Информация об атаках на сеть Zenon, провайдера услуг хостинга сайта RICCOM.RU в период с 10 по 14 октября 2003г.

10-го октября в течение двух часов и 14 октября 2003 г. с 14.31 до 00.33 на сеть Zenon/Internet компании «Зенон Н.С.П.» были организованы распределенные атаки типа "отказ в обслуживании" (Distributed Denial of Service Attack, DDoS). К техническим средствам сети, участвующим в оказании услуг пользователям, было направлено огромное число запросов на установление соединения (порядка 500 тысяч в секунду), причем запросы формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов. Таким атакам подвергались и продолжают подвергаться сети сотен компаний. Естественно, они не обходят стороной и компании, оказывающие услуги сети интернет, и, нашему большому сожалению, вызывают затруднения или невозможность использования ряда услуг. Достаточно вспомнить атаки на зарубежные сайты Yahoo!, CNN, microsoft.com , ресурсы российских компаний - Valuehost, .masterhost и другие. С мощными DDos-атаками возникают проблемы даже у операторов национального масштаба, например, РТКомм.РУ. Нагрузка на оборудование сети Zenon/Internet во время второй атаки превысила среднестатистические показатели в сотни раз, нагрузка на каналы возросла "всего лишь" на 250%. Атакующими использовались так называемые SYN-пакеты, предназначенные в нормальных условиях для организации установки соединения между компьютерами через интернет. Отправка большого количества SYN-пакетов на атакуемый узел приводит к чрезмерной нагрузке на его ресурсы, а поддельные адреса отправителя пакетов не позволяют определить злоумышленника и использовать стандартные способы блокировки. Атаки направлены на нанесение ущерба нашим пользователям, их результат - затруднение доступа к ресурсам виртуального хостинга компании «Зенон Н.С.П.», в первую очередь, www-хостинга. Имеющиеся в распоряжении провайдеров средства защиты позволяют уменьшить интенсивность атак, но не могут предупредить о них заранее. Специалисты «Зенон Н.С.П.» работали над устранением атаки с момента ее возникновения и до тех пор, пока проблема не была решена. Восстановление работоспособности велось по всем возможным направлениям: В договоре с магистральным оператором TeliaSonera предусмотрены технические решения по нейтрализации DDoS-атак, усилиями специалистов Сонеры и Телии ведутся поиск источников атаки и их фильтрация. Мы обратились к российским провайдерам, в сетях которых обнаружены пользовательские компьютеры, участвующие в атаке. На помощь пришли специалисты РусКомНет и наши партнеры по московской точке обмена трафиком - MSK-IX. Особая благодарность - АМТ Груп за техническое консультирование и предоставление необходимого дополнительного оборудования для защиты от нежелательного трафика. Кроме стандартных технических решений, постоянно применяемых в «Зенон Н.С.П.» для обеспечения должного уровня безопасности, задействованы все штатные средства в соответствии с планом обеспечения непрерывной работы. Введены мощные дополнительные защитные программные и аппаратные средства. Введены резервные мощности, во время атаки увеличена до 400 Мбит/с пропускная способность каналов, обеспечивающих глобальную связность. Сотрудники компании переведены на аварийный режим работы. По факту атаки подготовлен запрос в правоохранительные органы для возбуждения уголовного дела. Однозначно можно сказать, что нет и не будет потерь почты, не пострадало содержимое www-сайтов. Предпринятые меры позволили в возможно короткие сроки вернуть ресурсы хостинга к нормальной работе.