I v dubnu byla naší hlavní prioritou práce na WEDOS Global a jednotlivých službách. Jedná se o největší a nejnákladnější projekt v dějinách WEDOS, takže tomu odpovídají i priority jednotlivých oddělení.
Jak jsem pokročili s WEDOS Global
Budování samotné infrastruktury je velice komplikované a kromě technických věcí je nutné řešit i řadu obchodních, právních a úředních záležitostí. V první fázi máme v plánu vybudovat síť postavenou na 40 – 50 bodech. V každém bodě minimálně 45 fyzických serverů + 2 switche s konektivitou 100 Gbps.
V další fázi jsme měli v plánu začít domlouvat peering s významnými lokálními poskytovateli konektivity v jednotlivých lokalitách a ladit routování (kudy teče provoz). Což celou síť WEDOS Global posune na úplně jinou úroveň.
Co je to peering?
Peering je přímé spojení mezi dvěma sítěmi. Provozovatelé hostingu využívají peering k propojení s jinými sítěmi a mohou poskytovat lepší konektivitu svým zákazníkům. Přímý peering mezi dvěma poskytovali umožňuje snížit odezvu, zlepšit stabilitu a zvýšit rychlost přenosu dat.
Koncem března jsme začali využívat profesionální nástroje třetích stran k monitorování a porovnávání anycast sítí. Chtěli jsme vědět, jak si stojíme v porovnání s celosvětovou konkurencí. S 23 body, v 18 státech na 5 kontinentech jsme se dostali do TOP 20 v Severní Americe a TOP 10 v Evropě, což nejsou špatná čísla.
Celkové umístění v žebříčku je postavené na datech měření ze stovek lokalit po celém světě. Každá lokalita má vliv na výsledek. Takže jsme si stáhli měření ze všech lokalit, vyhodnotili je a začali přemýšlet, kam dát další body. Zjistili jsme, že pro Evropu a USA už to není o dalších bodech, ale právě o peeringu a routování. Samozřejmě pro lepší výsledky ze světa potřebujeme další body, ale není to až taková priorita, jak jsme si mysleli.
V dubnu tak padlo rozhodnutí, že se nebude čekat na fázi dvě a začne se řešit jak peering, tak i routování na vybraných bodech. Prozatím na úrovní IXP (Internet Exchange Point).
Co je to IXP (Internet Exchange Point)?
IXP (Internet Exchange Point) je fyzické místo, kde se propojují různé sítě. Provozovatelé sítí se zde mohou propojit a vyměňovat data. Díky tomu se snižuje latence a zvyšuje rychlost přenosu dat mezi jejich sítěmi. V podstatě je to křižovatka lokálního internetu.
Jako první jsme domluvili největší IXP v Bulharsku – Bulgarian Internet eXchange (BIX.bg), který propojuje největší a nejvýznamnější lokální poskytovatele konektivity. V této oblasti se nám díky tomu velmi výrazně zlepšila odezva a WEDOS Global tam má u anycast sítí dokonce druhou nejlepší odezvu na světě.
Samozřejmě to mělo vliv i na hodnocení WEDOS Global v Evropě. Potvrdilo se nám, že jdeme správnou cestou a je pro nás reálné se postupně dostat mezi TOP 10 na světě.
Ono by teoreticky bylo možné dostat se s naším řešením, rozpočtem i plánem dlouhodobě i mezi TOP 5, ale jsou lokality, kde je umístění 45 fyzických serverů se 100 Gbps připojením náročné. Například několik měsíců jsme řešili body v Mexiku a Turecku. Servery tam už doslova “přežily svou vlastní smrt”. Ale to jsou příběhy spíše na afterparty po nějaké konferenci u nás 🙂
Dále s China Telecom ladíme routování nejen v Asii. Všimli si nás a oslovili přímo na CloudFest v Německu, kde jsme měli svůj dvoupatrový stánek. Domlouváme, aby vše šlo správně na nejbližší body v Asii a neposílali nám to přes evropské body.
WEDOS Global Protection
Na WEDOS Global Protection se pracuje v podstatě na dvou frontách. Pokračuje vývoj zákaznické administrace WEDOS Global a přidružených systémů. Rádi bychom tam “naskládali” v rozumném rozsahu všechno, co máme jinde, ale uživatel by to mohl potřebovat “mít na dosah”. Například propojení s WEDOS OnLine, správu a registraci domén atd.
Zároveň pokračuje vývoj a ladění ochran. Minulý měsíc jsme hromadně nasadili univerzální šablonu na ochranu nejen WordPress webů. Většina uživatelů je spokojená, protože se jim vše zrychlilo a nemusí už sami řešit ochranu před DDoS útoky, hledání zranitelností atd. Bohužel jsme narazili i na případy, kdy někdo používá ne úplně vhodné řešení (vývojáři občas hledají zkratky, které úplně nejsou podle standardů WordPress) a tak řešíme, čemu dát výjimku a kdy.
Postupujeme opatrně a s novými filtry a pravidly nespěcháme. Sledujeme, co je blokováno a proč.
CDN na statický obsah automaticky a pro všechny
Za zmínku určitě stojí, že na WEDOS Global Protection je nasazeno i cachování statického obsahu ve všech lokalitách. Takže pokud máte dobře nastavená pravidla, tak se Váš obsah bude po celém světě díky WEDOS Global Protection načítat o dost rychleji a ušetříte i výkon serveru.
WEDOS Global Protection můžete používat, i pokud u nás nemáte hosting. Stačí, když doména bude směřovat na naše DNS. Začít můžete na client.wedos.global
L3/L4 útoky
Jen pro zajímavost. Nedávno jsme vyhodnocovali aktivitu útočníků a v porovnání s minulým rokem výrazně poklesla. V podstatě se to ani nedá srovnávat. L3/L4 útoky v desítkách Gbps jsou tento rok zcela výjimečným úkazem. Asi už útočníky nebavíme a přesunuli se jinam.
Co jsou L3/L4 útoky?
DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.
Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).
Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.
WEDOS Zone
Další službou, která na WEDOS Global vznikne, bude WEDOS Zone. Jedná se čistě o Anycast DNS. Tedy DNS budou odpovídat rychleji (dotaz jde na nejbližší DNS) a navíc vždy bude nějaké dostupné (v případě výpadku nejbližšího přebere provoz další nejbližší).
Kvůli velkému zájmu ze strany B2B bude služba podporovat i hromadné přidávání záznamů, API, migraci zón přes AXFR atd.
Ačkoliv se nejčastěji mluví o DDoS útocích na webové stránky, tak profesionální útočníci vědí, že nejvíce škod napáchají útokem na DNS. Proto je o naše odolné a decentralizované DNS takový zájem.
Provoz přes WEDOS Global za duben
Na WEDOS Global už je více než 2 tisíce domén, které jsou chráněny před různými druhy útoků. Velká část jsou velké weby našich zákazníků, které tam přidala podpora, protože měly nějaký problém. Ať už na ně byly vedeny útoky, anebo potřebovaly automatické cachování obsahu.
V dubnu bylo zaznamenáno celkem 1 869 131 298 požadavků z 8 101 233 unikátních IP adres, které směřovaly na chráněné domény. Jedná se o požadavky očištěné o DDoS útoky na L3 a L4 a o všechen provoz, který blokujeme na blacklistech.
Čísla jsou to o trochu menší než minulý měsíc, ale je nutno dodat, že část z toho, co minulý měsíc prošla, byla tento měsíc blokováno přes blacklisty, které obsahují IP adresy různých botnetů a napadených serverů. Máme systém na analýzu a vyhodnocování DDoS útoků, kde jedním z výstupů je i seznam IP adres s doporučením k blokování na různou dobu.
WAF zablokoval celkem 8 646 571 požadavků. Jednalo se převážně o hledání a zneužívání zranitelností. Z toho 4 077 260 milionů požadavků bylo zablokováno na základě pevných pravidel WAF a 4 569 311 na základě chytrých filtrů WAF.
Tyto požadavky jsou nepříjemné. Často volají necachované stránky, protože se na nich snaží spustit nějaký zranitelný skript. Jsou tak daleko náročnější na výpočetní výkon hostingu a mohou mít stejný dopad jako DoS útok.
Co je WAF (Web Application Firewall)?
WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku anebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha) anebo zablokovat.
WEDOS Global Protection dále zablokoval 9 383 460 požadavků, které byly vyhodnoceny jako L7 DDoS útok.
Dále WEDOS Global Protection zablokoval 2 900 120 pokusů o spojení, které byly vyhodnoceny jako L7 DDoS útok.
Co je L7 DDoS útok?
L7 DDoS útok je typ kybernetických útoků na web anebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit anebo znepřístupnit webovou stránku anebo třeba API.
Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.
Tyto útoky jsou poměrně nákladné, takže s nimi útočníci neplýtvají. Často trvají jen velmi krátkou dobu, kdy zkusí přetížit server. Začne to třeba stovkami dotazů během jednotek vteřin, pak zkusí tisíce, desítky tisíc atd. Jakmile mají či nemají úspěch, tak podle toho upraví parametry útoku. Když narazí na ochranu většinou vše velmi rychle ukončí a stáhnou se. Předpokládáme, že důvodem je, aby IP adresy útočících serverů neskončily na blacklistu.
