Českému O2 se podařilo odrazit DDoS útoky, ve špičce měly 200 Gb/s

Vsak Wedos si kolem toho take dela PR, tak proc by si kolem toho nemohlo delat svoje PR zrovnatak i O2...?

Ano, Wedos odrazil 300Gbps a jediný, kdo si toho všimnul byli zákazníci, kterým pár dní skoro nešel web a Wedos se omlouval a chlubil zároveň. Zatímco jediný důsledek 200Gbps toxického provozu na O2 je kompletní výpadek T-mobilu (asi tak dlouho sledovali grafy u O2, že si nevšimli, že jim to také lítá).

O2 odrazí 200Gbps DDOS útok a píšete o tom jako o zázraku, přitom Wedos klidně odolá i 300Gbps DDOS utoku (skutečně mu odolal, ale plně jim to vytížilo připojení do jejich datacentra)

Dobrý den,
to co tvrdíte není pravda.

V době, kdy na náš byly největší útoky, tak nám prakticky všechno pro zákazníky fungovalo. Některé služby byly zpomalené.
Tady máme například sepsáno co bylo loni, ale letos jsme měli ještě větší útoky.
https://blog.wedos.cz/jak-probihal-zrejme-nejsilnejsi-ddos-utok-v-cesku

Ten letošní:
https://blog.wedos.cz/prozatim-nejsilnejsi-ddos-utok-roku-2022-prepisuje-rekord-z-minuleho-roku
ucpal nejen naše upstream poskytovatele.

Již mnoho let máme vlastní DDoS ochranu a díky tomu máme minimum problémů. Za několik let jsme již odchytili přes 2,25 milionu DDoS útoků.

Ještě jedna poznámka. Podle nás je mnohem snadnější řešit DDoS u sítě, kde jsou koncová zařízení a koncoví uživatelé, než naopak servery a weby. Útoky směřující do sítě plné uživatelů můžete poměrně snadno omezit, odříznout, limitovat, přejít na záložní řešení. Všimli jste si někdy v zahraničí, že některé české služby jsou extrémně? Tam nejsou ani kapacity na to, aby větší útok prošel do sítě.

U nás to máme jinak a celé je jiné.
U webů a serverů, kde řešíte milisekundy zpoždění a musíte filtrovat provoz a chránit weby. To je mnohem složitější. Musíte analyzovat provoz a podle toho měnit pravidla. Kapacity musejí mnohonásobně vyšší.
Ale tohle je na samostatný článek a ne tady na reakci do nějaké diskuze a dohady s lidmi, kteří tvrdí, že nám něco nešlo. O všem vždy detailně informujeme.

Máme automatickou status stránku:
https://status.wedos.hosting/cs/

A od letošního roku makáme na nové službě WEDOS Global, která je speciálně proti DDoS. Máme body již na několika kontinentech a do konce roku budeme na všech a budeme mít několik Tbps kapacity konektivity a několik tisíce serverů v provozu na filtraci útoků! Aktuálně máme k dispozici 3x 100GE na Hlubokou, ale v Praze máme ještě o 200GE konektivity více. Na naší službě WEDOS Global máme nyní ještě připraveno 1800 GE (1,8 Tbps) a s každým dalším bodem tato kapacita roste. Díky tomu budeme připraveni na mnohem větší útoky.

Tady si můžete počíst:
https://blog.wedos.cz/jak-jde-budovani-wedos-global-olejoveho-chlazeni-a-dalsi-dubnove-novinky-u-wedos

https://blog.wedos.cz/budovani-wedos-global-nove-body-centralizovane-listy-a-dalsi-moonshoty

https://blog.wedos.cz/wedos-global-protection-v-akci-l7-utoky-denne-presne-v-700

https://blog.wedos.cz/v-poslednich-dnech-evidujeme-narust-sqli-utoku-jak-nam-s-tim-pomuze-wedos-global-protection

https://blog.wedos.cz/wedos-global-protection-par-zajimavosti-z-testu-automatickych-ochran

Věřte tomu, že se problematice DDoS ochran věnujeme intnezivně.

Kéž by se tak intenzivně věnovali DDoS problematice i v T-mobile, kterého ten nedávný DDoS pěkně potrápil. Ti se zřejmě starají jen o to, aby mateřské společnosti odvedli miliardové zisky a pak to tak vypadá... ;-)

Prehodit na jinou IP muzete klidne i serverovou cast. Vsecko je to jen o nastaveni - no v podstate uz o analyze rizik, jenze to je vec co se rada "preskakuje'" jako nejaka zbytecnost.

Ono i zmena IP muze byt v eyeball siti zrovnatak neprijemna jako zmena na strane serveru. Jsou technologie, co muze pouzivat i koncovy uzivatel, kde pri nevhodnem nastaveni je zmena IP proste... neprijemnou komplikaci. Ty principy jsou v tomto smeru stejne... ale nedelejte prosim ze zmeny DNS zaznamu neresitelnou kovbojku ;-) A on ten utok nikdy nejde na 150 tisic domen, to jste si tu ted proste vyfabulovali (klasika, pro potreby PR se nejaky cisla zkresli).

V reseni nejste zdaleka jedini - a i Cloudflare to resit zvlada. A nevsim js m si, ze by fnukali, pritom tech domen tam maji jeste vic... ;-)

A nebo tech 1024 IP pod utokem byla mlha snazici se zakryt primarni cil utoku :-) To jsme zase u tech PR prohlaseni, neco tu "vypustite", ale nikde nejsou data, na zaklade kterych je mozne neco realne overit. Neoveritelna tvrzeni budou vzdy... neoveritelna tvrzeni.

