Prenumeruokite ir gaukite pranešimus apie naujus įrašus:

Karo metai Ukrainoje: Interneto tendencijos, išpuoliai ir atsparumas

2023-02-23

22 min. skaitymo trukmė

Internetas tapo svarbiu geopolitinių konfliktų, pavyzdžiui, vykstančio karo Ukrainoje, veiksniu. Rytoj sukanka vieneri metai nuo Rusijos invazijos į šią šalį. Šiame pranešime apžvelgiami interneto statistiniai duomenys ir aptariama, kaip Ukrainos internetas išliko atsparus nepaisant dešimčių sutrikimų per tris skirtingus konflikto etapus.

Pagrindinės išvados:

  • Ukrainoje interneto srautas aiškiai persikėlė iš rytų į vakarus, nes ukrainiečiai bėgo nuo karo, o po 2022 m. vasario 24 d. visoje šalyje interneto srautas sumažėjo 33 %.
  • Spalio mėn. prasidėję oro antskrydžiai prieš energetikos infrastruktūrą sukėlė plataus masto interneto sutrikimus, kurie tęsis ir 2023 m.
  • Taikomųjų programų lygmens kibernetinių atakų skaičius Ukrainoje 2022 m. kovo pradžioje, palyginti su prieš karą buvusiu lygiu, išaugo 1300 %.
  • Nuo atakų Ukrainoje labiausiai nukentėjo vyriausybinės agentūros, finansų įstaigos ir žiniasklaida.
  • Nuo birželio iki spalio mėn. srautas iš kelių Chersono tinklų buvo nukreiptas per Rusiją, todėl srautui buvo taikomi Rusijos apribojimai, įskaitant turinio filtravimą. Net ir nustojus srautą nukreipti per Rusiją, šių Ukrainos tinklų veikla buvo labai sutrikdyta bent jau iki metų pabaigos, o du tinklai vis dar neveikia.
  • Dėl pastangų vietoje taisyti pažeistą šviesolaidį ir atkurti elektros energijos tiekimą Ukrainos tinklai išlieka atsparūs tiek infrastruktūros, tiek maršruto parinkimo požiūriu. Tai iš dalies lemia platus Ukrainos ryšys su tinklais už šalies ribų ir didelis IXP skaičius.
  • Nuo kovo vidurio iki gegužės vidurio "Starlink" srautas Ukrainoje išaugo daugiau nei 500 %, o nuo gegužės vidurio iki lapkričio vidurio toliau augo ir per šiuos šešis mėnesius padidėjo beveik 300 %. Nuo kovo vidurio (praėjus dviem savaitėms po to, kai tapo prieinamas) iki gruodžio vidurio jis išaugo daugiau kaip 1600 %, o po to šiek tiek sumažėjo.

Interneto pokyčiai ir trikdžiai

Interneto šokas po 2022 m. vasario 24 d.

Ukrainoje žmonių interneto srautas per kelias savaites po vasario 24 d. sumažėjo 33 %. Toliau pateiktoje diagramoje parodytas dienos srautas (pagal užklausų skaičių) iš "Cloudflare" perspektyvos.

Per kitus kelis mėnesius interneto srautas atsigavo, o rugsėjį ir spalį, kai į šalį grįžo daug Ukrainos pabėgėlių, jis gerokai padidėjo. Tačiau visoje šalyje, daugiausia po spalio mėn., taip pat buvo sutrikimų, kurie aptariami toliau.

14 % viso srauto iš Ukrainos (įskaitant srautą iš Krymo ir kitų okupuotų teritorijų) buvo apribotas kaip galimų atakų, o 10 % viso srauto į Ukrainą per pastaruosius 12 mėnesių buvo apribotas kaip galimų atakų.

Iki 2022 m. vasario 24 d. tipinis verslo interneto srautas Ukrainoje iš pradžių būdavo didžiausias po pietų, apie 15 val. vietos laiku, sumažėdavo tarp 17 ir 18 valandos (kai žmonės išeidavo iš darbo), o didžiausią dienos piką pasiekdavo apie 21 valandą (galbūt po vakarienės, kai buvo naudojamasi mobiliuoju ryšiu ir transliacijomis).

Prasidėjus invazijai, stebėjome mažesnius svyravimus visą dieną - tai akivaizdus įprasto modelio pokytis, atsižvelgiant į pranešimus apie pažeidimus ir "išvykimą" iš šalies. Pirmosiomis dienomis po invazijos pradžios eismo intensyvumas pasiekė piką 19:00, kai daugelis naktų tokiuose miestuose kaip Kijevas buvo praleistos laikinose bombų slėptuvėse. Kovo pabaigoje 21:00 val. pikas sugrįžo, tačiau eismo sumažėjimas ankstyvą vakarą nesugrįžo iki pat gegužės mėn.

Toliau pateiktoje diagramoje (nuo 2022 m. vasario 10 d. iki 2023 m. vasario mėn.) analizuodami Ukrainos interneto užklausas pagal duomenų srauto tipą, matome, kad nors po invazijos sumažėjo srautas tiek iš mobiliųjų, tiek iš stacionariųjų įrenginių, užklausų iš mobiliųjų įrenginių apimtis per pastaruosius metus išliko didesnė. Prieškariniu laikotarpiu apie 53 % srauto buvo gaunama iš mobiliųjų įrenginių, o pirmosiomis invazijos savaitėmis šis skaičius išaugo iki maždaug 60 %. Iki balandžio pabaigos šis rodiklis grįžo į įprastą prieškario lygį ir sumažėjo iki maždaug 54 % srauto. Taip pat pastebimas gruodžio mėn. sumažėjimas / atsijungimas, kurį aptarsime toliau.

