V říjnu jsme hlavně ladili cachování obsahu. Podařilo se nám dosáhnout velkého pokroku zvláště u WordPress webů. Jakýkoliv statický obsah dokážeme vracet za tisíciny vteřiny po obdržení requestu od uživatele a přitom si kontrolovat, zdali je aktuální v jednotkách vteřin až 60 vteřin (v závislosti na tarifu). Průměrný web na WEDOS Global Protection se zrychlil o zhruba 48 %.
Nová cache byla spuštěna pro všechny weby na WEDOS Global Protection začátkem listopadu. Níže je graf průměrné odpovědi, měřeno pomocí služby WEDOS OnLine.
Samozřejmě jsem vylepšovali i ochrany. Řada pravidel prošla revizí, hledáme nové metody, jak být efektivní, jak pomáhat cílovému serveru. Přeci jen roste i počet zákazníků, kteří nemají hosting přímo u nás a tam narážíme na jejich pravidla proti útokům. Zjišťujeme, že v ČR je běžné vypínat weby s nadměrným provozem třeba na hodinu. Takže vybíráme vhodné řešení, jak i tomu předejít. WEDOS Global Protection může sloužit jako hlídač těchto limitů.
Doslova každý týden nacházíme nové využití pro infrastrukturu WEDOS Global.
WEDOS Global
WEDOS Global představuje nejen rozsáhlou, ale především špičkovou infrastrukturu, která stojí na přední linii technologického pokroku. S naší globální přítomností rozprostírající se přes tisíce fyzických serverů v desítkách strategicky umístěných lokalit jsme právem hrdí na naši schopnost poskytovat rychlé, efektivní a nekompromisně spolehlivé služby po celém světě. A to jsme teprve na začátku. Do konce roku přibudou další lokality a v roce 2023 se přehoupneme přes stovku.
Celková konektivita WEDOS Global aktuálně přesahuje 3 000 gigabitů za sekundu, což je zárukou nejen rychlého, ale i bezpečného a bezproblémového přenosu dat. Naše odhodlání dodávat nejlepší možnou službu je patrné z pečlivého výběru lokalit, které jsou nejen geograficky významné, ale také disponují špičkovým technickým zázemím.
Základem je BGP Anycast. Tato technologie nám umožňuje poskytovat rychlejší a spolehlivější DNS služby, což přímo přispívá ke zkrácení doby načítání webových stránek a ke zlepšení uživatelského zážitku. Dále eliminuje největší sílu DDoS útoků, protože ty se rozmělní mezi jednotlivé lokality, kde si s nimi poradí výpočetní výkon tisíců serverů.
Nové propoje (peering)
Aktivně se věnujeme rozšiřování sítě lokalit WEDOS Global (máme rozjednáno několik lokalit). Není však jednoduché nalézt další vhodná místa, která by nám umožnila umístit alespoň 45 fyzických serverů (tolik potřebujeme kvůli výpočetnímu výkonu) a zároveň nabízela konektivitu minimálně 100 Gbps (pro rychlý a stabilní přenos dat i v případě velkých útoků). Při výběru lokalit pro naše servery se omezujeme pouze na datacentra renomovaných a ověřených společností, se kterými už spolupracujeme.
V současné době se zaměřujeme na Jižní Ameriku, kde nám stále chybí lokalita. Zde se setkáváme především s překážkami v podobě místní legislativy.
V dlouhodobém horizontu uvažujeme o zřízení specializovaných bodů, které by byly vybaveny hardwarovými komponentami určenými pro konkrétní účely (například optimalizace pro specifické typy datových toků, zabezpečení, CDN atd.). Případně zvažujeme pořídit nové extrémně výkonné servery, které by samy zvládly celou lokalitu (případně v páru). Tyto servery by nám umožnily efektivněji a rychleji pokrývat problémové oblasti.
Nový propoj do FICIX (Finsko)
V úterý 10. října 2023 přesně v 7:45 jsme WEDOS Global připojili k finskému internetovému uzlu FICIX, což je významné pro zákazníky směřující na severoevropský trh, jelikož to výrazně zlepší odezvu DNS serverů a distribuci cachovaného obsahu z reverzních proxy. FICIX je hlavní internetový výměnný bod ve Finsku.
Nový propoj do BIX.hu (Maďarsko)
Další důležitou lokalitou na evropské internetové mapě je Maďarsko. Proto jsme WEDOS Global 9. října 2023 propojili s Budapest Internet Exchange (BIX), což snížilo odezvu z 30 ms v Maďarsku na impozantních 6 ms. Snižování odezvy a zvyšování stability DNS je součástí našeho plánu, jak se dostat mezi TOP 5 nejlepších poskytovatelů DNS v Evropě. Věříme, že tohoto cíle dosáhneme v řádech měsíců. Poté zveřejníme výsledky nezávislých měření.
https://blog.wedos.cz/wedos-global-se-propojil-do-bix-bude-tak-rychlejsi-pro-uzivatele-z-madarska
Chcete se o WEDOS Global dozvědět více?
