{"id":88670,"date":"2022-01-20T11:33:20","date_gmt":"2022-01-20T10:33:20","guid":{"rendered":"https:\/\/blog.wedos.cz\/?p=88670"},"modified":"2022-02-08T09:59:11","modified_gmt":"2022-02-08T08:59:11","slug":"zacinaji-se-objevovat-pripady-vydirani-ddos-utoky-na-aplikacni-vrstve","status":"publish","type":"post","link":"https:\/\/blog.wedos.com\/cs\/zacinaji-se-objevovat-pripady-vydirani-ddos-utoky-na-aplikacni-vrstve","title":{"rendered":"Za\u010d\u00ednaj\u00ed se objevovat p\u0159\u00edpady vyd\u00edr\u00e1n\u00ed DDoS \u00fatoky na aplika\u010dn\u00ed vrstv\u011b"},"content":{"rendered":"\n

Vyd\u00edr\u00e1n\u00ed DDoS \u00fatokem nen\u00ed nic nov\u00e9ho. Velk\u00e9 botnety dok\u00e1\u017eou prov\u00e9st v dne\u0161n\u00ed dob\u011b pom\u011brn\u011b siln\u00fd \u00fatok, kter\u00fd bez probl\u00e9m\u016f ucpe i n\u011bkolik 100 Gbps tras (ji\u017e jsme se s t\u00edm setkali<\/a>). Na\u0161t\u011bst\u00ed jsou pom\u011brn\u011b vz\u00e1cn\u00e9, proto\u017ee jsou drah\u00e9. Se st\u0159edn\u00edmi \u00fatoky (nad 10 Gbps) se setk\u00e1v\u00e1me u\u017e \u010dast\u011bji (i n\u011bkolikr\u00e1t za m\u011bs\u00edc). A men\u0161\u00ed (pod 10 Gbps) jsou t\u00e9m\u011b\u0159 na denn\u00edm po\u0159\u00e1dku. Jen\u017ee tento klasick\u00fd druh \u00fatoku hrubou silou (objemem dat anebo po\u010dtem paket\u016f), se pom\u011brn\u011b dob\u0159e detekuje a filtruje. Hor\u0161\u00ed je to s \u00fatoky na aplika\u010dn\u00ed vrstv\u011b, takov\u00e9 kter\u00e9 se sna\u017e\u00ed tv\u00e1\u0159it jako b\u011b\u017en\u00e1 n\u00e1v\u0161t\u011bvnost.<\/p>\n\n\n\n\n\n\n\n

\u00datok na aplika\u010dn\u00ed vrstv\u011b (tak\u00e9 ozna\u010dovan\u00fd jako Layer 7 attack) je vesm\u011bs velice jednoduch\u00fd, ale p\u0159esto nen\u00ed snadn\u00e9 jej ihned detekovat a zabr\u00e1nit mu. M\u016f\u017ee se jednat o opakovan\u00e9 vol\u00e1n\u00ed n\u011bjak\u00e9 konkr\u00e9tn\u00ed str\u00e1nky, kdy vs\u00e1z\u00ed \u00fato\u010dn\u00edk na to, \u017ee vygeneruje v\u00edce dotaz\u016f, ne\u017e c\u00edlov\u00fd server zvl\u00e1dne zpracovat anebo vol\u00e1n\u00ed mohou b\u00fdt rozlo\u017eena na v\u00edce str\u00e1nek s c\u00edlem znesnadnit detekci, p\u0159\u00edpadn\u011b hledat necachovan\u00fd obsah (tento druh \u00fatoku jsme popsali v \u010dl\u00e1nku P\u0159ich\u00e1z\u00ed vlna nov\u00fdch a z\u00e1ke\u0159n\u00fdch \u00fatok\u016f a WEDOS je na n\u011b p\u0159ipraven\u00fd<\/a>). <\/p>\n\n\n\n

V prvn\u00ed p\u0159\u00edpad\u011b, kdy je \u00fatok sm\u011b\u0159ovan\u00fd na jednu konkr\u00e9tn\u00ed str\u00e1nku, jsou n\u00e1klady pro \u00fato\u010dn\u00edka ni\u017e\u0161\u00ed, tak\u017ee takov\u00fdch \u00fatok\u016f m\u016f\u017ee prov\u00e1d\u011bt n\u011bkolik nar\u00e1z. Kdy\u017e si to p\u011bkn\u011b zautomatizuje a spoj\u00ed s vyd\u00edr\u00e1n\u00edm, tak si z\u0159ejm\u011b p\u0159ijde i na p\u011bkn\u00e9 pen\u00edze. Chcete v\u011bd\u011bt, jak to prob\u00edh\u00e1?<\/p>\n\n\n\n

Jak chod\u00ed \u017e\u00e1dosti o v\u00fdpaln\u00e9<\/h2>\n\n\n\n

Z\u00e1kazn\u00edk v\u011bt\u0161inou netu\u0161\u00ed, co se d\u011bje. V tomto konkr\u00e9tn\u00edm p\u0159\u00edpad\u011b n\u00e1m z\u00e1kazn\u00edk prost\u011b napsal na podporu, \u017ee mu nejde web (eshop). Podpora to p\u0159edala technikovi, kter\u00fd u\u017e mu za cca 20 minut odepsal, \u017ee jsou na n\u011bj vedeny \u00fatoky, kter\u00e9 ve \u0161pi\u010dk\u00e1ch dosahuj\u00ed 50 tis\u00edc request\u016f (dotaz\u016f na server) za 30 vte\u0159in. Vzhledem k z\u00e1va\u017enosti \u00fatoku a d\u00edky tomu, \u017ee m\u011bl z\u00e1kazn\u00edk DNS veden\u00e9 u n\u00e1s, jsme mu rovnou v kooperaci s kolegy, co vyv\u00edj\u00ed na\u0161i novou ochranu WEDOS Global Protection, rovnou nastavili.<\/p>\n\n\n\n

Z\u00e1kazn\u00edk netrp\u011bliv\u011b p\u00ed\u0161e, co s t\u00edm m\u016f\u017ee s\u00e1m d\u011blat. Do komunikace se vkl\u00e1d\u00e1 n\u00e1\u0161 \u0161\u00e9f a vysv\u011btluje mu, \u017ee nic. Objem request\u016f je tak velk\u00fd, \u017ee z\u00e1kazn\u00edk nem\u016f\u017ee ud\u011blat nic. P\u0159ed\u00e1 mu dal\u0161\u00ed statistiky a tak\u00e9 kam \u00fatok sm\u011b\u0159uje. <\/p>\n\n\n\n

Ve spolupr\u00e1ci se sv\u00fdm v\u00fdvoj\u00e1\u0159em se z\u00e1kazn\u00edk pokus\u00ed odstranit str\u00e1nku, na kterou je \u00fatok veden. To vede k velk\u00e9mu mno\u017estv\u00ed chyb 404 (str\u00e1nka neexistuje). Ty server odbavuje l\u00e9pe, ale jednak to ne\u0159e\u0161\u00ed \u00fatok samotn\u00fd (\u00fato\u010dn\u00edk m\u016f\u017ee URL op\u011bt zm\u011bnit) a tak\u00e9 webserver st\u00e1le mus\u00ed \u0159e\u0161it p\u0159ipojen\u00ed. <\/p>\n\n\n\n

V dal\u0161\u00ed konverzaci je\u0161t\u011b \u0161\u00e9f vysv\u011btluje z\u00e1kazn\u00edkovi, \u017ee to nen\u00ed ni\u010d\u00ed vina a s\u00e1m to opravdu nem\u016f\u017ee vy\u0159e\u0161it, „prost\u011b si na n\u011bj n\u011bkdo zasedl“<\/strong>. <\/p>\n\n\n\n

Z\u00e1kazn\u00edk na to reaguje, p\u0159eposl\u00e1n\u00edm vyd\u011bra\u010dsk\u00e9ho e-mailu, kter\u00fd mu ten den dorazil. <\/p>\n\n\n\n

P\u0159edm\u011bt: DDoS<\/p><\/blockquote>\n\n\n\n

Hey,
as a ransom we want $3000 in Bitcoin for stopping all DDoS attacks.
After
payment, your service will resume as it was automatically.
BTC-Wallet: *****************************************
Thank you for your attention and have a nice rest of the day,
Dark Side<\/p><\/blockquote>\n\n\n\n

Na to mu \u0161\u00e9f p\u00ed\u0161e, \u017ee nem\u00e1 rozhodn\u011b nic platit. Na\u0161e ochrana to vy\u0159e\u0161\u00ed.<\/p>\n\n\n\n

Mimochodem v p\u016fvodn\u00ed konverzaci s podporou zm\u00ednil, \u017ee se jednalo o opakovan\u00fd v\u00fdpadek. Zkusili jsme pro \u00fa\u010dely tohoto \u010dl\u00e1nku dohledat statistiky na serveru a na\u0161li jsme p\u0159et\u00ed\u017een\u00ed webhostingu p\u0159esn\u011b o t\u00fdden p\u0159edt\u00edm. To vedlo k \u0159ad\u011b chyb 503. Tehdy to technici nijak dopodrobna nezkoumali. Vypadalo to na nezvl\u00e1dnutou n\u00e1razovou n\u00e1v\u0161t\u011bvnost, a tak byl z\u00e1kazn\u00edk p\u0159esunut na speci\u00e1ln\u00ed server pro „p\u0159et\u011b\u017eova\u010de“, aby se to nedotklo ostatn\u00edch z\u00e1kazn\u00edk\u016f na stejn\u00e9m fyzick\u00e9m serveru. <\/p>\n\n\n\n

I vzhledem k tomu, musel \u00fato\u010dn\u00edk tentokr\u00e1t o dost p\u0159itvrdit. Proto\u017ee tyto servery jsou optimalizovan\u00e9 pr\u00e1v\u011b na n\u00e1razovou n\u00e1v\u0161t\u011bvnost. Pokud m\u00e1 z\u00e1kazn\u00edk dob\u0159e optimalizovan\u00fd web (vyu\u017e\u00edv\u00e1 cache atd.), tak ustoj\u00ed opravdu hodn\u011b (p\u00e1r p\u0159\u00edklad\u016f najdete v \u010dl\u00e1nku 20 web\u016f s nejv\u011bt\u0161\u00ed n\u00e1v\u0161t\u011bvnost\u00ed na NoLimit, NoLimit Extra a WMS<\/a>). <\/p>\n\n\n\n

Anatomie \u00fatoku<\/h2>\n\n\n\n

\u00datok je opravdu jednoduch\u00fd. N\u00e1razov\u011b v kr\u00e1tk\u00fdch intervalech je vol\u00e1na jedna konkr\u00e9tn\u00ed URL c\u00edlov\u00e9ho webu. \u0160kodliv\u00fd provoz jde z napaden\u00fdch za\u0159\u00edzen\u00ed p\u0159es HTTP z mnoha IP adres. \u00datok tedy prov\u00e1d\u00ed n\u011bjak\u00fd v\u011bt\u0161\u00ed botnet. Kdy\u017e \u00fato\u010dn\u00edk zjist\u00ed, \u017ee je web nedostupn\u00fd, tak chvilku p\u0159estane. Pot\u00e9, co web nab\u011bhne \u00fatok opakuje. <\/p>\n\n\n\n

\"\"<\/a>
Statistiky z webserveru pro napaden\u00fd web.<\/figcaption><\/figure>\n\n\n\n

Z\u00e1kazn\u00edk se n\u00e1m na\u0161t\u011bst\u00ed ozval brzy a v pr\u00e1ci u po\u010d\u00edta\u010de byli i kolegov\u00e9, kte\u0159\u00ed vyv\u00edj\u00ed ochranu WEDOS Global Protection. Rychle jej p\u0159idali mezi chr\u00e1n\u011bn\u00e9 weby a upravili DNS z\u00e1znam, aby provoz \u0161el p\u0159es ochranu. Okam\u017eit\u011b na to za\u010dali zachyt\u00e1vat \u00fatoky.<\/p>\n\n\n\n

\"\"<\/a>
Statistiky z ochrany WEDOS Global Protection<\/figcaption><\/figure>\n\n\n\n

Jak vid\u00edte, tak b\u011bhem 1 minuty ve \u0161pi\u010dce p\u0159i\u0161lo p\u0159es 91 tis\u00edc z\u00e1vadn\u00fdch request\u016f na c\u00edlovou str\u00e1nku, kterou ochrana zastavila.<\/p>\n\n\n\n

Kolegov\u00e9 si s t\u00edm trochu hr\u00e1li a zkou\u0161eli tam, jak tento druh \u00fatoku, co mo\u017en\u00e1 nejl\u00e9pe filtrovat. St\u0159\u00eddali tam r\u016fzn\u00e9 formy p\u0159ek\u00e1\u017eek pro \u00fato\u010dn\u00edka (cookie, redirect, captcha) a trochu to optimalizovali. Sta\u010dilo v\u0161ak trochu povolit uzdu a i t\u011bch „p\u00e1r“ set request\u016f co za minutu pro\u0161lo, dok\u00e1zalo nap\u00e1chat \u0161kody. <\/p>\n\n\n\n

N\u00e1sleduj\u00edc\u00ed statistiky jsou z dat webserveru. Tedy to, co se do logu zapsalo p\u0159ed nasazen\u00edm ochrany a to co pro\u0161lo, kdy\u017e kolegov\u00e9 kalibrovali ochranu. P\u0159ed t\u00edm v\u0161\u00edm nav\u00edc je\u0161t\u011b stoj\u00ed n\u00e1\u0161 velk\u00fd filtr, kter\u00fd blokuje IP adresy se \u0161patnou reputac\u00ed, kter\u00fdch jsou tam stovky tis\u00edc.<\/strong><\/p>\n\n\n\n

V tomto p\u0159\u00edpad\u011b to byl sp\u00ed\u0161e takov\u00fd n\u00edzkorozpo\u010dtov\u00fd \u00fatok. Jednotliv\u00e9 requesty se nesna\u017eily nijak maskovat. Sice generovali v hlavi\u010dce r\u016fzn\u00e9 prohl\u00ed\u017ee\u010de a opera\u010dn\u00ed syst\u00e9my, ale hned podle n\u011bkolika indici\u00ed se dalo poznat, \u017ee jsou to \u00fatoky a ne re\u00e1ln\u00fd provoz. Daly by se tedy zastavit i p\u0159es IDS\/IPS ochranu s vhodnou konfigurac\u00ed. <\/p>\n\n\n\n

\"\"<\/a>
Hlavi\u010dky request\u016f \u00fatoku podle po\u010dtu a unik\u00e1tn\u00edch IP.<\/figcaption><\/figure>\n\n\n\n

Co se t\u00fdk\u00e1 zdroje \u00fatoku, tak v\u011bt\u0161ina \u00fato\u010d\u00edc\u00edch IP adres byla z Asie a Ameriky. <\/p>\n\n\n\n

\"\"<\/a>
Rozd\u011blen\u00ed \u00fatok\u016f podle kontinent\u016f.<\/figcaption><\/figure>\n\n\n\n

Sami byste si je blokovat nezvl\u00e1dli (nap\u0159\u00edklad p\u0159es .htacces). \u00dato\u010dn\u00edk se sna\u017eil prov\u00e9st \u00fatok v\u017edy v jeden okam\u017eik. Bylo to sp\u00ed\u0161e n\u011bco jako 10 vte\u0159in \u00fatok, 50 vte\u0159in pauza. Takov\u00fd test, jestli web \u017eije. A opakovat.<\/p>\n\n\n\n

Samoz\u0159ejm\u011b spr\u00e1vci serveru maj\u00ed v\u00edce mo\u017enost\u00ed jak blokovat rychle cel\u00e9 IP rozsahy. Nicm\u00e9n\u011b pokud je s v\u00e1mi na serveru v\u00edce z\u00e1kazn\u00edk\u016f, tak jim rozhodn\u011b necht\u011bj\u00ed od\u0159\u00edznout dlouhodob\u011b Evropu. Zvl\u00e1\u0161t\u011b st\u00e1ty jako Slovensko a Polsko.<\/p>\n\n\n\n

\"\"<\/a>
Rozd\u011blen\u00ed \u00fatok\u016f podle st\u00e1t\u016f v Evrop\u011b.<\/figcaption><\/figure>\n\n\n\n

Nicm\u00e9n\u011b i pokud byste od\u0159\u00edzli naprosto v\u0161echno a nechali tam jen \u010ceskou republiku, tak si stejn\u011b nepom\u016f\u017eete. Jak vid\u00edte na n\u00e1sleduj\u00edc\u00edm grafu, \u00fatoky \u0161ly i p\u0159es \u010desk\u00e9 IP adresy a bylo jich dost. <\/p>\n\n\n\n

\"\"<\/a>
Rozd\u011blen\u00ed \u00fatok\u016f podle IP adres v \u010cR<\/figcaption><\/figure>\n\n\n\n

Proj\u00edt si je m\u016f\u017eete na abuseipdb.com\/check\/<\/a> jedn\u00e1 se p\u0159ev\u00e1\u017en\u011b o IP adresy \u010desk\u00fdch internetov\u00fdch poskytovatel\u016f, kter\u00e9 jsou \u010dasto reportovan\u00e9, \u017ee z nich chod\u00ed \u00fatoky.<\/p>\n\n\n\n