Liitu, et saada teateid uute postituste kohta:

Üks aasta sõda Ukrainas: Internetitrendid, rünnakud ja vastupanuvõime

2023-02-23

18 min lugemine
See postitus on kättesaadav ka English, ja keeles.

Internet on muutunud oluliseks teguriks geopoliitilistes konfliktides, näiteks käimasolevas sõjas Ukrainas. Homme möödub üks aasta Venemaa sissetungist sellesse riiki. Selles postituses antakse ülevaade internetist ja arutletakse selle üle, kuidas Ukraina internet püsis vastupidavana hoolimata kümnetest häiretest konflikti kolmes erinevas etapis.

One year of war in Ukraine: Internet trends, attacks, and resilience.

Peamised järeldused:

  • Interneti-liikluse nihked Ukrainas on selgelt nähtavad idast läände, kuna ukrainlased põgenesid sõja eest, kusjuures kogu riigi liiklus langes pärast 24. veebruari 2022 koguni 33%.

  • Oktoobris alanud õhurünnakud energiainfrastruktuurile põhjustasid ulatuslikke Interneti-häireid, mis jätkuvad ka 2023. aastal.

  • Rakenduskihi küberrünnakud Ukrainas kasvasid 2022. aasta märtsi alguses sõjaeelse tasemega võrreldes 1300%.

  • Kõige rohkem rünnakuid Ukraina vastu oli suunatud valitsemissektori, finantsteenuste ja meedia vastu.

  • Juunist oktoobrini suunati mitmete Hersoni võrkude liiklus ümber läbi Venemaa, mis allutas liikluse Venemaa piirangutele ja piirangutele, sealhulgas sisu filtreerimisele. Isegi pärast seda, kui liikluse ümbersuunamine läbi Venemaa lõppes, esines nendes Ukraina võrkudes vähemalt aasta lõpuni suuri katkestusi, samas kui kaks võrku on endiselt võrguühenduseta.

  • Tänu kohapealsetele jõupingutustele kahjustatud kiudoptika parandamiseks ja elektrienergia taastamiseks on Ukraina võrgud püsinud vastupidavad nii infrastruktuuri kui ka marsruutimise seisukohast. See on osaliselt tingitud Ukraina laialdasest ühenduvusest väljaspool riiki asuvate võrkudega ja suurest arvust IXPdest.

  • Starlinki liiklus Ukrainas kasvas märtsi keskpaigast kuni mai keskpaigani üle 500% ja jätkas kasvu mai keskpaigast kuni novembri keskpaigani, kasvades selle kuue kuu jooksul peaaegu 300%. Kogu ajavahemikul märtsi keskpaigast (kaks nädalat pärast selle kättesaadavaks tegemist) kuni detsembri keskpaigani oli kasv üle 1600%, langedes pärast seda veidi.

Interneti muutused ja häired

Interneti-šokk pärast 24. veebruari 2022

Ukrainas vähenes inimeste internetiliiklus 24. veebruarile järgnenud nädalatel koguni 33%. Järgmine graafik näitab Cloudflare'i vaatenurka igapäevase liikluse kohta (päringute arvu järgi).

Järgnevate kuude jooksul taastusid internetiliikluse tasemed, sealhulgas suur kasv septembris ja oktoobris, kui paljud Ukraina pagulased naasid riiki. Siiski esines ka üleriigilisi katkestusi, peamiselt pärast oktoobrit, mida käsitletakse allpool.

14% kogu Ukrainast (sealhulgas Krimmist ja teistest okupeeritud piirkondadest) lähtuvast liiklusest oli võimalikuks rünnakuks, samas kui 10% kogu Ukrainasse suunduvast liiklusest oli viimase 12 kuu jooksul võimalikuks rünnakuks.

Enne 24. veebruari 2022 saavutas Ukraina tüüpiline internetiliiklus argipäeviti algselt tipptaseme pärast lõunat, umbes kell 15:00 kohaliku aja järgi, langes 17:00 ja 18:00 vahel (kooskõlas inimeste töölt lahkumisega) ning saavutas päeva suurima tipptaseme umbes kell 21:00 (tõenäoliselt pärast õhtusööki mobiiliside ja voogedastuse puhul).

Pärast sissetungi algust täheldasime päeva jooksul vähem varieeruvust, mis on selge muutus tavapärases mustris, arvestades teatatud häireid ja "väljarännet" riigist. Esimestel päevadel pärast sissetungi algust oli liikluskoormuse tipptase umbes kell 19:00, mil paljud linnades, näiteks Kiievis, veetsid ööd improviseeritud maa-alustes punkrites. Märtsi lõpuks oli 21:00 tipptase taastunud, kuid varajane õhtune liikluse langus ei taastunud enne maid.

Kui vaadata Ukraina internetipäringuid liikluse liikide kaupa alloleval graafikul (alates 10. veebruarist 2022 kuni veebruarini 2023), siis näeme, et kuigi nii mobiil- kui ka lauaarvutite liiklus langes pärast sissetungi, on mobiilseadmete päringute maht jäänud viimase aasta jooksul suuremaks. Enne sõda moodustasid mobiilseadmed umbes 53% liiklusest, kuid sissetungi esimestel nädalatel kasvas see ligikaudu 60%ni. Aprilli lõpuks oli see langenud tagasi sõjaeelsele tasemele, langedes tagasi umbes 54%-ni liikluse osakaalust. Samuti on märgatav detsembrikuu langus/väljalangemine, mida käsitleme allpool.

Ukrainas liiguvad miljonid idast läände

Invasioon tõi kaasa rünnakuid ja infrastruktuuri rikkeid mitmes linnas, kuid algusaegadel ei olnud sihtmärgiks riigi energiainfrastruktuur, nagu see oli oktoobris 2022. Sõja esimestel nädalatel olid internetiliikluse muutused suures osas tingitud konfliktitsoonist koos peredega evakueeruvatest inimestest. Esimese kolme kuu jooksul lahkus riigist üle kaheksa miljoni ukrainlase ja palju rohkem inimesi kolis riigisiseselt turvalisematesse linnadesse, kuigi paljud pöördusid 2022. aasta suvel tagasi. Internet mängis selle pagulaskriisi ajal kriitilist rolli, toetades muu hulgas kommunikatsiooni ja juurdepääsu reaalajas saadavale teabele, mis võis päästa elusid, ning teenuseid pakkuvatele rakendustele.

Samuti suurenes liiklus Ukraina lääneosas, näiteks Lvivis (mis on konfliktipiirkondadest kaugemal), ja vähenes idas, näiteks Harkivis, kuhu saabus Vene sõjavägi ja kus rünnakud olid pidevaks ohuks. Alljärgneval joonisel on näha, kuidas muutus internetiliiklus Ukrainas sõja algusele järgnenud nädalal (tumedam roosa värvus tähistab liikluse vähenemist - kuni 60% -, tumedam roheline värvus aga internetiliikluse suurenemist - kuni 50%).

Source: https://datawrapper.dwcdn.net/dsUSJ/2/

Suurimad Interneti-liikluse vähenemised Ukrainas sõja esimestel päevadel olid idas Harkivi oblastis ja põhjas Tšernihivis, kus mõlema puhul oli langus 60%, ning seejärel Kiievi oblastis, kus liiklus oli 2. märtsil 2022 võrreldes 23. veebruariga 40% väiksem.

Lääne-Ukrainas kasvas liiklus hüppeliselt. Kõige suurema täheldatud liikluse kasvuga piirkonnad olid Rivne (50%), Volõõnia (30%), Lviv (28%), Tšernivtsi (25%) ja Zakarpatsija (15%).

Linnade tasandil annab Ukraina internetiliikluse analüüs meile mõningase ülevaate interneti kasutamisest ja internetiühenduse kättesaadavusest neil esimestel nädalatel, kusjuures märkimisväärsed katkestused esinesid kohtades, kus toimus otsene konflikt või mis olid juba Vene sõdurite poolt okupeeritud.

Kiievist põhja pool asuvas Tšernõiivi linnas vähenes liiklus oluliselt sõja esimesel nädalal ja märtsikuu keskpaigaks oli liikluse jäägid ning liiklus elavnes alles pärast venelaste taandumist aprilli alguses.

Pealinnas Kiievis on kohe pärast sõja algust ilmnenud selged häired internetiliikluses, mis võivad olla põhjustatud inimeste lahkumisest, rünnakutest ja maa-aluste varjendite kasutamisest.

Kiievi lähistel täheldasime märtsi alguses selget katkestust Buchas. Pärast 1. aprilli, kui venelased taganesid, hakkas internetiliiklus taastuma paar nädalat hiljem.

Irpinis, mis asub Kiievi lähistel, Hostomeli lennujaama ja Bucha lähedal, täheldati Buchaga sarnast katkestuste mustrit. Liiklus hakkas selgemalt taastuma alles mai lõpus.

Idas, Harkovi linnas, vähenes liiklus 3. märtsil 50%, samasugune stsenaarium ei olnud kaugel ka Sumõs. Häired olid seotud inimeste lahkumisega ja ka elektrikatkestustega, mis mõjutasid mõningaid võrke.

Teistes Lõuna-Ukraina linnades, nagu Berdjansk, oli elektrikatkestusi. See graafik näitab Enerhodari, väikelinna, kus asub Euroopa suurim tuumaelektrijaam, Zaporižja tuumajaam, jääkliiklust võrreldes varasemaga.

Ukraina lõunaosas asuvates linnades esinesid selged Interneti-häired. Venelased piirasid 24. veebruaril Mariupoli. Energiainfrastruktuuri streigid ja sulgemised mõjutasid kohalikke võrke ja internetiliiklust, mis langes 1. märtsiks minimaalsele tasemele. Hinnanguliselt hävitati 95% linna hoonetest ja mai keskpaigaks oli linn täielikult Venemaa kontrolli all. Kuigi aprilli lõpuks oli liiklus veidi suurenenud, ulatus see vaid ~22%-ni sellest, mis oli enne sõja algust.

Ukraina Interneti-teenuse pakkujaid või nende kasutatavaid autonoomseid süsteeme (ASN) vaadeldes täheldasime sõja esimestel kuudel teatavates piirkondades rohkem kohalikke häireid, kuid taastumine oli tavaliselt kiire. AS6849 (Ukrtel) koges märtsi keskel probleeme väga lühiajaliste katkestustega. AS13188 (Triolan), mis teenindab Kiievit, Tšernihivi ja Harkivi, oli teine teenusepakkuja, kellel esines probleeme (nad teatasid küberrünnakust 9. märtsil), nagu võib täheldada järgmisel graafikul:

Me ei täheldanud Ukraina peamise Interneti-teenusepakkuja AS15895 (Kyivstar) selget riiklikku katkestust enne oktoobris-novembris toimunud rünnakuid energiainfrastruktuurile, mis näitab ka Ukraina võrkude varajast vastupidavust.

Ukraina vastupealetung ja selle mõju internetile

Kuna Venemaa väed taganesid Ukraina põhjarindelt, siis nihutasid nad pärast aprilli lõppu oma jõupingutused idas (Donbassi lahing) ja lõunas (Hersoni piirkonna okupeerimine). See tõi kaasa Interneti-häireid ja liikluse nihkeid, mida käsitletakse üksikasjalikumalt alljärgnevas osas. Siiski oli Interneti-liiklus Hersoni piirkonnas katkendlik ja sisaldas katkestusi pärast maid, arvestades võitlust Interneti kontrolli eest. Juunikuu uudistest selgus, et internetiteenuse pakkujate töötajad kahjustasid oma seadmeid, et nurjata Venemaa püüdlusi Ukraina interneti kontrollimiseks.

Enne septembri Ukraina vastupealetungi toimus suvel veel üks näide sõja mõjust ühe linna internetiliiklusele, kui Venemaa väed hõivasid juuli alguses Ida-Ukrainas asuva Lysychanski pärast seda, mis sai tuntuks kui Lysychanski lahing. Internetiliiklus Lysychanskis vähenes pärast sõja algust selgelt. See langus jätkub pärast aprilli toimunud intensiivsete lahingute ajal, mille tõttu lahkus enamik linna elanikest. Maiks oli liiklus peaaegu jääk (mai keskel mõne päeva lühiajalise tõusuga).

Septembri alguses algas Ukraina vastupealetung idas, kuigi meedia teatas esialgu, et lõunapoolne pealetung Hersoni oblastis oli "pettus". Hersoni pealetung sai teoks alles oktoobri lõpus ja novembri alguses. Ukraina suutis septembris tagasi vallutada üle 500 asula ja 12 000 ruutkilomeetrit territooriumi Harkovi piirkonnas. Sel ajal oli mitmes neist asulates internetiühendus välja lülitatud.

Vastuseks Ukraina edukale vastupealetungile põhjustasid Venemaa õhurünnakud piirkonnas elektrikatkestusi ja internetikatkestusi. Nii oli see Harkovis 11., 12. ja 13. septembril. Alljärgneval joonisel on näidatud 12-tunnine peaaegu täielik katkestus 11. septembril, millele järgnesid veel kaks perioodi, mil liiklus vähenes.

Kui saabuvad tuumainspektorid, siis ka internetikatkestused

Ka Zaporižžja piirkonnas oli elektrikatkestusi. 1. septembril 2022, päeval, mil Rahvusvahelise Aatomienergiaagentuuri (IAEA) inspektorid saabusid Venemaa kontrolli all olevasse In Zaporižžja tuumaelektrijaama Enerhodaris, esinesid internetikatkestused kahes kohalikus ASNis, mis teenindavad seda piirkonda: AS199560 (Engrup) ja AS197002 (OOO Tenor). Need katkestused kestsid kuni 10. septembrini, nagu on näidatud alljärgnevatel graafikutel.

Enerhodari linnas, kus asub tuumaelektrijaam, oli pärast 6. septembrit neljapäevane elektrikatkestus.

Septembri keskel vähenes liiklus Krimmis

Septembri keskel, pärast Ukraina vastupealetungi, tekkis küsimus, millal Ukraina väed võivad Krimmi sihtmärgiks võtta, kusjuures uudisteadete kohaselt toimus 13. septembri paiku Krimmi venelaste evakueerimine. Nägime sel teisipäeval võrreldes eelmise päevaga selget liikluse vähenemist, nagu on näha allpool esitatud Krimmi kaardil (punane on liikluse vähenemine, roheline on suurenemine).

Oktoober toob energiainfrastruktuuri rünnakuid ja üleriigilisi häireid

Nagu me nägime, algasid Venemaa õhurünnakud kriitilise tähtsusega energiainfrastruktuuri vastu septembris vastumeetmena Ukraina vasturünnakule. Järgmisel kuul, laupäeval, 8. oktoobril toimunud Krimmi silla plahvatus (kui veoauto pomm hävitas osa sillast) tõi kaasa rohkem õhurünnakuid, mis mõjutasid võrke ja internetiliiklust kogu Ukrainas.

Esmaspäeval, 10. oktoobril ärkas Ukraina üles energiainfrastruktuuri vastu suunatud õhurünnakute tõttu ning koges tõsiseid elektri- ja internetikatkestusi. Kell 07:35 UTC oli liiklus riigis eelmise nädalaga võrreldes 35% madalamal tasemel ja taastus täielikult alles rohkem kui 24 tundi hiljem. Mõju oli eriti märkimisväärne sellistes piirkondades nagu Harkiv, kus liiklus vähenes umbes 80%, ja Lviv, kus see langes umbes 60%. Allpool olev graafik näitab, kuidas uued õhurünnakud Lvivi oblastis järgmisel päeval mõjutasid internetiliiklust.

Internetiühenduses esinesid selged häired mitmes piirkonnas 17. oktoobril, aga ka 20. oktoobril, kui mitme Kiievi elektrijaama hävimise tõttu vähenes Kiievi linna internetiliiklus 25% võrreldes kahe eelneva nädalaga. See kestis 12 tundi ja sellele järgnes järgmisel päeval lühem osaline katkestus, nagu on näha allpool esitatud graafikul.

Oktoobri lõpus hävis Ukraina ametnike sõnul 30% Ukraina elektrijaamadest. Selle hävitamise tõttu iseenda poolt kehtestatud elektrienergia piirangud põhjustasid Interneti-liikluse vähenemise, mida täheldati näiteks Kiievis ja seda ümbritsevas piirkonnas.

Mitmenädalase Interneti-katkestuse algust Hersoni oblastis võib näha alloleval graafikul, mis näitab ~70% väiksemat liiklust kui eelnevatel nädalatel. Katkestus algas laupäeval, 22. oktoobril, kui ukrainlased Hersoni oblastis võimutsesid.

Liiklus hakkas taastuma pärast seda, kui Ukraina väed võtsid 11. novembril 2022 Hersoni linna. Allpool olev graafik näitab nädala võrdlust Hersoni oblastis 7. novembri, 28. novembri ja 19. detsembri nädalatel, et graafikus paremini visualiseerida, näidates samal ajal arengut seitsmenädalase perioodi jooksul.

Käimasolevad streigid ja Interneti-häired

Kogu ülejäänud aasta ja kuni 2023. aastani on Ukrainas jätkuvalt olnud aeg-ajalt Interneti-ühenduse häireid. 23. novembril 2022 esinesid riigis pärast Venemaa streike ulatuslikud elektrikatkestused, mis põhjustasid Ukrainas peaaegu 50%-lise internetiliikluse vähenemise. See katkestus kestis peaaegu poolteist päeva, rõhutades veelgi konflikti jätkuvat mõju Ukraina infrastruktuurile.

Kuigi pärast novembri lõpu seisakut toimus taastumine, tundus liiklus vaid mõned päevad hiljem olevat normaalsele tasemele lähemal. Allpool on esitatud graafik Ukraina internetiliikluse arengust nädalate lõikes nii riiklikul kui ka kohalikul tasandil sel ajal:

Kiievi piirkonnas:

Odessa piirkonnas:

Ja Harkov (kus 16. detsembri katkestus on samuti selge - rohelisel joonel):

16. detsembril toimus järjekordne riigi tasandil Interneti-ühenduse katkestus, mille põhjustasid õhurünnakud, mis olid suunatud energiainfrastruktuuri vastu. Riigi tasandil vähenes liiklus eelmise nädalaga võrreldes koguni 13%, kuid Ukraina võrke mõjutas see veelgi rohkem. AS13188 (Triolan) liikluse vähenemine oli 70% ja AS15895 (Kyivstar) 40%, mõlemad on näidatud allpool esitatud joonistel.

Jaanuaris 2023 põhjustasid õhurünnakud täiendavaid Interneti-häireid. Üks selline hiljutine sündmus oli Odessas, kus 18-tunnise katkestuse ajal langes liiklus võrreldes eelmise nädalaga koguni 54%.

Ülemaailmse mõjuga kübersõda

"Kilbid üles" küberrünnakute vastu

USA valitsus ja FBI hoiatasid märtsis kõiki kodanikke, ettevõtteid ja organisatsioone riigis, samuti liitlasi ja partnereid, et nad oleksid teadlikud vajadusest "suurendada küberturvalisust". USA küberturbe- ja infrastruktuuriturbeamet (CISA) käivitas algatuse "Shields Up", märkides, et "Venemaa sissetung Ukrainasse võib mõjutada organisatsioone nii piirkonnas kui ka väljaspool seda". Hoiatusi esitasid muu hulgas ka Ühendkuningriik ja Jaapan.

Järgnevalt arutame veebirakenduste tulemüüri (WAF) leevendamist ja DDoS-rünnakuid. WAF aitab kaitsta veebirakendusi, filtreerides ja jälgides veebirakenduse ja Interneti vahelist HTTP-liiklust. WAF on protokolli 7. kihi kaitse (OSI mudelis) ja see ei ole mõeldud kõikide rünnakutüüpide vastu kaitsmiseks. Distributed Denial of Service (DDoS) rünnakud on küberrünnakud, mille eesmärk on lammutada Interneti-omadusi ja muuta need kasutajate jaoks kättesaamatuks.

Küberrünnakud kasvasid Ukrainas märtsi alguseks 1300% võrra

Allpool olevad graafikud põhinevad normaliseeritud andmetel ja näitavad meie WAF-i abil leevendatud ohte.

Meie WAFi poolt blokeeritud rakenduskihi tõrjutud ohud tõusid pärast sõja algust 24. veebruaril hüppeliselt. Leevendatud taotlused olid esmaspäeval, 28. veebruaril 105% suuremad kui eelneval (sõjaeelsel) esmaspäeval ning saavutasid tipptaseme 8. märtsil, jõudes 1300% kõrgemale sõjaeelsest tasemest.

Veebruarist 2022 kuni veebruarini 2023 oli keskmiselt 10% kogu Ukrainasse suunduvast liiklusest potentsiaalsete rünnakute leevendused.

Allpool olev graafik näitab igapäevast protsendimäära rakenduskihi liiklusest Ukrainasse, mida Cloudflare leevendas potentsiaalsete rünnakutena. Märtsi alguses oli 30% kogu liiklusest leevendatud. See langes aprillis ja jäi mitmeks kuuks madalaks, kuid tõusis septembri alguses Ukraina vastupealetungi ajal Ida- ja Lõuna-Ukrainas. Tipptase saavutati 29. oktoobril, kui DDoS-rünnakute liiklus moodustas 39% kogu Cloudflare'i Ukraina klientide veebisaitide liiklusest.

See suundumus on ilmsem, kui vaadata kogu liiklust tippdomeeni ".ua" saitidele (Cloudflare'i seisukohast). Allpool olevast graafikust nähtub, et 2022. aasta märtsi alguses moodustas DDoS-rünnakute liiklus üle 80% kogu liiklusest. Esimesed selged piigid esinesid 16. ja 19. veebruaril, mil umbes 25% liiklusest leevendati. Pärast sõja algust ei olnud ühtegi puhkehetke, välja arvatud novembri lõpus ja detsembris, kuid rünnakud jätkusid vahetult enne jõule. Keskmiselt 13% kogu ".ua" liiklusest oli 2022. aasta veebruarist kuni 2023. aasta veebruarini potentsiaalsete rünnakute leevendused. Järgnev graafik annab tervikliku ülevaate ".ua" saitidele suunatud DDoS-rakenduskihi rünnakutest:

Liikudes edasi tooterühmade kasutatud (.ua" saitidega seotud) leevenduste tüüpide juurde, nagu on näha järgmisel graafikul, umbes 57% tehti reeglistikuga, mis tuvastab ja leevendab automaatselt HTTP DDoS rünnakuid (DDoS Mitigation), 31% leevendati kehtestatud tulemüürireeglitega (WAF) ja 10% blokeeris päringuid meie IP-ohtude maine andmebaasi (IP Reputation) alusel (IP Reputation).

Oluline on märkida, et ülaltoodud graafikus olevad WAF-reeglid on seotud ka klientide poolt kohandatud tulemüürireeglitega, et pakkuda individuaalsemat kaitset. "DDoS Mitigation" (rakenduskihi DDoS-kaitse) ja "Access Rules" (kiiruse piiramine) kasutatakse spetsiaalselt DDoS-kaitseks.

Erinevalt käesoleva osa esimesest graafikust, kus vaadeldi Ukrainale suunatud leevendatud ründeliiklus, võime vaadata ka Ukrainast pärit leevendatud ründeliiklus. Allpool olev graafik näitab samuti, et Ukrainast pärineva leevendatud liikluse osakaal suurenes märkimisväärselt pärast sissetungi algust.

Parimad rünnatud tööstusharud: alates valitsusest kuni uudismeediani

Tööstusharud, kus WAF-i leevenduste osakaal oli suurem, olid valitsemissektor, finantsteenused ja meedia, mis moodustasid peaaegu poole kõigist Ukrainale suunatud WAF-i leevendustest 2022. aastal.

Kui vaadata DDoS-rünnakuid, siis 2022. aasta jooksul toimus Ukrainas meedia- ja kirjastusettevõtete vastu suunatud rünnakute hüppeline kasv. Ukraina ettevõtete vastu suunatud üksused näisid olevat keskendunud teabega seotud veebisaitidele. Viis enim rünnatud tööstusharu Ukrainas 2022. aasta esimeses kahes kvartalis olid kõik ringhäälingu-, interneti-, online-meedia- ja kirjastustegevuses, mis moodustasid peaaegu 80% kõigist Ukrainale suunatud DDoS-rünnakutest.

Järgmised kaks graafikut annavad ülevaate leevendatud rakenduskihi rünnakutest ".ua" saitide tüübi järgi, mida oleme aidanud kaitsta, et vaadata täpsemalt, milliseid veebisaite Cloudflare on kogu sõja jooksul kaitsnud. Sõja esimestel päevadel täheldati leevenduspiike uudisteenuse, telekanali, valitsuse veebisaidi ja panga puhul.

Juulikuus täheldati ka teist tüüpi ".ua" veebisaitide, sealhulgas toidu kohaletoimetamise, e-kaubanduse, autovaruosade, uudiste ja valitsuse veebisaitide puhul piigid.

Hiljuti, veebruaris 2023, olid leevenduste piigid mõnevõrra sarnased sellega, mida nägime aasta tagasi, sealhulgas elektroonika, e-kaubanduse, IT ja hariduse veebisaitide puhul.

12,6% võrgukihi liiklusest oli DDoS-aktiivsus I kvartalis 2022

Võrgukihi (3. ja 4. kihi) liiklust on raskem seostada konkreetse domeeni või sihtmärgiga, sest IP-aadressid jagunevad erinevate klientide vahel. Vaadates meie Kiievi andmekeskust tabavat DDoS-liiklust võrgutasandil, nägime märtsi alguses DDoS-liikluse tippu, mis oli suurem kui enne sõda, kuid juunis ja augustis oli see palju suurem.

Meie 2022. aasta esimese kvartali DDoS-raportis märkisime ka, et 12,6% Ukraina liiklusest oli DDoS-tegevus, võrreldes 1%-ga eelmises kvartalis, mis tähendab 1160% kasvu kvartaliga võrreldes.Mitmed meie 2022. aasta kvartali DDoS-aruanded sisaldavad Ukraina sõjaga seotud rünnakute suundumusi koos kvartalite vaheliste interaktiivsete võrdlustega.

Võrgu ümbersuunamine Hersonis

24. veebruaril 2022 tungisid Vene väed Ukraina Hersoni oblastisse. Hersoni linn vallutati 2. märtsil, olles esimene suurem linn ja ainus piirkondlik pealinn, mille Vene väed esialgse sissetungi käigus vallutasid. Venemaa okupatsioon Hersoni oblastis kestis kuni Ukraina väed võtsid 11. novembril taas kontrolli alla pärast augustikuu lõpus toimunud vastupealetungi alustamist.

4. mail 2022 avaldasime blogipostituse " Internetiühenduse muutuste jälgimine Hersonis, Ukrainas", mis käsitles ümberjuhtimise sündmust, mis mõjutas Hersoni oblastis asuvat telekommunikatsiooniteenuse pakkujat AS47598 (Khersontelecom). Järgnevalt teeme kokkuvõtte sellest sündmusest ja uurime sarnast tegevust teiste Hersoni teenusepakkujate puhul, mis on sellest ajast alates toimunud.

1. mail 2022 täheldasime Ukraina võrgu AS47598 (Kherson.Telecom) poolt teatatud IPv4-eesliite marsruutimise muutust. Aprilli jooksul jõudis see internetti mitme teise Ukraina võrguteenuse osutaja, sealhulgas AS12883 (Vega Telecom) ja AS3326 (Datagroup) kaudu. Kuid pärast üleminekut näitas selle marsruutimise tee nüüd Venemaa võrku, AS201776 (Miranda-Media), kui ainukest ülesvoolu teenusepakkujat. Kuna KhersonTelecomi liiklus läbis Venemaa võrku, kehtisid selle suhtes piirangud ja piirangud, mis on kehtestatud igasugusele Venemaa võrku läbivale liiklusele, sealhulgas sisufiltreerimine.

Liiklusvool Hersonist. Telecom enne ja pärast 1. maid, koos ümbersuunamisega Venemaa võrguteenuse osutaja Miranda-Media kaudu, on näidatud alljärgneval joonisel. See konkreetne marsruutimisjuhtum oli lühiajaline, sest 4. mail uuendati marsruutimist AS47598 jaoks, misjärel jõudis see taas teiste Ukraina teenusepakkujate kaudu internetti.

Meie analüüsi aluseks oli 15 autonoomse süsteemi numbri (ASN) nimekiri, mis kuulub Hersoni oblastis asuvatele võrkudele. Seda nimekirja kasutades analüüsisime route-views2 abil kogutud marsruutimisandmeid viimase aasta jooksul, alates 1. veebruarist 2022 kuni 15. veebruarini 2023. Route views2 on BGP marsruudikoguja, mida haldab Oregoni Ülikooli Route Views Project. Pange tähele, et käesolevas ja järgmises osas toimuvate ASNide arutelude puhul käsitleme neid võrdselt ja ei ole neis analüüsides konkreetselt arvestanud hinnangulist kasutajate arvu.

Alljärgnev joonis illustreerib selle analüüsi tulemust, mis näitab, et Hersoni võrguteenuse osutajate (loetletud y-teljel) ümbersuunamine Venemaa eelnevate võrkude kaudu oli üsna laialt levinud ja mõne võrgu puhul on see jätkunud kuni aastani 2023. Analüüsi ajal oli kolm peamist Venemaa võrku, mis ilmusid ülesvoolu teenusepakkujatena: AS201776 (Miranda-Media), AS52091 (Level-MSK Ltd.) ja AS8492 (OBIT Ltd.).

Graafiku mustad tulbad tähistavad ajavahemikke, mil ASN tegelikult internetist kadus; valged segmendid näitavad, et ASN sõltus teistest Ukraina võrkudest kui vahetutest ülesvoolu pakkujatest; ja punane tähistab Venemaa võrkude olemasolu ülesvoolu pakkujate hulgas. Punase varjutuse intensiivsus vastab nende teatatud eesliidete protsendile, mille marsruutimisrajal on väljaspool Ukrainat asuvatest võrkudest täheldatud Venemaa võrguteenuse osutaja. Helepunane varjutamine, mis vastab legendis "1", näitab, et Venemaa teenusepakkuja on olemas kõigis teatatud eesliidete marsruutimisradades.

Eespool lingitud blogipostituses viitame 30. aprillil alanud katkestusele. See on joonisel selgelt näha musta ribana, mis kestab mitu päeva kõigis loetletud ASNides. Antud juhul taastus AS47598 (Kherson.Telecom) päev hiljem, kuid saatis liiklust läbi AS201776 (Miranda-Media), mis on Venemaa teenusepakkuja, nagu eespool kirjeldatud.

Teine Ukraina võrk, AS49168 (Brok-X), taastus katkestusest 2. mail ja saatis samuti liiklust Miranda-Media kaudu. Enamik teisi Hersoni võrke oli 4. maiks katkestusest taastunud ning nii AS47598 kui ka AS49168 kasutasid taas Ukraina võrke otseste eelkasutajatena. Marsruutimine jäi "normaalseks" kuni 30. maini. Seejärel algas ulatuslikum üleminek liikluse suunamisele Venemaa teenusepakkujate kaudu, kuigi tundub, et sellele üleminekule eelnes lühiajaline katkestus mõne võrgu puhul. Enamasti kestis see ümberorienteerumine kogu suve ja oktoobrini. Mõnedes võrkudes esines lühiajaline katkestus 17. oktoobril, kuid enamik võrke lõpetas 22. oktoobriks otse Venemaa kaudu suunamise.

Sellele Venemaalt eemaldumisele järgnesid siiski pikemaajalised katkestused. Kherson.Telecom kannatas sellise katkestuse all ja on alates oktoobrist olnud võrguühenduseta, välja arvatud novembri esimesel nädalal, mil kogu liiklus suunati läbi Venemaa. Paljud teised võrgud läksid detsembri alguses uuesti internetti, tuginedes internetiühenduse saamiseks peamiselt teistele Ukraina teenusepakkujatele. Kuid alates detsembri algusest on AS204485 (PE Berislav Cable Television), AS56359 (CHP Melnikov Roman Sergeevich) ja AS49465 (Teleradiocompany RubinTelecom Ltd.) jätkanud Miranda-Media kui ülesvoolu teenusepakkuja kasutamist, lisaks on neil olnud mitu lühiajalist katkestust. Lisaks on AS25082 (Viner Telecom) viimase paari kuu jooksul kasutanud nii Ukraina võrku kui ka Miranda-Media't ülesvoolu teenusepakkujana.

Interneti vastupanuvõime Ukrainas

Interneti kontekstis viitab "vastupidavus" võrgu võimele toimida pidevalt viisil, mis on väga vastupidav häiretele. See hõlmab võrgu võimet: (1) töötada kahjustuste korral halvenenud režiimis, (2) kiiresti taastuda, kui esineb rike, ja (3) laieneda, et rahuldada kiireid või ettearvamatuid nõudmisi. Kogu Venemaa-Ukraina konflikti ajal on meediakajastused (VICE, Bloomberg, Washington Post) rõhutanud Ukrainas tehtud tööd kahjustatud kiudoptiliste kaablite ja mobiilsidevõrgu infrastruktuuri parandamiseks, et hoida riik võrgus. See töö on olnud Ukraina Interneti-infrastruktuuri vastupidavuse säilitamiseks äärmiselt oluline.

PeeringDB andmetel on 2023. aasta veebruari seisuga Ukrainas 25 internetivahetuspunkti (IXP) ja 50 ühenduspunkti. (IXP võib hõlmata mitut füüsilist rajatist.) IXPde hulgas on praegu enam kui pooltes neist üle poole rahvusvahelistele teenusepakkujatele kuuluvad autonoomsed süsteemid (ASid). Ukrainas asuvate rajatiste, IXPde ja rahvusvaheliste kõrvalsüsteemide arv viitab paindlikule võrkudevahelise ühendamise struktuurile, kus nii riigisisesed kui ka rahvusvahelised teenusepakkujad saavad liiklust vahetada mitmes kohas.

Nende rahvusvaheliste ühenduste paremaks mõistmiseks analüüsime kõigepealt Ukraina kõrvalsüsteemide ühenduvust ning liigitame ühendused riigisisesteks võrkudeks (ühendused, kus mõlemad kõrvalsüsteemid on registreeritud Ukrainas) ja rahvusvahelisteks võrkudeks (ühendused Ukraina kõrvalsüsteemide ja väljaspool Ukrainat asuvate kõrvalsüsteemide vahel). Selleks, et teha kindlaks, millised kõrvalsüsteemid on Ukrainas riigisisesed, saame kasutada teavet, mis pärineb Ukrainat hõlmava piirkondliku internetiregistri Réseaux IP Européens Network Coordination Centre (RIPE NCC) laiendatud delegatsiooniaruannetest. Samuti analüüsisime kogutud BGP-andmeid, et eraldada Ukraina kõrvalsüsteemide ja teises riigis registreeritud kõrvalsüsteemide vahelised AS-tasandi lingid, ning loeme neid kodumaiste kõrvalsüsteemide rahvusvaheliseks ühenduvuseks.

Märtsis 2022 ilmunud The Economist'i artiklis märgiti, et "Ukrainas on ebatavaliselt palju internetiteenuste pakkujaid - ühe hinnangu kohaselt on Ukraina maailma neljandaks vähim koondunud internetiturg. See tähendab, et võrgus on vähe lämmatuskohti, mistõttu on seda raske välja lülitada." Selle blogipostituse kirjutamise ajal on Ukrainas registreeritud 2190 ASi (UA ASid) ja neist 1574 ASi on BGP marsruutimistabelis aktiivsed. Need arvud toetavad artikli iseloomustust ning allpool arutame mitmeid täiendavaid tähelepanekuid, mis tugevdavad Ukraina Interneti vastupidavust.

Ülaltoodud joonisel on kumulatiivne jaotusfunktsioon, mis näitab Ukraina riigisiseste kõrvalsüsteemide osakaalu, millel on otsene ühendus rahvusvaheliste võrkudega. Veebruaris 2023 oli umbes 50%-l rohkem kui üks (100) rahvusvaheline ühendus, umbes 10%-l rohkem kui 10 ja umbes 2%-l 100 või rohkem. Kuigi need arvud on viimase aasta jooksul veidi langenud, rõhutavad nad Ukraina interneti tsentraalsete lämmatuskohtade puudumist.

Rahvusvahelise ühendusega võrkude puhul võime vaadata ka "järgmise hüppeliigutuse" riikide - riikide, millega need rahvusvahelised võrgud on seotud - jaotust. (Pange tähele, et mõnedel võrkudel võib olla ülemaailmne jalajälg ja nende puhul on seotud riik see, mis on registreeritud nende autonoomse süsteemi registreerimisel). Alljärgnevate korroptikaartide võrdlemine näitab, kuidas see riikide kogum ja nende osakaal rahvusvahelistes liinides on muutunud 2022. aasta veebruari ja 2023. aasta veebruari vahelisel ajal. Nende kaartide aluseks olevatest andmetest nähtub, et rahvusvaheline ühenduvus Ukrainast jaguneb 18 riigi vahel - üllatuslikult enamasti Euroopas.

Veebruaris 2022 moodustasid need riigid/asukohad 77% Ukraina järgmise vahemaandumisega rahvusvahelistest marsruutidest. Neli esimest olid igaüks 7,8%. Veebruaris 2023 langes aga 10 suurima edasiliikumise riigi/asukoha osakaal veidi, 76%ni rahvusvahelistest marsruutidest. Kuigi see on vaid väike muutus võrreldes eelmise aastaga, on riikide/paikade ja paljude nende osakaalude osas toimunud märkimisväärne muutus.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-baqh{text-align:center;vertical-align:top} .tg .tg-xt05{background-color:#D9D9D9;text-align:left;vertical-align:top} .tg .tg-xqm4{background-color:#D9D9D9;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Venemaa osakaal suurenes aastaga 50% võrra 11,6%ni, mis andis talle suurima osakaalu järgmise hüppe kõrvalsüsteemide seas. Saksamaa osakaal kasvas samuti, moodustades enam kui 11% marsruutidest.

February 2022 February 2023
1 Germany 7.85% Russia 11.62%
2 Netherlands 7.85% Germany 11.43%
3 United Kingdom 7.83% Hong Kong 8.38%
4 Hong Kong 7.81% Poland 7.93%
5 Sweden 7.77% Italy 7.75%
6 Romania 7.72% Turkey 6.86%
7 Russia 7.67% Bulgaria 6.20%
8 Italy 7.64% Netherlands 5.31%
9 Poland 7.60% United Kingdom 5.30%
10 Hungary 7.54% Sweden 5.26%

Satelliitside Interneti-ühendus

Cloudflare täheldas Starlinki ASN (AS14593) liikluse kiiret kasvu Ukrainasse 2022. aastal ja 2023. aastal. Märtsi keskpaigast kuni mai keskpaigani kasvas Starlinki liiklus riigis üle 530% ja jätkas kasvu alates mai keskpaigast kuni novembri keskpaigani, kasvades selle kuue kuu jooksul peaaegu 300% - märtsi keskpaigast kuni detsembri keskpaigani oli kasvuprotsent üle 1600%. Pärast seda liiklus stabiliseerus ja 2023. aasta jaanuaris isegi veidi vähenes.

Meie andmed näitavad, et 2022. aasta novembrist detsembrini moodustas Starlink 0,22% kuni 0,3% Ukraina liiklusest, kuid see arv on nüüd alla 0,2%.

Kokkuvõte

Aasta pärast sõda Ukrainas on võtnud kujuteldamatult suuri humanitaarseid tagajärgi. Ka Ukraina internet on muutunud lahinguväljaks, kus on toimunud rünnakuid, ümberpaigutusi ja häireid. Siiski on see osutunud erakordselt vastupidavaks, taastudes korduvalt igast tagasilöögist.

Me teame, et vajadus turvalise ja usaldusväärse interneti järele on seal tähtsam kui kunagi varem. Cloudflare'i eesmärk on jätkuvalt pakkuda vahendeid, mis kaitsevad internetiteenuseid küberrünnakute eest, parandavad piirkonnas tegutsevate isikute turvalisust ning jagavad teavet internetiühenduse ja marsruutimise kohta Ukrainas.

Veebruar 2022

Veebruar 2023

1

Saksamaa

7.85%

Venemaa

11.62%

2

Madalmaad

7.85%

Saksamaa

11.43%

3

Ühendkuningriik

7.83%

Hong Kongi

8.38%

4

Hong Kongi

7.81%

Poola

7.93%

5

Rootsi

7.77%

Itaalia

7.75%

6

Rumeenia

7.72%

Türgi

6.86%

7

Venemaa

7.67%

Bulgaaria

6.20%

8

Itaalia

7.64%

Madalmaad

5.31%

9

Poola

7.60%

Ühendkuningriik

5.30%

10

Ungari

7.54%

Rootsi

5.26%

Kaitseme terveid ettevõtete võrke, aitame klientidel luua tõhusalt interneti mastaabis rakendusi, kiirendada ükskõik millist veebilehte või veebirakendust, tõkestame DDoS-i ründeid, hoiame häkkerid eemal ja võime olla abiks teie Zero Trusti teekonnal.

Avage 1.1.1.1 ükskõik millisest seadmest, et teha algust meie tasuta rakendusega, mis teeb teie interneti kiiremaks ja turvalisemaks.

Lisateavet meie missiooni kohta aidata luua parem Internet, leiate siit. Kui otsite uut karjäärisuunda, vaadake meie avatud ametikohti.
Cloudflare RadarUkraineOutageProject GalileoTrendsRussia

Jälgi X-is

João Tomé|@emot
David Belson|@dbelson
Kristin Berdan|@kjberdan
Cloudflare|@cloudflare

Seotud postitused

02. oktoober 2024, kell 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

27. september 2024, kell 13:00

Network trends and natural language: Cloudflare Radar’s new Data Explorer & AI Assistant

The Cloudflare Radar Data Explorer provides a simple Web-based interface to build more complex API queries, including comparisons and filters, and visualize the results. The accompanying AI Assistant translates a user’s natural language statements or questions into the appropriate Radar API calls....

23. september 2024, kell 13:00

Network performance update: Birthday Week 2024

Since June 2021, we’ve been measuring and ranking our network performance against the top global networks in the world. We use this data to improve our performance, and to share the results of those initiatives. In this post, we’re going to share with you how network performance has changed since our last post in March 2024, and discuss the tools and processes we are using to assess network performance. ...