O našich ochranách jsme toho napsali už hodně. Bez nich bychom tu už nebyli. Neustále je zlepšujeme a snažíme se být o krok napřed. Pokrok, který jsme udělali minulý rok však byl opravdu významný a jak se ukázalo koncem roku i velice důležitý.
Aktuální stav ochran
V současné době jsou chráněny weby a naše infrastruktura 3 stupni ochran.
- DDoS ochrana – chrání hlavně před útoky hrubou silou
- IPS/IDS ochrana – chytrá ochrana, která filtruje škodlivý síťový provoz
- SYN Filtr – robustní ochrana, která na základě pravidel z našich logů a dalších zdrojů blokuje anebo omezuje problémový provoz ze stovek tisíc IP adres.
K tomuto všemu ještě máme další stupeň ochrany, který je stále ve vývoji, který chrání zákazníky před specifickými hrozbami. Bude součástí našeho WEDOS AnyCast řešení. Výhodou je velmi rychle nasazení a možnost zavést ochranné prvky jako je captcha z naší strany.
Více o našich ochranách se dozvíte z přednášky našeho šéfa na OpenAlt 2020.
Jak se nenápadně shazuje web
V listopadu jsme si všimli nového zajímavého útoku. Jedna organizace byla pod špatně dohledatelným útokem, měli servery jinde, a požádali nás o pomoc. Nabídli jsme jim nasazení naší nové ochrany a pomohlo to.
Detailně jsme to tehdy nemohli analyzovat, protože jsme neměli logy (neměli jsme přístup do jejich serveru). Takže jsme nasadili čistě naše nové řešení a najednou jsme jim zachránili “kožich”. Jejich e-shop jel a fungoval. Navíc to byla záchrana ve velmi vážné situaci (celá organizace zvyklá na off-line prostředí, najednou byla závislá jen na příjmech z on-line) a navíc v předvánočním období.
To se však změnilo v lednu, kdy se stal cílem podobného útoku jeden z našich zákazníků na webhostingu NoLimit. Jeho web je ještě na starších serverech, které nemají k dispozici proxy a využívají pomalejší procesory. Jeho běžný provoz kolem 60 – 100 tisíc požadavků za hodinu však v pohodě utáhne. Jenomže pak najednou přišlo těch požadavků mnohonásobně více. Bylo to přes milion požadavků za 10 minut a každý byl z jiné IP adresy a směřovaly na různé URL.
Nejednalo se o podvržené IP, ale o skutečné požadavky z vedených IP adres. V rámci požadavků tam probíhala reálná (a oboustranná) komunikace.
Tyto požadavky byly velice rovnoměrně rozložené. Během 4 hodinového útoku nešlo z jedné IP adresy více jak 600 požadavků na jednu doménu. Většinou se jednalo o nižší stovky. Zároveň požadavky směrovaly na různé stránky. Ze všech útočících IP adres během celého útoku, jedna nenavštívila jednu stránku více než 4x. Průměr byl 2 návštěvy stejné stránky za 4 hodiny z 1 IP adresy.
Přístupy z 1 IP vypadaly zhruba takto:
Jednotlivé IP adresy měly různé prohlížeče, operační systémy a šly z počítačů i mobilních telefonů.
Z tohoto chování předpokládáme, že se jednalo o napadená zařízení, které byly součástí nějakého botnetu.
Nejaktivnější IP adresy, které se útoku účastnily:
IP adresa | Počet | ISP |
222.135.231.178 | 1297 | JINAN Xinhaikeji Net Bar |
119.116.186.28 | 1234 | China Unicom Liaoning Province Network |
119.116.183.9 | 1202 | China Unicom Liaoning Province Network |
112.48.9.38 | 1099 | China Mobile Communications Corporation |
61.240.226.52 | 1090 | China Unicom |
112.48.9.18 | 1049 | China Mobile Communications Corporation |
112.48.9.53 | 1003 | China Mobile Communications Corporation |
119.116.191.98 | 928 | China Unicom Liaoning Province Network |
119.116.181.39 | 926 | China Unicom Liaoning Province Network |
119.116.189.18 | 876 | China Unicom Liaoning Province Network |
119.116.181.159 | 869 | China Unicom Liaoning Province Network |
119.116.184.89 | 840 | China Unicom Liaoning Province Network |
119.116.179.175 | 837 | China Unicom Liaoning Province Network |
112.48.9.91 | 797 | China Mobile Communications Corporation |
112.48.9.6 | 796 | China Mobile Communications Corporation |
222.135.230.133 | 785 | JINAN Xinhaikeji Net Bar |
119.116.181.132 | 775 | China Unicom Liaoning Province Network |
112.48.9.86 | 766 | China Mobile Communications Corporation |
222.135.230.122 | 748 | JINAN Xinhaikeji Net Bar |
119.116.179.110 | 734 | China Unicom Liaoning Province Network |
Zákazník používal více domén (jako aliasy). Útočník si dával pozor, aby u žádné domény nepřekročil 600 přístupů z 1 IP adresy během 4 hodin.
Jak vidíte všechny IP adresy šly z čínských sítí – většinou mobilních poskytovatelů. Když si IP adresy seskupíme podle /16 tak už ten útok začíná být více vidět.
Zde je seznam nejaktivnějších.
IP adresa | Počet | ISP |
119.116.0.0/16 | 78884 | China Unicom Liaoning Province Network |
112.48.0.0/16 | 65868 | China Mobile Communications Corporation |
125.115.0.0/16 | 61714 | CHINANET-ZJ Ningbo node network |
183.27.0.0/16 | 56818 | CHINANET Guangdong province network |
220.175.0.0/16 | 48405 | CHINANET jiangxi province network |
141.101.0.0/16 | 44912 | WildPark Co (Ukraina) |
218.68.0.0/16 | 40428 | Tianjin Huaqing Trade Co., Ltd. |
58.214.0.0/16 | 35946 | Wuxi Jiangying Telecom Finance Dept |
101.17.0.0/16 | 34244 | China Unicom Hebei province network |
220.202.0.0/16 | 29725 | China Unicom |
125.123.0.0/16 | 27786 | CHINANET-ZJ Jiaxing node network |
183.250.0.0/16 | 25516 | China Mobile Communications Corporation |
150.255.0.0/16 | 24530 | China Unicom Hainan province network |
113.121.0.0/16 | 23735 | CHINANET SHANDONG PROVINCE NETWORK |
118.79.0.0/16 | 22350 | sxxz-erfenju-BAS (CHINA UNICOM China169 Backbone) |
39.184.0.0/16 | 21851 | China Mobile Communications Corporation |
39.181.0.0/16 | 21697 | China Mobile Communications Corporation |
221.197.0.0/16 | 19441 | China Unicom Tianjin Province Network |
101.24.0.0/16 | 17570 | China Unicom Hebei province network |
211.97.0.0/16 | 15672 | China United Network Communications Corporation Limited |
Toto jsou čistě IP adresy, které už dorazily na server a ten je zalogoval. Některé rozsahy byly “zaříznuty” v rámci jiných pravidel. Nicméně jak si útočník dával pozor, tak mnoha filtrům se vyhnul. Nutno podotknout, že IP adresy v těchto rozsazích jsou ve většině případů čisté a na různých blacklistech za poslední rok neměly ani jedno hlášení o útoku, což je poměrně vzácné.
Opět můžeme spekulovat, že se jedná o nějaký nový botnet.
A co to udělalo s webem našeho zákazníka?
Na následujícím grafu je průměrná doba odpovědi serveru na požadavek. Vidíte na něm celkem 3 útoky. První směřoval na dvě jeho domény. Když útočník zjistil, že jsme nasadili ochranu, tak si našel další doménu (alias) a pustil druhý útok na ni. Vše v rámci jednoho hostingu NoLimit. Tu jsme také přidali do ochrany. Třetí útok (trochu jiný) přišel v noci, ale už nenapáchal žádné škody. Zákazník měl několik desítek domén v různých TLD a útok směřoval postupně na všechny.
Na následujícím grafu vidíte, co to udělalo s jeho webem. Fialovou barvou jsou znázorněny chyby 503, které se začaly objevovat v důsledku vyčerpání PHP vláken. Jsou to jen logy ze serveru. Na ochranách již v té době probíhalo filtrování dalších stovek tisíc requestů.
Na tomto grafu je vyfiltrovaný čistě provoz z Číny.
Jak jsme weby zákazníka ochránili
V podstatě nejdéle trvala komunikace a vše domluvit. Zákazník pro většinu domén používal naše DNS, takže zde nasazení ochrany z naší strany nebyl problém. Menší zádrhel je jen vygenerování certifikátu Let’s Encrypt. Na nic dalšího se tam čekat nemusí. Nasadit tuto ochranu umíme hned. Nasazení trvalo jednotky minut a do cca 30 minut se změnily všechny záznamy v DNS.
Zákazníkovi jsme napsali SMS a e-mail s informací, co se děje. Následně jsme s ním byli v kontaktu.
U zákazníka jsme okamžitě nasadili pro provoz z Číny captchu. Ze statistik jsme se později dozvěděli, že pouze kolem 300 návštěvníků captchu za celý den od nasazení vyplnilo. Ti se na stránky normálně dostali. Zbytek byl zablokován na ochraně.
Když útočník zjistil, že hlavní domény jsou chráněné, zkusil to na další domény ještě větší silou. Tak jsme tam postupně přidali všechny a byl klid.
Do budoucna půjde chránit takto všechno na jedno kliknutí. Nebude třeba dokonce ani u nás mít hosting anebo server. Bude stačit jen doména a DNS. Cena? Zatím nevíme. Základní varianta by mohla být za 500 Kč/měsíc.
Kdy služba bude k dispozici
Tato ochrana by měla být součástí WEDOS AnyCast, což je projekt, který je v podstatě připravený a vyzkoušený a čeká na tým, který jej dotáhne do konce a integruje do našeho systému.
Samozřejmě ochrana v testovacím režimu jede už teď. Pokud jste pod nějakým zajímavým útokem, můžete nám napsat a my ji na vás rádi otestujeme 🙂
Závěr
Tento druh chytrých útoků v poslední době vídáme stále častěji. Před pár lety se útočilo silou (Gbps anebo počtem paketů). Soutěžilo se kolik kdo pošle desítek nebo stovek Gbps… Na tohle funguje naše DDoS ochrana.
Postupně se ale trend přesouval k chytrým a zákeřným útokům, které se špatně detekují. Nás hodně chrání IDS/IPS ochrana. Tohle je však nový trend a aktuální stav.
Podobné útoky ale nejdou jen z Číny. To bude spíše specifikum daného botnetu, který nové zombie počítače/mobily získává cíleným způsobem (například falešné aplikace cílené na určitý trh). Minulý rok jsme třeba tento druh útoku viděli z Ruska.
Je otázkou času (spíše peněz a kontaktů útočníka), kdy je uvidíme celosvětově. Na toto chceme být připraveni a našim zákazníkům nabídnout patřičnou ochranu.