WAF report z WEDOS Global Protection za prosinec 2023

[gtranslate]

Zhruba v polovině prosince se zastavil počet významných útoků na e-shopy. To jsou útoky přesahující vyšší stovky tisíc požadavků za minutu na sedmé (aplikační) vrstvě, případně vedené z více jak tisíc unikátních IP adres. To nás utvrdilo, že tento druh útoků se stává běžnou součástí konkurenčního boje v Česku. Nicméně prosinec nebyl v porovnání s listopadem klidnější.

WEDOS Global

Nejdříve krátce o WEDOS Global.

WEDOS Global je název pro naši globální síťovou infrastrukturu postavenou na více než dvou tisících fyzických serverech, které jsou v našem vlastnictví. Servery jsou strategicky umístěné v desítkách lokalit po celém světě. Tato umístění jsou pečlivě vybírána tak, aby poskytovala optimální rychlost a bezpečnost připojení pro webové stránky. S celkovou síťovou konektivitou přesahující 3 000 Gbps máme dostatek rezerv pro odolání i těm nejsilnějším DDoS útokům. WEDOS Global navíc rychle roste a tak se stává robustnější a rychlejší.

Hlavní technologickou oporou sítě WEDOS Global je implementace BGP AnyCast, což je technologie, která efektivně distribuuje internetový provoz napříč celou sítí. Tato distribuce je klíčová pro minimalizaci dopadu DDoS útoků, které mají za cíl zpomalit nebo zablokovat síťový provoz. Díky BGP AnyCast jsou útoky velice efektivně rozptýleny po různých lokalitách, čímž se výrazně snižuje jejich potenciální škodlivý vliv. V podstatě je eliminováno to nejnebezpečnější, co DDoS útoky představují.

Druhou zásadní technologií je implementace reverzní proxy. Tento mezičlánek mezi návštěvníkem a cílovým serverem nejen přeposílá požadavky, ale má také schopnost identifikovat a eliminovat škodlivý provoz. Významně tak přispívá k bezpečnosti webového prostředí.

Kromě toho, díky integraci webové CDN cache v rámci WEDOS Global Protection, umožňuje reverzní proxy uložení statických kopií webového obsahu na různých geografických místech. Tento přístup vede k rychlejšímu načítání webových stránek pro uživatele z různých regionů světa a zároveň efektivně snižuje zátěž na hostingovém serveru.

Toto vše má za následek nejen výrazné zvýšení bezpečnosti, ale také zlepšení uživatelského zážitku a celkové efektivity webových stránek. Jakmile začne webová CDN cache fungovat u nově přidaného webu, v průměru zaznamenáváme zrychlení o 30-40 %.

Cachování obsahu používáme také jako velice efektivní způsob, jak se vypořádat s DDoS útoky.

Nové připojení k IXP ve Finsku

Po úspěšné integraci s Netnodem, jedním z předních internetových výměnných bodů (IXP) v severní Evropě, jsme rozšířili naši síťovou infrastrukturu o peering v Helsinkách (Finsko).

Chcete se o WEDOS Global dozvědět více?

Pokud vás zajímá WEDOS Global a rádi byste se dozvěděli více o pokročilých technologiích, které používáme, tak pro hlubší a detailní pohled do technologické architektury, na níž je postavena infrastruktura WEDOS Global, vám doporučujeme poslechnout si naši přednášku z konference Kubernetes Community Days Czech & Slovak 2023. Tuto odbornou prezentaci vedli dva kolegové, kteří hrají klíčovou roli ve vývoji WEDOS Global.

WEDOS Global Protection

Představte si, že váš web je neustále pod ochranou tisíců serverů rozmístěných po celém světě. To není jen obyčejná ochrana proti útokům, to je jako mít osobní armádu kybernetických strážců. Ať už jde o nezbedné boty, kteří zkoušejí prolomit vaše heslo nebo o masivní DDoS útoky, WEDOS Global Protection drží vaši stránku v bezpečí 24 hodin denně, 7 dní v týdnu. Navíc sledujeme aktuální hrozby a upravujeme na míru ochrany pro všechny weby.

