Qrator Labs Blog

Дело о загадочном сбросе BGP-сессий из-за неправильного атрибута OTC

Недавно мы столкнулись с интересной проблемой: необъяснимым сбросом BGP-сессий после получения роутерами маршрутов. Мы решили исследовать причины такого поведения — для этого мы проанализировали те сообщения BGP UPDATE, которые вызывали ошибку.

Довольно быстро выяснилось, что у всех этих маршрутов была одна общая деталь: они содержали некорректный атрибут OTC. При этом корень проблемы со сбросом сессий заключался в том, как именно роутеры обрабатывали неправильные маршруты. Поговорим об этом чуть ниже, а сперва обсудим матчасть.

Исследование устойчивости национальных сегментов Интернета в 2024 году

Ключевые факты и выводы

В России рейтинг устойчивости IPv4 улучшился с 5,34% в 2023 году до 5,12% в 2024 (меньше — лучше). Это позволило России подняться на три позиции и войти в топ-10 стран мира.
Устойчивость IPv6 российского сегмента улучшилась даже более заметно: с 5,85% до 3,66%. Однако в других регионах она также значительно выросла, в результате Россия по-прежнему занимает 13-е место в общемировом рейтинге устойчивости IPv6.
Критическая автономная система для российского сегмента IPv4 не изменилась — это по-прежнему AS12389 (Ростелеком). Для IPv6 теперь это AS9049 (ЭР-Телеком).
В среднем по миру устойчивость продолжила улучшаться, но достаточно скромными темпами — с 25,7% в 2023 году до 24,79% в 2024-м.
По итогам 2024 года Бразилия заняла первое место и в рейтинге устойчивости IPv4 (0,98%), и в рейтинге устойчивости IPv6 (2,15%).
На втором и третьем местах в обоих рейтингах в 2024 году были Нидерланды (2,54%/3,4%) и Германия (2,54%/3,6%).
Темпы распространения IPv6 продолжают замедляться. Также по-прежнему наблюдается частичная связность IPv6, то есть отсутствие стыков между некоторыми Tier-1 операторами.
Текущий рейтинг устойчивости национальных сегментов Интернета вы можете найти по ссылке.

CURATOR заняла второе место в рейтинге крупнейших поставщиков защиты приложений CNews Security 2025

Издание CNews опубликовало ежегодный обзор российского рынка информационной безопасности. По итогам исследования CURATOR заняла второе место среди отечественных поставщиков решений для защиты приложений.

DDoS, боты и BGP-инциденты в 3 квартале 2025 года: статистика и тренды

Ключевые факты и выводы

Наибольшее число DDoS-атак в 3 квартале было направлено на сегменты “Финтех” (26,1%), “Электронная коммерция” (22,0%), “Медиа” (15,8%), а также “ИТ и Телеком” (14,5%). На эти четыре сегмента суммарно пришлось почти 80% всех атак.
Среди микросегментов в 3 квартале чаще всего атаковали “Медиа, ТВ, радио и блогеры” (14,1%), “Платежные системы” (13,9%), “Рестораны и доставка еды” (13,0%), “Онлайн-образование” (7,2%) и “Хостинговые платформы” (6,6%).
Самая интенсивная L3-L4 DDoS-атака 3 квартала была направлена на организацию из микросегмента “Онлайн-ритейл” и имела максимальный битрейт 1,15 Тбит/с — немного больше рекорда 2024 года (1,14 Тбит/с).
Самая длительная DDoS-атака 3 квартала продолжалась более девяти суток (225,9 ч). Для сравнения, рекорд 2024 года — 19 дней (463,9 ч).
В 3 квартале мы зафиксировали очередную атаку DDoS-ботнета “миллионника”, который мы отслеживаем уже полгода. На этот раз в ней приняли участие 5,76 миллиона зараженных устройств, преимущественно из Бразилии, Вьетнама, США, Индии и Аргентины.
В 3 квартале крупнейшим источником L7 DDoS-атак стала Бразилия (19%), опередившая Россию (18,4%) и США (10,3%).
Появление столь масштабных DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS мы связываем со стремительным увеличением числа уязвимых устройств, подключенных к быстрому интернету, а также с активным использованием атакующими инструментов на основе ИИ.
После резкого повышения активности “плохих” ботов во 2 квартале 2025 года, которое в основном было связано с одной крайне продолжительной атакой, в 3 квартале показатели заметно снизились квартал к кварталу (-37%).
Одновременно существенно снизился “индекс ботовости”: доля бот-трафика в общем трафике на защищаемые ресурсы уменьшилась с 2,34% до 1,36%.
В 3 квартале 2025 года число уникальных АС, допустивших утечки маршрутов, практически не изменилось по сравнению с прошлыми периодами. При этом количество АС, участвовавших в BGP-перехватах, оказалось ниже обычного уровня вследствие заметного спада в июле.
После значительного роста во 2 квартале 2025 года, количество глобальных инцидентов BGP резко снизилось. В 3 квартале мы зафиксировали всего 5 таких инцидентов — 4 глобальные утечки маршрутов и 1 глобальный BGP-перехват.

CURATOR продолжает мониторинг крупнейшего L7 DDoS-ботнета: число задействованных устройств достигло 5,76 млн

1 сентября 2025 года специалисты CURATOR зафиксировали и нейтрализовали очередную атаку крупнейшего L7 DDoS-ботнета, направленную на организацию из сегмента “Государственные ресурсы”. В ходе инцидента было заблокировано 5,76 млн IP-адресов, задействованных в атаке.

