Publikováno Od WEDOS

WAF report z WEDOS Global Protection za červen 2023

[gtranslate]

V červnu jsme opět posunuli celou infrastrukturu WEDOS Global dál. Zlepšila se odezva v řadě zemí a přibylo i pár novinek, které snad už brzy nasadíme pro všechny. Samozřejmě nechyběly ani DDoS útoky, které jsme úspěšně odfiltrovali. Zajímavé je, že i přes nárůst webů pod ochranou WEDOS Global Protection, DDoS útoků v červnu ubylo. Vypadá to, že se nám útočníci začínají vyhýbat.

WEDOS Global

WEDOS Global je název naší infrastruktury, na které jede stejnojmenná celosvětová síť. Celá infrastruktura WEDOS Global má aktuálně k dispozici přes 1500 fyzických serverů a konektivitu přes 2,5 Tbps. Na konci května jsme měli servery ve 25 lokalitách v 20 státech na 5 kontinentech. Další lokalita je ve fázi dokončování.

Nový bod WEDOS Global v Mexiku

V pátek 16.06.2023 v 15:17 jsme spustili další bod WEDOS Global. Tentokrát v Mexiku, konkrétně v datacentru v hlavním městě Ciudad de México. Převážná část provozu je čistě z Mexika. Menší provoz jde z Kolumbie, Kuby, El Salvador a něco z USA.

Spuštění bodu WEDOS Globasl v Mexiku.

Co se týká provozu z Jižní Ameriky, tak většina jde zatím přes body v USA, kterých máme 5 (Atlanta, Dallas, Chicago, New York a Silicon Valley). Již několik měsíců domlouváme body v Jižní Americe, který se o tento provoz postarají. Bohužel je to velice náročné. Náš bod to je minimálně 45 fyzických serverů a 2 switche a potřebujeme konektivitu alespoň 100 Gbps s možností navýšení. Ne všude reálně mají tolik konektivity, jinde jsou zase problémy legislativní.

První bod přímo v Jižní Americe bychom mohli spustit do konce prázdnin. Vše domlouváme již několik měsíců.

Nový peering v Kanadě výrazně zlepšil odezvu v celé Severní Americe

Poslat někam tisíce serverů a zřídit si tam 100 Gbps konektivitu pro vybudování super rychlé celosvětové sítě nestačí. Je nutné se správně propojit s velkými sítěmi i těmi lokálními. Čeká nás ještě hodně práce, ale postupně na tom děláme.

Koncem června jsem spustili peering v Torontu v Kanadě, což vedlo k výraznému zlepšení konektivity v celé Severní Americe. Z 27 ms na cca 22,5 ms. Tento region je velice konkurenční se stovkami lokálních poskytovatelů. Takže když jsme se zde dostali na 23. místo, tak to považujeme za velký úspěch. Nicméně věříme že bychom se dokázali dostat na 15. – 10. místo do konce roku 🙂

Co je to IXP peering?

Peering je dohoda mezi dvěma poskytovateli internetových služeb (ISP), která umožňuje, aby jejich síťový provoz procházel přímo mezi nimi, aniž by musel projít třetí stranou.

Tento přímý přenos dat může zvýšit rychlost a spolehlivost internetového připojení, protože údaje nemusí cestovat tak daleko nebo přes další různé sítě. Také to může snížit náklady, protože obě strany se mohou vyhnout poplatkům, které by jinak mohly platit třetím stranám za přenos dat.

Peering obvykle probíhá na tzv. internetových výměnných bodech (IXP), kde může mnoho ISP propojit své sítě dohromady.

Chcete se o WEDOS Global dozvědět více?

Pro ty z vás, kteří mají zájem o hlubší pochopení pokročilých technologií na kterých je infrastruktura WEDOS Global postavena, nabízíme přednášku z Kubernetes Community Days Czech & Slovak 2023, konané v Bratislavě. Na této konferenci přednášeli dva naši kolegové, kteří jsou přímo zapojeni do vývoje WEDOS Global.

WEDOS Global Protection

WEDOS Global Protection je jedna ze služeb, která běží na WEDOS Global a má za úkol ochránit váš web před různými druhy kybernetických útoků. Je jedno jestli jsou to velké rozsáhlé DDoS útoky anebo malé útoky, kde se útočník snaží prolomit vaše heslo.

Důležitou součástí služby je i uchovávání statické verze vašich stránek v jednotlivých lokalitách. Pokud se na stránce nic nezměnilo, tak je návštěvníkům vždy servírován obsah z nejbližšího bodu. V podstatě se jedná o CDN.

