Wedos byl 4 dny pod silnými DDoS útoky, které údajně přesahovaly 300 Gbps

Největší hostingová společnost na českém trhu Wedos se od pondělí potýkala s velmi silným DDoS útoky, které cílily na její weby a infrastrukturu. Podle jejich vyjádření na několik vteřiny byla dokonce vytížena celá jejich konektivita 3x 100 Gbps, což by ukazovalo na nejsilnější útok na českém internetu vůbec.

Wedos má s DDoS útoky poměrně dost zkušeností. V roce 2014 se stali terčem rozsáhlých útoků, které trvaly tři měsíce[1] a vedly k velkým investicím nejen do ochran, ale i síťové infrastruktury. Na to že běžný provoz u Wedos za den nepřesáhne ani 10 Gbps, tak mají vše značně naddimenzované. Od tří dodavatelů berou 100 Gbps a mají ještě záložní 10 Gbps trasy. Hraniční routery (používají chytré switche Arista) mají porty 100 Gbps a vnitřní, také značky Arista, 40 Gbps. Většina služeb pak jede na serverových skříních HPE Moonshot s připojením 4x 20 Gbps. V každém jsou 2 switche a 45 serverů.

Pojďme se na to podívat postupně podle toho jak o útocích informovali na sociálních sítích:

Pondělí

V pondělí se objevila informace na status stránce o silných útocích, které mohou způsobovat nedostupnost. V tento den docházelo ke krátkým výpadkům zákaznické administrace, webů, PHPmyAdmin, komunitního webu a všiml jsem si i nedostupnost rozhraní pro webmail.

Pomocí externího monitoringu UptimeRobot hlídám stránky Wedos a pár hostingů, včetně testovacího. Nicméně je nutné brát v potaz, že se měří ze zahraničí, což v případě útoků nemusí být přesné. Wedos už dříve uvedl, že v případě silných útoků může blokovat ICMP a do blokování se může dostat i provoz z měření dostupnosti. Proto doporučuje používat jejich službu Wedos OnLine.

  • Testovací webhosting badrequest.eu měl v pondělí celkem 3 výpadky v celkové délce 20 minut.
  • Stránka hosting.wedos.com/cs/ na tom byla hůře, celkem 5 výpadků v celkové délce 63 minut. Tuto stránku už ale Wedos nepoužívá, takže je otázkou jakou jí při ochraně dal prioritu.

V pondělí mělo také dojít k nejsilnější části útoku, která se podařila změřit. Minutové průměry (za 3 minuty) dosáhly 164,3 Gbps.

Úterý

V úterý proběhl nejsilnější změřený útok v počtu paketů, který měl sílu 98,1 milionů paketů za vteřinu.

  • Testovací web měl 6 výpadků v celkové délce 23 minut.
  • Měřený web Wedosu pak 8 výpadků v délce 129 minut.

Středa

Ve středu provedl Wedos změny v routování. Rozdělil českou a slovenskou konektivitu od zahraniční. Zapojil naplno třetí trasu a připravil nové filtrování. Podle oficiálního vyjádření se útočníkovi nepodařilo weby shodit jen dosáhl zpomalení.

Poprvé také útočník zkusil ucpat všechny tři trasy (3x 100 Gbps), což se mu na chvíli i podařilo. V minutových průměrech za 3 minuty do udělalo ve výsledku „jen“ 142,3 Gbps.

Wedos poprvé zmiňuje, že část útoků jde i z NIX, což dosvědčuje i statistika přípojek.

A co na to UptimeRobot? Jak testovací hosting, tak i web Wedosu byl bez výpadku.

Čtvrtek

Wedos je stále pod útokem. Oznamuje že cílem jsou stále hlavně jeho weby a administrace. Problém dělají hlavně útoky z NIX. Zároveň je zveřejněn článek s grafy a detailním popisem celé situace.

Co se týká měření:

  • Testovací web je bez výpadků
  • U měřeného webu Wedos 2 výpadky v celkové délce 6 minut.

Pátek

Wedos oznamuje konec útoků. Poslední byl ve čtvrtek v nočních hodinách.

Zároveň se objevují informace o akceleraci projektu Wedos AnyCast, nasazení 2 nových filtrů s kapacitou až 80 Gbps každý a přípravě záložní administrace. Wedos bere celou událost jako zdroj zkušeností, na kterých vylepší své ochrany.

Jak silný útok na Wedos vlastně byl?

DDoS útoky se těžko měří. Jakmile spadne nějaká trasa kvůli přetížení, tak se bere, že útok přesáhl tuto hranici. Většinou to bývá jen na krátkou dobu, protože na velkou konektivitu musí reagovat ti odkud jde. Případně dochází k ucpání lokálních tras. Wedos měl údajně ucpáno v jeden okamžik 3x 100 Gbps, což tedy dělá špičku 300 Gbps. Na druhou stranu změřit 164 Gbps jako minutový průměr je hodně slušné.