DDoS, боты и BGP-инциденты во 2 квартале 2025 года: статистика и тренды

Ключевые факты и выводы

Общее число L3-L4 DDoS-атак во 2 квартале 2025 года заметно выросло по сравнению со 2 кварталом 2024 (+43%).
Наибольшее число L3-L4 DDoS-атак во 2 квартале было направлено на сегменты “Финтех” (22,6%), “Электронная коммерция” (20,6%) и “ИТ и Телеком” (16,1%).
Самая интенсивная L3-L4 DDoS-атака 2 квартала имела максимальный битрейт 965 Гбит/с — немногим меньше рекорда всего прошлого года (1140 Гбит/с). Атака была направлена на организацию из микросегмента “Онлайн-букмекеры” и, по всей видимости, была связана с установлением Александром Овечкиным нового рекорда результативности среди игроков НХЛ.
Самая длительная L3-L4 DDoS-атака 2 квартала продолжалась чуть более четырех суток (96,5 ч). Для сравнения, рекорд 2024 года — 19 дней (463,9 ч).
Количество L7 DDoS-атак во 2 квартале 2025 года значительно выросло по сравнению со 2 кварталом 2024 (+74%).
Целями L7 DDoS-атак во 2 квартале 2025 года чаще всего становились сегменты “Финтех” (43,6%), “Электронная коммерция” (22,6%) и “ИТ и Телеком” (18,2%).
Среди микросегментов наибольшее количество L7 DDoS-атак было направлено на “Банки” (24,7%), “Программное обеспечение” (12,9%), “Рестораны и доставка еды” (10,9%), “Платежные системы” (8,5%) и “Онлайн-ритейл” (6,1%).
Самая продолжительная L7 DDoS-атака 2 квартала длилась 65,5 часа.
Во втором квартале мы зафиксировали атаку рекордного по размеру DDoS-ботнета, состоявшего из 4,6 миллиона устройств. Это в 3,5 раза больше рекорда 1 квартала (1,3 миллиона) и в 20 раз больше крупнейшего ботнета, обнаруженного нами в 2024 году (227 тысяч).
Тройка стран, которые чаще всего служили источниками L7 DDoS-атак, во 2 квартале 2025 не изменилась по сравнению с 2024 годом: это Россия (17%), США (16,6%) и Бразилия (13,2%), доля последней уверенно растет уже нескольких кварталов подряд.
Активность “плохих” ботов во 2 квартале 2025 значительно выросла (+31%) относительно прошлого квартала. Основной прирост трафика пришелся на апрель-май.
В основном это было связано с одной-единственной атакой на сегмент “Электронная коммерция”, которая началась в апреле, а закончилась только в мае, продлившись более месяца. В рамках защиты от нее мы заблокировали около 2 миллиардов бот-запросов — месячную норму бот-трафика.
Число уникальных автономных систем, осуществлявших утечки маршрутов и BGP-перехваты, во 2 квартале 2025 года было примерно на том же уровне, что и в нескольких предыдущих кварталах.
После резкого снижения, которое мы наблюдали в прошлом квартале, количество глобальных инцидентов BGP во 2 квартале значительно выросло и поставило новый квартальный рекорд. Мы зафиксировали 14 таких инцидентов: 10 глобальных утечек маршрутов и 4 глобальных BGP-перехвата.

DDoS-атаки, боты и BGP-инциденты в 1 квартале 2025 года: статистика и тренды

Curator представляет статистику DDoS-атак, BGP-инцидентов и бот-активности в 1 квартале 2025 года.

DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды

Представляем ежегодный отчет Curator, в котором мы проанализировали эволюционирующие угрозы DDoS-атак, вредоносных ботов и сетевые аномалии в 2024 году.

DDoS-атаки, боты и BGP-инциденты в 3 квартале 2024 года: статистика и тренды

Qrator Labs представляет статистику DDoS-атак, BGP-инцидентов и бот-активности в 3 квартале 2024 года.

Анатомия июльских атак на финтех-индустрию

Июль 2024 оказался очень жарким с точки зрения атак на финансовый сектор. Таргетированные атаки высокой плотности шли по всей инфраструктуре финансовых организаций. Пик нападений пришелся на последние две недели месяца, при этом количество целей злоумышленников оказалось больше, чем число жертв.

В этом посте мы хотим разобрать анатомию атак: рассмотреть самые интересные кейсы, поговорить о том, почему финтех опять стал DDoS-целью номер один, и как от этого защититься.

DDoS-атаки, боты и BGP-инциденты за второй квартал 2024 года: статистика и тренды

Статистика DDoS-атак и BGP-инцидентов во втором квартале 2024 года

L4 и L7 DDoS-атаки: в чем разница

Ключевые различия между DDoS-атаками на уровнях L4 и L7: от SYN-флуда и UDP-флуда на транспортном уровне до HTTP-флуда и атак Slowloris на уровне приложений. Узнайте, как сервисы кибератак, известные как «бутеры» (от англ. booters), способствуют их осуществлению, и изучите наиболее известные примеры, включая атаки на DNS-провайдера Dyn и платформу GitHub.

4 стратегии защиты от уязвимости HTTP/2 Rapid Reset (CVE-2023-44487)

В августе 2023 года была обнаружена уязвимость в протоколе HTTP/2, известная как CVE-2023-44487 или Rapid Reset. В этой статье мы расскажем о том, как работает CVE-2023-44487, какое влияние она оказывает на HTTP/2, и предложим 4 стратегии защиты от этой уязвимости.

Обзор DDoS атак по векторам в абсолютных и смешанных значениях

Предлагаем вашему вниманию статистику DDoS-атак за 1 квартал 2024 года: расскажем о новых угрозах и тенденциях, а также о прогнозах на текущий год.

Fast Flux: мощное оружие преступников в обходе защитных систем

Узнайте, как киберпреступники используют Fast Flux для повышения устойчивости к взлому своей инфраструктуры. Мы расскажем о преимуществах Fast Flux для злоумышленников, проблемах, которые эта техника создает для специалистов по безопасности, и о наиболее эффективных стратегиях борьбы с угрозой, таких как изъятие доменов, вывод из строя ботнетов и международное сотрудничество.

Как защитить ваш сайт от парсинга AI

Инструменты сбора данных с использованием искусственного интеллекта, такие как GPTBot, набирают популярность, одновременно порождая вызовы в области обеспечения кибербезопасности и необходимость в разработке эффективных методов противодействия активности ботов. В данной статье рассмотрим рост скрытого парсинга данных с помощью AI. Для решения этой проблемы владельцы веб-сайтов могут использовать Rate Limiting, применять файл robots.txt и выборочные блокировки IP-адресов с использованием доверенных черных списков.

2023 DDoS атаки: обзор и статистика

2023 год оказался довольно богатым на события и тренды в области сетевой безопасности. Появился новый термин “белый шум”, развитие искусственного интеллекта повлекло увеличение активности ботов, что сильно сказалось на коммерческих компаниях, мы обнаружили признаки, вновь начавшего набирать популярность, коммерческого DDoS-а, внедрение технологий “удаленного офиса” привело к расширению каналов связи и, как следствие, повышению интенсивности атак, и многое другое. Но давайте обо всем по порядку.

Исследование Устойчивости Национальных Сегментов Интернета за 2023 год

Предлагаем вашему вниманию результаты исследования влияния возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов Интернета.

Обзор DDoS-атак в третьем квартале 2023 года

Приглашаем вас взглянуть на события третьего квартала 2023 года с точки зрения DDoS-атак и инцидентов BGP.

Обзор DDoS-атак во втором квартале 2023 года

Приглашаем вас взглянуть на события второго квартала 2023 года с точки зрения DDoS-атак и инцидентов BGP.

DDoS-атаки и BGP-инциденты в первом квартале 2023

Предлагаем вашему вниманию статистику по нейтрализации DDoS-атак в 1 квартале 2023 года.

Поддержка менеджера изображений в Qrator.CDN

Мы продолжаем развивать функционал Qrator.CDN и представляем новые возможности сети доставки контента – поддержку менеджера изображений.

Новый функционал Qrator.CDN – поддержка заголовка Vary без ограничений

Новый инструментарий Qrator.CDN включает в себя уникальную функцию – поддержку всех возможностей заголовков ответа Vary (включая cookies) для упрощения архитектуры веб-ресурса и снижения затрат на его обслуживание.

Эволюция распределённых атак в интернете: 1994 — настоящее время

Данная публикация оригинально была размещена в блогах компаний "Онтико" и Qrator Labs на Хабре.

В каких юнитах можно померить DDOS атаку? Биты в секунду, запросы, пакеты, время даунтайма, количество машинок в ботнете — все эти ответы верные. Потому что DDoS-атаки бывают разных категорий и для каждой есть свои ключевые метрики. Их рост и является движущей силой для эволюции DDoS атак. Посмотрим, как это происходит.

