DDOS - HTTP Flood

Upozornění: Následující text byl napsán již před několika měsíci a mezitím se věci trochu změnily. Je potřeba brát s rezervou, že uvedené URL adresy už vrací jiný obsah.

DDOS útoky se staly součástí našeho běžného života. V tomto článku si rozebereme jeden konkrétní, který šel na jednoho našeho zákazníka a je určitým způsobem unikátní.

Všechny IP adresy nebo URL adresy (vyjma útočníka) jsou v textu nahrazeny za anonymizované.

DDOS útok

Cílem útoku se stal zákazník, který provozuje na jednom serveru několik webů postavených na Wordpressu. Běžně je zátěž serveru malá a server má dostatečnou rezervu pro případné špičky. Tentokrát na něj ale přišlo víc provozu, než na kolik byl navržen.

Jednalo se o 2 útoky. K prvnímu došlo 12.11.2020 a trval lehce přes hodinu od 19:33 do 20:44. Druhý byl trochu delší a trval od 20.11.2020 13:52 až do 21.11.2020 23:02.

Typ útoku byl HTTPs flood rozložený mezi několik webů zákazníka. Inzenzita útoku se průběžně měnila V nejsilnější moment šlo na serveru 46 609 HTTP požadavků za minutu nebo 960 za vteřinu. Server zákazníka byl stavěn na výrazně menší provoz.

Podobné útoky se dějí u některých zákazníků celkem často. Vždy stačí jen najít vzor, podle kterého se dá útok filtrovat a nastavit filtrační pravidla. I v tomto případě se vzor dal najít rychle.


Na žádost zákazníka byl zbytek textu stažen a bude znovu zveřejněn 1.10.2021.