Občas je fascinující sledovat, jak během 1 – 2 vteřin zahájí synchronizovaný útok z tisíce IP adres, a když narazí na ochranu, tak během 2 – 3 vteřin vše zastaví.
Na následujícím grafu vidíte útoky během dubna. Každý sloupec je jeden den. Barvy odlišují body, které je odbavily.
A odkud se nejvíce útočí?
Nejvíce požadavků na L7 blokujeme z Česka. S velkým odstupem je USA a Slovensko. Pokud si provoz rozdělíme podle provozovatelů, tak O2, Liberty Global B.V., T-Mobile a TS-Data s.r.o.. U všech bylo za duben zablokováno více než 1 milion požadavků.
Převážně za to mohou napadená zařízení, které mají přístup k internetu a provádí například hledání zranitelností.
Nejsilnější DDoS útoky
I v dubnu jsme zaznamenali řadu DDoS útoků, které směřovaly na weby chráněné WEDOS Global Protection. Vzhledem k tomu, že tento článek se věnuje WAF, tak dáváme seznam nejsilnějších DDoS útoků na aplikační (L7) vrstvě.
1. místo útok na web aplikaci na čištění počítače – přes 926 tisíc požadavků za minutu
Koncem měsíce jsme zaznamenali útok na web k aplikaci na čištění počítače. Samotný WAF si musel poradit ve špičce s 926 tisíci požadavky za minutu. Útok byl krátký. Ve dvou fázích trval celkem zhruba tři a půl minuty. Jednalo se o zhruba 2,5 milionů požadavků z 903 IP adres. Něco “málo” prošlo, ale cílový hosting to ustál jen se 2 stavovými kódy 502.
Nicméně útok byl o dost silnější. Část požadavků, které reverzní proxy zablokovala, byla v takovém stavu, že z nich nešlo dostat kam směřují, ale objevily se právě v době útoku. Jednalo se o více než milion požadavků za minutu.
Šlo tedy o rozsáhlejší a komplexnější útok, který kombinoval více druhů útoků.
2. místo útok na wedos.cz – přes 519 tisíc požadavků za minutu
Není měsíc, aby někdo na nás něco nezkoušel. Pokud tvrdíme, že máme nejvíce zkušeností s DDoS útoky, tak to nejsou jen nejsilnější útoky (2021, 2022), ale i stovky útoků různých druhů a intenzity na naše weby a tisíce na naše zákazníky, s kterými se nejen setkáváme, ale také je analyzujeme a snažíme se z nich poučit a vylepšit naše ochrany.
V dubnu se dokonce jeden takový útok dostal i do přehledu nejsilnějších DDoS útoků přes L7. Začátkem dubna si někdo chtěl asi vyzkoušet, co zvládne a pustil na náš web krátký útok přesně z 2000 IP adres. Krásně kulaté číslo. Náhoda? Nemyslíme si 🙂
Celkem se jednalo o 943 tisíc požadavků. Náš web to ustál bez problémů, i když k menšímu zpomalení došlo.
3. místo útok na herní server – 346 tisíc požadavků za minutu
V dubnu jsme museli přidat dalšího našeho zákazníka s herním serverem na WEDOS Global Protection a to kvůli útokům. Herní servery, respektive obecně weby věnované online hrám se s DDoS útoky potýkají celkem často.
Konkrétně na tohoto začaly jít celkem silné útoky už začátkem dubna, a tak ho podpora přesunula na WEDOS Global Protection. Pokud používá zákazník naše DNS, tak to není problém a jde to rychle (zduplikují se NS záznamy a je hotovo). Co do špiček útoky nebyly zas tak výrazné, ale když se přehoupnou přes 100K požadavků za minutu, tak je to znát. Výhodou WGP je, že cachuje jak statický obsah, tak i přesměrování (30X) a chybové stránky (404), takže i když jde útok na neexistující stránky, tak si s tím poradí. Tady to zafungovalo opakovaně skvěle.
Ale zpět k hernímu webu. Nejsilnější z útoků měl 3,8 milionů požadavků (které prošly přes další vrstvy ochran až k WAF) z 240 IP adres a trval 17 minut. Ve špičce dosáhl v průměru 346 tisíc požadavků za minutu.
Závěr
WEDOS Global roste, zlepšujeme se v detekci útoků i jejich vyhodnocování na WEDOS Global Protection a připravujeme další služby na naší celosvětové síti. Vše jde správným směrem.
Pokud chcete více informací, tak navštivte náš web wedos.global.