WEDOS Global Protection kombinuje jak klasickou ochranu proti volumetrickým DDoS útokům, tak i proti nové generaci útoků směřující na aplikační vrstvu. Navíc je k dispozici masivní WAF, který neustále vylepšujeme proti novým hrozbám.

Co je WAF (Web Application Firewall)?

WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku anebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha), anebo zablokovat.

S WEDOS Global Protection navíc může váš web značně zrychlit. Díky AnyCast DNS a webové CDN cache je obsah vašeho webu distribuován tak efektivně, že uživatelé budou mít pocit, že data mají na dosah ruky, ať jsou kdekoli na světě. A to je skvělé nejen pro uživatelský komfort, ale i pro vaše SEO.

Další výhodou WEDOS Global Protection je, že vám umožní využívat nejnovější internetové technologie, jako je IPv6 nebo HTTP/3, bez ohledu na to, jestli váš hostingový poskytovatel tyto technologie podporuje.

Statistiky WEDOS Global Protection

V prosinci narostl počet uživatelů WEDOS Global Protection na 1 443 (+95) a celkový počet chráněných domén na 7 858 (+1 341). V prosinci vzrostl počet útoků i běžná zátěž na e-commerce weby. Velkou část domén tak přidala podpora z našeho hostingu (LowCost a NoLimit), aby ulevila serverům a zároveň zajistila, že zákazníkům vše půjde hladce i v době předvánočního nakupování.

Narychlo k nám také přešlo několik zákazníků, kteří mají své e-shopy u třetích stran. Důvodem bylo ulevit zátěži a odvrátit útoky. Jsme v kontaktu s provozovateli třetích stran a zjišťujeme například, jaké mají limity. Řada z nich má nějaké automatické opatření v případě, že je jejich zákazník pod útokem, a web pak třeba na hodinu vypnou, aby neohrozili své další zákazníky. Na WEDOS Global Protection umíme jednak útoky zastavit, ale také zajistit, že nedojde k překročení těchto limitů.

V prosinci bylo zaznamenáno 3 685 589 157 (-11,55 %) požadavků z 14 380 823 (+27,53 %) unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 118 889 972 požadavků na aplikační vrstvě (v reálu, včetně L3, L4 útoků je to o dva řády více).

Provoz směřující na chráněné domény během prosince 2023. Ty propady jsou způsobeny testováním ARM serveru, který odbavoval jen provoz a logování na něm bylo vypnuté.

Pokles je způsoben intenzivním testováním ARM serverů kolegů z vývoje, kde kvůli přesnějšímu měření zátěže vypnuli náročné logování.

ARM servery se stanou budoucími lokalitami nové generace, které „vyplní mezery“ na úrovni menších celků států. Tedy v jednom státě bude několik lokalit s ARM servery. Tím zahustíme naši síť. Tento rok je v plánu zhruba 100 lokalit nové generace. Většina v Evropě.

Jedná se o 1U HPE server se 128 jádry ARM CPU (3 GHz), 4 TB RAM a až 160 TB úložného prostoru. Ceníková cena je kolem 1,5 M Kč. Lokalitu nové generace jsme testovali ve Vídni a na Hluboké pod pořádnou zátěží a jedna byla spuštěna v rámci testů na Slovensku.

Testovací ARM server od HPE.

Co se týká druhu útoků, tak L7 DDoS útok HTTP/2 Rapid Reset, který se objevuje od října 2023, se stal běžnou součástí hlavně těch silnějších.

L7 DDoS útok HTTP/2 Rapid Reset

Útok „HTTP/2 rapid reset“ je specifický typ kybernetického útoku, který zneužívá charakteristiky protokolu HTTP/2. Tento protokol byl navržen pro efektivnější a rychlejší přenos dat ve srovnání s jeho předchůdcem HTTP/1.1, díky použití technik jako multiplexování požadavků, komprese hlaviček a jiných vylepšení.