Koncove site jsou z pohledu sitoveho trafficu spise prichozi smer, takze naopak jakykoliv DDoS je tam problem driv - proste se to tam driv ucpe. Zatimco content provider ma vetsinu provozu "ven"... a dovnitr toho je minimum, takze i z pohledu kapacit tam ma na odrazeni utoku proste z principu vetsi rezervy. Takze tahle bagatelizace ve vztahu k pristupovym sitim opravdu neni na miste.

A ono DDoS ochrana se samozrejme resi v mnoha vrstvach, to neni o tom ze na vstupu site posadite nejakou "magickou krabici", co uzasne vyresi vsechny problemy. Ale realita je takova, ze ty "mnohasetgiga­bitove" utoky jsou proste nejaka tupa/jednoducha a v zasade volumetricka vec, zatimco sofistikovane aplikacni utoky uz tolik linky co do objemu nevytizi. Jen v realu je to dnes tak, ze utoky se proste kombinuji - a vedle nejake tupe amplifikace se jede i ta aplikacni cast - co proste jen uvari poddimenzovany / nevhodne nastaveny koncovy server.

A samozrejme utocnik majici v cilu "opravdu skodit" si to nejslabsi misto (vesmes v aplikacich) vzdycky najde... a odolnost proti utoku se meri prave podle toho nejslabsiho mista, nikoliv podle tech mnoha-set gigabitu, co se nastrkaji pred to... cely retez je proste tak silny a odolny tak, jak odolny je prave ten nejslabsi clanek. Aneb i "reseni" co se polozila i kdyz si na frontend strcili na mnohem nabusenejsi Cloudflare jsem uz taky par potkal (a s WEDOS Global to jine nebude). Ale chapu... PR a marketing... :D

Nikdo to nebatelizuje. Celkově všichni víme, že to je celé složité.
Jenže filtrace koncových sítí je v podstatě snazší, protože například zákazníky můžete přehodit na jinou IP a tu na kterou se útočí můžete dát na blackholing. To sám víte nejlépe.
Ano, pokud jde o zákazníka, který má pevnou IP, tak se situace komplikuje, ale i tak je to řešitelné.

Jenže jak to uděláte u hostingu, kde na jedné IP jsou stovky klientů? Musíte ten provoz filtrovat. A právě nejde o hrubou sílu, ale o to, že hrubá síla je jedna část útoků a potom jsou tam aplikační útoky.
To není o poddimenzování. Pokud vám na server běžně chodí sto přístupů za hodinu, ale v době útoku přijde třeba několik milionů, tak na to nemáte volnou kapacitu.

A potom poraďte, jak na útoky, když vám přijde na IP adresu útok o síle několika Gbps. A tohle na stovky IP adres. Prostě na celé rozsahy. Všechno v jednu dobu. Tím se jednak zahlcují všechny kapacity a to i poskytovatelům nad námi. Obyčejný blackholing nepomůže. To byste musel "zahodit" všechny IP. A v tu stejnou dobu jde útok na 150 tisíc domén, které hostujete. Na každý vám jde místo běžných přístupů třeba 100 až 10.000x větší počet přístupů a samozřejmě na necachované stránky...
To jsou situace, ale to tady napovídáme útočníkům.

Všechno jde složit, je to jen o tom kolik prostředků máte k dispozici a kolik síly naopak použijí útočníci.

Celu problematikou se zabýváme hodně let a pořád to posouváme a vyvíjíme.

Chvili pisete o 150tis domenach pod utokem, pak napisete ze vam utocili na 1 IP rozsah velikosti 1024IP adres… 150tis domen pod utokem jsem nevidel nikde, 1024 IP pod utokem je bezne. Tech 1.8Tbps je hezke, ale obecne konektivita v zahranici u domacich uzivatelu roste a zahltit tech 1.8Tbps nejakym botnetem nebude problem.

Přehození IP je mnohem snazší a méně problematické pro jakéhokoliv ISP, který má většinu zákazníku za NATem, než změna IP adresy v DNS pro obrovské množství služeb, které navíc nemusejí mít vůbec DNS u nás.
A těch co nemají naše DNS je třeba 20% a tam neuděláte vůbec nic.

Navíc změna DNS není na počkání, plus jen změna těch záznamů v DNS nemusí být jednoduchá a má to dopady na další a další věci (třeba doručování mailů kvůli změně SPF záznamů).

I z tohoto důvodu chceme nyní nově podmínku, aby hostingové služby měly vždy naše DNS.

Změnu IP u serverů a VPS, kde nemáme přístup, protože neděláme managed služby lze považovat za sci-fi.

Kdybyste věděl jak to bylo s posledními většími útoky, kdy nám útočili na úplně všechny IP adresy z celého jednoho našeho rozsahu (1024 IP) současně, tak byste nikdy nemohl říct, že to bylo PR. Napsali jsme o tom nějak moc ven, protože to je jen návod pro útočníky jak zničit každého.

Nic nefabulujeme. To není náš styl. Nikdy jsme to nedělali. Tak to prosím nepište.

Neříkáme, že jsme jediní. Říkáme, že průběžně na ochraně proti útokům pracujeme a nyní ti posouváme pomocí anycastu zase o úroveň dál.
Nefňukáme. Jen vysvětlujeme, že tady někteří lidé tvrdí nepravdy. Třeba o tom, když na nás byly velké útoky, že nám to nešlo. Většina věcí šla bez chyby a malinká část byla zpomalená. Tak to jen vysvětlujeme.

To, že má domén někdo víc je pravda a my netvrdíme, že to tak není. Tady jde o to, že jsme vysvětlovali proč to není tak jednoduché řešit...