ፕሮሆስተር > ጦማር > አስተዳደር > በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው

በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው

"የእኛን ድረ-ገጽ የሰራው ሰው አስቀድሞ DDoS ጥበቃን አዘጋጅቷል."
"DDoS ጥበቃ አለን፣ ለምን ጣቢያው ወረደ?"
"Qrator ስንት ሺህ ይፈልጋል?"

ከደንበኛው / አለቃው እንደዚህ ያሉትን ጥያቄዎች በትክክል ለመመለስ, "DDoS ጥበቃ" ከሚለው ስም በስተጀርባ ምን እንደተደበቀ ማወቅ ጥሩ ይሆናል. የደህንነት አገልግሎቶችን መምረጥ በ IKEA ውስጥ ጠረጴዛ ከመምረጥ ይልቅ ከዶክተር መድሃኒት ከመምረጥ የበለጠ ነው.

ለ 11 ዓመታት ድህረ ገጾችን እየደገፍኩ ነው, በምደግፋቸው አገልግሎቶች ላይ በመቶዎች የሚቆጠሩ ጥቃቶችን ተርፌያለሁ, እና አሁን ስለ መከላከያ ውስጣዊ አሠራር ትንሽ እነግርዎታለሁ.
በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው
መደበኛ ጥቃቶች. 350k ሬክ ጠቅላላ፣ 52k req ህጋዊ

የመጀመሪያዎቹ ጥቃቶች ከበይነመረቡ ጋር በአንድ ጊዜ ታዩ። DDoS እንደ ክስተት ከ 2000 ዎቹ መገባደጃ ጀምሮ በስፋት ተስፋፍቷል (ይመልከቱ) www.cloudflare.com/learning/ddos/famous-ddos-attacks).
ከ 2015-2016 ጀምሮ ሁሉም ማለት ይቻላል አስተናጋጅ አቅራቢዎች ከ DDoS ጥቃቶች የተጠበቁ ናቸው ፣ እንደ በጣም ታዋቂ ጣቢያዎች በተወዳዳሪ ስፍራዎች (የድረ-ገጾቹን eldorado.ru ፣ leroymerlin.ru ፣ tilda.ws በ IP ያድርጉ ፣ አውታረ መረቦችን ያያሉ ። የመከላከያ ኦፕሬተሮች).

ከ 10-20 ዓመታት በፊት አብዛኛዎቹ ጥቃቶች በአገልጋዩ ላይ ሊመለሱ ይችላሉ (የ Lenta.ru ስርዓት አስተዳዳሪ ማክስም ሞሽኮቭ ከ 90 ዎቹ ምክሮችን ይገምግሙ። lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), አሁን ግን የመከላከያ ተግባራት በጣም አስቸጋሪ ሆነዋል.

የጥበቃ ኦፕሬተርን ከመምረጥ አንጻር የ DDoS ጥቃቶች ዓይነቶች

በL3/L4 ደረጃ ላይ ያሉ ጥቃቶች (እንደ OSI ሞዴል)

- የ UDP ጎርፍ ከ botnet (ብዙ ጥያቄዎች ከተበከሉ መሳሪያዎች በቀጥታ ወደ ጥቃት አገልግሎት ይላካሉ, አገልጋዮቹ ከሰርጡ ጋር ታግደዋል);
- ዲ ኤን ኤስ/ኤንቲፒ/ወዘተ ማጉላት (ብዙ ጥያቄዎች ከተበከሉ መሳሪያዎች ወደ ተጋላጭ ዲ ኤን ኤስ/ኤንቲፒ/ወዘተ ይላካሉ፣ የላኪው አድራሻ ፎርጅድ ነው፣ ለጥያቄዎች ምላሽ የሰጡ የፓኬቶች ደመና የተጠቃውን ሰው ቻናል ያጥለቀለቀውታል፣ በጣም የሚበዛው በዚህ መንገድ ነው። በዘመናዊው በይነመረብ ላይ ግዙፍ ጥቃቶች ይከናወናሉ);
- SYN / ACK ጎርፍ (ግንኙነት ለመመስረት ብዙ ጥያቄዎች ለተጠቁ አገልጋዮች ይላካሉ, የግንኙነት ወረፋው ሞልቷል);
- በፓኬት መበታተን፣ ሞት ፒንግ ኦፍ ሞት፣ ፒንግ ጎርፍ (Google it please);
- እናም ይቀጥላል.

