Както се казва ЦИК, Държавата и Информационно обслужване ги одрусаха. Това не се случва за пръв път – да си припомним случая със системата за детските градини. Сигурно има и други само дето аз не ги знам. Та DDOSа било нарочен или случаен :) си е кофти често срещано явление в световния Интернет което се прави обикновено с комерсиална и/или политическа цел. То си е фундаментален проблем на Интернет още от сравнително ранните му години. Тия милиони сесии срещу сайта цитирани в сайта дет се вика може да са предизвикани от не чак толкоз виртуални машини в някой облак. Дет се вика една една виртуалка, на която върви простичък туул като nc, или да кажем по сложен като ab с -c 100 като параметър, може да сътвори чудеса за час със напълно легитимни заявки. Пък да не говорим, ако виртуалните машини не са виртуални и са много.
Одрусаха ги защото те и доставчиците, които те използват явно не се научиха, че Cloudflare не може да ги спаси от дупката в гащите. Т.е железни гащи трябват, но в тях винаги има дупка и през дупката понякога често се случва да влязат разни неща. Понякога те са малки подли пи.ки, а понякога дебели черни турове.
Спасението е едно единствено добър външен peering, добра синхронизация с upstream доставчиците и разбира се прилагането на RTBH.
За хората, които не знаят RTBH е простичка методология за пращане на трафик в черни дупки (не баш кат тия на гащите им). Тя позволява трафика на атакуващия да бъде спрян максимално близо до мястото където той се генерира. Това понякога е възможно и понякога не е.
За по незапознатите Cloudflare (решението на което Информационно бяха заложили) не е спасение. За хората посетили днес сайта на ЦИК, той показваше snapshot, на реалния сайт генериран от cloudflare 4-5 часа преди реалното време. Че що му е на човек да гледа изборни резултати с 4-5 часа закъснение?
Когато не е и паниката ни е завладяла за да се избегнат туровете, най-добре е атакувания да се скрие. Обикновено идеята е да се скрие за всички навън включително и атакуващите от Турция, Виетнам, Таджикистан и къде ли още не, но да остане видима за хората в дадената държава и за клиентите на дадения оператор.
Какво им пречеше на тия хора аджеба да скрият сайта на ЦИК за всички отвън или да кажем за всички дет не са част от БГ пиъринга (така известен като Български Интернет) и да остане видим за всички в него. Нима по време на избори над 95% от всички посещаващи този сървър да не са в България? Дори и да има някой Българин навън интересуващ се от резултата, не се притеснявайте за нето. Те повечето си имат VPN при приятели и си теглят филми от замунда, тъй че едва ли ще имат проблем да видят сайта, ако чак толкоз много ги интересува.
Та в такива случай какво се прави:
Стъпка 1: Операторите са конфигурирали черни дупки на краищата на техните мрежи. Черната дупка е адресно пространство което сочи към /dev/null. Конфигурира се също и uRPF (Unicast Reverse Path Forwarding) – механизъм за отстраняване на трафик, ако идва от място от което не го очакваме.
Стъпка 2: Операторите конфигурат некоя стара цисковска бангия от порядъка на 3620 или пък 2611 :) да го играе тригер. Тригера отравя мрежата с маршрут, който казва, че атакувания или атакуващия сочи към адресното пространство предварително конфигурирано да сочи към /dev/null.
Стъпка 3: ЦИК и информационно почват да пищят, атакуват ни от майна си.
Стъпка 4: Паниката почва да тресе и сайта на ЦИК се насочва към черната дупка. Това става чрез дърпане на спусъка с маршрут който казва че ЦИК сочи към адресното пространство което пък от своя страна сочи към черната дупка.
Това ни действие изглежда парадоксално, но то води до отстраняване на целия външен трафик на границата на нашата мрежа към ЦИК. Съответно за клиентите на оператора могат да си достъпват портала на ЦИК, а другите кучета ги яли. Под другите се разбира тия дет не са част от БГ Интернет.
Стъпка 5: Анализ на трафика на атакуващите. За целта обикновено се пуска тънка струйка от трафика (грижливо подравнена и ограничена по метода на пробитата кофа )… Подбор на ИП адресите, които са ни атакували и преминаване към насочване на тях към черната дупка. Т.е постепенно откриваме атакувания, но бързичко изтребваме по-подозрителни източници на трафик към него.
Стъпка 6: Атаката постепенно отслабва (все пак хората си имат и друга работа, сигурно някой някъде открива я хотел, я казино или пък има избори в Зимбабве) и е време администраторите да ходят да пият бира.
Стъпка 7: Метода не използва скъпо оборудване, защитни стени, IPS (Intrusion Prevention systems), IDS (Intrusion Detection systems) и т.н. написаното в сайта на news.bg изявление “По тази причина компанията предварително била осигурила възможно най-ефективната и модерна защита на инфраструктурата от подобни атаки чрез технологии и софтуер, които се използват от институции като Белия дом, например.” по скоро подсказва за зле свършена работа, пари загробени в кутии и услуги, които нямат особен смисъл да се използват преди да си направил А и Бто.
А то Аи Бто е описано в RFC документ на обществото на Интернет инженерите като документа е под номер 5635.
В заключение: Извинявам се за леко пиперливия език използван в този блог пост. Надявам, хората отговорни за въпросния портал (от бизнес и техническа гледна точка) да прочетат поста и дай-боже да си вземат поука. Да не ползват разни чужди решения (те може и да пазят Белия дом, но вие сте им примерно 100000 клиент и едва ли ги е много еня за вас), а да разчитат на себе си. Надявам се също държавен обществено значим сайт да не бъде хостван никога в инфраструктура, която няма ясно изписани политики за DDOS защита. В идеалния вариант тези политики трябва да са достъпни през API, а обществения сайт трябва да има начин да засича атаките и да сигнализира за атаката, консумирайки API интерфейса на доставчика за проблемния клиент.
В крайна сметка се надявам в близките 5-10 години да не прочета и да не чуя за страница на Българска държавна институция, която да е срутена по подобен начин.
