Aggiornamenti dovuti

PF-Matteo

Salve a tutti,
come alcuni di voi avranno notato, ieri in concomitanza con l' inizio delle partite di champions si son registrati brevi interruzioni di linea che han causato (soprattutto per le AIR) forti disagi. Da circa 3 settimane siamo vittime di continui attacchi informatici (DDoS) con l' intento di rendere il servizio instabile e non permettervi di fruire della connessione ad internet. Con i nostri sistemi di protezione siamo riusciti a ridurre al minimo questi disagi, ma siamo al corrente che qualche disconnessione o aumento delle latenze, anche se solo per pochi minuti le avete notate ed è inaccettabile per lo standard qualitativo che vogliamo offrire.

Per farvi capire la situazione vi posto un grafico che indica il consumo di banda nella nostra rete nelle ultime 24 ore

La parte verde indica il traffico in ingresso nella nostra rete e, nella freccia 1 è indicato l' inizio dell' attacco. L' attaccante ha scelto l' orario di inizio delle partite per creare il massimo disagio possibile. Essendo un attacco che ci colpiva da giorni non ha creato disagi, quindi, alla freccia 2 ha iniziato un diverso tipo di attacco, ancora più forte e ancora più complesso.

Cosa rende particolare questo tipo di attacco?

Oltre che la portata (per i più tecnici lo capirete da questo grafico)

La verà particolarità è che tutti gli ip dell' azienda erano coinvolti. Ogni ip riceveva circa 4-5Mbps non facendo scattare l' anti-DDoS. Il nostro soc h24 è subito stato allertato e siamo intervenuti manualmente ad alzare i filtri. Dopo pochi minuti la maggior parte dei clienti erano tornati regolarmente online, ma il punto di raccolta delle AIR aveva fortissimi packet loss rendendo la connessione molto lenta. Andando ad analizzare la situazione abbiamo trovato altro tipo di DDoS, nascosto sotto il precedente che stava causando sovraccarico sull' apparato. I DDoS infatti, non sono tutti uguali, ci sono quelli amplificativi, che mirano a saturare la banda e quelli applicativi che vanno a creare saturazione negli apparati.

Analizzando l' attacco abbiamo notato che oltre 15000 IP, di macchine compromesse, erano usati per generare il secondo DDoS.

Cosa fare?

Bloccare per IP è impossibile, unendo i due DDoS significa bloccare oltre 50000 indirizzi IP. Per nazione significa crearvi un forte disagio essendo vari continenti coinvolti, quindi quale soluzione?

La soluzione è stata analizzare i singoli pacchetti in ingresso e trovare i fattori comuni. Abbiamo trovato 4 tipi di pattern nei pacchetti che potessero raggruppare l' intero attacco (ovviamente non posso condividerli). Abbiamo quindi applicato le dovute contromisure e tutti gli utenti, AIR comprese sono tornati Online. Dopo circa 1 ora dall' applicazione delle nuove regole, vedendo che l' attacco non sortiva più gli effetti desiderati e tutti erano regolarmente online è cessato, come da freccia 3

Passata circa 1 ora e trenta di "quiete" (qualcuno penserà alla quiete prima della tempesta), è stato lanciato un nuovo attacco combinato tra gli attacchi dei giorni precedenti e quello della sera stessa per cercare di creare il massimo disservizio (freccia 4). Avendo imparato che, non ci si può fidare 😒, avevamo mantenuti attivi i filtri inseriti negli attacchi precedenti e con nostra felicità, tutte le 2 ore e mezza di attacco, non hanno causato alcun disservizio. L' attaccante ha quindi desistito dal suo intento (freccia 5).

Conclusioni

E' evidente che non si tratta di attacchi casuali, ma di un gruppo organizzato con il solo intento di creare disservizi e difficoltà all' intera azienda. In questi giorni saremo in massima allerta per monitorare la situazione. Visto il tipo, la portata e la frequenza degli attacchi i disservizi sono realmente minimi, ma lo standard qualitativo che vogliamo, pretendiamo e meritate è decisamente diverso. Lato SeFlow/PianetaFibra, il soc è impegnato al massimo per debellare questa piaga e le autorità si sono immediatamente attivate per darci supporto investigativo necessario.

Per voi clienti, il nostro obiettivo primario è riportare la stabilità che volete e meritate e stiamo anche pensando a soluzioni di indennizzo per dimostrarvi che, quanto accaduto non deve essere la normalità. Non importa se i contratti e gli SLA sono rispettati, la qualità offerta in questi giorni bui, non rispecchia i nostri standard.

Sarà nostra cura tenervi aggiornati in questo thread.

Matteo Berlonghi

Francesco88

Porca paletta ecco perché ieri sera ho avuto problemi sul server a casa. Stavo lavorando ad un progetto da remoto e me lo sono visto cadere sotto il cu...o. Per fortuna essendo in bonding quando la air è andata giù mi è ritornato su tutto. Se non fosse andata giù sarei rimasto tagliato fuori.... Purtroppo se la master con openmptcprouter lavora male e non cade si pianta tutto. Che noia questa. Mi sa che mi tocca lasciare la master in Dynamic finché il cornuto non la finisce.

