Hlavní navigace

České ISP na přelomu roku potrápila vlna silných DDoS útoků

David Slížek

Řada českých poskytovatelů připojení se v posledních dnech loňského a v prvním týdnu letošního roku potýkala se silnými DDoS útoky na své klienty i infrastrukturu. U některých vedly k omezení či výpadkům služeb.

„Od 30. prosince téměř denně čelíme intenzivním DDoS útokům, které se typem i intezitou mění,“ informoval zákazníky například Zdeněk Polách z firmy Allstar Net. Jeho e-mail zveřejnil na Twitteru Michal Bláha. „Aktuální útoky jsou nezvyklé svou četností, intenzitou i cílením. Nemíří pouze na nás, pod útokem jsou desítky operátorů v České republice, včetně těch největších,“ dodává ve zprávě Polách.

Jak dnes Lupě potvrdil, útoky pokračovaly i po novém roce. „Zatím poslední silný útok jsme zaznamenali v pátek večer. Jde to vždycky ve vlnách a útoky se mění,“ dodal. Útočníci se podle něj snažili kromě koncových IP cílit i na BGP routery, spojovačky na upstreamech a další prvky. Útoky dosáhly síly téměř 40 Gbps a 8 milionů packetů za sekundu.

Netypické útoky

Podobně silné útoky mířily také na síť Active24, potvrdil Lupě manažer bezpečnosti a provozu IT Tomáš Hála. První dorazil také 30. prosince. „Šlo o typický odražený amplifikační útok zneužívající nezabezpečené NTP servery. Trval cca 15 minut a ten jsme ještě téměř nezaznamenali, protože jej filtrovala scrubbing technologie, která chrání naši síť. Bez této nákladné ochrany by útok síť přetížil a znamenalo by to nedostupnost služeb pro naše zákazníky,“ popisuje.

Další útok podle něj přišel na silvestra. „Nevedl už na naše adresy, nýbrž na hraniční routery a bylo nutné proti němu zasáhnout dodatečnými ručními opatřeními. V různých intervalech se pak útok opakoval ještě v průběhu minulého týdne, nicméně na naše služby už nemá vliv,“ dodal Hála. Active24 je jedním ze zakládajících členů projektu FENIX, který vznikl právě proto, aby zmírnil dopady velkých DDoS útoků na české sítě.

Podle Hály se čerstvé útoky od těch běžných v jednom aspektu liší. „Necílí na konkrétní námi provozovanou službu, ale spíše zkouší různé adresy a cílí i na další subjekty (jiné poskytovatele obsahu i konektivity). Není tedy jasné, co je skutečným motivem a cílem a jestli si někdo jen něco nezkouší nebo nemaskuje jinou činnost.“

Útok z Jakarty

Vlnu silnějších útoků Lupě potvrdil také šéf peeringového uzlu NIX.cz Adam Golecký. „Útoky byly většinou krátké a nejčastěji používanou metodou bylo NTP,“ říká.

Útoky by podle něj mohly být jakýmsi testem kapacit a cílů v Česku. „K nám do NIXu šla data ze zdrojových adres, které jsou v Jakartě v Indonésii. Útoky většinou vyzkoušely pár adres, které jsou blízko za sebou, a celé to trvalo kolem pěti minut,“ dodává Golecký.

Našli jste v článku chybu?