Andorra Telecom страдает от непрерывного распределенного отказа в обслуживании ( DDoS ) с вечера пятницы, из-за чего у многих его клиентов возникают проблемы при просмотре, и даже официальный сайт оператора недоступен из-за этих атак. Кажется, что оператор смягчает эти атаки, но этого недостаточно, чтобы справиться с DDoS, который они делают. Что может сделать Andorra Telecom для защиты от этих атак?
Когда начались атаки?
В пятницу вечером около 8:00, что совпало с празднованием «Squid Games», оператор Andorra Telecom подвергся распределенной атаке типа «отказ в обслуживании». Из-за этой атаки самые популярные стримеры и ютуберы, проживающие в Андорре, не смогли подключиться и были вынуждены выйти из игры, чтобы не мешать своим сверстникам. Оператор все время сообщал через Twitter все проблемы, вызванные этой DDoS-атакой, в некоторых случаях была затронута его оптоволоконная сеть, а также его сеть 4G, поскольку кажется, что атаки затрагивают самого оператора, и не имеет значения, как вы обеспечиваете подключение к Интернету.
Некоторые из самых популярных стримеров и ютуберов, такие как Auronplay, El Rubius или TheGrefg, не могли транслировать на Twitch или участвовать в этих играх, чтобы все поняли, что со связью из Андорры какая-то проблема.
Помимо дня пятницы, еще и днем субботы, примерно в это же время начались атаки, оператор оперативно проинформировал об этом через Twitter, указав, что у некоторых пользователей могут возникнуть трудности с просмотром интернета, но в данном случае за пару часов им удалось решать проблему. Оператор указал, что эти атаки направлены на то, чтобы нанести вред стримерам и ютуберам, проживающим в стране, поэтому такой тип атаки не позволяет им выполнять свою работу в Андорре.
Наконец, сегодня в понедельник в 10:XNUMX оператор сообщил, что DDoS-атаки на его сети снова начались, и у клиентов могут возникнуть проблемы с подключением к Интернету.
⚠️ Интернет xarxa запатентован NOVAMENT как атака типа «отказ в обслуживании» (DDoS). По этой причине у некоторых пользователей могут возникнуть трудности с работой в Интернете. Ho estem mitigant.
– Андорра Телеком (@AndorraTelecom) 24 января 2022
Как видите, оператор пытается смягчить эту атаку, которая затрагивает многих его клиентов и даже может затронуть их всех.
Что может сделать оператор, чтобы смягчить это?
Оператор, в зависимости от того, как устроена его инфраструктура на аппаратном уровне, может смягчить эту атаку, отключив входящие сообщения, откуда исходит вредоносный трафик, однако сначала мы должны знать, что существует два типа DDoS-атак:
- DDoS-атаки, где миллионы одновременных подключений сделаны.
- Объемные DDoS-атаки . В данном случае DDoS-атака состоит в отправке сотен Гбит/с из различных источников с целью вывести из строя магистральную сеть оператора. В этом случае мало что можно сделать, кроме как расширить сетевую инфраструктуру за счет более быстрых соединений.
В первом случае, когда осуществляются миллионы одновременных подключений, цель DDoS-атаки состоит в том, чтобы насытить соединениями разные серверы, поднимая одновременно тысячи TCP-соединений с целью блокировки конечных устройств. Смягчить этот тип атаки на уровне оператора, как правило, довольно просто, просто вам нужно определить, на основе некоторых фильтров, которые являются исходными IP-адресами, откуда они создаются, а на сетевом уровне отрезать все сообщения из этих источников в любой пункт назначения в автономной системе Andorra Telecom.
Второй случай сложнее решить, когда они проводят DDoS, отправляя много Гбит против сети, единственный способ решить эту проблему - это увеличить поток или доступную пропускную способность над поступающим трафиком, чтобы он не схлопывался и могли быть коммуникации. Давайте представим, что у Andorra Telecom есть поток 40 Гбит/с против нейтральной точки или пиринга с другим оператором, если DDoS-атака превышает этот поток, то сеть не способна управлять легитимным трафиком, потому что пропускной способности больше нет. В этом случае увеличение его, например, до 100 Гбит/с заставит атаки создать более крупную DDoS-атаку.
Другой возможный вариант для этого второго случая состоит в том, чтобы смягчить атаку, прежде чем она прибудет . Если какие-то IP-адреса или диапазоны адресов подвергаются атаке, BGP rel может быть настроен на прекращение объявления этих маршрутов, но, конечно, эти общедоступные IP-адреса не будут иметь подключения к Интернету (пока они не будут объявлены снова). Это лучший способ «смягчить» DDoS-атаку, если она затрагивает несколько IP-адресов, перестать их рекламировать, чтобы она не затронула остальную часть сети, она называется Blackhole BGP.
По словам представителя Andorra Telecom, скорость этой DDoS-атаки составляет от 350 до 600 Гбит/с, тогда как нормальный сетевой трафик составляет около 35-40 Гбит/с, поэтому они предполагают увеличение трафика в 20 раз по сравнению с ожидаемым. нормальный. Хотя это не первый случай DDoS-атаки, она является одной из самых мощных на сегодняшний день.
Что могут сделать ютуберы и стримеры?
Как правило, в других странах есть несколько интернет-операторов, поэтому, если у одного оператора есть проблемы, у другого наверняка нет. Случай Андорры является несколько исключительным, поскольку здесь есть только один интернет-оператор, как на уровне оптоволокна, так и на уровне услуги 4G. В случае возникновения проблем с этим оператором вы не сможете переключиться, вам останется только дождаться, когда группа реагирования на инциденты оператора смягчит эту атаку при ее возникновении, или пока киберпреступники перестанут атаковать оператора.
Надо иметь в виду, что эти приступы обычно не очень длительны по времени, то есть возможно, что если эти приступы и продолжаются, то в определенное время, а не все время. Основная проблема в том, что у стримеров могут быть проблемы по вечерам, пиковое время для такого типа контента.
Как стало известно из официального Твиттера Andorra Telecom и из андоррской прессы, ютуберы уже осудили эти события, и власти страны проводят расследование с целью поймать этих киберпреступников. Тем временем группа кибербезопасности Andorra Telecom продолжает работу по предотвращению этих атак.
