"Die seun wat die webwerf vir ons gemaak het, het reeds DDoS-beskerming opgestel."
"Ons het DDoS-beskerming, hoekom het die webwerf afgegaan?"
"Hoeveel duisende wil Qrator hê?"
Om gewoonlik sulke vrae van die kliënt / baas te beantwoord, sal dit lekker wees om te weet wat agter die naam “DDoS-beskerming” skuil. Om beskermingsdienste te kies is meer soos om 'n medisyne deur 'n dokter te kies as om 'n tafel by IKEA te kies.
Ek ondersteun al 11 jaar webwerwe, ek het honderde aanvalle ervaar op die dienste wat ek ondersteun, en nou sal ek bietjie praat oor die interne beskermingskombuis.
Gereelde aanvalle. 350k req totaal, 52k req wettig
Die eerste aanvalle het feitlik gelyktydig met die internet verskyn. DDoS as 'n verskynsel het sedert die laat 2000's massief geword (kyk ).
Sedert ongeveer 2015-2016 het byna alle gasheerverskaffers onder beskerming gekom teen DDoS-aanvalle, soos die meeste van die noemenswaardige werwe in mededingende gebiede (doen whois op die IP-webwerwe eldorado.ru, leroymerlin.ru, tilda.ws, jy sal die netwerke van beskermingsoperateurs).
As 10-20 jaar gelede die meeste aanvalle op die bediener self afgeweer kon word (evalueer die aanbevelings van Lenta.ru-stelseladministrateur Maxim Moshkov uit die 90's: ), maar nou het die take van beskerming moeiliker geword.
Tipes DDoS-aanvalle in terme van die keuse van 'n beskermingsoperateur
Aanvalle op die L3 / L4-vlak (volgens die OSI-model)
- UDP-vloed vanaf 'n botnet (baie versoeke word direk vanaf besmette toestelle na die aangeval diens gestuur, die kanaal word na die bedieners oorstroom);
- DNS/NTP/ens versterking (baie versoeke word van besmette toestelle na kwesbare DNS/NTP/ens gestuur, die sender se adres is vervals, 'n wolk van pakkies met antwoorde op navrae oorstroom die kanaal na die een wat aangeval word; dit is hoe die mees massiewe aanvalle op die moderne internet word uitgevoer);
— SYN / ACK-vloed (baie versoeke om 'n verbinding te vestig word na die aangeval bedieners gestuur, die verbindingsry loop oor);
- Pakkie fragmentasie aanvalle, ping of death, ping vloed (google plz);
- en so aan.
Hierdie aanvalle het ten doel om die kanaal na die bediener te "vul" of sy vermoë om nuwe verkeer te aanvaar, te "dood".
Alhoewel SYN/ACK-oorstroming en versterking baie verskil, hanteer baie maatskappye dit ewe goed. Probleme ontstaan met aanvalle van die volgende groep.
Aanvalle op L7 (toepassingslaag)
- http-vloed (as 'n webwerf of 'n http-api aangeval word);
- 'n aanval op kwesbare dele van die webwerf (met geen kas, baie swaar laai die webwerf, ens.).
Die doel is om die bediener "hard te laat werk", baie "oënskynlik regte versoeke" te verwerk en sonder hulpbronne gelaat te word vir werklike versoeke.
Alhoewel daar ander aanvalle is, is dit die algemeenste.
Ernstige aanvalle op L7-vlak word op 'n unieke manier vir elke aangeval projek geskep.
Hoekom 2 groepe?
Want daar is baie wat goed is om aanvalle op die L3 / L4-vlak af te weer, maar óf glad nie beskerming op die toepassingsvlak (L7) opneem nie, óf steeds swakker is as hul alternatiewe.
Wie is wie in die DDoS-beskermingsmark
(my persoonlike siening)
L3/L4 beskerming
Om aanvalle met versterking (“blokkering” van die bedienerkanaal) af te weer, is wye kanale genoeg (baie van die beskermingsdienste koppel aan die meeste groot ruggraatverskaffers in Rusland en het kanale met 'n teoretiese kapasiteit van meer as 1 Tbit). Moenie vergeet dat baie seldsame versterkingsaanvalle langer as 'n uur duur nie. As jy Spamhaus is en almal hou nie van jou nie, ja, hulle kan probeer om jou kanale vir 'n paar dae af te sluit, selfs met die risiko van verdere oorlewing van die globale botnet wat gebruik word. As jy net 'n aanlyn winkel het, al is dit mvideo.ru - sal jy binne 'n paar dae baie gou 1 Tbit sien (hoop ek).
