"Veb saytımızı yaradan adam artıq DDoS qorunmasını qurmuşdu."
"Bizim DDoS müdafiəmiz var, sayt niyə çökdü?"
"Qrator neçə min istəyir?"
Müştəridən/müdirdən gələn bu kimi suallara düzgün cavab vermək üçün “DDoS qorunması” adının arxasında nəyin gizləndiyini bilmək yaxşı olardı. Təhlükəsizlik xidmətlərini seçmək IKEA-da masa seçməkdən daha çox həkimdən dərman seçməyə bənzəyir.
Mən 11 ildir ki, vebsaytları dəstəkləyirəm, dəstəklədiyim xidmətlərə yüzlərlə hücumdan xilas olmuşam və indi sizə qorunmanın daxili işlərindən bir az danışacağam.
Daimi hücumlar. 350k tələb cəmi, 52k qanuni tələb
İlk hücumlar demək olar ki, İnternetlə eyni vaxtda meydana çıxdı. DDoS bir fenomen olaraq 2000-ci illərin sonlarından bəri geniş yayılmışdır (yoxlayın ).
Təxminən 2015-2016-cı illərdən etibarən demək olar ki, bütün hosting provayderləri DDoS hücumlarından qorunub, eləcə də rəqabətli sahələrdəki ən görkəmli saytlar (eldorado.ru, leroymerlin.ru, tilda.ws saytlarının IP-si ilə whois edin, şəbəkələri görəcəksiniz. mühafizə operatorlarının).
Əgər 10-20 il əvvəl əksər hücumlar serverin özündə dəf edilə bilsəydi (90-cı illərdən Lenta.ru sistem administratoru Maksim Moşkovun tövsiyələrini qiymətləndirin: ), lakin indi mühafizə vəzifələri çətinləşib.
Qoruma operatorunun seçilməsi baxımından DDoS hücumlarının növləri
L3/L4 səviyyəsində hücumlar (OSI modelinə görə)
— Botnetdən UDP axını (bir çox sorğu yoluxmuş cihazlardan birbaşa hücuma məruz qalan xidmətə göndərilir, serverlər kanalla bloklanır);
— DNS/NTP/və s gücləndirilməsi (bir çox sorğular yoluxmuş cihazlardan həssas DNS/NTP/ və s.-ə göndərilir, göndərənin ünvanı saxtadır, sorğulara cavab verən paket buludları hücuma məruz qalan şəxsin kanalını doldurur; ən çox belədir. müasir İnternetdə kütləvi hücumlar həyata keçirilir);
— SYN / ACK daşqınları (bağlantı yaratmaq üçün bir çox sorğu hücuma məruz qalan serverlərə göndərilir, əlaqə növbəsi aşır);
— paket parçalanması, ping of death, ping flood ilə hücumlar (Google-a müraciət edin);
- və s.
Bu hücumlar serverin kanalını “tıxalamaq” və ya onun yeni trafiki qəbul etmək qabiliyyətini “öldürmək” məqsədi daşıyır.
SYN/ACK daşqın və gücləndirmə çox fərqli olsa da, bir çox şirkət onlarla eyni dərəcədə yaxşı mübarizə aparır. Növbəti qrupdan gələn hücumlarla problemlər yaranır.
L7-yə hücumlar (tətbiq qatı)
— http daşqın (bir vebsayt və ya bəzi http api hücumu olarsa);
— saytın həssas sahələrinə hücum (keşi olmayanlar, saytı çox yükləyənlər və s.).
Məqsəd serveri "çox işləməyə" məcbur etmək, bir çox "həqiqi görünən sorğuları" emal etmək və real sorğular üçün resurslarsız qalmaqdır.
Digər hücumlar olsa da, bunlar ən çox yayılmışdır.
L7 səviyyəsində ciddi hücumlar hücuma məruz qalan hər bir layihə üçün unikal şəkildə yaradılır.
Niyə 2 qrup?
Çünki L3 / L4 səviyyəsində hücumları necə dəf etməyi yaxşı bilənlər var, lakin ya ümumiyyətlə tətbiq səviyyəsində (L7) müdafiəni götürmürlər, ya da onlarla mübarizədə alternativlərdən daha zəifdirlər.
DDoS müdafiə bazarında kim kimdir
(şəxsi fikrim)
L3/L4 səviyyəsində qorunma
Hücumları gücləndirməklə dəf etmək üçün ("server kanalının bloklanması") kifayət qədər geniş kanallar var (bir çox qorunma xidmətləri Rusiyadakı böyük magistral provayderlərin əksəriyyətinə qoşulur və nəzəri tutumu 1 Tbit-dən çox olan kanallara malikdir). Çox nadir gücləndirmə hücumlarının bir saatdan çox davam etdiyini unutmayın. Əgər siz Spamhaussunuzsa və hamı sizi sevmirsə, bəli, istifadə olunan qlobal botnetin daha da sağ qalma riski ilə belə, kanallarınızı bir neçə gün bağlamağa cəhd edə bilərlər. Əgər sadəcə bir onlayn mağazanız varsa, hətta mvideo.ru olsa belə, bir neçə gün ərzində 1 Tbit görməyəcəksiniz (ümid edirəm).
SYN/ACK daşqın, paket parçalanması və s. ilə hücumları dəf etmək üçün sizə bu cür hücumları aşkar etmək və dayandırmaq üçün avadanlıq və ya proqram sistemləri lazımdır.
Bir çox insan bu cür avadanlıq istehsal edir (Arbor, Cisco, Huawei-dən həllər, Wanguard-dan proqram tətbiqetmələri və s.), bir çox magistral operatorlar artıq quraşdırıblar və DDoS mühafizə xidmətlərini satırlar (Rostelecom, Megafon, TTK, MTS-dən quraşdırmalar haqqında bilirəm. , əslində, bütün əsas provayderlər öz mühafizəsi olan hosterlərlə eyni şeyi edirlər a-la OVH.com, Hetzner.de, mən özüm ihor.ru saytında müdafiə ilə qarşılaşdım). Bəzi şirkətlər öz proqram həllərini inkişaf etdirirlər (DPDK kimi texnologiyalar bir fiziki x86 maşınında onlarla gigabit trafiki emal etməyə imkan verir).
Tanınmış oyunçulardan hər kəs L3/L4 DDoS ilə az və ya çox effektiv mübarizə apara bilər. İndi kimin daha böyük maksimum kanal tutumuna malik olduğunu deməyəcəyəm (bu, daxili məlumatdır), lakin adətən bu o qədər də vacib deyil və yeganə fərq qorumanın nə qədər tez işə salınmasıdır (dərhal və ya bir neçə dəqiqəlik layihə dayandırıldıqdan sonra, Hetznerdə olduğu kimi).
Sual budur ki, bu, nə qədər yaxşı həyata keçirilir: gücləndirmə hücumu zərərli trafikin ən çox olduğu ölkələrdən gələn trafiki bloklamaqla dəf edilə bilər və ya yalnız həqiqətən lazımsız trafikdən imtina edilə bilər.
Ancaq eyni zamanda, təcrübəmə əsaslanaraq, bütün ciddi bazar oyunçuları bunun öhdəsindən problemsiz gəlirlər: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (əvvəllər SkyParkCDN), ServicePipe, Stormwall, Voxility və s.
Rostelecom, Megafon, TTK, Beeline kimi operatorlardan qorunma ilə qarşılaşmadım; həmkarların rəylərinə görə, bu xidmətləri olduqca yaxşı təqdim edirlər, lakin bu günə qədər təcrübənin olmaması vaxtaşırı təsir göstərir: bəzən dəstək vasitəsilə bir şey düzəltmək lazımdır. mühafizə operatorunun.
Bəzi operatorların ayrıca “L3/L4 səviyyəsində hücumlardan qorunma” və ya “kanal mühafizəsi” xidməti var; bu, bütün səviyyələrdə qorunma ilə müqayisədə xeyli az xərc tələb edir.
Öz kanalları olmadığı üçün magistral provayder niyə yüzlərlə Gbit-lik hücumları dəf etmir?Mühafizə operatoru hər hansı əsas provayderə qoşula və hücumları “öz hesabına” dəf edə bilər. Kanal üçün pul ödəməli olacaqsınız, lakin bütün bu yüzlərlə Gbit həmişə istifadə edilməyəcək; bu halda kanalların dəyərini əhəmiyyətli dərəcədə azaltmaq üçün seçimlər var, buna görə də sxem işlək olaraq qalır.
Bunlar hostinq provayderinin sistemlərini dəstəkləyərkən daha yüksək səviyyəli L3/L4 qorunmasından müntəzəm olaraq aldığım hesabatlardır.
L7 səviyyəsində qorunma (tətbiq səviyyəsi)
L7 səviyyəsindəki hücumlar (tətbiq səviyyəsi) bölmələri ardıcıl və səmərəli şəkildə dəf edə bilir.
Mənim kifayət qədər real təcrübəm var
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Hər meqabit təmiz trafik üçün ödəniş edirlər, bir meqabit təxminən bir neçə min rubla başa gəlir. Ən azı 100 Mbps təmiz trafikiniz varsa - oh. Qoruma çox baha başa gələcək. Təhlükəsizlik kanallarının tutumuna çox qənaət etmək üçün tətbiqlərin necə dizayn ediləcəyini sizə aşağıdakı məqalələrdə deyə bilərəm.
Əsl “təpə kralı” Qrator.net-dir, qalanları onlardan geri qalır. Qrator indiyə qədər mənim təcrübəmdə sıfıra yaxın yanlış müsbətlərin faizini verən yeganədir, lakin eyni zamanda digər bazar oyunçularından bir neçə dəfə bahadır.
Digər operatorlar da yüksək keyfiyyətli və sabit qoruma təmin edirlər. Bizim tərəfimizdən dəstəklənən bir çox xidmətlər (ölkədə çox məşhur olanlar da daxil olmaqla!) DDoS-Guard, G-Core Labs-dan qorunur və əldə edilən nəticələrdən kifayət qədər razıdırlar.
Qrator tərəfindən dəf edilən hücumlar
Bulud-shield.ru, ddosa.net kimi kiçik təhlükəsizlik operatorları ilə də təcrübəm var, onlardan minlərlə. Mən bunu mütləq tövsiyə etməyəcəyəm, çünki... Çox təcrübəm yoxdur, amma onların iş prinsipləri haqqında sizə məlumat verəcəyəm. Onların qorunma dəyəri çox vaxt əsas oyunçularınkindən 1-2 dəfə aşağı olur. Bir qayda olaraq, onlar daha böyük oyunçulardan birindən qismən müdafiə xidməti (L3/L4) alırlar + daha yüksək səviyyələrdə hücumlara qarşı öz müdafiələrini edirlər. Bu kifayət qədər effektiv ola bilər + siz daha az pula yaxşı xidmət ala bilərsiniz, lakin bunlar hələ də kiçik işçi heyəti olan kiçik şirkətlərdir, lütfən bunu nəzərə alın.
L7 səviyyəsində hücumları dəf etməyin çətinliyi nədir?
Bütün proqramlar unikaldır və siz onlar üçün faydalı olan trafikə icazə verməli və zərərli olanları bloklamalısınız. Botları birmənalı şəkildə aradan qaldırmaq həmişə mümkün deyil, buna görə də bir çox, həqiqətən ÇOX dərəcə trafikin təmizlənməsindən istifadə etməlisiniz.
Bir vaxtlar nginx-testcookie modulu kifayət idi () və hələ də çoxlu sayda hücumu dəf etmək üçün kifayətdir. Mən hostinq sənayesində işlədiyim zaman L7 qorunması nginx-testcookie-yə əsaslanırdı.
Təəssüf ki, hücumlar çətinləşdi. testcookie JS əsaslı bot yoxlamalarından istifadə edir və bir çox müasir botlar onları uğurla keçə bilir.
Hücum botnetləri də unikaldır və hər bir böyük botnetin xüsusiyyətləri nəzərə alınmalıdır.
Gücləndirmə, botnetdən birbaşa daşqın, müxtəlif ölkələrdən gələn trafikin süzülməsi (müxtəlif ölkələr üçün fərqli filtrləmə), SYN/ACK daşqın, paket parçalanması, ICMP, http daşqın, tətbiq/http səviyyəsində isə siz limitsiz sayda məlumat tapa bilərsiniz. müxtəlif hücumlar.
Ümumilikdə, kanalın qorunması səviyyəsində, trafikin təmizlənməsi üçün xüsusi avadanlıq, xüsusi proqram təminatı, hər bir müştəri üçün əlavə filtrləmə parametrləri onlarla və yüzlərlə filtrasiya səviyyəsi ola bilər.
Bunu düzgün idarə etmək və müxtəlif istifadəçilər üçün filtrləmə parametrlərini düzgün tənzimləmək üçün sizə çoxlu təcrübə və ixtisaslı kadr lazımdır. Mühafizə xidmətləri göstərmək qərarına gələn böyük bir operator belə "problemlərə axmaqcasına pul ata bilməz": təcrübə yalan saytlardan və qanuni trafikdə yalan pozitivlərdən əldə edilməli olacaq.
Təhlükəsizlik operatoru üçün “DDoS-u dəf et” düyməsi yoxdur, çoxlu sayda alətlər var və siz onlardan necə istifadə edəcəyinizi bilməlisiniz.
Və daha bir bonus nümunəsi.
600 Mbit tutumlu hücum zamanı qorunmayan server hoster tərəfindən bloklanıb
(“Trafik itkisi” nəzərə çarpmır, çünki cəmi 1 sayta hücum edilib, o müvəqqəti olaraq serverdən çıxarılıb və bloklama bir saat ərzində aradan qaldırılıb).
Eyni server qorunur. Hücumçular bir günlük dəf edilən hücumlardan sonra “təslim oldular”. Hücumun özü ən güclü deyildi.
L3/L4-ün hücumu və müdafiəsi daha mənasızdır, onlar əsasən kanalların qalınlığından, hücumların aşkarlanması və süzülməsi alqoritmlərindən asılıdır.
L7 hücumları daha mürəkkəb və orijinaldır, hücum edilən proqramdan, hücum edənlərin imkanlarından və təxəyyülündən asılıdır. Onlardan qorunmaq çox bilik və təcrübə tələb edir və nəticə dərhal olmaya və yüz faiz olmaya bilər. Google qorunmaq üçün başqa bir neyron şəbəkəsi ortaya çıxana qədər.
Mənbə: www.habr.com