Milijonai žmonių persikėlė iš Ukrainos rytų į vakarus

Invazijos metu buvo užpulta ir sunaikinta infrastruktūra daugelyje miestų, tačiau pirmosiomis dienomis šalies energetikos infrastruktūra nebuvo atakuojama, kaip tai buvo padaryta 2022 m. spalio mėn. Pirmosiomis karo savaitėmis interneto srauto pokyčius daugiausia lėmė žmonių su šeimomis evakuacija iš konflikto zonų. Per pirmuosius tris mėnesius iš šalies pabėgo daugiau kaip aštuoni milijonai ukrainiečių, dar daugiau persikėlė į saugesnius miestus šalies viduje, nors daugelis jų grįžo 2022 m. vasarą. Per šią pabėgėlių krizę internetas atliko lemiamą vaidmenį, be kita ko, padėdamas palaikyti ryšius ir prieigą prie realiuoju laiku teikiamos gyvybiškai svarbios informacijos ir paslaugų programų.

Taip pat padidėjo interneto srautas vakarinėje Ukrainos dalyje, tokiuose regionuose kaip Lvovas (toliau nuo konflikto zonų), ir sumažėjo rytuose, tokiuose regionuose kaip Charkovas, kur atvyko Rusijos kariuomenė ir nuolat kilo išpuolių grėsmė. Toliau pateiktame paveikslėlyje parodyta, kaip pasikeitė interneto srautas Ukrainoje per savaitę nuo karo pradžios (tamsesnė rožinė spalva rodo, kad srautas sumažėjo iki 60 %, o tamsesnė žalia - kad padidėjo iki 50 %).

Source: https://datawrapper.dwcdn.net/dsUSJ/2/

Pirmosiomis karo dienomis interneto srautas Ukrainoje labiausiai sumažėjo Charkovo srityje rytuose ir Černigovo srityje šiaurėje (abiejose srityse - 60 %), po to Kijevo srityje, kur 2022 m. kovo 2 d. interneto srautas buvo 40 % mažesnis nei vasario 23 d.

Vakarų Ukrainoje eismas padidėjo. Tarp regionų, kuriuose eismo srautas padidėjo labiausiai, buvo Rivnės (50 %), Voluinės (30 %), Lvovo (28 %), Černivcių (25 %) ir Užkarpatės (15 %) regionai.

Interneto srauto Ukrainoje analizė miestų lygmeniu leidžia suprasti, kaip pirmosiomis savaitėmis buvo naudojamasi internetu ir kaip jis buvo prieinamas; pastebimi sutrikimai tose vietose, kur vyko tiesioginis konfliktas arba kurias jau buvo užėmę Rusijos kariai.

Į šiaurę nuo Kijevo esančiame Černigovo mieste pirmąją karo savaitę eismas smarkiai sumažėjo, o iki kovo vidurio išliko, ir tik balandžio pradžioje rusams atsitraukus, eismas pagyvėjo.

Kijevo mieste iš karto prasidėjus karui buvo pastebimi aiškūs interneto srauto sutrikimai, kuriuos greičiausiai sukėlė išvykstantys žmonės, išpuoliai ir naudojimasis požeminėmis slėptuvėmis.

Kovo pradžioje už Kijevo ribų, Bučoje, matėme akivaizdų gedimą. Po balandžio 1 d., kai rusai atsitraukė, interneto srautas po kelių savaičių vėl pradėjo veikti.

Irpino mieste, esančiame netoli Kijevo, netoli Gostomelio ir Bučos oro uostų, situacija klostėsi panašiai kaip ir Bučoje. Eismas pradėjo ryškiau atsigauti tik gegužės pabaigoje.

Rytuose kovo 3 d. Charkovo mieste eismas sumažėjo 50 proc., panašus scenarijus buvo stebimas ir netoli esančiame Sumų mieste. Pokyčius lėmė žmonių persikėlimas, taip pat elektros energijos tiekimo sutrikimai kai kuriuose tinkluose.

Sutriko ir kituose Ukrainos pietuose esančiuose miestuose, pavyzdžiui, Berdianske. Šioje diagramoje pavaizduotas Enerhodaras, nedidelis miestas, kuriame yra didžiausia Europoje Zaporožės atominė elektrinė, su likusiais eismo srautais, palyginti su prieškariniu lygiu.

Ukrainos pietuose esančiuose miestuose labai sutriko interneto ryšys. Vasario 24 d. rusai pradėjo Mariupolio apgultį. Išpuoliai ir energetikos infrastruktūros atjungimas paveikė vietos tinklus ir interneto srautą, kuris iki kovo 1 d. sumažėjo iki minimumo. Apytikriai 95 proc. miesto pastatų buvo sugriauti, o gegužės viduryje miestą visiškai kontroliavo Rusija. Nors iki balandžio pabaigos duomenų srautas šiek tiek padidėjo, jis siekė tik ~22 % prieškarinio lygio.

Kalbant apie Ukrainos interneto paslaugų teikėjus (IPT) arba autonomines sistemas (ASN), pirmaisiais karo mėnesiais tam tikruose regionuose pastebėta daugiau vietinių sutrikimų, tačiau beveik visada pavykdavo greitai atsigauti. AS6849 (Ukrtele) kovo viduryje patyrė labai trumpalaikių sutrikimų. AS13188 ("Triolan"), kuris aptarnauja Kijevą, Černigovą ir Charkovą, buvo dar vienas paslaugų teikėjas, susidūręs su problemomis (kovo 9 d. jis pranešė apie kibernetinę ataką), kurios matomos toliau pateiktoje diagramoje:

Iki spalio-lapkričio mėn. atakų prieš energetikos infrastruktūrą nepastebėjome akivaizdaus nacionalinio masto pagrindinio Ukrainos interneto paslaugų teikėjo AS15895 ("Kyivstar") sutrikimo, o tai taip pat rodo tam tikrą ankstyvą Ukrainos tinklų atsparumą.