Поможет нам в этом Георгий Тарасов, владелец продукта Bot Protection в Qrator Labs. Ранее он занимался разработкой, проектным менеджментом и pre-sales. Вместе с ним мы полетим в 1994 год и обратно, в настоящее время. Посмотрим, как развивались распределённые атаки на отказ в обслуживании за эти годы, к чему они пришли сейчас, и на что есть смысл обратить внимание.

DDoS-атаки и BGP-инциденты во втором квартале 2022

Второй квартал года закончился, и, как обычно, мы подводим итоги по нейтрализованным DDoS-атакам и инцидентам BGP, произошедшим в период с апреля по июнь 2022 года.

DDoS-атаки и BGP-инциденты в первом квартале 2022

Закончился первый квартал 2022 года, и пришло время взглянуть на его события с точки зрения DDoS-атак и инцидентов BGP.

DDoS-атаки и BGP-инциденты четвертого квартала 2021 года

Для Qrator Labs, 2021 год оказался насыщен разнообразными событиями.

Все началось с официального празднования нашего десятилетнего юбилея, продолжилось масштабными инцидентами маршрутизации и закончилось обнаружением ботнета Meris в сентябре ушедшего года.

Пришла пора взглянуть на события последнего квартала 2021 г. Интересные детали содержатся в секции посвященной BGP, такие как рекордное количество утечек маршрутов и автономных систем осуществляющих перехваты BGP. Но для начала, давайте внимательно рассмотрим статистику по DDoS-атакам.

Новый ботнет с большим количеством камер и даже некоторыми роутерами

DDoS-атаки посылают волны в океане Интернета, создаваемые творениями разных размеров - ботнетами. Некоторые из них питаются ближе к поверхности, но существует категория огромных глубоководных чудовищ, которые достаточно редки и одновременно настолько опасны, что их можно увидеть только один раз за долгое время.

В ноябре 2021 мы встретили и успешно нейтрализовали несколько атак исходящих от ботнета, который, похоже, не связан с хорошо известными или детально описанными, как варианты Mirai, Bashlite, Hajime или Brickerbot.

Хотя наши находки и напоминают издалека Mirai, мы полагаем, что данный (описываемый ниже) ботнет основан не только на распространении вредоносного кода под Linux, а на сочетании брутфорса паролей и эксплуатации уже исправленных CVE на непатченных устройствах для увеличения его размера. В любом случае, чтобы подтвердить, как именно устроен этот ботнет, нам был бы необходим образец устройства для анализа кода, что далеко за пределами нашей области знаний и умений.

В этот раз мы не будем давать никакого имени этому ботнету. Признаемся, мы не на 100% уверены, на что именно мы смотрим, каковы точные характеристики и насколько на самом деле велика эта вещь. Но есть некоторые цифры и, где это возможно, мы провели дополнительную разведку чтобы лучше понимать, с чем же мы имеем дело.

Давайте для начала взглянем на собранные нами данные, а выводы сделаем ближе к концу поста.

Циклы маршрутизации

Добрый день! Меня зовут Александр Зубков, я работаю в Qrator Labs и сегодня я хочу поговорить о циклах маршрутизации.

DDoS-атаки и BGP-инциденты третьего квартала 2021 года

Третий квартал 2021 года стал рекордным по масштабам и интенсивности DDoS-атак.

События достигли апогея в сентябре, когда мы вместе с Яндексом обнаружили и сообщили публике об одном из самых разрушительных ботнетов со времен Mirai, назвав его Meris, так как он был ответственен за серию атак с высоким значением запросов в секунду. И пока злоумышленники целились в разные цели по всему миру, наша квартальная статистика тоже несколько изменилась.

Помимо этого, в этот раз мы подготовили для вашего внимания фрагмент статистики по атакам на уровне приложения (L7).

Без лишних прелюдий, давайте подробнее остановимся на статистике по DDoS-атакам и BGP-инцидентам за третий квартал 2021 года.

Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета

На днях в СМИ появилась информация о DDoS-атаке на Яндекс. Это правда, но не вся. Нашим специалистам действительно удалось отразить рекордную атаку более чем в 20 млн RPS — это самая крупная атака из известных за всю историю интернета. Но это лишь одна из множества атак, направленных не только на Яндекс, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно.

Сегодня Qrator Labs совместно с Яндекс хотят поделиться текущими результатами совместного расследования деятельности нового ботнета Mēris. Расследование еще продолжается, но мы считаем важным поделиться уже собранной информацией со всей индустрией.

DDoS-атаки и BGP-инциденты второго квартала 2021

Второй квартал 2021 года был ожидаемо намного тише, чем первый по количеству DDoS-атак, так как речь идет о поздних весенних и ранних летних месяцах: апреле, мае и июне, когда деловая активность успокаивается по всему миру. Тем не менее, во время чемпионата Европы по футболу в июне-июле некоторая атакующая активность имела место, но сосредоточилась в основном на азартной индустрии.

Итак, мы с удовольствием раскрываем вам доступные подробности о DDoS-атаках и BGP-инцидентах второго квартала 2021 года.

Адаптация алгоритмов поиска кратчайших путей в графах для задач динамической маршрутизации

Среди множества популярных алгоритмов на графах существует целый ряд алгоритмов, позволяющих находить кратчайшие пути. Каждый из них решает собственную задачу и, соответственно, имеет свое применение на практике. Так, например, алгоритм A* может использовать различные эвристики, чтобы находить путь минимальной стоимости в видеоиграх, а алгоритм Флойда — Уоршелла позволяет эффективно находить кратчайшие пути между всеми парами вершин в плотных графах и даже может использоваться в методе Шульца для определения победителя выборов. Однако, одной из областей, в которых алгоритмы поиска кратчайших путей получили наибольшие развитие и применение, являются компьютерные коммуникационные сети.

Эта статья Романа Климовицкого повествует о том, как возникают и решаются задачи такого типа в компании Qrator Labs.

Расширенная история одной стажировки

Вот уже несколько лет как Qrator Labs работает с различными университетами с целью найти студентов, заинтересованных во вполне определенных задачах, над которыми мы работаем. Студентам это помогает получить новый опыт или обозначить будущую карьерную тропу в области сетевой и, в общем, компьютерной инженерии. А Qrator Labs — найти потенциальных сотрудников.

На данный момент в составе Qrator Labs работают несколько сотрудников, пришедших со стажировки, в свою очередь начавшейся с участия в небольших проектах, курируемых разработчиками Qrator Labs в рамках университетского “инновационного практикума”. Конечно, далеко не все в итоге выбирают компьютерную инженерию в качестве области специализации: из 23 студентов, прошедших практику под нашим кураторством в 2019 и 2020 годах, лишь 9 были приглашены на стажировку. И только четверо из них стали нашими коллегами, что делает каждую такую историю особенной.

Измерение интенсивности трафика при помощи u-моделей

Введение

В одной из наших предыдущих публикаций мы рассказывали о способе измерения интенсивности потока событий при помощи счетчика на основе экспоненциального распада. Оказывается, идея такого счётчика имеет интересное обобщение.

