En octobre, nous avons principalement amélioré la mise en cache du contenu. Nous avons fait de grands progrès, notamment en ce qui concerne les sites WordPress. Nous pouvons renvoyer n’importe quel contenu statique en quelques millièmes de secondes après avoir reçu une demande de l’utilisateur, tout en vérifiant s’il est à jour en quelques secondes jusqu’à 60 secondes (en fonction du tarif). La vitesse moyenne d’un site sur WEDOS Global Protection a augmenté d’environ 48%.
Le nouveau cache a été lancé pour tous les sites de WEDOS Global Protection au début du mois de novembre. Vous trouverez ci-dessous un graphique de la réponse moyenne mesurée par WEDOS OnLine.
Bien entendu, nous avons également amélioré les protections. De nombreuses règles ont été révisées, nous cherchons de nouvelles méthodes pour être efficaces, pour aider le serveur cible. En effet, un nombre croissant de clients ne sont pas hébergés directement chez nous, et c’est là que nous nous heurtons à leurs règles en matière de lutte contre les attaques. Nous avons constaté qu’il est courant en République tchèque de fermer les sites web dont le trafic est excessif pendant une heure. Nous choisissons donc la solution appropriée pour éviter cela aussi. WEDOS Global Protection peut servir de chien de garde pour ces limites.
Chaque semaine, nous trouvons une nouvelle utilisation de l’infrastructure de WEDOS Global.
WEDOS Global
WEDOS Global représente non seulement une infrastructure étendue, mais surtout une infrastructure de pointe à l’avant-garde du progrès technologique. Grâce à notre présence mondiale, qui s’étend sur des milliers de serveurs physiques répartis sur des dizaines de sites stratégiquement situés, nous sommes fiers, à juste titre, de notre capacité à fournir des services rapides, efficaces et d’une fiabilité sans faille dans le monde entier. Et nous ne faisons que commencer. D’ici la fin de l’année, d’autres sites seront ajoutés et d’ici 2023, nous serons plus d’une centaine.
La connectivité totale de WEDOS Global dépasse actuellement 3 000 gigabits par seconde, ce qui garantit un transfert de données non seulement rapide, mais aussi sûr et transparent. Notre engagement à fournir le meilleur service possible est évident dans notre sélection minutieuse de sites qui sont non seulement géographiquement importants, mais qui disposent également d’installations techniques de pointe.
La base est BGP Anycast. Cette technologie nous permet de fournir des services DNS plus rapides et plus fiables, ce qui contribue directement à accélérer le chargement du site web et à améliorer l’expérience de l’utilisateur. Il élimine également la plus grande force des attaques DDoS, puisqu’elles sont dispersées sur des sites individuels où la puissance de calcul de milliers de serveurs peut les gérer.
Nouvelles connexions (peering)
Nous développons activement notre réseau de sites WEDOS Global (plusieurs sites sont déjà prévus). Cependant, il n’est pas facile de trouver d’autres emplacements appropriés qui nous permettraient de placer au moins 45 serveurs physiques (autant que nous avons besoin de puissance de calcul) et d’offrir en même temps une connectivité d’au moins 100 Gbps (pour un transfert de données rapide et stable, même en cas d’attaques massives). Lors de la sélection des emplacements de nos serveurs, nous nous limitons aux centres de données d’entreprises réputées et vérifiées avec lesquelles nous coopérons déjà.
Nous nous concentrons actuellement sur l’Amérique du Sud, où nous n’avons pas encore de site. Ici, nous rencontrons principalement des obstacles sous la forme de législations locales.
À long terme, nous envisageons la création de points spécialisés qui seraient équipés de composants matériels conçus à des fins spécifiques (par exemple, optimisation pour des types spécifiques de flux de données, sécurité, CDN, etc.) Par ailleurs, nous envisageons d’acheter de nouveaux serveurs extrêmement puissants qui pourraient gérer l’ensemble du site à eux seuls (éventuellement par paires). Ces serveurs nous permettraient de couvrir les zones à problèmes de manière plus efficace et plus rapide.
Nouveau lien vers FICIX (Finlande)
Le mardi 10. Le 20 octobre 2023, à 7h45 exactement, nous avons connecté WEDOS Global au nœud internet finlandais FICIX, ce qui est important pour les clients ciblant le marché de l’Europe du Nord, car cela améliorera considérablement la réactivité du serveur DNS et la distribution du contenu mis en cache à partir des proxys inversés. FICIX est le principal point d’échange internet en Finlande.
Nouveau lien vers BIX.hu (Hongrie)
La Hongrie est un autre pays important sur la carte européenne de l’internet. C’est pourquoi nous sommes WEDOS Global 9. Le 20 octobre 2023, ils se sont connectés au Budapest Internet Exchange (BIX), ce qui a permis de réduire le temps de réponse de 30 ms en Hongrie à un impressionnant 6 ms. La réduction des temps de réponse et l’augmentation de la stabilité du DNS font partie de notre plan visant à devenir l’un des cinq premiers fournisseurs de DNS en Europe. Nous pensons pouvoir atteindre cet objectif en quelques mois. Nous publierons ensuite les résultats des mesures indépendantes.
Vous souhaitez en savoir plus sur WEDOS Global ?
Si vous êtes intéressé par WEDOS Global et souhaitez en savoir plus sur les technologies de pointe que nous utilisons, nous vous recommandons d’écouter notre présentation lors de la conférence Kubernetes Community Days Czech & Slovak 2023 pour un aperçu plus approfondi et détaillé de l’architecture technologique sur laquelle l’infrastructure de WEDOS Global est construite. Cette présentation d’experts a été menée par deux collègues qui jouent un rôle clé dans le développement de WEDOS Global.
WEDOS Global Protection
WEDOS Global Protection est un excellent exemple de la manière dont l’innovation et la supériorité technologique peuvent faire entrer la cybersécurité dans une nouvelle ère. Notre service, basé sur l’infrastructure robuste et étendue de WEDOS Global, offre non seulement une protection, mais aussi des performances et une fiabilité qui dépassent les normes traditionnelles.
En tant que proxy inverse, WEDOS Global Protection est capable d’effectuer un large éventail de tâches, du filtrage des attaques entrantes au stockage de copies statiques de votre site pour une visualisation plus rapide, en passant par le masquage de votre véritable adresse IP. Tout cela est soutenu par les dernières technologies disponibles pour la communication avec les visiteurs (IPv6, HTTP/3).
WEDOS Global Protection offre un package complet qui comprend une protection contre les attaques DDoS, un pare-feu web très efficace, des tests avancés de trafic suspect et bien plus encore. Tout cela sans devoir changer de fournisseur de services – il suffit de faire pointer votre domaine vers notre DNS.
Pour les utilisateurs de WordPress, nous disposons également d’un plugin personnalisé pour vous aider dans l’ensemble du processus. En outre, il est plus facile d’identifier que vous utilisez WordPress et de définir de meilleures règles pour la protection et la mise en cache du contenu.
Statistiques de WEDOS sur la protection mondiale
En octobre, le nombre d’utilisateurs de WEDOS Global Protection est passé à 1 273 (+61) et le nombre total de domaines protégés à 5 797 (+776). Parmi les nouveaux utilisateurs, plusieurs étaient des cibles fréquentes d’attaques. Leurs sites web sont restés inaccessibles pendant des heures. Le déploiement de WEDOS Global Protection les a aidés immédiatement et nous avons reçu une réponse très enthousiaste.
Bien entendu, cela a eu un impact sur le nombre d’attaques DDoS enregistrées. Les attaquants n’iront nulle part, ils reviendront et essaieront encore et encore. Ils cherchent de nouveaux moyens et de nouvelles formes d’attaque pour vous nuire. Lorsqu’ils ont constaté qu’ils n’obtenaient pas de bons résultats, ils ont décidé de se concentrer sur nos sites, ce qui n’était pas une bonne idée. Nous connaissons nos sites et les avons adaptés aux assauts et aux attaques. En fait, cela nous convient car cela nous donne des informations précieuses sur la manière de défendre nos clients.
En octobre, 3 120 511 662 (-11,29 %) demandes ont été enregistrées sur 8 514 892 (-2,96 %) adresses IP uniques dirigées vers des domaines protégés. En moyenne, les serveurs proxy ont traité 100 661 666 requêtes par jour. Cette baisse est due à un filtrage plus efficace des requêtes avant qu’elles n’atteignent le WAF, où nous mesurons tout, et à un changement dans la forme des attaques.
