Rekordowy DDOS który miał miejsce w polskim internecie i został odparty to od dzisiaj 1.3 Tbps (terabita na sekundę)! Atak na tym poziomie odpieraliśmy przez ostatnie dni. Dotychczasowy, opisywany w Raporcie CERT Orange Polska za 2024 najsilniejszy Distributed Denial of Service to już historia.
W ostatnim tygodniu obserwowaliśmy (i na bieżąco usuwaliśmy skutki) serii ataków, których celem była jedna z czołowych polskich firm. Źródłem były znaczące ataki wolumetryczne, wykorzystujące niemal wszystkie możliwe techniki wzmacniania wolumenu.
Za każdym razem coraz mocniej
Atakujący bazował na taktyce burst attack, polegającej na krótkotrwałym, ale bardzo intensywnym wysyłaniu dużych ilości ruchu sieciowego do celu w powtarzających się, gwałtownych falach (tzw. burstach), a nie jako jednolity, ciągły atak. Celem jest w takiej sytuacji zwykle serwer, aplikacja lub infrastruktura sieciowa.
Rekordowy DDoS za każdą kolejną falą ataków zmieniał nieco charakter i wartości graniczne. W kolejnych krokach zarządzaliśmy ruchem przy atakach wartościach 700 Gbps, 846 Gbps, a wreszcie 1.1 Tbps (dochodzące do 1.3 Tbps). Zmierzona w jednym ataku wartość 1,3 terabita na sekundę jest największą zaobserwowaną w sieci Orange Polska i prawdopodobnie największą wartością ataku DDoS zaobserwowanego w Polsce.
Jak zatrzymaliśmy rekordowy DDoS?
Poradzenie sobie z tak mocnym atakiem (określane mianem mitygacji ataku DDos) było możliwe dzięki kilku kluczowym składowym. Istotną rolę odegrało doświadczenie naszych inżynierów do spółki z bardzo dobrą współpracą ze specjalistami z atakowanej firmy. Bardzo istotny wpływ miało oczywiście przygotowanie do tego typu ataków zawczasu. Zarówno pod względem infrastrukturalnym, jak też procedur obsługi oraz komunikacji w czasie trwania DDoS. W efekcie atak został zmitygowany bez zauważalnego wpływu zarówno na usługi klienta, jak i na sieć Orange.
Przy tej okazji chcemy podkreślić, iż ochrona przez atakami DDoS nie jest trywialnie prosta. Druga strona stale zmienia techniki ataków oraz podnosi ich moc, rozbudowując swój „arsenał”. Jak często mierzymy się w Orange Polska z atakami DDoS? Codziennie, z mniejszymi lub większymi. Przede wszystkim jednak z każdego z nich wyciągamy wnioski. To cenne doświadczenie, które potem można wykorzystać przy takich sytuacjach jak opisywana. Sukces zawsze wynika z adekwatnego przygotowania i zrozumienia charakteru ataku – zarówno przez nas, jak i przez atakowaną firmę. Bo nie tylko rekordowy DDoS, ale każdy inny też – to ataki przed którymi nie da się bronić w pojedynkę.
