Пару дней назад 23.03 наша компания приняла на обслуживание заказчика из финансового сектора (далее ФС). Как правило, компании ФС работающие с традиционными валютами, менее подверженны сетевым атакам, по сравнению с их коллегами использующими электронные валюты, эквайринг и активное продвижение собственных сервисов через интернет.
Проект, который был принят под защиту активно рекламировался использовал все популярные виды электронных валют и способы оплат. Что не осталось без внимания "доброжелателей", имеющих привычки решать вопросы конкурентной борьбы при помощи DDOS-атак.
Долго ждать не пришлось. Не прошло и 12 часов от момента добавления правил фильтрации для нового заказчика на оборудовании в точках входа, как появилась атипичная "кардиограмма" на графиках системы мониторинга. Для более детального изучения трафика на нового заказчика, весь входящий трафик зароутили на отдельные интерфейсы.
Со времен атаки устроенной Кибербункером на Спамхаус, редко кто удивляется волюметрическим атакам до 300Gb/s. Но далеко не все, кто говорят - Та! Я такие атаки уже видел... обеспечили своим проектам хотя бы несколько 10Gb/s включений. Не говоря уже про 100Gb/s.
Еще пару слов о самой атаке. 24.03.15 Киберзлодеи в течение одного дня применяли не менее 10 типов атак. Регулярно меняя способ атаки, когда прежняя не достигала результата. Из графиков, самый наглядный оказался тот, где направленный к жертве трафик, на одной из точек фильтрации зароутили через отдельный интерфейс. Остальные атаки выглядели на графике с общим трафиком смазанно. Хотя едва заметная по приросту на графиках, несколько сотен Mb/s, атака на SSL, давала нагрузку на серверные фермы значительно выше, чем UDP-пакеты на процессор линейной карты.
Итог дня: атаки подавлены, заказчик доволен, проект успешно продолжает рост и набор клиентов.