Обзор счётчиков Морриса

Мы рады представить вам заметку, написанную инженером Qrator Labs Дмитрием Камальдиновым. Если вы хотите быть частью нашей команды Core и заниматься подобными задачами - пишите нам на hr@qrator.net.

1 Введение

При реализации потоковых алгоритмов часто возникает задача подсчёта каких-то событий: приход пакета, установка соединения; при этом доступная память может стать узким местом: обычный \(n\)-битный счётчик позволяет учесть не более \(2^n - 1\) событий.
Одним из способов обработки большего диапазона значений, используя то же количество памяти, является вероятностный подсчёт. В этой статье будет предложен обзор известного алгоритма Морриса, а также некоторых его обобщений.

Другой способ уменьшить количество бит, необходимое для хранения значения счётчика, — использование распада. Об этом подходе мы рассказываем здесь, а также собираемся в ближайшее время опубликовать ещё одну заметку по теме.

Мы начнём с разбора простейшего алгоритма вероятностного подсчёта, выделим его недостатки (раздел 2). Затем (раздел 3) опишем алгоритм, впервые преложенный Робертом Моррисом в 1978 году, укажем его важнейшие свойства и приемущества. Для большинства нетривиальных формул и утверждений в тексте присутствуют наши доказательства --- интересующийся читатель сможет найти их во вкладышах. В трёх последующих разделах мы изложим полезные расширения классического алгоритма: вы узнаете, что общего у счётчиков Морриса и экспоненциального распада, как можно уменьшить ошибку, пожертвовав максимальным значением, и как эффективно обрабатывать взвешенные события.

DDoS-атаки и BGP-инциденты первого квартала 2021

2021 начался на высокой ноте для компании Qrator Labs. 19 января мы отметили десятилетний юбилей. Вскоре после этого, в феврале, наша сеть нейтрализовала впечатляющую DDoS-атаку на 750 Гбит/с, основанную на старом и хорошо изученном векторе DNS-амплификации. Помимо этого, поток BGP-инцидентов не иссякает и некоторые из них становятся заметными аномалиями глобальной маршрутизации, для сообщения о которых мы даже завели специализированный Twitter-аккаунт.

Тем не менее, первый квартал этого года завершился и мы можем внимательнее изучить статистику DDoS-атак и BGP-инцидентов за январь - март 2021 года.

Защита от DDoS-атак в банках

Цели и задачи исследования

Целью настоящего исследования было изучить масштаб киберугроз и, в частности, угрозы DDoS-атак в российском финансовом секторе, а также оценить динамику бюджетов организаций на ИБ. В рамках исследования решались, в частности, следующие задачи:

изучение динамики угроз, с которыми сталкиваются российские банки;
оценка достаточности бюджетов на ИБ и их динамики в банках;
определение уровня проникновения средств защиты от DDoS в финансовом секторе.

Методика исследования

Работы в рамках настоящего исследования включали полевой опрос. Респондентам из финансового сектора предлагалось ответить на вопросы анкеты. Всего было опрошено 45 представителей крупных банков и финансовых организаций СМБ.

Ценность партнерских программ Qrator Labs

В чем заключается ценность участия в одной из партнерских программ Qrator Labs?

Мы твердо верим — работая вместе, можно добиться лучшего результата, нежели по отдельности. Это основная причина, по которой мы годами прикладывали усилия к построению осмысленных партнерских отношений с самыми разнообразными компаниями. Но на верхнем уровне все наши партнеры делятся на два типа. Первые хотят предоставить собственному потребителю первоклассную технологию защиты от DDoS-атак, разрабатываемую в Qrator Labs, вместе со всеми экосистемными продуктами и услугами. Вторые заинтересованы в том, чтобы предоставить продукт собственной разработки клиентам Qrator Labs, интегрировавшись в нашу сеть фильтрации.

Отчет о сетевой безопасности и доступности в 2020 году

Десять (с плюсом) лет в лабе

В начале 2021 года Qrator Labs отмечает собственный десятилетний юбилей. 19 января наша компания пройдет через формальную отметку 10 лет деятельности, войдя во вторую декаду существования.

Хотя, на самом деле, все началось несколько ранее - ~~когда в возрасте десяти лет Александр первый раз увидел Robotron K 1820~~ - в 2008 году, когда Александр Лямин - основатель и директор Qrator Labs, пришел с идеей к начальникам в МГУ, где на тот момент времени он работал сетевым инженером, о создании исследовательского проекта по нейтрализации DDoS-атак. Сеть МГУ тогда была одной из крупнейших в стране и, как мы знаем сейчас, это было лучшее место для того, чтобы посеять зерно будущей технологии.

Тогда администрация МГУ согласилась, и Александр перенёс собственное оборудование в университет, одновременно с этим собирая команду. Через два года, летом 2010, стало ясно, что проект успешен. Он принял на себя DDoS-атаку, превышающую емкость вышестоящего поставщика МГУ. И 22 июня боссы выдвинули ультиматум г-ну Лямину - закрываться или уходить.

Александр Лямин решил инкорпорироваться на свои собственные средства, что буквально значило за свои строить инфраструктуру с нуля. При этом изначальная архитектура сети должна быть распределенной вместо концентрированной, так как ресурсы последней бы точно не справились со столь специфической задачей.

В сентябре 2010 года первая площадка была введена в эксплуатацию.

Linux Switchdev по-мелланоксовски

Это транскрипция выступления прозвучавшего на Yandex NextHop 2020 — видео в конце страницы

Приветствую. Меня зовут Александр Зубков, я хочу рассказать про Linux Switchdev — что это такое и как мы с ним живем в Qrator Labs.

Web scraping вашего сайта: непрошеные гости и как их встречают

На первом в истории полностью виртуальном мероприятии РИТ++, прошедшем в конце мая, инженер Qrator Labs — Георгий Тарасов, рассказал публике про веб-скрейпинг, он же парсинг, популярным языком. Мы решили предоставить вашему вниманию транскрипцию выступления.

Как надо исправлять утечки маршрутов

Стоит оговориться, что нижеследующая история во многом уникальна.

И вот как она начиналась. В течение примерно одного часа, начиная с 19.28 UTC вчера, 1 апреля 2020 года, крупнейший российский интернет-провайдер — Ростелеком (AS12389) — начал анонсировать сетевые префиксы крупнейших игроков интернета: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и других известных имен. До того момента как проблема была решена пути между крупнейшими облачными провайдерами планеты были нарушены - Интернет "моргнул".

Данная утечка маршрута вполне успешно распространялась через провайдера Rascom (AS20764), откуда через Cogent (AS174) и, спустя еще несколько минут, через Level3 (AS3356) распространилась по всему миру. Утечка была настолько серьезной, что почти все Tier-1 операторы были задеты аномалией.

Технический бюллетень Qrator.Ingress

Основанная в 2009 году, компания Qrator Labs предоставляет услуги нейтрализации DDoS-атак и является

признанным экспертом в отрасли обеспечения непрерывной сетевой доступности. Команда Qrator Labs проводит исследования в области защиты от DDoS-атак с 2006 года и постоянно совершенствует алгоритмы, технологии и методы нейтрализации различных распределенных атак на отказ в обслуживании (DDoS).

