Всем привет, ситуация начала развиваться вчера вечером (05.11.18), у моей знакомой неожиданно «отвалились» все сервисы Google: поисковик, gmail, google drive, youtube. Полез в ее mikrotik, оказалось с IP Google сервисов шла настоящая DDos атака по Input, т.е. на сам роутер 0_0. Я был в дороге, но была возможность поработать со своим домашним роутером, стал изучать логи mikrotik, но уже своего, домашнего.
Кому интересно, велком под кат:
Подключаюсь к mikrotik, а там… трэш: 400-500-600 пакетов в секунду на сам роутер (Input трафик) и все это с IP закрепленными за сервисами гугла 216.58.0.0/16, 172.217.0.0/16, сказать, что я был удивлен — не сказать ничего.
Правила банят только конкретные IP (т.е. не подсетями), но после попадания в список дроплиста атакующий банится уже в RAW по Prerouting трафику, что бы снизить нагрузку от атаки на CPU, соответственно, после того как IP сервисов Google попали в этот список все они заблокировались и по проходящему (forward) трафику и то, что отвалилось — и являлось источником DDos. Я проверил, что бы трафик не был !dsnat и убедившить, что мой локальный провайдер не при чем и Mitm атака от провайдера исключена, стал смело искать как связаться с данной компанией, но так ничего и не нашел, ни одного e-mail, видимо в Google считают, что у них все отлично и без пользователей, которые им очень хотят что-то написать. Ну, думаю, в каком-то виде у них просто обязан работать типичный e-mail техподдержки, отписал о проблеме на support@google.com, все кто писал на этот адрес знают, что он отвечает, что его не существует, но буквально через 5 минут спам прекратился. Отлично сработано, рад был помочь! Но т.к. я к тому моменту обнаружил проблему только с 172.217.0.0/16, то чудесным образом спам прекратился только с сети 172.217.0.0/16, а с 216.58.0.0/16 все продолжалось. Далее я отписал на тот же e-mail и по поводу 216.58.0.0/16 ну и с полной уверенностью, что все закончилось удачно и мир спасен — счастливый пошел спать.
Утром все стало еще интереснее, оказалась ситуация следующая: спам продолжается, но теперь все сделано так, что бы не попадать под блокирующие правила роутеров (ну по крайней мере выглядит все именно так.
Отличная работа от Google, теперь я могу им пользоваться, ну а он и дальше может пытаться пользоваться мной)
В итоге я делаю вывод, что всё происходящее является умышленными действиями.
Вопрос только в том, кому и зачем понадобилось так спамить юзеров запросами.
На ум приходят пару бредовых вариантов:
- Google ломанули (что из области невероятного, но все же возможного)
- Google обучает свою нейронку ломать чужие системы
- Google решил помочь Трампу и/или НАТО в атаке на Россию
На данный момент все продолжается дальше, как и было.
Ситуация в логах на утро выглядит так:
Лично я считаю такую ситуацию абсолютно недопустимой, даже если мой роутер грузит на дополнительные 5%, так не у всех такие роутеры (Mikrotik RB951Ui-2HnD), на типичном домашнем роутере это будет все 20-30-50% от чего Интернет гарантированно будет глючить, тормозить и тупить и все это идет из сетей компании которая претендует на мировое лидерство в IT среде.
У кого какие мысли по поводу данной ситуации прошу их озвучить в комментах.
Корпорации добра, света и созидания передаю пламенный привет, верным путём идете товарищи.
P.S.: хочу передать отдельное спасибо комьюнити telegram каналу MikrotikRu, в прошлом мне там очень помогли разобраться во многих вопросах связанных с Mikrotik.
Автор: Наташа