Náš web čelil masivnímu DDoS útoku 🏴‍☠️

Mike Oganesjan
Mike Oganesjan

Web spolku čelil útoku neznámých pachatelů, kdy cílem útoku bylo znepřístupnění našeho webu a proniknutí do serveru, redakčního systému a databáze webu. Zaznamenali jsme téměř 2 miliardy pokusů o přístup.

V průběhu posledního květnového týdne byl náš web vystaven masivnímu DDoS útoku. Útočníci při těchto útocích „ucpou“ konektivitu serveru a snaží se získat přístup do serveru, databáze nebo redakčního systému webu. Náš web běží

V prvním dni se podařilo útočníkům „ucpat“ konektivitu serveru necelými 270.000.000 požadavky na server a znepřístupnit web spolku na 11 minut, kdy o této skutečnosti jsme okamžitě věděli díky monitoringu.

První fáze DDoS útoku na náš web v číslech za prvních 24 hodin.

Po prvních 11 minutách útoku, kdy byl web nepřístupný jsme aktivovali filtrování přístupů. V té době jsme již měli k dispozici část dat o přístupech. Útočníci v první fázi útoku útočili z Německa a tak bylo pro nás velmi jednoduché odfiltrovat provoz tak, aby nezatěžoval server. Spolek využívá mezi doménou a serverem službu Cloudflare, díky které jsme byli schopni okamžitě „odříznout“ útočníky od přístupu k serveru a umožnit legitimním návštěvníkům bezproblémové prohlížení webu. Útočníci, respektive všichni návštěvníci z Německa museli před přístupem k webu vyplnit „captcha“ symbol. Cloudflare využívá mnoho webů a tak lze legitimní návštěvníky jednoduše identifikovat a poskytnout jim bezproblémové procházení webu bez „captcha“ elementů.

V průběhu prvního dne útoku jsme viděli, že útočníci začínají měnit různé atributy útoku včetně zemí, zařízení, rozlišení obrazovky a další vlastnosti, dle kterých jsme původně závadové návštěvníky filtrovali. Postupně jsme tedy do našeho firewallu doplňovali atributy a podmínky, dle kterých jsme filtrovali přístupy.

Web spolku běží na výkonném serveru, na kterém běží přibližně 40 dalších webových stránek včetně zpravodajských, kdy útok byl cílen výhradně na doménu našeho webu. Server má rovněž „klon“ v jiném státě EU pro případ jakéhokoli bezpečnostního rizika. Útočníkům nebyla známa přesná IP adresa našeho serveru, neboť při vyhledání v DNS záznamech útočník vidí pouze IP adresu poskytovatele ochrany Cloudflare, nikoli IP adresu serveru jako takovou.

zdroj: Cloudflare.com

V podvečer prvního dne byl nastavený firewall a další ochranné prvky „odladěné“ a kdybychom neměli pokročilý reporting, ani bychom nejspíše nevěděli, že útok trval ještě týden po nastavení firewallu, avšak bez výsledku pro útočníky. Kromě prvního dne a 11-ti minutivého výpadku jsme na rychlosti ani jiných prvcích webu nezaznamenali žádné omezení.

Rozpoložení států útočníků po týdenním DDoS útoku na náš web.

V následné statistice přístupů jsme následně nalezli překvapení, které jsme v první fázi při nastavování firewallu nečekali. Útočníci na náš web útočili téměř týden, kdy celkový počet přístupů se vyšplhal na téměř dvě miliardy, což je při pohledu, že útočníci již od prvního dne museli vědět, že jejich útok nepřináší výsledek, avšak investovali nemalé finanční prostředky do dalšího DDoS útoku.

Souhr týdenního počtu požadavků na náš web, který čítá téměř 2 miliardy.

Co je to DDoS útok?

Denial of service(DoS) (česky odepření služby) je typ útoku na internetové služby nebo stránky, jehož cílem je cílovou službu znefunkčnit a znepřístupnit ostatním uživatelům; může k tomu dojít zahlcením obrovským množstvím požadavků či využitím nějaké chyby, která sice útočníkovi neumožní službu ovládnout, ale umožní ji znefukčnit. Podtypem útoku DoS je tzv. distributed denial of service (DDoS), při kterém je pro zahlcení cílové služby požadavky využito velké množství počítačů z různých geografických lokalit (“distribuovaných“).
zdroj: Wikipedia.org

CHOD SPOLKU

Mike Oganesjan

Mike tvořil přes 4 roky videa na platformu YouTube, která byla zaměřena zejména proti Městské policii. V rámci YouTube často také odhaloval korupční kauzy v této i jiných strukturách.