En octobre, la nouvelle réinitialisation rapide HTTP/2 a dominé les attaques DDoS de L7. Dès que les détails de son fonctionnement ont été publiés (vers le 10 octobre 2023), il est devenu dominant en quelques jours.
L7 Attaque DDoS HTTP/2 réinitialisation rapide
L’attaque “HTTP/2 rapid reset” est un type spécifique de cyberattaque qui exploite les caractéristiques du protocole HTTP/2. Ce protocole a été conçu pour un transfert de données plus efficace et plus rapide que son prédécesseur HTTP/1.1, grâce à l’utilisation de techniques telles que le multiplexage des requêtes, la compression des en-têtes et d’autres améliorations.
Les principaux aspects de l’attaque “HTTP/2 rapid reset” sont les suivants :
- Abus de flux et multiplexage: HTTP/2 permet le multiplexage, ce qui signifie que plusieurs demandes peuvent être envoyées simultanément sur une seule connexion TCP. Un attaquant abuse de cette fonctionnalité en ouvrant et en fermant rapidement un grand nombre de flux.
- Charge du serveur: ce comportement peut entraîner une charge importante pour le serveur. Le serveur tente de gérer et de maintenir de nombreux flux ouverts, ce qui nécessite de la puissance de calcul et de la mémoire. Si cette attaque est menée de manière intensive et sur une longue période, les ressources du système du serveur peuvent être épuisées.
- Réinitialisation du flux: après avoir ouvert un flux, l’attaquant envoie un signal de réinitialisation de trame, ce qui oblige le serveur à fermer le flux. L’envoi répété de ces signaux en succession rapide peut entraîner une surcharge du serveur et le rendre indisponible pour les utilisateurs légitimes.
- Difficile à détecter: les attaques de ce type peuvent être difficiles à détecter parce qu’elles peuvent sembler à première vue être des communications HTTP/2 normales. Cela nécessite des outils de surveillance et de sécurité avancés, capables de détecter des schémas anormaux dans les communications HTTP/2.
- Cible de l’attaque: Cette attaque vise généralement les serveurs web et les applications qui utilisent HTTP/2, et a pour but de provoquer un déni de service (DoS) dans lequel le serveur est incapable de traiter d’autres requêtes légitimes.
Comme HTTP/2 est largement utilisé dans les applications web modernes, il est important que l’infrastructure soit équipée de mécanismes de sécurité adéquats pour détecter et atténuer ces attaques.
Vous pouvez également utiliser WEDOS Global Protection. WEDOS Global Protection agit comme un proxy inverse, ce qui signifie que tout le trafic entrant passe par l’infrastructure avant d’atteindre le serveur de destination. Cette architecture permet un filtrage et une analyse plus efficaces du trafic, ce qui est essentiel pour détecter et arrêter les attaques de type “HTTP/2 rapid reset”. Le client ne doit s’occuper de rien.
La principale différence avec cette attaque est que l’attaquant ne mise pas sur une surcharge prolongée de votre site, mais sur sa fermeture par l’opérateur. Les attaques sont si courtes qu’elles dépassent les limites. Nous constatons qu’ils ciblent principalement les sites utilisant divers CMS hébergés et des solutions de commerce électronique.
Qu’en est-il des autres attaques de la L7 ? Les statistiques reflètent principalement les nouvelles attaques et les nouveaux clients. Une augmentation de 259,7 % de l’inondation HTTP semble effrayante, mais il ne s’agit que des premières secondes ou dizaines de secondes avant que d’autres protections ne se mettent en place. Chute de Slowloris, épuisement des connexions, etc. compense l’augmentation significative du mois de septembre. La règle WAF bloque principalement les attaques contre WordPress et, dans une moindre mesure, la recherche de vulnérabilités générales.
L7 DDoS – intercepté en limitant les accès (inondation HTTP) | 51 419 767 | +259,70 % |
L7 DDoS – interception des connexions problématiques (Slowloris, épuisement des connexions, etc.) | 2 952 227 | -22,72 % |
Bloqué par une règle WAF | 22 916 633 | -12,24 % |
Blocage supplémentaire de L7 | 4 770 949 | -22,36 % |
Qu’est-ce qu’une attaque DDoS L7 ?
L7 Une attaque DDoS est un type de cyberattaque contre un site web ou une application qui utilise des requêtes internet courantes telles que GET et POST. L’objectif est de ralentir ou de rendre inaccessible une page web ou une API.
Les attaques sur L7 sont difficiles à détecter et à distinguer du trafic normal car elles utilisent les mêmes protocoles et méthodes que les utilisateurs légitimes. Des outils et des techniques spécifiques ainsi qu’une analyse approfondie du trafic sur le réseau sont nécessaires pour les éliminer.
Ces chiffres ne sont que les premières tentatives d’attaque. Lorsque les tentatives répétées prennent de l’ampleur (par exemple, des dizaines de milliers d’accès problématiques par minute), l’adresse IP est inscrite sur la liste noire. Cependant, c’est plus compliqué parce que nous traitons les différentes IP différemment (par exemple, un opérateur mobile reçoit une redirection JavaScript ou un capcha). Il en va de même pour les différentes formes d’attaques.
Qu’est-ce qu’un pare-feu d’application Web (WAF) ?
Un WAF (Web Application Firewall) est une protection sur nos proxys inversés qui est placée entre l’attaquant et votre site web. Il analyse chaque demande en temps réel, à la recherche de signes spécifiques d’une attaque ou de l’exploitation d’une faille de sécurité. S’il rencontre une requête suspecte, il peut la rediriger vers un test (redirection, captcha) ou la bloquer.
La protection plus stricte des sites WordPress utilisant le WAF est visible dans les statistiques des sites protégés les plus importants. Ceux qui utilisent WordPress ont davantage d’attaques bloquées. Cependant, n’oubliez pas que même si vous n’utilisez pas WordPress, cela ne signifie pas que quelqu’un n’essaie pas d’attaquer ou de chercher des vulnérabilités comme si vous aviez WordPress, ce qui met à rude épreuve le serveur web.
Quand 162 000 adresses IP uniques attaquent 143 000 sites web
Le lundi 23. En octobre, nous avons connu l’attaque la plus importante contre les installations WordPress. Il s’agit d’une attaque assez intéressante, qui a fait l’objet d’un article distinct.
L3/L4
Bien entendu, nos clients subissent également des attaques DDoS classiques de type L3/L4. Cependant, dans la plupart des cas, cela ne vaut pas la peine d’en parler. Nos protections sont conçues pour faire face à des attaques de plusieurs centaines de Gbps. Tout ce qui est inférieur à 10 Gbps n’envoie même pas de notification aux techniciens. Tout est résolu par des automates. En octobre, les protections ont été pour la plupart ennuyeuses. Seule une attaque volumétrique était intéressante.
Que sont les attaques L3/L4 ?
Les attaques DDoS aux niveaux L3 et L4 ciblent les couches réseau et transport et utilisent une variété de techniques pour submerger les serveurs ou les appareils ciblés.
Couche réseau (L3) – assure l’acheminement des données entre différents réseaux à l’aide d’adresses logiques (IP).
Couche transport (L4) – assure un transfert de données fiable et contrôlé entre les points d’extrémité à l’aide de protocoles tels que TCP ou UDP.
Au total, nous avons enregistré 7 438 (-49,73 %) Attaques DDoS. Après un mois de septembre chargé, la période a été plutôt calme.
Les attaques DDoS volumétriques traditionnelles fonctionnent un peu différemment. Il s’agit de plusieurs types d’attaques à la fois. Les attaques individuelles peuvent donc atteindre 10 Gbps, mais en fin de compte, lorsque tout est réuni, on arrive à des dizaines ou des centaines de Gbps. Si l’on prend l’attaque la plus forte, on obtient le résultat suivant :
L’attaque DDoS la plus forte a été d’un peu plus de 14 Gbps et n’a duré que peu de temps. Aucun des clients n’a remarqué quoi que ce soit.
Pour l’examen d’aujourd’hui, nous avons également préparé un tableau des attaques DDoS individuelles L3/L4 les plus fortes pour octobre 2023. Les attaquants combinent généralement ces attaques en une seule et même attaque massive.
