Уважаемые клиенты, ниже Вы можете ознакомиться с пояснениями к инциденту, связанного с DDoS-атаками в период с 31.12.2013 по 05.01.2014

Первые признаки начала проведения атаки на одного из наших Клиентов (крупной сети пиццерий) появились 22 декабря 2013 г. Атака имела признаки адресного характера, злоумышленники производили адресный TCP_SYN, UDP_Flood DDoS. Сетевая инфраструктура и средства защиты от DDoS обеспечивали работоспособность Клиента.

После недели неудачной попытки проведения адресной DDoS атаки, злоумышленники изменили тип атаки и 31 декабря 2013 года началась массовая DDoS атака всей инфраструктуры и адресных диапазонов Cloud4Y с упором на адресное пространство нахождения атакуемого Клиента.

Инфраструктура Cloud4Y выдерживала и такой тип и уровень атаки, поскольку срочно было перенастроено DDoS-защищающее оборудование и увеличена его чувствительность.

В связи с неуспешно проведенной атакой, 02.01.2014 злоумышленники внесли корректировки в политику проведения атаки: увеличили в разы мощность и начали массивную атаку всех магистральных операторов, предоставляющих Интернет-пиринг Cloud4Y. Часть автономных систем магистральных операторов была полностью выведена из строя. У остальных операторов инженерные службы производили срочную перенастройку оборудования и устанавливали уровни подавления потоков данных, поскольку он превышал максимально допустимые значения, которые может выдерживать оборудование.

По отчетам одного из магистральных операторов, интенсивность атаки доходила до 4.5 млн. пакетов в секунду, но поскольку, Cloud4Y имеет многократное резервирование внешних каналов, работоспособность и доступность Cloud4Y обеспечивалась и в этом состоянии, но потери пакетов происходили. Так же, последствия могли наблюдаться в связи с постоянным перестроением маршрутизации магистральных операторов, поскольку, из-за перегрузок выходили их внешние пиринговые соединения.

Атака на облачные ресурсы Cloud4Y была завершена 5 января в 19:14. Атакуемый Клиент в настоящее время инициирует производство по инциденту в Управлении Специальных Технических Мероприятий (УСТМ МВД РФ) для возбуждения уголовного дела по факту злонамеренных действий злоумышленников.

Краткая хронология событий:

22– 31 декабря 2013 г.: проведение адресной TCP_SYN,UDP_Flood DDoS атаки

31 декабря 2013 г., Московское время 17-25: начало массивной сетевой атаки автономной системы Cloud4Y и вышестоящих пирингующихся операторов

5 января 2014 г., Московское время 19:14: прекращение DDoS-атаки

Тип атаки DDoS: TCP SYNFLOOD, UDP_Flood, ICMPFLOOD, TCP SYNACKFLOOD

По запросу Клиентам предоставлялись IP адреса из технической сети на другом канале.

Средняя интенсивность проведения атаки на маршрутизирующем оборудовании Cloud4Y: ~2.3 млн. запросов в секунду (в 50-100 раз выше стандартных нагрузок).

Максимальная интенсивности атаки: ~4.5 млн. запросов в секунду (100-200 раз выше стандартных нагрузок)

Последствия: периодические частичные потери транспорта внешних интернет (L2 каналы Клиентов это не затрагивало) сетей.

План мероприятий по предотвращению повторения подобных ситуаций:

Осознавая риски наших клиентов касательно работоспособности сервисов, в том числе, репутационные риски, были приняты следующие решения:

- пересмотр архитектуры маршрутизации, в части увеличения объёма маршрутизации на оборудовании и балансировки по двум площадкам М9 и М10

- пересмотр списка операторов, предоставляющие пиринговые интернет каналы

- расширение списка операторов Интернет каналов и наращивания пиринговой группировки

- увеличение мощности фильтрующего (от DoS атак) оборудования

- привлечение операторов Интернет пиринга со специализированными «чистыми каналами».

Искренне приносим свои извинения за доставленные неудобства.

По вопросам предоставления компенсаций, пожалуйста, обратитесь к Вашему менеджеру.

ДОПОЛНЕНИЕ:
в связи с неоднократными попытками отдельных лиц предоставить заведомо ложную, ничем не подкрепленную информацию, а также, чтобы не вводить в заблуждение посетителей hosting101.ru - нами было проведен ряд мероприятий совместно с администрацией сайта на предмет выявления подозрительной активности.

В результате наши предположения оправдались - пользователь "БУКВОЕД", "Partner", "Клиент" (06.01.2014) и "гость" (14.01.2014 15:24) - одно и тоже лицо!
Во всех случая использовались зарубежные IP (прокси) и схожие user-agent.

Изначально упомянутый пользователь "гость" использовал достаточно много нецензурных выражений в адрес компании (благодаря работы администраторов ресурса удалось убрать какую-то часть нецензурных высказываний).
Кроме того, "гость" использовал имя и фамилию Генерального директора Cloud4Y в качестве ника, что говорит о неадекватном и некорректном поведении.

В заключении сообщаем, несмотря на наши попытки пойти на контакт и разобраться с вопросами - пользователь (БУКВОЕД, Partner, Клиент, гость) так и не обратились к нам в офис за разъяснениями.

Благодарим администрацию данного ресурса за содействие!