Osobně jsem neslyšel, že by v ČR proběhl takto silný útok. Občas se mi něco donese o desítkách Gbps, ale jak jsem zmínil je to právě o konektivitě. Moc hostingů v ČR nemá 3x 100 Gbps jako Wedos. Wedos totiž není obyčejný hosting, má 2 privátní datacentra. Otázka na nejsilnější DDoS útok v ČR by spíše měla jít provozovatelům datacenter, kteří tuto konektivitu mají a přeprodávají hostingům. Většina hostingů má desítky Gbps, menší často ani to ne.

Wedos si s útokem poradil dobře, na to že se jednalo o první útok takovéhoto rozsahu. Celkem 43 minut za 2 dny velkých útoků nezní ideálně, ale po úpravách už další výpadek UptimeRobot nezaznamenal. Popravdě asi tu není konkurence, která by to zvládla lépe a otázkou je jestli tu je vůbec někdo další kdo by to zvládl. Wedos má s útoky rozsáhlé zkušenosti, postavenou vlastní ochranu a dostatečně naddimenzovanou infrastrukturu. Fakticky platí za něco z čeho využívá jen zlomek.

Nejsilnější útoky na světě

V ČR jsem nic pořádného nedohledal, tak jsem zkusil jsem dohledal alespoň nejsilnější útoky na světě.

1. Google – září 2017

Nejsilnější útok na světě se odehrál v září 2017. Cílem byla infrastruktura Google. Jednalo se o zesílený útok, kdy útočník poslal na 180 tisíc serverů se zranitelnsotí dovolující tento druh útoku podvržený paket, který říkal, že mají odpověď na cílový server Google. Výsledný útok měl sílo 2,54 Tbps, což je nějakých 2.600 Gbps, tedy 8,66x větší než šel na Wedos.

2. AWS – únor 2020

Útok byl veden na servery Amazon Web Servces přes zranitelnost CLDAP, které znásobily útok 56 – 70x. Útok trval 3 dny a ve špičce dosáhl 2,3 Tbps, což je 2355 Gbps (7,85x větší než šel na Wedos).

3. GitHub – únor 2018

Velice zajímavý útok, který nebyl vedený z botnetu. Útočník využil zranitelnosti v databázových serverů s memcache a podvrženým požadavek znásobil sílu útoku 50.000x. Útok trval jen 20 minu, 10 minut z toho byla detekce a vyhodnocení. Síla útoku byla 1,35 Tbps, což je 1382 Gbps (4,6x silnější než šel na Wedos).

4. OVH – září 2019

Útok byl veden přes Mirai botnet a cílem byl 1 zákazník společnosti OVH. Útoku se účastnilo 145 tisíc zombie počítačů. Síla útoku dosahovala 1,1 Tbps, což je 1126 Gbps (3,75x silnější než útok na Wedos).

5. DYN – říjen 2016

DYN je poskytovatel DNS pro mnoho velkých služeb. Útok na jeho infrastrukturu byl proveden z Mirai botnetu, který se zaměřoval na IoT. Ve svém rozsahu to byl nevídaný útok, protože se ho účastnily desítky milionů IP adres. Postižené byly služby Airbnb, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit anebo GitHub. DYN s útokem zápasil celý den. Síla útoku je oficiálně 1 Tbps (některé zdroje uvádí až 1,5 Tbps), což je 1024 Gbps (3,41x silnější než šel na Wedos).

6. neznámý čas i cíl

Na stránkách CloudFlare jsem našel, že nejsilnější DDoS útok, který kdy eliminovali měl sílu 942 Gbps, šel na 1 jejich klienta.

Závěr

Wedos to ustál dobře. Děsivé je spíše prohlášení:

„Hodně napadených/zranitelných zařízení je tedy i u českých ISP a každý by se měl připravit, že dokáží vytvořit útok o síle desítek Gbps. Nějaké rozsáhlejší blokace IP rozsahů anebo blackholing zde moc používat nejde. Jsme rádi za naše “pračky”, které dokáží takovýto provoz čistit.“

V případě nouze totiž hosting zaměřený na české klienty může „odříznout“ zahraničí. U domácích ISP to však bude problém.

Představte si, že by útoky jaké šly na Wedos šli třeba na státní infrastrukturu, kde se mluví o tom, že potřebuje nutně spousta HW vyměnit protože zastarává. Severy které padají pod náporem běžné návštěvnosti, by najednou museli čelit stovkám milionů paketů navíc a linky by zahltily stovky Gbps.


Jak bude reklama vypadat?
-
Nechceš zde reklamu napořád jen za 60 Kč?
Zobrazit formulář pro nákup

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *