Olhando para trás, 3 meses da mudança de forma do tráfego global
Foram três meses que mudaram genuinamente o mundo. Uma tábua de salvação inteira passou de 1º de fevereiro, quando as pandemias de coronavírus começaram a se espalhar para fora da China e os países europeus estavam prestes a reagir, até 30 de abril, quando as nações foram travadas em medidas de quarentena em quase todo o mundo.
Não haveria TL; DR neste artigo, desculpe.
Queremos dar uma olhada nas repercussões e na natureza cíclica da reação e, é claro, fornecer uma visão geral dos ataques DDoS e incidentes de BGP em um período de três meses.
Em geral, parece haver um padrão objetivo na mudança de quase todos os países para o bloqueio de quarentena.
Spin Down
Conforme as medidas epidêmicas se intensificaram, o transporte e a logística (e o turismo, que não é possível sem eles) foram os primeiros a ficar sob pressão, porque as pessoas estavam cancelando ou remarcando massivamente suas viagens, entregas, remessas e despachos em coordenação com os países que fechavam ou restringiam o passagens de fronteira. Os táxis também perceberam a queda geral da atividade.
Não é surpreendente que, quase simultaneamente, houvesse outra camada onde, ao contrário, a atividade disparou tremendamente: em ações, negociação de ações e câmbio. Na verdade, esta é uma indústria que “compra o boato e vende as notícias”, como se fossem os comerciantes que reagiram ao mundo em mudança com uma rapidez impressionante. E ainda o fazem, porque operam nos movimentos de queda e alta do preço. Os comerciantes estavam entre as poucas profissões na Internet que tiveram muito mais trabalho e oportunidades durante esses três meses.
Como uma próxima etapa posterior ao fechamento do transporte e especialmente dos eventos que hospedam muitas pessoas (ou melhor, fechando praticamente todos os eventos que acontecem na vida real), todos os ingressos, reservas e outras atividades do local os serviços relacionados caíram uma queda considerável em seu atendimento na web. E estão se recuperando muito lentamente porque a diferença nas medidas de lockdown complica os eventos internacionais, a maioria das fronteiras ainda está fechada e também pelo fato de que em alguns países já está previsto o retorno de festivais, shows ou mesmo apresentações teatrais. Essas indústrias estão tentando se adaptar a essas novas realidades, e não sabemos ainda como isso seria para elas, principalmente para os hoteleiros e os mercados de aluguel de curto prazo, que foram fortemente afetados.
Como resultado de choques econômicos e do aumento do desemprego, além do cancelamento de quase todas as atividades esportivas, este é provavelmente o pior momento para apostar. Desta vez, combinou vários fatores tão cruciais para a disposição das pessoas de apostar seu dinheiro em outra coisa que não sua saúde.
Spin Up
Por outro lado, temos algumas indústrias e setores econômicos que se beneficiaram com o que estava acontecendo, embora não esteja claro se eles poderiam capitalizar as conquistas.
A mídia de massa e as redes sociais estão entre os vencedores finais. Na situação de estresse, muitas pessoas recorrem a fontes de notícias e histórias, e vimos como a reação pode ser diferente, especialmente em comunidades autogeridas, como a Wikipedia. As pessoas precisam de uma fonte de informação e, durante esses três meses, vimos como os usuários ativos cresceram na maioria dos sites de notícias de tema geral, mas não exclusivamente. E muitos tentaram explorar a informação impulsionada a seu favor, usando todos os tipos de técnicas obscuras, como a isca de cliques ou ainda pior.
Nossos amigos da Habr.comnos mostrou como as pandemias de Coronavirus mudaram tremendamente a maneira como as pessoas reagem e respondem a histórias específicas. Teve um único post que chamou a atenção de milhões de pessoas, buscando dados sobre o assunto que tivemos nesses três meses.