Om aanvalle met SYN / ACK-vloed, pakkiefragmentasie af te weer, benodig u natuurlik toerusting of sagtewarestelsels om sulke aanvalle op te spoor en af te sny.
Baie mense produseer sulke toerusting (Arbor, daar is oplossings van Cisco, Huawei, sagteware-implementerings van Wanguard, ens.), baie ruggraatoperateurs het dit reeds geïnstalleer en verkoop DDoS-beskermingsdienste (ek weet van installasies van Rostelecom, Megafon, TTK, MTS , trouens, met alle groot verskaffers, gasheer doen dieselfde met hul beskerming a-la OVH.com, Hetzner.de, hy het self beskerming in ihor.ru teëgekom). Sommige maatskappye ontwikkel hul eie sagteware-oplossings (tegnologieë soos DPDK laat die verwerking van tiene gigabit-verkeer op een fisiese x86-masjien toe).
Van die bekende spelers is almal in staat om L3 / L4 DDoS min of meer effektief af te weer. Ek sal nie nou sê wie meer maksimum kanaalkapasiteit het nie (dit is binne-inligting), maar gewoonlik is dit nie so belangrik nie, en die enigste verskil is hoe vinnig die beskerming werk (onmiddellik of na 'n paar minute se stilstand van die projek, soos in Hetzner).
Die vraag is hoe goed dit gedoen word: 'n versterkingsaanval kan afgeweer word deur verkeer van lande met die grootste hoeveelheid skadelike verkeer te blokkeer, of slegs werklik onnodige verkeer kan weggegooi word.
Maar terselfdertyd, op grond van my ervaring, hanteer alle ernstige markspelers dit sonder probleme: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (voorheen SkyParkCDN), ServicePipe, Stormwall, Voxility, ens.
Ek het nog nie beskerming teen operateurs soos Rostelecom, Megafon, TTK, Beeline teëgekom nie, volgens kollegas lewer hulle hierdie dienste met voldoende gehalte, maar tot dusver het die gebrek aan ondervinding van tyd tot tyd 'n invloed: soms moet jy iets deur die ondersteuning verknoei van die beskermingsoperateur.
Sommige operateurs het 'n aparte diens "beskerming teen aanvalle op die L3 / L4-vlak", of "beskerming van kanale", dit kos baie minder as beskerming op alle vlakke.
Maar hoe kan 'n ruggraatverskaffer aanvalle van honderde Gbps afweer, aangesien dit nie sy eie kanale het nie?Die beskermingsoperateur kan met enige van die groot verskaffers koppel en aanvalle "op sy koste" afweer. Jy sal vir die kanaal moet betaal, maar al hierdie honderde Gbps sal nie altyd benut word nie, daar is opsies vir 'n aansienlike vermindering in die koste van kanale in hierdie geval, so die skema bly werkbaar.
Dit is die verslae wat ek gereeld van die stroomop L3 / L4-beskerming ontvang het, wat die stelsels van die gasheerverskaffer ondersteun.
L7-sekuriteit (toepassingslaag)
Aanvalle op die L7-vlak (toepassingsvlak) is in staat om eenhede konsekwent en doeltreffend te tref.
Ek het werklik genoeg ondervinding met
Qrator.net
— DDoS-wag;
- G-Core Labs;
- Kaspersky.
Hulle vra vir elke megabit netto verkeer, 'n megabit kos ongeveer 'n paar duisend roebels. As jy ten minste 100 Mbps se suiwer verkeer het - o. Verdediging sal baie duur wees. Ek kan in die volgende artikels vertel hoe om toepassings te ontwerp om baie goed op die kapasiteit van beskermingskanale te bespaar.
Die ware “koning van die heuwel” is Qrator.net, die res is agter. Tot dusver is Qrator die enigste een in my praktyk wat 'n persentasie vals positiewes naby aan nul gee, maar terselfdertyd is dit 'n paar keer duurder as ander markspelers.