Ukrainos kontrpuolimas ir jo poveikis internetui

Kai Rusijos kariai pasitraukė iš šiaurinio Ukrainos fronto, balandžio pabaigoje jie ėmėsi stiprinti pozicijas rytuose (Donbaso mūšis) ir pietuose (Chersono srities užėmimas). Dėl to sutriko interneto ryšys ir pasikeitė duomenų srautas, kurie išsamiau aptariami toliau. Tačiau interneto srautas Chersono srityje buvo nepastovus, o po gegužės mėnesio, atsižvelgiant į kovą dėl interneto kontrolės, pasitaikydavo sutrikimų. Birželio mėn. naujienų pranešimai atskleidė, kad interneto paslaugų teikėjų darbuotojai sugadino savo pačių įrangą, kad sutrukdytų Rusijos bandymams kontroliuoti Ukrainos internetą.

Prieš rugsėjo mėnesio Ukrainos kontrpuolimą dar vienas karo poveikio miestų interneto srautui pavyzdys buvo vasarą, kai liepos pradžioje Rusijos pajėgos užėmė Lysičansko miestą Rytų Ukrainoje, kuris tapo žinomas kaip Lysičansko mūšis. Prasidėjus karui interneto srautas Lysychanske akivaizdžiai sumažėjo. Šis sumažėjimas tęsėsi ir per intensyvias kovas, kurios prasidėjo balandžio mėn. ir dėl kurių dauguma miesto gyventojų pabėgo. Gegužės mėn. duomenų srautas buvo beveik išlikęs (su trumpalaikiu kelių dienų padidėjimu gegužės viduryje).

Rugsėjo pradžioje prasidėjo Ukrainos kontrpuolimas rytuose, nors iš pradžių žiniasklaida pranešė apie puolimą Chersono srities pietuose, tačiau tai buvo "apgaulingas" žingsnis. Chersono puolimas baigėsi tik spalio pabaigoje ir lapkričio pradžioje. Rugsėjį Ukrainai pavyko atgauti daugiau kaip 500 gyvenviečių ir 12 000 kvadratinių kilometrų Charkovo srities. Tuo metu keliose iš šių gyvenviečių buvo sutrikdytas interneto ryšys.

Atsakydami į sėkmingą Ukrainos kontrpuolimą, Rusijos oro antskrydžiai sukėlė elektros energijos ir interneto tiekimo sutrikimus regione. Rugsėjo 11, 12 ir 13 d. taip nutiko Charkove. Toliau pateiktame paveikslėlyje parodytas rugsėjo 11 d. beveik 12 valandų trukęs beveik visiškas interneto ryšio sutrikimas, po kurio dar du kartus sumažėjo duomenų srautas.

Kai atvyksta branduoliniai inspektoriai, nutrūksta ir interneto ryšys

Elektros energijos tiekimo sutrikimų buvo ir Zaporožės regione. 2022 m. rugsėjo 1 d., t. y. tą dieną, kai Tarptautinės atominės energijos agentūros (TATENA) inspektoriai atvyko į Rusijos kontroliuojamą Zaporožės atominę elektrinę Enerhodare, dviejose vietos ASN, aptarnaujančiose šį regioną, sutriko interneto ryšys: AS199560 ("Engrup") ir AS197002 ("Tenor Ribotos Atsakomybės Bendrovė "). Kaip parodyta toliau pateiktose diagramose, šie sutrikimai truko iki rugsėjo 10 d.

Kalbant plačiau, po rugsėjo 6 d. Enerhodaro mieste, kuriame yra atominė elektrinė, keturias dienas buvo nutrauktas elektros energijos tiekimas.

Rugsėjo viduryje eismas Kryme sumažėjo

Rugsėjo viduryje, Ukrainai pradėjus kontrpuolimą, kilo klausimų, kada Ukrainos pajėgos gali nusitaikyti į Krymą. Naujienose pasirodė pranešimų, kad apie rugsėjo 13 d. iš Krymo buvo evakuoti Rusijos gyventojai. Tą antradienį, palyginti su ankstesne diena, matėme akivaizdžiai sumažėjusį srautą, kaip matyti toliau pateiktame Krymo žemėlapyje (raudona spalva reiškia sumažėjusį srautą, žalia - padidėjusį srautą).

Spalio mėn. šalyje įvykdyti išpuoliai prieš energetikos infrastruktūrą ir nutrūko elektros energijos tiekimas.

Kaip matome, Rusijos oro antskrydžiai prieš svarbiausią energetikos infrastruktūrą prasidėjo rugsėjo mėn., atsakant į Ukrainos kontrpuolimą. Kitą mėnesį, spalio 8 d., šeštadienį, įvykus sprogimui ant Krymo tilto (kai sunkvežimyje sumontuota bomba sugriovė dalį tilto), buvo surengta daugiau oro smūgių, kurie paveikė tinklus ir interneto srautą visoje Ukrainoje.

