Internet | DDoS

Google ukázal, jak probíhal největší DDoS historie. Za jedinou sekundu musel ustát aktivitu jako Wikipedie za celý den

  • Síla DDoS začíná růst exponenciálně a také jejich počty
  • Naše internetové štíty je ale zatím dokážou zastavit
  • Nejvíce práce má Cloudflare, Google a Microsoft

Množství DDoS se neustále zvyšuje, zároveň ale neuvěřitelným tempem roste jejich ničivá síla. A to doslova den ode dne. Jsou to zhruba dva měsíce, co se Cloudflare pochlubil doposud největším útokem historie na webový server, který dosáhl síly 26 milionů rps.

Zkratkou rps (requests per second) označujeme reálný výkon vysokoúrovňových DDoS, které atakují až sedmou – aplikační – vrstvu síťového modelu ISO/OSI, takže jejich cílem je zpravidla protokol HTTP.

Kdybyste napsali program, který se jednou za sekundu pokusí načíst třeba adresu https://www.psp.cz/index.html, poté byste jej z legrace poslali svým 26 milionům přátel na Facebooku a všichni naráz byste jej spustili 23. srpna v 21:00:00, vytvoříte stejný DDoS, se kterým se musel vypořádat i Cloudflare – 26 Mrps!

Klepněte pro větší obrázek
V polovině černa se Cloudflare vypořádal s tehdy největším HTTPS DDoS historie. Už tou dobou jej ale překonal Google, který se ovšem pochlubil až v létě

Nebezpečný růst

Jen pro srovnání, ty nejmohutnější globální DDoS, které atakovaly HTTP či jiný protokol na aplikační vrstvě, dosahovaly ještě v roce 2010 síly jen 600 krps. O pět let později to už bylo zhruba 3 Mrps a okolo roku 2020 6 Mrps. A zatímco do té doby rostla tato forma útoku spíše lineárně, s příchodem covidu se vše změnilo a nabralo exponenciální růst.

Klepněte pro větší obrázek
Výkon DDoS můžeme měřit v b/s, paket/s a právě požadavek/s. Dvě první měřítka se používají spíše pro útoky na nižší síťové vrstvy, zatímco požadavek/s (rps) na útoky, které atakují aplikační vrstvu a protokoly jako HTTPS aj.

Zatímco se Cloudflare na svém blogu chlubil, že ochránil nejmenovaného zákazníka před sílou 26 Mrps, v Googlu se možná zlehka pošklebovali, už 1. června 2022 totiž zachytili ještě mnohem větší digitální jadernou pumu. Jen si se zveřejněním počkali až do srpna. Bylo to velké!

18:45 SELČ: 10 krps

Je středa, 1. června 2022, a někteří z vás možná právě sledují Večerníček, středoevropské hodiny totiž právě ukazují čas 18:45. Ve stejný okamžik začíná útok na neznámou oběť, která hostuje svoji webovou aplikaci v infrastruktuře Google Cloud.

Klepněte pro větší obrázek
Load balancer rozdělí vstupní zátěž na vícer hráčů, aby se netvořila fronta – DoS

Jak přesně? V 9:45 pacifického letního času začíná kdosi bombardovat HTTPS load balancer Googlu zhruba 10 000 požadavky za sekundu (10 krps). Load balancer je speciální zařízení/program, který umí zvláště u větších zákazníků rozdělit náhlou zátěž na vícero hráčů.

Představte si hypermarket s jednou jedinou pokladnou. To je web bez load balanceru. Hypermarket s 15 pokladnami je naopak web s load balancerem.

18:53 SELČ: 100 krps, aktivuje se obrana

Zatímco v Česku Večerníček pomalu končí, útok po osmi minutách sílí na 100 krps – load balancer Googlu tedy eviduje 100 000 HTTPS požadavků za sekundu na aplikaci naší nebohé obětí.

V tu chvíli se aktivuje automatický obranný systém Cloud Armor Adaptive Protection, který už podobný trafik nepovažuje za běžnou aktivitu – třeba vydání nového zajímavého článku na Živě.cz –, vyvolává varování a informuje zákazníka s doporučeními.

Klepněte pro větší obrázek
Cloud Armor detekuje podezřelou aktivitu

Mimochodem, zdrojem útoku jsou zejména IP adresy z Brazílie, Indie, Ruska a Indonésie. Zdá se, že to bude poměrně solidní botnet.

Ajťáci zákazníka nastavují doporučená firewallové pravidla, která jim připravil diagnostický automat CAAP, a škodlivý trafik okamžitě utnou. Google jej ale pochopitelně měří dál a může sledovat, jak exponenciálně roste.

19:18 SELČ: 46 Mrps, pokořeny všechny rekordy

Večerníček je za námi, už běží večerní zprávy a pomyslné kukačky na zdi ukazují právě 19:18:30 SELČ. Během příštích deseti sekund se otřese celý Google, síla útoku totiž vzroste ze směšných stovek tisíc rps o několik řádů výše.

Nejprve pokoří hranici 10 Mrps, za pár sekund je to už ale 20 Mrps, pak 30 Mrps a než stačí moderátorka večerních zpráv dokončit větu, masivní DDoS atakuje 46 Mrps – 46 milionů HTTPS požadavků za sekundu.

