Každým rokem jsou webové služby stále častějším cílem DDoS útoků. Motivace útočníků sahají od finančního zisku přes politické protesty až po konkurenční boj či pouhou zábavu jednotlivců, kteří si stáhnout vše potřebné na GitHub. S využitím AI LLM nástrojů jako ChatGPT, dokážou velice snadno vyřadit běžný eshop. Naštěstí existuje řada řešení jak se těmto „skript kiddies“ bránit.
Horší je to s těmi co vědí, co dělají. Některé skupiny útočníků se snaží vymoci výkupné vydíráním provozovatelů (tzv. ransom-DDoS), jiné sledují ideologické či protestní cíle, další firmám „objednávají“ útoky na konkurenci, aby poškodili jejich pověst nebo tržby, a zvlášť nebezpečné jsou útoky, za nimiž nestojí žádný zjevný motiv, jen prostá škodolibost či touha ukázat sílu botnetu.
Pronájem botnetu přitom není finančně náročný: základní DDoS-service lze získat již od 5 USD za hodinu, s čímž lze „zbrzdit“ či zcela ochromit středně velký e-shop dlouhodobě. Pro náročnější scénáře, kdy cílem je velká firma s robustní infrastrukturou, se cena šplhá na desítky až stovky dolarů denně, případně na stovky až tisíce dolarů měsíčně v závislosti na síle a trvání útoku.
Co se stane, když se DDoS útok zaměří na jediný server s vaší veřejnou IP adresou? Už malý objem škodlivého provozu může zpomalit nebo úplně vyřadit vaši webovou stránku. U slabší ochrany přestanou být dostupné klíčové služby a při náporu v řádu desítek až stovek gigabitů za sekundu stačí jediný bod selhání k úplnému ochromení provozu. To už, ale většinou zasáhne váš poskytovatel a službu vám radši vypne.
Útoky lámou rekordy
V globálním měřítku dnes při každé „vlně“ rekordy padají doslova každý kvartál. Například ke konci roku 2024 Cloudflare reportoval hyper-volumetrický útok 5,6 Tbps(terabit za sekundu) a 4,8 Bpps (miliardy paketů za sekundu). Což je nový aktuální světový rekord.
V Česku drží rekord WEDOS, který v noci z 18. na 19. února 2022 odrazil DDoS útok(ve špičce dosáhl 300 Gbps). Díky rozprostření provozu po třech paralelních 100 Gbps trasách a inline filtrování se podařilo zastavit veškerý škodlivý provoz během 1 až 3 s od detekce, aniž by byla ovlivněna dostupnost služeb zákazníků.
Operátor O2 pak 24. října 2022 čelil útoku dosahujícímu ve špičce více než 200 Gbps, tedy dvojnásobku běžného provozu, a díky krizovému režimu, pokročilému rate-limitingu a úzké spolupráci s upstream providery útok úspěšně zvládl.
Nejvýznamnější hrozby v ČR jsou však 3 roky staré. Dnes už by podobné útoky byly násobně vyšší, kvalifikované jako hyper-volumetrické, tedy o síle větší jak 1 Tbps anebo 1 Bpps (miliarda paketů za sekundu).
Jak se takovým útokům bránit?
Jak jsou dnes řešené ochrany webů před DDoS útoky?
Dnešní DDoS ochrany často spoléhají na centralizovaná „čistící centra“, kam se veškerý provoz(dobrý i škodlivý) přepošle k detekci a filtrování. V těchto obřích datových halách provoz projde behaviorální analýzou, signaturami i statistickými modely, aby se odfiltrovaly útoky a čistý provoz pak pokračoval dál na váš server.
Pro zvládnutí útoků je potřeba opravdu silná linka. Běžné ISP scrubbery mívají strop okolo 20 až 120 Gbps, a překročení této hranice často vede k tzv. black-holingu, kdy je provoz jednoduše zahozen, aby se ochránili ostatní zákazníci.
Umíte si představit, že byste tahali stovky gigabitů provozu za vteřinu třeba přes půl světa jen proto, aby se „vyčistil“? A i když existují centra, která zvládnou i stovky Gbps, je to často drahé, těžkopádné a přidává to značné zpoždění pro uživatele.
Mnohem pružnější a škálovatelnější je dnes model rozprostřený po celém internetu Anycast-based mitigace. Místo jednoho bodu nasazujete desítky až stovky menších „čistících uzlů“ (PoP – Point of Presence), které propagují stejnou IP adresu. Díky BGP routingu se útok automaticky rozdělí a nasměruje na nejbližší nebo nejméně vytížený uzel, kde se okamžitě zahodí škodlivé pakety. Výsledkem je extrémně rychlá reakce, minimální latence pro legitimní návštěvníky a neomezená kapacita – stačí přidat další PoPy podle potřeby.
Tímto způsobem lze efektivně absorbovat i vlny o síle stovek gigabitů či dokonce terabitů za sekundu, aniž byste museli investovat do jednoho gigantického datového centra.
Co to pro vás znamená?
Pokud máte ochranu webu postavenou na Unicast-based mitigaci, jste sice chráněni proti celé řadě běžných útoků. Dražší ochrany využívají filtrovací centra zvládající desítky až nízké stovky gigabitů za sekundu. Všechen provoz však míří do jediného místa, kde může docházet k přetížení a v krajním případě k tzv. black-holingu, pokud útok překročí kapacitu čistících linek. To se může stát zejména tehdy, když je útočník ochoten investovat stovky či tisíce dolarů denně do pronájmu robustního botnetu. Pro takto motivované a financované útoky je centralizovaný model často neudržitelný.
Anycast-based mitigace nabízí řešení pomocí distribuovaných „čistících“ uzlů (PoP) po celém světě propagující stejnou IP adresu a BGP routování pak nasměruje škodlivý provoz na nejbližší nebo nejméně vytížený bod. Díky tomu volumetrické útoky jsou mitigovány nejblíže svému zdroji, takže i masivní útoky o síle stovek gigabitů či terabitů za sekundu nezpůsobí výpadek služby. Pro vás to znamená nekompromisní dostupnost bez nutnosti tvrdě omezovat zahraniční provoz, rychlejší načítání díky optimalizovaným trasám a cachování, a nulovou péči o fyzickou infrastrukturu – vše probíhá čistě v síti poskytovatele, bez drahých „krabiček“ ve vašem datacentru .
Věděli jste, že jediný kdo poskytuje v Evropě Anycast ochranu je firma z Čech?
V Evropě jeden z mála poskytovatelů Anycastové DDoS ochrany s vlastní rozsáhlou infrastrukturou je česká společnost WEDOS. Jejich síť WEDOS Global dnes zahrnuje přes 50 lokalit jen v Evropě. Žádný jiný evropský hráč na poli kyberbezpečnosti nedisponuje takovou vlastní infrastrukturou.
Anycast síť WEDOS Global nyní čítá celosvětově více než 120 PoP (Point of Presence). Celkem se jedná o více jak 3000 fyzických serverů. Celý provoz se filtruje na úrovni L3/L4, doplněný vlastní WAF pro L7. Útoky jsou tak přímo a bez přeposílání filtrovány v místě kde vznikají a na cílový server zákazníka jde jen čistý provoz.
Klíčová data zákazníků zůstávají výhradně v EU, v plném souladu s GDPR a NIS2 i DORA, což je při ochraně citlivých státních a bankovních systémů zásadní požadavek. Kapacita WEDOS Global roste lineárně přidáváním nových PoPů, takže WEDOS dokáže pružně reagovat na zvyšující se objemy útoků – ani hyper-volumetrické útoky, tak nepředstavují problém.
Pokud stále spoléháte na centralizované Unicast řešení anebo, že za vás vše vyřeší poskytovatel hostingu, tak hrajete digitální ruskou ruletu – jedině Anycast vám už dnes může zajistit, že vám někdo neodstaví web útokem za pár dolarů.
Chcete vědět víc?
Navštivte web: wedos.protection/cs nebo kontaktujte WEDOS na e-mailu: sales@wedos.com
ČLÁNKY DO MAILU