Cible | Top Paquets/s | Haut Bits/s |
---|---|---|
Hébergement web | 2.6 M | 9.3 G |
VPS | 2.6 M | 9.0 G |
VPS | 822.2 k | 9.0 G |
Infrastructure | 789.3 k | 8.9 G |
VPS | 787.5 k | 8.8 G |
VPS | 777.1 k | 8.8 G |
Serveur dédié | 661.4 k | 8.7 G |
Hébergement web | 660.6 k | 8.6 G |
VPS | 635.5 k | 8.5 G |
Serveur dédié | 632.8 k | 8.4 G |
Les attaques DDoS L7 les plus puissantes
Chaque mois, nous préparons une liste des attaques DDoS les plus puissantes et les plus intéressantes via L7. Nous ne travaillons qu’avec des demandes qui passent par le WAF, c’est-à-dire par des listes noires et un certain nombre d’autres protections.
1. attaque sur wedos.com – pic de 2,7 millions de requêtes par minute
La première place revient ce mois-ci à notre site web. Au début du mois d’octobre, une attaque très brève mais puissante a eu lieu. D’après les registres, elle a duré moins d’une minute. Les attaquants ont transmis au WAF 2,76 millions de requêtes provenant de 2 223 UIP, et même 2 requêtes ont donné lieu à un résultat de 502.
Depuis, nous avons apporté des améliorations significatives. Tout d’abord, des règles sur la manière de mieux gérer ces attaques particulières et aussi sur la manière de faire face au premier assaut.
- À la mi-octobre, notre site a subi une nouvelle attaque majeure avec 1,6 million de requêtes au pic de 2 874 UIP.
2. attaque contre un magasin en ligne – pic de 1,7 million de requêtes par minute
En octobre, nous avons acquis un nouveau client dont le fournisseur fermait le site chaque fois qu’il était attaqué. Nous avons pu résoudre les attaques immédiatement. Cependant, nous avons été surpris par leur force. Pour une boutique en ligne ordinaire, une attaque de 1,7 million de requêtes par minute provenant de 4 174 UIP est vraiment énorme. Juste une fraction.
Il convient de noter qu’il s’agit d’un client que les attaquants essaient vraiment d’obtenir. Après de nombreux échecs, ils ont même repris nos sites web. Mais ces derniers sont normalement soumis à des attaques d’un calibre plus important. Plus ils essaient, plus nous en savons sur eux et plus nous améliorons continuellement nos protections.
3. attaque sur le site web d’une société de transport – pic de 1,3 million par minute, 7 887 UIP
En octobre, une société de transport d’une ville régionale est venue grossir les rangs de nos clients qui sont attaqués et ont besoin d’une aide rapide. Il faut dire que l’attaque dont ils ont fait l’objet a été l’une des plus intéressantes. Il était comparable à ce qui écrase les sites web des grandes entreprises, des banques et de l’État en République tchèque. Plusieurs attaques de groupes hacktivistes pro-russes ont eu lieu en octobre. Cependant, ils n’ont plus eu accès à ce site et nous n’avons pas eu à limiter la connectivité depuis l’étranger, au contraire, nous avons tout accéléré grâce au cache ;).
Avant d’abandonner, les attaquants ont envoyé 64 millions de requêtes sur 7 887 UIP. En période de pointe, il y avait 1,3 million de demandes par minute.
Bonus – Attaque du site web de la municipalité – pic de 241K requêtes par minute
Quelqu’un a décidé de rendre le samedi après-midi désagréable pour un village de la région de Hradec Králové. Bien que l’attaque ne soit pas très impressionnante, “seulement” 241 000 par minute en période de pointe (795 000 requêtes provenant de 2 240 UIP), l’attaque faisait partie d’autres attaques qui ont également conduit à leur école (un autre site web).
Conclusion
Notre infrastructure WEDOS Global est conçue pour être non seulement robuste mais aussi capable de s’adapter aux défis futurs. Avec WEDOS Global, nous disposons non seulement d’une vision, mais aussi d’outils et de technologies réels qui font de nous un leader dans la fourniture de services Internet. Nous sommes pleinement conscients de notre potentiel à pénétrer le marché mondial et nous sommes fiers de continuer à fournir des solutions innovantes et de qualité.