(Estatísticas de CDN de Habr para fevereiro e março de 2020)
Ao mesmo tempo, a educação online e os serviços de streaming online, bem como plataformas e comunidades de jogos, dispararam. E com os serviços de streaming, até mesmo os governos locais reagiram com seus requisitos para diminuir a qualidade do vídeo para otimização do tráfego e, em última análise, isso foi cumprido pelos maiores players , como Netflix e YouTube. O mesmo controle de velocidade de download chegou aos mercados de jogos mais importantes, como a PlayStation Network, enquanto o Steam relatava um pico de jogadores simultâneos.
Você provavelmente está se perguntando aqui como ousamos misturar educação com entretenimento.
Bem, parece que existe edutainment na Internet. Nesse período, vimos como os serviços educacionais, ao abrirem seus cursos gratuitamente ou com desconto, tiveram um grande crescimento no número de usuários e visitantes. Como escolas, universidades e alguns escritórios foram fechados para atendimento físico, alunos, alunos e até adultos procuraram uma maneira eficiente de passar o tempo.
E sabemos muito bem que, se você trabalhar muito, poderá se divertir muito. É por isso que os setores de jogos e streaming podem ser os vencedores a longo prazo, porque esses hábitos provavelmente permaneceriam com as pessoas que os adquiriram nesses três meses.
O comércio eletrônico e o varejo mudaram imensamente nesse mesmo período porque, durante meses, a única maneira de vender algo era vendendo pela Internet. Vimos como as empresas, de pequenas a gigantes, estavam transformando suas operações e táticas em direção a uma melhor eficiência sob grande estresse. Mercearia, alimentos integrais, açougueiros, alfaiates, carpinteiros e jardineiros – todos tiveram que tomar medidas de adaptação para ficar com sua clientela, não perdendo os antigos e, provavelmente, adquirindo novos. E, desta vez, também vemos um crescimento no tráfego de varejistas de álcool e uma queda significativa no varejo de ferramentas de escritório, ambos vinculados à migração em massa para escritórios domésticos.
Foi interessante ver como as empresas de varejo e e-commerce estavam se adaptando à crescente demanda e “compartilhando” seus clientes uns com os outros em tempo real – já que alguns sites específicos foram sobrecarregados pelos visitantes e começaram a sufocar recursos (fosse CPU, memória ou o que víamos como um fator número um – largura de banda de trânsito disponível), os clientes imediatamente se reorientaram para serviços que estavam mais prontamente disponíveis, materializando o velho provérbio “vote com sua carteira”.
O mesmo vale para o software que usamos para nos comunicar com nossos colegas, parceiros, clientes e fornecedores de todos os tipos – durante esses 3 meses, muitas empresas perceberam onde realmente estão no campo da segurança, pois os problemas estavam prejudicando a reputação de alguns softwares amplamente usados produtos, nomes omitidos.
E provavelmente o último, embora não menos importante em nossa rápida introdução, foi a pressão que testou todos os serviços e-Gov em qualquer região do mundo. Como as pessoas estavam trancadas em suas casas, eles tentaram se antecipar aos problemas e fazer todo o possível para estarem prontos para o que quer que fosse acontecer. Impostos, tribunais, nomeações com funcionários do governo, seguros e serviços hospitalares, serviços sociais – tudo estava sob pressão porque as pessoas foram apanhadas em momentos desagradáveis e procuram ajuda dos seus governos.
E descobriu-se que, na maioria dos casos, os serviços eletrônicos do governo poderiam se adaptar e sobreviver a essa alta demanda, o que é excelente e, na melhor das hipóteses, nos daria novos insights sobre quais serviços acreditamos e como podemos interagir com eles.
Ataques DDoS
Nesta seção, queremos compartilhar com você nossos insights sobre como os ataques DDoS evoluíram e mudaram durante o período questionado.
Observe que, desta vez, os ataques L7 (camada de aplicativo) foram excluídos intencionalmente da visão geral.
Em primeiro lugar, vamos dar uma olhada nos gráficos de velas com os quais estamos descrevendo os dados. Começaríamos com os dados de duração dos ataques DDoS para o período de 1º de fevereiro a 30 de abril.
