WAF report z WEDOS Global Protection za září 2023

[gtranslate]

V září jsme oproti prázdninovým měsícům zaznamenali i vzrůstající počet útoků. V dnešním reportu se podíváme po delší době na “silnější” DDoS útoky na L3/L4 a zatím zřejmě na nejsilnější L7 DDoS útok co do počtu požadavků za minutu. Samozřejmě probereme i budování WEDOS Global Protection a na čem aktuálně pracujeme.

I v září pokračovala významná aktivita botnetů, které se zaměřily na hledání zranitelností na webech a v oblíbených redakčních systémech. Velmi výrazný byl botnet provádějící útoky z mobilních zařízení v Pákistánu. Byly dny, kdy tento botnet provedl i stovky tisíc požadavků. Nicméně při těchto počtech už se na omezenou dobu aktivují blacklisty, takže v reálu bychom se dostali k jednotkám milionů.

Jen pro zajímavost, některé dny byl jedním z nejčastěji volaných souborů xmlrpc.php. Což je obrovské lákadlo pro útočníky. Často zkouší existenci xmlrpc.php, i když na webu nemáte WordPress.

Co je xmlrp.php?

Soubor xmlrpc.php ve WordPress slouží k poskytování rozhraní XML-RPC, což je protokol, který umožňuje komunikaci mezi WordPress a jinými systémy. Přestože je tento soubor důležitý pro některé funkce, může být také zranitelný vůči útokům, pokud není správně zabezpečen.

Útočníci mohou využívat xmlrpc.php k provedení brute force útoků na přihlašovací údaje. XML-RPC umožňuje útočníkům odeslat mnoho přihlašovacích pokusů v jedné žádosti, což je činí efektivnějšími při hádání hesel.

xmlrpc.php může být také zneužit k provádění DDoS útoků, které přetěžují server tím, že generují obrovské množství požadavků, což může vést k pádu nebo zpomalení webu.

Pokud jsou na WordPress zranitelnosti, útočníci mohou využít xmlrpc.php k vzdálenému spuštění škodlivého kódu.

Útočníci mohou také zneužívat funkce XML-RPC k provádění nežádoucích akcí jako je publikování spamových příspěvků nebo komentářů.

Samozřejmě nechyběly ani pokusy o hledání zranitelností prostřednictvím SQLi útoků. V tom byl velice aktivní hlavně pákistánský mobilní botnet. Nicméně nepolevovaly ani další botnety z dalších zemí jako třeba Čína. Ty jsou charakteristické hlavně používáním IPv6. V Číně se hojně využívá IPv6, takže je třeba dávat si pozor i na to. Řada mobilních operátorů přiděluje novou IPv6 po připojení do sítě, takže standardní řešení na principu fail2ban nemusí být pro jednotlivé IPv6 ideální.

Co je to SQLi?

SQLi (SQL injection), je typ útoku směřující na databáze. Při tomto útoku se nepovolené SQL příkazy vkládají do vstupních polí aplikace s cílem manipulovat nebo získat přístup k databázi. Když aplikace neověřuje a nesprávně zpracovává uživatelský vstup, může to útočníkovi umožnit spustit vlastní SQL kód v databázi. Důsledky SQLi mohou zahrnovat narušení integrity dat, ztrátu dat, získání citlivých informací a v některých případech i úplné ovládnutí databáze či hostitelského systému.

Co se týká oblíbených L7 DDoS útoků, tak tam jsme žádný nový trend nezaznamenali. Opakuje se pořád to samé, co už jsme viděli, a na co jsme připraveni. Nicméně je nutné podotknout, že útoky jsou intenzivnější, zvláště pokud jsou vedeny z napadených serverů.

WEDOS Global

WEDOS Global je naše celosvětová infrastruktura postavená na BGP Anycast a reverzních proxy. Hlavní myšlenka je stahovat si přes BGP návštěvnost z okolí do lokalit, kde máme náš hardware s reverzními proxy, a tam s provozem dále pracovat. V každé lokalitě jej tak filtrujeme, cachujeme, umíme překládat protokol (HTTP/1.1 na HTTP/3) anebo poskytnout IPv6, i když jej na webhostingu/serveru nemáte.

