Síla DDoS začíná růst exponenciálně a také jejich počty. Naše internetové štíty je ale zatím dokážou zastavit. Nejvíce práce má Cloudflare, Google a Microsoft 

Síla DDoS začíná růst exponenciálně a také jejich počty. Naše internetové štíty je ale zatím dokážou zastavit. Nejvíce práce má Cloudflare, Google a Microsoft 

V polovině černa se Cloudflare vypořádal s tehdy největším HTTPS DDoS historie. Už tou dobou jej ale překonal Google, který se ovšem pochlubil až v létě

V polovině černa se Cloudflare vypořádal s tehdy největším HTTPS DDoS historie. Už tou dobou jej ale překonal Google, který se ovšem pochlubil až v létě

Výkon DDoS můžeme měřit v b/s, paket/s a právě požadavek/s. Dvě první měřítka se používají spíše pro útoky na nižší síťové vrstvy, zatímco požadavek/s (rps) na útoky, které atakují aplikační vrstvu a protokoly jako HTTPS aj.  

Výkon DDoS můžeme měřit v b/s, paket/s a právě požadavek/s. Dvě první měřítka se používají spíše pro útoky na nižší síťové vrstvy, zatímco požadavek/s (rps) na útoky, které atakují aplikační vrstvu a protokoly jako HTTPS aj.  

Load balancer rozdělí vstupní zátěž na vícer hráčů, aby se netvořila fronta – DoS

Load balancer rozdělí vstupní zátěž na vícer hráčů, aby se netvořila fronta – DoS

Cloud Armor detekuje podezřelou aktivitu

Cloud Armor detekuje podezřelou aktivitu

Představte si, že by na váš webový server směřovalo během jediné sekundy tolik HTTPS požadavků jako na globální Wikipedii za celý den! 

Představte si, že by na váš webový server směřovalo během jediné sekundy tolik HTTPS požadavků jako na globální Wikipedii za celý den! 

Cílem útoku byla 7. vrstva síťového modelu, na které běží koncové aplikace. Třeba právě HTTP protokol, DNS, FTP apod.

Cílem útoku byla 7. vrstva síťového modelu, na které běží koncové aplikace. Třeba právě HTTP protokol, DNS, FTP apod.

Čím temnější barva, tím více tehdy zranitelných routerů Mikrotik ( 2021, KrebsOnSecurity )

Čím temnější barva, tím více tehdy zranitelných routerů Mikrotik (2021, KrebsOnSecurity)

V polovině černa se Cloudflare vypořádal s tehdy největším HTTPS DDoS historie. Už tou dobou jej ale překonal Google, který se ovšem pochlubil až v létě
Výkon DDoS můžeme měřit v b/s, paket/s a právě požadavek/s. Dvě první měřítka se používají spíše pro útoky na nižší síťové vrstvy, zatímco požadavek/s (rps) na útoky, které atakují aplikační vrstvu a protokoly jako HTTPS aj.  
Load balancer rozdělí vstupní zátěž na vícer hráčů, aby se netvořila fronta – DoS
Cloud Armor detekuje podezřelou aktivitu
8
Fotogalerie

Google ukázal, jak probíhal největší DDoS historie. Za jedinou sekundu musel ustát aktivitu jako Wikipedie za celý den

  • Síla DDoS začíná růst exponenciálně a také jejich počty
  • Naše internetové štíty je ale zatím dokážou zastavit
  • Nejvíce práce má Cloudflare, Google a Microsoft

Množství DDoS se neustále zvyšuje, zároveň ale neuvěřitelným tempem roste jejich ničivá síla. A to doslova den ode dne. Jsou to zhruba dva měsíce, co se Cloudflare pochlubil doposud největším útokem historie na webový server, který dosáhl síly 26 milionů rps.

Zkratkou rps (requests per second) označujeme reálný výkon vysokoúrovňových DDoS, které atakují až sedmou – aplikační – vrstvu síťového modelu ISO/OSI, takže jejich cílem je zpravidla protokol HTTP.

Kdybyste napsali program, který se jednou za sekundu pokusí načíst třeba adresu https://www.psp.cz/index.html, poté byste jej z legrace poslali svým 26 milionům přátel na Facebooku a všichni naráz byste jej spustili 23. srpna v 21:00:00, vytvoříte stejný DDoS, se kterým se musel vypořádat i Cloudflare – 26 Mrps!

883bf78d-9960-4a5b-8b76-ec2452695a2c
V polovině černa se Cloudflare vypořádal s tehdy největším HTTPS DDoS historie. Už tou dobou jej ale překonal Google, který se ovšem pochlubil až v létě

Nebezpečný růst

Jen pro srovnání, ty nejmohutnější globální DDoS, které atakovaly HTTP či jiný protokol na aplikační vrstvě, dosahovaly ještě v roce 2010 síly jen 600 krps. O pět let později to už bylo zhruba 3 Mrps a okolo roku 2020 6 Mrps. A zatímco do té doby rostla tato forma útoku spíše lineárně, s příchodem covidu se vše změnilo a nabralo exponenciální růst.

ab9f88df-aa4d-4d7a-b6ad-84c96df4a16d
Výkon DDoS můžeme měřit v b/s, paket/s a právě požadavek/s. Dvě první měřítka se používají spíše pro útoky na nižší síťové vrstvy, zatímco požadavek/s (rps) na útoky, které atakují aplikační vrstvu a protokoly jako HTTPS aj.

Zatímco se Cloudflare na svém blogu chlubil, že ochránil nejmenovaného zákazníka před sílou 26 Mrps, v Googlu se možná zlehka pošklebovali, už 1. června 2022 totiž zachytili ještě mnohem větší digitální jadernou pumu. Jen si se zveřejněním počkali až do srpna. Bylo to velké!

18:45 SELČ: 10 krps

Je středa, 1. června 2022, a někteří z vás možná právě sledují Večerníček, středoevropské hodiny totiž právě ukazují čas 18:45. Ve stejný okamžik začíná útok na neznámou oběť, která hostuje svoji webovou aplikaci v infrastruktuře Google Cloud.

dd61248d-4407-4e10-abd3-44c8f34f1b00
Load balancer rozdělí vstupní zátěž na vícer hráčů, aby se netvořila fronta – DoS

Jak přesně? V 9:45 pacifického letního času začíná kdosi bombardovat HTTPS load balancer Googlu zhruba 10 000 požadavky za sekundu (10 krps). Load balancer je speciální zařízení/program, který umí zvláště u větších zákazníků rozdělit náhlou zátěž na vícero hráčů.

Představte si hypermarket s jednou jedinou pokladnou. To je web bez load balanceru. Hypermarket s 15 pokladnami je naopak web s load balancerem.

18:53 SELČ: 100 krps, aktivuje se obrana

Zatímco v Česku Večerníček pomalu končí, útok po osmi minutách sílí na 100 krps – load balancer Googlu tedy eviduje 100 000 HTTPS požadavků za sekundu na aplikaci naší nebohé obětí.

V tu chvíli se aktivuje automatický obranný systém Cloud Armor Adaptive Protection, který už podobný trafik nepovažuje za běžnou aktivitu – třeba vydání nového zajímavého článku na Živě.cz –, vyvolává varování a informuje zákazníka s doporučeními.

b49955d1-d2f9-4957-8691-8a04975f4278
Cloud Armor detekuje podezřelou aktivitu

Mimochodem, zdrojem útoku jsou zejména IP adresy z Brazílie, Indie, Ruska a Indonésie. Zdá se, že to bude poměrně solidní botnet.

Ajťáci zákazníka nastavují doporučená firewallové pravidla, která jim připravil diagnostický automat CAAP, a škodlivý trafik okamžitě utnou. Google jej ale pochopitelně měří dál a může sledovat, jak exponenciálně roste.

