Kara gads Ukrainā: Interneta tendences, uzbrukumi un noturība

Internets ir kļuvis par nozīmīgu faktoru ģeopolitiskajos konfliktos, piemēram, notiekošajā karā Ukrainā. Rīt aprit viens gads kopš Krievijas iebrukuma šajā valstī. Šajā rakstā aplūkota interneta statistika un aplūkots, kā Ukrainas internets ir saglabājis noturību, neraugoties uz desmitiem traucējumu trīs dažādos konflikta posmos.

Galvenie secinājumi:

• Interneta datplūsma Ukrainā nepārprotami pārvietojas no austrumiem uz rietumiem, jo ukraiņi bēg no kara, un pēc 2022. gada 24. februāra visā valstī interneta datplūsma samazinājās par 33 %.
• Oktobrī sāktie gaisa triecieni enerģētikas infrastruktūrai ir izraisījuši plašus interneta darbības traucējumus, kas turpināsies arī 2023. gadā.
• Lietojumprogrammu līmeņa kiberuzbrukumi Ukrainā 2022. gada marta sākumā ir palielinājušies par 1300 % salīdzinājumā ar pirmskara līmeni.
• Uzbrukumi Ukrainā visvairāk ir skāruši valdības aģentūras, finanšu iestādes un plašsaziņas līdzekļus.
• No jūnija līdz oktobrim datplūsma no vairākiem Hersonas tīkliem tika novirzīta caur Krieviju, kā rezultātā datplūsmai tika piemēroti Krievijas ierobežojumi, tostarp satura filtrēšana. Pat pēc tam, kad datplūsma vairs netika novirzīta caur Krieviju, šo Ukrainas tīklu darbība bija nopietni traucēta vismaz līdz gada beigām, un divi tīkli joprojām nedarbojas.
• Pateicoties centieniem salabot bojāto šķiedru uz vietas un atjaunot elektroenerģijas piegādi, Ukrainas tīkli joprojām ir noturīgi gan infrastruktūras, gan maršrutēšanas ziņā. Daļēji tas skaidrojams ar Ukrainas plašo savienojamību ar tīkliem ārpus valsts un lielo IXP skaitu.
• Starlink datplūsma Ukrainā no marta vidus līdz maija vidum pieauga par vairāk nekā 500 % un turpināja pieaugt no maija vidus līdz novembra vidum, šajos sešos mēnešos palielinoties par gandrīz 300 %. No marta vidus (divas nedēļas pēc tam, kad tā kļuva pieejama) līdz decembra vidum tā pieauga par vairāk nekā 1600 %, bet pēc tam nedaudz samazinājās.

Izmaiņas un pārtraukumi Internetā

Interneta satricinājums pēc 2022. gada 24. februāra

Ukrainā cilvēku interneta datplūsma nedēļās pēc 24. februāra samazinājās par 33 %. Nākamajā grafikā parādīta dienas datplūsma (pēc pieprasījumu skaita) no Cloudflare perspektīvas.

Dažos nākamajos mēnešos interneta datplūsmas līmenis atjaunojās, tostarp ievērojami pieauga septembrī un oktobrī, kad valstī atgriezās daudzi Ukrainas bēgļi. Tomēr visā valstī, galvenokārt pēc oktobra, bija arī traucējumi, kas aplūkoti turpmāk.

Pēdējo 12 mēnešu laikā 14 % no kopējās datplūsmas no Ukrainas (ieskaitot datplūsmu no Krimas un citām okupētajām teritorijām) tika ierobežota kā potenciāli uzbrukumi, bet 10 % no kopējās datplūsmas uz Ukrainu tika ierobežota kā potenciāli uzbrukumi.

Līdz 2022. gada 24. februārim tipiskā biznesa interneta datplūsma Ukrainā sākotnēji maksimumu sasniedza pēcpusdienā, ap plkst. 15.00 pēc vietējā laika, samazinājās starp plkst. 17.00 un 18.00 (kad cilvēki dodas prom no darba) un dienas augstāko maksimumu sasniedza ap plkst. 21.00 (iespējams, pēc vakariņām mobilo sakaru un straumēšanas lietošanai).

Pēc iebrukuma sākuma mēs novērojām mazākas svārstības visas dienas garumā, kas ir skaidra parastā modeļa maiņa, ņemot vērā ziņojumus par pārkāpumiem un "izceļošanu" no valsts. Pirmajās dienās pēc iebrukuma sākuma satiksme sasniedza maksimumu plkst. 19.00, kad daudzas naktis tādās pilsētās kā Kijeva tika pavadītas improvizētās bumbu patvertnēs. Marta beigās atgriezās 21:00 maksimums, bet satiksmes kritums agrā vakarā neatgriezās līdz pat maijam.

Aplūkojot Ukrainas interneta pieprasījumus pēc datplūsmas veida zemāk redzamajā grafikā (no 2022. gada 10. februāra līdz 2023. gada februārim), redzams, ka, lai gan kopš iebrukuma ir samazinājusies datplūsma gan no mobilajām, gan no datora ierīcēm, pēdējā gada laikā saglabājās lielāks pieprasījumu apjoms no mobilajām ierīcēm. Pirmskara periodā aptuveni 53 % datplūsmas bija no mobilajām ierīcēm, un pirmajās iebrukuma nedēļās šis rādītājs pieauga līdz aptuveni 60 %. Līdz aprīļa beigām šis rādītājs atgriezās tipiskajā pirmskara līmenī, samazinoties līdz aptuveni 54 % no datplūsmas. Ievērojams ir arī decembra kritums/atvienošanās, ko mēs aplūkosim turpmāk.

Miljoniem cilvēku pārcēlās no Ukrainas austrumiem uz rietumiem

Iebrukums izraisīja uzbrukumus un infrastruktūras iznīcināšanu vairākās pilsētās, taču pirmajās dienās valsts enerģētikas infrastruktūra netika pakļauta uzbrukumiem, kā tas notika 2022. gada oktobrī. Pirmajās kara nedēļās izmaiņas interneta plūsmā lielā mērā izraisīja cilvēku ar ģimenēm evakuācija no konflikta zonām. Pirmajos trīs mēnešos no valsts aizbēga vairāk nekā astoņi miljoni ukraiņu, un vēl daudzi pārcēlās uz drošākām pilsētām, lai gan daudzi no viņiem 2022. gada vasarā atgriezās. Internetam šajā bēgļu krīzē bija izšķiroša loma, cita starpā atbalstot saziņu un piekļuvi reāllaika informācijai un pakalpojumu lietojumprogrammām, kas glābj dzīvību.

Tika novērots arī datplūsmas pieaugums Ukrainas rietumu daļā, tādos reģionos kā Ļvova (tālāk no konflikta zonām), un samazinājums austrumos, tādos reģionos kā Harkova, kur ieradās Krievijas karaspēks un pastāvēja pastāvīgi uzbrukumu draudi. Nākamajā attēlā redzams, kā nedēļā kopš kara sākuma Ukrainā ir mainījusies interneta datplūsma (tumšāka rozā krāsa norāda uz kritumu līdz pat 60 %, bet tumšāka zaļā - uz pieaugumu līdz pat 50 %).

Lielākais interneta datplūsmas kritums Ukrainā kara pirmajās dienās bija novērots Harkovas apgabalā austrumos un Čerņihivas apgabalā ziemeļos - abos apgabalos kritums bija 60%, kam sekoja Kijevas apgabals, kur datplūsma 2022. gada 2. martā bija par 40% mazāka nekā 23. februārī.

Rietumu Ukrainā satiksme ir palielinājusies. Starp reģioniem ar vislielāko satiksmes pieaugumu bija Rivnes (50 %), Volinas (30 %), Ļvovas (28 %), Čerņivcu (25 %) un Zakarpatu (15 %).

Interneta datplūsmas analīze Ukrainā pilsētu līmenī sniedz zināmu ieskatu par interneta lietošanu un pieejamību pirmajās nedēļās, kad bija vērojami ievērojami traucējumi vietās, kur norisinājās tiešs konflikts vai kuras jau bija okupējuši Krievijas karavīri.

Uz ziemeļiem no Kijevas, Čerņihivas pilsētā, pirmajā kara nedēļā ievērojami samazinājās satiksme un līdz marta vidum saglabājās satiksmes plūsma, kas atjaunojās tikai pēc krievu atkāpšanās aprīļa sākumā.

Kijevas pilsētā uzreiz pēc kara sākuma bija skaidri redzami interneta satiksmes traucējumi, ko, iespējams, izraisīja cilvēku aizbraukšana, uzbrukumi un pazemes patvērumu izmantošana.

Ārpus Kijevas marta sākumā mēs redzējām acīmredzamu traucējumu Bučā. Pēc 1. aprīļa, kad krievi atkāpās, dažas nedēļas vēlāk interneta satiksme sāka atjaunoties.

Irpinas pilsēta, kas atrodas netālu no Kijevas un netālu no Gostomeļas un Bučas lidostām, attīstījās līdzīgi kā Bučas pilsēta. Satiksme sāka skaidrāk atjaunoties tikai maija beigās.

Austrumos 3. martā satiksme Harkovas pilsētā samazinājās par 50 %, un līdzīgs scenārijs bija vērojams arī netālu esošajā Sumijā. Izmaiņas bija saistītas ar cilvēku pārvietošanos, kā arī elektroenerģijas padeves pārtraukumiem dažos tīklos.

Arī citās pilsētās Ukrainas dienvidos, piemēram, Berdjanskā, ir bijuši traucējumi. Šajā grafikā redzama Enerhodara, neliela pilsēta, kurā atrodas Eiropas lielākā atomelektrostacija - Zaporožjes atomelektrostacija, ar atlikušo satiksmi salīdzinājumā ar pirmskara līmeni.

Ukrainas dienvidu pilsētās bija ievērojami interneta traucējumi. Krievi 24. februārī sāka Mariupoles aplenkumu. Uzbrukumi un enerģētikas infrastruktūras atslēgšana ietekmēja vietējos tīklus un interneta datplūsmu, kas līdz 1. martam samazinājās līdz minimumam. Aptuveni 95 % pilsētas ēku tika sagrautas, un līdz maija vidum pilsēta pilnībā atradās Krievijas kontrolē. Lai gan līdz aprīļa beigām datplūsma nedaudz palielinājās, tā sasniedza tikai ~ 22 % no pirmskara līmeņa.

Aplūkojot Ukrainas interneta pakalpojumu sniedzējus (ISP) vai autonomās sistēmas (ASNs), pirmajos kara mēnešos atsevišķos reģionos bija vērojami vairāk lokālu traucējumu, taču gandrīz vienmēr atjaunošanās bija ātra. AS6849 (Ukrtele) marta vidū piedzīvoja ļoti īslaicīgus pārtraukumus. AS13188 (Triolan), kas apkalpo Kijevu, Čerņihivu un Harkovu, bija vēl viens pakalpojumu sniedzējs, kas saskārās ar problēmām (9. martā tika ziņots par kiberuzbrukumu), kas redzams nākamajā grafikā:

Līdz pat uzbrukumiem enerģētikas infrastruktūrai oktobrī-novembrī Ukrainas galvenajam interneta pakalpojumu sniedzējam AS15895 (Kyivstar) netika novēroti acīmredzami valsts mēroga traucējumi, kas arī liecina par Ukrainas tīklu agrīnu noturību.