Klepněte pro větší obrázek
Představte si, že by na váš webový server směřovalo během jediné sekundy tolik HTTPS požadavků jako na globální Wikipedii za celý den!

Abychom tato obrovská čísla uvedli do nějakého lépe představitelného kontextu, na oběť, která je už ale izolovaná a bez problému funguje dál, ve špičce míří za jedinou sekundu stejné množství HTTPS požadavků jako na Wikipedii za celý den!

69 minut

Ovšem ani zdroje záškodníka nejsou bezedné, hlavní vlna proto trvá jen dvě minuty, načež útok klesá pod 1 Mrps. I to je však obrovská facka, která by bez patřičné ochrany vyřídila prakticky jakýkoliv web na světě.

HTTPS DDoS definitivně končí o 69 minut později v 19:54 našeho času. Jelikož Google na svém blogu veškeré údaje uvádí pro pacifickou zónu, v kalifornském ústředí je právě 10:54 dopoledne a pár ajťáků si může konečně oddechnout.

5 256 IP adres ze 132 zemí světa

Do masivního útoku, který bude ale nejspíše už brzy zase překonán, se během oněch osudných 69 minut zapojilo 5 256 unikátních IP adres ze 132 zemí světa. Celých 31 % z nich však patřilo výše zmíněným zemím.

Klepněte pro větší obrázek
Cílem útoku byla 7. vrstva síťového modelu, na které běží koncové aplikace. Třeba právě HTTP protokol, DNS, FTP apod.

Jak už jsem naznačil v textu, útok zároveň mířil na šifrované HTTPS adresy, takže už před jeho izolací silně vytížil servery nezveřejněného zákazníka.

1,3 Mrps mířilo z Toru

A teď to nejzajímavější. Podle analýzy Googlu představovalo 22 % útočících IP adres výstupní body anonymní sítě Tor. Tu sice zpravidla považujeme za poměrně pomalou a tvořila opravdu jen zlomek výkonu, i ten ale v absolutních číslech vyskočil na více než 1,3 Mrps – více než 1 300 000 HTTPS požadavků za sekundu!

Jedním z nepříjemných zjištění je tedy fakt, že i relativně pomalejší Tor lze zneužít pro megascalový HTTPS DDoS a jako bonus v něm útočící stranu ještě elegantně skrýt.

Botnet Meris a nešťastný MIkrotik

A kdo vlastně útočil? Podle Googlu odpovídá rozložení IP adres a další charakteristiky botnetu Meris, který už na internetu straší nějaký pátek a jehož síla může čítat až stovky tisíc nakažených zařízení. Právě Meris stojí za masivními DDoS z posledních let a jeho kanóny jsou infikované síťové krabičky od Mikrotiku.

Klepněte pro větší obrázek
Čím temnější barva, tím více tehdy zranitelných routerů Mikrotik (2021, KrebsOnSecurity)

Právě IoT botnety patří po těch cloudových k nejnebezpečnějším, routery, switche a další síťové počítače jsou totiž na rozdíl od domácích mašin zpravidla stále online, a povel od operátora tak mohou zpracovat prakticky okamžitě a synchronizovaně.

Výsledkem je pak cunami, která bombarduje cíl až desítkami milionů HTTP dotazů za sekundu, jak seto stalo letos v červnu Googlu a krátce na to i Cloudflaru.

Diskuze (27) Další článek: Rychlejší než 10 prstů. Návod na diktování českého textu ve Windows 11

Témata článku: Microsoft, Google, Facebook, Internet, Historie, Web, Wikipedia, Rusko, Indie, Cloudflare, MikroTik, Indonésie, Brazílie, Botnet, Tor, HTTPS, DDoS, Protokol, Sekunda, Torus, Toro, KrebsOnSecurity, Google Cloud, Meris, Vrstva



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Google už nevydržel čekat. Kompletně odhalil design a barevné varianty hodinek Pixel Watch

Google už nevydržel čekat. Kompletně odhalil design a barevné varianty hodinek Pixel Watch

** Hodinky Pixel Watch se ukazují v celé své kráse ** Displej bude krýt Gorilla Glass zatím neznámé generace ** Pásky rozhodně nebudou univerzální

Martin Chroust
Pixel WatchChytré hodinky
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Horší než covid, mobilní výrobci zažívají krušné časy. Samsungu uvízlo po světě 50 milionů neprodaných telefonů

Horší než covid, mobilní výrobci zažívají krušné časy. Samsungu uvízlo po světě 50 milionů neprodaných telefonů

** Dozvuky pandemie, nedostatek čipů a teď zase válka ** (Nejen) mobilní výrobci zažívají krušné časy ** Samsung má např. ve skladech na 50 milionů neprodaných telefonů

Martin Chroust
Nižší třídaStřední třída
Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

** Nejen mobilní výrobci jsou naučeni rok od roku prodávat stále více telefonů ** Tento trend se však zákonitě musí někdy zastavit ** Jenže, co naplat, když jsou starší zařízení „uměle“ nepoužitelná?

Martin Chroust
Prasklý displejBaterieAktualizace softwaru