Druhý prázdninový měsíc rozhodně nebyl čas odpočinku. Jednak jsme pokračovali v budování WEDOS Global, ale také museli řešit vzrůstající aktivitu některých botnetů, které primárně neměly v úmyslu provádět DDoS útoky, ale hledaly zranitelnosti. Když se pak sesypaly v jeden okamžik jejich requesty, tak některé naše zákazníky dokázaly nemile potrápit.
V posledních měsících obecně roste počet útoků SQLi. Tyto útoky v malé míře jedou prakticky nepřetržitě a útočící botnety se snaží být nenápadné. Většinou je odhalíme díky agregaci dat z více jak stovek tisíc domén, které u nás hostují. Nicméně v srpnu to útočníci rozjeli opravdu ve velkém a jedna IP adresa zkusila za den třeba i několik milionů requestů.
Co je to SQLi?
SQLi (SQL injection), je typ útoku směřující na databáze. Při tomto útoku se nepovolené SQL příkazy vkládají do vstupních polí aplikace s cílem manipulovat nebo získat přístup k databázi. Když aplikace neověřuje a nesprávně zpracovává uživatelský vstup, může to útočníkovi umožnit spustit vlastní SQL kód v databázi. Důsledky SQLi mohou zahrnovat narušení integrity dat, ztrátu dat, získání citlivých informací a v některých případech i úplné ovládnutí databáze či hostitelského systému.
Do útoků se navíc ke konci srpna ve velkém zapojili i IP adresy z Číny. Po detailnější analýze jsme zjistili, že se jedná o přístupy převážně z mobilních zařízení. Zřejmě se jedná o nějakou rozsáhlejší infekci malware. V Číně se hojně využívá IPv6, takže je třeba dávat si pozor i na to. Naštěstí na útoky přes IPv6 jsme už roky dobře připraveni jak softwarově, tak i hardwarově.
Koncem srpna začali ruští hackeři útočit na české finanční instituce. Situaci jsme detailně monitorovali. Zákazníkům z řad finančních institucí, kteří mají služby u nás, se útočníci vyhnuli. Naposledy jsme úspěšně eliminovali útoky této skupiny při prezidentských volbách, kdy na jednoho našeho zákazníka neúspěšně útočili během prvního kola. V druhém už jej vynechali.
WEDOS Global
WEDOS Global je naše celosvětová infrastruktura postavená na BGP Anycast a reverzních proxy. Hlavní myšlenka je stahovat si přes BGP návštěvnost z okolí do lokalit, kde máme hardware, a tam provoz filtrovat, cachovat odpovědi atd. Díky tomu dokážeme odolat i velmi silným DDoS útokům, protože jejich největší síla se stává jejich slabinou.
Aktuálně máme naše vlastní fyzické servery ve 24 lokalitách. V každé minimálně 45 fyzických serverů a 2 switche a garantovanou konektivitu alespoň 100 Gbps. Na dalších lokalitách pracujeme.
Infrastrukturu používáme pro provoz Anycast DNS a naší služby WEDOS Global Protection. Do budoucna přibudou další služby.
Lokality
V srpnu jsme žádnou další lokalitu nespustili.
Aktuálně máme rozpracovanou lokalitu Irsko (Dublin), kde servery, switche a další hardware už máme na místě, a nyní čekáme, až nám vše zapojí.
Posílení lokality Hluboká nad Vltavou (olej)
Jedna z důležitých lokalit, která odbavuje většinu provozu v Česku, je v našem datacentru WEDOS DC2. Jedná se o 90 fyzických serverů a 4 switche, které jsou chlazeny v olejové lázni. Jedná se o velice ekonomické a přitom ekologické řešení.
U tohoto bodu jsme u všech serverů navýšili RAM. Důvodem je příprava na testování nových funkcionalit, které WEDOS Global může poskytovat, a lepší a důkladnější analýza provozu pro hledání a eliminaci kybernetických hrozeb v reálném čase.
Nové peeringy (propoje)
Aktuálně jsou DNS WEDOS Global v TOP 25 na světě, ale pokud chceme být ještě lepší, tak je neustálá expanze a optimalizace našich propojů nezbytná. Novými lokalitami se už moc dál neposuneme. Takže v už existujících lokalitách musíme hledat partnery či IXP sdružující velký počet sítí anebo uživatelů.
Co je to IXP peering?
Peering je dohoda mezi dvěma poskytovateli internetových služeb (ISP), která umožňuje, aby jejich síťový provoz procházel přímo mezi nimi, aniž by musel projít třetí stranou.
Tento přímý přenos dat může zvýšit rychlost a spolehlivost internetového připojení, protože údaje nemusí cestovat tak daleko nebo přes další různé sítě. Také to může snížit náklady, protože obě strany se mohou vyhnout poplatkům, které by jinak mohly platit třetím stranám za přenos dat.
Peering obvykle probíhá na tzv. internetových výměnných bodech (IXP), kde může mnoho ISP propojit své sítě dohromady.
