"Ang tawo nga naghimo sa among website nag-set up na sa proteksyon sa DDoS."
"Kami adunay proteksyon sa DDoS, nganong nawala ang site?"
"Pila ka libo ang gusto ni Qrator?"
Aron tukma nga matubag ang ingon nga mga pangutana gikan sa kustomer / boss, maayo nga mahibal-an kung unsa ang gitago sa luyo sa ngalan nga "DDoS protection". Ang pagpili sa mga serbisyo sa seguridad sama sa pagpili sa tambal gikan sa usa ka doktor kaysa pagpili sa usa ka lamesa sa IKEA.
Nagsuporta ako sa mga website sulod sa 11 ka tuig, nakalahutay sa gatusan ka mga pag-atake sa mga serbisyo nga akong gisuportahan, ug karon sultihan ko ikaw og gamay mahitungod sa sulod nga mga buhat sa pagpanalipod.
Regular nga pag-atake. 350k req total, 52k req lehitimo
Ang unang mga pag-atake nagpakita halos dungan sa Internet. Ang DDoS isip usa ka panghitabo nahimong kaylap sukad sa ulahing bahin sa 2000s (susiha ).
Sukad sa mga 2015-2016, hapit tanan nga mga tighatag sa pag-host napanalipdan gikan sa mga pag-atake sa DDoS, sama sa kadaghanan sa mga prominenteng site sa mga lugar nga kompetisyon (buhata ang whois pinaagi sa IP sa mga site nga eldorado.ru, leroymerlin.ru, tilda.ws, makita nimo ang mga network sa mga operator sa pagpanalipod).
Kung 10-20 ka tuig na ang milabay kadaghanan sa mga pag-atake mahimong masumpo sa server mismo (susiha ang mga rekomendasyon sa Lenta.ru system administrator Maxim Moshkov gikan sa 90s: ), apan karon ang mga buluhaton sa pagpanalipod nahimong mas lisud.
Mga tipo sa pag-atake sa DDoS gikan sa punto sa pagtan-aw sa pagpili sa usa ka operator sa pagpanalipod
Mga pag-atake sa lebel sa L3/L4 (sumala sa modelo sa OSI)
- UDP baha gikan sa usa ka botnet (daghang mga hangyo gipadala direkta gikan sa mga nataptan nga mga himan ngadto sa giatake nga serbisyo, ang mga server gibabagan sa channel);
— DNS/NTP/etc amplification (daghang mga hangyo ang gipadala gikan sa mga nataptan nga device ngadto sa huyang nga DNS/NTP/etc, ang adres sa nagpadala gipeke, usa ka panganod sa mga pakete nga nagtubag sa mga hangyo nagbaha sa channel sa tawo nga giatake; mao kini ang pinakadaghan dinagkong pag-atake ang gihimo sa modernong Internet);
- SYN / ACK baha (daghang mga hangyo sa pagtukod sa usa ka koneksyon gipadala ngadto sa giatake server, ang koneksyon pila nag-awas);
— mga pag-atake nga adunay packet fragmentation, ping of death, ping flood (Palihug sa Google);
- ug uban pa.
Kini nga mga pag-atake nagtumong sa "pagbara" sa channel sa server o "pagpatay" sa abilidad niini sa pagdawat sa bag-ong trapiko.
Bisan kung ang pagbaha ug pagpadako sa SYN / ACK lahi kaayo, daghang mga kompanya ang nakigbatok kanila nga parehas nga maayo. Ang mga problema motungha sa mga pag-atake gikan sa sunod nga grupo.
Mga pag-atake sa L7 (application layer)
— http baha (kon usa ka website o pipila ka http api ang giatake);
— usa ka pag-atake sa mga huyang nga lugar sa site (kadtong wala’y cache, nga nag-load sa site nga grabe, ug uban pa).
Ang tumong mao ang paghimo sa server nga "magtrabaho pag-ayo", pagproseso sa daghang "daw tinuod nga mga hangyo" ug ibilin nga walay mga kapanguhaan alang sa tinuod nga mga hangyo.
