"Хлопчык, які рабіў нам сайт, ужо наладзіў абарону ад DDoS".
"У нас жа стаіць абарона ад DDoS, чаму сайт лёг?"
«Колькі-колькі тысяч жадае Qrator?»
Каб нармальна адказваць на такія пытанні заказчыка/начальніка, нядрэнна б ведаць, што хаваецца за назвай "абарона ад DDoS". Выбар сэрвісаў абароны больш нагадвае выбар лекаў лекарам, чым выбар стала ў IKEA.
Я займаюся падтрымкай сайтаў 11 гадоў, перажыў сотні нападаў на сэрвісы, якія падтрымліваюцца мной, і цяпер крыху раскажу пра ўнутраную кухню абароны.
Рэгулярныя напады. 350k req total, 52k req legitimate
Першыя напады з'явіліся практычна адначасова з інтэрнэтам. DDoS як з'ява стаў масавым з канца 2000-х гадоў (паглядзіце ).
Прыкладна з 2015-2016 года амаль усе хостынг-правайдэры ўсталі пад абарону ад DDoS нападаў, як і большасць прыкметных сайтаў у канкурэнтных сферах (зрабіце whois па IP сайтаў eldorado.ru, leroymerlin.ru, tilda.ws, убачыце сеткі аператараў абароны).
Калі 10-20 гадоў назад большасць нападаў можна было адбіць на самім серверы (ацаніце рэкамендацыі сістэмнага адміністратара Lenta.ru Максіма Машкова з 90-х: ), то зараз задачы па абароне сталі складаней.
Віды DDoS нападаў з пункту гледжання выбару аператара абароны
Напады на ўзроўні L3 / L4 (па мадэлі OSI)
- UDP flood з ботнета (наўпрост з заражаных прылад на атакаваны сэрвіс адпраўляецца шмат запытаў, серверам завальваюць канал);
- DNS/NTP/etc amplification (з заражаных прылад адпраўляецца шмат запытаў на ўразлівыя DNS/NTP/etc, адрас адпраўніка падрабляецца, хмара пакетаў з адказам на запыты завальвае канал таму, каго атакуюць; так выконваюцца самыя масавыя напады ў сучасным інтэрнэце);
- SYN / ACK flood (на атакаваныя серверы адпраўляецца шмат запытаў на ўсталяванне злучэння, адбываецца перапаўненне чаргі злучэнняў);
- атакі з фрагментацыяй пакетаў, ping of death, ping flood (пагугліце плз);
- і да т.п.
Гэтыя напады ставяць мэтай "заваліць" канал серверу або "забіць" яго здольнасць прымаць новы трафік.
Хаця SYN/ACK флуд і ампліфікацыя моцна адрозніваюцца, многія кампаніі змагаюцца з імі аднолькава добра. Праблемы ўзнікаюць з нападамі з наступнай групы.
Напады на L7 (узровень прыкладання)
- http flood (калі атакуецца вэб-сайт або які-небудзь http api);
— атака на ўразлівыя ўчасткі сайта (якія не маюць кэша, вельмі моцна нагружаюць сайт, етс.).
Мэта - прымусіць сервер "цяжка працаваць", апрацоўваць шмат "як быццам рэальных запытаў" і застацца без рэсурсаў для сапраўдных запытаў.
Хоць ёсць і іншыя напады, гэтыя - самыя распаўсюджаныя.
Сур'ёзныя напады на L7 узроўні ствараюцца ўнікальнай выявай пад кожны атакаваны праект.
Чаму 2 групы?
Таму што ёсць шмат тых, хто ўмее добра адбіваць напады на ўзроўні L3/L4, але ці наогул не бярэцца за абарону на ўзроўні прыкладання (L7), ці пакуль спраўляецца з імі слабей альтэрнатыў.
Хто ёсць хто на рынку абароны ад DDoS
(мой асабісты погляд)
Абарона на ўзроўні L3/L4
Каб адбіваць напады з ампліфікацыяй («завал» канала сервера) хапае шырокіх каналаў (многія з сэрвісаў абароны падлучаюцца да большасці буйных магістральных правайдэраў у Расіі і валодаюць каналамі з тэарэтычнай ёмістасцю больш за 1 Тбіт). Не забываем, што вельмі рэдкія напады з ампліфікацыяй доўжацца даўжэй гадзіны. Калі вы Spamhaus і вас усё не любяць – так, вам могуць імкнуцца пакласці каналы на некалькі сутак нават з рызыкай для далейшага выжывання выкарыстоўванага сусветнага ботнэту. Калі ў вас проста інтэрнэт-крама, нават калі гэта mvideo.ru - 1 Тбіт на працягу некалькіх сутак вы ўбачыце вельмі няхутка (спадзяюся).
Каб адбіваць напады з SYN/ACK флудам, фрагментацыяй пакетаў, ЕТС, неабходна абсталяванне або софтверныя сістэмы для дэтэкцыі і адсяканні такіх нападаў.
Такое абсталяванне вырабляюць шматлікія (Arbor, ёсць рашэнні ў Cisco, Huawei, софтверныя рэалізацыі ад Wanguard і да т.п.), шматлікія магістральныя аператары ўжо ўсталявалі яго і прадаюць паслугі абароны ад DDoS (я ведаю пра ўсталёўкі ў Растэлекам, Мегафон, ТТК, МТС , па сутнасці ва ўсіх буйных правайдэраў, гэта ж робяць хосцеры са сваёй абаронай a-la OVH.com, Hetzner.de, сутыкаўся сам з абаронай у ihor.ru). Некаторыя кампаніі распрацоўваюць свае софтверныя рашэнні (тэхналогіі тыпу DPDK дазваляюць апрацоўваць трафік у дзясяткі гігабіт на адной фізічнай x86 машыне).
З вядомых гульцоў больш-менш эфектыўна L3/L4 DDoS адбіваць умеюць усё. Я зараз не скажу, у каго больш максімальная ёмістасць канала (гэта інсайдэрская інфармацыя), але звычайна гэта не так важна, і розніца толькі ў тым, наколькі хутка спрацоўвае абарона (імгненна або праз некалькі хвілін даунтайма праекта, як у Hetzner).
Пытанне ў тым, наколькі якасна гэта робіцца: напад з ампліфікацыяй можна адбіць, заблакаваўшы трафік з краін з найбольшай колькасцю шкоднага трафіку, а можна адкідаць толькі сапраўды лішні трафік.
Але пры гэтым, зыходзячы з майго досведу, усе сур'ёзныя гульцы рынка з гэтым спраўляюцца без праблем: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (былы SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
З абаронай ад аператараў тыпу Растэлекам, Мегафон, ТТК, Білайн не сутыкаўся, па водгуках калег яны гэтыя паслугі аказваюць дастаткова якасна, але пакуль перыядычна адбіваецца недахоп вопыту: часам трэба што-небудзь дакруціць праз падтрымку аператара абароны.
У некаторых аператараў ёсць асобная паслуга "абарона ад нападаў на ўзроўні L3/L4", або "абарона каналаў", яна каштуе нашмат танней абароны на ўсіх узроўнях.
А як не магістральны правайдэр адбівае напады ў сотні Гбіт, у яго ж няма сваіх каналаў?Аператар абароны можа падлучыцца да любога з буйных правайдэраў і адбіваць напады "за яго кошт". За канал давядзецца плаціць, але ўсе гэтыя сотні Гбіт будуць утылізаваны далёка не заўсёды, ёсць варыянты значнага зніжэння кошту каналаў у гэтым выпадку, таму схема застаецца працаздольнай.
Вось такія справаздачы ад вышэйстаячай L3/L4 абароны я рэгулярна атрымліваў, падтрымліваючы сістэмы хостынг-правайдэра.
Абарона на ўзроўні L7 (узровень прыкладання)
Напады на ўзроўні L7 (узровень прыкладання) стабільна і якасна ўмеюць адбіваць адзінкі.
У мяне ёсць рэальны дастаткова вялікі вопыт з
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Касперскі.
Яны бяруць плату за кожны мегабіт чыстага трафіку, мегабіт каштуе каля некалькіх тысяч рублёў. Калі ў вас хаця б 100 мбіт чыстага трафіку - ой. Абарона будзе вельмі дарагой. Магу расказаць у наступных артыкулах, як праектаваць прыкладанні, каб вельмі добра зэканоміць на ёмістасці каналаў абароны.
Рэальны «цар гары» – Qrator.net, астатнія ад іх адстаюць. Qrator пакуль адзіныя ў маёй практыцы, хто дае блізкі да нуля працэнт ілжывых спрацоўванняў, але пры гэтым яны ў некалькі разоў даражэй астатніх гульцоў рынка.
Іншыя аператары таксама даюць якасную і стабільную абарону. Многія сэрвісы на нашай падтрымцы (у тым ліку вельмі вядомыя ў краіне!) стаяць пад абаронай ад DDoS-Guard, G-Core Labs, і цалкам задаволеныя атрымоўваным вынікам.
Напады, адбітыя Qrator
Ёсць яшчэ досвед з невялікімі аператарамі абароны тыпу cloud-shield.ru, ddosa.net, тысячы іх. Адназначна рэкамендаваць не буду, т.я. вопыт не вельмі вялікі, раскажу аб прынцыпах іх працы. Кошт абароны ў іх часта на 1-2 парадкі ніжэй, чым у буйных гульцоў. Як правіла, яны купляюць паслугу частковай абароны (L3/L4) у кагосьці з буйнейшых гульцоў + робяць уласную абарону ад нападаў на больш высокіх узроўнях. Гэта можа быць цалкам эфектыўна + вы можаце атрымаць добры сэрвіс за меншыя грошы, але гэта ўсё ж невялікія кампаніі з маленькім штатам, улічыце, калі ласка.
У чым складанасць адбіцця нападаў на ўзроўні L7?
Усе прыкладанні ўнікальныя, і трэба дазваляць карысны для іх трафік і блакаваць шкодны. Адназначна адсеяць робатаў атрымоўваецца не заўсёды, таму даводзіцца выкарыстоўваць шмат, рэальна ШМАТ ступеняў ачысткі трафіку.
Калісьці хапала модуля nginx-testcookie (), і яго і цяпер хапае для адбіцця вялікай колькасці нападаў. Калі я працаваў у хостынг-індустрыі, L7 абарону будаваў якраз на nginx-testcookie.
Нажаль, напады сталі складаней. testcookie выкарыстоўвае праверкі на ботаў на базе JS, а шматлікія сучасныя боты ўмеюць іх паспяхова праходзіць.
Атакуючыя ботнеты таксама ўнікальныя, і трэба ўлічваць асаблівасці кожнага буйнога ботнета.
Ампліфікацыя, прамы флуд з ботнэту, фільтраванне трафіку з розных краін (рознае фільтраванне для розных краін), SYN/ACK флуд, фрагментацыя пакетаў, ICMP, http флуд, пры гэтым на ўзроўні прыкладання/http можна прыдумляць неабмежаваную колькасць розных нападаў.
У суме на ўзроўні абароны каналаў, спецыялізаванага абсталявання для ачысткі трафіку, спец софту, дадатковых налад фільтрацыі для кожнага кліента могуць быць дзясяткі і сотні ўзроўняў фільтрацыі.
Каб правільна кіравацца з гэтым і карэктна цюніць налады фільтрацыі пад розных карыстальнікаў, патрэбен вялікі вопыт і кваліфікаваныя кадры. Нават буйны аператар, які рашыў аказваць паслугі абароны, не можа "тупа закідаць праблему грашыма": досвед прыйдзецца набіваць на ляжалых сайтах і ілжывых спрацоўваннях на легітымным трафіку.
Для аператара абароны няма кнопкі "адбіць DDoS", ёсць вялікая колькасць інструментаў, імі трэба ўмець карыстацца.
І яшчэ адзін бонусны прыклад.
Сервер без абароны быў заблакаваны хостэрам пры нападзе ёмістасцю ў 600 Мбіт.
(«Знікненне» трафіку не прыкметна, бо атакаваны быў толькі 1 сайт, яго на час прыбралі з сервера і блакіроўка была знята ў межах гадзіны).
Гэты ж сервер пад абаронай. Атакуючыя "здаліся" пасля сутак адбітых нападаў. Cама атака аказалася не самай моцнай.
Атака і абарона L3/L4 больш трывіяльныя, у асноўным, яны залежаць ад таўшчыні каналаў, алгарытмаў дэтэкцыі і фільтраванні нападаў.
Напады L7 складаней і арыгінальней, яны залежаць ад атакаванага прыкладання, магчымасцяў і фантазіі атакавалых. Абарона ад іх патрабуе вялікіх ведаў і досведу, прычым вынік можа быць не адразу і не стоадсоткавы. Пакуль Google не прыдумаў для абароны чарговую нейрасетку.
Крыніца: habr.com