Klíčové aspekty útoku „HTTP/2 rapid reset“ jsou:

  • Zneužití streamů a multiplexování: HTTP/2 umožňuje multiplexování, což znamená, že více požadavků může být posíláno současně přes jedno TCP spojení. Útočník zneužívá tuto funkci tím, že rychle otevírá a zavírá velké množství streamů.
  • Zátěž na servery: Toto chování může způsobit značnou zátěž na serveru. Server se snaží spravovat a udržovat mnoho otevřených streamů, což vyžaduje výpočetní výkon a paměť. Pokud je tento útok prováděn intenzivně a po delší dobu, může dojít k vyčerpání systémových zdrojů serveru.
  • Resetování streamů: Útočník po otevření streamu pošle rámcový signál RESET, který následně donutí server k uzavření daného streamu. Opakované vysílání těchto signálů v rychlém sledu může způsobit, že server se stane přetíženým a nedostupným pro legitimní uživatele.
  • Obtížná detekce: Útoky tohoto typu mohou být obtížně detekovatelné, protože se na první pohled mohou jevit jako běžná komunikace podle protokolu HTTP/2. To vyžaduje pokročilé monitorovací a bezpečnostní nástroje schopné rozpoznat anomální vzorce v rámci HTTP/2 komunikace.
  • Cíl útoku: Tento útok je obvykle zaměřen na webové servery a aplikace, které používají HTTP/2, a jeho cílem je vyvolat DoS (Denial of Service) stav, kdy server není schopen zpracovávat další legitimní požadavky.

Vzhledem k tomu, že HTTP/2 je široce používán v moderních webových aplikacích, je důležité, aby byla infrastruktura vybavena odpovídajícími bezpečnostními mechanismy pro detekci a zmírnění takovýchto útoků.

Anebo můžete použít WEDOS Global Protection. WEDOS Global Protection funguje jako reverzní proxy, což znamená, že veškerý vstupní provoz prochází přes infrastrukturu před dosažením cílového serveru. Tato architektura umožňuje efektivnější filtrování a analýzu provozu, což je klíčové pro odhalení a zastavení „HTTP/2 rapid reset“ útoků. Zákazník tak nemusí řešit v podstatě nic.

Co se týká dalších L7 útoků, tak v prosinci byl dominantní pouze HTTP flood, cílící na hlavní stránku. Ubyl trend parametrických útoků, kde se snaží útočník obcházet cache.

Evidujeme také velký pokles útoků blokovaných na WAF (brute force útoky, hledání zranitelností atd.). Celkem jich WAF zablokoval 23 858 935. Což je v průměru 3 036 na chráněnou doménu. Nicméně na většině domén zákazníci provozují redakční systém WordPress, pro který máme také vytvořenou speciální šablonu ochran, která vychází z toho, jak WordPress funguje.

Výše uvedená čísla by mohla být daleko vyšší, ale podařilo se nám identifikovat v prosinci několik nových botnetů, které jsme začali blokovat na blacklistech. Toto se nám daří díky agregaci dat ze stovek tisíc webů, které u nás hostují. I když se botnet snaží být nenápadný, tak v takovémto objemu na sebe prostě upozorní a když se na něj detailně zaměříme, tak jej snadněji identifikujeme. Často je to v době, kdy teprve zkouší nenápadně zranitelnosti a snaží se rozšířit.

L3/L4

Naši zákazníci jsou samozřejmě také pod klasickými L3/L4 DDoS útoky. Nicméně ve většině případů to nestojí za řeč. Prosinec byl obzvláště nudný. Naše ochrany jsou stavěny na útoky ve stovkách Gbps. Vše, co je pod 10 Gbps, ani neposílá notifikaci technikům. Vše řeší automaty.

