Downtime: 19/OUT a 21/OUT

Anúncios importantes serão publicados aqui, fique por dentro de tudo o que acontece no servidor!
Avatar do usuário
Wil
Management and Head Developer
Management and Head Developer
Mensagens: 8828
Registrado em: 28 Jul 2013, 01:24
Localização: Unknown
Discord: Wil#3638
Contato:

Downtime: 19/OUT a 21/OUT

Mensagem por Wil » 21 Out 2019, 16:12

Imagem
Olá a todos,

Desde o inicio da noite de sábado estamos enfrentando ataques que sobrecarregam o serviço de web e automaticamente deixa inacessível todos os sites. Esse ataque é mais conhecido como DDoS, ele faz com o site seja acessado diversas até que fique inacessível para quem deseja realmente acessa-lo.

Já identificamos de onde os ataques se originaram e as possíveis possibilidades de afetarem ainda mais os serviços foram diminuídas drasticamente. Nosso serviço de web normalmente funciona com 15.000 a 30.000 requisições por hora, o ataque estava enviando entre 8.000.000 - 9.000.000 de requisições por hora, isso sobrecarrega nossa capacidade de processamento. Tais anomalias de requisições foram identificadas a partir das 21h (GMT-3) de 20/10.

Para manter a comunidade atualizada, iremos manter esse tópico atualizado com informações sobre o downtime e nossas medidas para combate-lo.

DOWNTIME 20/OUT - 22H ATÉ 00H DE 21/OUT

Aplicamos alguns filtros em nossos recursos e acredito que isso resolverá o problema. O gráfico abaixo mostra as alterações de requisições anormais identificadas na noite de domingo.
Imagem
A tabela de IPs bloqueados que são originários dos ataques:
Imagem
O ataque da noite de domingo se iniciou com o uso de máquinas virtuais alugadas em uma empresa localizada nos Estados Unidos, nossa primeira medida foi bloquear tais máquinas dessa empresa, logo após isso, os ataques começaram a surgir de outras máquinas aleatórias, que conseguimos bloquear também. O primeiro ataque usava IPs de uma empresa americana:

Código: Selecionar todos

199.195.***.*** - - [21/Oct/2019:00:10:30 -0300] "POST // HTTP/1.1" 200 5369 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36"
199.195.***.*** - - [21/Oct/2019:00:10:30 -0300] "POST // HTTP/1.1" 200 5368 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36"
199.195.***.*** - - [21/Oct/2019:00:10:30 -0300] "POST // HTTP/1.1" 200 5369 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36"
199.195.***.*** - - [21/Oct/2019:00:10:30 -0300] "POST // HTTP/1.1" 200 5369 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36"
199.195.***.*** - - [21/Oct/2019:00:10:31 -0300] "POST // HTTP/1.1" 200 5368 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36"
A print abaixo mostra parte das conexões não casuais que faziam o DDoS. Este foi parte do segundo ataque da noite de domingo:
Imagem
Mais um gráfico, dessa vez da nossa capacidade de processamento, percebam a normalidade de processamento de dados que temos em um momento comuns entre 21:35 as 22:00, o pico em 22:02 (+/-) que provavelmente foi o inicio do primeiro ataque e a partir 22:07 nossa capacidade de processamento de dados estava sobrecarregada e com isso, os websites e a tela de login in-game não funcionavam.
Imagem
A nossa capacidade de processamento de dados em uma condição normal (parte superior do anexo) e em uma condição sobrecarregada (parte inferior do anexo):
Imagem

DOWNTIME 21/OUT - 13H ATÉ 16H DE 21/OUT

O ataque na tarde desta segunda-feira (21/10) ocorreu por meio de conexões espalhadas por todo o mundo, dificultando um pouco o filtro para identificar as conexões legitimas. Após a aplicação de um filtro especifico para diferenciar conexões que estão sendo usadas apenas para sobrecarregar o site conseguimos conter o sobrecarregamento. Mais de 100,000 IPs foram impedidos de acessar e sobrecarregar nossa capacidade de processamento de dados. Segue a imagem dos IPs e países de onde a conexão vem:
Imagem
Imagem

Trancado