19:18 SELČ: 46 Mrps, pokořeny všechny rekordy

Večerníček je za námi, už běží večerní zprávy a pomyslné kukačky na zdi ukazují právě 19:18:30 SELČ. Během příštích deseti sekund se otřese celý Google, síla útoku totiž vzroste ze směšných stovek tisíc rps o několik řádů výše.

Nejprve pokoří hranici 10 Mrps, za pár sekund je to už ale 20 Mrps, pak 30 Mrps a než stačí moderátorka večerních zpráv dokončit větu, masivní DDoS atakuje 46 Mrps – 46 milionů HTTPS požadavků za sekundu.

87db8ac1-6b28-4841-bedd-6ae56e2550df
Představte si, že by na váš webový server směřovalo během jediné sekundy tolik HTTPS požadavků jako na globální Wikipedii za celý den!

Abychom tato obrovská čísla uvedli do nějakého lépe představitelného kontextu, na oběť, která je už ale izolovaná a bez problému funguje dál, ve špičce míří za jedinou sekundu stejné množství HTTPS požadavků jako na Wikipedii za celý den!

69 minut

Ovšem ani zdroje záškodníka nejsou bezedné, hlavní vlna proto trvá jen dvě minuty, načež útok klesá pod 1 Mrps. I to je však obrovská facka, která by bez patřičné ochrany vyřídila prakticky jakýkoliv web na světě.

HTTPS DDoS definitivně končí o 69 minut později v 19:54 našeho času. Jelikož Google na svém blogu veškeré údaje uvádí pro pacifickou zónu, v kalifornském ústředí je právě 10:54 dopoledne a pár ajťáků si může konečně oddechnout.

5 256 IP adres ze 132 zemí světa

Do masivního útoku, který bude ale nejspíše už brzy zase překonán, se během oněch osudných 69 minut zapojilo 5 256 unikátních IP adres ze 132 zemí světa. Celých 31 % z nich však patřilo výše zmíněným zemím.

eb22ef10-516e-497c-bbb2-16d667747bc9
Cílem útoku byla 7. vrstva síťového modelu, na které běží koncové aplikace. Třeba právě HTTP protokol, DNS, FTP apod.

Jak už jsem naznačil v textu, útok zároveň mířil na šifrované HTTPS adresy, takže už před jeho izolací silně vytížil servery nezveřejněného zákazníka.

1,3 Mrps mířilo z Toru

A teď to nejzajímavější. Podle analýzy Googlu představovalo 22 % útočících IP adres výstupní body anonymní sítě Tor. Tu sice zpravidla považujeme za poměrně pomalou a tvořila opravdu jen zlomek výkonu, i ten ale v absolutních číslech vyskočil na více než 1,3 Mrps – více než 1 300 000 HTTPS požadavků za sekundu!

Jedním z nepříjemných zjištění je tedy fakt, že i relativně pomalejší Tor lze zneužít pro megascalový HTTPS DDoS a jako bonus v něm útočící stranu ještě elegantně skrýt.

Botnet Meris a nešťastný MIkrotik

A kdo vlastně útočil? Podle Googlu odpovídá rozložení IP adres a další charakteristiky botnetu Meris, který už na internetu straší nějaký pátek a jehož síla může čítat až stovky tisíc nakažených zařízení. Právě Meris stojí za masivními DDoS z posledních let a jeho kanóny jsou infikované síťové krabičky od Mikrotiku.

00a9df78-1232-41c6-8e16-1c2075693576
Čím temnější barva, tím více tehdy zranitelných routerů Mikrotik (2021, KrebsOnSecurity)

Právě IoT botnety patří po těch cloudových k nejnebezpečnějším, routery, switche a další síťové počítače jsou totiž na rozdíl od domácích mašin zpravidla stále online, a povel od operátora tak mohou zpracovat prakticky okamžitě a synchronizovaně.

Výsledkem je pak cunami, která bombarduje cíl až desítkami milionů HTTP dotazů za sekundu, jak seto stalo letos v červnu Googlu a krátce na to i Cloudflaru.

Určitě si přečtěte

Články odjinud