Početkom januara, Gcore se suočio sa incidentom koji je uključivao nekoliko L3/L4 DDoS napada sa jačinom od 650 Gbps. Napadači su koristili preko 2000 servera koji pripadaju jednom od tri najveća Cloud provajdera u svijetu i ciljali na klijenta koji je koristio besplatni CDN plan. Međutim, zbog Gcore-ove distribucije infrastrukture i velikog broja peering partnera, napadi su ublaženi, a klijentova web aplikacija je ostala dostupna.
Zašto je ublažavanje ovih napada bilo toliko značajno?
1. Ovi napadi su bili značajni jer su premašili prosječnu propusnost sličnih napada za 60×. Izvedeni napadi se odnose na napade zasnovane na volumenu koji imaju za cilj zasićenje propusnog opsega napadnute aplikacije kako bi je preplavili. Mjerenje ukupnog volumena (bps), umjesto broja zahtjeva, je način na koji se ovi napadi obično prikazuju u tabeli.
Prosječna propusnost ovog tipa napada je obično u desetinama Gbps (oko 10 Gbps). Stoga su navedeni napadi (na 650 Gbps) premašili prosječnu vrijednost za 60 puta. Napadi ovog obima su rijetki i od posebnog su interesa za stručnjake za kibernetičku bezbjednost.
Osim toga, ova vrijednost (650 Gbps) je uporediva sa rekordnim DDoS napadom na najveći Minecraft server (2,4 Tbps).
2. Klijent koji je napadnut koristio je CDN plan bez dodatne DDoS zaštite. Kada klijenti koriste Gcore-ov CDN (kao dio Edge mreže), maliciozni promet L3/L4 napada direktno utiče samo na njegovu infrastrukturu (služi kao filter), a ne na servere ciljanih klijenata. Negativan uticaj pada na kapacitet i povezanost infrastrukture. Kada je CDN dovoljno moćan, može zaštititi klijente od L3/L4 napada, čak i kada im se pristupa korišćenjem besplatnog plana.
Koje su bile tehničke specifikacije napada?
Incident je trajao 15 minuta, a na svom vrhuncu dostigao je preko 650 Gbps. Mogući razlog zašto je incident trajao toliko dugo je taj što su napadači odmjerili neefikasnost napada, klijentska aplikacija je nastavila raditi, u odnosu na njihovu visoku cijenu.
Incident se sastojao od tri napada sa različitim vektorima. Oni su označeni peak-ovima saobraćaja na dijagramu ispod:
- UDP flood napad (~650 Gbps). Stotine miliona UDP paketa poslano je na ciljni server da bi “potrošili” propusni opseg aplikacije i uzrokovali njenu nedostupnost. Napadi ovog vektora koriste nedostatak zahtjeva za uspostavljanje UDP veze: napadači mogu slati pakete sa bilo kojim podacima (povećava volumen) i koristiti lažne IP adrese (to otežava pronalaženje pošiljaoca).
- TCP ACK flood napad (~600 Gbps). Veliki broj paketa sa ACK zastavicom je poslan ciljnom serveru da ga “prelije”. Napadi ovog vektora su zasnovani na činjenici da neželjeni TCP paketi ne uključuju payload, ali je server primoran da ih obrađuje i možda nema dovoljno resursa za rukovanje zahtjevima stvarnih krajnjih korisnika. Zaštitni sistem CDN-a je sposoban da filtrira pakete i ne prosleđuje ih serveru ako ne sadrže payload i nisu vezani za otvorenu TCP sesiju.
- Kombinacija TCP i UDP (~600 Gbps). Prilagođena varijacija prethodne dvije vrste napada.
Posebnost incidenta je da su napadi izvedeni sa više nelažiranih IP adresa. Ovo je omogućilo stručnjacima da identifikuju da su napadači koristili 2.143 servera u 44 različita regiona, a da su svi serveri pripadali jednom javnom provajderu u Cloud-u. Korišćenje Anycast-a omogućilo je Gcore-u da apsorbuje napad 100% preko peering konekcija sa ovim provajderom.
Sankey dijagram koji prikazuje izvor i tok napada. Nazivi lokacija iz prve kolone su povezani sa jednim od 3 najbolja Cloud provajdera.
Zašto napadi nisu uticali na klijenta?
1. Gcore-ova povezanost putem peering-a sa mnogim lokacijama igrala je ključnu ulogu u ublažavanju napada. Gcore ima preko 11.000 peering partnera (ISP), a ti partneri povezuju svoje mreže pomoću kablova i jedni drugima pružaju pristup saobraćaju koji potiče iz njihovih mreža. Ove veze omogućavaju zaobilaženje javnog interneta i direktnu apsorpciju saobraćaja od peering partnera. Osim toga, ovaj promet je ili besplatan ili košta mnogo manje od prometa na javnom internetu. Ova niska cijena omogućava zaštitu prometa korisnika na besplatnom planu.
U kontekstu DDoS napada koji se dogodio, nivo povezanosti je uvelike pomogao efikasnosti ublažavanja. Gcore i provajder u oblaku koji je korišćen za pokretanje napada su partneri, tako da dok se napad dešavao, Gcore je uspeo da proguta većinu saobraćaja preko privatne mreže Cloud provajdera. Ovo je uvelike smanjilo količinu saobraćaja koji je trebao da obradi javni internet.
Privatni peering također omogućava preciznije filtriranje i bolju vidljivost napada, što dovodi do efikasnijeg ublažavanja napada.
2. Veliki kapacitet Gcore-a, zbog postavljanja servera u mnoge centre podataka, takođe je igrao veliku ulogu. Gcore-ovi edge serveri su dostupni u preko 140 tačaka prisutnosti i bazirani su na Intel® Xeon® Scalable procesorima visokih performansi treće generacije.
Ukupni kapacitet mreže je preko 110 Tbps. Sa preko 500 servera smještenih u data centrima širom svijeta, kompanija je u stanju izdržati DDoS napade velikih razmjera. Dakle, 650 Gbps saobraćaja bi se moglo distribuisati preko mreže, a svaki pojedini server bi primio samo 1-2 Gbps, što je neznatno opterećenje.
Sigurnosni trendovi
Prema iskustvu Gcore-a, DDoS napadi će nastaviti da rastu iz godine u godinu. U 2021. godini napadi su dostigli 300 Gbps, a do 2022. godine su porasli na 700 Gbps. Stoga čak i male i srednje kompanije moraju koristiti distribuisane mreže za isporuku sadržaja kao što su CDN i Cloud za zaštitu od DDoS napada.
Izvor: The Hacker News