Wielki atak na sieć Orange

W sieci Orange Polska odnotowano rekordowy atak DDoS, który osiągnął szczytowo 1,5 Tb/s oraz 134,5 mln pakietów na sekundę. Incydent miał miejsce 24 grudnia, a jego skala pobiła poprzedni rekord z maja tego samego roku. Wybór terminu nie był przypadkowy, ponieważ okres świąteczny zwykle oznacza mniejsze obsady operacyjne w zespołach bezpieczeństwa, a jednocześnie duże obciążenie sieci legalnym ruchem.

Atak był wymierzony w pojedynczy adres IP. Celem mógł być w praktyce dowolny użytkownik działający „za” tym adresem. W tym modelu ofiara nie musi utrzymywać własnych usług publicznych ani infrastruktury, aby stać się obiektem uderzenia, ponieważ wystarczy jedno wskazanie konkretnego punktu końcowego.

Z technicznego punktu widzenia był to klasyczny atak wolumetryczny, którego celem jest wyczerpanie dostępnej przepustowości. Zastosowano równolegle kilka technik, w tym IP Fragmentation, Total Traffic Flood, DNS Flood, UDP Flood oraz NetBIOS Amplification.

Ataki liczone w setkach gigabitów stają się codziennością, a poziom terabitów na sekundę coraz częściej pojawia się również w sieciach krajowych, a nie wyłącznie u największych, globalnych operatorów i dostawców usług.

DDoS-y są często bagatelizowane, bo nie kojarzą się z kradzieżą danych, szyfrowaniem systemów ani trwałymi śladami w infrastrukturze. Jeśli mitygacja zadziała, z perspektywy użytkownika „nic się nie stało”, co może prowadzić do błędnego wniosku, że zagrożenia nie było.

Brak widocznych skutków jest w tym przypadku dowodem skuteczności ochrony po stronie operatora, a nie argumentem, że DDoS nie stanowi istotnego ryzyka.

Orange Polska wskazuje, że krajobraz takich ataków stale się zmienia i wymaga ciągłego monitorowania oraz dostosowywania narzędzi i architektury do rosnących wolumenów i nowych metod uderzeń.