Prawdy i mity o DDOS w EPIX.

W nawiązaniu do ostatnich informacji z EPIX dotyczących ataków DDOS:

1. Informujemy, że ataki DDOS o których informujemy nie są skierowane ani na EPIX jako taki, ani na użytkowników EPIX w szczególe.
Są one skierowane w konkretnych operatorów ISP nie dbających o bezpieczeństwo w swoich sieciach.
To, iż korzystają akurat z naszych usług nie ma żadnego wpływu na częstotliwość czy podatność na ataki.
Korzystając z usług innych operatorów również byliby ofiarami (lub autorami), z tym, że mogliby o tym nie wiedzieć.
Wyłączanie naszych usług, z którym to w kilku przypadkach się spotkaliśmy powoduje pogorszenie sytuacji, gdyż ruch do operatorów przestaje być filtrowany i analizowany, co zwiększa u niego skalę problemu.

2. Uświadamiamy Wam, iż jesteśmy jedynym operatorem, który o tych problemach informuje i nakłania do rozwiązywania ich przyczyn.
Realizujemy te działania aby pomóc operatorom sięgnąć sedna problemu, a nie zachowawczo rozwiązywać je, jak już następują.
Nieistotne stało się dla nas dbanie o PR i udawanie, iż problem nie istnieje, zrzucając w ten sposób kłopoty i koszty z tym związane na operatorów.
Problem istnieje obecnie u każdego operatora globalnego Internetu, od Tier1, 2 i 3 do resselerów i miksujących usługi włącznie.
Żaden z nich jednak nie ryzykuje utraty opinii i informowania własnych klientów, oraz prowadzenia kampanii informacyjnej zmierzającej do usunięcia przyczyn, a nie skutków abusywnych działań przestępców internetowych.
EPIX nie będzie prowadził polityki chowania głowy w piasek, nawet kosztem pojawiania się obecnie negatywnych opinii na temat naszej niezawodności.

3. Wbrew pojawiającym się opiniom nasze usługi są nadal najwyższej jakości, problemy dotykają głównie operatorów, którzy utrzymywali w swoich sieciach otwarte podatne usługi i zaniedbane serwisy.
Dwie ostatnie kilkunastosekundowe usterki usług globalnych wynikające z zadziałania mechanizmów bezpieczeństwa niektórych naszych upstreamów nie wpływały znacząco na dostępność usługi EP-Global, oraz zupełnie nie wpływały na inne usługi przez nas świadczone (OpenPeering, polskie zasoby, czy transmisje danych).
Wykorzystywanie przez “konkurencję” naszych informacji jako przykładu naszej niekompetencji i niskiej jakości pozostawię bez komentarza, mając nadzieję, iż operatorzy ISP doceniają otwartość naszej polityki i chęć wdrożenia prawdziwych rozwiązań zaradczych u nich.
Jesteśmy dalecy od podejścia, na które moglibyśmy sobie pozwolić, czyli dbania wyłącznie o własny interes.
Nasze urządzenia i łącza mają wystarczającą wydajność do przeniesienia nawet zmasowanych ataków w kierunku klientów i narażania ich w ten sposób na koszty opłat za nadmiarowy ruch.
Nie robimy tego, staramy się pomóc rozwiązać te problemy na różne sposoby, łącznie z filtrowaniem ruchu i blokowaniam ruchu już u upstreamów.

4. Raportuję fakty:
– żadne z łącz międzymiastowych EPIX, nigdy nie zostało podczas dowolnego ataku doprowadzone do stanu nasycenia, posiadamy rezerwy co najmniej kilkukrotnie przewyższające zapotrzebowanie,
– żaden z naszych interfejsów do upstreamów nie osiągnął stanu nasycenia, posiadamy obecnie możliwości przyjęcia ruchu blisko 5-krotnie przekraczającego potrzeby,
– nasze routery podczas żadnego z obsługiwanych ataków nie osiągnęły poziomu utylizacji skutkującego jakimkolwiek spadkiem funkcjonalności, problemem okazały się w dwóch przypadkach mechanizmy ochronne routerów brzegowych naszych upsteamów, które nie przyjęły ruchu, który my przetwarzaliśmy w naturalny i bezproblemowy sposób,
– żadna z usług EPIX poza konkretnymi przypadkami użytkowników EP-Global nie ucierpiała podczas ataków, są to niezależne urządzenia odseparowane od struktury innych usług i szkieletu sieci,
– wdrażamy w trybie pilnym kolejne rozwiązania wspomagające diagnozowanie i usuwanie problemów naszych uczestników, w tym blackholling zintegrowany dla wszystkich upstreamów, oraz wydajne urządzenia do analizy ruchu, a także słuchamy pomysłów naszych uczestników zmierzających w realizacji do uczynienia EPIX najbezpieczniejszym operatorem dla ISP,
– rozpoczęliśmy też realizację szerszej polityki edukacyjno-informacyjnej, oraz doradczej poprzez uruchomienie kolejnego projektu EPISec (zapraszamy do dyskusji: http://ispforum.pl/index.php?topic=3015.0).

Dziękujemy za zaufanie!