እነዚህ ጥቃቶች የአገልጋዩን ሰርጥ "ለመዝጋት" ወይም አዲስ ትራፊክ የመቀበል ችሎታውን "መግደል" ነው።
ምንም እንኳን የ SYN/ACK የውኃ መጥለቅለቅ እና ማጉላት በጣም የተለያዩ ቢሆኑም ብዙ ኩባንያዎች በእኩልነት ይዋጋቸዋል። ከሚቀጥለው ቡድን ጥቃቶች ጋር ችግሮች ይነሳሉ.

በ L7 (የመተግበሪያ ንብርብር) ላይ የሚደረጉ ጥቃቶች

- http ጎርፍ (አንድ ድር ጣቢያ ወይም አንዳንድ http api ከተጠቃ);
- በጣቢያው ተጋላጭ ቦታዎች ላይ ጥቃት (መሸጎጫ የሌላቸው, ጣቢያውን በጣም የሚጫኑ, ወዘተ.).

ግቡ አገልጋዩ "ጠንክሮ እንዲሰራ" ማድረግ፣ ብዙ "እውነተኛ የሚመስሉ ጥያቄዎችን" ማስኬድ እና ለእውነተኛ ጥያቄዎች ያለ ግብዓት መተው ነው።

ምንም እንኳን ሌሎች ጥቃቶች ቢኖሩም, እነዚህ በጣም የተለመዱ ናቸው.

በ L7 ደረጃ ላይ ያሉ ከባድ ጥቃቶች ለእያንዳንዱ ፕሮጀክት ልዩ በሆነ መንገድ ይፈጠራሉ.

ለምን 2 ቡድኖች?
ምክንያቱም በኤል 3/ኤል 4 ደረጃ ጥቃትን እንዴት መመከት እንደሚቻል ጠንቅቀው የሚያውቁ ነገር ግን በአፕሊኬሽን ደረጃ (L7) ጨርሶ ጥበቃን የማይወስዱ ወይም አሁንም ከነሱ ጋር በመገናኘት ረገድ ከአማራጮች ይልቅ ደካማ የሆኑ ብዙ ናቸው።

በ DDoS ጥበቃ ገበያ ውስጥ ያለው ማን ነው?

(የእኔ የግል አስተያየት)

ጥበቃ በ L3/L4 ደረጃ

ጥቃቶችን በማጉላት (የአገልጋይ ሰርጥ "ማገድ") በቂ ሰፊ ሰርጦች አሉ (ብዙዎቹ የጥበቃ አገልግሎቶች በሩሲያ ከሚገኙት አብዛኞቹ ትላልቅ የጀርባ አጥንት አቅራቢዎች ጋር ይገናኛሉ እና ከ 1 Tbit በላይ የንድፈ ሃሳብ አቅም ያላቸው ሰርጦች አሏቸው)። በጣም አልፎ አልፎ የማጉላት ጥቃቶች ከአንድ ሰአት በላይ የሚቆዩ መሆናቸውን አይርሱ። Spamhaus ከሆንክ እና ሁሉም ሰው የማይወድህ ከሆነ፣ አዎን፣ ጥቅም ላይ የሚውለውን ዓለም አቀፋዊ ቦትኔት የመትረፍ አደጋ ላይ ቢሆንም፣ ሰርጦችህን ለብዙ ቀናት ለመዝጋት ሊሞክሩ ይችላሉ። የመስመር ላይ መደብር ብቻ ካለህ፣ ምንም እንኳን mvideo.ru ቢሆንም፣ በቅርብ ቀን ውስጥ 1 Tbit አታይም (ተስፋ አደርጋለሁ)።

