За першыя два кварталы 2020 года колькасць DDoS-атак вырасла амаль у тры разы, пры гэтым 65% з іх прыпадае на прымітыўныя спробы "нагрузачнага тэсціравання", якія без працы "адключаюць" безабаронныя сайты невялікіх інтэрнэт-крам, форумаў, блогаў, СМІ.
Як абраць абаронены ад DDoS-нападаў хостынг? На што звярнуць увагу і да чаго падрыхтавацца, каб не аказацца ў непрыемным становішчы?
(Прышчэпка ад "шэрага" маркетынгу ўнутры)
Даступнасць і разнастайнасць інструментаў правядзення DDoS-нападаў змушае ўладальнікаў анлайн-сэрвісаў прымаць адпаведныя меры для супрацьстаяння пагрозе. Задумацца аб абароне ад DDoS варта не пасля першай адмовы, і нават не ў комплексе мер па павышэнні адмоваўстойлівасці інфраструктуры, а яшчэ на этапе выбару пляцоўкі для размяшчэння (хостынг правайдэра або дата-цэнтра).
DDoS-напады класіфікуюць у залежнасці ад прыналежнасці пратаколаў, уразлівасці якіх эксплуатуюцца, да ўзроўняў мадэлі ўзаемадзеяння адчыненых сістэм (OSI):
- канальны (L2),
- сеткавы (L3),
- транспартны (L4),
- прыкладной (L7).
З пункту гледжання сістэм абароны, іх можна абагульніць да двух груп: напады ўзроўню інфраструктуры (L2-L4) і ўзроўню прыкладання (L7). Гэта злучана з паслядоўнасцю выканання алгарытмаў аналізу трафіку і вылічальнай складанасцю: чым глыбей глядзім у IP-пакет, тым больш патрабуецца вылічальных магутнасцяў.
Наогул, задача аптымізацыі вылічэнняў пры апрацоўцы трафіку ў рэжыме рэальнага часу - гэта тэма для асобнага цыклу артыкулаў. А цяпер давайце проста ўявім, што ёсць некаторы хмарны правайдэр з умоўна неабмежаванымі вылічальнымі рэсурсамі, які можа забяспечыць абарону сайтаў ад нападаў на ўзроўні прыкладанняў (у тым ліку ).
3 галоўных пытання для вызначэння ступені абароненасці хостынгу ад DDoS нападаў
Давайце паглядзім ва ўмовы аказання паслугі абароны ад DDoS-нападаў і Пагадненне аб узроўні сэрвісу (Service Level Agreement, SLA) хостынг-правайдэра. Ці знаходзяцца ў іх адказы на наступныя пытанні:
- якія тэхнічныя абмежаванні заяўляе пастаўшчык паслугі?
- што адбываецца, калі замовец выходзіць за рамкі абмежаванняў?
- як хостынг-правайдэр выбудоўвае абарону ад DDoS-нападаў (тэхналогіі, рашэнні, пастаўшчыкі)?
Калі вы не знайшлі гэтую інфармацыю, то гэта нагода або задумацца аб сур'ёзнасці пастаўшчыка паслуг, або арганізаваць базавую абарону ад DDoS (L3-4) саматугам. Напрыклад, замовіць фізічнае падлучэнне да сеткі спецыялізаванага правайдэра абароны.
Важна! Няма сэнсу забяспечваць абарону ад нападаў узроўня прыкладанняў з дапамогай Reverse Proxy, калі ваш хостынг-правайдэр не здольны забяспечыць абарону ад нападаў узроўня інфраструктуры: сеткавае абсталяванне будзе перагружана і стане недаступным, у тым ліку і для проксирующих сервераў хмарнага правайдэра (малюнак 1).
Малюнак 1. Прамы напад на сетку хостынг правайдэра
І хай вам не спрабуюць распавядаць казкі аб тым, што рэальны IP-адрас сервера ўтоены за воблакам правайдэра абароны, а значыць атакаваць яго напрамую - немагчыма. У дзевяці выпадках з дзесяці атакаваламу не складзе працы знайсці рэальны IP-адрас сервера ці хаця б сеткі хостынг-правайдэра, каб «пакласці» цэлы ЦАД.
Як дзейнічаюць хакеры ў пошуках рэальнага IP-адрасу
Пад спойлерамі - некалькі метадаў пошуку рэальнага IP-адрасы (прыводзяцца ў азнаямленчых мэтах).
Метад 1: Пошук у адкрытых крыніцах
Пачаць пошук можна з анлайн-сэрвісу: ён шукае інфармацыю ў даркнеце, на платформах для абмену дакументамі, апрацоўвае дадзеныя Whois, уцечкі агульнадаступных дадзеных і многія іншыя крыніцы.
Калі па нейкіх прыкметах (HTTP-загалоўкі, дадзеныя Whois і інш.) атрымалася вызначыць, што абарона сайта арганізавана з дапамогай Cloudflare, то пачаць пошук рэальнага IP можна са, які змяшчае каля 3 мільёнаў IP-адрасоў сайтаў, размешчаных за Cloudflare.
З дапамогай SSL-сертыфіката і сэрвісу можна знайсці шмат карыснага, у тым ліку і рэальны IP-адрас сайта. Каб сфарміраваць запыт па вашым рэсурсе, перайдзіце ва ўкладку Certificates і ўвядзіце:
_parsed.names: імясайта AND tags.raw: trusted
Для пошуку IP-адрасоў сервераў, якія карыстаюцца SSL-сертыфікатам, які расчыняецца спіс прыйдзецца перабіраць уручную з некалькімі прыладамі (укладка "Explore", далей выбіраемы "IPv4 Hosts").
Метад 2: DNS
Пошук па гісторыі змены DNS-запісаў - стары, правераны спосаб. Папярэдні IP-адрас сайта можа даць зразумець, на якім хостынгу (ці ў якім дата-цэнтры) ён размяшчаўся. Сярод анлайн-сэрвісаў па выгодзе выкарыстання вылучаюцца и .
Пры змене налад сайт не адразу будзе выкарыстоўваць IP-адрас хмарнага правайдэра абароны ці CDN, а некаторы час будзе працаваць напроста. У гэтым выпадку існуе верагоднасць, што анлайн-сэрвісы захоўвання гісторыі змены IP-адрасоў утрымоўваюць інфармацыю аб зыходным адрасе сайта.
Калі нічога, акрамя імя старога DNS-сервера няма, то з дапамогай спецыяльных утыліт (dig, host ці nslookup) можна запытаць IP-адрас па даменным імі сайта, напрыклад:
_dig @імя_старога_dns_сервера імясайта
Метад 3: email
Ідэя метаду ў тым, каб з дапамогай формы зваротнай сувязі / рэгістрацыі (ці любым іншым спосабам, які дазваляе ініцыяваць адпраўку ліста) атрымаць ліст на сваю электронную пошту і праверыць загалоўкі, у прыватнасці поле "Received".
У загалоўку ліста часта знаходзіцца рэальны IP-адрас MX-запісы (сервер абмену электроннай поштай), які можа стаць адпраўной кропкай для пошуку іншых сервераў мэты.
Інструменты для аўтаматызацыі пошуку
Софт для пошуку IP за шчытом Cloudflare часцей за ўсё працуе па трох задачам:
- сканіраванне няправільнай налады DNS, выкарыстоўваючы DNSDumpster.com;
- сканіраванне па базе даных Crimeflare.com;
- пошук паддаменаў метадам перабору па слоўніку.
Пошук паддаменаў часцяком аказваецца самым эфектыўным варыянтам з трох - уладальнік сайта мог абараніць асноўны сайт, а паддамены пакінуць працаваць напрамую. Для праверкі прасцей за ўсё выкарыстоўваць .
Акрамя таго, існуюць утыліты, прызначаныя толькі для пошуку паддаменаў з дапамогай перабору па слоўніку і пошуку ў адкрытых крыніцах, напрыклад: або .
Як пошук адбываецца на практыцы
Для прыкладу возьмем сайт seo.com, які выкарыстоўвае Cloudflare, які знойдзем з дапамогай вядомага сэрвісу (дазваляе як вызначаць тэхналогіі/рухавічкі/CMS, на аснове якіх працуе сайт, так і наадварот – шукаць сайты па выкарыстоўваных тэхналогіях).
Пры пераходзе па ўкладцы "IPv4 Hosts" сэрвіс пакажа спіс хастоў з выкарыстаннем сертыфіката. Каб знайсці патрэбны, шукайце IP-адрас з адчыненым портам 443. Калі ён перанакіроўвае на патрэбны сайт, то задача выканана, у адваротным выпадку неабходна дадаць у загаловак «Host» HTTP-запыту даменнае імя сайта (напрыклад, *curl -H "Host: імя_сайта" *).
У нашым выпадку пошук па базе Censys нічога не даў, ідзем далей.
Пошук па DNS правядзем праз сэрвіс.
Перабіраючы адрасы згаданым у спісах DNS сервераў утылітай CloudFail, знаходзім працоўныя рэсурсы. Вынік будзе гатовы ўжо праз некалькі секунд.
Выкарыстоўваючы толькі адчыненыя дадзеныя і простыя прылады, мы вызначылі рэальны IP адрас вэб-сервера. Астатняе для атакавалага - справа тэхнікі.
Вернемся да выбару хостынг-правайдэра. Каб ацаніць карысць сэрвісу для замоўца, разгледзім магчымыя спосабы абароны ад DDoS-нападаў.
Як хостынг-правайдэр будуе сваю абарону
- Уласная сістэма аховы з фільтруючым абсталяваннем (малюнак 2).
Патрабуе наяўнасці:
1.1. Абсталяванні для фільтрацыі трафіку і ліцэнзіі на праграмнае забеспячэнне;
1.2. Штатных спецыялістаў для яго падтрымкі і эксплуатацыі;
1.3. Каналаў доступу ў інтэрнэт, якіх будзе дастаткова для прыёму нападаў;
1.4. Значнай прадаплочанай канальнай паласы для прыёму смеццевага трафіку.
Малюнак 2. Уласная сістэма абароны хостынг правайдэра
Калі разглядаць апісаную сістэму як сродак абароны ад сучасных DDoS нападаў у сотні Gbps, то такая сістэма будзе каштаваць вельмі вялікіх грошай. Ці валодае хостынг-правайдэр такой абаронай? Ці гатовы ён аплачваць "смеццевы" трафік? Відавочна, што такая эканамічная мадэль для правайдэра стратная, калі ў тарыфах не прадугледжана дадатковых плацяжоў. - Reverse Proxy (толькі для вэб сайтаў і некаторых прыкладанняў). Нягледзячы на шэраг , пастаўшчык не гарантуе абарону ад прамых DDoS-нападаў (гл. малюнак 1). Хостынг-правайдэры часта прапануюць такое рашэнне як панацэю, перакладаючы адказнасць на правайдэра абароны.
- Паслугі спецыялізаванага хмарнага правайдэра (выкарыстанне яго сеткі фільтрацыі) для абароны ад DDoS нападаў на ўсіх узроўнях OSI (малюнак 3).
Малюнак 3. Комплексная абарона ад DDoS нападаў з дапамогай спецыялізаванага правайдэра
мяркуе глыбокую інтэграцыю і высокі ўзровень тэхнічнай кампетэнтнасці абодвух бакоў. Перадача паслуг па фільтрацыі трафіку на аўтсорс дазваляе хостынг-правайдэру зменшыць кошт дадатковых сэрвісаў для замоўца.
Важна! Чым падрабязней будуць апісаны тэхнічныя характарыстыкі прадастаўляемай паслугі, тым будзе больш шанцаў запатрабаваць іх выканання або кампенсацыі ў выпадку прастою.
Апроч трох асноўных метадаў, існуе мноства спалучэнняў і камбінацый. Замоўцу пры выбары хостынгу важна памятаць, што ад рашэння будзе залежаць не толькі памер гарантавана блакаваных нападаў і дакладнасць фільтрацыі, але і хуткасць рэакцыі, а таксама інфарматыўнасць (спіс блакіраваных нападаў, агульная статыстыка і інш.).
Памятайце, што толькі адзінкі хостынг-правайдэраў у свеце здольныя забяспечыць прымальны ўзровень абароны самастойна, у астатніх выпадках выбаўляе кааперацыя і тэхнічная пісьменнасць. Так разуменне базавых прынцыпаў арганізацыі абароны ад DDoS-нападаў дазволіць уладальніку сайта не патрапіць на маркетынгавыя хітрыкі і не купіць «ката ў мяшку».
Крыніца: habr.com