Nejprve bych se chtěl omluvit za svou češtinu, protože používám překladač.
Moji čeští přátelé! Polští ISP operátoři se již několik měsíců potýkají s problémem DDOS útoků, kterým často předchází výkupné. Buď zaplatíte nějaký poplatek, nebo vaši síť na několik hodin či někdy dní vypneme.
Za předpokladu, že se operátoři docela dobře vypořádají s objemovými útoky na jednotlivé IP adresy. Často jsou takové útoky směřovány na celé podsítě, kde v podstatě žádná klasická řešení typu BGP Blackholeing prostě nepřestanou fungovat. Pomocí např. WanGuard nebo FastNetMon v tomto případě nemá smysl.
Problém zesílil na přelomu letošního roku. Počet napadených operátorů se zvyšuje a výkupné je stále větší. Zatímco se nám podařilo najít způsob, jak zablokovat nežádoucí provoz, který je nejčastěji založen na provozu bez připojení (UDP/GRE/ICMP) – nyní se setkáváme s útoky SYN/ACK.
Mechanismus útoku je následující:
Útočník zasílá hromadné ACK požadavky na platné webové stránky, např. Google, Seznam.cz z nahrazené adresy směřující na adresy napadené osoby. (IP Spoofing) Většina důvěryhodných služeb reaguje na tyto adresy velkým počtem odpovědí SYN+ACK. Vzhledem k tomu, že se jedná o velmi velký objem provozu - počet paketů za sekundu může přesáhnout několik až několik milionů. V důsledku toho lze tímto způsobem zabít jakýkoli router, včetně Cisco ASR 1001. Mikrotik nebo Ubiquiti nemají šanci.
Takže, moji milí přátelé, mám na vás prosbu. Setkali jste se s takovými požadavky nejčastěji z anonymních e-mailů, jako je Proton Mail? Setkali jste se s takovou situací a také se potýkáte s problémy DDOS – ne nutně s výkupným?
Ještě jednou se omlouvám za moji češtinu. Pokud můžete, odpovězte prosím v angličtině!
My Czech friends! For several months now, Polish ISP operators have been struggling with the problem of DDOS attacks, which are often preceded by a ransom note. Either you pay some fee or we turn off your network for several hours or sometimes days.
Operators are quite good at dealing with volumetric attacks targeting single IP addresses. But such attacks now are directed at entire subnets, where basically no classic solutions such as BGP Blackholing simply stop it. Using e.g. WanGuard or FastNetMon in this case is pointless.
The problem intensified this year. The number of attacked operators is increasing and the ransom is becoming larger for each case. While we managed to find a way to block unwanted traffic, which is most often based on connectionless traffic (UDP/GRE/ICMP) - now we encounter SYN/ACK attacks which are more sophisticated.
The attack mechanism is as follows:
The attacker sends mass ACK requests to valid websites, e.g. Google, Seznam.cz from a spoofed IP addresses of the attacked ISP.
Most trusted services respond to these addresses with large numbers of SYN+ACK responses. Due to the fact that this is a very large traffic volume - the number of packets per second can exceed several or several million PPS. As the result any well known router(including the Cisco ASR 1001) can be choked with easy. Mikrotik or Ubiquiti have no chance to that amount of traffic (we have tested it).
So, my dear friends, I have a request for you. Have you encountered such requests from anonymous emails such as Proton Mail? Have you encountered such a situation and do you also struggle with DDOS problems - not necessarily with ransom charges?
