Rubriky
Naše zprávy Pro profesionály

Nasazujeme nový štít proti DDoS útokům

Webhosting není jen o hostinzích a doménách. Aby všechny tyto služby mohly běžet ještě lépe a stabilněji, připravujeme novou infrastrukturu pro DNS služby. Říkáte si, že jako zákazníka se vás to netýká? Pojďme si projít, co všechnou touto inovací získáte.

Povídali jsme si s jedním z klíčových lidí, kteří za touto změnou stojí – s Tomášem Hálou, CEE IT Security & Operations Managerem Websupportu.

V rozhovoru sa dozvíte:

  • jak zlepšíme bezpečnost služeb vůči DDoS útokům,
  • jaký vliv má DNS na rychlost načítání webu,
  • jaké technologie bude naše nová infrastruktura využívat,
  • co je to IP anycast,
  • kde ve světě se nacházejí naše server stacky.

Co je to DNS a k čemu slouží?

Služba DNS převádí doménová jména jako „vasefirma.cz“ na tzv. IP adresy, kterým rozumí počítače (mobily, servery atp.). Je to základní služba, na jejímž fungování jsou závislé veškeré internetové služby – weby, e-maily, mobilní aplikace, zasílání zpráv, videa, online konference, internetové bankovnictví, datové schránky, cloudové služby nebo sociální sítě. Zkrátka všechno, co se nachází v online prostoru.

Jak se projevuje (ne)kvalita DNS služeb?

Pokud služba DNS funguje správně, ani o ní nevíme. Pokud jsou s ní problémy, projeví se to jako pomalá odezva nebo výpadky internetových služeb, popř. i bezpečnostní problémy. Proto je důležité mít spolehlivého poskytovatele služby DNS, kterým je nejčastěji ta společnost, u které si registrujete samotnou doménu.

Jaká je naše aktuální situace?

Aktuálně provozujeme tři nezávislé a tzv. autoritativní DNS servery, na kterých jsou provozovány všechny u nás registrované domény. Podporujeme též bezpečnostní rozšíření zvané DNSSEC, které chrání systém proti podvrhování DNS odpovědí a z toho plynoucím bezpečnostním problémům.

Co k tomu používáme teď? Jaké technologie?

Naše infrastruktura je založena na autoritativním DNS serveru Knot DNS vyvíjeném národním registrem .CZ domény CZ.NIC, plus na dalších podpůrných systémech, které si vyvíjíme sami interně.

Proč jsme se rozhodli pro změnu a co nám to přinese?

Jsou v zásadě tři důvody, proč nyní do systému DNS výrazně investujeme, a to po stránce finančních investic i po stránce našeho vývoje:

1) Pozorujeme čím dál častější a silnější DDoS útoky, které mají za cíl vyřadit DNS systém z provozu. Chceme infrastrukturu upravit tak, aby byla maximálně robustní a zajistila spolehlivý provoz všech hostovaných domén i v případech, kdy jsme cílem velmi silných útoků.

2) Díky akvizičním aktivitám v naší hostingové skupině skokově rosteme a hostujeme výrazně vyšší počet domén (z řádů stovek tisíc domén se posouváme do řádů milionů, tedy jde řádově o desetinásobný růst ve velmi krátké době). Chceme si být jistí, že naše infrastruktura tento raketový růst dokáže bez problémů obsloužit.

3) Chceme zajistit nízkou dobu odezvy (tzv. latenci) DNS služby nejen v Evropě, ale i ve zbytku světa. Rychlá odezva DNS se projeví na rychlejším fungování všech ostatních služeb, např. na rychlosti načítání webové stránky.

Jak se změna infrastruktury prováděla? Jak probíhal vývoj a co jsme testovali?

Vytvořili jsme zcela nový design DNS infrastruktury přiznaně inspirovaný infrastrukturou pro TLD doménu .CZ od CZ.NIC. Využívá tzv. DNS stacky různých velikostí a rozmístěné do nejrůznějších lokalit po světě. Každý stack je samostatná jednotka schopná odbavit nejen běžné množství DNS dotazů, ale i větší provoz během DDoS útoků. Testování probíhá v několika rovinách: 

  • testování základní funkčnosti (odpovědi na DNS dotazy, propagace změn aj.),
  • výkonové testování (schopnost obsloužit vysoké množství dotazů na vysoký počet zón a rychlost propagace změn),
  • testy redundance (tj. zachování provozu v případě dílčí odstávky či výpadku).

Co nám to umožní?

Kromě výrazně vyšší odolnosti proti DDoS útokům také servisovatelnost za chodu, to znamená možnost odstavit dílčí části infrastruktury (celé lokality) během údržby (upgrady apod.), aniž by to mělo dopad na dostupnost DNS služby.

Jak to monitorujeme?

Kromě základního monitoringu, který je založen na systému zabbix a externím monitoringu Pingdom, využíváme infrastrukturu v rámci projektu RIPE Atlas pro monitoring dostupnosti z mnoha sond po světě, abychom měli co nejdetailnější obraz fungování celého systému.

Jakou technologii nově používáme?