Ukrainas pretuzbrukums un tā ietekme uz Internetu

Tā kā Krievijas karaspēks atkāpās no Ukrainas ziemeļu frontes, pēc aprīļa beigām tas pārgāja uz austrumu (Donbasa kauja) un dienvidu (Hersonas apgabala ieņemšana) teritoriju apgūšanu. Tas izraisīja interneta darbības traucējumus un satiksmes izmaiņas, kas sīkāk aplūkotas turpmāk. Tomēr, ņemot vērā cīņu par interneta kontroli, interneta plūsma Hersonas reģionā bija nepastāvīga, un pēc maija bija vērojami pārtraukumi. Jūnijā ziņās atklājās, ka interneta pakalpojumu sniedzēju darbinieki bija sabojājuši savas iekārtas, lai kavētu Krievijas mēģinājumus kontrolēt Ukrainas internetu.

Pirms Ukrainas pretuzbrukuma septembrī vasarā bija vēl viens piemērs kara ietekmei uz pilsētu interneta datplūsmu - pēc tam, kad jūlija sākumā Krievijas spēki ieņēma Ļisičanskas pilsētu Ukrainas austrumos, kas kļuva pazīstama kā Ļisičanskas kauja. Interneta datplūsma Ļisičanskā acīmredzami samazinājās pēc kara sākuma. Šis kritums turpinājās arī intensīvo kauju laikā, kas sekoja aprīlī un kuru rezultātā lielākā daļa pilsētas iedzīvotāju aizbēga. Līdz maijam datplūsma bija gandrīz nemainīga (ar īslaicīgu pieaugumu maija vidū uz dažām dienām).

Septembra sākumā sākās Ukrainas pretuzbrukums austrumos, lai gan sākotnēji plašsaziņas līdzekļi ziņoja par ofensīvu Hersonas apgabala dienvidos, kas bija "maldinošs" solis. Hersonas ofensīva beidzās tikai oktobra beigās un novembra sākumā. Septembrī Ukrainai izdevās atgūt vairāk nekā 500 apdzīvotu vietu un 12 000 kvadrātkilometru lielu Harkovas apgabala teritoriju. Tajā laikā vairākās no šīm apdzīvotajām vietām tika pārtraukta interneta darbība.

Reaģējot uz veiksmīgo Ukrainas pretuzbrukumu, Krievijas gaisa uzlidojumi izraisīja elektroenerģijas un interneta padeves pārtraukumus reģionā. Tas notika Harkovā 11., 12. un 13. septembrī. Nākamajā attēlā redzams 12 stundu gandrīz pilnīgs pārtraukums 11. septembrī, kam sekoja vēl divi datplūsmas krituma periodi.

Kad ierodas kodolinspektori, ir arī interneta pārrāvumi.

Elektroapgādes pārtraukumi bija arī Zaporožje reģionā. 2022. gada 1. septembrī, dienā, kad Starptautiskās Atomenerģijas aģentūras (SAEA) inspektori ieradās Krievijas kontrolētajā Zaporožjes atomelektrostacijā Enerhodarā, divās vietējās ASN, kas apkalpoja šo reģionu, tika pārtraukta interneta piegāde: AS199560 (Engrup) un AS197002 (Tenor Sabiedrība ar ierobežotu atbildību). Šie traucējumi ilga līdz 10. septembrim, kā redzams turpmāk dotajos grafikos.

Plašākā kontekstā Enerhodaras pilsēta, kurā atrodas atomelektrostacija, pēc 6. septembra piedzīvoja četru dienu elektroenerģijas padeves pārtraukumu.

Septembra vidū samazinājās satiksme Krimā

Septembra vidū, pēc Ukrainas pretuzbrukuma, radās jautājumi par to, kad Ukrainas spēki varētu vērsties pret Krimu. Ziņās parādījās ziņas, ka aptuveni 13. septembrī no Krimas tika evakuēti Krievijas iedzīvotāji. Šajā otrdienā bija vērojams acīmredzams datplūsmas kritums salīdzinājumā ar iepriekšējo dienu, kā redzams tālāk dotajā Krimas kartē (sarkanā krāsā - samazināta datplūsma, zaļā krāsā - palielināta datplūsma).

Oktobrī valstī notika uzbrukumi energoinfrastruktūrai un traucējumi.

Kā jau redzējām, septembrī sākās Krievijas gaisa triecieni kritiskajai enerģētikas infrastruktūrai, reaģējot uz Ukrainas pretuzbrukumu. Nākamajā mēnesī sestdien, 8. oktobrī, sprādziens uz Krimas tilta (kad kravas automašīnā ievietota bumba iznīcināja daļu tilta) izraisīja vēl vairāk gaisa triecienu, kas ietekmēja tīklus un interneta plūsmu visā Ukrainā.

Pirmdien, 10. oktobrī, Ukraina pamodās no gaisa triecieniem enerģētikas infrastruktūrai un piedzīvoja nopietnus elektroenerģijas un interneta traucējumus. Pulksten 07:35 UTC datu plūsma valstī bija par 35 % zemāka nekā parasti salīdzinājumā ar iepriekšējo nedēļu un pilnībā atjaunojās tikai 24 stundas vēlāk. Īpaši smaga ietekme bija tādos reģionos kā Harkovā, kur satiksme bija samazinājusies par aptuveni 80 %, un Ļvovā, kur tā bija samazinājusies par aptuveni 60 %. Nākamajā grafikā redzams, kā interneta datplūsmu ietekmēja jauni gaisa uzlidojumi Ļvovas reģionā nākamajā dienā.

17. oktobrī vairākos reģionos bija vērojami acīmredzami interneta traucējumi, kā arī 20. oktobrī, kad vairāku elektrostaciju sagraušanas dēļ Kijevā interneta datplūsma no Kijevas samazinājās par 25 % salīdzinājumā ar iepriekšējām divām nedēļām. Tas ilga 12 stundas, un tam sekoja īsāks daļējs pārtraukums nākamajā dienā, kā redzams turpmāk sniegtajā grafikā.

Oktobra beigās, pēc Ukrainas amatpersonu datiem, 30 % Ukrainas elektrostaciju bija iznīcinātas. Elektroenerģijas patēriņa pašierobežošanās šo bojājumu dēļ izraisīja Kijevā un tās apkārtnē novēroto interneta satiksmes kritumu.

Vairāku nedēļu ilgā interneta pārrāvuma sākums Hersonas apgabalā redzams zemāk redzamajā grafikā, kurā redzams par ~70% mazāks datu apjoms nekā iepriekšējās nedēļās. Pārrāvums sākās sestdien, 22. oktobrī, kad Ukrainas armija nostiprinājās Hersonas reģionā.

Satiksme sāka atjaunoties pēc Hersonas atbrīvošanas, ko Ukrainas spēki veica 2022. gada 11. novembrī. Turpmāk redzamajā grafikā labākas vizualizācijas labad grafikā parādīts nedēļas salīdzinājums Hersonas reģionam 7. novembrī, 28. novembrī un 19. decembrī, parādot izmaiņas septiņu nedēļu laikā.

Pastāvīgi uzbrukumi, interneta savienojuma pārtraukumi

Visu atlikušo gadu un līdz pat 2023. gadam Ukrainā turpinājās periodiski interneta savienojuma traucējumi. 2022. gada 23. novembrī pēc Krievijas streikiem valstī notika masveida elektroenerģijas padeves pārtraukumi, kā rezultātā interneta datu plūsma Ukrainā samazinājās par gandrīz 50 %. Šie pārtraukumi ilga gandrīz pusotru dienu, vēl vairāk uzsverot konflikta nepārtraukto ietekmi uz Ukrainas infrastruktūru.

Lai gan pēc novembra beigās notikušā pārtraukuma satiksme atjaunojās, bija nepieciešamas vairākas dienas, lai atjaunotu normālu satiksmes intensitāti. Turpmāk sniegts grafiks, kurā redzamas iknedēļas interneta datplūsmas izmaiņas Ukrainā gan valsts, gan vietējā līmenī šajā laikā:

Kijevas apgabalā:

Odesas apgabalā:

Arī Harkovā (kur skaidri redzams arī 16. decembra pārtraukums - zaļā līnija):

16. decembrī notika vēl viens valsts mēroga interneta darbības pārtraukums, ko izraisīja gaisa triecieni enerģētikas infrastruktūrai. Salīdzinot ar iepriekšējo nedēļu, datplūsma valsts mērogā samazinājās par 13 %, bet Ukrainas tīkli cieta vēl vairāk. AS13188 (Triolan) datplūsma samazinājās par 70 %, bet AS15895 (Kyivstar) - par 40 %; abi šie rādītāji parādīti turpmāk sniegtajos attēlos.

2023. gada janvārī gaisa uzlidojumi radīja papildu traucējumus interneta savienojamībai. Viens no šādiem notikumiem nesen notika Odesā, kur 18 stundu ilgā pārtraukuma laikā datu plūsma samazinājās par 54 % salīdzinājumā ar iepriekšējo nedēļu.

Kiberkarš ar globālu ietekmi

«Shields Up» "Aizsargi uz augšu" pret kiberuzbrukumiem

Martā vairākas valstis, ASV un FIB izdeva brīdinājumu visiem valsts iedzīvotājiem, uzņēmumiem un organizācijām, kā arī sabiedrotajiem un partneriem par nepieciešamību "uzlabot kiberdrošību". ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) uzsāka iniciatīvu "Shields Up", norādot, ka "Krievijas iebrukums Ukrainā var ietekmēt organizācijas reģionā un ārpus tā". Arī Apvienotā Karaliste un Japāna cita starpā ir izteikušas brīdinājumus.

Turpinājumā mēs apspriedīsim tīmekļa lietojumprogrammu ugunsmūra (WAF) mazināšanu un DDoS uzbrukumus. WAF palīdz aizsargāt tīmekļa lietojumprogrammas, filtrējot un uzraugot HTTP datplūsmu starp tīmekļa lietojumprogrammu un internetu. WAF ir 7. līmeņa protokols (OSI modelī), un tas nav paredzēts aizsardzībai pret visiem uzbrukumu veidiem. Izplatīti pakalpojuma atteikuma (DDoS) uzbrukumi ir kiberuzbrukumi, kuru mērķis ir traucēt interneta resursu darbību un padarīt tos nepieejamus lietotājiem.

Kopš marta sākuma kiberuzbrukumu skaits Ukrainā pieaudzis par 1300%.

Turpmāk redzamās diagrammas ir balstītas uz normalizētiem datiem un parāda draudus, ko ierobežo mūsu WAF.

Pēc kara sākuma 24. februārī, kad sākās karš, strauji pieauga to lietojumprogrammu līmeņa draudu skaits, kurus ierobežoja mūsu WAF. Pirmdien, 28. februārī, ierobežoto pieprasījumu skaits bija par 105 % lielāks nekā iepriekšējā (pirmskara) pirmdienā, un 8. martā tas sasniedza maksimumu, sasniedzot 1300 % virs pirmskara līmeņa.

No 2022. gada februāra līdz 2023. gada februārim vidēji 10 % no visas datplūsmas uz Ukrainu tika novirzīti potenciālo uzbrukumu ietekmes ierobežošanai.

Nākamajā grafikā redzams dienas procentuālais lietojumprogrammu slāņa datplūsmas apjoms Ukrainai, ko Cloudflare ierobežoja kā potenciālus uzbrukumus. Marta sākumā tika ierobežoti 30 % no visas datplūsmas. Aprīlī šis rādītājs samazinājās un vairākus mēnešus saglabājās zems, bet septembra sākumā, kad sākās Ukrainas pretuzbrukums Ukrainas austrumos un dienvidos, tas palielinājās. Maksimums tika sasniegts 29. oktobrī, kad DDoS datplūsma veidoja 39 % no kopējās datplūsmas uz Cloudflare Ukrainas klientu vietnēm.

Šī tendence ir vēl acīmredzamāka, aplūkojot visu TLD ".ua" vietņu datplūsmu (no Cloudflare viedokļa). Nākamajā diagrammā redzams, ka 2022. gada marta sākumā DDoS datplūsma veidoja vairāk nekā 80 % no visas datplūsmas. Pirmie acīmredzamie lēcieni bija 16. un 19. februārī, kad tika ierobežoti aptuveni 25 % datplūsmas. Pēc kara sākuma nebija neviena klusuma brīža, izņemot novembra beigas un decembri, bet uzbrukumi atsākās tieši pirms Ziemassvētkiem. No 2022. gada februāra līdz 2023. gada februārim vidēji 13 % no visas datplūsmas uz ".ua" domēnu tika ierobežota kā potenciāls uzbrukums. Nākamajā grafikā sniegts pilnīgs pārskats par lietojumprogrammu līmeņa DDoS uzbrukumiem vietnēm ".ua" domēnos:

Ka redzams nākamajā gikā, aptuveni 57 % no tiem tika veikti ar noteikumu kopumu, kas automātiski atklāj un novērš HTTP DDoS uzbrukumus (DDoS mazināšana), 31 % - ar izveidotiem ugunsmūra noteikumiem (WAF) un 10 % - ar pieprasījumu bloķēšanu, pamatojoties uz mūsu IP reputācijas datu bāzi.

It’s important to note that WAF rules in the graph above are also associated with Svarīgi atzīmēt, ka WAF noteikumi, kas parādīti iepriekšējā grafikā, ir saistīti arī ar klientu izveidotiem pielāgotiem ugunsmūra noteikumiem, lai nodrošinātu individualizētāku aizsardzību. "DDoS mazināšana" (DDoS aizsardzība lietojumprogrammu līmenī) un "Piekļuves noteikumi" (ātruma ierobežošana) tiek īpaši izmantoti DDoS aizsardzībai.

Atšķirībā no pirmā šajā sadaļā parādītā grafika, kurā tika aplūkota uz Ukrainu vērsto uzbrukumu ierobežotā datplūsma, mēs varam aplūkot arī no Ukrainas nākošo uzbrukumu ierobežoto datplūsmu. Tālāk redzamajā grafikā arī redzams, ka pēc iebrukuma sākuma ievērojami palielinājās arī ierobežotās datplūsmas daļa no Ukrainas.

Visvairāk apdraudētās nozares - no valdības līdz plašsaziņas līdzekļiem

Nozares, kas veido lielāko WAF ierobežojumu daļu, ir valsts pārvalde, finanšu pakalpojumi un plašsaziņas līdzekļi, kas 2022. gadā veidoja gandrīz pusi no visiem Ukrainai noteiktajiem WAF ierobežojumiem.

DDoS uzbrukumu ziņā 2022. gadā Ukrainā bija vērojams uzbrukumu uz plašsaziņas līdzekļiem un izdevniecībām pieaugums. Šķita, ka uz Ukrainas uzņēmumiem vērstie aktori koncentrējās uz informācijas tīmekļa vietnēm. Piecas visvairāk uzbrukumu saņēmušās nozares Ukrainā 2022. gada pirmajos divos ceturkšņos bija apraide, internets, tiešsaistes plašsaziņas līdzekļi un izdevējdarbība, kas veidoja gandrīz 80 % no visiem uz Ukrainu vērstajiem DDoS uzbrukumiem.

Aplūkojot sīkāk tīmekļa vietņu veidus, ko Cloudflare ir aizsargājusi kara laikā, nākamajos divos grafikos redzams lietojumprogrammu līmeņa uzbrukumu samazinājums atkarībā no vietņu veida domēnā ".ua", ko esam palīdzējuši aizsargāt. Pirmajās kara dienās uzbrukumu ierobežojumu kāpums bija vērojams ziņu dienestiem, televīzijas kanāliem, valdības tīmekļa vietnēm un bankām.

Jūlijā strauji pieauga ierobežojumu skaits cita veida ".ua" tīmekļa vietnēs, tostarp pārtikas piegādes, tiešsaistes iepirkšanās, auto rezerves daļu, ziņu un valdības tīmekļa vietnēs.

Vēl 2023. gada februārī noteiktie ierobežojumi bija nedaudz līdzīgi kā pirms gada, tostarp attiecībā uz elektroniku, iepirkšanos tiešsaistē, IT nozari un izglītības tīmekļa vietnēm.

2022. gada pirmajā ceturksnī DDoS darbības veidoja 12,6 % no tīkla slāņa datplūsmas.

Tīkla slāņa datplūsmu (3. un 4. slānis) ir grūtāk attiecināt uz konkrētu domēnu vai mērķi, jo IP adreses ir kopīgas dažādiem klientiem. Aplūkojot tīkla DDoS datplūsmu, kas skāra mūsu Kijevas datu centru, redzams, ka marta sākumā DDoS datplūsma sasniedza augstāko līmeni nekā pirms kara, bet jūnijā un augustā tā bija daudz lielāka.

Savā 2022. gada 1. ceturkšņa DDoS ziņojumā mēs arī norādījām, ka 12,6 % datplūsmas Ukrainā veidoja DDoS darbības, salīdzinot ar 1 % iepriekšējā ceturksnī, kas ir pieaugums par 1160 % ceturkšņa laikā.

Vairākos mūsu 2022. gada ceturkšņa DDoS ziņojumos ir iekļautas uzbrukumu tendences, kas saistītas ar karu Ukrainā, ar interaktīviem ceturkšņa salīdzinājumiem.

Tīkla maršruta maiņa Hersonā

2022. gada 24. februārī Krievijas spēki iebruka Ukrainas Hersonas reģionā. Hersonas pilsēta tika ieņemta 2. martā kā pirmā lielā pilsēta un vienīgā reģiona galvaspilsēta, ko Krievijas spēki ieņēma sākotnējā iebrukuma laikā. Krievijas okupācija Hersonas reģionā ilga līdz brīdim, kad Ukrainas spēki 11. novembrī atguva kontroli pēc tam, kad augusta beigās uzsāka pretuzbrukumu.

2022. gada 4. maijā mēs publicējām bloga ierakstu "Izmaiņas interneta savienojamībā Hersonā, Ukrainā" (Tracking Changes to Internet Connectivity in Kherson, Ukraine), kurā analizēta pārformēšana, kas ietekmēja AS47598 (KhersonTelecom), telekomunikāciju pakalpojumu sniedzēju Hersonas reģionā. Turpmāk mēs apkopojam šo notikumu un pētām līdzīgas darbības, ko kopš tā laika veikuši citi pakalpojumu sniedzēji Hersonas pilsētā.

2022. gada 1. maijā mēs novērojām Ipv4 prefiksa maršrutēšanas izmaiņas, par kurām ziņoja Ukrainas tīkls AS47598 (Khersontelecom). Visu aprīli tas bija piekļūstis internetam, izmantojot vairākus citus Ukrainas pakalpojumu sniedzējus, tostarp AS12883 (Vega Telecom) un AS3326 (Datagroup). Tomēr pēc maršrutēšanas maiņas tā ceļš tagad norādīja Krievijas tīklu AS201776 (Miranda-Media) kā vienīgo augšupvērsto pakalpojumu sniedzēju. Tā kā datplūsma no Khersontelecom tika maršrutēta caur Krievijas tīklu, uz to attiecās ierobežojumi un aizliegumi, kas tika piemēroti jebkurai datplūsmai, kas maršrutēta caur Krievijas tīkliem, tostarp satura filtrēšana.

Datplūsmas plūsma no Khersontelecom pirms un pēc 1. maija, kas novirzīta caur Krievijas tīkla pakalpojumu sniedzēju Miranda Media, ir parādīta diagrammā turpmāk. Šis konkrētais pāradresēšanas gadījums bija īslaicīgs, jo 4. maijā AS47598 maršrutēšanas atjauninājums atgriezās pie piekļuves internetam caur citiem Ukrainas pakalpojumu sniedzējiem.

Par pamatu analīzei izmantojām 15 autonomo sistēmu numuru (ASN) sarakstu, kas pieder Hersonas reģiona tīkliem. Izmantojot šo sarakstu, mēs analizējām maršrutēšanas informāciju, kas savākta ar route-views2 palīdzību pēdējā gada laikā, no 2022. gada 1. februāra līdz 2023. gada 15. februārim. route-views2 ir BGP maršruta kolektors, ko vada Oregonas universitātes Route View projekts. Ņemiet vērā, ka, šajā un turpmākajās sadaļās apspriežot ASN, mēs tos uzskatām par vienaudžiem un šajā analīzē īpaši neiekļaujam aprēķināto lietotāju skaitu.

Nākamajā attēlā ilustrēts šīs analīzes rezultāts, kas parāda, ka Hersonas pakalpojumu sniedzēju maršruta maiņa (nobīde uz abscises) caur Krievijas augšupējiem tīkliem bija diezgan izplatīta, un attiecībā uz dažiem tīkliem tā turpinājās arī 2023. gadā. Analizētajā periodā bija trīs galvenie Krievijas tīkli, kas parādījās kā augšupējie piegādātāji: AS201776 (Miranda-Media), AS52091 (Level-MSK Ltd.) un AS8492 (OBIT Ltd.).

Diagrammā melnās joslas norāda periodus, kad ASN faktiski pazuda no interneta; baltie segmenti norāda, ka ASN bija atkarīgs no citiem Ukrainas tīkliem kā tiešajiem augšupējiem pakalpojumu sniedzējiem; sarkanā krāsa norāda Krievijas tīklu klātbūtni augšupējo pakalpojumu sniedzēju kopumā. Sarkanā tonējuma intensitāte atbilst to izziņoto prefiksu procentuālajam skaitam, kuru maršrutēšanas maršrutā ir Krievijas pakalpojumu sniedzējs, kā novērots no tīkliem ārpus Ukrainas. Spilgti sarkans tonējums, kas atbilst skaitlim "1" leģendā, norāda uz Krievijas pakalpojumu sniedzēja klātbūtni visos maršrutēšanas ceļos attiecībā uz deklarētajiem prefiksiem.

