Vinni
Администратор
Всего сообщений: 2136 Рейтинг пользователя: 22 СсылкаДата регистрации на форуме: 5 июня 2009 |
Профиль | ИгнорироватьNEW! Сообщение отправлено: 19 ноября 2014 15:02 Сообщение отредактировано: 19 ноября 2014 15:04
_ttp://habrahabr.ru/company/cloud4y/blog/243647/ [q]
Вы даже не представляете, какие драмы могут разворачиваться в такой мирной, казалось бы, отрасли, как торговля пиццей. В одной из них довелось поучаствовать и нам, как облачному провайдеру: в декабре 2013 года «Империя пиццы» — один из клиентов Cloud4Y и крупнейшая сеть доставки пиццы в Москве и Московской области, начала интенсивную экспансию на новые территории, на которых уже присутствовали другие игроки.
Все бы ничего, но имперская ценовая политика в сфере предоставления услуг быстрого питания для его конкурентов имела демпинговый характер. Началась война на всех фронтах, и вскоре в ход пошли DDoS-атаки.
Начало
«Империя пиццы» начала активную рекламную компанию в большой сети городов Подмосковья, начиная от печатной продукции и заканчивая рекламной интернет-кампанией. Проблемы начались, когда эту активность заметили конкуренты – другие сети пиццерий — и перешли к наступлению.
Первое наступление
24 декабря 2013 года война сетей пиццерий перешла на поля высоких технологий. Началась DDoS-атака всех интернет ресурсов нашего клиента, которые располагались у нас.
В первые этапы начала атаки на «Империю», мы выводили их интернет-ресурсы из-под действия атаки перемещением на другие адресные диапазоны. Подобная политика работала совсем недолго, поскольку атакующими отслеживалось расположение клиента и бот-сеть достаточно быстро перенастраивалась. Атака через непродолжительный промежуток времени перемещалась опять в сторону клиента, блокируя его сервисы. Это продолжалось до 31 декабря 2013 года, после чего началась массивная атака всех адресных диапазонов компании Cloud4Y.
Начало массовой атаки
1 января 2014 года началась массовая DDoS-атака всего адресного диапазона Cloud4Y, где располагался клиент. Интенсивность атаки забивала весь внешний пиринг с другими операторами и ударила в потолок пропускной способности всех внешних каналов связи.
В срочном порядке были перенастроены флуд-сенсоры встроенных технологий DDoS защиты на группировке внешних маршрутизаторов, однако, пользы в данной ситуации они приносили недостаточно. Сами маршрутизаторы успешно выдерживали внешние объемы маршрутизации, однако проблемы начались также у вышестоящих операторов связи (часть внешних пиров периодически уходила в даун, не справляясь с коммутацией и маршрутизацией таких потоков данных).
В попытках как-то разгрузить внешние каналы связи мы просили внешних операторов ограничить UDP потоки, чтобы выделить свободные полосы пропускной способности для работы сервисов других наших Клиентов.
Интернет-сервисы нашего клиента, несмотря на любые попытки обслуживающих администраторов, были неработоспособны. Сервера теряли контроль после нескольких секунд после запуска. Правила фаирволинга и ограничений не помогали. Для того, чтобы исключить влияние атаки на работу других клиентов Cloud4Y, виртуальные ресурсы сети пиццерии были перемещены на отдельные гипервизоры. Однако из-за интенсивности атаки SLA предоставляемых Cloud4Y услуг достаточно пострадал:
Подробнее об инциденте можно прочитать на нашем сайте (SLA-монитор доступен на главной странице). Несмотря на столь интенсивную DDoS-атаку, облачные сервисы Cloud4Y были доступны внешним клиентам.
«Гипс снимают, клиент уезжает»
Наш клиент в поисках решения для возобновления работы своих интернет-ресурсов начал дублировать свои ресурсы на мощностях других облачных операторов. После переброски DNS на новые месторасположения, другие облачные операторы (не будем их называть), практически сразу становились недоступными (поскольку мы сами также мониторили происходящую ситуацию не только из интересов любопытства).
Поблуждав по просторам рунета, интернет-ресурсы сети пиццерий постоянно переезжали между дата-центрами Европы, где картина с последствиями атаки повторялась. Последние дата-центры, куда переключался наш клиент, были в Европе (Нидерланды, Германия, Чехословакия). На момент написания данной статьи, интернет-ресурсы клиента находились в дата-центре на островах Вирджинии.
Думаю, наши менеджеры не сильно расстроились после переезда этого клиента, поскольку с его переключением в другие дата-центры интенсивность атаки на Cloud4Y упала, однако профилактическое «поливание дерьмом» в область адресации уже бывшего расположения клиента длилось еще несколько недель.
Вывод
Попав под такую раздачу, было принято решение максимально усилить DDoS-защиту внешнего пиринга Cloud4Y, в результате чего у нас появился прямой выделенный канал до Voxility (лидирующий оператор защиты от любых видов атак, в том числе и DDoS).
[/q]
|