Pokud vás zajímá WEDOS Global a rádi byste se dozvěděli více o pokročilých technologiích, které používáme, tak pro hlubší a detailní pohled do technologické architektury, na níž je postavena infrastruktura WEDOS Global, vám doporučujeme poslechnout si naši přednášku z konference Kubernetes Community Days Czech & Slovak 2023. Tuto odbornou prezentaci vedli dva kolegové, kteří hrají klíčovou roli ve vývoji WEDOS Global.
WEDOS Global Protection
WEDOS Global Protection je vrcholným příkladem toho, jak inovace a technologická převaha mohou posunout kybernetickou bezpečnost do nové éry. Naše služba založená na robustní a rozsáhlé infrastruktuře WEDOS Global přináší nejen ochranu, ale i výkonnost a spolehlivost na úrovni, která překračuje tradiční standardy.
Jako reverzní proxy server je WEDOS Global Protection schopen provádět širokou škálu úkonů, od filtrování příchozích útoků, přes ukládání statických kopií vašich stránek pro rychlejší zobrazení, až po maskování vaší skutečné IP adresy. To je vše podpořeno nejnovějšími dostupnými technologiemi pro komunikaci s návštěvníky (IPv6, HTTP/3).
WEDOS Global Protection nabízí komplexní balíček, který zahrnuje ochranu před DDoS útoky, vysoce efektivní webový firewall, pokročilé testování podezřelého provozu a mnoho dalšího. To vše bez nutnosti změny poskytovatele vašich služeb – stačí jen nasměrovat vaši doménu na naše DNS.
Pro uživatele s WordPress máme i vlastní plugin, který vám s celým procesem pomůže. Navíc díky němu snadněji identifikujme, že používáte WordPress a nastavíme lepší pravidla jak pro ochranu, tak i pro cachování obsahu.
Statistiky WEDOS Global Protection
V říjnu narostl počet uživatelů WEDOS Global Protection na 1 273 (+61) a celkový počet chráněných domén na 5 797 (+776). Mezi novými uživateli bylo několik, kteří byli častými cíli útoků. Jejich weby nešly i několik hodin. Nasazení WEDOS Global Protection jim okamžitě pomohlo a setkali jsme se s velmi nadšeným ohlasem.
Samozřejmě to se podepsalo i na počtu zaznamenaných DDoS útoků. Útočníci nikam neodejdou, budou se vracet a zkoušet to pořád dokola. Hledají nové způsoby a formy útoků, jak vám uškodit. Když zjistili, že jim to moc nejde, tak se rozhodli zaměřit na naše weby, což nebyl moc dobrý nápad. Naše weby známe a přizpůsobili jsme je velkému náporu i útokům. Vlastně nám to vyhovuje, protože tak získáváme cenné informace, jak bránit naše zákazníky.
V říjnu bylo zaznamenáno 3 120 511 662 (-11,29 %) požadavků z 8 514 892 (-2,96 %) unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 100 661 666 požadavků. Pokles je způsoben efektivnějším filtrováním požadavků než se dostanou na WAF, kde vše měříme, a změnou formy útoků.
V říjnu mezi L7 DDoS útoky dominoval nový HTTP/2 Rapid Reset. Jakmile byly zveřejněny podrobnosti (zhruba 10. října 2023) jak funguje, tak se během pár dní stal dominantním.
L7 DDoS útok HTTP/2 rapid reset
Útok “HTTP/2 rapid reset” je specifický typ kybernetického útoku, který zneužívá charakteristiky protokolu HTTP/2. Tento protokol byl navržen pro efektivnější a rychlejší přenos dat ve srovnání s jeho předchůdcem HTTP/1.1, díky použití technik jako multiplexování požadavků, komprese hlaviček a jiných vylepšení.
Klíčové aspekty útoku “HTTP/2 rapid reset” jsou:
- Zneužití Streamů a Multiplexování: HTTP/2 umožňuje multiplexování, což znamená, že více požadavků může být posíláno současně přes jedno TCP spojení. Útočník zneužívá tuto funkci tím, že rychle otevírá a zavírá velké množství streamů.
- Zátěž na Servery: Toto chování může způsobit značnou zátěž na serveru. Server se snaží spravovat a udržovat mnoho otevřených streamů, což vyžaduje výpočetní výkon a paměť. Pokud je tento útok prováděn intenzivně a po delší dobu, může dojít k vyčerpání systémových zdrojů serveru.
