2:18 16. února 2019

Edit: WEDOS s tím začal něco dělat, tak uvidíme.

Včera na nás byl veden od 20:05 do 21:07 hodin DDoS útok o síle ☠️20Gbit/s, který způsobil nedostupnost TeamSpeak serveru.

Bohužel (příplatková) DDoS ochrana hostingu zahazovala i legitimní datové toky TeamSpeak serveru.

Pro zajímavost
5Mbit/s až 20Mbit/s občas prosakovalo přes filtry hostingu, tak jsem si udělal TCP dump a ve wiresharku jsem zjístil, že se jednalo o DNS a NTP amplification útok, protože většina provozu zachycená v TCP dumpu byly odpovědi převážně od DNS a NTP serverů.
Občas se stávalo, že síťový provoz vylétl při útoku až na 100Mbit/s, jako by filtrace vysadila a pak to zase naběhla a tak stále dokola.

Měli jsme už dříve útoky 500 až 780 Mbit/s (podle technické podpory) a i takovýto útok nedokázali odfiltrovat. Jednalo se také o amplification podle TCP dumpu. Tento menší útok vždy zaregistrovala jejich DDoS ochrana a začala ho filtrovat, jenže jejich ochrana vyfiltrovala i náš TeamSpeak server 😂 a to byl jen amplification útok který ani nebyl cílený proti portu na kterém náš TeamSpeak server jede 🤣 a v tu chvíli jsem si začal rvát vlasy, když jsem to zjistil. 😱

Provoz na TCP až na drobné výpadky jel 👍🏽, nicméně UDP to bylo úplně něco jiného. Když UDP chvilkama jelo, tak docházelo k trhání hlasové komunikace a obrovským paketovým ztrátám.

Divím se, že si firma jako je WEDOS neporadí s amplification útoky na své klienty. 😟

Graf poskytovatele hostingu při útoku

Zdroj: https://datacentrum.wedos.com/traffic.html

Závěrem
Co musím uznat je, že WEDOS už nenechá při útoku všechen síťový provoz sežrat černou dírou tak jak to dělal donedávna, ale mohl by stále zapracovat na lepším filtrování UDP provozů a hlavně filtrování amplification útoků.

🖕🏼 Těm co tento 🎁 poslali.