Iepriekš saistītajā emuāra ierakstā mēs pieminējām pārtraukumu, kas sākās 30. aprīlī. Tas ir skaidri redzams attēlā kā melna josla, kas vairākas dienas iet cauri visiem uzskaitītajiem ASN. Šajā gadījumā AS47598 (KhersonTelecom) atkal darbojās dienu vēlāk, bet, kā minēts iepriekš, sūtīja datplūsmu caur Krievijas pakalpojumu sniedzēju AS201776 (Miranda Media).

Cits Ukrainas tīkls, AS49168 (Brok-X), pēc 2. maija pārtraukuma atguvās un arī sūtīja datplūsmu caur Miranda-Media. Līdz 4. maijam lielākā daļa pārējo Hersonas tīklu bija atguvušies no pārtraukuma, un AS47598 un AS49168 atkal sāka izmantot Ukrainas tīklus kā tiešos pakalpojumu sniedzējus. Maršruts bija "normāls" līdz 30. maijam. Pēc tam sākās plašāka pāreja uz datplūsmas maršrutēšanu, izmantojot Krievijas pakalpojumu sniedzējus, lai gan pirms šīs pārejas, šķiet, bija īss vairāku tīklu darbības pārtraukums. Pārsvarā šī maršruta maiņa turpinājās visu vasaru un oktobrī. Daži tīkli 17. oktobrī piedzīvoja īsu pārtraukumu, bet lielākā daļa pārtrauca maršrutēšanu caur Krieviju līdz 22. oktobrim.

Tomēr šo atslēgšanos no Krievijas pavadīja ilgstoši pārtraukumi. Pārrāvums skāra HersonTelecom, un kopš oktobra, izņemot novembra pirmo nedēļu, kad visa uzņēmuma datplūsma tika novirzīta caur Krieviju, tas ir bijis bezsaistē. Decembra sākumā daudzi citi tīkli atjaunoja interneta pieslēgumu, galvenokārt paļaujoties uz citiem Ukrainas interneta pakalpojumu sniedzējiem. Tomēr kopš decembra sākuma AS204485 (privātais uzņēmums Beryslavske Cable TV), AS56359 (individuālais uzņēmējs Melnykov Roman Serhiiovych) un AS49465 (TV and Radio Company RubinTelecom Limited Liability Company) turpināja izmantot Miranda-Media kā augšupvērsto pakalpojumu sniedzēju, un tiem bija vairāki īslaicīgi interneta pieslēguma pārtraukumi. Turklāt pēdējo mēnešu laikā AS25082 (Viner Telecom) ir izmantojis gan Ukrainas tīklu, gan Miranda-Media kā iepriekšējā posma pakalpojumu sniedzējus.

Tomēr šo atslēgšanos no Krievijas pavadīja ilgstoši pārtraukumi. KhersonTelecom piedzīvoja šādu atslēgumu un palika bezsaistē kopš oktobra, izņemot novembra pirmo nedēļu, kad visa tā datplūsma tika novirzīta caur Krieviju. Daudzi citi tīkli atjaunoja interneta savienojumu decembra sākumā, galvenokārt paļaujoties uz citiem Ukrainas interneta pakalpojumu sniedzējiem. Tomēr kopš decembra sākuma AS204485 (privātais uzņēmums Beryslavske Cable TV), AS56359 (CHP Melnikov Roman Sergeyevich) un AS49465 (TV and Radio Company RubinTelecom Limited Liability Company) turpināja izmantot Miranda-Media kā augšupvērsto pakalpojumu sniedzēju, un arī tie piedzīvoja vairākus īslaicīgus interneta savienojuma pārtraukumus. Turklāt pēdējo mēnešu laikā AS25082 (Viner Telecom) kā augšupvērsto pakalpojumu sniedzējus izmantoja gan Ukrainas tīklu, gan Miranda-Media.

Interneta elastība Ukrainā

Interneta kontekstā "elastīgums" attiecas uz tīkla spēju nepārtraukti darboties tā, lai tas būtu ļoti izturīgs pret traucējumiem. Tas ietver tīkla spēju (1) darboties traucējumu gadījumā pazeminātā režīmā, (2) ātri atjaunoties, ja traucējumi tomēr rodas, un (3) paplašināt tīklu, lai apmierinātu strauji radušās vai neparedzētas vajadzības. Krievijas un Ukrainas konflikta laikā plašsaziņas līdzekļos (VICE, Bloomberg, Washington Post) tika uzsvērts darbs, kas paveikts Ukrainā, lai atjaunotu bojātos optiskās šķiedras kabeļus un mobilo sakaru infrastruktūru un saglabātu valsti tiešsaistē. Šis darbs bija ļoti svarīgs, lai saglabātu Ukrainas interneta infrastruktūras noturību.

Saskaņā ar PeeringDB datiem 2023. gada februārī Ukrainā bija 25 interneta apmaiņas punkti (IXP) un 50 starpsavienojumu iekārtas (IXP var ietvert vairākas fiziskas iekārtas). 2023. gada februārī vairāk nekā pusē no šiem IXP patlaban darbojas starptautiskiem pakalpojumu sniedzējiem piederošas autonomās sistēmas (AS). Iekārtu, IXP un starptautisko AS skaits Ukrainā norāda, ka pastāv stabila starpsavienojumu struktūra, kurā valsts un starptautiskie pakalpojumu sniedzēji var apmainīties ar datplūsmu daudzos punktos.