- Resetování Streamů: Útočník po otevření streamu pošle rámcový signál RESET, který následně vynutí server k uzavření daného streamu. Opakované vysílání těchto signálů v rychlém sledu může způsobit, že server se stane přetíženým a nedostupným pro legitimní uživatele.
- Obtížná Detekce: Útoky tohoto typu mohou být obtížně detekovatelné, protože se na první pohled mohou jevit jako běžná komunikace podle protokolu HTTP/2. To vyžaduje pokročilé monitorovací a bezpečnostní nástroje schopné rozpoznat anomální vzorce v rámci HTTP/2 komunikace.
- Cíl útoku: Tento útok je obvykle zaměřen na webové servery a aplikace, které používají HTTP/2, a jeho cílem je vyvolat DoS (Denial of Service) stav, kdy server není schopen zpracovávat další legitimní požadavky.
Vzhledem k tomu, že HTTP/2 je široce používán v moderních webových aplikacích, je důležité, aby byla infrastruktura vybavena odpovídajícími bezpečnostními mechanismy pro detekci a zmírnění takovýchto útoků.
Anebo můžete použít WEDOS Global Protection. WEDOS Global Protection funguje jako reverzní proxy, což znamená, že veškerý vstupní provoz prochází přes infrastrukturu před dosažením cílového serveru. Tato architektura umožňuje efektivnější filtrování a analýzu provozu, což je klíčové pro odhalení a zastavení “HTTP/2 rapid reset” útoků. Zákazník tak nemusí řešit v podstatě nic.
Hlavní rozdíl u tohoto útoku je, že útočník nevsází na to, že vám dlouhodobě bude přetěžovat web, ale že vám jej odstaví provozovatel. Útoky jsou tak krátké s cílem překročit limity. Vidíme je hlavně cílit na weby využívající různá hostovaná řešení pro CMS a eCommerce.
A co další L7 útoky? Do statistik se promítly hlavně nové útoky a na nové zákazníky. 259,7% nárůst HTTP flood vypadá hrozivě, ale jsou to právě jen první vteřiny až desítky vteřin než se sepnou další ochrany. Pokles Slowloris, Connection Exhaustion atd. kompenzuje výrazný nárůst v září. Blokováno pravidlem WAF jsou z převážné části útoky na WordPress a z menší části hledání obecných zranitelností.
| L7 DDoS – zachycených limitováním přístupů (HTTP flood) | 51 419 767 | +259,70 % |
| L7 DDoS – zachycených problémových spojení (Slowloris, Connection Exhaustion atd.) | 2 952 227 | -22,72 % |
| Blokováno pravidlem WAF | 22 916 633 | -12,24 % |
| Další blokování L7 | 4 770 949 | -22,36 % |
Co je L7 DDoS útok?
L7 DDoS útok je typ kybernetických útoků na web anebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit anebo znepřístupnit webovou stránku anebo třeba API.
Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.
Tato čísla jsou jen první pokusy o útok. Jakmile se jedná o opakované pokusy, které naberou na síle (třeba desítky tisíc problémových přístupů za minutu), tak IP adresa jde na blacklist. Je to však složitější, protože k různým IP se chováme odlišně (třeba mobilní operátor dostane JavaScript redirekt anebo capcha). Stejně tak k odlišným formám útoků.
Co je WAF (Web Application Firewall)?
WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku anebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha) anebo zablokovat.
Přísnější ochrana WordPress webů pomocí WAF je vidět i na statistice největších chráněných webů. Ty, které používají WordPress, mají více zablokovaných útoků. Ovšem nezapomínejte, že i když nepoužíváte WordPress, neznamená to, že se někdo nepokouší útočit anebo hledat zranitelnost jako by jste tam WordPress měli, což zatěžuje webserver.
Když útočí 162 tisíc unikátních IP na 143 tisíc webů
V pondělí 23. října jsme zažili nejrozsáhlejší útok na instalace WordPress. Byl to celkem zajímavý útok a tak jsme k němu napsali samostatný článek.
https://blog.wedos.cz/kdyz-utoci-162-tisic-unikatnich-ip-na-143-tisic-webu
L3/L4
Samozřejmě naši zákazníci jsou také pod klasickými L3/L4 DDoS útoky. Nicméně ve většině případů to nestojí za řeč. Naše ochrany jsou stavěny na útoky ve stovkách Gbps. Vše pod 10 Gbps ani neposílá notifikaci technikům. Vše řeší automaty. V říjnu se ochrany vesměs nudily. Pouze jeden volumetrický útok byl zajímavý.
Co jsou L3/L4 útoky?
DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.
Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).
Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.
Celkem jsme evidovali 7 438 (-49,73 %) DDoS útoků. Po rušeném září tak byl spíše klid.
Tradiční volumetrické DDoS útoky probíhají trochu jinak. Je to více druhů útoků naráz. Takže jednotlivé útoky mohou mít třeba do 10 Gbps, ale ve výsledku, když se to všechno spojí, tak se dostanete k desítkám anebo stovkám Gbps. Pokud vezmeme nejsilnější útok, tak vychází následovně:
Nejsilnější DDoS útok měl něco přes 14 Gbps a trval jen krátce. Nikdo ze zákazníků si ničeho nevšiml.
Pro dnešní přehled jsme vám také připravili tabulku nejsilnějších L3/L4 jednotlivých DDoS útoků za říjen 2023. Útočníci většinou skládají takovéto útoky do jednoho masivního.
| Cíl | Top Packets/s | Top Bits/s |
|---|---|---|
| Webhosting | 2.6 M | 9.3 G |
| VPS | 2.6 M | 9.0 G |
| VPS | 822.2 k | 9.0 G |
| Infrastruktura | 789.3 k | 8.9 G |
| VPS | 787.5 k | 8.8 G |
| VPS | 777.1 k | 8.8 G |
| Dedikovaný server | 661.4 k | 8.7 G |
| Webhosting | 660.6 k | 8.6 G |
| VPS | 635.5 k | 8.5 G |
| Dedikovaný server | 632.8 k | 8.4 G |
Nejsilnější L7 DDoS útoky
Každý měsíc pro vás připravujeme seznam nejsilnějších a zajímavých DDoS útoků přes L7. Pracujeme pouze s požadavky, které projdou až k WAF, tedy přes blacklisty a řadu dalších ochran.
1. Útok na wedos.com – špička 2,7M požadavků za minutu
První místo tento měsíc bere náš web. Začátkem října přišel velmi krátký, ale silný útok. Podle logů trval necelou minutu. Útočníci protlačili až k WAF 2,76 milionu požadavků z 2 223 UIP a dokonce 2 requesty vrátily 502.
Od té doby jsme pár podstatných věcí vylepšili. Jednak pravidla, jak tyto konkrétní útoky lépe zvládat a také způsob, jak se s prvním náporem vypořádat.
- V polovině října byl náš web pod dalším větším útokem 1,6M požadavků ve špičce z 2 874 UIP.
2. Útok na e-shop – špička 1,7M požadavků za minutu
V říjnu jsme získali nového zákazníka, kterému poskytovatel vypínal web pokaždé, když na něj šel útok. Útoky se nám podařilo vyřešit okamžitě. Nicméně nás překvapila jejich síla. Na běžný e-shop je útok s 1,7M požadavky za minutu z 4 174 UIP opravdu hodně. Stačí zlomek.
Nutno podotknout, že tohoto zákazníka se útočníci opravdu snaží dostat. Po mnoha nezdarech se dokonce pustili do našich webů. Ale ty jsou běžně pod útokem většího kalibru. Čím více se snaží, tím více o nich víme a naše ochrany průběžně zlepšujeme.
3. Útok na web dopravního podniku – špička 1,3M za minutu, 7 887 UIP
V říjnu řady našich zákazníků, kteří jsou pod útokem a rychle potřebují pomoc, rozšířil i dopravní podnik jednoho krajského města. Nutno říct, že útok na ně patřil mezi ty zajímavější. Byl srovnatelný s tím, co shazuje weby velkých firem, bank a státu v ČR. V říjnu proběhlo několik útoků pro-ruských hacktivistických skupin. Tento web však už nedostali a nemuseli jsme ani nijak omezovat konektivitu ze zahraničí, naopak vše jsme jim díky cache zrychlili ;).
Než to útočníci vzdali, tak poslali 64 milionů požadavků z 7 887 UIP. Ve špičce to bylo 1,3M požadavků za minutu.
Bonus – Útok na web obce – špička 241K požadavků za minutu
Někdo se rozhodl znepříjemnit sobotní odpoledne jedné obci v Královéhradeckém kraji. Ačkoliv útok není až tak impozantní “jen” 241 tisíc za minutu ve špičce (celkem 795 tisíc požadavků z 2 240 UIP), tak útok byl součástí dalších útoků, které vedly například i na jejich školu (jiný web).
Závěr
Naše infrastruktura WEDOS Global je navržena tak, aby byla nejen robustní, ale i schopná se přizpůsobit budoucím výzvám. S WEDOS Global máme nejen vizi, ale i reálné nástroje a technologie, které nás řadí mezi lídry v poskytování internetových služeb. Jsme si plně vědomi našeho potenciálu prorazit na globálním trhu a s hrdostí pokračujeme v poskytování inovativních a kvalitních řešení.