Co je CDN (Content Delivery Network)?

Zkratka CDN v překladu znamená síť pro doručování obsahu. Tento systém funguje jako řada serverů rozmístěných po celém světě, které kopírují a ukládají obsah webových stránek (jako je samotná stránka, obrázky, styly stránek atd.).

Když uživatel chce načíst webovou stránku, která využívá CDN, místo aby se celý obsah stahoval z jediného centrálního serveru (což by mohlo být pomalé, pokud by uživatel byl od serveru geograficky daleko), požadavek je směrován na nejbližší servery v CDN síti WEDOS Global. Ty pak doručí obsah rychleji, protože jsou blíže k uživateli.

Využití WEDOS Global tak zvyšuje rychlost a efektivitu přenosu dat, zlepšuje dostupnost a spolehlivost webových stránek a pomáhá vyrovnat nápor uživatelů v případě, že stránku navštíví mnoho lidí najednou a zlepšuje vaše pozice ve vyhledávačích.

Služba WEDOS Global Protection obchodně spuštěna

WEDOS Global Protection už úspěšně chrání tisíce webů, takže nic nebránilo tomu spustit plný testovací provoz. Tedy včetně objednávek placených služeb, období na vyzkoušení atd. To znamenalo dotáhnout službu hlavně obchodně.

Původně jsme plánovali jeden tarif zdarma, který by byl určený pro osobní nekomerční weby. To bylo však v době kdy WEDOS Global Protection měl sloužit pouze k ochraně před kybernetickými hrozbami. Služba se však s cachováním obsahu posunula na úplně jinou úroveň a v podstatě supluje CDN pro weby. Reálně tak zrychluje weby a snižuje zátěž pro servery.

Podívejte se na nejnavštěvovanější weby na WEDOS Global Protection na našem sdíleném webhostingu NoLimit (některé mají tarif Extra) podle počtu požadavků. Návštěvnost je za červen (30 dní). Miliony požadavků denně utáhne sdílený webhosting za 39 Kč/měsíc díky chytrému cachování na WEDOS Global Protection.

Jak funguje cachování na WEDOS Global?

Cachování na WEDOS Global je proces, který umožňuje efektivní distribuci obsahu prostřednictvím našich bodů v 25 lokalitách po celém světě, tak aby se snížila zátěž na původní hostingový server a zvýšila rychlost přenosu dat uživatelům.

Jak to funguje:

  1. Ukládání do cache: Když uživatel poprvé požádá o určitý obsah (například webovou stránku, obrázek, javaskript, CSS), WEDOS Global získá tento obsah z původního serveru a uloží si kopii na na servery v dané lokalitě (tj. serveru blízko uživatele).
  2. Vydání obsahu: Když další uživatelé požadují o stejný obsah, WEDOS Global je schopen poskytnout obsah ze serveru, který je k nim nejbližší. To značně snižuje dobu potřebnou k načtení obsahu, protože data nemusí cestovat tak daleko. To je znát hlavně pokud máte nárazovou návštěvnost (reklamní kampaň, sdílení na sociálních sítích).
  3. Vypršení platnosti cache: Každý obsah uložený v cache má stanovenou dobu platnosti (TTL – Time to Live). Po uplynutí této doby se obsah smaže a musí být znovu načten z původního serveru při dalším požadavku. To umožňuje, aby obsah byl aktuální.
  4. Obnova obsahu: Pokud se obsah na původním serveru změní, WEDOS Global může aktualizovat svou cache, aby odrážela tuto změnu. To je zajištěno mechanismy jako je například “Invalidace cache”, které umožňují manuální nebo automatické smazání specifických souborů z cache. V administraci WEDOS Global najdete i tlačítko pro smazání cache.

Celkově tedy cachování na WEDOS Global pomáhá zrychlit načítání obsahu, snížit zátěž na původním serveru a zlepšit celkový výkon webových aplikací. Na rozdíl od vašeho hostingu, síť WEDOS Global je připravena odbavit miliony požadavků za vteřinu.

Tohle je funkce, která má svou velkou přidanou hodnotu protože snižuje náklady (když rostete nepotřebujte silnější hosting/VPS) a zlepšuje pozice ve vyhledávačích (reálně vidíme ve statistikách více přístupů z Google), protože jsou weby rychlejší a většina lokalit má servery Google “za rohem”. Nezapomínejte také, že většina hostingů má zahraniční přenosy omezené kvůli útokům anebo protože chtějí ušetřit, takže pro zahraničí je váš web často pomalejší. Schválně si to zkuste na dovolené 😉

Proto jsme se rozhodli, že nejnižší tarif Start bude za 25 Kč bez DPH za měsíc. Aktuálně je tam 15 denní zkušební lhůta, kde každý zjistí jestli se mu to vyplatí. Tento tarif je prakticky kompletní a nebude se na něm nic měnit.

