Astazi incepand cu ora ~ 12:30 am inceput sa avem pierderi de pachete cauzate de un atac. Atacul a fost un Distributed Reflected Denial of Service (DRDoS). Asta inseamna ca cel care a initiat acest atack, a dat un SYN flood catre destinatii random cu adresa de IP sursa spufata intr-un IP al nostru. Serverele din toata lumea care le flooda el, ne floodau la randul lor pe noi cu raspuns-uri la SYN-urile primite.
Mai multe informatii despre acest tip de atac gasiti la:
hxxp: en. wikipedia. org/wiki/Ddos#Distributed_attack
Atacul initial a durat pana aproximativ la ora 2:30 dupa care au mai fost 2 caderi de aproximativ 20 de minute. Motivul pentru care a durat atat este ca pe masura ce noi filtram flood-ul, atacatorul schimba IP-ul de destinatie si trebuia sa o luam de la inceput. Flood-ul a avut o capacitate maxima de aproximativ 300 Mbit (cumulat pe mai multi provideri) si aproximativ 120000-150000 pachete pe secunda.
Un alt element care ne-a ingreunat munca este faptul ca foarte multe request-uri veneau chiar din Romania, nu din extern. Spre surprinderea nostra, mecanismele puse la dispozitie de uni din providerii nostri pentru a filtra asemenea flood-uri, filtrau doar traficul extern. Astfel a trebuit sa stam dupa ei ca sa filtreze manual o parte din trafic care venea din metropolitan.
Nu se poate identifica exact initiatorul flood-ului, dar avem anumite suspiciuni. A fost depusa o plangere penala la politie si asteptam ca ei sa investigheze mai departe.
Imi cer scuze inca odata pentru neplacerile cauzate si doresc sa va asigur ca vor fi luate toate masuri necesare atat pentru identificarea faptasului cat si pentru a ne asigura ca nu se mai intampla pe viitor.
webfactor
