ProHoster > بلوق > إدارة > ما هو وماذا ومن هو في سوق حماية DDoS

ما هو وماذا ومن هو في سوق حماية DDoS

"الرجل الذي أنشأ موقعنا قام بالفعل بإعداد حماية ضد DDoS."
"لدينا حماية ضد DDoS، لماذا تعطل الموقع؟"
"كم عدد الآلاف التي يريدها قوراتور؟"

من أجل الإجابة بشكل صحيح على مثل هذه الأسئلة من العميل/الرئيس، سيكون من الجيد معرفة ما هو مخفي وراء اسم "حماية DDoS". إن اختيار الخدمات الأمنية يشبه اختيار دواء من الطبيب أكثر من اختيار طاولة في ايكيا.

أنا أدعم مواقع الويب منذ 11 عامًا، وقد نجوت من مئات الهجمات على الخدمات التي أدعمها، والآن سأخبركم قليلًا عن آلية العمل الداخلية للحماية.
ما هو وماذا ومن هو في سوق حماية DDoS
هجمات منتظمة. إجمالي 350 ألف طلب، 52 ألف طلب شرعي

ظهرت الهجمات الأولى في وقت واحد تقريبًا مع ظهور الإنترنت. أصبحت ظاهرة DDoS منتشرة على نطاق واسع منذ أواخر العقد الأول من القرن الحادي والعشرين (راجع www.cloudflare.com/learning/ddos/famous-ddos-attacks).
منذ عام 2015-2016 تقريبًا، تمت حماية جميع مقدمي خدمات الاستضافة تقريبًا من هجمات DDoS، كما هو الحال مع معظم المواقع البارزة في المناطق التنافسية (افعل whois عن طريق IP للمواقع eldorado.ru، leroymerlin.ru، tilda.ws، سترى الشبكات من مشغلي الحماية).

إذا كان من الممكن صد معظم الهجمات منذ 10 إلى 20 عامًا على الخادم نفسه (قم بتقييم توصيات مسؤول نظام Lenta.ru مكسيم موشكوف من التسعينيات: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10)، ولكن مهام الحماية أصبحت الآن أكثر صعوبة.

أنواع هجمات DDoS من وجهة نظر اختيار مشغل الحماية

الهجمات على مستوى L3/L4 (وفقًا لنموذج OSI)

- تدفق UDP من شبكة الروبوتات (يتم إرسال العديد من الطلبات مباشرة من الأجهزة المصابة إلى الخدمة التي تمت مهاجمتها، ويتم حظر الخوادم بالقناة)؛
— تضخيم DNS/NTP/إلخ (يتم إرسال العديد من الطلبات من الأجهزة المصابة إلى DNS/NTP/إلخ المعرضة للخطر، ويتم تزوير عنوان المرسل، وتغمر سحابة من الحزم التي تستجيب للطلبات قناة الشخص الذي يتعرض للهجوم؛ وهذه هي الطريقة الأكثر شيوعًا يتم تنفيذ هجمات واسعة النطاق على شبكة الإنترنت الحديثة)؛
- فيضانات SYN / ACK (يتم إرسال العديد من طلبات إنشاء اتصال إلى الخوادم التي تمت مهاجمتها، وتتجاوز قائمة انتظار الاتصال)؛
- الهجمات باستخدام تجزئة الحزمة، واختبار الموت، وتدفق الاتصال (ابحث عنه في Google من فضلك)؛
- وما إلى ذلك وهلم جرا.

تهدف هذه الهجمات إلى "سد" قناة الخادم أو "قتل" قدرته على قبول حركة المرور الجديدة.
على الرغم من أن فيضان SYN/ACK والتضخيم مختلفان تمامًا، إلا أن العديد من الشركات تكافحهما بشكل متساوٍ. تنشأ المشاكل مع هجمات المجموعة التالية.

الهجمات على L7 (طبقة التطبيق)

— طوفان http (في حالة تعرض موقع ويب أو بعض واجهة برمجة تطبيقات http للهجوم)؛
— هجوم على المناطق الضعيفة في الموقع (تلك التي لا تحتوي على ذاكرة تخزين مؤقت، والتي تقوم بتحميل الموقع بشكل كبير جدًا، وما إلى ذلك).

الهدف هو جعل الخادم "يعمل بجد" ومعالجة الكثير من "الطلبات التي تبدو حقيقية" وتركه بدون موارد للطلبات الحقيقية.

وعلى الرغم من وجود هجمات أخرى، إلا أن هذه هي الأكثر شيوعًا.

يتم إنشاء الهجمات الخطيرة على المستوى L7 بطريقة فريدة لكل مشروع يتم مهاجمته.

لماذا مجموعتان؟
لأن هناك الكثير ممن يعرفون كيفية صد الهجمات بشكل جيد على مستوى L3 / L4، لكنهم إما لا يأخذون الحماية على مستوى التطبيق (L7) على الإطلاق، أو أنهم لا يزالون أضعف من البدائل في التعامل معها.

من هو في سوق حماية DDoS

(رأيي الشخصي)

الحماية على مستوى L3/L4

لصد الهجمات بالتضخيم ("انسداد" قناة الخادم)، توجد قنوات واسعة كافية (تتصل العديد من خدمات الحماية بمعظم موفري الخدمات الأساسية الكبار في روسيا ولديها قنوات بسعة نظرية تزيد عن 1 تيرابايت). ولا تنس أن هجمات التضخيم النادرة جدًا تستمر لفترة أطول من ساعة. إذا كنت من أعضاء Spamhaus وكان الجميع لا يحبونك، فنعم، قد يحاولون إغلاق قنواتك لعدة أيام، حتى مع المخاطرة باستمرار استخدام شبكة الروبوتات العالمية. إذا كان لديك متجرًا عبر الإنترنت، حتى لو كان mvideo.ru، فلن ترى 1 تيرابايت في غضون أيام قليلة قريبًا جدًا (آمل ذلك).

لصد الهجمات باستخدام غمر SYN/ACK، وتجزئة الحزمة، وما إلى ذلك، تحتاج إلى معدات أو أنظمة برمجية لاكتشاف مثل هذه الهجمات وإيقافها.
يقوم العديد من الأشخاص بإنتاج مثل هذه المعدات (Arbor، هناك حلول من Cisco وHuawei وتطبيقات البرامج من Wanguard وما إلى ذلك)، وقد قام العديد من مشغلي العمود الفقري بتثبيتها بالفعل وبيع خدمات حماية DDoS (أعرف عمليات التثبيت من Rostelecom وMegafon وTTK وMTS ، في الواقع، جميع مقدمي الخدمة الرئيسيين يفعلون نفس الشيء مع المضيفين مع حمايتهم الخاصة مثل a-la OVH.com، Hetzner.de، لقد واجهت الحماية على ihor.ru). تقوم بعض الشركات بتطوير حلول برمجية خاصة بها (تقنيات مثل DPDK تسمح لك بمعالجة عشرات الجيجابايت من حركة المرور على جهاز فعلي واحد يعمل بنظام x86).

من بين اللاعبين المشهورين، يمكن للجميع محاربة L3/L4 DDoS بشكل أكثر أو أقل فعالية. لن أقول الآن من لديه السعة القصوى للقناة (هذه معلومات داخلية)، ولكن عادةً لا يكون هذا مهمًا جدًا، والفرق الوحيد هو مدى سرعة تشغيل الحماية (على الفور أو بعد بضع دقائق من توقف المشروع، كما في هيتزنر).
والسؤال هو إلى أي مدى يتم تنفيذ ذلك بشكل جيد: يمكن صد هجوم التضخيم عن طريق منع حركة المرور من البلدان التي لديها أكبر قدر من حركة المرور الضارة، أو يمكن التخلص فقط من حركة المرور غير الضرورية حقًا.
ولكن في الوقت نفسه، بناءً على تجربتي، يتعامل جميع اللاعبين الجادين في السوق مع هذا دون مشاكل: Qrator، وDDoS-Guard، وKaspersky، وG-Core Labs (SkyParkCDN سابقًا)، وServicePipe، وStormwall، وVoxility، وما إلى ذلك.
لم أواجه الحماية من مشغلين مثل Rostelecom، Megafon، TTK، Beeline؛ وفقًا لمراجعات الزملاء، فإنهم يقدمون هذه الخدمات جيدًا، ولكن حتى الآن يؤثر نقص الخبرة بشكل دوري: في بعض الأحيان تحتاج إلى تعديل شيء ما من خلال الدعم من عامل الحماية.
لدى بعض المشغلين خدمة منفصلة "الحماية ضد الهجمات على مستوى L3/L4"، أو "حماية القناة"؛ وهي تكلف أقل بكثير من الحماية على جميع المستويات.

لماذا لا يكون المزود الأساسي هو الذي يصد هجمات مئات جيجابت، لأنه لا يملك قنواته الخاصة؟يمكن لمشغل الحماية الاتصال بأي من مقدمي الخدمات الرئيسيين وصد الهجمات "على نفقته الخاصة". سيتعين عليك الدفع مقابل القناة، ولكن لن يتم دائمًا استخدام كل هذه المئات من جيجابت، فهناك خيارات لتقليل تكلفة القنوات بشكل كبير في هذه الحالة، لذلك يظل المخطط قابلاً للتطبيق.
ما هو وماذا ومن هو في سوق حماية DDoS
هذه هي التقارير التي أتلقاها بانتظام من مستوى الحماية L3/L4 الأعلى أثناء دعم أنظمة موفر الاستضافة.

الحماية على مستوى L7 (مستوى التطبيق)

الهجمات على المستوى L7 (مستوى التطبيق) قادرة على صد الوحدات باستمرار وكفاءة.
لدي الكثير من الخبرة الحقيقية مع
— قراتور.نت؛
- حارس DDoS؛
- مختبرات جي كور؛
— كاسبيرسكي.

إنهم يتقاضون رسومًا مقابل كل ميغابت من حركة المرور النقية، حيث تبلغ تكلفة الميجابت حوالي عدة آلاف روبل. إذا كان لديك ما لا يقل عن 100 ميجابت في الثانية من حركة المرور النقية - أوه. الحماية ستكون مكلفة للغاية. يمكنني أن أخبرك في المقالات التالية عن كيفية تصميم التطبيقات لتوفير الكثير من سعة القنوات الأمنية.
"ملك التل" الحقيقي هو Qrator.net، والباقي متخلف عنهم. Qrator هي الوحيدة في تجربتي حتى الآن التي تعطي نسبة من النتائج الإيجابية الكاذبة قريبة من الصفر، ولكنها في الوقت نفسه أغلى بعدة مرات من اللاعبين الآخرين في السوق.

كما يوفر المشغلون الآخرون حماية عالية الجودة ومستقرة. العديد من الخدمات التي ندعمها (بما في ذلك الخدمات المعروفة جدًا في الدولة!) محمية من DDoS-Guard وG-Core Labs، وهي راضية تمامًا عن النتائج التي تم الحصول عليها.
ما هو وماذا ومن هو في سوق حماية DDoS
صد الهجمات من قبل Qrator

لدي أيضًا خبرة مع مشغلي الأمان الصغار مثل cloud-shield.ru وddosa.net والآلاف منهم. بالتأكيد لن أوصي به، لأنه... ليس لدي الكثير من الخبرة، ولكن سأخبرك عن مبادئ عملهم. غالبًا ما تكون تكلفة الحماية الخاصة بهم أقل بمقدار 1-2 مرات من تكلفة الحماية الخاصة باللاعبين الرئيسيين. كقاعدة عامة، يشترون خدمة الحماية الجزئية (L3/L4) من أحد اللاعبين الكبار + ويقومون بالحماية الخاصة بهم ضد الهجمات في المستويات الأعلى. يمكن أن يكون هذا فعالاً للغاية + يمكنك الحصول على خدمة جيدة مقابل أموال أقل، ولكن هذه لا تزال شركات صغيرة بها عدد قليل من الموظفين، يرجى وضع ذلك في الاعتبار.

ما هي صعوبة صد الهجمات على المستوى L7؟

جميع التطبيقات فريدة من نوعها، وتحتاج إلى السماح بحركة المرور المفيدة لها وحظر تلك الضارة. ليس من الممكن دائمًا التخلص من الروبوتات بشكل لا لبس فيه، لذلك يتعين عليك استخدام العديد والعديد من درجات تنقية حركة المرور.

ذات مرة، كانت وحدة nginx-testcookie كافية (https://github.com/kyprizel/testcookie-nginx-module)، وما زال كافياً لصد عدد كبير من الهجمات. عندما كنت أعمل في مجال الاستضافة، كانت حماية L7 تعتمد على nginx-testcookie.
ولسوء الحظ، أصبحت الهجمات أكثر صعوبة. يستخدم testcookie اختبارات الروبوت المستندة إلى JS، ويمكن للعديد من الروبوتات الحديثة اجتيازها بنجاح.

تعتبر شبكات الروبوت الهجومية أيضًا فريدة من نوعها، ويجب أن تؤخذ في الاعتبار خصائص كل شبكة روبوت كبيرة.
التضخيم، والتدفق المباشر من الروبوتات، وتصفية حركة المرور من بلدان مختلفة (تصفية مختلفة لبلدان مختلفة)، وتدفق SYN/ACK، وتجزئة الحزم، وICMP، وتدفق http، بينما على مستوى التطبيق/http يمكنك التوصل إلى عدد غير محدود من هجمات مختلفة.
في المجموع، على مستوى حماية القناة، يمكن أن يكون هناك عشرات ومئات من مستويات التصفية، ومعدات متخصصة لتنظيف حركة المرور، وبرامج خاصة، وإعدادات التصفية الإضافية لكل عميل.
لإدارة هذا الأمر بشكل صحيح وضبط إعدادات التصفية لمختلف المستخدمين بشكل صحيح، فإنك تحتاج إلى الكثير من الخبرة والموظفين المؤهلين. حتى المشغل الكبير الذي قرر تقديم خدمات الحماية لا يمكنه "إلقاء الأموال بغباء على المشكلة": يجب اكتساب الخبرة من المواقع الكاذبة والإيجابيات الكاذبة بشأن حركة المرور المشروعة.
لا يوجد زر "صد DDoS" لمشغل الأمان، هناك عدد كبير من الأدوات، ويجب أن تعرف كيفية استخدامها.

ومثال آخر للمكافأة.
ما هو وماذا ومن هو في سوق حماية DDoS
تم حظر خادم غير محمي بواسطة المضيف أثناء هجوم بسعة 600 ميجابت
("خسارة" حركة المرور ليست ملحوظة، لأنه تمت مهاجمة موقع واحد فقط، وتمت إزالته مؤقتًا من الخادم وتم رفع الحظر في غضون ساعة).
ما هو وماذا ومن هو في سوق حماية DDoS
نفس الخادم محمي. و"استسلم" المهاجمون بعد يوم من صد الهجمات. الهجوم نفسه لم يكن الأقوى.

يعد الهجوم والدفاع عن L3/L4 أكثر تافهة، حيث يعتمدان بشكل أساسي على سمك القنوات وخوارزميات الكشف والتصفية للهجمات.
تعد هجمات L7 أكثر تعقيدًا وأصلية، فهي تعتمد على التطبيق الذي يتم مهاجمته وقدرات المهاجمين وخيالهم. تتطلب الحماية ضدهم الكثير من المعرفة والخبرة، وقد لا تكون النتيجة فورية وليست مئة بالمئة. حتى توصلت جوجل إلى شبكة عصبية أخرى للحماية.

المصدر: www.habr.com

إضافة تعليق