Druhý tarif Advanced stojí 150 Kč bez DPH měsíčně a hlavní rozdíly jsou, že bude obsahovat i lokality, kde jsou drahé přenosy dat, všechny kontroly a chybové stránky se pokusíme udělat co nejméně rušivě (clean design) a přednostně budou aplikovány konfigurace pro zlepšení výkonu a chytré ochrany proti novým bezpečnostním hrozbám. Do budoucna počítáme s detailnějšími grafy a logy.

Tarif Expert je určen pro vývojáře, kteří dobře rozumí síťovému provozu a potřebují pro své skripty určité výjimky či individuální pravidla. Nabízí řadu možností, jak si upravit ochranu, ale zároveň jeden překlep znamená, že váš web nepůjde půlce planety.

Poslední tarif Ultimate je řešení na míru pro velké společnosti, organizace a vlády, kteří potřebují nejen ochránit svůj web, ale mít k dispozici i člověka na telefonu pro případ řešení problému. V rámci tohoto řešení je možné domluvit i SLA.

Dále máme dva tarify pro správce velkého množství domén. Multidomain B2B je určen například hostingovým firmám anebo správcům webů. Umožňuje přes API “nasypat” domény, které budou na našich AnycastDNS a pokud bude nějaký jejich zákazník pod útokem tak pro ně zapnout ochranu. Výhodou je, že dokud ochrana není zapnutá tak se za WEDOS Global Protection neplatí.

Multidomain B2B Whitelabel je v podstatě to samé, ale vše můžete provozovat pod vlastním názvem DNS (doménami), vlastními IP a dokonce i vlastním ASN (více info). Takováto služba na světě není, protože pokud by byla, tak bychom si jí koupili pro nás a nemuseli stavět WEDSO Global za stovky milionů 🙂

Přehled kompletních ceníků najdete na https://www.wedos.com/cs/protection/

Nový WordPress plugin

Naši vývojáři v květnu dokončili plugin pro WordPress, který vám pomůže se zprovozněním WEDOS Global Protection. Tento měsíc jsme jej nahráli na WordPress.org a čekáme na schválení. Prozatím si jej můžete stáhnout z našeho webu a nainstalovat manuálně.

  1. Stáhněte si plugin (wgpwpp.zip) na https://www.wedos.com/cs/protection/ochrana-wordpress/
  2. Přihlaste se do administrace Vašeho WordPress
  3. V levém bočním panelu klikněte na položku “Pluginy”. Otevře se stránka se seznamem pluginů.
  4. Na stránce se seznamem pluginů klikněte na tlačítko “Přidat nový” na vrchní liště.
  5. Na stránce s možnostmi pro přidání nového pluginu vyberte záložku “Nahrát plugin”.
  6. Klikněte na tlačítko “Vybrat soubor” a vyberte ZIP soubor pluginu (wgpwpp.zip), který jste stáhli na začátku. Poté klikněte na tlačítko “Nahrát”.
  7. Po úspěšném nahrání pluginu WordPress provede proces instalace. Po dokončení instalace uvidíte zprávu o úspěšné instalaci.
  8. Po instalaci pluginu bude zobrazena možnost aktivace pluginu. Klikněte na odkaz “Aktivovat plugin”.

Plugin WEDOS Global Protection Vám pomůže ochránit WordPress před útoky (od malých až po ty velké), přetěžováním a ještě nasbíráte nějaké SEO body za rychlost (zrychlí se odezva DNS po celém světě, WEDOS Global Protection automaticky cachuje po celém světě vybraný obsah).

Za zpětnou vazbu budeme rádi.

Testujeme HTTP/3

Na jednom z reverzních proxy jsme spustili testovací provoz protokolu HTTP/3.

HTTP/3 je nejnovější verze protokolu HTTP, který je základem pro přenos dat na internetu a díky němu můžete přistupovat na webové stránky.

Dřívější verze HTTP (HTTP/1 a HTTP/2) využívají protokol TCP (Transmission Control Protocol) pro přenos paketů. TCP je spolehlivý, protože zajišťuje, že všechny pakety dorazí na správné místo a v správném pořadí. Ale má to také nevýhody – pokud se jeden paket ztratí nebo se zpozdí, všechny následující pakety musí čekat, dokud se ztracený paket neobjeví. To se nazývá Head-of-line blocking (blokování hlavy řady).