В 2010 году компания запустила в работу собственную сеть фильтрации трафика Qrator в качестве технологической основы для коммерческой услуги, предлагающей защиту сетевых сервисов и ресурсов от подобных угроз. Алгоритмы и технологии, используемые для нейтрализации распределенных атак на отказ в обслуживании, являются фокусом и специализацией компании.

Оказывается, интернет-бизнес выживает в текущих условиях. Почему? Удаленка в ДНК

«В 1665 году Кембриджский университет закрылся из-за эпидемии чумы. Исааку Ньютону пришлось работать из дома. Он открыл дифференциальное и интегральное исчисление, а также закон всемирного тяготения».

К сожалению, мы живем в выдающееся время. С наступлением 2020 года и эпидемией COVID-19 сотрудники по всему миру закрываются дома на карантин, стараясь изо всех сил поддерживать нормальное течение жизни, а значит, и продолжать работать. Но есть одно отличие от всех предыдущих инфекционных пандемий, которые пережило человечество — в этот раз у нас есть Интернет.

Ежегодный отчет Qrator Labs о сетевой безопасности и доступности

Есть у нас в Qrator Labs такая традиция — в начале, а февраль это точно не конец, каждого года публиковать отчет о годе предыдущем.

Как и любая многолетняя сущность, она обрастает множеством сопутствующих историй. К примеру, уже стало «доброй» приметой, когда в начале января на наши корпоративные страницы заходит очередная DDoS-атака, которую мы не успеваем разобрать в отчете. 2020 год стал наполовину исключением — вектор атаки мы успели описать (TCP SYN-ACK-амплификация), но именно к нам, на qrator.net, гость пожаловал (и не один) только 18 января, зато сразу с гостинцами: 116 Gbps при 26 Mpps.

Стоит признаться, что пересказывать события ушедшего года — жанр специфический. Поэтому мы решили в процессе рефлексии сосредоточиться и на том, что будет происходить — в первую очередь с нашей командой и продуктом — в текущем году, так что не удивляйтесь читая о наших планах по разработке.

Начнём мы с двух самых интересных нам тем прошлого года: SYN-ACK-амплификации и BGP-«оптимизации».

Быстрый ENUM

tl;dr

github.com/QratorLabs/fastenum

pip install fast-enum

Зачем нужно перечисление (enum)

(если вы все знаете — опуститесь до секции «Перечисления в стандартной библиотеке»)

Представьте, что вам нужно описать набор всех возможных состояний сущностей в собственной модели базы данных. Скорее всего, вы возьмёте пачку констант, определенных прямо в пространстве имен модуля:

# /path/to/package/static.py:
INITIAL = 0
PROCESSING = 1
PROCESSED = 2
DECLINED = 3
RETURNED = 4
...

… или как статические атрибуты класса:

class MyModelStates:
  INITIAL = 0
  PROCESSING = 1
  PROCESSED = 2
  DECLINED = 3
  RETURNED = 4

Такой подход поможет сослаться на эти состояния по мнемоническим именам, в то время как в вашем хранилище они будут представлять собой обычные целые числа. Таким образом вы одновременно избавляетесь от магических чисел, разбросанных по разным участкам кода, заодно делая его более читабельным и информативным.

Однако, и константа модуля, и класс со статическими атрибутами страдают от внутренней природы объектов Python: все они изменяемы (мутабельны). Можно случайно присвоить значение своей константе во время выполнения, а отладка и откат сломанных объектов — отдельное приключение. Так что вы можете захотеть сделать пачку констант неизменяемыми в том смысле, что количество объявленных констант и их значения, на которые они отображаются, не будут изменяться во время выполнения программы.

Как работает криптография на основе эллиптических кривых в TLS 1.3

Пара предупреждений читателю:

Для того, чтобы (насколько это возможно) упростить процесс объяснения и сжать объем публикации, стоит сразу же сделать ключевую оговорку - все, что мы пишем, касаемо практической стороны рассматриваемой проблематики, корректно для протокола TLS версии 1.3. Это значит, что хотя ваш ECDSA сертификат и будет, при желании, работать с TLS 1.2, описание процесса хендшейка, наборов шифров и бенчмарков сделано на основании последней версии протокола TLS - 1.3. Как вы понимаете, это не относится к математическому описанию алгоритмов, лежащих в фундаменте современных криптографических систем.

Данный материал был написан не математиком и даже не инженером - хотя они и помогали проложить дорожку сквозь математические дебри. Огромная благодарность сотрудникам Qrator Labs.

(Elliptic Curve) Diffie-Hellman (Ephemeral)

Наследие Диффи — Хеллмана в XXI веке Естественным образом, данная тема начинается не с Уитфилда Диффи и не с Мартина Хеллмана. Алан Тьюринг и Клод Шеннон сделали огромный вклад в теорию алгоритмов и теорию информации, равно как и в область криптоанализа. Диффи и Хеллман, в свою очередь, официально признаются авторами идеи криптографии с публичным ключом (также называемой асимметричной) - хотя теперь известно, что в Великобритании были также достигнуты серьезные результаты в этой области. Однако они оставались засекреченными длительное время - что делает двух джентльменов, упомянутых в подзаголовке, первопроходцами.

В чем именно?

Исследование Устойчивости Национальных Сегментов Интернета за 2019

Данное исследование объясняет, каким образом отказ одной автономной системы (AS) влияет на глобальную связность отдельного региона, особенно в том случае, когда речь идет о крупнейшем провайдере интернета (ISP) данной страны. Связность интернета на сетевом уровне обусловлена взаимодействием между автономными системами. По мере увеличения количества альтернативных маршрутов между AS возникает устойчивость к отказам и повышается стабильность интернета в данной стране. Однако некоторые пути становятся более важными, по сравнению с остальными, и наличие как можно большего числа альтернативных маршрутов в итоге является единственным способом обеспечить надежность системы (в смысле AS).

Глобальная связность любой AS, независимо от того, представляет ли она второстепенного поставщика интернета или международного гиганта с миллионами потребителей услуг, зависит от количества и качества его путей к Tier-1 провайдерам. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам. Тем не менее, внутри данного элитного клуба нет обязательства поддерживать такую связь. Только рынок может придать мотивацию таким компаниям безоговорочно соединяться друг с другом, обеспечивая высокое качество обслуживания. Достаточный ли это стимул? Мы ответим на этот вопрос ниже — в секции, посвященной связности IPv6.

Если провайдер интернета теряет связь хотя бы с одним из собственных Tier-1 соединений, он, вероятнее всего, окажется недоступен в некоторых частях Земли.

Измерение надежности интернета

Представьте, что AS испытывает значительную сетевую деградацию. Мы ищем ответ на следующий вопрос: «Какой процент AS в этом регионе может потерять связь с Tier-1 операторами, тем самым утратив глобальную доступность»?