Lai labāk izprastu šos starptautiskos starpsavienojumus, mēs vispirms analizējam savienojamību starp AS Ukrainā un klasificējam savienojumus vietējos tīklos (savienojumi, kuros abas AS ir reģistrētas Ukrainā) un starptautiskos tīklos (savienojumi starp AS Ukrainā un AS ārpus Ukrainas). Lai noteiktu, kuras AS ir valsts AS Ukrainā, mēs varam izmantot informāciju no paplašinātas delegācijas ziņojumiem, ko sniedz Réseaux IP Européens Network Coordination Centre (RIPE NCC), reģionālais interneta reģistrs, kas aptver Ukrainu. Mēs analizējām arī BGP datus, kas savākti, lai iegūtu AS līmeņa savienojumus starp Ukrainas AS un citās valstīs reģistrētām AS, un uzskatām, ka tie ir vietējo AS starptautiskie savienojumi.

Laikrakstā The Economist 2022. gada martā rakstīja: "Pirmkārt, Ukraina var lepoties ar neparasti lielu interneta pakalpojumu sniedzēju skaitu - saskaņā ar vienu no aplēsēm valstī ir ceturtais viskoncentrētākais interneta tirgus pasaulē. Tas nozīmē, ka tīklā ir maz iejaukšanās, tāpēc to ir grūti atslēgt." Šobrīd Ukrainā ir reģistrētas 2190 autonomās sistēmas (UA AS), un 1574 no tām ir uzskaitītas kā aktīvas BGP maršrutēšanas tabulā. Šie skaitļi apstiprina rakstā sniegto raksturojumu, un turpmāk mēs aplūkojam dažus papildu novērojumus, kas pastiprina Ukrainas interneta noturību.

Iepriekš redzamajā attēlā attēlota akumulatīvā sadalījuma funkcija, kas parāda Ukrainas vietējo AS ar tiešiem savienojumiem ar starptautiskajiem tīkliem īpatsvaru. 2023. gada februārī aptuveni 50 % bija vairāk nekā viens (100) starptautiskais savienojums, aptuveni 10 % bija vairāk nekā 10, bet aptuveni 2 % bija 100 vai vairāk savienojumu. Lai gan šie skaitļi pēdējā gada laikā ir nedaudz samazinājušies, tie liecina par centralizētu vājo vietu neesamību Ukrainas internetā.

Tīkliem ar starptautisku savienojamību varam aplūkot arī "nākamā lēciena" valstu - valstu, ar kurām šie starptautiskie tīkli ir savienoti - sadalījumu (ņemiet vērā, ka dažiem tīkliem var būt globāls pārklājums, un tiem savienotā valsts ir tā, kas reģistrēta to autonomās sistēmas reģistrācijā). Zemāk dotais fona kartējuma salīdzinājums parāda, kā šis valstu kopums un to starptautisko ceļu īpatsvars mainījās laikā no 2022. gada februāra līdz 2023. gada februārim. Šo karšu pamatā esošie dati rāda, ka starptautiskais savienojums no Ukrainas ir sadalīts 18 valstīs - sagaidāmi, galvenokārt Eiropā.

2022. gada februārī šīs valstis/vietas veidoja 77 % starptautisko maršrutu no Ukrainas. Katrs no četriem galvenajiem maršrutiem veidoja 7,8 %. Tomēr 2023. gada februārī nākamo 10 lielāko valstu/galveno galamērķu īpatsvars nedaudz samazinājās līdz 76 % no starptautiskajiem maršrutiem. 2023. gada februārī šo valstu/galveno galamērķu īpatsvars nedaudz samazinājās līdz 76 % no visiem starptautiskajiem maršrutiem. Lai gan salīdzinājumā ar iepriekšējo gadu tās ir tikai nelielas izmaiņas, valstu/galamērķu kopums un daudzas to attiecīgās daļas ir būtiski mainījušās.

Krievijas daļa pieauga par 50 %, sasniedzot 11,6 %, un tā ieguva lielāko AS nākamās apiņu grupas daļu. Arī Vācijas daļa palielinājās līdz vairāk nekā 11 % no maršrutiem.

Satelīta Interneta pieslēgums

Cloudflare ir novērojis strauju ASN Starlink (AS14593) datplūsmas pieaugumu uz Ukrainu 2022. un 2023. gadā. No marta vidus līdz maija vidum Starlink datplūsma uz šo valsti pieauga par vairāk nekā 530%, un no maija vidus līdz novembra vidum tā turpināja pieaugt, šajā sešu mēnešu periodā palielinoties par gandrīz 300% - no marta vidus līdz decembra vidum procentuālais pieaugums bija vairāk nekā 1600%. Pēc tam satiksme stabilizējās un 2023. gada janvārī pat nedaudz samazinājās.

Mūsu dati liecina, ka no 2022. gada novembra līdz decembrim Starlink veidoja no 0,22 % līdz 0,3 % datplūsmas no Ukrainas, bet tagad šis rādītājs ir mazāks par 0,2 %.

Secinājumi

Gadu vēlāk karš Ukrainā ir prasījis neticami daudz cilvēku upuru. Arī internets Ukrainā ir kļuvis par kaujas lauku, kas pakļauts uzbrukumiem, maršruta maiņai un pārtraukumiem. Tomēr tas ir izrādījies ārkārtīgi izturīgs, atkal un atkal atgūstas no visām neveiksmēm.

Mēs zinām, ka vajadzība pēc droša un uzticama interneta ir lielāka nekā jebkad agrāk. Cloudflare ir apņēmies turpināt nodrošināt rīkus, kas aizsargā interneta pakalpojumus no kiberuzbrukumiem, palielina drošību reģionā strādājošajiem un dalās ar informāciju par interneta savienojamību un maršrutēšanu Ukrainā.