WAF report z WEDOS Global Protection za březen 2023

[gtranslate]

V březnu pokračovalo testování pravidel pro WAF (Web Application Firewall). Dostali jsme se už do fáze, že WAF byl automaticky nasazen pro všechny nově přidané weby na WEDOS Global Protection a pomalu jsme se připravovali na nasazení pro všechny.

WEDOS Global – další nové body v březnu

WEDOS Global Protection je první službou, kterou rozjíždíme na naší globální infrastruktuře WEDOS Global. Jedná se o síť postavenou na technologiích BGP Anycast a reverzních proxy. Službu stavíme pouze na našem vlastním hardware (aktuálně více jak tisíc fyzických serverů), které máme v datacetrech zaručujících nám budoucí škálování a minimální konektivitu 100 Gbps v každém bodě.

Nový bod v Sofii (Bulharsko)

Dne 6. března 2023 v 14:31 jsme spustili další bod v Evropě. Tento bod se nachází v bulharské metropoli Sofii a bude mít na starosti hlavně provoz z jihovýchodu Evropy.

V pondělí 6. března 2023 v 14:31 jsme spustili další bod WEDOS Global v Evropě. Tentokrát v Bulharsku v Sofii. Máme tam 2x Moonshot, tj. 90 fyzických serverů a konektivitu 100 Gbps.

Nový bod disponuje dvěma servery Moonshot, což znamená 90 fyzických serverů s konektivitou o rychlosti 100 Gbps. Tato kapacita by měla dočasně pomoci zvládat celkem silné útoky ze severní Afriky a jihozápadní části Asie, se kterými jsme se v minulosti potýkali. Ty v budoucnosti bude řešit bod v Turecku a ještě jeden další na Blízkém východě.

Servery v Turecku se nám stále nedaří spustit. Situace je zde komplikovaná.

Nový bod v Torontu (Kanada)

V pondělí 13. března 2023 jsme v 20:52 spustili bod WEDOS Global v Torontu v Kanadě. I zde máme 2 Moonshoty, tedy 90 fyzických serverů a 4 switche. Aktuálně přes tento bod moc provozu nejde. Většina je z Kanady a část ze severu USA.

V pondělí 13. březně 2023 jsme v 20:52 spustili bod WEDOS Global v Torontu v Kanadě.

Pomůže nám hlavně s útoky a zrychlením webů zákazníků díky automatickému cachování statického obsahu a přesměrování. Divili byste se, kolik WordPressů má špatně udělané přesměrování, kdy je nutné načíst celé jádro.

Nové body v USA – Silicon Valley a Atlanta

V rámci první fáze budování WEDOS Global bylo naplánováno pro USA celkem 5 bodů a máme hotovo! Dva zbývající body byly spuštěny a to v Atlantě a Silicon Valley. Atlantský bod byl spuštěn 27. února 2023. Nejzajímavější bylo, že hned převzal většinu požadavků od společnosti Automattic na jejich plugin Jetpack pro WordPress. Tento bod odbavuje převážně provoz z USA, Brazílie, Britských Panenských ostrovů, Antiguy a Barbudy a Argentiny.

V 9:02 27. února 2023 jsme spustili čtvrtý bod v USA – Atlanta.

Druhý bod v Silicon Valley byl spuštěn v polovině března a WEDOS Global tak nyní disponuje 90 fyzickými servery v této oblasti. I když tento bod zatím zpracovává pouze necelé 1,5 % celkového provozu WEDOS Global, převážně se jedná o požadavky ze serverů Amazon, kde má své endpointy řada API třetích stran.

V polovině března (16. února 2023) jsme pak spustili další prozatím poslední plánovaný bod v USA tentokrát na strategickém místě Silicon Valley.

Pracujeme na dalších lokalitách a ladíme peering

Servery WEDOS Global jsou aktuálně ve 23 lokalitách v 18 státech na 5 kontinentech. Aktivně pracujeme na 3 dalších lokalitách, které by již brzy mohly být aktivní. Ale není to tak jednoduché jako zajistit housing pro jeden server. Pro nás je minimum 45 fyzických serverů a konektivita 100 Gbps. To vám všude jen tak nedají 🙂

Začali jsme také ladit peeringy. Hodně nám s tím pomohla konference CloudFest v Německu, kde jsme získali cenné kontakty. Řada věcí se dala do pohybu rychleji, než jsme to vůbec měli v plánu.

