“Čovjek koji je napravio našu web stranicu već je postavio DDoS zaštitu.”
“Imamo DDoS zaštitu, zašto je stranica pala?”
"Koliko hiljada Qrator želi?"
Kako bi se na ovakva pitanja od strane kupca/šefa dobro odgovorilo, bilo bi lijepo znati šta se krije iza naziva „DDoS zaštita“. Odabir sigurnosnih usluga više liči na odabir lijeka od liječnika nego na odabir stola u IKEA-i.
Podržavam web stranice 11 godina, preživio sam stotine napada na servise koje podržavam, a sada ću vam reći nešto o unutrašnjem funkcioniranju zaštite.
Redovni napadi. Ukupno 350 zahtjeva, legitimno 52 zahtjeva
Prvi napadi pojavili su se gotovo istovremeno s internetom. DDoS kao fenomen postao je široko rasprostranjen od kasnih 2000-ih (pogledajte ).
Otprilike od 2015-2016, skoro svi hosting provajderi su zaštićeni od DDoS napada, kao i većina istaknutih sajtova u konkurentskim oblastima (uradite whois putem IP-a sajtova eldorado.ru, leroymerlin.ru, tilda.ws, videćete mreže operatera zaštite).
Ako je prije 10-20 godina većina napada mogla biti odbijena na samom serveru (procijenite preporuke sistemskog administratora Lenta.ru Maxima Moshkova iz 90-ih: ), ali sada su zadaci zaštite postali teži.
Vrste DDoS napada sa stanovišta izbora operatera zaštite
Napadi na nivou L3/L4 (prema OSI modelu)
— UDP flood sa botneta (mnogi zahtjevi se šalju direktno sa zaraženih uređaja na napadnutu uslugu, serveri su blokirani kanalom);
— DNS/NTP/itd pojačanje (mnogi zahtjevi se šalju sa zaraženih uređaja na ranjivi DNS/NTP/itd, adresa pošiljaoca je krivotvorena, oblak paketa koji odgovaraju na zahtjeve preplavljuje kanal osobe koja je napadnuta; tako je najviše masovni napadi se izvode na modernom Internetu);
— SYN / ACK flood (mnogi zahtjevi za uspostavljanje veze se šalju napadnutim serverima, red za povezivanje se prepunjava);
— napadi sa fragmentacijom paketa, ping of death, ping flood (proguglajte, molim);
- i tako dalje.
Ovi napadi imaju za cilj da „začepe“ kanal servera ili „ubiju“ njegovu sposobnost da prihvati novi saobraćaj.
Iako su SYN/ACK flooding i pojačanje veoma različiti, mnoge kompanije se jednako dobro bore protiv njih. Problemi nastaju sa napadima iz sledeće grupe.
Napadi na L7 (aplikacioni sloj)
— http flood (ako je napadnut veb-sajt ili neki http api);
— napad na ranjive oblasti sajta (one koje nemaju keš memoriju, koje veoma opterećuju sajt, itd.).
Cilj je natjerati server da "naporano radi", da obradi puno "naizgled stvarnih zahtjeva" i ostane bez resursa za stvarne zahtjeve.
Iako postoje i drugi napadi, ovi su najčešći.
Ozbiljni napadi na nivou L7 kreiraju se na jedinstven način za svaki napadnuti projekat.
Zašto 2 grupe?
Jer ima mnogo onih koji znaju dobro odbiti napade na nivou L3/L4, ali ili uopće ne preuzimaju zaštitu na nivou aplikacije (L7) ili su i dalje slabiji od alternativa u suočavanju s njima.
Ko je ko na tržištu DDoS zaštite
(moje lično mišljenje)
Zaštita na nivou L3/L4
Za odbijanje napada pojačanjem („blokada“ kanala servera), postoji dovoljno širokih kanala (mnogi od zaštitnih servisa se povezuju s većinom velikih provajdera okosnica u Rusiji i imaju kanale s teorijskim kapacitetom većim od 1 Tbit). Ne zaboravite da vrlo rijetki napadi pojačanja traju duže od sat vremena. Ako ste Spamhaus i svi vas ne vole, da, možda će pokušati da ugase vaše kanale na nekoliko dana, čak i pod rizikom daljeg opstanka globalnog botneta koji se koristi. Ako samo imate online prodavnicu, čak i ako je mvideo.ru, nećete vidjeti 1 Tbit u roku od nekoliko dana vrlo brzo (nadam se).
Da biste odbili napade sa SYN/ACK floodingom, fragmentacijom paketa, itd., potrebna vam je oprema ili softverski sistemi za otkrivanje i zaustavljanje takvih napada.
Mnogi ljudi proizvode takvu opremu (Arbor, postoje rješenja od Cisco, Huawei, softverske implementacije od Wanguarda itd.), mnogi kičmeni operateri su je već instalirali i prodaju usluge zaštite od DDoS-a (znam za instalacije od Rostelecoma, Megafona, TTK, MTS-a , zapravo, svi veći provajderi rade isto sa hosterima sa svojom zaštitom a-la OVH.com, Hetzner.de, i sam sam naišao na zaštitu na ihor.ru). Neke kompanije razvijaju sopstvena softverska rešenja (tehnologije poput DPDK omogućavaju vam da obrađujete desetine gigabita saobraćaja na jednoj fizičkoj x86 mašini).
Od poznatih igrača, svako može više ili manje efikasno da se bori protiv L3/L4 DDoS-a. Sada neću reći ko ima veći maksimalni kapacitet kanala (ovo je insajderska informacija), ali to obično nije toliko važno, a jedina razlika je u tome koliko se brzo aktivira zaštita (trenutno ili nakon nekoliko minuta zastoja projekta, kao kod Hetznera).
Pitanje je koliko je to dobro urađeno: napad pojačanja može se odbiti blokiranjem saobraćaja iz zemalja sa najvećom količinom štetnog saobraćaja, ili se može odbaciti samo zaista nepotreban saobraćaj.
Ali u isto vreme, na osnovu mog iskustva, svi ozbiljni igrači na tržištu se nose sa ovim bez problema: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ranije SkyParkCDN), ServicePipe, Stormwall, Voxility itd.
Nisam naišao na zaštitu od operatera kao što su Rostelecom, Megafon, TTK, Beeline; prema recenzijama kolega, oni pružaju ove usluge prilično dobro, ali do sada nedostatak iskustva periodično utiče: ponekad morate nešto podesiti kroz podršku operatera zaštite.
Neki operateri imaju zasebnu uslugu “zaštita od napada na nivou L3/L4” ili “zaštita kanala”; košta mnogo manje od zaštite na svim nivoima.
Zašto provajder okosnice ne odbija napade stotina Gbita, budući da nema svoje kanale?Operater zaštite može se povezati s bilo kojim od glavnih provajdera i odbiti napade „o svom trošku“. Morat ćete platiti za kanal, ali sve ove stotine Gbita neće uvijek biti iskorištene; postoje opcije za značajno smanjenje troškova kanala u ovom slučaju, tako da shema ostaje funkcionalna.
Ovo su izvještaji koje sam redovno dobijao od L3/L4 zaštite višeg nivoa dok sam podržavao sisteme hosting provajdera.
Zaštita na nivou L7 (nivo aplikacije)
Napadi na nivou L7 (nivo aplikacije) su u stanju da odbiju jedinice dosledno i efikasno.
Imam dosta stvarnog iskustva sa
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Naplaćuju svaki megabit čistog prometa, megabit košta oko nekoliko hiljada rubalja. Ako imate barem 100 Mbps čistog prometa - oh. Zaštita će biti veoma skupa. U sljedećim člancima mogu vam reći kako dizajnirati aplikacije kako biste mnogo uštedjeli na kapacitetu sigurnosnih kanala.
Pravi “kralj brda” je Qrator.net, ostali zaostaju za njima. Qratori su do sada jedini po mom iskustvu koji daju postotak lažnih pozitivnih rezultata blizu nule, ali su u isto vrijeme nekoliko puta skuplji od ostalih igrača na tržištu.
Ostali operateri također pružaju visokokvalitetnu i stabilnu zaštitu. Mnogi servisi koje podržavamo (uključujući i one vrlo poznate u zemlji!) zaštićeni su od DDoS-Guarda, G-Core Labs-a i prilično smo zadovoljni postignutim rezultatima.
Qrator odbija napade
Takođe imam iskustva sa malim bezbednosnim operaterima poput cloud-shield.ru, ddosa.net, hiljadama njih. Definitivno ga neću preporučiti, jer... Nemam puno iskustva, ali ću vam reći o principima njihovog rada. Njihova cijena zaštite je često 1-2 reda veličine niža od cijene velikih igrača. U pravilu kupuju uslugu djelomične zaštite (L3/L4) od nekog od većih igrača + sami rade zaštitu od napada na višim nivoima. Ovo može biti prilično efikasno + možete dobiti dobru uslugu za manje novca, ali ovo su ipak male kompanije sa malim brojem zaposlenih, imajte to na umu.
Koja je poteškoća u odbijanju napada na nivou L7?
Sve aplikacije su jedinstvene i morate dozvoliti promet koji im je koristan i blokirati štetne. Nije uvijek moguće nedvosmisleno izbaciti botove, tako da morate koristiti mnogo, zaista MNOGO stupnjeva pročišćavanja prometa.
Nekada je nginx-testcookie modul bio dovoljan (), a još uvijek je dovoljan za odbijanje velikog broja napada. Kada sam radio u industriji hostinga, L7 zaštita je bila bazirana na nginx-testcookie-u.
Nažalost, napadi su postali teži. testcookie koristi provjere botova zasnovane na JS-u, a mnogi moderni botovi mogu ih uspješno proći.
Napadni botneti su također jedinstveni, a karakteristike svakog velikog botneta moraju se uzeti u obzir.
Pojačavanje, direktno flooding sa botneta, filtriranje saobraćaja iz različitih zemalja (različito filtriranje za različite zemlje), SYN/ACK flooding, fragmentacija paketa, ICMP, http flooding, dok na nivou aplikacije/http možete doći do neograničenog broja različiti napadi.
Ukupno, na nivou zaštite kanala, specijalizovane opreme za čišćenje saobraćaja, specijalnog softvera, dodatnih podešavanja filtriranja za svakog klijenta mogu postojati desetine i stotine nivoa filtriranja.
Da biste pravilno upravljali ovim i pravilno podesili postavke filtriranja za različite korisnike, potrebno vam je puno iskustva i kvalificirano osoblje. Čak i veliki operater koji je odlučio da pruži usluge zaštite ne može "glupo bacati novac na problem": iskustvo će se morati steći na lažnim stranicama i lažnim pozitivnim rezultatima na legitimnom prometu.
Ne postoji dugme za „odbijanje DDoS-a“ za operatera bezbednosti, postoji veliki broj alata i morate ih znati koristiti.
I još jedan bonus primjer.
Nezaštićeni server je blokiran od strane hostera tokom napada kapaciteta 600 Mbita
(„Gubitak“ saobraćaja nije primetan, jer je napadnuta samo 1 lokacija, privremeno je uklonjena sa servera i blokada je ukinuta u roku od sat vremena).
Isti server je zaštićen. Napadači su se “predali” nakon jednog dana odbijanja napada. Sam napad nije bio najjači.
Napad i odbrana L3/L4 su trivijalniji, uglavnom zavise od debljine kanala, algoritama detekcije i filtriranja napada.
L7 napadi su složeniji i originalniji, zavise od aplikacije koja se napada, mogućnosti i mašte napadača. Zaštita od njih zahtijeva mnogo znanja i iskustva, a rezultat možda neće biti trenutan i ne stopostotan. Sve dok Google nije smislio još jednu neuronsku mrežu za zaštitu.
izvor: www.habr.com