Сетевой разбор вчерашней атаки на инфраструктуру РКН и ГРЧЦ

В пятницу утром инфраструктура главных архитекторов суверенного рунета внезапно прилегла отдохнуть. Сайты РКН, Минобор и ГРЧЦ (это те самые ребята, которые физически рулят всеми ТСПУ в стране) попали под Дудос-атаку.

Заявленная мощность атаки = 33 Гбит/с. Для современного телекома и масштабов государства 33 гигабита довольно смешные цифры, такой объем канала сейчас генерирует средний ботнет из взломанных умных зубных щеток и кофеварок. Но вся суть атаки во второй метрике... 36,9 миллионов пакетов в секунду (Mpps). А это уже не кислый пакетный шторм, состоящий из микро-пакетов (скорее всего SYN-флуд или UDP-шторм). Именно высокий PPS убивает сетевое оборудование, т.к. у маршрутизаторов, экранов с контролем сессий и систем DPI просто заканчивается процессорное время на обработку прерываний и разбор заголовков. Канал может быть свободен на 90%, но железо наглухо отваливается от перегрузки CPU ?

Есть нюансы и в архитектуре защиты. ГРЧЦ годами заставляет провайдеров ставить ТСПУ, которые по задумке должны фильтровать любые угрозы на лету. Однако, когда 37 млн. пакетов взяли своё. В официальном заявлении сказано, что трафик пришлось экстренно отделять и направлять на сервера очистки. Получается, что ГРЧЦ пришлось искать внешний Anti-DDoS, потому что DPI захлебнулся от флуда?

Источниками мусора назвали солянку из IP-адресов РФ, США и Китая... стандартный зоопарк скомпрометированных домашних роутеров и умных домашних девайсов.

Источник: vk.com

Комментарии: