V posledních týdnech je kyberprostor válečnou zónou. Ovšem ne za všechno může Rusko. Současný chaos využívá i řada organizovaných skupin, a tak se více setkáváme s phishingem, útoky na aplikační vrstvě s vydíráním, ale i tradičními DDoS útoky. Nezapomínejme však, že Rusko předvedlo v začátcích války svůj nový malware HermeticWiper, který maže data. Ten se rychle rozšířil i mimo Ukrajinu. Může se dotknout i vás. Takže stále platí naše výzva – zálohujte si svá data k sobě ať je máte kdekoliv!
V dnešním článku bychom se rádi věnovali právě těm tradičním DDoS útokům, s kterými se v posledních týdnech setkáváme. Konkrétně s jednou várkou, která nás zasáhla v noci ze čtvrtka (03.03.2022) na pátek (04.03.2022).
Odveta za podporu Ukrajiny? Kdepak, pod útoky už jsme týdny.
Řada z vás se nás ptala, zda-li se jednalo o odvetu za umístění ukrajinské vlajky na náš web a další aktivity na podporu Ukrajiny. Jsme přesvědčeni, že tomu tak není. A to z toho důvodu, že tyto velmi silné DDoS útoky probíhají již několik týdnů. Naše ochrany je dokázaly plně eliminovat anebo omezit natolik, že neměly delší dobu vliv na naše služby (od detekce útoků až k filtraci dokážeme automaticky přejít v řádech nižších jednotek vteřin).
Například jeden z těchto silnějších útoků z 18. – 19. února jsme pro vás detailně zdokumentovali na našem blogu v článku Únorové noční DDoS útoky přesahovaly 133 Gbps.
Na druhou stranu v souvislosti s invazí Ruska na Ukrajinu jsme zaznamenali útoky na proruské weby, weby ruských společností, konspirační weby a pár dalších, které nemají s Ruskem nic společného. Většinou se jedná o primitivní webové útoky prostřednictvím webových prohlížečů. I když jsou ve své podstatě velmi jednoduché, tak hacktivisti dokázali na jeden takový web vytvořit až 75 milionů requestů za den. A to už je znát.
Tyto weby chráníme naší ochranou WEDOS Global Protection, která je stále ještě ve vývoji. I díky těmto útokům jsme s ní velmi rychle pokročili. Jedná se o ochranu na aplikační vrstvě, která staví do cesty potenciálně problémovému provozu stránku s přesměrováním anebo captcha.
Naše ochrana před DDoS útoky
Po velmi tvrdých zkušenostech s DDoS útoky v roce 2013 jsme pochopili, že pokud se sami nezačneme intenzivně věnovat budování ochran, tak to moc daleko nedotáhneme. Vždy by tu byl někdo, kdo by dokázal paralyzovat naše služby. Bylo třeba vybudovat opravdu masivní ochranu a věnovat se kyberbezpečnosti jako takové.
Od té doby investujeme do ochran miliony korun ročně. Postupně je nejen naše ochrana robustnější (roste počet serverů, provádíme upgrade HW), ale výrazně posilujeme i konektivitu, záložní trasy a celou síťovou infrastrukturu. Ochranám a sítím se u nás věnuje více lidí. Zároveň získáváme důležité know-how, data a hlavně reálné zkušenosti. Právě to je hodně znát. Nejvíce asi roky zkušeností a neustálého “hrabání a testování” vedlo k řadě přelomových úprav.
Aktuálně máme k dispozici 3 hlavní trasy s konektivitou 100 Gbps na každou a další záložní 10 Gbps trasy. Jsme schopni filtrovat prakticky všechen provoz, který přes tyto trasy jde. Od detekce k začátku filtrování dokážeme přejít od 1 do 3 vteřin (záleží na útoku). K tomu provozujeme jeden z největších blacklistů, který je postaven na placených blacklistech třetích stran a našich datech. Hostujeme nejvíce webů v Česku a s daty aktivně pracujeme jak automaticky, tak i manuálně. Dokážeme tak detekovat i útočníky, kteří provádí útoky velice opatrně.
Po nejsilnějším DDoS útoku v dějinách českého internetu, kde se nám podařilo naměřit 164,3 Gbps a 98,1 milionů paketů za vteřinu ve špičkách, jsme pochopili, že je jen otázkou času, kdy takovýto útok bude někdo schopen provádět dlouhodobě. Případně bude mít k dispozici dostatek zařízení v Česku, tak aby ucpal lokální ISP. On ten útok byl větší, ale k nám víc neproteklo a víc jsme stejně neuměli naměřit 🙂
Začali jsme tak připravovat koncept decentralizované celosvětové sítě WEDOS Global, která přesune boj na lokální bojiště, odkud útoky přichází. Aktuální stav najdete v článku Budování WEDOS Global – První domluvená místa pro infrastrukturu.
Jak probíhal (zatím) zřejmě nejsilnější DDoS útok v Česku v roce 2022
Samotnému útoku předcházelo opravdu masivní a důsledné scanování všeho, s čím máme anebo můžeme mít něco společného. Tyto pokusy jsme postupně detekovali několik dní před samotným velkým útokem.
Uvedená čísla jsou to, co se nám podařilo změřit, respektive spočítat senzorům. Ve skutečnosti bylo vše vyšší, protože docházelo k ucpání tras.
Samotný velký útok začal zhruba v 19:50. Šel doslova postupně po jednotlivých segmentech naší sítě. Jednalo se o jednotky útoků postavených na ICMP. V 20:00 se síla útoku přehoupla přes sto Gbps a dosáhla v minutových průměrech na 116 Gbps. Špička byla prakticky více než 2x tolik.
Ve 20:10 polevil a spadl na zhruba 40 Gbps. Útočníci zřejmě něco kalibrovali 🙂
Přibližně v 20:30 se rozjel velmi silný útok, který přesáhl 125,8 Gbps (zase se bavíme o minutovém průměru). Naše 100 Gbps trasa Telia byla kompletně ucpána. Tato trasa hlavně odbavuje provoz ze zahraničí. Velmi silný útok šel i přes Nix a další trasu.
V této době cílili útočníci hlavně na webhostingy, které ze zahraničí mohly být nedostupné, respektive spíše zpomalené. Zaznamenali jsme i menší počet requestů, které dorazily na webservery. Jednalo se hlavně o automatický trafik (roboti vyhledávačů, sběr dat, měření dostupnosti atd.)
V tento okamžik byla celá firma už online a všichni sledovali, co se děje. Nebylo to ani tak o síle, ale hlavně o délce útoku. Nikdy předtím jsme nezažili útok, který by v naměřených hodnotách překonal 100 Gbps a šel 50 minut v kuse!
Nejsilnější část útoku začala po menší pauze v 21:30. Počet jednotlivých útoků během 10 minutového intervalu přesáhl 140 Gbps. Jednalo se o útok počtem paketů, kterých bylo ve špičce 77,2 milionů za vteřinu při minutových průměrech. Nicméně rekord z minulého roku 98,1 milionů paketů za vteřinu pokořen nebyl.
Vrchol útoku nastal v 21:50, kdy se síla útoku přehoupla na celých deset minut přes 190 Gbps a my jsme naměřili nový český rekord 190,2 Gbps. V tento okamžik šlo jen z českého NIXu zhruba 20 Gbps v 5 minových průměrech a to řada lokálních ISP kolabovala.
Když útočníci uviděli, že stále jedeme, tak spustili ještě 145,7 Gbps útok přes UDP. Ani to nepomohlo. Útok jel až do 1:20, ale postupně ze 40 Gbps slábl až na 20 Gbps.
Na následujících grafech vidíte průběh útoku.
Jak vidíte, tak dominovaly útoky ICMP. Zhruba na 10 minut proběhl i silnější útok přes UDP.
Závěr
Ačkoliv tento útok vypadal strašlivě, tak došlo jen k dočasnému zpomalení provozu ze zahraničí a od některých ISP v Česku. Vážnější škody nenapáchal.
Útočníci pokračovali v útocích i další den. Opět na pár hodin překročili 100 Gbps a podařilo se jim tentokrát odstavit naši zákaznickou administraci. Z tohoto důvodu máme ještě záložní, kterou mohli zákazníci použít.
Nicméně se ukázalo, že opět myslíme hlavně na ochranu služeb našich zákazníků a aby jim vše jelo. Na naši administraci jsme tak trochu pozapomněli.
Kvůli nejsilnějšímu útoku se nám ozvalo jen pár zákazníků, kterým se třeba monitoring ze zahraničí nedokázal dostat na stránky. Což je zlomek oproti desítkám, kteří nám hlásili nedostupnou administraci.
Odladěné to tedy máme už celkem slušně, jen je třeba myslet i na naše služby 🙂
Když však srovnáte tento útok s nejsilnějším z minulého roku, tak je opravdu vidět diametrální rozdíl jak v síle, tak hlavně v délce. Za rok už by podobný útok mohl trvat nikoliv hodiny, ale dny. Proto také věnujeme veškeré úsilí budování naší celosvětové sítě WEDOS Global, která přesune bojiště blíže útočníkům. Snad už příští týden spustíme první servery mimo ČR. Více v článku Budování WEDOS Global – První domluvená místa pro infrastrukturu.