Spalio 10 d., pirmadienį, Ukraina atsibudo nuo oro antskrydžių prieš energetikos infrastruktūrą ir patyrė didelių elektros energijos ir interneto tiekimo sutrikimų. 07:35 UTC duomenimis, duomenų srautas šalyje buvo 35 % mažesnis nei įprastai, palyginti su praėjusia savaite, ir visiškai atsistatė tik po 24 valandų. Ypač didelis poveikis buvo jaučiamas tokiuose regionuose kaip Charkovas, kur duomenų srautas sumažėjo apie 80 %, ir Lvovas, kur jis sumažėjo apie 60 %. Toliau pateiktoje diagramoje parodyta, kaip kitą dieną Lvovo regione surengti nauji oro antskrydžiai paveikė interneto srautą.

Spalio 17 d. keliuose regionuose akivaizdžiai sutriko interneto ryšys, taip pat spalio 20 d., kai dėl kelių Kijevo elektrinių sugriovimo interneto srautas iš Kijevo sumažėjo 25 %, palyginti su ankstesnėmis dviem savaitėmis. Tai truko 12 valandų, o kitą dieną įvyko trumpesnis dalinis sutrikimas, kaip parodyta toliau pateiktoje diagramoje.

Spalio pabaigoje, Ukrainos pareigūnų duomenimis, buvo sugriauta 30 proc. Ukrainos elektrinių. Dėl šio sunaikinimo savaime apribojus elektros energijos vartojimą, Kijeve ir jo apylinkėse sumažėjo interneto srautas.

Kelias savaites trukusio interneto tiekimo nutraukimo pradžią Chersono srityje galima matyti toliau pateiktoje diagramoje, kurioje matyti ~70 % mažesnis duomenų srautas nei ankstesnėmis savaitėmis. Nutrūkimas prasidėjo šeštadienį, spalio 22 d., Ukrainos kariuomenei įsitvirtinant Chersono srityje.

Eismas pradėjo atsigauti po to, kai 2022 m. lapkričio 11 d. Ukrainos pajėgos išlaisvino Chersoną. Toliau pateiktoje diagramoje, siekiant geriau vizualizuoti grafike, pateiktas lapkričio 7 d., lapkričio 28 d. ir gruodžio 19 d. Chersono regiono savaitės palyginimas, kuriame matyti pokyčiai per septynių savaičių laikotarpį.

Nuolatinės atakos, interneto ryšio pertrūkiai

Visą likusį metų laikotarpį ir 2023 m. Ukrainoje toliau buvo stebimi periodiniai interneto ryšio sutrikimai. 2022 m. lapkričio 23 d. po Rusijos smūgių šalyje įvyko masiniai elektros energijos tiekimo sutrikimai, dėl kurių interneto srautas Ukrainoje sumažėjo beveik 50 %. Šie sutrikimai truko beveik pusantros paros, taip dar labiau pabrėžiant tebesitęsiantį konflikto poveikį Ukrainos infrastruktūrai.

Nors po lapkričio pabaigoje įvykusio gedimo srautas atsigavo, prireikė kelių dienų, kad vėl pasiektų įprastą lygį. Toliau pateikiama savaitinių interneto srauto pokyčių Ukrainoje per šį laikotarpį nacionaliniu ir vietiniu lygmenimis diagrama:

Kijevo srityje:

Odesos srityje:

Taip pat Charkove (kur gruodžio 16 d. nutrūkęs elektros energijos tiekimas taip pat aiškiai matomas - žalia linija):

On December 16, there was another country-level Internet disruption caused by air strikes targeting energy infrastructure. Traffic at a national level dropped as much as 13% compared with the previous week, but Ukrainian networks were even more affected. AS13188 (Triolan) had a 70% drop in traffic, and AS15895 (Kyivstar) a 40% drop, both shown in the figures below.

In January 2023, air strikes caused additional Internet disruptions. One such recent event was in Odessa, where traffic dropped as low as 54% compared with the previous week during an 18-hour disruption.

Visuotinį poveikį darantis kibernetinis karas

«Shields Up» "Skydai aukštyn" nuo kibernetinių atakų

Kovo mėn. kelios šalys, Jungtinės Valstijos ir FTB įspėjo visus šalies piliečius, įmones ir organizacijas, taip pat sąjungininkus ir partnerius apie būtinybę "didinti kibernetinį saugumą". JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) pradėjo iniciatyvą "Shields Up", pažymėdama, kad "Rusijos įsiveržimas į Ukrainą gali paveikti organizacijas regione ir už jo ribų". Be kita ko, įspėjimus paskelbė ir Jungtinė Karalystė bei Japonija.

Toliau aptarsime žiniatinklio taikomųjų programų ugniasienės (WAF) poveikio mažinimą ir DDoS atakas. WAF padeda apsaugoti žiniatinklio programas filtruodama ir stebėdama HTTP srautą tarp žiniatinklio programos ir interneto. WAF yra 7 lygmens protokolas (pagal OSI modelį) ir nėra skirtas apsaugoti nuo visų tipų atakų. Paskirstytosios atsisakymo aptarnauti atakos (DDoS) - tai kibernetinės atakos, kuriomis siekiama sutrikdyti interneto išteklių darbą ir padaryti juos neprieinamus naudotojams.

Nuo kovo pradžios kibernetinių atakų skaičius Ukrainoje išaugo 1300% proc.

Toliau pateiktos diagramos yra pagrįstos normalizuotais duomenimis ir rodo grėsmes, kurias riboja mūsų WAF.

Vasario 24 d. prasidėjus karui, kai prasidėjo karas, smarkiai išaugo mūsų WAF apribotų taikomųjų programų lygmens grėsmių skaičius. Vasario 28 d., pirmadienį, apribotų paraiškų skaičius buvo 105 % didesnis nei ankstesnį (prieš karą) pirmadienį, o kovo 8 d. pasiekė aukščiausią tašką - 1300 % viršijo prieš karą buvusį lygį.

