Отчет о прошедшей DDoS атаке на сеть Мастернод Dash.

DDoS атака сети Dash, в результате которой около 12% Мастернод были выключены, закончилась. В нашем отчете вы прочтете больше про атаку, а так же узнаете, как защитить свою Мастерноду.

Предыстория.

7 марта в 16:17 UTC началась DDoS-атака на сеть Мастернод сети Dash, которая была проведена примерно с 2000 IP-адресов из Азии. Атака содержала сочетание протоколов SYN-Flood, UDP и протоколов, таких как sFlow и GRE.

Во время первой волны большинство у Мастернод были перегружены CPU, и забивалась пропускная способность, из-за чего выло выведено из строя около 100 нод. Сначала мы полагали, что эти узлы были «слабыми» узлами сети, но дальнейшая проверка показала, что это далеко не так. Например, более сильные сервера были выведены из строя чрезмерного количества отправленных пакетов данных. Все это показало важность необходимых мер, направленных на защиту каждого узла сети.

После первой волны атаки, когда владельцы Мастернод начали разворачивать iptable rulesets для противодействия атакам, мы начали замечать вторую большую волну трафика. Нападавшие продолжали использовать не только SYN-Floods, но и пытались исчерпать максимально допустимое количество подключений демона Dash Core в надежде парализации программного обеспечения и прерывания возможности обрабатывать данные протокола Dash.

Вторая атака была более явной, поэтому начали автоматически срабатывать некоторые системы защиты от DDoS атак, но, несмотря на это, было выведено из строя еще примерно 400 узлов сети (общее количество которых выросло до 500).

До начала атаки активны были 4030 нод, на пике второй атаки их число уменьшилось до 3550. Это значит, что злоумышленники сумели отключить 11,9% всей сети Мастернод.

Хроника событий.

Ниже представлена полная хронология событий атаки на сеть узлов Dash.

Время (UTC) --- Событие
16:17 07.03.17 Увеличение нагрузки на сеть мастернод
16:29 07.03.17 Начался более тщательный анализ DDoS
22:30 07.03.17 Обнаружено снижение активности первой волны, мониторинг продолжается
23:33 07.03.17 Опубликована информация об атаке и рекомендации по ее ликвидации.
02:31 08.03.17 Обнаружена вторая волна атаки
03:53 08.03.17 DDoS атака ослабевает

Количество мастернод:
Время (UTC)---Число Мастернод---Примечание
17:30 07.03.17 - 4030 - Спустя час после атаки
21:23 07.03.17 - 3924 - Спустя 5 часов после атаки
04:32 08.03.17 - 3710 - Спустя 12 часов после атаки
10:36 08.03.17 - 3550 - Спустя 18 часов после атаки
00:30 09.03.17 - 3848 - Спустя 32 часа после атаки, восстановление

Количество подключений.

Ниже приведены два графика, которые наглядно иллюстрируют, что произошло в сети. На графике слева показано количество Мастренод во время атаки. Количество узлов сети перед атакой (4030) и во время атаки (3550). График справа показывает количество подключений, которые были видны во время атаки. Обычно узлы настроены на принятие запросов от 8 до 25 других одноранговых узлов, во время атаки же почти все слоты для соединения были заняты, даже в если узел был настроен на подключение большего количества соединений.

Отчет о прошедшей DDoS атаке на сеть Мастернод Dash.

Приостановка сервисов.

Во время атаки, два сервиса (биржи Poloniex и Exmo) произвели приостановку работы Dash-услуг на несколько часов из-за «сетевых проблем» (об этом сразу сообщили пользователи). Другие сервисы, а так же обработка данных, обработка транзакций, InstandSend и PrivateSend работали в штатном режиме. Средства пользователей не были затронуты.

Предлагаемые решения проблемы.

Один из основных разработчиков (Chaeplin) создал iptables ruleset для операторов мастернод, полученных на основе данных прошедшей атаки.
Команда Dash рекомендует, чтобы все операторы мастернод ознакомились с этими данными и сделали необходимые корректировки.

Улучшение кода Dash.

Dash Core базируется на коде Bitcoin, который имеет очень надежный сетевой код. Однако команда Dash изучает возможные пути его улучшения на основе данных, собранных во время атаки.

Усвоенные уроки.

К сожалению или к счастью, но скучно в Dash не бывает. В прошлом месяце был успешно произведен хард форк с существенными улучшениями в протоколе, произошло удвоение рыночной капитализации, и вот теперь произошла первая DDoS атака на сеть. Рекомендуется всем владельцам Мастернод, чьи узлы были затронуты, внимательно оценить причину отказа узла, перейти на более мощный VPS или обновить план хостинга, если это необходимо для обеспечения бесперебойной работы узла.

Так как атака отключила и относительно мощные узлы, стоит помнить всем владельцам нод, что в будущем нужно быть очень осмотрительным. Учитывая, что с новым курсом доход владельцев нод составляет примерно 350 долларов в месяц, что позволит выделить больше средств для обеспечения безопасности.

Команда Dash, а так же редакция Digex.club хотел поблагодарить сообщество Dash Nation за их помощь во время атаки, которая может быть всего лишь разведкой перед более крупной атакой, поэтому все должны обеспокоиться дополнительной защитой узлов сети. Если у вас или у кого-то из знакомых возникли проблемы, настоятельно рекомендуется присоединиться к Dash Forum или Dash Nation Slack, где многие люди готовы помочь вам правильно настроить вашу мастерноду.

Благодарности за аналитику: Jeff Smith, Andy Freer, Chaeplin, Crowning, Holger Schinzel, Moocowmoo, Timothy Flynn and UdjinM6

Источник: dash.org

Авторизируйтесь, чтобы иметь возможность комментировать

Комментарии (0)