Active24 má za sebou největší DDoS útok ve své historii. Proběhly naštěstí o víkendu a v hodinách, kdy je na českém internetu nejmenší aktivita, takže jejich dopad na zákazníky nebyl velký.
Podle zástupců firmy měly víkendové útoky na Active24 větší sílu než ty, které šly na firemí síť v průběhu vlny DDoS loni v březnu, která tehdy zasáhla weby tuzemských médií, bank či mobilních operátorů.
„Šlo ale o jiný typ útoku – amplifikační UDP flood zneužívající SSDP protokol. Útok k nám přicházel jak tranzitními linkami, tak z NIXu zejména od operátorů TTK a W-IX,“ popisuje Tomáš Hála z Active24.
Na grafech provozu v NIXu je útok na Active24 jasně viditelný
Útok podle něj přišel v celkem pěti vlnách. „První v noci ze soboty na neděli kolem 2:00 ráno. Další pak v noci z neděle na pondělí nejprve o půlnoci a ve 2:00 a následně nejsilnější vlny cca ve 4:00 a 6:00. Slabší vlny naše síť dokázala zpracovat bez nutnosti přijímat nějaká zásadní protiopatření. Ale zejména při té nejsilnější vlně kolem čtvrté hodiny ranní už byly služby našich zákazníků postiženy. Útok způsoboval jednak zahlcení zahraničních linek a dále přetěžoval Cisco ASA firewally, do kterých jsme loni investovali miliony korun,“ upřesňuje.
Cílem útoku podle něj nebyl žádný konkrétní velký zákazník Active24, ale server sdíleného hostingu, na kterém jsou hostovány stovky malých webových prezentací.
NIX zatím bez potíží
„Jako protiopatření jsme používali metodu RTBH, kterou podporují oba naši poskytovatelé tranzitní konektivity, kteří jsou zároveň spolu s námi členy projektu FENIX. O původu útoku nemáme žádné bližší informace,“ dodává Hála.
Účast firmy ve FENIXu podle něj při reakci firmy na DDoS sehrálo jistou roli. Jeho členové totiž musí při vstupu prokázat, že mají pro podobné situace připraveny propracované scénáře, což v případě skutečného útoku zlepšuje jejich reakci. FENIX také umožňuje rychlé sdílení informací mezi členy.
„Poslední linii obrany“, tzv. bezpečnou VLAN, která v případě skutečně masivního útoku umožňuje odpojení od veřejného peeringu v NIX.CZ, zatím členové FENIXu nemuseli využít. „V případě DDoS útoků je třeba říci, že dosud nebyly tak masivní, aby jakýmkoliv způsobem narušovaly síťový provoz NIX.CZ,“ potvrdil Lupě i technický ředitel NIX.CZ Adam Golecký.
Síla útoků roste
DDoS útoky jsou ale pro české firmy stále žhavějším tématem. „Na konferenci Internet pro vsechny, která se konala minulý týden v pátek, byl boj s DDoS útoky jedním z nejčastějších témat. Ve svých prezentacích se mu věnovaly tři společnosti, což dokazuje, že se s tímto problémem setkává stále více sítí a poskytovatelů,“ uznává Golecký.
Připomeňme, že v Česku se nedávno se silným DDoS útokem potýkala i hostingová firma Wedos. Napadení její sítě vyřadilo routery ČD Telematika a vedlo ke krátkodobému výpadku služeb Wedosu.
Firma přitom na svém webu uvádí, že síla DDoS útoků, směřujících na její infrastrukturu, neustále roste. „Když jsme loni informovali o útocích, které měly 2–3 Gbps, tak se nám to zdálo dost. V zimě už to bylo 6 Gbps. Na jaře jsme překonali 10 Gbps a nyní v létě už máme rekordy posunuté k 20 Gbps. Dvakrát jsme již zachytili útoky, které byly delší dobu přes 17 Gbps a krátkodobě ještě výše. To jsou již hodnoty, které v ČR nejsou vůbec obvyklé a zřejmě možná ani nikdy jinde nebyly.“