Nuo 2022 m. vasario mėn. iki 2023 m. vasario mėn. vidutiniškai 10 % viso srauto į Ukrainą buvo nukreipta į galimų atakų poveikio ribojimą.

Toliau pateiktame grafike parodyta kasdienė taikomojo lygmens srauto į Ukrainą procentinė dalis, kurią "Cloudflare" apribojo kaip galimų atakų poveikį. Kovo pradžioje buvo apribota 30 % viso srauto. Balandžio mėn. šis skaičius sumažėjo ir kelis mėnesius išliko nedidelis, tačiau rugsėjo pradžioje, maždaug tuo metu, kai prasidėjo Ukrainos kontrpuolimas rytų ir pietų Ukrainoje, padidėjo. Didžiausias srautas buvo pasiektas spalio 29 d., kai DDoS srautas sudarė 39 % viso "Cloudflare" Ukrainos klientų svetainių srauto.

Ši tendencija dar akivaizdesnė, kai analizuojamas visas srautas į ".ua" aukščiausiojo lygio domeno svetaines (iš "Cloudflare" perspektyvos). Iš toliau pateiktos diagramos matyti, kad 2022 m. kovo pradžioje DDoS srautas sudarė daugiau kaip 80 % viso srauto. Pirmieji aiškūs šuoliai įvyko vasario 16 ir 19 d., kai buvo apribota apie 25 % srauto. Prasidėjus karui, nebuvo nė vienos ramybės akimirkos, išskyrus lapkričio pabaigą ir gruodį, tačiau prieš pat Kalėdas atakos vėl atsinaujino. Nuo 2022 m. vasario iki 2023 m. vasario mėn. vidutiniškai 13 % viso srauto į ".ua" domenus buvo ribojama kaip galimos atakos. Toliau pateiktame grafike pateikiamas išsamus taikomųjų programų lygmens DDoS atakų prieš ".ua" domenų svetaines vaizdas:

Kaip matyti iš toliau pateiktos diagramos, apie 57 % atvejų buvo atlikta naudojant taisyklių rinkinį, kuris automatiškai aptinka ir užkerta kelią HTTP DDoS atakoms ("DDoS Mitigation"), 31 % - naudojant nustatytas ugniasienės taisykles ("WAF"), o 10 % - blokuojant užklausas pagal mūsų IP reputacijos duomenų bazę.

Svarbu pažymėti, kad pirmiau pateiktame paveikslėlyje pavaizduotos WAF taisyklės taip pat yra susietos su klientų sukurtomis pasirinktinėmis ugniasienės taisyklėmis, kad būtų užtikrinta labiau pritaikyta apsauga. "DDoS Mitigation" (taikomosios programos lygio apsauga nuo DDoS) ir "Prieigos taisyklės" (greičio ribojimas) naudojamos būtent DDoS apsaugai.

Priešingai nei pirmajame šiame skyriuje pateiktame grafike, kuriame buvo nagrinėjamas ribotas atakų srautas, nukreiptas į Ukrainą, galime pažvelgti ir į ribotą atakų srautą iš Ukrainos. Iš toliau pateikto grafiko taip pat matyti, kad prasidėjus invazijai gerokai padidėjo ir ribojamo srauto iš Ukrainos dalis.

Labiausiai puolamos pramonės šakos: nuo vyriausybės iki žiniasklaidos

Didžiausią WAF apribojimų dalį sudaro viešojo administravimo, finansinių paslaugų ir žiniasklaidos sektoriai, kuriems 2022 m. teko beveik pusė visų Ukrainai taikomų WAF apribojimų.

Kalbant apie DDoS atakas, 2022 m. Ukrainoje padaugėjo atakų prieš žiniasklaidos ir leidybos namus. Paaiškėjo, kad prieš Ukrainos įmones nukreipti veikėjai daugiausia dėmesio skyrė informacinėms interneto svetainėms. Penkios labiausiai atakuojamos pramonės šakos Ukrainoje per pirmuosius du 2022 m. ketvirčius buvo transliacijos, internetas, internetinė žiniasklaida ir leidyba, kurioms teko beveik 80 % visų į Ukrainą nukreiptų DDoS atakų.

Atidžiau pažvelgus į svetainių, kurias "Cloudflare" apsaugojo karo metu, tipus, toliau pateiktose dviejose diagramose matyti, kaip mažėjo taikomųjų programų lygmens atakų pagal svetainių, esančių ".ua" domene, kurį padėjome apsaugoti, tipą. Pirmosiomis karo dienomis atakų apribojimų šuoliai buvo pastebėti naujienų tarnyboms, televizijos kanalams, vyriausybinėms svetainėms ir bankams.

Liepos mėn. padaugėjo apribojimų kitų tipų ".ua" svetainėms, įskaitant maisto pristatymo, apsipirkimo internetu, automobilių dalių, naujienų ir vyriausybines svetaines.

Dar 2023 m. vasario mėn. apribojimų šuoliai buvo šiek tiek panašūs į tuos, kuriuos matėme prieš metus, įskaitant elektronikos, apsipirkimo internetu, IT sektoriaus ir švietimo svetaines.

2022 m. pirmąjį ketvirtį 12,6 proc. tinklo lygmens duomenų srauto sudarė DDoS veikla

Tinklo lygmens srautą (3 ir 4 lygmenys) sunkiau priskirti konkrečiam domenui ar taikiniui, nes IP adresais dalijasi įvairūs klientai. Žvelgdami į tinklo DDoS srautą, patekusį į mūsų Kijevo duomenų centrą, matome, kad kovo pradžioje DDoS srauto pikas buvo didesnis nei prieš karą, tačiau birželį ir rugpjūtį jis buvo daug didesnis.

Savo 2022 m. I ketvirčio DDoS ataskaitoje taip pat pažymėjome, kad 12,6 % duomenų srauto Ukrainoje sudarė DDoS veikla, palyginti su 1 % ankstesnį ketvirtį, t. y. per ketvirtį padidėjo 1160 %.

Keliose mūsų 2022 m. ketvirtinėse DDoS ataskaitose pateikiamos su karu Ukrainoje susijusios atakų tendencijos ir interaktyvūs atskirų ketvirčių palyginimai.

Tinklo peradresavimas Khersone

2022 m. vasario 24 d. Rusijos pajėgos įsiveržė į Ukrainos Khersono regioną. Kovo 2 d. buvo užimtas Khersono miestas - pirmasis didelis miestas ir vienintelė regiono sostinė, kurią Rusijos pajėgos užėmė per pradinę invaziją. Rusijos okupacija Khersono regione truko iki lapkričio 11 d., kol Ukrainos pajėgos, rugpjūčio pabaigoje pradėjusios kontrpuolimą, susigrąžino kontrolę.

2022 m. gegužės 4 d. paskelbtame tinklaraščio įraše "Interneto ryšio pokyčių Khersone, Ukrainoje stebėjimas" nagrinėjamas pertvarkymas, kuris paveikė Khersono srities telekomunikacijų paslaugų teikėją AS47598 ("Kherson.Telecom"). Toliau pateikiame šio įvykio santrauką ir nagrinėjame panašią kitų Chersono interneto paslaugų teikėjų veiklą, kuri buvo vykdoma nuo to laiko.

2022 m. gegužės 1 d. pastebėjome Ipv4 prefikso maršruto keitimą, apie kurį pranešė Ukrainos tinklas AS47598 (Khersontelecom). Balandžio mėn. jis prie interneto jungėsi per kelis kitus Ukrainos paslaugų teikėjus, įskaitant AS12883 ("Vega Telecom") ir AS3326 ("Datagroup"). Tačiau, pakeitus maršruto parinkimą, jo maršrutas dabar rodė Rusijos tinklą AS201776 ("Miranda-Media") kaip vienintelį tiekėją. Kadangi srautas iš "Kherson.Telecom" buvo nukreipiamas per Rusijos tinklą, jam buvo taikomi apribojimai ir draudimai, taikomi bet kokiam srautui, nukreipiamam per Rusijos tinklus, įskaitant turinio filtravimą.

Toliau pateiktoje diagramoje parodytas srautas iš "Kherson.Telecom" prieš ir po gegužės 1 d., nukreiptas per Rusijos tinklo paslaugų teikėją "Miranda Media". Šis konkretus peradresavimo atvejis buvo trumpalaikis, nes gegužės 4 d. atnaujinus AS47598 maršrutizatorių, jis vėl pradėjo naudotis internetu per kitus Ukrainos interneto paslaugų teikėjus.

Analizei naudojome 15 autonominių sistemų numerių (ASN), priklausančių Chersono regiono tinklams, sąrašą. Remdamiesi šiuo sąrašu analizavome maršruto nustatymo informaciją, surinktą "route-views "2 per pastaruosius metus, nuo 2022 m. vasario 1 d. iki 2023 m. vasario 15 d. route-views2 yra BGP maršrutų rinkiklis, kurį valdo Oregono universiteto projektas Route Views. Atkreipkite dėmesį, kad šiame ir tolesniuose skyriuose aptardami ASN, juos laikome lygiaverčiais ir į šią analizę specialiai neįtraukėme apskaičiuoto naudotojų skaičiaus.

Toliau pateiktame paveikslėlyje pavaizduoti šios analizės rezultatai, iš kurių matyti, kad Chersono paslaugų teikėjų (pavaizduota abscisėje) nukreipimas per Rusijos aukštutinius tinklus buvo gana dažnas, o kai kuriuose tinkluose jis tęsėsi ir 2023 m. Analizuojamu laikotarpiu buvo trys pagrindiniai Rusijos tinklai, kurie atsirado kaip aukštesnio lygmens paslaugų teikėjai: AS201776 ("Miranda-Media"), AS52091 ("Level-MSK Ltd.") ir AS8492 ("OBIT Ltd.").

Diagramoje juodi stulpeliai žymi laikotarpius, kai ASN iš tikrųjų išnyko iš interneto; balti segmentai rodo, kad ASN priklausė nuo kitų Ukrainos tinklų kaip tiesioginių tiekėjų; raudona spalva žymi Rusijos tinklų buvimą tiekėjų grupėje. Raudono atspalvio intensyvumas atitinka paskelbtų prefiksų, kurių maršrute yra Rusijos paslaugų teikėjas, procentinę dalį, kaip pastebėta iš tinklų už Ukrainos ribų. Ryškiai raudonas atspalvis, legendoje atitinkantis skaičių "1", rodo, kad Rusijos paslaugų teikėjas yra visuose paskelbtų prefiksų maršrutizavimo keliuose.

Aukščiau pateiktame tinklaraščio įraše paminėjome balandžio 30 d. prasidėjusį sutrikimą. Paveikslėlyje jis aiškiai matomas kaip juoda juosta, kuri kelias dienas tęsiasi per visus išvardytus ASN. Šiuo atveju AS47598 ("Kherson.Telecom") vėl pradėjo veikti po dienos, tačiau, kaip aptarta pirmiau, srautą siuntė per AS201776 ("Miranda Media"), Rusijos paslaugų teikėją.

Kitas Ukrainos tinklas, AS49168 ("Brok-X"), atsigavo po gegužės 2 d. sutrikimo ir taip pat siuntė srautą per "Miranda-Media". Iki gegužės 4 d. dauguma kitų Chersono tinklų atsigavo po sutrikimų, o AS47598 ir AS49168 vėl naudojosi Ukrainos tinklais kaip tiesioginiais paslaugų teikėjais. Maršrutas išliko "normalus" iki gegužės 30 d. Po to buvo pradėta plačiau naudoti Rusijos paslaugų teikėjų maršrutus, nors prieš tai, atrodo, buvo trumpam nutrūkęs kelių tinklų darbas. Dažniausiai šis peradresavimas tęsėsi visą vasarą ir spalio mėn. Spalio 17 d. kai kurie tinklai trumpam sutriko, tačiau dauguma jų iki spalio 22 d. nustojo nukreipti srautą per Rusiją.

Tačiau šį atsijungimą nuo Rusijos lydėjo ilgi elektros energijos tiekimo nutraukimo laikotarpiai. "Kherson.Telecom" patyrė tokį atjungimą ir nuo spalio mėnesio, išskyrus pirmąją lapkričio savaitę, kai visas jos duomenų srautas buvo nukreiptas per Rusiją, buvo atjungta. Daugelis kitų tinklų gruodžio pradžioje vėl prisijungė prie interneto, daugiausia pasikliaudami kitais Ukrainos interneto ryšio tiekėjais. Tačiau nuo gruodžio pradžios AS204485 (privati įmonė "Beryslavske Cable TV"), AS56359 (CHP "Melnikov Roman Sergejevič") ir AS49465 (televizijos ir radijo kompanija "RubinTelecom Ribotos Atsakomybės Bendrovė") ir toliau naudojosi "Miranda-Media" kaip pirminio ryšio tiekėju, taip pat patyrė keletą trumpalaikių interneto ryšio sutrikimų. Be to, pastaruosius kelis mėnesius AS25082 ("Viner Telecom") naudojosi ir Ukrainos tinklu, ir "Miranda-Media", kaip "upstream" paslaugų teikėjais.

Interneto atsparumas Ukrainoje

Interneto kontekste "atsparumas" reiškia tinklo gebėjimą nuolat veikti taip, kad jis būtų labai atsparus trikdžiams. Tai apima tinklo gebėjimą: 1) veikti pablogėjusiu režimu sutrikimo atveju; 2) greitai atsistatyti, jei sutrikimas vis dėlto įvyksta; 3) plėstis, kad būtų patenkinti greitai atsirandantys ar nenumatyti poreikiai. Per Rusijos ir Ukrainos konfliktą žiniasklaidoje (VICE, Bloomberg, Washington Post) buvo pabrėžiamas Ukrainoje atliktas darbas atkuriant pažeistus šviesolaidinius kabelius ir mobiliojo ryšio infrastruktūrą, kad šalis išliktų prisijungusi prie interneto. Šis darbas buvo labai svarbus Ukrainos interneto infrastruktūros atsparumui išlaikyti.

PeeringDB duomenimis, 2023 m. vasario mėn. duomenimis, Ukrainoje yra 25 interneto mainų punktai (IXP) ir 50 sujungimo įrenginių (IXP gali apimti kelis fizinius objektus). 2023 m. vasario mėn. duomenimis, daugiau nei pusėje šių IXP šiuo metu veikia tarptautiniams paslaugų teikėjams priklausančios autonominės sistemos (AS). Įrenginių, IXP ir tarptautinių AS skaičius Ukrainoje rodo, kad sujungimo struktūra, kurioje nacionaliniai ir tarptautiniai paslaugų teikėjai gali keistis srautu keliuose taškuose, yra patikima.

Kad geriau suprastume šias tarptautines jungtis, pirmiausia analizuojame Ukrainos išorinių paslaugų teikėjų jungtis ir skirstome jungtis į vietinius tinklus (jungtys, kai abi išorinės paslaugų teikėjos registruotos Ukrainoje) ir tarptautinius tinklus (jungtys tarp Ukrainos išorinių paslaugų teikėjų ir už Ukrainos ribų esančių išorinių paslaugų teikėjų). Norėdami nustatyti, kurie AS yra Ukrainos nacionaliniai, galime naudoti informaciją, gautą iš išplėstinės delegacijos iš Réseaux IP Européens Network Coordination Centre (RIPE NCC), regioninio interneto registro, apimančio Ukrainą, ataskaitų. Taip pat analizavome surinktus BGP duomenis, kad gautume AS lygmens ryšius tarp Ukrainos AS ir kitose šalyse registruotų AS, ir laikome juos tarptautiniais vietinių AS ryšiais.

2022 m. kovo mėn. žurnale "The Economist" išspausdintame straipsnyje rašoma, kad "pirma, Ukrainoje yra neįprastai daug interneto paslaugų teikėjų - vienais skaičiavimais, ši šalis yra ketvirta pagal interneto paslaugų teikėjų koncentraciją pasaulyje. Tai reiškia, kad tinkle yra nedaug trukdžių, todėl jį sunku išjungti". Šiuo metu Ukrainoje yra 2 190 registruotų autonominių sistemų (UA AS), o 1 574 iš jų yra įtrauktos į BGP maršrutizavimo lentelę kaip aktyvios. Šie skaičiai patvirtina straipsnyje pateiktą charakteristiką, o toliau aptariame keletą papildomų pastebėjimų, kurie sustiprina Ukrainos interneto atsparumą.

Aukščiau pateiktame paveikslėlyje pavaizduota kumuliacinė pasiskirstymo funkcija, rodanti Ukrainos vidaus AS, turinčių tiesioginį ryšį su tarptautiniais tinklais, dalį. 2023 m. vasario mėn. maždaug 50 % turėjo daugiau nei vieną (100) tarptautinį ryšį, maždaug 10 % - daugiau nei 10, o maždaug 2 % - 100 ir daugiau. Nors šie skaičiai per pastaruosius metus šiek tiek sumažėjo, jie rodo, kad Ukrainos internete nėra centralizuotų kliūčių.

Kalbant apie tarptautinį ryšį turinčius tinklus, taip pat galime pažvelgti į "kito šuolio" šalių pasiskirstymą - šalis, su kuriomis šie tarptautiniai tinklai yra sujungti (Atkreipkite dėmesį, kad kai kurie tinklai gali būti pasaulinio masto, ir jiems sujungta šalis yra ta, kuri užregistruota jų autonominės sistemos registracijoje). Toliau pateiktas foninio žemėlapio palyginimas rodo, kaip šis šalių rinkinys ir jų tarptautinių kelių dalis keitėsi nuo 2022 m. vasario mėn. iki 2023 m. vasario mėn. Iš šių žemėlapių pagrindo duomenų matyti, kad tarptautinis ryšys iš Ukrainos pasiskirstė 18 šalių - tikėtina, daugiausia Europoje.

2022 m. vasario mėn. šios šalys ir (arba) vietos sudarė 77 % tarptautinių maršrutų iš Ukrainos. Keturios populiariausios šalys sudarė po 7,8 %. Tačiau 2023 m. vasario mėn. kitų 10 populiariausių šalių / krypčių šuolių dalis šiek tiek sumažėjo ir sudarė 76 % tarptautinių maršrutų. Nors tai tik nedidelis pokytis, palyginti su ankstesniais metais, šalių / paskirties vietų rinkinys ir daugelis jų atitinkamų dalių labai pasikeitė.

Vasaris 2022 Vasaris 2023
1 Vokietija 7,85% Rusija 11,62%
2 Nyderlandai 7,85% Vokietija 11,43%
3 Jungtinė Karalystė 7,83% Hong Kongas 8,38%
4 Hong Kongas 7,81% Lenkija 7,93%
5 Švedija 7,77% Italija 7,75%
6 Rumunija 7,72% Turkija 6,86%
7 Rusija 7,67% Bulgarija 6,20%
8 Italija 7,64% Nyderlandai 5,31%
9 Lenkija 7,60% Jungtinė Karalystė 5,30%
10 Vengrija 7,54% Švedija 5,26%

Rusijos dalis išaugo 50 proc. iki 11,6 proc. ir tapo didžiausia "AS next hop" dalimi. Vokietijos dalis taip pat padidėjo ir sudaro daugiau kaip 11 % maršrutų.

Palydovinis Interneto ryšys

"Cloudflare" pastebėjo spartų "ASN Starlink" (AS14593) srauto į Ukrainą augimą 2022 m. ir 2023 m. Nuo kovo vidurio iki gegužės vidurio "Starlink" srautas šalyje išaugo daugiau nei 530 %, o nuo gegužės vidurio iki lapkričio vidurio toliau augo ir per šį šešių mėnesių laikotarpį padidėjo beveik 300 % - nuo kovo vidurio iki gruodžio vidurio procentinis padidėjimas siekė daugiau nei 1600 %. Vėliau srautas stabilizavosi, o 2023 m. sausio mėn. net šiek tiek sumažėjo.

Mūsų duomenys rodo, kad 2022 m. lapkričio-gruodžio mėn. "Starlink" sudarė nuo 0,22 % iki 0,3 % srauto iš Ukrainos, o dabar šis skaičius nesiekia 0,2 %.

Išvados

Praėjus vieneriems metams po karo Ukrainoje humanitarinė žala neįtikėtinai didelė. Internetas Ukrainoje taip pat tapo mūšio lauku, kuriame vyksta išpuoliai, peradresavimas ir trikdžiai. Tačiau internetas pasirodė esąs itin atsparus ir po kiekvienos nesėkmės vėl ir vėl atsigauna.

Žinome, kad saugaus ir patikimo interneto poreikis yra didesnis nei bet kada anksčiau. Bendrovėje "Cloudflare" esame įsipareigoję ir toliau teikti priemones, kurios apsaugo interneto paslaugas nuo kibernetinių atakų, didina regione dirbančių asmenų saugumą ir dalijasi informacija apie interneto ryšį ir maršruto parinkimą Ukrainoje.

Saugome ištisus įmonių tinklus, padedame klientams efektyviai kurti interneto masto taikomąsias programas, pagreitinti bet kokią svetainę ar interneto taikomąją programą, apsisaugoti nuo DDoS atakų, sulaikyti įsilaužėlius ir padėti jums siekti „Zero Trust”.

Apsilankykite 1.1.1.1 iš bet kurio įrenginio ir pradėkite naudotis nemokama programėle, kuri užtikrina greitesnį ir saugesnį internetą.

Jei norite sužinoti daugiau apie mūsų misiją padėti kurti geresnį internetą, pradėkite čia. Jei ieškote naujos karjeros krypties, susipažinkite su mūsų laisvomis darbo vietomis.
Internet Shutdown (LT)Project Galileo (LT)Trends (LT)Ukraine (LT)Russia (LT)LietuviųCloudflare Radar (LT)

Sekti tinkle X

João Tomé|@emot
David Belson|@dbelson
Kristin Berdan|@kjberdan
Cloudflare|@cloudflare