Odezva WEDOS Global po světě k 11.04.2023.

Aktuálně, co se týká světového žebříčku největších provozovatelů DNS na světě, tak jsme se díky WEDOS Global dostali mezi TOP 10 v Evropě. Bude to ale o dost lepší. Hodně nám průměr kazí pár lokalit, které vyřešíme. Dostat se mezi TOP 5 je reálné už v první fázi.

Celosvětově jsme TOP 27. Nicméně řada lokalit je teprve v plánu a na většině stávajících jsme ještě nezačali řešit peeringy. Dlouhodobý cíl je dostat se do TOP 10 🙂

Provoz přes WEDOS Global za březen

Na WEDOS Global už je více jak 2 tisíce domén, které jsou chráněny před různými druhy útoků.

V březnu bylo zaznamenáno celkem 1,9 miliardy požadavků z 8,7 milionů unikátních IP adres, které směřovaly na chráněné domény. Jedná se o požadavky očištěné o DDoS útoky na L3 a L4 a o všechen provoz, který máme na blacklistech.

DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.

Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).

Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.

Dále bylo zablokováno 10,8 milionů požadavků pomocí WAF (firewallu pro webové aplikace), který chrání weby před útoky na aplikační úrovni (L7). WAF byl během března postupně nasazován u všech nově přidaných domén. Další L7 útoky pak zastavily chytré filtry, které pracují s aktuálním provozem.

Útoky na L7 jsou typy kybernetických útoků, které se snaží znemožnit nebo ztížit přístup k webovým stránkám, API atd. Na Aplikační vrstvě (L7) jede například HTTP.

Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.

Infrastruktura WEDOS Global odbavila nejvíce požadavků z Česka (1 259 milionů), USA (190 milionů) a Slovenska (93 milionů).

Provoz přes WEDOS Global podle zemí – březen 2023

Vizualizace, na které body se připojují návštěvníci z jednotlivých zemí pak vypadá následovně. Zde je ještě dost co zlepšovat, ale postupně na tom začínáme pracovat.

Vizualizace, na které body se v březnu 2023 připojovali návštěvníci z jednotlivých zemí.

Z českých poskytovatelů jsou u nás nejaktivnější zákazníci O2 (234 milionů), T-Mobile (145 milionů) a Vodafone (89 milionů).

Google (67 milionů) předehnal Seznam (22 milionů) trojnásobně, nicméně je třeba dodat, že z IP adres Google nechodí jen jejich roboti, ale jsou tam i servery a služby jejich zákazníků.

Provoz přes WEDOS Global podle poskytovatele – březen 2023

Na největší chráněný web na WEDOS Global Protection šlo 92 milionů požadavků, na druhý 44 milionů a třetí 38 milionů. Nejvíce požadavků zablokoval WAF u jednoho zákazníka 3,37 milionu, u druhého 1,49 a třetí je náš český web s 1,46 miliony. Náš web však měl WAF zapnutý celý březen. V těchto statistikách nejsou další ochrany na L7.

Nutno podotknout, že většina webů v tabulce jede na našem sdíleném webhostingu NoLimit/Extra a využívá cachování obsahu a vybraných požadavků přímo na jednotlivých bodech WEDOS Global. Díky tomu jsou schopni utáhnout bez větších komplikací takový provoz. Až na výjimky je vše automatizované, takže ať máte hosting kdekoliv, tak WEDOS Global vám už teď výrazně pomůže. Pro jeho využití nemusíte mít žádné další služby u nás. Stačí nasměrovat doménu na DNS WEDOS Global. Zkuste to, vrátit se to dá vždy (stačí přehodit DNS zpět).

Nejsilnější útoky

Březen byl celkem klidný co se týká útoků. DDoS útoky do 10 Gbps na L3/L4 neřešíme, ty zvládá automatika a jen se zapisují do logů. Díky WEDOS Global jsou navíc rozprostřené do jednotlivých lokalit, takže v jednom bodě přes 10 Gbps je jen výjimečně. Pokud už se objeví tak je krátký, automatika jej vyřeší často dříve než technik zareaguje na SMS. Útočníky jsme asi přestali bavit a hledají si jiné cíle.

Zato L7 jsou stále oblíbenější a občas nás překvapí, jak silný provoz dokážou útočníci nejen vygenerovat, ale hlavně sesynchronizovat.

1. místo útok na eshop – přes 1,3M požadavků za minutu

K nejsilnějšímu útoku došlo začátkem března. Ve špičce měl přes 1,3 milionů požadavků za minutu. Když útočníci zjistili, cílový eshop neshodí, tak útok ukončili. Překvapilo nás jak dokázali pěkně útok sesynchronizovat. Na to že se jednalo o 2289 IP adres, tak začal doslova během 1 – 2 vteřin.

Nejsilnější L7 DDoS útok za březen 2023.

Cílový web byl v době začátku útoku pomalejší, pár tisíc požadavků prošlo i na webserver, ale NoLimit toho utáhne hodně.

2. místo útok na eshop – přes 1,2M požadavků za minutu

Stejný útočník má na svědomí zřejmě i další útok ze začátku března. Provedení bylo velice podobné a to i včetně síly, která byla téměř 1,3M požadavků za minutu. Útočilo však “jen” 779 unikátních IP adres. Jak vidíte na grafu, útočník opravdu chtěl shodit svůj cíl a ke konci tam tlačil požadavky, co to jen šlo.

Druhý nejsilnější L7 DDoS útok za březen 2023.

3. místo útok na náš web wedos.cz – přes 756tisíc požadavků za minutu

Třetí nejsilnější březnový útok měl sílu přes 756 tisíc požadavků za minutu ve špičce a šel z 2299 unikátních IP adres. Na rozdíl od předchozích, které trvaly pár minut, tento trval zhruba 24 minut.

Třetí nejsilnější L7 DDoS útok za březen 2023.

Nejzajímavější útok – 277 tisíc požadavků za minutu jen z TOR

V březnu určitě bylo z čeho vybírat, ale nejzajímavější útok byl čistě přes síť TOR, která poskytuje útočníkovi bezplatnou anonymitu. Útok směřoval na eshop. Byl proveden pouze z 10 unikátních IP adres, které patřili exit TOR nodům. Ve špičce vygeneroval 277 tisíc požadavků za minutu.

DDoS útok ze sítě TOR na eshop v březnu 2023.

TOR je k útokům zneužíván poměrně často. Vlastně převážná většina provozu je škodlivá (hledání zranitelností, komentářový spam, brute force útoky). Proto jej také řada hostingových společností blokuje.

Přemýšleli jsme, co s TOR na WEDOS Global. Nakonec jsme se rozhodli, že všechen provoz bude chráněn captcha. Pokud jej někdo chce využívat pro anonymní procházení webu, tak může, ale pokud bude chtít navštívit web chráněný WEDOS Global Protection, musí vyplnit jednoduchou captchu.

TOR (The Onion Router) je softwarový projekt, který umožňuje anonymní komunikaci na internetu. Používá se k ochraně soukromí uživatelů tím, že přeposílá síťový provoz přes několik proxy serverů, které zakrývají původní zdrojovou IP adresu uživatele. Tato síť proxy serverů je řešena jako vrstvy cibule (onion layers), což znamená, že každý proxy server zná pouze předchozí a následující proxy server v řetězci, ale nezná identitu samotného uživatele nebo konečného cíle komunikace.

TOR může být používán k přístupu k obsahu na internetu, který je cenzurován nebo blokován, ale také k ochraně citlivých dat, jako jsou například bankovní údaje, nebo k anonymní komunikaci například pro politickou aktivitu nebo whistleblowing.

Závěr

WEDOS Global je jedním z našich největších a nejnáročnějších projektů. Postupně celou síť budujeme a posouváme dál. Přibývá nám dat a zlepšujeme se i v jejich analýze a vyhodnocování, takže příští reporty mohou být ještě detailnější a zajímavější.