Система управления конфигурацией сети фильтрации Qrator

TL;DR: Описание клиент-серверной архитектуры нашей внутренней системы управления конфигурацией сети, QControl. В основе лежит двухуровневый транспортный протокол, работающий с упакованными в gzip сообщениями без декомпрессии между эндпойнтами. Распределенные роутеры и эндпойнты получают конфигурационные апдейты, а сам протокол позволяет установку локализованных промежуточных релеев. Система построена по принципу дифференциального бэкапа (“recent-stable”, объясняется ниже) и задействует язык запросов JMESpath вместе с шаблонизатором Jinja для рендера конфигурационных файлов.

Qrator Labs управляет глобально распределенной сетью нейтрализации атак. Наша сеть работает по принципу anycast, а подсети анонсируются посредством BGP. Будучи BGP anycast-сетью, физически расположенной в нескольких регионах Земли мы можем обработать и отфильтровать нелегитимный трафик ближе к ядру интернета — Tier-1 операторам.

С другой стороны, быть географически распределенной сетью непросто. Коммуникация между сетевыми точками присутствия критически важна для провайдера услуг безопасности, для того чтобы иметь согласованную конфигурацию всех узлов сети, обновляя их своевременным образом. Поэтому с целью предоставить максимальный возможный уровень основной услуги для потребителя нам необходимо было найти способ надежно синхронизировать конфигурационные данные между континентами.

В начале было Слово. Оно быстро стало коммуникационным протоколом, нуждающимся в апдейте.

Что-что случится 1 февраля 2020 года?

TL;DR: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать.

Это продолжение поста «Что-что случится 1 февраля?» от 24 января 2019 г. Читателю рекомендуется бегло ознакомиться с первой частью истории, дабы понимать контекст.

Вид на улицу Бангкока

Бангкок, вообще, место на любителя. Конечно, там тепло, дёшево, и кухня интересная, и визы половине населения Земли туда не нужно получать заблаговременно, однако к запахам надо ещё привыкнуть, а городские улицы заставляют в лучшем случае вспомнить классику киберпанка.

В частности, пейзаж слева наблюдается недалеко от центра столицы Таиланда, через одну улицу от отеля Shangri-La, где 12-13 мая прошло 30-е собрание организации DNS-OARC, некоммерческой организации, занимающейся вопросами безопасности, стабильности и развития системы доменных имён DNS.

Слайды из программы DNS-OARC 30 в принципе рекомендуются к изучению всем, кого интересует работа DNS, однако самое, пожалуй, интересное — это то, чего в слайдах не было. А именно, 45-минутный круглый стол с обсуждением результатов DNS Flag Day, случившегося 1 февраля 2019 года.

А самое интересное в круглом столе — решение, что практика DNS Flag Day будет продолжена.

Мы включили TLS 1.3. Почему вам стоит сделать то же самое

В начале года, в отчете о проблемах и доступности интернета за 2018-2019 мы уже писали, что распространение TLS 1.3 неизбежно. Некоторое время назад мы сами развернули версию 1.3 протокола Transport Layer Security и, после сбора и анализа данных, наконец, готовы рассказать об особенностях этого перехода.

Председатели рабочей группы IETF TLS пишут:
«Вкратце, TLS 1.3 должен предоставить фундамент более безопасного и эффективного Интернета на следующие 20 лет».

Разработка TLS 1.3 заняла долгих 10 лет. Мы в Qrator Labs, вместе со всей остальной отраслью, внимательно следили за процессом создания протокола от первоначального проекта. За это время потребовалось написать 28 последовательных версий черновика для того, чтобы в конечном счёте в 2019 году свет увидел сбалансированный и удобный в развертывании протокол. Активная поддержка TLS 1.3 рынком уже очевидна: внедрение проверенного и надежного протокола безопасности отвечает требованиям времени.

По словам Эрика Рескорлы (технического директора Firefox и единственного автора TLS 1.3) в интервью The Register:

«Это полная замена TLS 1.2, использующая те же ключи и сертификаты, поэтому клиент и сервер могут автоматически общаться по TLS 1.3, если оба его поддерживают», — сказал он. «Уже есть хорошая поддержка на уровне библиотек, а Chrome и Firefox по умолчанию включают TLS 1.3».

Все очень плохо или новый вид перехвата трафика

13 марта в рабочую группу RIPE по борьбе со злоупотреблениями поступило предложение рассматривать BGP-перехват (hjjack) в качестве нарушения политики RIPE. В случае принятия предложения интернет-провайдер, атакованный с помощью перехвата трафика, получал бы возможность отправить специальный запрос для вывода злоумышленника на чистую воду. Если экспертная группа соберет достаточно подтверждающих доказательств, то такой LIR, являющийся источником BGP-перехвата, считался бы нарушителем и мог быть лишен статуса LIR. Были и некоторые аргументы против такого изменения.

В данной публикации мы хотим показать пример атаки, когда не только настоящий злоумышленник был под вопросом, но и весь список пострадавших префиксов. Более того, такая атака вновь поднимает вопросы по поводу мотивов будущих перехватов трафика такого типа.

Архитектура Рунета

Как знают наши читатели, Qrator.Radar неустанно исследует глобальную связность протокола BGP, равно как и региональную. Так как "Интернет" является сокращением от "interconnected networks" - "взаимосвязанных сетей", наилучшим способом обеспечения высоких качества и скорости его работы является богатая и разнообразная связность индивидуальных сетей, чье развитие мотивировано в первую очередь конкуренцией.

Отказоустойчивость интернет-соединения в любом отдельно взятом регионе или стране связана с количеством альтернативных маршрутов между автономными системами - AS. Однако, как мы уже неоднократно писали в наших исследованиях национальной устойчивости сегментов глобальной сети, некоторые пути становятся более важными по-сравнению с остальными (например, пути до Tier-1 транзитных провайдеров или AS, на которых размещены авторитативные DNS-серверы) - это значит, что наличие как можно большего числа альтернативных маршрутов в итоге является единственным жизнеспособным способом обеспечить надежность системы (в смысле AS).

В этот раз, мы поближе посмотрим на устройство интернет-сегмента Российской Федерации. Есть причины не сводить глаз с данного сегмента: согласно данным, которые предоставляет база данных регистратора RIPE, к РФ относится 6183 AS из 88664 зарегистрированных глобально, что составляет 6,87%.

Такой процент ставит Россию на второе место в мире по данному показателю, сразу после США (30,08% зарегистрированных AS) и перед Бразилией, владеющей 6,34% всех автономных систем. Эффекты, которые возникают вследствие изменений российской связности, могут наблюдаться в других странах, зависимых от или примыкающих к данной связности и, наконец, на уровне почти любого интернет-провайдера.

БД ClickHouse в нейтрализации DDoS

Двухуровневая схема фильтрации трафика с машинным обучением

На высоком уровне сервис фильтрации Qrator состоит из двух уровней: на первом мы незамедлительно оцениваем, если определенный запрос является злонамеренным с помощью проверок с сохранением состояния и без и, на втором, принимаем решение о том, задержать ли источник в черном списке и на какой срок. Получающийся в итоге черный список может быть представлен в виде уникальной таблицы IP-адресов.