HTTP/3 místo toho používá novější protokol nazvaný QUIC, který byl navržen tak, aby překonal problém Head-of-line blocking. QUIC používá protokol UDP (User Datagram Protocol), který nevyžaduje, aby pakety dorazily v určitém pořadí. To znamená, že pokud se jeden paket ztratí nebo zpozdí, ostatní pakety mohou pokračovat bez čekání.

Výhody HTTP/3 zahrnují:

  • Lepší výkon v nestabilních sítích: HTTP/3 může efektivněji přenášet data v sítích, které jsou nestabilní nebo mají vysokou odezvu, jako je například mobilní internet. U zákazníků s mobily v špatně pokrytých oblastech, ve vlaku atd. získáte konkurenční výhodu.
  • Rychlejší připojení: QUIC umožňuje rychlejší nastavení nových spojení, protože je potřeba k nastavení spojení mezi klientem a serverem méně kroku.
  • Zabezpečení je výchozí: QUIC využívá šifrování jako standard, což zlepšuje zabezpečení dat.
  • Žádné Head-of-line blocking: QUIC umožňuje, aby pakety pokračovaly, aniž by musely čekat na ztracené nebo zpožděné pakety. To zlepšuje rychlost a efektivitu přenosu dat.

Moderní prohlížeče už HTTP/3 umí. Ovšem starší mohou používat stále HTTP/2. Až vše detailně otestujeme tak HTTP/3 spustíme pro všechny.

HTTP/3, IPv6 a další technologie, které nabízí WEDOS Global nemusí podporovat váš hosting a přesto je budete moct používat.

Jak by taková komunikace bude vypadat?

  1. Požadavek od klienta: Klient (návštěvník) pošle požadavek na webový obsah pomocí IPv6 a HTTP/3. Toto spojení je mezi klientem a reverzní proxy WEDOS Global.
  2. Překlad reverzní proxy: Reverzní proxy WEDOS Global přijme tento požadavek a přeloží ho na formát, který může přijmout váš server – například na HTTP/2 a IPv4.
  3. Požadavek k serveru: Reverzní proxy WEDOS Global poté pošle tento přeložený požadavek na váš server/hosting.
  4. Odpověď serveru: Server/hosting zpracuje požadavek a pošle odpověď zpět na reverzní proxy WEDOS Global pomocí HTTP/2 a IPv4.
  5. Překlad a odeslání odpovědi: Reverzní proxy WEDOS Global přijme tuto odpověď, přeloží ji zpět do HTTP/3 a IPv6 a pošle ji klientovi.

Díky tomuto procesu může reverzní proxy WEDOS Global sloužit jako most mezi klienty, kteří používají moderní technologie jako HTTP/3 a IPv6, a servery, které ještě nepodporují tyto technologie. To umožňuje serverům postupně přecházet na novější technologie bez nutnosti okamžitého upgrade.

Statistik WEDOS Global Protection

Následující statistiky jsou z reverzních proxy serverů na jednotlivých bodech, které odbavují požadavky očištěné od L3/L4 DDoS útoků. Popravdě s L3/L4 útoky se v posledních měsících už moc nesetkáváme. Dříve jsme útoky 10 Gbps+ zažívali několikrát do týdne, v červnu byl jeden.

Co jsou L3/L4 útoky?

DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.

Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).

Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.

Dále jsou statistiky očištěny o všechny požadavky, které jdou ze serverů na našich blacklistech. Blacklisty používáme pouze na IP adresy z kterých jde výhradně škodlivý provoz. Pokud se jedná o smíšený provoz umíme to “proprat” přes ochranu, kde se využívá cookie + přesměrování přes JavaScript anebo Captcha.

Jak používá WEDOS blacklisty?

WEDOS využívá řadu blacklistů, které si tvoříme sami anebo získáváme od třetích stran (Udger, AbuseIPdb).

Nejvíce IP adres je na automaticky generovaných blacklistech, které se vytváří algoritmy na základě analýzy provozu v reálném čase. IP adresa zde může být jednotky minut anebo i hodin.

Dále máme standardní blacklisty, které tvoří naši odborníci na kybernetickou bezpečnost v reakci na útoky anebo z analýzy logů.

Dále do přehledu nejsou zahrnuty některé požadavky, které používáme pro monitorování dostupnosti a fungování jednotlivých bodů, aby statistiky nezkreslovaly.

Ke konci června počet chráněných domén WEDOS Global Protection narostl na 3754 (+720). Část jsou domény, které přidala podpora kvůli útokům anebo to jsou to náročné weby, kterým výrazně pomáhá automatická cache na proxy serveru. Mimo nás využívá WEDOS Global Protection 940 uživatelů (+136).

