W ciągu ostatnich kilkunastu dni następuje eskalacja ataków DDOS wykorzystujących luki w zabezpieczeniach systemów operatorów. Problem dotyczy wszystkich, tak użytkowników korzystających bezpośrednio z dostępu do sieci globalnej (m.in. GTT, Tinet, KAIA) jak i usług typu global-mix np. EP-Global. Wczoraj miał miejsce atak DDoS również przez sesje z HE.netem, których prefixy dostępne są w większości polskich IXów. We wszystkich przypadkach problemy ma tak atakowany, jak i operatorzy nadrzędni.

Ostatnie obserwacje wskazują, że skala problemu dotyka wszystkich dostawców nadrzędnych, miewają oni problem z wysycaniem się ich sieci szkieletowej i uplinków globalnych. Konsekwencją tego jest coraz częstsze pojawianie się okresów utrudnionego
dostępu do różnych części Internetu, strat i zwiększania się czasów odpowiedzi. Co raz częściej zdarza się, iż sesje z tymi operatorami ulegają zerwaniu, a trasy są zmieniane w na tyle istotnym zakresie, że staje się to odczuwalne. Nie bez znaczenia jest też częste niż zwykle użytkowanie przez użytkowników community blackhole, co powoduje przeładowania tablic BGP, a tym
samym zakłóceń w dystrybucji tras.

Obecnie większość bieżących ataków dotyczy luki: https://www.us-cert.gov/ncas/alerts/TA14-268A
Każdy z ataków poprzedzają skany portów: 80,443,22,161,123,53, w wypadku znalezienia luk pojawia się atak. Jednocześnie cały czas wykorzystywane są stare luki bezpieczeństwa, czyli IPMI, SNMP, DNS. Statystycznie każdy ISP posiada na publicznych adresach dostępne hosty z lukami, prosimy więc o pilne przystąpienie do działań naprawczych.

W świetle obecnej sytuacji, oraz ciągłego wzrastania liczby zagrożeń konieczne staje się bieżące kontrolowanie wszystkich sieci – również przez operatorów lokalnych. Węzły agregujące takie, jak EPIX, KIX i inne IXy z racji skali nie są w stanie realizować takiego zadania. Musicie działać sami. Każdy współczesny ISP chcący działać profesjonalnie musi wprowadzić reżim cyklicznego skanowania własnych publicznych zasobów. Prowadzenie takich działań może być kosztowne i wymagające czasu, dlatego
też stanowczo zalecam bezzwłoczne zarejestrowanie się do projektu: http://n6.cert.pl/ Niezbędne jest również posiadanie własnych systemów antyDDOS/autoBH, zwłaszcza w wypadku większych sieci.

EPIX informuje, że zaostrza zasady automatycznego dodawania do blackholingu atakowanych adresów, oraz wydłuża politykę karencji adresu dodanego do BH, do 48h.

W przypadkach nagminnego pojawiania się adresów danego operatora w BH, EPIX będzie zmuszony realizować czasowe wyłączenia sesji, do czasu usunięcia problemów po ich stronie.

Pozdrowienia
Administrator EPIX
info@epix.net.pl