LINX
LINX (London Internet Exchange) je jeden z největších internetových výměnných bodů (IXP) na světě a nachází se v Londýně (Velká Británie), kde máme také jeden bod WEDOS Global. V srpnu se nám podařilo dotáhnout vše potřebné. Více v samostatném článku Nové přímé propojení s LINX posiluje naši celosvětovou infrastrukturu WEDOS Global
Další propoje
Během letních měsíců jsme nezaháleli a úspěšně domluvili další propoje, které postupně realizujeme v následujících měsících. Konkrétně se jedná o Švédsko, Finsko (FICIX), Norsko a Dánsko.
V Amsterdamu (Holandsko) domlouváme propoj do AMS-IX (Amsterdam Internet Exchange), což je jeden z největších výměnných bodů na světě.
Další, jako například VIX.at, BIX.hu, SIX.sk a mnoho dalších, jsou v procesu.
Chcete se o WEDOS Global dozvědět více?
Pokud vás zajímá WEDOS Global a rádi byste se dozvěděli více o pokročilých technologiích které používáme, tak pro hlubší a detailní pohled do technologické architektury, na níž je postavena infrastruktura WEDOS Global, vám doporučujeme poslechnout si naši přednášku z konference Kubernetes Community Days Czech & Slovak 2023. Tuto odbornou prezentaci vedli dva kolegové, kteří hrají klíčovou roli ve vývoji WEDOS Global.
WEDOS Global Protection
WEDOS Global Protection je první služba postavená na naší infrastruktuře WEDOS Global. Primárně je navržená na eliminaci široké škály kybernetických útoků, které přesahují možnosti běžného datacentra. Stačí jí spustit a o vše se postaráme. Nemusíte nic nastavovat, stačí jen sledovat grafy zachycených útoků.
Tím to ale nekončí. WEDOS Global Protection výrazně zvýší odezvu vašeho webu po celém světě díky AnycastDNS. Pomůže i při velké návštěvnosti díky webové cache. V budoucnu také nabídne nové technologie jako je třeba HTTP/3 bez nutnosti cokoliv nastavovat na vašem serveru. A to nejlepší na tom všem je, že nemusíte nic stěhovat. Stačí jen nasměrovat vaši doménu na naše DNS, my vám vyčistíme provoz a zrychlíme web u vašeho stávajícího provozovatele.
Služba už je spuštěná a můžete ji jak vyzkoušet, tak i zakoupit. A jak pomůže konkrétně vám? Zkuste se podívat na přehled využití WEDOS Global Protection na našem webu.
Statistiky WEDOS Global Protection
V srpnu pokračovala nižší aktivita útočníků. Desítky milionů requestů formou L7 HTTP flood útoku opět nikdo nezkusil. Spíše se setkáváme s velmi krátkými jednorázovými pokusy útočníků, kteří testují naše ochrany.
Co je L7 DDoS útok?
L7 DDoS útok je typ kybernetických útoků na web anebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit anebo znepřístupnit webovou stránku anebo třeba API.
Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.
Pořád platí, že je to pro útočníky prostě plýtvání zdroji. Zkusí z několika stovek IP adres synchronizovaný útok, který má způsobit problém než se sepne specifická ochrana, uplatní limity, zapne lokální blokování atd. Většinou je to pár vteřin, pak to vypnou. O to, aby web ustál prvotní nápor se stará WAF.
Co je WAF (Web Application Firewall)?
WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku anebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha) anebo zablokovat.
Naproti tomu větší útok znamená více zapojených ochran, přísnější pravidla, specifická pravidla pro problémové lokality a následné zkoumání, které pak vede k odhalení botnetů, případně podnětům pro zlepšení našich ochran. Další útoky jsou pak méně a méně efektivní.
A teď čísla 🙂
Následující statistiky jsou z reverzních proxy serverů na jednotlivých bodech (lokalitách), které odbavují požadavky očištěné od L3/L4 DDoS útoků. Dále do přehledu nejsou zahrnuty některé požadavky, které používáme pro monitorování dostupnosti a fungování jednotlivých bodů, aby statistiky nezkreslovaly.
Ke konci srpna počet chráněných domén WEDOS Global Protection narostl na 4650 domén (+372). Část jsou domény, které přidala podpora kvůli útokům, anebo to jsou náročné weby, kterým výrazně pomáhá webová cache na reverzním proxy serveru. Mimo nás využívá WEDOS Global Protection 1117 uživatelů (+88).
V srpnu bylo zaznamenáno celkem 2 638 773 794 požadavků z 8 494 078 unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 85 121 735 požadavků.
Co se týká nárůstu unikátních IP adres, tak vliv na to má sezónnost, respektive prázdniny. Většina návštěvníků webů chráněných WGP je stále z ČR a SR. Tito návštěvníci se více připojovali ze zahraničí. Dále přibývá velkých zákazníků ze zahraničí.