Отчет о проблемах и доступности интернета в 2018-2019 годах

В этом году при написании итогового документа о работе компании за год, мы решили отказаться от пересказа новостей, и хотя полностью избавиться от воспоминаний о произошедшем не удалось, нам хочется поделиться с тобой тем, что все таки получилось сделать — собрать мысли воедино и обратить взор туда, где мы непременно окажемся в самое ближайшее время — в настоящее.

Без лишних предисловий, ключевые выводы за прошлый год:

Средняя длительность DDoS-атак упала до 2,5 часов;
2018 год показал наличие вычислительной силы, способной генерировать атаки интенсивностью сотни гигабит в секунду внутри одной страны или региона, подводя нас к краю «квантовой теории относительности пропускной способности»;
Интенсивность DDoS-атак продолжает расти;
Вместе с одновременным ростом доли атак с использованием HTTPS (SSL);
Персональные компьютеры мертвы — большая часть современного трафика генерируется на мобильных устройствах, представляя собой задачу для организаторов DDoS и следующий вызов для компаний, занимающихся защитой сетей;
BGP наконец стал вектором атаки, на 2 года позже ожидаемого нами срока;
Манипуляции DNS по прежнему являются наиболее разрушительным вектором атаки;
Мы ожидаем появления новых амплификаторов в будущем, таких как memcached и CoAP;
«Тихих гаваней» в интернете больше не существует и все отрасли одинаково уязвимы перед кибератаками любого рода.

Под катом мы собрали наиболее интересные части отчета в одном месте, ознакомиться же с полной версией можно по ссылке. Приятного прочтения.

«Два нефильтрованных» или легкий способ прострелить ногу

Уже несколько раз в отчетах об инцидентах маршрутизации мы рассказывали о возможных последствиях отсутствия фильтров BGP-анонсов на стыках с клиентами. Подобная, некорректная, конфигурация большую часть времени будет работать совершенно нормально — до тех пор, пока в один прекрасный день не станет виновной в сетевой аномалии регионального или глобального масштаба. И позавчера, 25.11.2018, это случилось снова — на этот раз в России.

В 13.00 UTC (16:00 по московскому времени) небольшой российский оператор Krek Ltd (AS57494) начал анонсировать префиксы между своими провайдерами, в результате перенаправив значительную часть трафика Ростелекома на свою сеть. Аномалия затронула более 40 тысяч префиксов — выдержать такую нагрузку сеть Krek, конечно, не могла. В результате от 10 до 20% пользователей на территории РФ потеряли доступ к тысячам сервисов, включая такие популярные как Amazon, Youtube, Вконтакте и онлайн-кинотеатру IVI.RU.

Ускорение SQLAlchemy для архитектурных космонавтов

Это доклад инженера-программиста Алексея Старкова на конференции Moscow Python Conf++ 2018 в Москве. Видео в конце поста.

Всем привет! Меня зовут Алексей Старков — это я, в свои лучшие годы, работаю на заводе.
Теперь я работаю в Qrator Labs. В основном, всю свою жизнь, я занимался C и C++ — люблю Александреску, «Банду Четырех», принципы SOLID — вот это всё. Что и делает меня архитектурным космонавтом. Последние пару лет пишу на Python, потому что мне это нравится.

Собственно, кто такие «архитектурные космонавты»? Первый раз я встретил данный термин у Джоэля Спольски, вы наверное его читали. Он описывает «космонавтов», как людей, которые хотят построить идеальную архитектуру, которые навешивают абстракцию, над абстракцией, над абстракцией, которая становится все более и более общей. В конце концов, эти уровни идут так высоко, что описывают все возможные программы, но не решают никаких практических задач. В этот момент у «космонавта» (это последний раз, когда данный термин окружен кавычками) кончается воздух и он умирает.

Я тоже имею тенденции к архитектурной космонавтике, но в этом докладе я расскажу немного о том, как это меня укусило и не позволило построить систему с необходимой производительностью. Главное — как я это поборол.

Краткое содержание моего доклада: было / стало.

ENOG 15: «Почему Интернет до сих пор онлайн?»

Это — одновременно транскрипция и частичный перевод часовой сессии под названием «Почему Интернет до сих пор онлайн?» с пятнадцатой встречи «Евразийской группы сетевых операторов».

Qrator Labs благодарит всех участников обсуждения: Алексея Семеняку, RIPE NCC; Игнаса Багдонаса, Equinix; Мартина Дж. Леви, Cloudflare; Александра Азимова, Qrator Labs и модератора Алексея Учакина из команды подкаста LinkmeUp за разрешение опубликовать данный текст.

В данном обсуждении участвуют сетевые инженеры-исследователи, поэтому разговор идет в основном о междоменной маршрутизации. Видео в конце публикации. Приятного прочтения.

Алексей Учакин: Всем привет, меня зовут Алексей, команда LinkmeUp — первый подкаст для связистов. За меня, на самом деле, коллега из Qrator Labs очень много рассказал о том, как защищаться от спуфинга, но я хотел бы поговорить, на самом деле, более широко. Потому что интернет – это штука безусловно децентрализованная и создавалась, в том числе, для того, чтобы выжить после ядерного взрыва, но, как показывает практика, обладая дешевым оборудованием и не имея прав на настройку BGP, можно это все очень успешно поломать. Поэтому я хотел сегодня вместе с экспертами обсудить, как от этого защищаться, как это мониторить и что со всем этим делать.

Сегодня участвуют: Александр Азимов — Qrator Labs, Алекс Семеняка — RIPE NCC, Игнас Багдонас — Equinix и Мартин Дж. Леви — Cloudflare. Собственно, коллеги, первое, с чего хотелось бы начать, первый вопрос: насколько сейчас интернет защищен от того, что условно маленький региональный оператор начнет вдруг анонсировать префиксы условного Google, Яндекс или кого-либо. Есть ли какая-нибудь оценка того, как сейчас с этим дело обстоит?

Wrong, wrong, WRONG! methods of DDoS mitigation

Это транскрипция выступления CTO Qrator Labs Тёмы ximaera Гавриченкова на RIPE77 в Амстердаме. Его название мы не смогли перевести на русский с сохранением смысла, а потому решили посодействовать Хабру в выходе на англоязычный рынок и оставили все, как есть

Это цитата одной из моих любимых групп. Дэйв Гаан из Depeche Mode — живое доказательство того, что можно произнести слово “wrong” 65 раз за 5 минут и все равно оставаться рок-звездой. Давайте посмотрим, получится ли у меня.

Генерация трафика в юзерспейсе

Генерация трафика посредством MoonGen + DPDK + Lua в представлении художника

Генерация трафика посредством MoonGen + DPDK + Lua в представлении художника

Нейтрализация DDoS-атак в реальных условиях требует предварительных тестирования и проверки различных техник. Сетевое оборудование и ПО должно быть протестировано в искусственных условиях близких к реальным — с интенсивными потоками трафика, имитирующего атаки. Без таких экспериментов крайне затруднительно получить достоверную информацию о специфических особенностях и ограничениях, имеющихся у любого сложного инструмента.

В данном материале мы раскроем некоторые методы генерации трафика, используемые в Qrator Labs.