Bisan kung adunay uban pang mga pag-atake, kini ang labing kasagaran.
Ang grabe nga mga pag-atake sa lebel sa L7 gihimo sa usa ka talagsaon nga paagi alang sa matag proyekto nga giatake.
Nganong 2 ka grupo?
Tungod kay adunay daghan nga nahibal-an kung giunsa ang pagsalikway sa mga pag-atake nga maayo sa lebel sa L3 / L4, apan bisan sa dili pagkuha proteksyon sa lebel sa aplikasyon (L7) sa tanan, o mas huyang pa kaysa mga alternatibo sa pag-atubang niini.
Kinsa ang naa sa merkado sa pagpanalipod sa DDoS
(akong personal nga opinyon)
Proteksyon sa L3/L4 nga lebel
Aron mapugngan ang mga pag-atake nga adunay amplification ("pagbara" sa channel sa server), adunay igo nga lapad nga mga kanal (daghan sa mga serbisyo sa pagpanalipod nagkonektar sa kadaghanan sa mga dagkong backbone provider sa Russia ug adunay mga channel nga adunay teoretikal nga kapasidad nga labaw sa 1 Tbit). Ayaw kalimti nga ang talagsa ra nga pag-atake sa amplification molungtad og sobra sa usa ka oras. Kung Spamhaus ka ug ang tanan dili ganahan nimo, oo, mahimo nilang sulayan nga isira ang imong mga channel sa daghang mga adlaw, bisan sa peligro sa dugang nga pagkaluwas sa global nga botnet nga gigamit. Kung naa ka lang online nga tindahan, bisan kung kini mvideo.ru, dili nimo makita ang 1 Tbit sulod sa pipila ka mga adlaw sa dili madugay (naglaum ako).
Aron masalikway ang mga pag-atake nga adunay pagbaha sa SYN/ACK, pagkabahinbahin sa pakete, ug uban pa, kinahanglan nimo ang kagamitan o sistema sa software aron mahibal-an ug mapahunong ang ingon nga mga pag-atake.
Daghang mga tawo ang naghimo sa ingon nga kagamitan (Arbor, adunay mga solusyon gikan sa Cisco, Huawei, mga pagpatuman sa software gikan sa Wanguard, ug uban pa), daghang mga backbone operator ang nag-install na niini ug nagbaligya sa mga serbisyo sa pagpanalipod sa DDoS (Nahibal-an ko ang bahin sa mga pag-install gikan sa Rostelecom, Megafon, TTK, MTS , sa pagkatinuod, ang tanan nga mga mayor nga providers nagbuhat sa mao usab nga uban sa mga tig-host uban sa ilang kaugalingon nga panalipod a-la OVH.com, Hetzner.de, ako sa akong kaugalingon nakasugat sa proteksyon sa ihor.ru). Ang ubang mga kompanya nagpalambo sa ilang kaugalingon nga mga solusyon sa software (ang mga teknolohiya sama sa DPDK nagtugot kanimo sa pagproseso sa napulo ka gigabit nga trapiko sa usa ka pisikal nga x86 nga makina).
Sa mga ilado nga magdudula, ang tanan mahimong makig-away sa L3/L4 DDoS nga mas epektibo. Karon dili nako isulti kung kinsa ang adunay labing dako nga kapasidad sa channel (kini ang kasayuran sa tagaloob), apan kasagaran kini dili kaayo hinungdanon, ug ang bugtong kalainan mao kung unsa kadali ang proteksyon na-trigger (diha-diha dayon o pagkahuman sa pipila ka minuto nga downtime sa proyekto, sama sa Hetzner).
Ang pangutana kung unsa kini ka maayo: ang usa ka pag-atake sa amplification mahimong masumpo pinaagi sa pagbabag sa trapiko gikan sa mga nasud nga adunay labing kadaghan nga makadaot nga trapiko, o ang tinuud nga wala kinahanglana nga trapiko mahimong ilabay.
Apan sa samang higayon, base sa akong kasinatian, ang tanan nga seryoso nga mga magdudula sa merkado nakasagubang niini nga walay mga problema: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (kaniadto SkyParkCDN), ServicePipe, Stormwall, Voxility, ug uban pa.
Wala ako nakasugat og proteksyon gikan sa mga operator sama sa Rostelecom, Megafon, TTK, Beeline; sumala sa mga pagsusi sa mga kauban, maayo ang ilang paghatag niini nga mga serbisyo, apan hangtod karon ang kakulang sa kasinatian kanunay nga nakaapekto: usahay kinahanglan nimo nga i-tweak ang usa ka butang pinaagi sa suporta sa operator sa pagpanalipod.
Ang ubang mga operator adunay lahi nga serbisyo nga "proteksyon batok sa mga pag-atake sa lebel sa L3/L4", o "proteksyon sa channel"; mas ubos ang gasto kaysa proteksyon sa tanan nga lebel.
Ngano nga ang backbone provider dili mosalikway sa mga pag-atake sa gatusan ka Gbits, tungod kay kini walay kaugalingong mga channel?Ang operator sa pagpanalipod mahimong makonektar sa bisan kinsa sa mga dagkong provider ug makapugong sa mga pag-atake "sa gasto niini." Kinahanglan nimo nga bayran ang channel, apan kining tanan nga gatusan ka Gbits dili kanunay magamit; adunay mga kapilian aron makunhuran ang gasto sa mga channel sa kini nga kaso, aron ang laraw nagpabilin nga magamit.
Kini ang mga taho nga kanunay nakong nadawat gikan sa mas taas nga lebel sa proteksyon sa L3/L4 samtang nagsuporta sa mga sistema sa tighatag sa host.
Proteksyon sa L7 nga lebel (aplikasyon nga lebel)
Ang mga pag-atake sa lebel sa L7 (ang-ang sa aplikasyon) makahimo sa pagsalikway sa mga yunit nga makanunayon ug episyente.
Daghan kaayo kog tinuod nga kasinatian
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Nagbayad sila alang sa matag megabit nga puro nga trapiko, ang usa ka megabit nagkantidad mga pila ka libo nga mga rubles. Kung ikaw adunay labing menos 100 Mbps sa lunsay nga trapiko - oh. Ang proteksyon mahimong mahal kaayo. Masultihan ko ikaw sa mosunod nga mga artikulo kung giunsa ang pagdesinyo sa mga aplikasyon aron makadaginot og daghan sa kapasidad sa mga channel sa seguridad.
Ang tinuod nga "hari sa bungtod" mao ang Qrator.net, ang uban naa sa ilang luyo. Ang Qrator hangtod karon mao ra ang sa akong kasinatian nga naghatag usa ka porsyento sa mga sayup nga positibo nga hapit sa zero, apan sa parehas nga oras mas mahal sila sa ubang mga magdudula sa merkado.
Ang ubang mga operator naghatag usab og taas nga kalidad ug lig-on nga proteksyon. Daghang mga serbisyo nga gisuportahan kanamo (lakip ang mga ilado kaayo sa nasud!) Gipanalipdan gikan sa DDoS-Guard, G-Core Labs, ug medyo kontento sa mga resulta nga nakuha.
Mga pag-atake nga gisalikway ni Qrator
Ako usab adunay kasinatian sa gagmay nga mga operator sa seguridad sama sa cloud-shield.ru, ddoso.net, liboan niini. Dili gyud nako kini irekomenda, tungod kay ... Wala koy daghang kasinatian, apan isulti ko kanimo ang bahin sa mga prinsipyo sa ilang trabaho. Ang ilang gasto sa pagpanalipod kanunay nga 1-2 nga mga order sa kadako nga mas ubos kaysa sa mga dagkong magdudula. Ingon sa usa ka lagda, nagpalit sila og partial protection service (L3/L4) gikan sa usa sa mas dagkong mga magdudula + naghimo sa ilang kaugalingong proteksyon batok sa mga pag-atake sa mas taas nga lebel. Mahimong epektibo kini + makakuha ka ug maayong serbisyo sa gamay nga kantidad, apan kini mga gagmay nga kompanya nga adunay gamay nga kawani, palihug hinumdomi kana.
Unsa ang kalisud sa pagsalikway sa mga pag-atake sa lebel sa L7?
Ang tanan nga mga aplikasyon talagsaon, ug kinahanglan nimo nga tugutan ang trapiko nga mapuslanon alang kanila ug babagan ang makadaot. Dili kanunay nga posible nga dili patas nga tangtangon ang mga bot, mao nga kinahanglan nimo gamiton ang daghan, tinuod nga DAGHAN nga ang-ang sa pagputli sa trapiko.
Kaniadto, ang nginx-testcookie module igo na (), ug kini igo pa nga makapugong sa daghang mga pag-atake. Kung nagtrabaho ko sa industriya sa pag-host, ang proteksyon sa L7 gibase sa nginx-testcookie.
Ikasubo, ang mga pag-atake nahimong mas lisud. Ang testcookie naggamit sa JS-based nga bot checks, ug daghang modernong mga bot ang malampusong makapasar niini.
Ang mga botnet sa pag-atake talagsaon usab, ug ang mga kinaiya sa matag dako nga botnet kinahanglan nga tagdon.
Pagpadako, direkta nga pagbaha gikan sa usa ka botnet, pagsala sa trapiko gikan sa lain-laing mga nasud (laing mga pagsala alang sa lain-laing mga nasud), SYN / ACK pagbaha, packet fragmentation, ICMP, http pagbaha, samtang sa aplikasyon / http nga lebel mahimo ka makahimo og usa ka walay kutub nga gidaghanon sa lainlaing mga pag-atake.
Sa kinatibuk-an, sa lebel sa proteksyon sa channel, espesyal nga kagamitan alang sa paghawan sa trapiko, espesyal nga software, dugang nga mga setting sa pagsala alang sa matag kliyente mahimo’g adunay napulo ug gatusan nga lebel sa pagsala.
Aron madumala kini sa husto ug husto nga pag-tune sa mga setting sa pagsala alang sa lainlaing mga tiggamit, kinahanglan nimo ang daghang kasinatian ug mga kwalipikado nga kawani. Bisan ang usa ka dako nga operator nga nakahukom sa paghatag og mga serbisyo sa pagpanalipod dili mahimong "buang nga paglabay sa salapi sa problema": ang kasinatian kinahanglan nga makuha gikan sa mga bakak nga mga site ug mga sayup nga positibo sa lehitimong trapiko.
Walay "repel DDoS" nga buton alang sa security operator; adunay daghang mga himan, ug kinahanglan nimo nga mahibal-an kung giunsa kini gamiton.
Ug usa pa nga pananglitan sa bonus.
Ang usa ka unprotected server gibabagan sa host sa panahon sa pag-atake nga adunay kapasidad nga 600 Mbit
("Ang pagkawala" sa trapiko dili mamatikdan, tungod kay 1 ra nga site ang giatake, kini temporaryo nga gikuha gikan sa server ug ang pag-block gitangtang sulod sa usa ka oras).
Ang sama nga server gipanalipdan. Ang mga tig-atake "nagsurender" pagkahuman sa usa ka adlaw nga gisalikway nga mga pag-atake. Ang pag-atake mismo dili ang labing kusog.
Ang pag-atake ug pagdepensa sa L3/L4 mas walay hinungdan; nag-una kini sa gibag-on sa mga channel, detection ug filtering algorithms alang sa mga pag-atake.
Ang mga pag-atake sa L7 mas komplikado ug orihinal; nagdepende kini sa aplikasyon nga giatake, ang mga kapabilidad ug imahinasyon sa mga tig-atake. Ang pagpanalipod batok kanila nanginahanglan daghang kahibalo ug kasinatian, ug ang sangputanan mahimong dili dayon ug dili usa ka gatos nga porsyento. Hangtud nga ang Google naghimo og laing neural network alang sa proteksyon.
Source: www.habr.com