Hlavní změnou je nasazení technologie IP anycast. Za běžných podmínek se za jednou IP adresou skrývá jeden server v jedné lokalitě. S technologií IP anycast můžete za jednu IP adresu schovat prakticky neomezené množství serverů v mnoha lokalitách po celém světě, přičemž klient dostane odpověď vždy z té lokality, které je síťově nejblíž. V případě nedostupnosti libovolné lokality přebírají její roli automaticky lokality ostatní, čímž je dosaženo vysoké dostupnosti.

Jaké benefity má toto řešení pro budoucnost sítě, stabilitu a možnosti jejího rozšíření?

Řešení umožňuje již zmíněnou servisovatelnost za chodu, vysokou dostupnost a také rozšiřování do prakticky neomezeného množství dalších lokalit. Zároveň zajistí rychlejší odpovědi na DNS dotazy, protože fyziku neošálíte – odpověď na dotaz mezi Evropou a Amerikou trvá v řádu stovek ms a urychlit už nejde. Pokud na dotaz z Ameriky odpovídáte v Americe, dostanete se na desetkrát rychlejší odpovědi.

Jedním z benefitů je také DDoS ochrana. Co je vlastně DDoS?

Princip DDoS útoku je jednoduchý – snaží se systém zahltit takovým množstvím požadavků z mnoha míst současně, že to cílový systém přestane stíhat a stává se nedostupným. Dnes čelíme DDoS útokům se silou 170 Gbps+ a jejich síla postupně roste. Technologie IP anycast s vhodně vybranými lokalitami pomůže v boji s těmito útoky tím, že vysoký provoz rozloží do více lokalit, tedy se snadněji zvládá filtrovat a obsloužit bez zahlcení a zároveň zadržuje velkou část útoku co nejblíže jeho zdroji. Takže pokud útok pochází např. primárně z Asie, jeho podstatná část v Asii zůstane a do našich hlavních datacenter v Evropě už dorazí jen menší část, kterou zvládneme obsloužit bez dopadu na dostupnost služby.

Co všechno je třeba řešit při zjištění, že jsme terčem DDoS útoku?

Pokud vše funguje tak, jak má, dokáže infrastruktura útoku čelit bez nutnosti ručního zásahu – rozsáhlý útok je rozložen na několik menších, tyto části jsou v cílových lokalitách dále filtrovány a zbytek je obsloužen díky výraznému naddimenzování konektivity a HW. V případě, že některá dílčí opatření selžou, jsme schopni si provoz přelévat dle potřeby tam, kde jej lépe vyfiltrujeme/obsloužíme, případně tam, kde nebude mít negativní vliv na samotné služby, a to zcela transparentně.

Jak to pocítí naši zákazníci?

Uživatelé služeb na doménách našich zákazníků budou automaticky těžit z rychlejší odezvy systému. Zároveň se zákazníci mohou spolehnout, že služby na jejich doméně budou dostupné i v případě velmi silných DDoS útoků.

DNS servery jsou jen v naší interní infrastruktuře, nebo i u jiných providerů? 

Už se nejedná o jednotlivé servery, ale o celé stacky, které se skládají z několika serverů v různých rolích. Každopádně páteř infrastruktury tvoří silné stacky v primárních datacentrech naší hostingové skupiny (v CEE a Nordics), kde je špičková konektivita a také tzv. scrubbing (systémy filtrující DDoS útoky). Dále je doplňují menší stacky hostované mimo Evropu, jejichž lokality vytipováváme z reálného provozu a reálných útoků – s ohledem na minimalizaci latence a co největší přiblížení se zdrojům útoků, které si pak tyto vzdálené stacky stáhnou na sebe.

Co si pod tím reálně můžeme představit – jsou to fyzické servery, virtuální servery, nebo distribuované služby?

Jednotlivé stacky se svou velikostí liší. Ty větší se skládají z několika fyzických serverů v různých rolích se silnou konektivitou, ty nejmenší využívají jeden fyzický server s virtualizací.

Změnilo se něco pro naše datacentra?

Snad jen důraz na silnou konektivitu a kvalitní scrubbing (filtrování DDoS útoků).

Co nová DNS infrastruktura a konkurence v regionu? Využívá někdo podobné řešení?

Nejsme první, kteří v CEE regionu využívají IP anycast, ale troufám si tvrdit, že jsme jediní, kteří budují takto rozsáhlou a robustní infrastrukturu schopnou servírovat až 5 milionů DNS zón (tj. 5 milionů zákaznických domén).

Odkdy je nová DNS infrastruktura v provozu a pro koho je dostupná?

DNS infrastrukturu uvádíme do produkce postupně. Nejdříve se dotkne terciálního DNS serveru NS3 (ns3.websupport.cz/sk/hu, resp. ns3.webonic.hu), a to v polovině října 2021. V průběhu podzimu je v plánu vybudovat další dva stacky a přepnout na novou infrastrukturu také NS2. Jako poslední přijde na řadu NS1 – poté, co bude přidán další silný stack. Aktuálně plánujeme i další rozšiřování infrastruktury v roce 2022 – ověřujeme dostupnost již postavené infrastruktury z celého světa a podle toho vytipováváme lokality pro další stacky.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *