Pobity został dotychczasowy rekord poziomu ataku DDoS, który wynosił 586.5 Gbps (gigabita na sekundę). W drugiej połowie maja na sieci Orange Polska nastąpiła kumulacja serii DDoS’ów – ostatni z nich osiągnął poziom 1.3 Tbps (terabita na sekundę)! To największa wartość odnotowana przez operatora w historii i prawdopodobnie największa zaobserwowana w Polsce.
We wspomnianym okresie zespół CERT Orange Polska obserwował i na bieżąco usuwał skutki serii ataków, których celem była jedna z czołowych polskich firm. Źródłem były znaczące ataki wolumetryczne, wykorzystujące niemal wszystkie możliwe techniki wzmacniania wolumenu.
Atakujący bazował na taktyce burst attack, polegającej na krótkotrwałym, ale bardzo intensywnym wysyłaniu dużych ilości ruchu sieciowego do celu w powtarzających się, gwałtownych falach (tzw. burstach), a nie jako jednolity, ciągły atak. Celem jest w takiej sytuacji zazwyczaj serwer, aplikacja lub infrastruktura sieciowa.
Rekordowy DDoS za każdą kolejną falą ataków zmieniał nieco charakter i wartości graniczne. W kolejnych krokach specjaliści CERT Orange Polska zarządzali ruchem przy atakach o wartościach 700 Gbps, 846 Gbps, a wreszcie 1.1 Tbps (dochodzące do 1.3 Tbps). Zmierzona w jednym ataku wartość 1,3 terabita na sekundę jest największą zaobserwowaną w sieci Orange Polska i prawdopodobnie największą wartością ataku DDoS zaobserwowanego w Polsce.
Jak zatrzymano rekordowy DDoS?
Poradzenie sobie z tak mocnym atakiem było możliwe dzięki kilku kluczowym składowym. Istotną rolę odegrało doświadczenie inżynierów, do spółki z bardzo dobrą współpracą ze specjalistami z atakowanej firmy. Bardzo ważny wpływ miało oczywiście przygotowanie do tego typu ataków zawczasu. Zarówno pod względem infrastrukturalnym, jak też procedur obsługi oraz komunikacji w czasie trwania DDoS. W efekcie atak został zmitygowany bez zauważalnego wpływu zarówno na usługi klienta, jak i na sieć Orange.
Przypomnijmy, że DDoS to skrót od Distributed Denial of Service, czyli rozproszona odmowa dostępu do usługi. W praktyce chodzi o to, by zalać serwer lub sieć taką ilością fałszywych zapytań, że przestaje ona działać dla prawdziwych użytkowników. Atakujący wykorzystują do tego setki, a nawet tysiące komputerów rozsianych po całym świecie.
