V listopadu čelila naše ochrana nadprůměrnému množství DDoS útoků přes aplikační vrstvu. Velká část z nich směřovala na e-shopy. Vše pak vyvrcholilo v pátek 24. listopadu, který je označován jako Black Friday. To nás utvrdilo v přesvědčení, že se nejednalo o nahodilé útoky, ale s největší pravděpodobností o konkurenční boj. Zvláště, když jsme zjistili, že dva e-shopy dvou různých zákazníků, které jsou pod silnými útoky pravidelně, prodávají stejný sortiment zboží.
WEDOS Global
WEDOS Global je název naší rozsáhlé sítě rozprostírající se po celém světě s více než dvěma tisíci našimi vlastními fyzickými servery. Tyto servery jsou strategicky umístěny v desítkách klíčových lokalit, což zajišťuje rychlé a bezpečné připojení vašeho webu do celého světa. Celková konektivita sítě je přes 3 000 Gbps a s každou přidanou lokalitou roste.
Síť WEDOS Global je postavena na dvou klíčových technologiích. První je BGP AnyCast. Tato technika rozkládá internetový provoz po celé síti. Je to zvláště účinné při ochraně proti DDoS útokům, které chtějí síť zpomalit nebo přetížit. Díky BGP AnyCast jsou tyto útoky rozptýleny do různých lokalit a jejich dopad je minimalizován.
Druhou je reverzní proxy. Jedná se o server, který stojí mezi návštěvníkem a cílovým serverem, kde máte váš web. Reverzní proxy nejen přeposílá požadavky, ale dokáže i velice efektivně zasáhnout v případě, když zjistí, že požadavek je škodlivý. Tato funkce zvyšuje bezpečnost a zlepšuje i rychlost načítání webu, protože WEDOS Global od října poskytuje službu webovou CDN cache v rámci WEDOS Global Protection. To znamená, že ukládá statické kopie obsahu webů v různých lokalitách, což umožňuje rychlejší načítání stránek pro uživatele z různých částí světa a zároveň snižuje zátěž na původní server. To vše přispívá k lepšímu uživatelskému zážitku a efektivnějšímu provozu webů.
Nové lokality
WEDOS Global je již nyní robustní a je jednou z největších infrastruktur v Evropě, avšak naším cílem je další růst a zrychlení, aby se stala nejlepší.
Spustili jsme další lokalitu WEDOS Global – Německo – Frankfurt
Úspěšně jsme zprovoznili dlouho plánovanou lokalitu v klíčové evropské internetové křižovatce – Frankfurtu nad Mohanem. V této lokalitě, strategicky umístěné v renomovaném datacentru Equinix, máme 45 fyzických serverů a 3 switche, včetně Arista 7280TR-48C6, který používáme pro propojení do internetových výměnných uzlů (IXP) a dalších sítí, s kterými chceme mít přímý propoj.
Nové propoje (peeringy)
Propojení s internetovými výměnnými body (IXP) – místa, kde se setkávají různé internetové sítě pro výměnu dat – a s velkými internetovými sítěmi významně urychluje přenos dat. Díky každému novému propoji se webové stránky stávají rychlejší pro miliony uživatelů po celém světě.
WEDOS Global se připojuje k Vídeňskému Internetovému Výměnnému Bodu!
WEDOS Global byl nedávno připojen k VIX (Vienna Internet Exchange – jednomu z nejdůležitějších internetových výměnných bodů v Evropě), což je významný krok pro zlepšení služeb.
Chcete se o WEDOS Global dozvědět více?
Pokud vás zajímá WEDOS Global a rádi byste se dozvěděli více o pokročilých technologiích, které používáme, tak pro hlubší a detailní pohled do technologické architektury, na níž je postavena infrastruktura WEDOS Global, vám doporučujeme poslechnout si naši přednášku z konference Kubernetes Community Days Czech & Slovak 2023. Tuto odbornou prezentaci vedli dva kolegové, kteří hrají klíčovou roli ve vývoji WEDOS Global.
