Очень веселые графики "типа атаки".
https://t.me/zatelecom/15456


Я может ошибаюсь, но суть SYN флуда заключается в том чтобы заставить сервер слать бесполезные ACK пакеты. А на графиче четко видно что никаких ACK там нет.
Значит эти SYN массово дропались.
Если еще чуть более внимательно посмотреть на график, то видно что пропорционально SYN есть нагрузка по RST пакетам. То есть, изначально поставили в разрыв какую-то хуйню, генерируюшую RST. Но она не справилась и начала массово дропать SYN пакеты.
А еще более внимательный взгляд найдет почти полное отсутствие ICMP трафика.

То есть, белорусы в попытке отмазаться, наконец, предоставили официальные пруфы именно Government Shutdown.
Неплохо)

По поводу заявлений CERT.BY (для журналистов и тех, кто не очень в теме — это "команда реагирования на компьютерные инциденты". полугосударственная структура, официально подчиняется "оперативно-аналитическому центру при президенте республики Беларусь).

Мне отписались специалисты, которые разбираются в теме DDoS гораздо лучше меня. Вот их #объяснялки

Микрофон берет всем известный Töma Gavrichenkov CTO компании Qrator, бизнес которой как раз в DDoS:


Атаки могут идти, это не говорит об иностранном вмешательстве. Организация атак указанного масштаба на сегодня доступна даже школьникам.

Заявленных цифр самих по себе недостаточно для наблюдавшегося эффекта на национальный сегмент.

С другой стороны, какие-то действия по вводу в строй фильтрующего оборудования (например, Arbor) могли привести к таковым эффектам.

Продолжаем обсуждение заявления беларуского CERT. Пишет Никита @Prochorman из компании "Пегий дудочник" ServicePipe

Поглядел на графики из поста про беларуский DDoS, и могу немного больше рассказать о них, т.к. по виду графиков, они пользуются Arbor’ом, который я вдоль и поперек знаю. Для понимания, я безопасник из компании Servicepipe, и наша основная услуга — защита от DDoS-атак.

Так вот, скриншоты, которые запостил CERT.by — скриншоты с DDoS-анализатора Arbor Peakflow, мы тоже работаем на этом железе и вот что могу дополнить:

Объемы атак недостаточные, чтобы вызвать серьезные проблемы в сети (относительно) крупного оператора связи. Да, 40 Гбит/с в целом довольно много, если говорить о конечных клиентах, но речь всё-таки идёт о крупнейших операторах Беларуси. Атаки на конкретно нашей сети, ввиду того что это сервис для защиты, наблюдаются по несколько раз в день, и почему-то (интересно почему, да?) даже в сети каких-то отдельных апстримов не наблюдается каких-либо проблем, не говоря уж о России целиком.

... продолжение...

На графиках CERT видно атаки из нескольких векторов, если собрать в две кучи, то получим следущее —

1. TCP SYN или RST Flood — Атаки направленные на то, чтобы поиздеваться над очередью сессий конечного сервера, но на деле, при таких объемах у сервера просто виснет CPU, т.к. не справляется с обработкой такого количества пакетов. Примечательны такие атаки тем, что используются очень маленькие пакеты 52-60 байт, ввиду чего самих пакетов получается много, но вот в бит/с атака редко может напрячь каналы операторов связи. Как пример, для их атак в 7-8 Мппс (млн. пакетов в сек.) это где-то 2-3 Гбит/с, что может как-то и повлияло на отдельный сервис, но никак не убило интернет во всей стране.

2. UDP Amplification (в частности DNS) и IP Fragmentation — атаки стары как мир и бороться с ними максимально просто, особенно имея при себе Arbor. Примечательны атаки тем, что для них используется UDP, и в случае с DNS Ampl. это source port 53, а в случае с IP Fragment, пакеты всегда имеют флаг is fragmented. И то, и другое позволяет максимально просто идентифицировать и заблокировать атаку на каждый конкретный /32 хост (если конечно хотеть ее отбить, а не все наоборот). Делается это посредством BGP Flowspec, надстройки над BGP, которая позволяет отправлять внутри текущей сессии Firewall фильтры (а здесь достаточно временно запретить DNS и фрагментированный трафик) и блокировать трафик как у себя на границе сети, так и выше (при наличии отдельной договоренности с вышестоящими операторами). При всем этом, на самом арборе, делается это за минуту.

Ладно, допустим, флоуспеки не настроены, ниже спины уже припекает, ничего не работает. Как я уже сказал, атакуют на этих графиках хосты /32, что наверное и слишком грубо, но раз ничего под рукой нет, можно заблэкхолить, при этом, отдав блэкхол операторам выше. Тут на опыте скажу, что большинство операторов связи и тем более, телеком-гиганты, далеко не впервые слышат про DDoS и частенько готовы захолить насолившего кому-то клиента. А тут еще и арбор имеется, который упрощает холинг до трех кликов.

... продолжение...

По каждой отдельной аномалии, Arbor строит полноценные отчеты, с детальной информацией о протоколах, источниках, TCP флагах, странах и т.п.

вот как на картинке [zt]

Здесь же почему-то показаны только графики, оторванные от остальной информации, соответственно полной информации нам не дали, а чему здесь тогда верить, даже дат нет?

Если у кого-то есть возражения и/или дополнения по поводу CERT.BY — вы всегда можете изложить их в ЛС. Я опубликую.

А пока голосуем просто и незамысловато:

* палец вверх — мы верим CERT.BY и действительно на Беларусь напали хацкеры
* палец вниз — CERT.BY врет
* КОЗА — я ничего не понял, просто люблю ставить козу

Как выглядят блокировки в Беларуси

Если кто-то до сих пор считает, что в правительствах всяких заседают какие-то там гении или даже просто умные люди, то пример Лукашенко это наглядно опровергает.

В день выборов, 9 августа, у Лукашенки было на выбор три самых идиотских решения: убиться головой апстену, бегать по улицам Минска с голой жопой и отключить интернет. Так он выбрал САМОЕ ИДИОТСКОЕ.

ну и сейчас: блокировать что-то в интернетах в стране, где треть населения умеет обходить любые блокировки: НЕ, ОН ЧО — СЕРЬЁЗНО?

уж лучше б с голой жопой бегал

Прислали список заблокированных ресурсов в РБ с 22 августа: https://telegra.ph/Spisok-zablokirovannyh-resursov-BelGIEH-s-22-avgusta-v-Belarusi-08-21

Зона.Медиа — поздравляю, это успех! :)
Медуза — низачот.