Hlavní navigace

WEDOS: Zažili jsme možná nejsilnější DDoS útok v ČR, měl sílu minimálně 300 Gbps

Sdílet

Ondřej Novák 9. 4. 2021

Webhostingová firma WEDOS čelí od pondělí DDoS útoku, který v některých chvílích přesahoval 300 Gbps (164,3 Gbps v minutových průměrech). Podle firmy byl útok možná ještě silnější, ale z důvodu průměrování měření a přetíženosti tras se to nepodařilo změřit. Hosting útoku odolává, ke krátkým výpadkům došlo jen u několika služeb. Podle WEDOSu šlo o možná nejsilnější DDoS útok v historii Česka. K hlavnímu náporu došlo začátkem týdne, teď už je provoz klidnější.

„Útok byl poznat hlavně proto, že nám občas na krátkou dobu nešel náš web, klientská administrace a naše status stránka. To byla hlavně situace v pondělí 5. 4. 2021 a částečně i úterý 6. 4. 2021. Poté jsme provedli několik úprav do infrastruktury, něco vylepšili a ve středu 7. 4. 2021 už takto silné útoky způsobovaly pouze drobné zpomalení některých našich webů,“ píše firma na blogu.

Naměřené hodnoty provozu během útoku.
Autor: WEDOS

Naměřené hodnoty provozu během útoku.

Útočníci se prý nejdříve snažili napadnout routery a následně firemní weby a zákaznické služby. Nejsilnější naměřený útok na jeden web byl přes 160 Gbps. Útočníci se snažili zahltit zejména první trasu WEDOSu vedoucí z pražského datacentra SITEL optickou linkou CETINu přes Tábor na Hlubokou, kde webhostingová firma sídlí. Druhá linka přes Písek byla vytížená mnohem méně.

Vedle zahlcení konektivity velkými přenosy zkoušeli útočníci služby Wedosu shodit i velkým počtem paketů. V nejvytíženějších okamžicích firma v minutovém průměru naměřila 98,1 milionů paketů za vteřinu. Krátkodobě se ale čísla pohybovala nad 200 miliony paketů za minutu.

Útok na WEDOS prostřednictvím paketů.
Autor: WEDOS

Útok na WEDOS prostřednictvím paketů.

„Jednalo se o několik stovek odlišných útoků, které střídaly formu, sílu, cíle. Jak jsme na ně postupně reagovali a nasazovali nové filtry a pravidla do ochran, tak se tomu útočník snažil přizpůsobit. Obecně krizových bylo asi 7 minut z celého dne, kdy jsme na jednom routeru zaznamenali pokles přirozených přenosů,“ popisuje firma začátek útoku v pondělí. „Útočník to měnil průběžně podle toho, co našel a v co doufal, že není tak dobře chráněno anebo jsme někde podcenili síťovou infrastrukturu. Velké škody však nenapáchal. Spíše to bylo takové zoufalé střídání IP adres a pár domén.“

K odvrácení útoku podle firmy přispěly dřívější investice do kvalitních routerů a pracovníci postupně vylepšili filtrování IP adres. WEDOS oddělil CZ/SK provoz od zbytku, ale snížit intenzitu útoku to pomohlo prý jen částečně. „Hodně napadených/zranitelných zařízení je tedy i u českých ISP a každý by se měl připravit, že dokáží vytvořit útok o síle desítek Gbps. Nějaké rozsáhlejší blokace IP rozsahů anebo blackholing zde moc používat nejde. Jsme rádi za naše “pračky”, které dokáží takovýto provoz čistit,“ popisuje firma.

Po zkušenostech z útoku se provozovatel webhostingu rozhodl urychlit vývoj služby WEDOS AnyCast, která má pomoct při příštích útocích, přičemž priorita vývoje a rychlého nasazení služby prý výrazně vzrostla. Firma chce také pořídit čtyři nové stroje na filtrování závadného provozu, které zvládnou přefiltrovat 40–120 Gbps a až 50 milionů paketů za vteřinu. 

Našli jste v článku chybu?