Statistiky stále nudících se ochran 🙂
L7 DDoS – zachycených limitováním přístupů (HTTP flood) | 5 885 991 | +72 % |
L7 DDoS – zachycených problémových spojení (Slowloris, Connection Exhaustion atd.) | 572 784 | -65,43 % |
Blokováno pravidlem WAF | 25 872 220 | +142,66 % |
Další blokování L7 | 5 321 633 | -4,66 % |
Tato čísla jsou jen první pokusy o útok. Jakmile se jedná o opakované pokusy, které naberou na síle (třeba desítky tisíc problémových přístupů za minutu), tak IP adresa jde na blacklist. Je to však složitější, protože k různým IP se chováme odlišně (třeba mobilní operátor dostane JavaScript redirekt anebo capchta). Stejně tak o odlišným formám útoků.
Co se týká čísel samotných, tak větší množství L7 flood útoků o 72 % vypadá hrozivě, ale ve skutečnosti jeden L7 flood může mít stovky tisíc zablokovaných requestů, než se sepnou další ochrany. WEDOS Global Protection se dostává do světa a potkáváme se se stále více “testy” našich ochran. Navíc velká část nových uživatelů WGP jsou lidé, kteří jsou pod pravidelnými útoky.
Pro pokles útoků typu Slowloris, Connection Exhaustion atd. aktuálně nemáme vysvětlení. Uvidíme příští měsíc.
Nárůst o 142,66 % blokováno na WAF je důsledek nasazení ochran administrací WordPress. Všechny administrace WordPress jsou chráněny dalším faktorem (captcha, JavaScript redirekt). Těch 15M pokusů jsou pokusy o prolomení hesla, hledání zranitelností na přihlašovacím formuláři atd.
Přísnější pravidla na WAF jsou vidět i na statistice největších chráněných webů. To, že nepoužíváte WordPress, neznamená, že se někdo nepokouší útočit anebo hledat zranitelnost jako by jste tam WordPress měli.
Ve statistikách nejsou vidět všechny útoky na weby. Jsou to jen ty, kde přesně víme, že jde útok na konkrétní host, a které došly až na WAF. Mnohonásobně více toho skončí na blacklistech.
L3/L4
Samozřejmě naši zákazníci jsou také pod útoky klasickými L3/L4 útoky. Nicméně ve většině případů to nestojí za řeč. Naše ochrany jsou stavěny na útoky ve stovkách Gbps. Vše pod 10 Gbps ani neposílá notifikaci technikům. Vše řeší automaty.
Co jsou L3/L4 útoky?
DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.
Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).
Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.
Jak vidíte na grafu níže, během srpna probíhaly opravdu zanedbatelné DDoS útoky přes L3/L4. Jen na krátký okamžik se jeden přiblížil k 8 Gbps. Cílem byl zákazník na našem webhostingu.
Celkem jsme evidovali 6557 útoků DDoS útoků.
Nejsilnější L7 DDoS
Každý měsíc pro vás připravujeme seznam nejsilnějších DDoS útoků přes L7.
1. útok na wedos.com – špička 1,1M požadavků za minutu
První cenu za nejsilnější DDoS udělujeme sami sobě :). Někdo se rozhodl pozdě v noci otestovat naší ochranu. Dal tomu 5 minut, během kterých dokázal protlačit 4M requestů, ve špičce 1,15M z 1668 UIP. Jednalo se o obyčejný L7 flood. Nic zajímavého ani složitého na eliminaci. Na našem vlastním webu navíc testujeme některé pokročilejší metody filtrace.
2. útok na wedos.com – špička 877K požadavků za minutu
A na druhém místě je … ehm … zase my :). Koncem srpna někdo zkusil naše ochrany těsně před půlnocí. Útok trval zhruba 4 minuty a během nich poslal útočník 3,5M requestů, ve špičce 877K, z celkem 3013 unikátních IP adres. Tento útok byl co do počtu použitých IP adres celkem slušný. Těch zajímavých věcí tam bylo více, ale bohužel se o ně podělit nemůžeme, protože už z toho je firemní know how 😔
3. útok na státní infrastrukturu – špička 205K požadavků za vteřinu
Pokud sledujete naše účty na sociálních sítích anebo odebíráte náš newsletter, tak jste mohli zahlédnout, že u nás mají weby i ministerstva (ne česká, ta zřejmě preferují být offline, aby udělala radost ruské propagandě).
Jeden takový web byl v srpnu pod útokem a nutno říct, že to bylo opravdu zajímavé sledovat. Přešli k nám od americké konkurence, která jim neuměla nabídnout provoz pod vlastním DNS, ASN a IP adresami a také úplně nebyli spokojeni s L7 ochranou.
Útok jako takový silný nebyl. Co je to špička 205 tisíc požadavků za vteřinu a jen 242 UIP? Nicméně bylo to úplně něco jiného než s čím se běžně setkáváme. Útočili úplně jiné rozsahy a jiným způsobem. Rádi bychom se o tom rozepsali, ale firemní know how…
Závěr
Kdokoliv může využívat WEDOS Global Protection pro rychlejší načítání a ochranu svých webů. Službu je možné používat bez nutnosti stěhovat hardware anebo měnit poskytovatele webhostingu. Stačí nasměřovat doménu na DNS WEDOS Global a přidat doménu do administrace WEDOS Global Protection.