Zabezpieczenie 12 serwerów przed atakami DDoS o sile 80 Gbps

Wyzwanie

Biuro mierzyło się z serią ataków typu UDP flood, które całkowicie zapychały łącze 1 Gbps. Każdy z trzech dużych incydentów w pierwszej połowie listopada wyłączał pracę na średnio 4.73 godziny. Dla firmy oznaczało to przestój, którego koszt wynosił około 4 200 PLN za każdą godzinę braku dostępu do serwerów plików BIM.

Standardowe systemy ochrony u dostawcy internetu nie radziły sobie z dynamiczną zmianą wektorów ataku. Napastnicy uderzali bezpośrednio w adresy IP bramy sieciowej. Paraliżowało to nie tylko dostęp do danych projektowych, ale też wewnętrzną pocztę oraz systemy telefonii VOIP, co odcinało firmę od klientów w kluczowych momentach oddawania projektów.

Podejście

Nasz dwuosobowy zespół techniczny rozpoczął od szczegółowej analizy logów z 14 listopada. Wykryliśmy, że ataki pochodziły z rozproszonego botnetu, który symulował ruch z 47 różnych krajów. Zamiast kupować drogi sprzęt fizyczny, zdecydowaliśmy się na zmianę architektury routingu brzegowego.

Wprowadziliśmy system Anycast IP, który rozdziela ruch na nasze węzły filtrujące w Warszawie i Frankfurcie. Zespół Archiprojekt nie musiał zmieniać konfiguracji swoich stacji roboczych ani oprogramowania CAD. Zmieniliśmy jedynie sposób, w jaki świat widzi ich sieć, przepuszczając dane przez nasze filtry czyszczące pakiety w czasie rzeczywistym.

Rozwiązanie

Wdrożyliśmy hybrydowy model czyszczenia ruchu, który automatycznie odcina pakiety o charakterystyce DDoS w mniej niż 28 sekund od startu ataku. Skonfigurowaliśmy sesje BGP (Border Gateway Protocol) z nowymi trasami, dzięki czemu ruch "czysty" trafia bezpośrednio do 12 serwerów biura, a pakiety śmieciowe są utylizowane na poziomie naszych centrów danych.

Dodatkowo uruchomiliśmy dla klienta panel monitoringu Grafana, który pokazuje obciążenie łącza z dokładnością do 5 sekund. System chroni teraz całą podsieć biura, w tym 3 serwery bazodanowe SQL, które wcześniej były najbardziej wrażliwe na ataki volumetriczne. Całość działa w oparciu o reguły BGP Flowspec, co pozwala na błyskawiczną reakcję bez angażowania administratora po stronie klienta.

Rezultaty

Od momentu zakończenia prac 19 grudnia 2024 roku, biuro nie odnotowało ani jednej minuty przestoju z powodu problemów sieciowych. Infrastruktura wytrzymała od tego czasu jeden realny atak o sile 83 Gbps, który trwał 14 minut, oraz dwa mniejsze uderzenia, które zostały wycięte automatycznie bez wiedzy użytkowników końcowych.

Harmonogram

1. 14 Listopada 2024
   Analiza logów po krytycznym ataku i audyt topologii sieci.
2. 22 Listopada 2024
   Konfiguracja sesji BGP i uruchomienie węzłów filtrujących Anycast.
3. 05 Grudnia 2024
   Kontrolowane testy obciążeniowe i symulacje ataków UDP flood.
4. 19 Grudnia 2024
   Przekazanie panelu monitoringu i dokumentacji technicznej.