ПРЕДУПРЕЖДЕНИЕ

Мы настойчиво рекомендуем читателю не пытаться использовать упомянутые инструменты для атак на объекты реальной инфраструктуры. Организация DoS-атак преследуется по закону и может вести к суровому наказанию. Qrator Labs проводит все тесты в изолированном лабораторном окружении.

Исследование устойчивости национальных сегментов сети Интернет за 2018 год

Данное исследование объясняет каким образом отказ одной автономной системы (AS) влияет на глобальную связность отдельного региона, особенно в том случае, когда речь идет о крупнейшем провайдере интернета (ISP) данной страны. Связность интернета на сетевом уровне обусловлена взаимодействием между автономными системами. По мере увеличения количества альтернативных маршрутов между AS возникает устойчивость к отказам и повышается стабильность интернета в данной стране. Однако, некоторые пути становятся более важными по-сравнению с остальными и наличие как можно большего числа альтернативных маршрутов в итоге является единственным жизнеспособным способом обеспечить надежность системы (в смысле AS).

Глобальная связность любой AS, независимо от того, представляет ли она второстепенного поставщика интернета или международного гиганта с миллионами потребителей услуг, зависит от количества и качества его путей к Tier-1 провайдерам. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам. Тем не менее, внутри данного элитного клуба нет обязательства поддерживать такую связь. Только рынок может придать мотивацию таким компаниям безоговорочно соединяться друг с другом, обеспечивая высокое качество обслуживания. Достаточный ли это стимул? Мы ответим на этот вопрос ниже — в секции, посвященной связности IPv6.

Если провайдер интернета теряет связь с хотя бы одним из собственных Tier-1 соединений, он, вероятнее всего, окажется недоступен в некоторых частях Земли.

Краткие факты TL;DR:
Румыния и Люксембург вышли из топ 20 с 11-го и 20-го места, соответственно, по итогам 2017 года;
Сингапур прыгнул на 18 мест до 5-й позиции;
Гонконг упал на 13 мест до 15 позиции;
Нидерланды вошли в топ 20 на 17-ю позицию;
18 из 20 стран остались в топ 20 по сравнению с прошлым годом.

QUIC, TLS 1.3, DNS-over-HTTPS, далее везде

Это транскрипция доклада Артема ximaera Гавриченкова, прочитанного им на BackendConf 2018 в рамках прошедшего фестиваля РИТ++.

— Здравствуйте!

В названии доклада приведён длинный список протоколов, мы по нему пройдемся постепенно, но давайте начнем с того, чего в названии нет.

Это (под катом) заголовок одного из блогов, в интернете вы могли таких заголовков видеть очень много. В том посте написано, что HTTP/2 — это не какое-то отдаленное будущее, это наше настоящее; это современный протокол, разработанный Google и сотнями профессионалов из многих продвинутых компаний, выпущенный IETF в качестве RFC в далеком 2015 году, то есть уже 3 года назад.

Стандарты IETF воспринимаются индустрией, как такие железобетонные документы, как могильная плита, фактически.

Четыре факта о memcached-амплификации

Это перевод оригинальной публикации Артема ximaera Гавриченкова «Understanding the facts of memcached amplification attacks», опубликованной в блоге APNIC (Азиатско-Тихоокеанский сетевой информационный центр).

Неделя с 25 февраля по 3 марта была высокоинтенсивной с точки зрения memcached-амплифицированных DDoS-атак во всех уголках мира, то есть в интернете.

Тем не менее, давайте еще раз вспомним все факты, которые нам известны об амплифицированных атаках.

Годовой отчет по кибер- и инфобезопасности за 2017 год

Мы бы хотели представить тебе краткую версию годового отчета по кибер- и инфобезопасности за 2017 год, написанный нами совместно с главным партнером — Wallarm, предоставившим информацию по наиболее заметным уязвимостям и взломам.

В 2017 году компании Qrator Labs и Wallarm отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем для практически любой организации. И все большее количество инструментов может работать автоматически, делая централизованное управление излишним.

Если 2016 год можно назвать годом ботнетов и терабитных атак, то 2017 год был годом сетей и маршрутизации. Такие инциденты как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и «Ростелекомом» в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческими факторами, основанные на бесхозяйственности и недостаточной автоматизации процессов. Храбрый инженер, уверенно останавливающий важный автоматический сценарий, может создать серьезные проблемы в доступности сетевых ресурсов.

Динамика количества атак за 2016–2017 гг

Обновлено: Амплифицированные memcached DDoS-атаки на 500 Гбит/с прокатились по всей Европе

Давным-давно в далеком-далеком git-репозитории Брайаном Акером был сделан коммит, внедряющий замечательную фичу прослушивания UDP трафика в установке memcached по умолчанию.

А между 23 и 27 февраля 2018 года по всей Европе прокатилась волна memcached-амплифицированных DDoS атак.

Угрозы прошлого и протоколы будущего

Как многие из читателей блога Qrator Labs, вероятно, уже знают, DDoS-атаки могут быть нацелены на разные уровни сети. В частности, наличие у злоумышленника крупного ботнета позволяет ему осуществлять атаки на уровень L7 (application/прикладной) и пытаться мимикрировать под нормального пользователя, в то время как без оного атакующий вынужден ограничиваться пакетными атаками (любыми, позволяющими подделывать адрес источника на том или ином этапе) на нижележащие уровни транзитных сетей.

Естественно, и для первой, и для второй задачи атакующие обычно стремятся использовать какой-то уже существующий инструментарий – ровно так же, как, например, разработчик веб-сайта не пишет его полностью с нуля, а использует распространённые фреймворки вроде Joomla и Bootstrap. Например, популярным фреймворком для организации атак с Интернета вещей уже полтора года является Mirai, чей исходный код был выложен в открытый доступ его авторами в попытке стряхнуть с хвоста ФБР еще в октябре 2016-го.

А для пакетных атак таким популярным фреймворком является встроенный в Linux модуль pktgen. Его туда встраивали не для этого, а для вполне легитимных целей сетевого тестирования и администрирования, однако, как писал Исаак Азимов, «атомный бластер — хорошее оружие, но он может стрелять в обе стороны».

Измерения как путь к открытости

Сегодня все мы живем в мире «подобного». Подобных услуг IP-транзита, нейтрализации DDoS, в общем и целом практически любому цифровому сервису можно найти аналогичный. То есть факт — на рынке существует множество поставщиков услуг. И при сравнении предлагаемых ими услуг между собой у потенциального клиента зачастую небольшой круг возможностей. В итоге потребитель вынужден сравнивать между собой исключительно маркетинговые материалы разных компаний, то есть фактически собственные интерпретации компаний по поводу своих же услуг. Это, как минимум, странно и далеко от объективного сравнения даже по такому простому соотношению как «цена/качество».

Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.

Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.

Не фича, но баг

22 декабря 2017 года — ВКонтакте выкатила интересный апгрейд собственного iOS-приложения. Вот цитата новостного агентства, касающаяся конкретных изменений:

В новой версии «ВКонтакте» для iOS и Android появилась поддержка Accelerated Mobile Pages (AMP) — мобильного стандарта, который позволяет быстро загружать внешние статьи. Теперь страницы всех сайтов, которые настроили AMP, открываются прямо внутри приложения.

(официальная новость)