Site icon Kiber.ba

Gcore sprečio masivni 650 Gbps DDoS napad

Početkom januara, Gcore se suočio sa incidentom koji je uključivao nekoliko L3/L4 DDoS napada sa jačinom od 650 Gbps. Napadači su koristili preko 2000 servera koji pripadaju jednom od tri najveća Cloud provajdera u svijetu i ciljali na klijenta koji je koristio besplatni CDN plan. Međutim, zbog Gcore-ove distribucije infrastrukture i velikog broja peering partnera, napadi su ublaženi, a klijentova web aplikacija je ostala dostupna.

Zašto je ublažavanje ovih napada bilo toliko značajno?

1. Ovi napadi su bili značajni jer su premašili prosječnu propusnost sličnih napada za 60×. Izvedeni napadi se odnose na napade zasnovane na volumenu koji imaju za cilj zasićenje propusnog opsega napadnute aplikacije kako bi je preplavili. Mjerenje ukupnog volumena (bps), umjesto broja zahtjeva, je način na koji se ovi napadi obično prikazuju u tabeli.

Prosječna propusnost ovog tipa napada je obično u desetinama Gbps (oko 10 Gbps). Stoga su navedeni napadi (na 650 Gbps) premašili prosječnu vrijednost za 60 puta. Napadi ovog obima su rijetki i od posebnog su interesa za stručnjake za kibernetičku bezbjednost.

Osim toga, ova vrijednost (650 Gbps) je uporediva sa rekordnim DDoS napadom na najveći Minecraft server (2,4 Tbps).

2. Klijent koji je napadnut koristio je CDN plan bez dodatne DDoS zaštiteKada klijenti koriste Gcore-ov CDN (kao dio Edge mreže), maliciozni promet L3/L4 napada direktno utiče samo na njegovu infrastrukturu (služi kao filter), a ne na servere ciljanih klijenata. Negativan uticaj pada na kapacitet i povezanost infrastrukture. Kada je CDN dovoljno moćan, može zaštititi klijente od L3/L4 napada, čak i kada im se pristupa korišćenjem besplatnog plana.

Koje su bile tehničke specifikacije napada?

Incident je trajao 15 minuta, a na svom vrhuncu dostigao je preko 650 Gbps. Mogući razlog zašto je incident trajao toliko dugo je taj što su napadači odmjerili neefikasnost napada, klijentska aplikacija je nastavila raditi, u odnosu na njihovu visoku cijenu.

Incident se sastojao od tri napada sa različitim vektorima. Oni su označeni peak-ovima saobraćaja na dijagramu ispod:

Posebnost incidenta je da su napadi izvedeni sa više nelažiranih IP adresa. Ovo je omogućilo stručnjacima da identifikuju da su napadači koristili 2.143 servera u 44 različita regiona, a da su svi serveri pripadali jednom javnom provajderu u Cloud-u. Korišćenje Anycast-a omogućilo je Gcore-u da apsorbuje napad 100% preko peering konekcija sa ovim provajderom.

Sankey dijagram koji prikazuje izvor i tok napada. Nazivi lokacija iz prve kolone su povezani sa jednim od 3 najbolja Cloud provajdera.

Zašto napadi nisu uticali na klijenta?

1. Gcore-ova povezanost putem peering-a sa mnogim lokacijama igrala je ključnu ulogu u ublažavanju napada. Gcore ima preko 11.000 peering partnera (ISP), a ti partneri povezuju svoje mreže pomoću kablova i jedni drugima pružaju pristup saobraćaju koji potiče iz njihovih mreža. Ove veze omogućavaju zaobilaženje javnog interneta i direktnu apsorpciju saobraćaja od peering partnera. Osim toga, ovaj promet je ili besplatan ili košta mnogo manje od prometa na javnom internetu. Ova niska cijena omogućava zaštitu prometa korisnika na besplatnom planu.

U kontekstu DDoS napada koji se dogodio, nivo povezanosti je uvelike pomogao efikasnosti ublažavanja. Gcore i provajder u oblaku koji je korišćen za pokretanje napada su partneri, tako da dok se napad dešavao, Gcore je uspeo da proguta većinu saobraćaja preko privatne mreže Cloud provajdera. Ovo je uvelike smanjilo količinu saobraćaja koji je trebao da obradi javni internet.

Privatni peering također omogućava preciznije filtriranje i bolju vidljivost napada, što dovodi do efikasnijeg ublažavanja napada.

2. Veliki kapacitet Gcore-a, zbog postavljanja servera u mnoge centre podataka, takođe je igrao veliku ulogu. Gcore-ovi edge serveri su dostupni u preko 140 tačaka prisutnosti i bazirani su na Intel® Xeon® Scalable procesorima visokih performansi treće generacije.

Ukupni kapacitet mreže je preko 110 Tbps. Sa preko 500 servera smještenih u data centrima širom svijeta, kompanija je u stanju izdržati DDoS napade velikih razmjera. Dakle, 650 Gbps saobraćaja bi se moglo distribuisati preko mreže, a svaki pojedini server bi primio samo 1-2 Gbps, što je neznatno opterećenje.

Sigurnosni trendovi

Prema iskustvu Gcore-a, DDoS napadi će nastaviti da rastu iz godine u godinu. U 2021. godini napadi su dostigli 300 Gbps, a do 2022. godine su porasli na 700 Gbps. Stoga čak i male i srednje kompanije moraju koristiti distribuisane mreže za isporuku sadržaja kao što su CDN i Cloud za zaštitu od DDoS napada.

Izvor: The Hacker News

Exit mobile version