Budování WEDOS Global – Nové body, centralizované listy a další Moonshoty

Vybudovat decentralizovanou celosvětovou síť, která nás nejen ochrání ale také na ní budeme moct poskytovat úplně nové služby, je nejen drahé ale také pěkně organizačně a byrokraticky náročné. Rozhodně jedna z největších výzev jaké jsme se zatím postavili.

Nově si můžete článek poslechnout také jako Podcast.

Nové HPE Moonshot 1500

V každém bodě WEDOS Global bude umístěn HPE Moonshot 1500, což je serverová skříň s 45 fyzickými servery a 2 switchy. HPE vyvinulo Moonshoty pro náročná cloudová řešení, kde potřebujete rychle a jednoduše škálovat infrastrukturu. Plně osazený není zrovna levný a ani lehký. Váží i přes 80 kg. Velikost serveru je 4 a 1/3U, do které dáte víc serverů, než do jednoho běžného racku, který je navíc kompletně zapojený.

Každý HPE Moonshot má 4x 40GE a 8x 10 GE porty s full duplex připojením, takže teoreticky zvládne odbavit až 320 Gbps síťového provozu. Nám však jde hlavně o to, že můžeme mít v každé lokalitě hodně propojů na lokální poskytovatele. Konektivitu budeme řešit přes 40 GE a peeringy přes 10 GE.

V každém bodě chceme mít minimálně jeden HPE Moonshot. Pokud by bylo potřeba škálovat, prostě pošleme další, ale lepší je přidat další lokalitu. Až budeme mít desítky nebo stovky lokalit, tak budeme posilovat stávající – již existující – body.

V první fázi chceme mít po světě na strategických místech celkem zhruba 45 “krabic” -HPE Moonshotů. V březnu 2022 jsme měli ve skladech k tomuto účelu 18 kusů, z nichž už jsme část rozeslali. Více v článku Jak jde budování WEDOS Global, olejového chlazení a další dubnové novinky u WEDOS.

V květnu nám dorazila další várka 21 kusů plně osazených HPE Moonshot na třech paletách o celkové hmotnosti 1844 Kg. Ty po rozbalení čeká důkladné otestování a příprava software. Kabely a další příslušenství dáváme podle požadavků datacenter, kam Moonshot směřuje.

Několik dalších boxů jsme měli již v provozu z vlastních zásob. Bez problémů tedy máme připraven HW na téměř 50 lokalit.

Předpokládáme, že tyto nové půjdou hlavně do vzdálenějších lokalit (severní a jižní Amerika, Asie, Afrika a Austrálie).

Nové a aktivní lokality

Aktuálně je už 9 HPE Moonshot na místě a v provozu. Nyní se zapojuje Londýn.

Aktivní a v provozu (9)

🇨🇿 Hluboká nad Vltavou – aktuálně řeší provoz Česka a Slovenska.
🇨🇿 Praha – má na starosti vybraný provoz z EU
🇦🇹 Vídeň – provoz z jihovýchodní a jižní Evropy a část provozu z východu
🇳🇱 Amsterdam – západní a severní Evropa a zbytek světa včetně USA a část provozu z Ruska
🇸🇪 Stockholm – provoz ze severských států, pobaltské republiky a Ruska
🇫🇮 Helsinky – provoz ze severských států, pobaltské republiky a Ruska
🇨🇭 Curych – odbavuje provoz ze Švýcarka, Itálie a kus Afriky
🇫🇷 Paříž – odbavuje provoz z Francie, Portugalska, Španělska a menší kus Afriky a Ameriky
🇵🇱 Varšava – odbavuje provoz z Polska a menší část pobaltských zemí

Jednotlivé lokality už odbavují provoz. Třeba takto vypadalo dopoledne 8. června 2022. Ty špičky jsou útoky, které WEDOS Global Protection nepustí vůbec dál.

Minutový provoz na WEDOS Global dopoledne 8. června 2022
Minutový provoz na WEDOS Global dopoledne 8. června 2022

Na místě, ale nejsou v provozu (1)

🇬🇧 Londýn – zapojuje se.

Domlouváme detaily/posíláme ()

🇰🇷 Soul – domluvená lokalita, řešíme peering
🇹🇷 Istanbul – domlouváme detaily, vše v jednání
🇧🇬 Sofia – domlouváme detaily, vše v jednání
🇪🇸 Barcelona – probíhá vyjednávání, vše v jednání
🇸🇬Singapur – domlouváme detaily, vše v jednání
🇯🇵Tokio – domlouváme detaily, vše v jednání
🇨🇳Hong Kong – domlouváme detaily, vše v jednání
🇦🇺Sydney – domlouváme detaily, vše v jednání
🇷🇴Bukurešť – domlouváme detaily, vše v jednání

Dále vyjednáváme zhruba s dalšími 30 lokalitami. Něco vyjde a něco ne. Máme tým lidí, kteří zároveň hledají potenciální lokality s dobrou konektivitou a oslovují datacentra.

Oslovili jsme také datacentra v severní a jižní Americe.

Snažíme se zároveň vytvářet takové procesy, aby šlo vše zrychlit a do budoucna škálovat. Nicméně narážíme na opravdu extrémní rozdíly mezi jednotlivými datacentry a to jak v komunikaci, tak i technickým servisem a to jsme teprve v Evropě.