V prosinci měl nejsilnější útok ve špičce pouze 6 Gbps a 1,5 milionů paketů za vteřinu. Směřoval na server s webhostingy. U L3/L4 většinou nevíme, kdo je cílem.

Co jsou L3/L4 útoky?

DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.

Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).

Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.

Nejsilnější L7 DDoS útoky

Každý měsíc pro vás připravujeme seznam nejsilnějších a zajímavých DDoS útoků přes L7. Pracujeme pouze s požadavky, které projdou až k WAF, tedy přes blacklisty a řadu dalších ochran.

1. Útok na e-shop – 2,3 M požadavků ve špičce

Začátkem prosince byly pod palbou DDoS útoků hlavně e-shopy. Většinou se jednalo o krátké útoky, které měly za cíl aktivovat ochranné mechanismy u poskytovatelů e-commerce řešení. Útočníci totiž zjistili, že například u jednoho z provozovatelů stačí vyšší stovky požadavků za vteřinu a vypne celý e-shop na hodinu, aby ochránil ostatní své zákazníky.

Dole je ukázka takového útoku. Trval celkem minutu a půl, za kterou útočník poslal 3,4 M požadavků z 1 038 unikátních IP adres. Ve špičce to bylo 2,3 M za minutu, což byl i prosincový rekord. Slušná čísla, ale pro WEDOS Global Protection žádný problém.

Snažíme se zjišťovat, jaký poskytovatel e-commerce anebo CMS řešení má jaké limity. Z naší strany umíme aplikovat pojistku, která zabrání, aby byl tento limit překročen.

2. Útok na wedos.com – 2,2 M požadavků ve špičce

Snad vždy, když spustíme nějakou větší reklamní kampaň, tak nás někdo obdaruje DDoS útokem. Nejinak tomu bylo u velké vánoční akce, díky které jste mohli získat nové služby s velkou slevou, anebo prodloužit ty stávající s bonusem za věrnost.

Tento útok nás velice potěšil, protože zrovna kolegové testovali ARM server, jestli zvládne celý provoz lokality Hluboká nad Vltavou – DC2, kde to normálně odbavuje 2x HPE Moonshot 1500 s 90 fyzickými servery. Na grafu níže je tento ARM server jako anycast29-arm Hluboka-dc2.

Útok měl ve špičce sílu 2,2 M požadavků za minutu, šel z 207 UIP a celkem útočníci poslali 7,6 M požadavků za necelých 6 minut. Obešlo se to bez problémů. A reakce kolegů: „Kdybys to nenapsal, tak o tom nevíme.“

Co se týká výkonu, tak na CPU to zanechalo následující „zub“. Útok není tak náročný jako běžný provoz. Většinu výkonu navíc „sežere“ logování dat.

ARM server se musel vypořádat s útokem.

3. Útok na e-shop – 2 M ve špičce z 2 220 UIP

Další z předvánočních útoků na e-shopy. Tentokrát útočník pochopil, že do samotného webu nemá cenu jít, a tak zkusil administraci. Na první pohled to vypadalo jako pokus obejít cachování, případně najít nějaký náročnější skript a ten volat pomocí různých parametrů.

Bylo to pozdě v noci, takže spíše nějaký test. Tomu by nasvědčovala i větší délka a zkoušení různých metod, jak obejít ochranu. Za těch zhruba 20 minut útočník poslal 14 milionů požadavků z 2 220 UIP, kde ve špičce to bylo až 2 M požadavků za minutu.

Závěr

V prosinci jsme nenarazili na žádný útok, který by nějak výrazněji vyčníval nebo byl jinak zajímavý. Zajímavé jsou útoky na ministerstva (government) obecně. Zatímco většina útoků trvá do 10 minut, tak tyto útoky jsou delší a intenzivnější. Nicméně v prosinci útočníci nic mimořádného nevymysleli. Leden bude v tomto ohledu jistě zajímavější. Máte se na co těšit. 😉