Пару дней назад, сотрудники компании Hi-Load Systems, приняли на обслуживание заказчика из финансового сектора (далее ФС). Как правило, компании ФС работающие с традиционными валютами, менее подвержены сетевым атакам, по сравнению с их коллегами, использующими электронные валюты, эквайринг и активное продвижение собственных сервисов через интернет.

Со слов специалистов компании Hi–Load Systems, проект, который был принят под защиту, активно рекламировался и использовал все популярные виды электронных валют и способы оплаты. Что не осталось без внимания «доброжелателей», имеющих привычки решать вопросы конкурентной борьбы при помощи DDOS-атак.

st2_2

Долго ждать не пришлось. Не прошло и 12 часов от момента добавления правил фильтрации для нового заказчика на оборудовании в точках входа, как появилась атипичная «кардиограмма» на графиках системы мониторинга. Для более детального изучения трафика на нового заказчика, весь входящий трафик зароутили на отдельные интерфейсы.

Со времени атаки, устроенной Кибербункером на Спамхаус, редко кто удивляется волюметрическим атакам до 300Gb/s. Но далеко не все, кто говорят: «Та! Я такие атаки уже видел!», обеспечили своим проектам хотя бы несколько 10Gb/s включений. Не говоря уже про 100Gb/s.

в тему: КАК ЗАЩИТИТЬСЯ ОТ DDOS-АТАКИ?

Еще пару слов о самой атаке. Киберзлодеи в течение одного дня применяли не менее 10 видов атак и регулярно меняли способ атаки, когда прежняя не достигала результата. Из графиков самым наглядным оказался тот, где направленный к жертве трафик на одной из точек фильтрации зароутили через отдельный интерфейс. Остальные атаки выглядели на графике с общим трафиком смазано. Хотя, едва заметная по приросту на графиках, в несколько сотен Mb/s атака на SSL давала нагрузку на серверные фермы значительно выше, чем UDP-пакеты на процессор линейной карты.

st2_1

Над разработкой схемы защиты трафика от указанного изобилия атак стоило немного потрудится. Выглядела эта схема следующим образом: на сетевом уровне сотрудники Hi–Load Systems использовали оборудование таких мировых лидеров, как Brocade, Juniper и Cisco. Маршрутизаторы, включенные в ключевые точки обмена трафика портами SFP+ и QSFP, емкостью 10 и 40 гигабит соответственно, сыграли свою роль быстрее ожидаемого и отфильтровали вредоносный «поток». Сетевые экраны и системы фильтрации сервисов от SYN-флуда и прочих вредоносных запросов на последних уровнях OSI модели, готовы были защитить 100 и более миллионов запросов в секунду. По современным масштабам DDos-атак — это высочайший коэффициент защиты и прочности системы, который сложно загрузить даже наполовину.

st2_3

Итог дня: выставленный компаний Hi–Load Systems щит размером в 1 Tbps, принял на себя весь удар и полностью поглотил атаки, а также подавил их в корне в короткий срок, благодаря отточенным действиям сотрудников поставщика защиты. Заказчик доволен, проект успешно продолжает рост и набор клиентов. Предоставленная профессиональная защита от Hi–Load Systems полностью оправдала ожидания Заказчика.