WEDOS Global Protection
WEDOS Global Protection je služba navržená k ochraně a zrychlení webových stránek. Služba využívá infrastrukturu WEDOS Global a poskytuje ochranu proti různým typům kybernetických útoků. Zvyšuje rychlost webu prostřednictvím AnyCast DNS (= systém, který umožňuje rychlejší a spolehlivější vyřizování DNS požadavků tím, že distribuuje požadavky na nejbližší server) a CDN cache (tj. Content Delivery Network, síť serverů optimalizovaná pro rychlé doručení obsahu jako jsou webové stránky, obrázky, JavaScripty, fonty atd.). Dále umožňuje integraci nejnovějších internetových technologií bez závislosti na podpoře ze strany poskytovatele hostingových služeb (například IPv6, HTTP/3).
Samozřejmě je velký důraz kladen na ochranu webů. Krom útoků L3/L4 a L7 je na reverzním proxy i WAF, který umí předcházet zneužití zranitelností.
Co je WAF (Web Application Firewall)?
WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku nebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha), anebo zablokovat.
Statistiky WEDOS Global Protection
V listopadu narostl počet uživatelů WEDOS Global Protection na 1 348 (+75) a celkový počet chráněných domén na 6 517 (+720). V listopadu přibyla většina uživatelů kvůli webové CDN cache. Jak se ukazuje, tak znatelné zrychlení webu je větším lákadlem než kybernetická bezpečnost. Tu si kupují zákazníci spíše v případě, že už jsou cílem útoků. Výhoda WEDOS Global Protection je, že se dá nasadit velice rychle.
Přichází k nám také více zákazníků používajících redakční systémy hostované třetí stranou. Zde se setkáváme s tím, že zákazník naráží na limit u poskytovatele, který jej po překročení třeba na hodinu vypne. WEDOS Global Protection jednak výrazně sníží nežádoucí provoz a zároveň dokáže zajistit, že na cílový server neprojde více požadavků, což by způsobilo vypnutí či omezení webu. Do budoucna budeme potřebovat pro různé hostované systémy odlišné šablony nastavení, které toto budou automaticky hlídat.
V listopadu bylo zaznamenáno 4 166 723 667 (+33,53 %) požadavků z 11 276 125 (+32,43 %) unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 138 890 789 požadavků. Nárůst je způsoben jednak větším provozem na chráněných e-shopech a také větším množstvím útoků, které dorazily až k WAF (webovému firewallu). Útočníci opravdu chtěli uškodit, a tak útoky byly delší, intenzivnější a z více IP adres. Desítky tisíc IP adres, které nikomu nebudou chybět, rozšířily naše blacklisty.
Co se týká druhu útoků, tak L7 DDoS útok HTTP/2 Rapid Reset byl u některých útoků dominantní. Ovšem na rozdíl od října byl tentokrát spíše kombinován s dalšími druhy oblíbených útoků.
L7 DDoS útok HTTP/2 Rapid Reset
Útok „HTTP/2 Rapid Reset“ je specifický typ kybernetického útoku, který zneužívá charakteristiky protokolu HTTP/2. Tento protokol byl navržen pro efektivnější a rychlejší přenos dat ve srovnání s jeho předchůdcem HTTP/1.1, díky použití technik jako multiplexování požadavků, komprese hlaviček a jiných vylepšení.
Klíčové aspekty útoku „HTTP/2 Rapid Reset“ jsou:
- Zneužití streamů a multiplexování: HTTP/2 umožňuje multiplexování, což znamená, že více požadavků může být posíláno současně přes jedno TCP spojení. Útočník zneužívá tuto funkci tím, že rychle otevírá a zavírá velké množství streamů.
- Zátěž na servery: Toto chování může způsobit značnou zátěž na serveru. Server se snaží spravovat a udržovat mnoho otevřených streamů, což vyžaduje výpočetní výkon a paměť. Pokud je tento útok prováděn intenzivně a po delší dobu, může dojít k vyčerpání systémových zdrojů serveru.
- Resetování streamů: Útočník po otevření streamu pošle rámcový signál RESET, který následně donutí server k uzavření daného streamu. Opakované vysílání těchto signálů v rychlém sledu může způsobit, že server se stane přetíženým a nedostupným pro legitimní uživatele.
