DDoS от Google? Легко

в 20:50, , рубрики: информационная безопасность

Всем привет, ситуация начала развиваться вчера вечером (05.11.18), у моей знакомой неожиданно «отвалились» все сервисы Google: поисковик, gmail, google drive, youtube. Полез в ее mikrotik, оказалось с IP Google сервисов шла настоящая DDos атака по Input, т.е. на сам роутер 0_0. Я был в дороге, но была возможность поработать со своим домашним роутером, стал изучать логи mikrotik, но уже своего, домашнего.

Кому интересно, велком под кат:

Подключаюсь к mikrotik, а там… трэш: 400-500-600 пакетов в секунду на сам роутер (Input трафик) и все это с IP закрепленными за сервисами гугла 216.58.0.0/16, 172.217.0.0/16, сказать, что я был удивлен — не сказать ничего.

Правила банят только конкретные IP (т.е. не подсетями), но после попадания в список дроплиста атакующий банится уже в RAW по Prerouting трафику, что бы снизить нагрузку от атаки на CPU, соответственно, после того как IP сервисов Google попали в этот список все они заблокировались и по проходящему (forward) трафику и то, что отвалилось — и являлось источником DDos. Я проверил, что бы трафик не был !dsnat и убедившить, что мой локальный провайдер не при чем и Mitm атака от провайдера исключена, стал смело искать как связаться с данной компанией, но так ничего и не нашел, ни одного e-mail, видимо в Google считают, что у них все отлично и без пользователей, которые им очень хотят что-то написать. Ну, думаю, в каком-то виде у них просто обязан работать типичный e-mail техподдержки, отписал о проблеме на support@google.com, все кто писал на этот адрес знают, что он отвечает, что его не существует, но буквально через 5 минут спам прекратился. Отлично сработано, рад был помочь! Но т.к. я к тому моменту обнаружил проблему только с 172.217.0.0/16, то чудесным образом спам прекратился только с сети 172.217.0.0/16, а с 216.58.0.0/16 все продолжалось. Далее я отписал на тот же e-mail и по поводу 216.58.0.0/16 ну и с полной уверенностью, что все закончилось удачно и мир спасен — счастливый пошел спать.

Утром все стало еще интереснее, оказалась ситуация следующая: спам продолжается, но теперь все сделано так, что бы не попадать под блокирующие правила роутеров (ну по крайней мере выглядит все именно так.

Отличная работа от Google, теперь я могу им пользоваться, ну а он и дальше может пытаться пользоваться мной)

В итоге я делаю вывод, что всё происходящее является умышленными действиями.

Вопрос только в том, кому и зачем понадобилось так спамить юзеров запросами.

На ум приходят пару бредовых вариантов:

  1. Google ломанули (что из области невероятного, но все же возможного)
  2. Google обучает свою нейронку ломать чужие системы
  3. Google решил помочь Трампу и/или НАТО в атаке на Россию

На данный момент все продолжается дальше, как и было.

Ситуация в логах на утро выглядит так:

Скрытый текст

DDoS от Google? Легко - 1

DDoS от Google? Легко - 2

DDoS от Google? Легко - 3

Лично я считаю такую ситуацию абсолютно недопустимой, даже если мой роутер грузит на дополнительные 5%, так не у всех такие роутеры (Mikrotik RB951Ui-2HnD), на типичном домашнем роутере это будет все 20-30-50% от чего Интернет гарантированно будет глючить, тормозить и тупить и все это идет из сетей компании которая претендует на мировое лидерство в IT среде.

У кого какие мысли по поводу данной ситуации прошу их озвучить в комментах.

Корпорации добра, света и созидания передаю пламенный привет, верным путём идете товарищи.

P.S.: хочу передать отдельное спасибо комьюнити telegram каналу MikrotikRu, в прошлом мне там очень помогли разобраться во многих вопросах связанных с Mikrotik.

Автор: Наташа

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js