Qrator Labs сообщили о DDoS-атаке около 1 Tbps с серверов GitL | ПоDDoSил и бросил

Qrator Labs сообщили о DDoS-атаке около 1 Tbps с серверов GitLab.

7 ноября в 23:28 UTC были нейтрализованы* UDP Flood + IP Frag c битовой и пакетной интенсивностью* 961 Gbps и 88,32 Mpps.

Если присмотреться к приведенному графику, то видно, что
атака продолжалась около двух минут, в интервале с 00:27:30 по 00:29:30;
значения атаки показывают всего 2 точки;
на графике разный интервал между точками, т.е. есть подозрения в неточности показаний;
вырос зеленый график, т.е. часть трафика атаки была пропущена?

Нам интересно, что показывает зеленый график. Можно предположить, что это либо обратный, либо сброшенный, либо пропущенный трафик.
Обратный трафик от системы фильтрации может появляться при проверке методом запрос-ответ. В случае протокола UDP метод используется при защите DNS, либо специфичных приложений, например, игровых. Но фрагментация указывает, что пакеты были большие, такие не используют при атаке DNS-запросами, а в защите UDP-игр Qrator не засветился. Так что скорее всего это не обратный трафик.

Когда уважаемые люди пишут, что они верят в то, что это была атака с серверов, которые взломали с использованием критической уязвимости в GitLab (CVE-2021-22205) и не приводят ни одного доказательства, то либо это желание похайповать на горячей теме, либо они что-то знают и еще не успели подготовить интересный и полный технических деталей отчет. При этом быть вторыми, кто сообщил о случившемся, не хотели, поэтому сделали короткий анонс.

Мы знаем, что Qrator активно сканирует Интернет на предмет выявления IP-адресов с известными уязвимыми сервисами, и они вполне могли найти пересечение адресов из атаки в результатах сканирования. Либо просканировали IP-адреса из черного списка, сформированного в ходе атаки и увидели, что все из них оказались открытыми для широкой публики GitLab серверами.

Так что ждем отчет с деталями.

* термины из отчета за третий квартал 2021