- Obtížná detekce: Útoky tohoto typu mohou být obtížně detekovatelné, protože se na první pohled mohou jevit jako běžná komunikace podle protokolu HTTP/2. To vyžaduje pokročilé monitorovací a bezpečnostní nástroje schopné rozpoznat anomální vzorce v rámci HTTP/2 komunikace.
- Cíl útoku: Tento útok je obvykle zaměřen na webové servery a aplikace, které používají HTTP/2, a jeho cílem je vyvolat DoS (Denial of Service) stav, kdy server není schopen zpracovávat další legitimní požadavky.
Vzhledem k tomu, že HTTP/2 je široce používán v moderních webových aplikacích, je důležité, aby byla infrastruktura vybavena odpovídajícími bezpečnostními mechanismy pro detekci a zmírnění takovýchto útoků.
Anebo můžete použít WEDOS Global Protection. WEDOS Global Protection funguje jako reverzní proxy, což znamená, že veškerý vstupní provoz prochází přes infrastrukturu před dosažením cílového serveru. Tato architektura umožňuje efektivnější filtrování a analýzu provozu, což je klíčové pro odhalení a zastavení „HTTP/2 Rapid Reset“ útoků. Zákazník tak nemusí řešit v podstatě nic.
A co další L7 útoky? V listopadu jsme ladili ochrany před HTTP flood útoky, kde se s nimi vypořádáváme rovnou až na WAF. Je to přesnější a efektivnější. Je třeba vše posunout hlavně kvůli parametrickým útokům, které se snaží obcházet detekci a cache.
Pokles útoků, které se snaží vyčerpat spojení, je důsledkem, že tyto útoky nejsou zas tak časté. Navíc testujeme různé formy, jak se jim bránit.
Co se týká WAF, necháváme procházet více útoků pro jejich efektivnější eliminaci. Experimentujeme i s cache stránky místo captcha.
Další blokování jsou výsledkem nových filtrů, které chrání hlavně WordPress před novými zranitelnostmi, a nárůstu počtu zákazníků s WordPress obecně.
| L7 DDoS – zachycených limitování přístupů (HTTP flood) | 693 449 | -98,65 % |
| L7 DDoS – zachycených problémových spojení (Slowloris, Connection Exhaustion atd.) | 232 910 | -92,11 % |
| Blokováno pravidlem WAF | 67 747 456 | +195,62 % |
| Další blokování L7 | 6 285 144 | +31,73 % |
Co je L7 DDoS útok?
L7 DDoS útok je typ kybernetických útoků na web nebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit nebo znepřístupnit webovou stránku nebo třeba API.
Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.
Tato čísla jsou jen první pokusy o útok. Jakmile se jedná o opakované pokusy, které naberou na síle (třeba desítky tisíc problémových přístupů za minutu), tak je IP adresa umístěna na blacklist. Je to však složitější, protože k různým IP se chováme odlišně (třeba mobilní operátor dostane JavaScript redirekt nebo captcha). Stejně tak k odlišným formám útoků.
L3/L4
Samozřejmě, že naši zákazníci jsou také pod klasickými L3/L4 DDoS útoky. Nicméně ve většině případů to nestojí za řeč. Naše ochrany jsou stavěny na útoky ve stovkách Gbps. Vše pod 10 Gbps ani neposílá notifikaci technikům. Vše řeší automaty. V listopadu se ochrany vesměs nudily. Pouze jeden volumetrický útok, který přesáhl 14 Gbps byl zajímavý.
Co jsou L3/L4 útoky?
DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.
Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).
Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.
Celkem jsme evidovali 7 299 (-1,87 %) DDoS útoků. Po rušném září tak pokračoval klid.
Tradiční volumetrické DDoS útoky probíhají trochu jinak. Je to více druhů útoků naráz. Takže jednotlivé útoky mohou mít třeba do 10 Gbps, ale ve výsledku, když se to všechno spojí, tak se dostaneme k desítkám nebo stovkám Gbps. Pokud vezmeme nejsilnější útok, tak vychází následovně:
Nejsilnější DDoS útok trval s přestávkou zhruba půl hodiny a ve špičce měl něco přes 14 Gbps. Nikdo ze zákazníků si ničeho nevšiml.
