Odparliśmy rekordowy atak DDoS

Półtora roku utrzymywał się dotychczasowy rekord poziomu ataku DDoS, którego celem była sieć Orange Polska. Wynik 543,9 Gbps (gigabita na sekundę) to już jednak przeszłość. 21 lipca atakujący pokazali, że stać ich na jeszcze (nieco) więcej.

Rekordowy atak tego typu w polskim internecie miał miejsce 21 lipca tuż po północy. Wtedy naszej sieci naszej nastąpiła kumulacja serii DDoS’ów na jeden z adresów należący do chronionego przez nas AS5617. Ostatni z serii dużych ataków osiągnął poziom 586.5 Gbps/58.5 Mpps i jest to największa wartość odnotowana przez nas w historii i największa potwierdzona w polskim internecie. Tym samym przekroczyliśmy dotychczasowy rekord z 10 stycznia 2023 roku.

Celem rekordowego ataku był pojedynczy adres IP. Atak rozpoczął się o 0:02 i trwał około 18 minut, natomiast szczytowe wartości były utrzymane przez około 2 minut. Wykorzystano jedną z najpopularniejszych obecnie technik, opartą na protokole UDP i technice DNS amplification. Źródłem był dużych rozmiarów botnet. Zarejestrowaliśmy adresy z 90 krajów, jednak ponad 50% złośliwego ruchu pochodziło z Chin, Indii, Brazylii, Rosji oraz Stanów Zjednoczonych.

Systemy ochrony anty-DDoS Orange Polska zareagowały prawidłowo. Atak nie miał wpływu na naszą sieć i usługi Orange.

Analizując sytuację zauważyliśmy, że atak ten wpisuje się w  znacznie bardziej skoordynowane działania specyficznego atakującego. Konsekwentnie wykorzystuje on ten botnet  do prowadzenia ataków o bardzo wysokich wolumenach, wymierzonych w ten sam cel.  Przykładowo dwa dni wcześniej, 19 lipca, przez 7 godzin i 40 minut zaobserwowaliśmy atak o wolumenie  439.3 Gbps/50.1 Mpps.    

Jeżeli chcesz na bieżąco obserwować dane o atakach DDoS w sieci Orange Polska, warto zajrzeć do naszych statystyk na stronie https://cert.orange.pl/dane-o-zagrozeniach/?systemName=Ataki-DDos.