Com esses gráficos, estamos nos concentrando na mediana (quartil 2), no mínimo / máximo e nos quantis 25 e 75.
Como você pode ver , o tempo médio de ataque é de 300 segundos – 5 minutos. Mas a distribuição geral no tempo é ampla, com o período máximo de ataque de 12,5 horas. Os ataques modernos são rápidos e intensos e isso não muda com as pandemias.
Duração dos ataques a diferentes setores
Agora, vamos examinar essas durações e ver como elas diferem de uma categoria de cliente para outra.
É bastante evidente que os setores da economia de promoção e comércio eletrônico têm os ataques mais prolongados, com os bancos tendo uma mediana de seus ataques bastante baixa em comparação com os serviços de táxi ou a indústria de jogos e comércio. Cada setor tem suas especificidades na Internet e, como grande parte dos ataques DDoS é uma competição injusta, você vê a diferença entre as abordagens.
A largura de banda dos ataques em diferentes setores
Esse é o gráfico de velas de bits por segundo para os mesmos setores atacados no período questionado.
Como você pode ver, os ataques mais intensos durante esses três meses foram direcionados ao setor de educação, seguido por sistemas de pagamento, governos locais e serviços do setor público, com páginas promocionais e recursos de apostas fechando o top-3. Aqui, a largura de banda máxima de ataque no setor de Educação foi direcionada a um de nossos clientes abrindo os cursos educacionais gratuitamente, seguido por um ataque de centenas de gigabits por segundo em seus recursos. Outra pessoa queria esses alunos também.
Distribuição de vetores de ataque
O dilúvio de IP fragmentado ainda é o rei da montanha de ataques DDoS com 43,32% de todos os ataques (embora uma certa parte dessa conquista pertença de fato a ataques de amplificação UDP). A inundação UDP segue com 29,37%, e a inundação SYN fecha o top 3 com 19,53% de todos os ataques.
Duração dos vetores de ataque, segundos
Aqui, podemos dizer que os vetores de ataque raramente mudam drasticamente o intervalo de tempo dos ataques DDoS, uma vez que esses são principalmente coisas ortogonais.
Largura de banda e taxa de pacotes dos vetores de ataque
Aqui vemos o que era conhecido há muito tempo – a inundação UDP tem a maior mediana e o máximo de largura de banda, seguida pela inundação IP fragmentada. Você provavelmente já sabe que em ataques reais que são ameaças reais, vários vetores seriam utilizados para maximizar a eficácia dos recursos de ataque comprometidos.
Esse é o gráfico de intensidade de pacote (PPS) para os mesmos vetores.
E, finalmente, temos um gráfico de pizza de combinações de vetores.
Onde você pode ver que mesmo enquanto a inundação de IP representa o vetor de ataque mais utilizado com 35,67% de todos os ataques, após a inundação UDP limpa (com 15,71%) e inundação SYN (com 12,31%) o restante 40 % está em vetores combinados.
Novamente, queremos reiterar o gráfico que usamos no início deste artigo.
Aqui você pode ver que os setores mais atacados durante esses três meses foram:
- Educação, com 33,56% de todos os ataques registrados;
- Promo, onde contamos com recursos que visam chamar a atenção em curtos períodos;
- E-commerce (varejo) com 13,01% dos ataques;
- Serviços públicos e governamentais com pouco menos de um décimo dos ataques – 8,44;
- E o top 5 fechando com o setor de jogos atraindo 7,30% dos ataques DDoS.
Roteamento BGP
Quase simultaneamente com as medidas de quarentena em cada região e país, bloqueio e migração para escritórios domésticos sempre que possível, os principais pontos de troca da Internet relatavam registros históricos sobre o fluxo de tráfego. Ao mesmo tempo, em muitos países, os ISPs estavam concordando em aumentar ou cancelar totalmente os limites de dados nas conexões de Internet do consumidor de última milha, o que definitivamente é algo que nunca vimos antes.