Aktuální stav sítě WEDOS Global

S tím jak spouštíme jednotlivé body po Evropě, tak i testujeme, jak se co zrychluje. Je to opravdu diametrální rozdíl, když si nasmlouváte přímé propojení (peering) do sítí těch největších poskytovatelů. Už teď se ukazuje, že bychom v blízké budoucnosti mohli dosáhnout odezvy 5 ms téměř po celé EU.

Prozatím nám vychází zrychlení následovně. Jedná se o orientační jednorázové měření třetí stranou v ms. Jak budou body přibývat a postupně se v lokalitách začneme propojovat s lokálními poskytovateli, tak se to ještě o dost zlepší 🙂

LokalitaAnycast DNS
WEDOS Global DNS
Unicast DNS
WEDOS DNS
Zrychlení%
Amsterdam1221942,86 %
Berlín13281553,57 %
Brusel3181583,33 %
Dublin16341852,94 %
Edinburgh17452862,22 %
Eindhoven2252392,00 %
Frankfurt9900,00 %
Göteborg12311961,29 %
Haarlem2191789,47 %
Hamburk15281346,43 %
Lelystad9201155,00 %
Lille3236411,11 %
Lipsko181800,00 %
Londýn8231565,22 %
Milán4252184,00 %
Oslo12271555,56 %
Paříž2272592,59 %
Praha022100,00 %
Řím4231982,61 %
Salcburk413969,23 %
Ukázka zrychlení odezvy s použitím WEDOS Global DNS

WEDOS Global pro každého

WEDOS Global a zvláště WEDOS Global Protection bude potřebovat každý. Provádět úspěšně DDoS útoky přes aplikační vrstvu (L7) je dnes poměrně jednoduché. Kvůli válce na Ukrajině se objevila řada skupin z Ruska, která poskytuje zdarma skripty k provádění těchto útoků, včetně návodů jak je používat. Teď nemáme na mysli stránky, kde je JavaScript útočící na dezinfo weby.

Máme na mysli skripty v Python, které přes proxy servery provádí skutečné útoky a nutno podotknout, že celkem efektivně. Jistě si pamatujete na útoky z dubna, které omezily fungování řady webů v ČR včetně NÚKIB. Tyto skripty jsme prošli, zjistili jak fungují a jak na ně připravit WEDOS Global Protection.

S těmito skripty si tak řada “výtečníků” hraje. Naposledy jsme zaznamenali útok na web základní školy, kde asi někdo nechtěl psát písemku 🙂

Útok na web základní školy.

Bohužel zákazník nepoužíval naše DNS, takže jsme ho nemohli rychle schovat za WEDOS Global Protection a museli jsme to řešit po staru, což se protáhlo. Jak vidíte, tak útočník dokázal vygenerovat útok o síle přes 68 tisíc requestů za minutu, které prošly na webserver. A to velká část byla blokována filtry z blacklistu. Celková síla útoku tak byla vyšší.

Pokud takovýto útok dokáže udělat žák základní školy, tak se máme na co těšit 🙂

Jenomže jak vysvětlíte řediteli školy, že potřebujete WEDOS Global, tedy decentralizovanou celosvětovou síť postavenou na BGP anycast poskytující reverzní proxy, která bude chránit web různými způsoby podle URL, zdrojových IP adres, useragent, referrer a dalších dat z hlavičky požadavku?

Kolega tak přišel s nápadem edukativního videa, kde bude koncept WEDOS Global a navázaných služeb prezentovat na něčem jednoduchém a reálném. Zkuste se podívat.

Centralizované seznamy nejen pro WEDOS Global Protection

Náš kolektiv vývojářů se za posledního půl roku pěkně rozrostl, takže je čas i na nějaké resty. Mezi ně patří i centralizované seznamy IP adres, s kterými jsou anebo mohou být problémy. Za blacklisty s IP adresami, které útočí si platíme, používáme i různé volně šiřitelné a v neposlední řadě vytváříme vlastní seznamy na základě analýzy provozu z webhostingů, WMS a WebSite.

Doposud však každé oddělení s nimi pracovalo po svém, případně měly i vlastní. Něco jsou pozůstatky z dávných dob. To jsme se rozhodli změnit a vytvořit centrální seznamy, kam si každé oddělení bude moct rychle sáhnout. Tyto seznamy se budou centrálně aktualizovat a udržovat. Nejsou to jen blacklisty a whitelisty, ale třeba i seznamy robotů vyhledávačů, sociálních sítí, služeb na monitorování dostupnosti, API různých používaných služeb atd.

Jednak existence těchto seznamů zajistí, že někdo například nezapomene whitelistovat API používaných pluginů pro WordPress, a také pokud tam budeme potřebovat nějakou IP adresu přidat, tak se to udělá centrálně a projeví na všech službách a částech síťové infrastruktury.

Do budoucna zvažujeme, že bychom tyto seznamy i nabízeli. Věříme, že by o ně byl zájem.

Závěr

Budování WEDOS Global je drahé a náročné, ale jiná cesta není. Bez WEDOS Global nedokážeme postavit WEDOS Global Protection, která bude pro většinu webů v budoucnosti nutností. Stále máme v plánu tarif zdarma pro osobní potřebu a velmi levný pro firmy.

Pokud nám s tím chcete pomoct, stále hledáme další a další kolegy. Práce je u nás dost a profesně i znalostně se dá růst hodně rychle 🙂