V květnu bylo zaznamenáno celkem 3 387 852 458 požadavků (+26,43 %) z 7 730 182 (-4,56 %) unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 112 928 415 požadavků.

Denní graf přístupů na WEDOS Global za červen, očištěných od L3/L4 a statistik.

S tím jak se šíří povědomí o WEDOS Global, tak přibývá i nových uživatelů. Zároveň ti co zkouší WEDOS Global, většinou po úspěšném testování přidávají další domény.

V červnu ubylo velkých DDoS útoků přes aplikační vrstvu (L7). Nutno podotknout, že jsme na základě dat pěkně nakrmily blacklisty o napadená VPS třetích stran. Obojí mělo vliv na pokles unikátních IP adres (IPv4 a IPv6).

Co je L7 DDoS útok?

L7 DDoS útok je typ kybernetických útoků na web anebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit anebo znepřístupnit webovou stránku anebo třeba API.

Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.

Tím jak vylepšujeme algoritmy, které dávají dočasně IP adresy na blacklisty, tak klesá počet požadavků, které musíme blokovat na reverzní proxy (limity přístupů, limity spojení a webový firewall). Sledujeme také, že útočníci opravdu šetří zdroje. Jakmile zjistí, že narazí na ochranu u nás, tak útok zastaví. Většina útoků tak trvá nižší jednotky vteřin, což je vzhledem k tomu, že musí sesynchronizovat útok ze stovek až tisíc IP adres v jeden okamžik celkem fascinující.

Statistiky nudících se ochran 🙂

  • L7 DDoS – zachycených limitováním přístupů (HTTP flood): 3 919 589
  • L7 DDoS – zachycených problémových spojení (Slowloris, Connection Exhaustion atd.): 461 070
  • Blokováno pravidlem WAF: 7 937 254
  • Další blokování L7: 6 008 263

Nutno podotknout, že tento záchyt jsou většinou první pokusy. Jakmile někdo rozjede třeba HTTP flood v tisících požadavků za vteřinu, tak už jde na blacklist, kde může být pár minut, desítky minut anebo i hodiny. Přesný čas určují algoritmy.

Nejsilnější L7 DDoS útoky

Červen byl od spuštění WEDOS Global nejnudnější. Buď útočníci odjeli na dovolenou užívat si hezkého letního počasí anebo prostě na nás už neútočí a hledají si oběti jinde. Nezapomeňte že WEDOS Global Protection můžete používat i když máte hosting/VPS u konkurence. Není třeba nic stěhovat, stačí nasměřovat u domény DNS. Viz. První pomoc při DDoS útoku.

1. útok na web aplikace – špička 911 tisíc požadavků za minutu

Tento zákazník je pod útoky téměř každý měsíc. Jeho aplikace zřejmě leží někomu v žaludku. Většinou jsou útoky na něj velice krátké (desítky vteřin). Tentokrát útok trval přes 3 minuty, takže špička byla 911 tisíc požadavků za minutu. Útok co prošel na reverzní proxy byl z 984 unikátních IP adres, což není málo. Nicméně předpokládáme že další stovky jsou na našich blacklistech trvale.

2. útok na multimediální web – špička 190 tisíc požadavků za minutu

Tento útok byl poměrně zajímavý tím, jak moc se snažil útočník prorazit ochranu. Sehnal poměrně velké množství IP adres 2674 a z nich poslal ve třech vlnách 499 tisíc požadavků, což bylo ve špičce nějakých 190 tisíc za minutu. Běžně spíše vidíme útok hezky sesynchronizovaný, tak to šlo postupně. Útok trval necelé tři minuty, než útočník pochopil, že to nemá cenu.

Žádný další útok co do síly nebyly zajímavé.

Bonus útok z 1 IP

Tento útok proběhl na jeden web školy. Útok šel jen z 1 IP adresy (jednoho zařízení) a krásně demonstruje jak silný může takový L7 DDoS útok být. Na grafu vidíte, jak útočník dokázal vygenerovat přes 1800 požadavků za vteřinu. Ustál by to váš web? Protože podobný útok může udělat kdokoliv třeba z mobilu.

Závěr

Kdokoliv může využívat WEDOS Global Protection pro rychlejší načítání a ochranu svých webů. Službu je možné používat bez nutnosti stěhovat hardware anebo měnit poskytovatele webhostingu. Stačí nasměřovat doménu na DNS WEDOS Global a přidat doménu do administrace WEDOS Global Protection.