V podstatě reverzní proxy mohou dělat cokoliv a to decentralizovaně po celém světě, doslova za rohem od návštěvníka. Experimentujeme s řadou věcí, které váš web posunou na novou úroveň a to bez nutnosti cokoliv upravovat na vašem serveru. Stačí jen nasměrovat doménu pomocí DNS a to je vše.

Tento report ale není o tom, jak vám zrychlíme web, anebo vyřešíme některé technické nedostatky. To si necháme na samostatný článek 🙂

WEDOS Global jako celosvětová síť musí být hlavně rychlá. K tomu potřebujeme být v důležitých lokalitách, propojit se do hlavních výměnných uzlů (IXP) a poladit peering, aby všechna data putovala vždy nejkratší cestou.

Co je to IXP peering?

Peering je dohoda mezi dvěma poskytovateli internetových služeb (ISP), která umožňuje, aby jejich síťový provoz procházel přímo mezi nimi, aniž by musel projít třetí stranou.

Tento přímý přenos dat může zvýšit rychlost a spolehlivost internetového připojení, protože údaje nemusí cestovat tak daleko nebo přes další různé sítě. Také to může snížit náklady, protože obě strany se mohou vyhnout poplatkům, které by jinak mohly platit třetím stranám za přenos dat.

Peering obvykle probíhá na tzv. internetových výměnných bodech (IXP), kde může mnoho ISP propojit své sítě dohromady.

Nové lokality

V září jsme přidali novou lokalitu Irsko (Dublin). V nové lokalitě máme 45 našich vlastních fyzických serverů, 3 switche a domluvenou konektivitu 100 Gbps s možností škálování. Vše je také připraveno na případné propojení do lokálních sítí přes předsazený switch Arista, pokud to v budoucnu zlepší kvalitu služeb, anebo pokud v Irsku budeme mít větší počet místních zákazníků.

https://blog.wedos.cz/spusteni-nove-lokality-wedos-global-v-irsku

Nové propoje (peeringy)

Koncem srpna jsme spustili nový propoj (peering) do LINX (London Internet Exchange) viz. článek na blogu Nové přímé propojení s LINX posiluje naši celosvětovou infrastrukturu WEDOS Global. Během září jsme detailně analyzovali provoz a postupně vše ladili ke spokojenosti našich zákazníků.

Další propoj, který jsme realizovali, je do Netnod. Jedná se o významné IXP sdružující ISP ze severských zemí. Propojili jsme se do Netnode v lokalitě Švédsko a Finsko.

https://blog.wedos.cz/wedos-global-se-propojil-do-ixp-netnod-bude-tak-rychlejsi-pro-uzivatele-ze-severskych-statu

I díky těmto propojům se WEDOS Global podle nezávislého měření mezi celosvětovými DNS usadil v TOP 25 na světě a v TOP 10 v Evropě. My si ale věříme a TOP 5 v Evropě dáme do pár měsíců 🙂

Chcete se o WEDOS Global dozvědět více?

Pokud vás zajímá WEDOS Global a rádi byste se dozvěděli více o pokročilých technologiích které používáme, tak pro hlubší a detailní pohled do technologické architektury, na níž je postavena infrastruktura WEDOS Global, vám doporučujeme poslechnout si naši přednášku z konference Kubernetes Community Days Czech & Slovak 2023. Tuto odbornou prezentaci vedli dva kolegové, kteří hrají klíčovou roli ve vývoji WEDOS Global.

WEDOS Global Protection

WEDOS Global Protection je první služba spuštěná na infrastruktuře WEDOS Global. Její primární účel je ochránit váš web před širokou škálou kybernetických útoků a to bez ohledu na to, jak jsou rozsáhlé. Zároveň je kladen důraz, aby uživatel nemusel nic nastavovat. Ochrany se přizpůsobí návštěvnosti webu a jsou schopné velice rychle reagovat na anomálie.