PF-Matteo Grazie Matteo per la trasparenza. Contento ancora una volta della scelta.

sandromxm

Caro PF-Matteo ,
Grazie per la spiegazione dettagliata. Credo di non essere l’unico ad apprezzare il lavoro che state facendo per mitigare questo ignobile accanimento (io rimango della mia idea che si tratti di un ISP concorrente) nei vostri confronti.
Con altri operatori probabilmente avremmo ricevuto, in orari standard da ufficio, una semplice presa in carico del problema, scalando la problematica chissà quando al reparto tecnico. Qui con voi, nonostante tutto e nonostante il momento buio, non mi sento abbandonato (Mi hai risposto stamattina alle 6:30 ad un ticket aperto 2 minuti prima, dopo una nottata immagino per voi mon facile…minchia ma non dormi mai?😅), anzi so che mi posso fidare della vostra preparazione e trasparenza.
Qualsiasi problema o richiesta fatta a voi ho sempre ricevuto massima attenzione e disponibilità, con risposte immediate, con te che ci metti la faccia.
Grazie per quello che fai (e fate), sono sicuro che verranno momenti per tutti migliori!
Capisco lo sconforto ma non mollate ❤️

OperationOne

PF-Matteo grazie per la chiarezza, la trasparenza e l'efficienza

Nicola Andreetta

PF-Matteo grazie per tutto ciò che state facendo per risolvere il problema 🙏🏻. Per quanto mi riguarda non preoccupatevi di doverci rimborsare non è per niente colpa vostra, al massimo sarà chi sta causando tutto ciò a dover pagare i danni causati!

RobertoMattioli

Grazie per la dettagliata spiegazione, molto apprezzato.

Atthila

Almeno io vi ho scelto proprio per questa trasparenza! Forza👊

Forzic

Senza parole molto professionali seri e unici direi

_Elso90_

Grazie davvero per quello che state facendo, siete professionali ad un livello che, prima di conoscervi, non ero abituato. Spero riusciate a rintracciare chi effettua questi attacchi mirati.

Miki_74

professionalità al 110%

NE20AA

Mi piace,sopratutto la trasparenza,approvato

giox069

Grazie per la spiegazione molto dettagliata, vi ammiro soprattutto perché siete ancora degli smanettoni nerd, oltre che grandi esperti di network, e queste comunicazioni mi fanno sentire tranquillo. Consiglio comunque a tenere sempre una comunicazione basica nelle e-mail di avviso, alla portata dell'utente non esperto. Poi qui al bar vogliamo tutti i dettagli però 😀
Un dettaglio che mi manca è l'ora esatta dell'inizio del problema: ieri mi è caduto ppp (fibra openfiber) alle 21.00 circa, alle 21.20 ppp è tornato su, mi ha dato l'IP ma non riuscivo proprio a fare traffico in uscita fino alle 20.40 quando ho riavviato il mio router. Non ho ancora capito se quindi è stato necessario il mio riavvio oppure no, mah.
Se quindi ci fosse qualche indicazione sugli orari degli eventi 1,2,3,4,5, mi sarebbe utile.
Grazie

PF-Matteo

giox069 21.00 è l' inizio dell' attacco, studiato appunto per l' inizio della partita. alle 21.20 le ftth erano su, se non ti usciva evidentemente, con le continue connessioni/disconnessioni si era bloccato il sistema di networking del modem, riavviandolo ha ripreso a funzionare, quindi si, sei stato risolutivo.

Freccia 3 è verso le 23. freccia 4 verso mezzanotte e mezza e freccia 5 verso le 3

ciso non tutte le fwa, ma circa un 20%, è una problematica già segnalata al fornitore. Quando le linee si riconnettono e disconnettono continuamente per qualche minuto, il concentratore del fornitore va in protezione e "banna" le richieste di alcune utenze a caso. Dopo 3 ore il ban va in timeout e le fa tornare up.

Kyrios

Mi unisco al coro di ringraziamenti per la trasparenza. Speriamo soprattutto che si riescano ad identificare i colpevoli.

NE00AA

Grazie per il vostro pronto intervento. Aspettiamo fiduciosi la risoluzione del problema.

ciso

Potreste spiegare più in dettaglio il motivo per cui le FWA sono rimaste sconnesse fino a notte inoltrata? Grazie

MirkoF

Grazie per le delucidazioni !

Caluz

Grazie a tutto lo staff.
Tanti nemici tanto onore si dice..
Si vede che fate paura a qualcuno e quindi stracontento di essere dalla vostra parte! 🦾

YY10AA

Grazie per tenerci informati e per la spiegazione

T7Z5Kg

Si possono ipotizzare pratiche di concorrenza sleale?
Ormai sempre più persone passano da Trustpilot prima di stipulare un contratto, l'abisso tra voi e le "big" (wind3, per esempio) è imbarazzante.

PF-Matteo

T7Z5Kg si stanno vagliando tutte le ipotesi, al momento non escludiamo nulla.

Fabio Bizzi si certamente, ma quello può aiutare nel medio periodo. Nel breve dobbiamo applicare delle soluzioni che non vi causino altri disagi.

sandromxm minchia ma non dormi mai?😅)

In questo momento lo vorrei tanto fare 😂

Fabio Bizzi

@PF-Matteo Grazie dell'aggiornamento, molto gradito. :)
Una domanda, avete iniziato a muovervi anche a livello di denuncia alle forze di PS?
Tenete duro! :)

Pagina successiva »