Verisign vydal zprávu DDoS Trends Report za druhý kvartál, která vychází ze statistik jejich ochrany, kterou nabízí jako komerční službu Verisign DDoS Protection Services. DDoS útoky se v posledních letech stávají velkým problémem, kterému musí čelit naprosto všichni. I “slabší” DDoS útoky, které se dají pořídit za jednotky či desítky dolarů, dokáží odrovnat velké weby na několik hodin. Co ale teprve ty opravdu silné útoky?
Podle statistik Verisign 52 % DDoS útoků, které se jim podařilo zneškodnit, bylo provedeno bylo vedeno více způsoby. Obecně se používá více druhů útoků pro zmatení cíle (přetížení detekce – zaplavení logů) anebo prostě zjištění jaké formy obrany mají a které útoky budou fungovat nejlépe. Často totiž cíl nesestřelí samotný útok, ale třeba jen velký objem dat, který se zapíše do logů. Méně zkušení administrátoři pak mohou hledat chybu jinde, což stojí čas.
Celkově narostl počet útoků o 35 %. Oproti předchozímu kvartálu se zmenšila síla útoku ve špičkách o 49 %. Nutno však dodat, že minulý kvartál byl extrémní. Pokud srovnáme meziroční hodnoty, tak je zde nárůst o 111 % ve špičkách.
Nejničivější zaznamenaný útok za 2Q byl veden přes UDP a ve špičce dosahoval 42 Gbps a 3,5 milionů paketů za vteřinu. Tento extrémně silný útok trval 3 hodiny. V těchto případech už většinou cíl je vymazán z internetové mapy anebo volí obranu formou blackholingu, tedy přestane svou IP adresu propagovat do internetu, například pro určitý region. Třeba pro všechny poskytovatele mimo ČR. Je to v podstatě jediná reálná obrana pokud nemáte vlastní datacentrum se 100 Gbps linkou 🙂
Co do hrubé síly, tak nejsilnější byl útok se špičkou 38 Gbps a 4,7 milionů paketů za vteřinu. Trval celkem dvě hodiny.
Průměrný útok má 5,7 Gbps, což odrovná prakticky všechny nechráněné servery. Běžně se totiž větší než 1 Gbps ( a to ještě agregovaná) konektivita nedává. 26 % útoků přesáhlo 5 Gbps a 58 % přesáhlo 1 Gbps
Nejčastěji je útok veden přes UDP – až 56 %. Na druhém místě jsou útoky vedené přes TCP – 26 %.
Na koho nejčastěji útoky cílí
Hlavním cílem útoků jsou finanční instituce a to v 43% případů. Průměrný útok má sílu 5 Gbps. V 37 % případů jsou to poskytovatelé IT služeb, cloudů a SaaS, kde průměrný útok má 5,7 Gbps. A na konce Média a zábava – 20 %. Zde má průměrný útok až 7,5 Gbps.
Nutno podotknout že čísla jsou pouze ze služby Verisign DDoS Protection Services, tedy u webů a služeb, které si jí objednaly a aktivně používají. Zřejmě tedy už cílem byly dříve a vyhledaly aktivní pomoc. V reálu budou průměry nižší.
A jak je tomu u nás?
Nějaké statistiky se u nás ven moc nepouští. Ovšem občas někdo něco zveřejní. Například oblíbená služba Rohlik.cz byla 8. srpna pod útokem zhruba 40 minut, z toho web nešel 13 minut čistého času. Síla útoku byla jen 83 paketů za vteřinu. 14. září pak přišel další, silnější 550 paketů za vteřinu. Přiznám se že se mi ta čísla nezdají. Těch 550 za vteřinu bych chápal ale předtím 83 za vteřinu by měl ustát větší web (to je běžný provoz).
Útokům se nevyhnul ani hosting Endora. 20. srpna zveřejnili zprávu o DDoS útocích. Zavedli nějaká opatření na ochranu. Škoda že nezveřejnili nějaké statistiky.
Jinak se o DDoS u nás moc nemluví.
Závěr
V případě dlouhotrvajícího silnějšího útoku vám musí pomoct váš poskytovatel hostingu. Většinou nějakou ochranu má. Sami toho moc nezmůžete. Jediným řešením je pořídit si nějakou ochranu třetí strany, před kterou pojede provoz a bude filtrovat pakety. Samozřejmě pokud se setkáte s něčím jako je uvedeno výše, tak máte prostě smůlu, to ucpe linku i vašemu poskytovateli a tomu nezbude než vás odříznout.
- https://blog.verisign.com/security/ddos-protection/q2-2018-ddos-trends-report-52-percent-of-attacks-employed-multiple-attack-types/
- https://www.lupa.cz/aktuality/rohlik-cz-je-pod-ddos-utokem-sluzba-nefunguje/
- https://www.endora.cz/novinky/servery-endora-cz-pod-opakovanymi-ddos-utoky-351
- Wedos zľavy - Zľavové kupóny na webhosting a VPS