Na rozdíl od konkurenčních řešení navíc máme přístup k široké škále dat a možností jak útok eliminovat. Jednotlivé lokality mohou přistupovat k útokům odlišně, útočníci jsou velice omezení při používání podvržených IP adres, ochrana u nás neznamená jen blokovat přístup, můžeme provést test pomocí přesměrování, anebo captcha, anebo podezřelému provozu vrátit vždy cachovanou verzi stránky.

WEDOS Global Protection je postaven na našich datech a zkušenostech, které jsme nasbírali za 13 let provozování stovek tisíc webových stránek. Víme, co vadí majitelům webů, co hostingům, a co provozovatelům infrastruktury a kdy je třeba zakročit.

WordPress plugin – WEDOS Global Protection

A to je i důvod, proč jsme se pustili do tvorby našeho oficiální pluginu pro WordPress. Ten už najdete i v repozitáři WordPress a také ve vaší instalaci WordPress. Pomůže vám s aktivací WEDOS Global Protection pro vaší doménu. Do budoucna připravujeme další rozšíření a pokročilé funkce.

Jak jej nainstalovat?

  • Stačí v levém menu zvolit Pluginy -> Instalace pluginů.
  • V pravém rohu do vyhledávání zadejte WEDOS.
  • Objeví se vám WEDOS Global Protection a WEDOS OnLine monitoring.
  • Zvolte u WEDOS Global Protection Instalovat.
  • Poté následujte instrukce pro zřízení účtu a aktivaci služby.

Pokud vás zajímá i plugin WEDOS OnLine monitoring, tak více se o něm dozvíte na cs.wordpress.org/plugins/wedos-online-monitoring

Od malých požadavků k velkým odhalením: Síla agregace dat

Data jsou nejsilnějším nástrojem v boji proti kybernetickým hrozbám. Díky našim pokročilým metodám agregace dat jsme schopni odhalovat hrozby skryté v zdánlivě nevýznamných požadavcích. V článku Jak využíváme agregaci dat k hledání útoků vám ukážeme, jak tato technika pomáhá chránit vaše weby.

Statistiky WEDOS Global Protection

V září narostl počet uživatelů WEDOS Global Protection na 1 212 (+8,5 %) a počet chráněných domén na 5 021 (+7,39 %). Jedná se o domény druhého řádu. Pokud na WEDOS Global Protection přidáte doménu, tak jsou automaticky chráněny i subdomény.

V září bylo zaznamenáno 3 517 726 124 (+33,01 %) požadavků z 8 774 656 (+3,3 %) unikátních IP adres, které směřovaly na chráněné domény. V průměru za den odbavily proxy servery 117 257 537 požadavků. Nárůst je způsoben novými zákazníky (chráněnými doménami), sezónností (skončily prázdniny) a také nárůstem L7 útoků (zvláště aktivitou pákistánského a čínského mobilního botnetu).

Celkový počet requestů, které se dostaly až k WEDOS Global Protection za září. 1. září je menší provoz z důvodu nekompletní datové sady.

Nárůst oproti minulému měsíci v ČR a SR je způsoben hlavně sezónností (konec prázdnin). U ostatních zemí jsou to navíc útoky a nový zákazníci ze zahraničí, kteří mají svou zahraniční návštěvnost. U některých zemí se počet navýšil, protože nám přibývají weby zaměřené na hry a jejich hráči jsou z celého světa (zvláště u mobilních her).

Co se týká nárůstu z USA, tak to je hlavně zvýšenou aktivitou robotů (hlavně SEMrush a specifické IP adresy Amazon). SEMrush bota budeme muset vhodným způsobem omezit, protože některým webům opravdu vadí. Amazon jede zvýšené crawlování ze 3 IP adres už od srpna, tam to budeme muset také omezit (tyto 3 IP). Je toho více. Robotům se máme v plánu věnovat v říjnu a rozhodnout se co dál.

Odkud chodí přístupy na WEDOS Global Protection za září 2023.

A co L7 útoky? Bylo více útoků na více cílů než je obvyklé. Některé byly celkem silné (ve stovkách tisíc requestů), což se propíše do statistik. Nárůst Slowloris, Connection Exhaustion atd. kompenzuje výrazný propad v srpnu. Blokováno pravidlem WAF jsou z převážné části útoky na WordPress a z menší části hledání obecných zranitelností.

L7 DDoS – zachycených limitováním přístupů (HTTP flood)14 295 034+142,86 %
L7 DDoS – zachycených problémových spojení (Slowloris, Connection Exhaustion atd.)3 820 323+566,97 %
Blokováno pravidlem WAF26 112 821+9,30 %
Další blokování L76 145 289+15,48 %
L7 útoky zastavené WGP, které prošly přes ostatní ochrany.

Co je L7 DDoS útok?

L7 DDoS útok je typ kybernetických útoků na web anebo aplikaci, který používá běžné internetové požadavky jako GET a POST. Cílem je zpomalit anebo znepřístupnit webovou stránku anebo třeba API.

Útoky na L7 jsou obtížně odhalitelné a odlišitelné od normálního provozu, protože používají stejné protokoly a metody jako legitimní uživatelé. K jejich eliminaci je potřeba použít speciální nástroje a techniky a důkladnou analýzu síťového provozu.

Tato čísla jsou jen první pokusy o útok. Jakmile se jedná o opakované pokusy, které naberou na síle (třeba desítky tisíc problémových přístupů za minutu), tak IP adresa jde na blacklist. Je to však složitější, protože k různým IP se chováme odlišně (třeba mobilní operátor dostane JavaScript redirekt anebo capcha). Stejně tak k odlišným formám útoků.

Co je WAF (Web Application Firewall)?

WAF (Web Application Firewall) je ochrana na našich reverzních proxy serverech, která je umístěna mezi útočníkem a vaším webem. V reálném čase prochází každý požadavek a hledá v něm specifické znaky útoku anebo zneužití bezpečnostní díry. Pokud narazí na podezřelý požadavek, může jej přesměrovat na test (přesměrování, captcha) anebo zablokovat.

Přísnější ochrana WordPress webů pomocí WAF je vidět i na statistice největších chráněných webů. Ty, které používají WordPress, mají více zablokovaných útoků. Ovšem nezapomínejte, že i když nepoužíváte WordPress, neznamená to, že se někdo nepokouší útočit anebo hledat zranitelnost jako by jste tam WordPress měli, což zatěžuje webserver.

Největší weby chráněné WEDOS Global Protection podle počtu přístupů za září.

V září vzrostla aktivita útočníků na všech frontách. Po delší době se také nenudila naše L3/L4 DDoS ochrana.

L3/L4

Samozřejmě naši zákazníci jsou také pod klasickými L3/L4 DDoS útoky. Nicméně ve většině případů to nestojí za řeč. Naše ochrany jsou stavěny na útoky ve stovkách Gbps. Vše pod 10 Gbps ani neposílá notifikaci technikům. Vše řeší automaty. V září však pár notifikací poslaly, abychom se ujistili, že je vše v pořádku.

Co jsou L3/L4 útoky?

DDoS útoky na L3 a L4 vrstvě se zaměřují na síťovou a transportní vrstvu a využívají různé techniky, jak zahlcovat cílové servery nebo zařízení.

Síťová vrstva (L3) – zajišťuje směrování dat mezi různými sítěmi pomocí logických adres (IP).

Transportní vrstva (L4) – zajišťuje spolehlivý a řízený přenos dat mezi koncovými body pomocí protokolů jako TCP nebo UDP.

Celkem jsme evidovali 14 958 (+128,13 %) DDoS útoků. Částečně si to spojujeme i s naší veřejnou nabídkou WEDOS Global Protection bankám, které čelily útokům hacktivistických skupin. Někdo si nás prostě chtěl vyzkoušet.

Tradiční DDoS útoky za září.

Tradiční DDoS útoky probíhají trochu jinak. Je to více druhů útoků naráz. Takže jednotlivé útoky mohou mít třeba do 10 Gbps, ale ve výsledku, když se to všechno spojí, tak se dostanete k desítkám anebo stovkám Gbps. Pokud vezmeme nejsilnější útok, tak vychází následovně:

Útok byl veden hrubou silou a celkem dosáhl ve špičce něco přes 30 Gbps a 4,5 milionů paketů za vteřinu. Shodou okolností v té době probíhaly i dva menší útoky na 2 různá VPS. Klidně to mohlo spolu souviset, ale také nemuselo.

Pro dnešní přehled jsme vám také připravili tabulku nejsilnějších L3/L4 jednotlivých DDoS útoků za září 2023. Útočníci většinou skládají takovéto útoky do jednoho masivního.

vIPCílPaketů ve špičceBits/s
IPv4VPS2,0 M15,4 G
IPv4Webhosting1,9 M12,5 G
IPv4VPS1,2 M12,2 G
IPv4Dedikovaný server1,2 M11,8 G
IPv4Infrastruktura1,1 M10,5 G
IPv4VPS1,1 M10,2 G
IPv4VPS633,8 k10,2 G
IPv4VPS631,1 k10,0 G
IPv6VPS599,1 k9,2 G
IPv4VPS599,1 k9,2 G

Nejsilnější L7 DDoS

Každý měsíc pro vás připravujeme seznam nejsilnějších DDoS útoků přes L7.

1. útok na wedos.com – špička 2,1M požadavků za minutu

Koncem měsíce jsme zaznamenali zřejmě nejsilnější nárazový DDoS útok na náš web a jeden z nejsilnějších L7 DDoS útoků, který kdy šel na WGP. Ve špičce to bylo přes 2,1M požadavků za minutu a útok byl veden z 4128 unikátních IP adres. Ochrana jej zvládla bez problémů filtrovat. V logu jsme nenašli žádnou chybu 502, 503 ani 504.

Na náš web pak šly v září ještě tyto zajímavější útoky:

  • Ve špičce 1,2M z 1286 UIP
  • Ve špičce 879K z 2532 UIP
  • Ve špičce 838K z 1516 UIP

Které by se umístili na dalších místech. Nicméně to by byla nuda 🙂

2. útok na web sportovního týmu – 313 tisíc požadavků ve špičce

Tohle nás trochu překvapilo. Jeden sportovní tým se chystal na svůj velký zápas a propagace byla v plném proudu. Někdo se jim rozhodl to překazit menším DDoS útokem. Ve špičce to bylo 313 tisíc požadavků za minutu. Celkem se útoku účastnilo 512 unikátních IP adres.

3. útok na web politického hnutí – 180 tisíc požadavků ve špičce

Hostuje u nás řada webů politických stran, hnutí i jednotlivých politiků. Postupně jsme většinu museli dát za WGP, protože dneska takový web shodí poměrně jednoduše i jeden útočník (stačí tisíce požadavků za minutu).

Nicméně v tomto případě to bylo o trochu silnější. Jednalo se o dva samostatné útoky během jednoho dne. Silnější měl 183 tisíc požadavků ve špičce a šel ze 133 unikátních IP adres. Druhý pak měl ve špičce 180 tisíc požadavků za minutu a šel ze 179 unikátních IP adres.

Jak je vidět na grafech, tak první útok rychle skončil neúspěchem. Druhý se pokoušel “procpat” různými způsoby, ale bez většího úspěchu.

Závěr

Počet zákazníků využívají WEDOS Global Protection roste, zvláště těch, kteří aktuálně nějaký problém s útoky řeší. Takže přibývá i útoků. Obracejí se na nás také velké společnosti a instituce. Tam to však je zatím hlavně o testování a opatrnému přístupu obecně. Věříme, že za pár týdnů či měsíců naše služby využijí, a pak se třeba útoky na ně objeví i v těchto statistikách.