Pro dnešní přehled jsme vám také připravili tabulku nejsilnějších L3/L4 jednotlivých DDoS útoků za listopadu 2023. Útočníci většinou skládají takovéto útoky do jednoho masivního.
| Cíl | Top Packets/s | Top Bits/s |
|---|---|---|
| Webhosting | 791.2 k | 9.0 G |
| VPS | 788.9 k | 8.9 G |
| VPS | 788.9 k | 7.8 G |
| Dedikovaný server | 618.0 k | 7.5 G |
| VPS | 616.7 k | 7.4 G |
| VPS | 616.7 k | 7.3 G |
| Infrastruktura | 560.6 k | 7.2 G |
| Webhosting | 522.2 k | 7.1 G |
| Dedikovaný server | 354.1 k | 6.9 G |
| VPS | 332.2 k | 6.9 G |
Nejsilnější L7 DDoS útoky
Každý měsíc pro vás připravujeme seznam nejsilnějších a zajímavých DDoS útoků přes L7. Pracujeme pouze s požadavky, které projdou až k WAF, tedy přes blacklisty a řadu dalších ochran.
1. Útok na zkracovač URL – 3 M requestů za minutu
V nemilost může upadnout i zkracovač URL, že ale útok bude až tak silný, nikdo nečekal. Až k WAF se během 6 minut dostalo přes 8,1 milionů požadavků z 4 247 unikátních IP adres, které ve špičce dokázaly vytvořit tlak přesahující 3 miliony požadavků za minutu.
2. Útok na ministerstvo státu – 2,8 M requestů za minutu
Ochranu státních institucí máme už odzkoušenou a několik měsíců chráníme hned několik ministerstev států větších, než je ČR (v Česku si raději nechají shodit web, než by vyzkoušeli naše řešení). Někdy jsou to opravdu zvláštní útoky a procházet logy je velice zajímavé. Jsou to rozdílné IP (AS) a útočí jinak. V tomto případě to však byl vesměs standardní a jednoduchý L7 HTTP flood postavený na zranitelnosti HTTP/2 Rapid Reset.
Útok se skládal v podstatě ze dvou a celkem s přestávkou trval kolem 8 minut. Celkem útočníci poslali 12 M požadavků, 2,8 M za minutu ve špičce z 2 708 unikátních IP adres.
Tento útok byl posledním zajímavým pokusem v listopadu shodit tento vládní web. Předcházely tomu další pokusy. Nejzajímavější byl o pár dní dříve, protože s přestávkami trval zhruba 2 a půl hodiny a útočníci až k WAF protlačili 106 milionů požadavků z 3 270 unikátních IP adres. Špička 1,9 milionů za minutu také nebyla zrovna málo.
3. útok na e-shop – 1,7 M požadavků ve špičce
Tohle je typický příklad útoku na e-shopy v listopadu. Trval něco přes minutu a ve špičce měl 1,7 M požadavků z 2 674 UIP. Většina podobných útoků trvá 30–60 vteřin, zkusí poslat na cílový server dost požadavků, aby jej provozovatel e-commerce řešení/hostingu odstavil.
Bonus: útok na e-shop o Black Friday – 1,3 M požadavků ve špičce
Tento útok byl „nejnápadnější“, který prošel na Black Friday a směřoval na e-shop, kde zrovna intenzivně nakupovali zákazníci. Trval hodinu. Za tu dobu útočník poslal 26 milionů požadavků z 1 913 unikátních IP adres. Nakonec z toho vytáhl až 1,3 M požadavků za minutu.
Asi nejzajímavější bylo, že útok šel z českých IP adres, kde na jednom rozsahu jedna útočila, další nakupovala. Dokonce jedna útočící jednou za čas stáhla i obrázky a css, tedy je možné že tuto IP sdílel jak napadený počítač, tak i někdo, kdo si prohlížel nabídku zboží. Tradiční řešení blacklistování IP adres by tak našeho zákazníka stálo peníze.
Závěr
Uvidíme, jestli se nám podaří zkompletovat data za prosinec. Kolegové přidávají další testovací body, které data neposílají, část logů se předělává. Takže v lednovém přehledu možná budou jen novinky a největší útoky.