCK_RCU_FREE socket flag that UDP sockets and TCP listeners can set so that their lookup can use traditional RCU rules, without refcount changes. The UDP stack is instructed to not use SLAB_DESTROY_BY_RCU, in order to speedup rx processing for traffic encapsulated in UDP; performance for a single UDP socket receiving flood traffic from many RX queues/cpus is increased. TCP listeners are changed to use SOCK_RCU_FREE as well to avoid touching sk_refcnt under synflood. Peak performance under SYNFLOOD is increased by ~33%.


Add rate limiting on ACK sent on behalf of SYN_RECV to better to resist SYNFLOOD targeting one or few flows.


Вони вирішують проблему паралельної обробки syn/udp flood, тобто навіть для звичайного linux server на сучасному ядрі це не становить жодної проблеми.
Виходячи з вищесказаного можна прийти до висновку, що «Ростелеком» намагається видати перемогу надуману за перемогу реальну і заробити «очок» в очах корпоративних клієнтів як надійний провайдер.

Чому перемога надумана? Одне з двох: або «Ростелеком» видає бажане за дійсне і просто зафіксував спробу SYN Flood-атаки, з якою Linux Server впорався без особливих зусиль і сторонньої допомоги, або ж компанія надає своїм клієнтам (банкам!) застарілі технологічні рішення, в тому числі і в плані. З-за чого і довелося «героїчно перемагати» SYN flood, проблема якого була вирішена на рівні ядра Linux ще півроку тому.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.