Também estávamos interessados em ver se, e como, o número de IX participantes mudava. Para dar um passo nessa direção, usamos os dados PacketClearingHouse .
Embora, evidentemente, o PCH não tenha 100% de cobertura de todos os Internet Exchange Points do mundo, a quantidade de informações que obtém dos principais é suficiente para esse tipo de experimento. Vimos IXes individuais oferecerem associações e conexões gratuitas, então queríamos verificar se a situação é semelhante em todo o mundo e se a participação na troca de tráfego foi motivada pela pandemia.
Resumindo – não, o número geralmente não mudou.
O tremendo crescimento do tráfego nas principais trocas da Internet
Você pode comparar todos os gráficos dos maiores IXes do mundo com o gráfico do nosso próprio, ilustrando o crescimento geral do tráfego na rede de filtragem do Qrator Labs de 28 de janeiro a maio 1.
Dinâmica geral de tráfego do Qrator Labs de 28.1.2020 a 2.5.2020
Como você pode ver, foi realmente uma pandemia mundial e desta vez tínhamos a Internet.
Não colaremos os gráficos dos participantes aqui, pois há muitos deles. Para economizar espaço e volume deste artigo, gostaríamos de escrevê-lo com nossas próprias palavras de forma simples – não há correlação entre o crescimento do tráfego nos pontos de troca da Internet e o número de participantes nessas trocas. Para colocá-lo simplesmente – o tráfego aumentou em todos os lugares, para cada rede de trânsito.
Incidentes de roteamento durante três meses
Durante o período em questão, relatamos 6 incidentes de roteamento significativos no blog Radar. Esses foram eventos em que a gravidade e a propagação se combinaram de forma significativa, tornando esses incidentes visíveis fora de uma determinada região. E o que aconteceu em 24 de abril foi tão estranho quanto o tempo em que vivemos – continha apenas rotas válidas com objetos ROA corretos e se espalhou, embora não tenha causado tantos estragos ainda. Dois dias depois , vimos mais uma vez o que supomos ser um software de otimização BGP brincando com redes de dentro. Curioso mesmo.
Se quisermos dar uma olhada nas estatísticas mensais de vazamentos de roteamento desde o início do ano, ficaria assim (estamos apenas levando em consideração vazamentos com distribuição significativa):
Janeiro : 1 de
fevereiro : 4 de
março : 6 de
abril : 6 +1 em IPv6
Portanto, há uma tendência crescente de incidentes de roteamento, mas ainda não sabemos quanto tempo isso duraria. Além disso, é importante observar que, como a maioria dos incidentes de roteamento ocorre devido a erros de configuração, a maior ameaça é o momento em que todos voltam aos seus escritórios e começam a fazer alterações para se adaptar às novas realidades.
Mudanças de confiabilidade dos segmentos nacionais da Internet
Faltam 4 meses para o lançamento de nosso Relatório Nacional de Confiabilidade de Segmentos da Internet anual. Se você não sabe o que é, dê uma olhada na versão 2019 .
Queremos esboçar um pequeno teaser sobre como a confiabilidade global mudou durante esses três meses com pontos curtos que desenvolveríamos na pesquisa abrangente em agosto, como de costume.
- Brasil e Argentina melhoraram significativamente suas posições nos 20 primeiros dos segmentos mais confiáveis da Internet;
- O Japão e os Estados Unidos também apresentaram um crescimento geral da classificação, embora não tão significativo quanto os dois países sul-americanos;
- Talvez isso se deva ao fato de que o Nível 3 ainda é o Sistema Autônomo mais importante dos Estados Unidos. Ao mesmo tempo, os ASes críticos nos outros três países: Brasil, Argentina e Japão, mudaram em comparação a 2019.
Também é interessante acrescentar que de acordo com as mesmas estatísticas do IX e alguns dados adicionais, como as estatísticas do Google, poderíamos dizer que a pandemia acelerou um pouco a adoção do IPv6 – fato que o The Register também notou no final de março.