በSYN/ACK የጎርፍ መጥለቅለቅ፣የፓኬት መቆራረጥ፣ወዘተ ጥቃቶችን ለመመከት፣እንዲህ አይነት ጥቃቶችን ለመለየት እና ለማስቆም መሳሪያ ወይም ሶፍትዌር ሲስተሞች ያስፈልግዎታል።
ብዙ ሰዎች እንደዚህ ያሉ መሳሪያዎችን ያመርታሉ (አርቦር ፣ ከሲስኮ ፣ የሁዋዌ ፣ የሶፍትዌር አተገባበር ከ Wanguard ፣ ወዘተ) ፣ ብዙ የጀርባ አጥንት ኦፕሬተሮች ቀድሞውኑ ተጭነዋል እና የ DDoS ጥበቃ አገልግሎቶችን ይሸጣሉ (ስለ ጭነቶች አውቃለሁ ከ Rostelecom ፣ Megafon ፣ TTK ፣ MTS እንደ እውነቱ ከሆነ ሁሉም ዋና አቅራቢዎች ከአስተናጋጆች ጋር ተመሳሳይ ነገር ያደርጋሉ ከራሳቸው ጥበቃ a-la OVH.com, Hetzner.de, እኔ ራሴ በ ihor.ru ጥበቃ አጋጥሞኛል). አንዳንድ ኩባንያዎች የራሳቸውን የሶፍትዌር መፍትሄዎች እያዘጋጁ ነው (እንደ ዲፒዲኬ ያሉ ቴክኖሎጂዎች በአንድ አካላዊ x86 ማሽን ላይ በአስር ጊጋ ቢት ትራፊክ እንዲሰሩ ያስችሉዎታል)።

ከታዋቂዎቹ ተጫዋቾች ውስጥ፣ ሁሉም ሰው L3/L4 DDoSን የበለጠ ወይም ያነሰ ውጤታማ በሆነ መንገድ መዋጋት ይችላል። አሁን ማን ትልቅ ከፍተኛ የሰርጥ አቅም እንዳለው አልናገርም (ይህ የውስጥ መረጃ ነው) ፣ ግን ብዙውን ጊዜ ይህ ያን ያህል አስፈላጊ አይደለም ፣ እና ብቸኛው ልዩነት ጥበቃው በምን ያህል ፍጥነት እንደሚቀሰቀስ ነው (ወዲያውኑ ወይም ከጥቂት ደቂቃዎች በኋላ የፕሮጀክት መቋረጥ ፣ እንደ Hetzner)።
ጥያቄው ይህ እንዴት በጥሩ ሁኔታ እንደተሰራ ነው፡- የማጉላት ጥቃት ከፍተኛ መጠን ያለው ጎጂ ትራፊክ ካለባቸው ሀገራት ትራፊክን በመዝጋት መከላከል ይቻላል ወይም በእውነቱ አላስፈላጊ ትራፊክ ብቻ መጣል ይችላል።
ግን በተመሳሳይ ጊዜ ፣ ​​በእኔ ልምድ ፣ ሁሉም ከባድ የገበያ ተጫዋቾች ይህንን ያለችግር ይቋቋማሉ-Qrator ፣ DDoS-Guard ፣ Kaspersky ፣ G-Core Labs (የቀድሞው SkyParkCDN) ፣ ServicePipe ፣ Stormwall ፣ Voxility ፣ ወዘተ.
እንደ Rostelecom ፣ Megafon ፣ TTK ፣ Beeline ካሉ ኦፕሬተሮች ጥበቃ አላጋጠመኝም ። ከባልደረባዎች በተሰጡት ግምገማዎች መሠረት እነዚህን አገልግሎቶች በጥሩ ሁኔታ ይሰጣሉ ፣ ግን እስካሁን ድረስ የልምድ እጥረት ከጊዜ ወደ ጊዜ እየጎዳ ነው ፣ አንዳንድ ጊዜ በድጋፍ በኩል የሆነ ነገር ማስተካከል ያስፈልግዎታል ። የመከላከያ ኦፕሬተር.
አንዳንድ ኦፕሬተሮች የተለየ አገልግሎት አላቸው “በ L3/L4 ደረጃ ከሚደርሱ ጥቃቶች ጥበቃ” ወይም “የሰርጥ ጥበቃ” ፣ ዋጋው በሁሉም ደረጃዎች ካለው ጥበቃ በጣም ያነሰ ነው።

የጀርባ አጥንት አቅራቢው የራሱ ቻናል ስለሌለው በመቶዎች የሚቆጠሩ ጂቢቶች ጥቃቶችን ለምን አይመልስም?የጥበቃ ኦፕሬተሩ ከማንኛቸውም ዋና ዋና አቅራቢዎች ጋር መገናኘት እና “በወጪው” ጥቃቶችን መቀልበስ ይችላል። ለሰርጡ መክፈል አለቦት፣ ነገር ግን እነዚህ ሁሉ በመቶዎች የሚቆጠሩ ጂቢቶች ሁልጊዜ ጥቅም ላይ አይውሉም፣ በዚህ ጉዳይ ላይ የሰርጦችን ዋጋ በእጅጉ የሚቀንሱ አማራጮች አሉ፣ ስለዚህ እቅዱ ሊሠራ የሚችል ሆኖ ይቆያል።
በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው
እነዚህ የማስተናገጃ አቅራቢውን ስርዓቶች እየደገፍኩ ከከፍተኛ ደረጃ L3/L4 ጥበቃ በመደበኛነት የተቀበልኳቸው ሪፖርቶች ናቸው።

ጥበቃ በ L7 ደረጃ (የመተግበሪያ ደረጃ)

በ L7 ደረጃ (የመተግበሪያ ደረጃ) ላይ የሚደረጉ ጥቃቶች አሃዶችን በተከታታይ እና በብቃት መቀልበስ ይችላሉ።
ብዙ እውነተኛ ልምድ አለኝ
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- ካስፐርስኪ.

ለእያንዳንዱ ሜጋ ቢት ንጹህ ትራፊክ ያስከፍላሉ, አንድ megabit ወደ ብዙ ሺህ ሮቤል ያወጣል. ቢያንስ 100Mbps ንጹህ ትራፊክ ካለህ - ኦህ። ጥበቃ በጣም ውድ ይሆናል. በደህንነት ቻናሎች አቅም ላይ ብዙ ለመቆጠብ አፕሊኬሽኖችን እንዴት እንደሚነድፍ በሚቀጥሉት ጽሁፎች ልነግርዎ እችላለሁ።
ትክክለኛው "የተራራው ንጉስ" Qrator.net ነው, የተቀሩት ከኋላቸው ቀርተዋል. Qrator እስካሁን ባለው ልምድ ውስጥ ወደ ዜሮ የሚጠጉ የውሸት አወንታዊ ውጤቶችን በመቶኛ የሚሰጡ ብቻ ናቸው ፣ ግን በተመሳሳይ ጊዜ ከሌሎች የገበያ ተጫዋቾች በብዙ እጥፍ የበለጠ ውድ ናቸው።

ሌሎች ኦፕሬተሮችም ከፍተኛ ጥራት ያለው እና የተረጋጋ ጥበቃ ይሰጣሉ. በእኛ የሚደገፉ ብዙ አገልግሎቶች (በአገሪቱ ውስጥ በጣም የታወቁትን ጨምሮ!) ከ DDoS-Guard, G-Core Labs የተጠበቁ ናቸው, እና በተገኘው ውጤት በጣም ረክተዋል.
በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው
በQrator የተመለሱ ጥቃቶች

እንደ Cloud-shield.ru, ddosa.net, በሺዎች ከሚቆጠሩት አነስተኛ የደህንነት ኦፕሬተሮች ጋር ልምድ አለኝ. በእርግጠኝነት አልመክረውም, ምክንያቱም ... ብዙ ልምድ የለኝም, ግን ስለ ሥራቸው መርሆዎች እነግራችኋለሁ. የእነሱ የጥበቃ ዋጋ ብዙውን ጊዜ ከዋና ዋና ተጫዋቾች 1-2 ትዕዛዞች ያነሰ ነው። እንደ አንድ ደንብ, ከትላልቅ ተጫዋቾች መካከል ከፊል ጥበቃ አገልግሎት (L3 / L4) ይገዛሉ + በከፍተኛ ደረጃ ላይ ከሚደርሱ ጥቃቶች የራሳቸውን ጥበቃ ያደርጋሉ. ይህ በጣም ውጤታማ ሊሆን ይችላል።

በ L7 ደረጃ ጥቃቶችን የመቋቋም ችግር ምንድነው?

ሁሉም መተግበሪያዎች ልዩ ናቸው እና ለእነሱ ጠቃሚ የሆነ ትራፊክ መፍቀድ እና ጎጂ የሆኑትን ማገድ ያስፈልግዎታል. ቦቶችን በማያሻማ ሁኔታ ማረም ሁልጊዜ አይቻልም፣ስለዚህ ብዙ፣ በእርግጥ ብዙ የትራፊክ ማጥራት ደረጃዎችን መጠቀም አለቦት።

