Jak jsme “zaspali” nejsilnější DDoS útok, který na nás kdy šel a nikdo si toho nevšiml

Zrovna před týdnem jsem se pochlubili na sociálních sítích, jak na nás po dlouhé době šel zase jeden větší DDoS útok (přenosy se vyšplhaly na 32 Gbps při 5ti minutových průměrech). No a málem jsem “zaspali” rekordmana. Respektive zaspali, protože jsme si toho ani nevšimli.

Velmi silným útokům jsme čelili už dříve, ale teprve přechodem na 100 Gbps linky je dokážeme i přesně měřit. Aktuálně máme konektivitu na Hlubokou 3 trasy a každá 100 Gbps a tak máme 3x 100Gbps do internetu (přes další poskytovatele) ještě víc. 23. března večer začal nejsilnější zaznamenaný DDoS útok. Během okamžiku vyskočily přenosy přes 38 Gbps (5 ti minutový průměr).

A co se dělo u nás? DDoS ochrana vyhodnotila data ze senzorů v řádech jednotek vteřin (tato doba je od 1,5 – 3,5 vteřiny) a začala situaci řešit jako každý běžný DDoS útok, kterých na nás chodí denně i stovky. Spustila výhybku a začala problémový provoz filtrovat.

Zákaznická podpora radila s administrací, odpovídala na dotazy na komunitním webu a technici dodělávali poslední resty. Nikde žádný výkyv, nikdo si nestěžoval, prostě jakoby se nic nedělo.

Teprve další den si technik při rutinní kontrole provozu DDoS ochrany všiml “celkem silného” útoku. Mezitím přišlo pouze jedno upozornění prostřednictvím SMS a mailu, že probíhá silný útok.

Když se útočí silou až 44,5 Gbps

Všechny útoky nad 10 Gbps chodí technikům SMSkou, takže není úplně pravda, že by o tomto nikdo vůbec nevěděl. Ovšem v SMSce už není uvedeno, jak silný útok to je. V posledních letech jsou takto silné útoky celkem běžné, takže SMSky chodí pravidelně. Technici se jen ujistí, že útok neomezuje služby zákazníků a dále to neřeší. Není třeba.

To, že má útok dopad na zákaznické služby monitorujeme jinými systémy, a tak by přišlo zase jiné upozornění. Nic se nestalo. 

Většina silnějších útoků je složena z více menších. Útočí se různými způsoby na odlišné části sítě. Pokud bychom sečetli všechen škodlivý provoz, který v té době na nás šel, dosáhl by ve špičce 44,5 Gbps.

Tohle byla jeho nejsilnější část. Jak vidíte, útočník to zkusil po chvíli znovu. Už však k dispozici neměl takovou sílu. Při takto silných útocích se často cestou něco ucpe. Ne každý má 3x 100 Gbps konektivitu jako my 🙂

Na následujícím grafu vidíte i sílu v počtu odeslaných paketů. Pro většinu ochran je náročnější ustát právě počet paketů než celkové přenosy.

DDoS ochrana pro klidné spaní

V roce 2014 jsme si prošli kvůli DDoS útokům třemi velmi náročnými měsíci. Tehdy jsme si řekli, že už nic podobného nechceme nikdy zažít, a tak jsme se pustili do stavby vlastní DDoS ochrany. Investovali miliony korun a obrovské množství času. Našim cílem bylo vytvořit DDoS ochranu, která by nám zajistila klidné spaní.

Samozřejmě přicházeli další krušné chvilky. Objevily se nové formy útoků, naráželi jsme na limity značkového hardware i našich dodavatelů. Ale jak šel za ty roky čas, nabrali jsme zkušenosti a řadu věcí vylepšili, proinvestovali miliony a současný stav je takový, že můžeme zaspat i útok o síle 44,5 Gbps.

Co bude s DDoS ochranou dál?

DDoS ochranu si hýčkáme a jsme na ni patřičně pyšní. Snažíme se, aby byla dostatečně naddimenzovaná a neustále pokukujeme po nových technologiích. Je složena z mnoha velmi výkonných serverů rozmístěných po síti (některé jsou u dodavatelů naší konektivity). Potřebujete hlavně silný výpočetní výkon a dostatek paměti.

Aktuálně jsme naši ochranu vylepšili i dnes v noci, ale o tom zase napíšeme příště.

Další velké vylepšení máme naplánované na tento rok. V přípravě je služba WEDOS AnyCast, která zajistí, že váš obsah u nás bude dostupný rychle a bezpečně z celého světa. Na vybraná místa (takzvané POPy) po světě rozmístíme naše servery, přes které se budou připojovat vaši zahraniční návštěvníci přímo k nám.  Součástí instalace budou i servery vyhrazené například na CDN.

Ovšem dáme tam i servery pro lepší detekci a filtraci. To nás posune zase o kus dál. Získáme lepší přehled o útocích, efektivnější filtraci a v případě, že by někdo rozjel opravdu extrémně silný útok, tak to vždy odnese jen daný POP. Tady u nás v ČR to nepoznáte.

Otázkou samozřejmě je, jak to bude ve světě teď.

Závěr

Občas nám píšete, že chcete vědět o naší ochraně víc a že chcete speciální nastavení. I to se připravuje. Jednak napíšeme více informací a jednak chceme přidat příplatkové služby.