Předminulý pátek (12.8.2016) měl po dlouhé době WEDOS problém s DDoS útokem. Podle zpráv na sociálních sítích zasáhl VPS a hlavní web. Ostatní služby webhosting a wedos disk fungovaly v pořádku. Dedikované servery měly mít výpadek minutu, než byly přesměrovány na jiný router. V oficiální vyjádření je napsáno, že zhoršená dostupnost u VPS trvala od 13:39 do 16:20.
Wedos je známý svou DDoS ochranou, kterou si musel vybudovat právě kvůli silným a opakujícím se útokům v minulých letech. Postupem času jí zlepšoval a o DDoS útocích jsme snad více jak rok ani neslyšeli. Tedy krom pravidelných zmínek v PR. Na přednáškách bylo často prezentováno, že dokáže odrazit útoky hrubou silou jak ve formě mnoha Gbps tak i v množství paketů. Na to co přišlo předminulý pátek ovšem až tak úplně připravený nebyl…
Neklid před bouří
Jednalo se o zcela novou formu útoku. Mimořádně rafinovanou, zřejmě dlouhodobě plánovanou a profesionálně připravenou.
Podle oficiální zprávy byl zřejmě útok dlouhodobě plánovaný. Útočníci si u Wedos pořídili několik VPS, které měly posloužit pro hlavní útok. Asi nebudu daleko od pravdy, když řeknu, že si také otestovali jak se DDoS ochrana chová proti útokům zvenku a zevnitř. Ostatně nějaké indicie se objevily na Twitter účtu @wedos_status už 8. srpna, tedy 4 dny před hlavním útokem.
v době 21:47-21:55 jsme řešili problém s konektivitou u VPS, který byl způsoben silným plošným DDoS útokem. Omlouváme se
— WEDOS status (zrušeno) (@WEDOS_status) August 8, 2016
Další jednotlivé testy prováděli útočníci během týdne. Sice o nich Wedos nepíše, ale podle reakcí na sociálních sítích je poznat, že se něco dělo a docházelo minimálně ke krátkým problémům s konektivitou u jednotlivých VPS. Dohledat můžeme tweety a FB příspěvky z 9.8 a zvláště 10.8.
Ve čtvrtek 11.8 bylo na naopak ticho. Žádné stížnosti ani náznaky , že by se něco mělo dít. Klid před velkou virtuální bouří…
Velká virtuální ofenziva
V pátek po půl druhé odpoledne to vypuklo. Objevil se první útok přes IPv4 na několik stovek VPS. Jednalo se o zastírací útok, který měl zřejmě za úkol aktivovat DDoS ochranu a naplnit logy senzorů, serverů které hlídají provoz na síti. Následovala hlavní virtuální ofenzíva přes IPv6 ze dvou stran. Z venku na Wedos mířilo několik desítek tisíc požadavků z různých, často podvržených, IPv6. Ve vnitřní síti VPS útočníků využilo desítky tisíc přidělených IPv6 (každé VPS má přiděleno 65.536) a provedli útok na infrastrukturu. Na útok zevnitř nebyl Wedos připraven. Výsledkem byla přetížená infrastruktura v důsledku až 6 milionů paketů za vteřinu.
U Wedos jsou na DDoS útoky zvyklí a vědí jak je řešit. Nečekají na zázrak nebo až to přejde. Ihned se pustili do analyzování situace. Jenomže senzory, které nevydržely nápor zřejmě nedokázaly hned poskytnout jasnou odpověď co se děje. Zastírací útok ztížil práci technikům, které tlačil čas. Jakmile z analýz zjistili, co se zhruba děje, tak začali jednat. Podle oficiálního vyjádření a reakcí na sociálních sítích se rozhodli řešit problém ve dvou liniích. Na jedné zastavit útok a na druhé rozdělit IPv4 a IPv6 provoz. Už věděli, že právě přes IPv6 jde hlavní ofenziva a jejich obrana na tento druh útoku není připravena. Ostatně pokud útočí desítky tisíc IPv6 adres na další desítky tisíc IPv6 adres, tak výsledkem jsou stovky milionů kombinací, které je třeba hlídat. To neutáhne žádná běžná infrastruktura.
V 15:49 Wedos hlásí první úspěch. Rozdělení provozu na IPv4 a IPv6 je hotové, protože IPv4 je už VPS funkční. O IPv6 probíhají stále tuhé boje a nevypadá to dobře.
Na vnitřní síti byla identifikována problémová VPS a jsou vyřazena z boje. U dalších, která jsou podezřelá ze záškodnické činnosti, zřejmě v důsledku zneužití bezpečnostních děr, byl omezen provoz.
16:20 se situace stabilizuje. Služby jsou téměř plně funkční. IPv6 není zcela bez problémů a během následujících dnů se zřejmě ještě útočníci pokusí o protiútok. Ovšem nejsou hlášeny žádné škody většího rozsahu. Wedos už ví jak útok probíhal a dokáže mu bránit.
Několik dnů poté
Následující dny Wedos pracuje na řešení situace a připravuje plán jak se s podobnou situací vypořádat. Výsledkem je omezení IPv6 na VPS, kde si uživatel musí každou IPv6 adresu registrovat. Díky tomu ví DDoS ochrana co vlastně bránit. Zároveň dochází k posílení jednotlivých prvků ochrany, tak aby na podobný druh útoku dokázaly být připravené.
Rozdělení provozu na IPv4 a IPv6 je ponecháno pro případ nouze.
Ve oficiálním vyjádření je přislíbena podpora IPv4 pro VPS, které doposud byly poměrně drahé (50 CZK/měsíc). Nová cena bude 1 CZK/měsíc.
Závěr
První větší problém s DDoS útoky po delší době mě nijak nepostihl. Všechny služby, které u Wedos mám (webhosting, Wedos disk) fungovali normálně. Monitoring žádný problém nezaznamenal. To samozřejmě neznamená, že mě to trochu nevyděsilo. Pokud dokáže jít proti VPS, tak by v budoucnu mohl jít i proti webhostingu. Na druhou stranu z oficiálního vyjádření vyplývá, že vědí o co šlo a umí se na to připravit. Ostatně se samotným útokem si dokázal Wedos poradit a to je důležité. Předtím než měli DDoS ochranu, to bylo o něčem jiném.
Trochu zklamání je pro mě IPv6. Dlouho prosazovaná adresa pro všechny a všechno, která má nahradit IPv4, zřejmě přinese ještě velké komplikace.
Podobné situace budou asi následovat i u mnoha jiných poskytovatelů. IPv6 je moderní a my sami jsme velkým propagátorem, ale páteční situace je velkým vystřízlivěním. Velkým. Nejraději bychom IPv6 ukončili…
- Oficiální zpráva – Vyjádření k problému s konektivitou u VPS dne 12.08.2016