በአንድ ወቅት የ nginx-testcookie ሞጁል በቂ ነበር (https://github.com/kyprizel/testcookie-nginx-module), እና ብዙ ቁጥር ያላቸውን ጥቃቶች ለማስወገድ አሁንም በቂ ነው. በአስተናጋጅ ኢንዱስትሪ ውስጥ ስሠራ, L7 ጥበቃ በ nginx-testcookie ላይ የተመሰረተ ነበር.
በሚያሳዝን ሁኔታ, ጥቃቶች የበለጠ አስቸጋሪ ሆነዋል. testcookie በJS ላይ የተመሰረቱ ቦቶች ቼኮችን ይጠቀማል፣ እና ብዙ ዘመናዊ ቦቶች በተሳካ ሁኔታ ሊያልፏቸው ይችላሉ።

የጥቃት ቦቶችም ልዩ ናቸው, እና የእያንዳንዱ ትልቅ ቦትኔት ባህሪያት ግምት ውስጥ መግባት አለባቸው.
ማጉላት ፣ ከ botnet በቀጥታ የጎርፍ መጥለቅለቅ ፣ ከተለያዩ ሀገሮች ትራፊክ ማጣራት (የተለያዩ አገሮች ማጣሪያ) ፣ SYN/ACK ጎርፍ ፣ ፓኬት መቆራረጥ ፣ ICMP ፣ http ጎርፍ ፣ በመተግበሪያው / http ደረጃ ያልተገደበ ቁጥር ይዘው መምጣት ይችላሉ የተለያዩ ጥቃቶች.
በጠቅላላው, በሰርጥ ጥበቃ ደረጃ, ትራፊክን ለማጽዳት ልዩ መሳሪያዎች, ልዩ ሶፍትዌር, ለእያንዳንዱ ደንበኛ ተጨማሪ የማጣሪያ ቅንጅቶች በአስር እና በመቶዎች የሚቆጠሩ የማጣሪያ ደረጃዎች ሊኖሩ ይችላሉ.
ይህንን በትክክል ለማስተዳደር እና ለተለያዩ ተጠቃሚዎች የማጣሪያ ቅንጅቶችን በትክክል ለማስተካከል ብዙ ልምድ እና ብቁ ሰራተኞች ያስፈልግዎታል። የጥበቃ አገልግሎት ለመስጠት የወሰነ አንድ ትልቅ ኦፕሬተር እንኳን "በችግሩ ላይ ገንዘብን በስንፍና መጣል" አይችልም: ልምድ ከውሸት ጣቢያዎች እና በህጋዊ ትራፊክ ላይ የውሸት አወንታዊ ውጤቶችን ማግኘት አለበት.
ለደህንነት ኦፕሬተር ምንም አይነት "Repel DDoS" አዝራር የለም, ብዙ ቁጥር ያላቸው መሳሪያዎች አሉ, እና እንዴት እንደሚጠቀሙባቸው ማወቅ አለብዎት.

እና አንድ ተጨማሪ የጉርሻ ምሳሌ።
በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው
ጥበቃ ያልተደረገለት አገልጋይ 600 Mbit አቅም ባለው ጥቃት በአስተናጋጁ ታግዷል
(የትራፊክ "መጥፋት" የሚታይ አይደለም, ምክንያቱም 1 ጣቢያ ብቻ ጥቃት ደርሶበታል, ለጊዜው ከአገልጋዩ ላይ ተወግዷል እና እገዳው በአንድ ሰአት ውስጥ ተነስቷል).
በ DDoS ጥበቃ ገበያ ውስጥ ምን እና ማን ነው ያለው
ያው አገልጋይ የተጠበቀ ነው። አጥቂዎቹ ከአንድ ቀን ጥቃት በኋላ “እጅ ሰጡ”። ጥቃቱ ራሱ በጣም ጠንካራ አልነበረም.

የኤል 3/ኤል 4 ጥቃት እና መከላከል የበለጠ ቀላል ናቸው፡ በዋናነት በሰርጡ ውፍረት፣ ለጥቃቶች ፍለጋ እና ማጣሪያ ስልተ ቀመሮች ይወሰናል።
L7 ጥቃቶች የበለጠ ውስብስብ እና ኦሪጅናል ናቸው፤ እነሱ በተጠቃው መተግበሪያ፣ የአጥቂዎቹ አቅም እና ምናብ ላይ ይመሰረታሉ። ለእነሱ ጥበቃ ብዙ እውቀት እና ልምድ ይጠይቃል, ውጤቱም ወዲያውኑ ላይሆን ይችላል እና መቶ በመቶ ላይሆን ይችላል. ጎግል ለጥበቃ ሌላ የነርቭ ኔትወርክ እስካመጣ ድረስ።

ምንጭ: hab.com

አስተያየት ያክሉ