Ander operateurs bied ook hoë gehalte en stabiele beskerming. Baie dienste wat ons ondersteun (insluitend baie bekendes in die land!) word beskerm deur DDoS-Guard, G-Core Labs, en is redelik tevrede met die resultaat.
Aanvalle wat deur Qrator afgeweer is
Daar is ook ondervinding met klein beskermingsoperateurs soos cloud-shield.ru, ddosa.net, duisende van hulle. Ek sal beslis nie aanbeveel nie, want. ervaring is nie baie groot nie, ek sal jou vertel van die beginsels van hul werk. Hul koste van beskerming is dikwels 1-2 ordes van grootte laer as dié van groot spelers. As 'n reël koop hulle 'n gedeeltelike beskermingsdiens (L3 / L4) van een van die groter spelers + maak hul eie beskerming teen aanvalle op hoër vlakke. Dit kan redelik effektief wees + jy kan 'n goeie diens kry vir minder geld, maar dit is steeds klein maatskappye met 'n klein personeel, let wel.
Wat is die moeilikheid om aanvalle op die L7-vlak af te weer?
Alle toepassings is uniek, en jy moet verkeer toelaat wat vir hulle nuttig is en skadelike verkeer blokkeer. Dit is nie altyd moontlik om bots onomwonde uit te wis nie, so jy moet baie, regtig BAIE vlakke van verkeerskoonmaak gebruik.
Eens op 'n tyd was die nginx-toetskoekie-module genoeg (), en dit is steeds genoeg om 'n groot aantal aanvalle af te weer. Toe ek in die gasheerbedryf gewerk het, het L7 beskerming net op nginx-toetskoekie gebou.
Helaas, die aanvalle het moeiliker geword. toetskoekie gebruik JS-gebaseerde botkontroles, en baie moderne bots kan dit suksesvol slaag.
Aanval-botnets is ook uniek, en elke groot botnet moet oorweeg word.
Versterking, direkte vloed vanaf 'n botnet, filter verkeer van verskillende lande (verskillende filtering vir verskillende lande), SYN / ACK vloed, pakkie fragmentasie, ICMP, http vloed, terwyl u op die toepassing / http-vlak 'n onbeperkte aantal verskillende aanvalle.
In totaal, op die vlak van kanaalbeskerming, gespesialiseerde toerusting vir die skoonmaak van verkeer, spesiale sagteware, bykomende filterinstellings vir elke kliënt, kan daar tiene en honderde filtervlakke wees.
Om dit behoorlik te bestuur en die filterinstellings korrek vir verskillende gebruikers in te stel, benodig jy baie ondervinding en gekwalifiseerde personeel. Selfs 'n groot operateur wat besluit om beskermingsdienste te verskaf, kan nie "dom geld na die probleem gooi" nie: ondervinding sal opgedoen moet word op leuenwerwe en vals positiewe oor wettige verkeer.
Daar is geen “repel DDoS”-knoppie vir die beskermingsoperateur nie, daar is 'n groot aantal gereedskap, jy moet dit kan gebruik.
En nog 'n bonus voorbeeld.
Die bediener sonder beskerming is deur die gasheer geblokkeer tydens 'n aanval met 'n kapasiteit van 600 Mbps
("Verdwyning" van verkeer is nie opmerklik nie, want slegs 1 webwerf is aangeval, dit is tydelik van die bediener verwyder en die blokkering is binne 'n uur opgehef).
Dieselfde bediener is beskerm. Die aanvallers het “oorgegee” ná ’n dag van afgeweerde aanvalle. Die aanval self was nie die sterkste nie.
Aanval en verdediging van L3/L4 is meer triviaal, hoofsaaklik afhangende van die kanaaldikte, opsporingsalgoritmes en aanvalfiltrering.
L7-aanvalle is meer kompleks en oorspronklik, dit hang af van die aanvallende toepassing, vermoëns en verbeelding van die aanvallers. Beskerming teen hulle vereis groot kennis en ervaring, en die resultaat is dalk nie onmiddellik en nie honderd persent nie. Totdat Google met 'n ander neurale netwerk vir beskerming vorendag gekom het.
Bron: will.com