Sa una nga duha ka quarter sa 2020, ang gidaghanon sa mga pag-atake sa DDoS hapit triple, nga ang 65% niini mga primitive nga pagsulay sa "pagsulay sa pagkarga" nga dali nga "pag-disable" nga walaβy panalipod nga mga site sa gagmay nga mga online store, forum, blog, ug media outlet.
Giunsa pagpili ang pag-host nga giprotektahan sa DDoS? Unsa ang kinahanglan nimong hatagan ug pagtagad ug unsa ang kinahanglan nimong pangandaman aron dili mabutang sa usa ka dili maayo nga kahimtang?
(Pagbakuna batok sa "gray" nga pagpamaligya sa sulod)
Ang pagkaanaa ug lain-laing mga himan alang sa pagpahigayon sa mga pag-atake sa DDoS nagpugos sa mga tag-iya sa mga serbisyo sa online sa paghimog angay nga mga lakang aron masumpo ang hulga. Kinahanglan nimong hunahunaon ang bahin sa pagpanalipod sa DDoS dili pagkahuman sa una nga kapakyasan, ug dili bisan ingon bahin sa usa ka hugpong sa mga lakang aron madugangan ang pagtugot sa sayup sa imprastraktura, apan sa yugto sa pagpili sa usa ka site alang sa pagbutang (hosting provider o data center).
Ang mga pag-atake sa DDoS giklasipikar depende sa mga protocol kansang mga kahuyangan gipahimuslan sa lebel sa Open Systems Interconnection (OSI) nga modelo:
- kanal (L2),
- network (L3),
- transportasyon (L4),
- gipadapat (L7).
Gikan sa punto sa panglantaw sa mga sistema sa seguridad, sila mahimong generalized ngadto sa duha ka mga grupo: imprastraktura nga lebel nga pag-atake (L2-L4) ug aplikasyon nga lebel pag-atake (L7). Kini tungod sa pagkasunodsunod sa pagpatuman sa mga algorithm sa pag-analisa sa trapiko ug pagkakompyut sa computational: ang mas lawom nga pagtan-aw nato sa IP packet, ang gikinahanglan nga gahum sa pag-compute.
Sa kinatibuk-an, ang problema sa pag-optimize sa mga kalkulasyon kung ang pagproseso sa trapiko sa tinuud nga oras usa ka hilisgutan alang sa usa ka lahi nga serye sa mga artikulo. Karon atong hunahunaon nga adunay pipila ka cloud provider nga adunay kondisyon nga walay limitasyon nga mga kapanguhaan sa pag-compute nga makapanalipod sa mga site gikan sa mga pag-atake sa lebel sa aplikasyon (lakip ang ).
3 panguna nga mga pangutana aron mahibal-an ang lebel sa seguridad sa pag-host batok sa mga pag-atake sa DDoS
Atong tan-awon ang mga termino sa serbisyo alang sa proteksyon batok sa mga pag-atake sa DDoS ug ang Service Level Agreement (SLA) sa hosting provider. Naglangkob ba sila og mga tubag sa mosunod nga mga pangutana:
- unsa nga teknikal nga limitasyon ang gipahayag sa service provider??
- unsa ang mahitabo kung ang kustomer molapas sa mga limitasyon?
- Giunsa paghimo sa usa ka tighatag nga tighatag og proteksyon batok sa mga pag-atake sa DDoS (mga teknolohiya, solusyon, mga supplier)?
Kung wala nimo nakit-an kini nga kasayuran, nan kini usa ka hinungdan nga maghunahuna bahin sa kaseryoso sa tighatag sa serbisyo, o mag-organisar sa batakang proteksyon sa DDoS (L3-4) sa imong kaugalingon. Pananglitan, pag-order og pisikal nga koneksyon sa network sa usa ka espesyal nga security provider.
Importante! Walay kapuslanan ang paghatag og panalipod batok sa mga pag-atake sa lebel sa aplikasyon gamit ang Reverse Proxy kung ang imong hosting provider dili makahatag og proteksyon batok sa mga pag-atake sa lebel sa imprastraktura: ang mga kagamitan sa network ma-overload ug mahimong dili magamit, lakip ang mga proxy server sa cloud provider (Figure 1).
Figure 1. Direktang pag-atake sa network sa hosting provider
Ug ayaw tugoti sila nga mosulay sa pagsulti kanimo sa mga fairy tale nga ang tinuod nga IP address sa server gitago sa luyo sa panganod sa security provider, nga nagpasabot nga imposible nga direktang atakehon kini. Sa siyam ka mga kaso sa napulo, dili lisud alang sa usa ka tig-atake nga makit-an ang tinuod nga IP address sa server o labing menos ang network sa hosting provider aron "laglagon" ang tibuok data center.
Giunsa paglihok sa mga hacker sa pagpangita sa usa ka tinuod nga IP address
Ubos sa mga spoiler adunay daghang mga pamaagi sa pagpangita sa usa ka tinuod nga IP address (gihatag alang sa mga katuyoan sa kasayuran).
Pamaagi 1: Pangitaa sa bukas nga mga tinubdan
Mahimo nimong sugdan ang imong pagpangita gamit ang serbisyo sa online: Gipangita niini ang ngitngit nga web, mga plataporma sa pagpaambit sa dokumento, pagproseso sa datos sa Whois, pag-leak sa publiko nga datos ug daghan pang mga tinubdan.
Kung, base sa pipila ka mga timailhan (mga ulohan sa HTTP, Whois data, ug uban pa.), posible nga mahibal-an nga ang proteksyon sa site giorganisar gamit ang Cloudflare, nan mahimo ka magsugod sa pagpangita sa tinuod nga IP gikan sa, nga adunay mga 3 milyon nga IP address sa mga site nga nahimutang sa luyo sa Cloudflare.
Paggamit og SSL certificate ug serbisyo makit-an nimo ang daghang mapuslanon nga kasayuran, lakip ang tinuod nga IP address sa site. Aron makamugna og hangyo alang sa imong kahinguhaan, adto sa Certificates tab ug pagsulod:
_parsed.nga mga ngalan: ngalansite AND tags.raw: kasaligan
Aron makapangita sa mga IP address sa mga server gamit ang SSL certificate, kinahanglan nimo nga mano-mano nga moagi sa drop-down list nga adunay daghang mga himan (ang tab nga "Explore", unya pilia ang "IPv4 Hosts").
Pamaagi 2: DNS
Ang pagpangita sa kasaysayan sa mga pagbag-o sa rekord sa DNS usa ka karaan, napamatud-an nga pamaagi. Ang miaging IP address sa site makapatin-aw kung asa nga hosting (o data center) kini nahimutang. Lakip sa mga serbisyo sa online sa mga termino sa kasayon ββββsa paggamit, ang mga musunud nga makita: ΠΈ .
Kung imong usbon ang mga setting, dili dayon gamiton sa site ang IP address sa cloud security provider o CDN, apan direktang molihok sa pipila ka panahon. Sa kini nga kaso, adunay posibilidad nga ang mga serbisyo sa online alang sa pagtipig sa kasaysayan sa mga pagbag-o sa IP address adunay kasayuran bahin sa gigikanan nga adres sa site.
Kung wala'y lain gawas sa ngalan sa daan nga DNS server, unya gamit ang mga espesyal nga kagamitan (pagkalot, host o nslookup) mahimo ka makahangyo usa ka IP address sa ngalan sa domain sa site, pananglitan:
_dig @old_dns_server_name ngalansite
Pamaagi 3: email
Ang ideya sa pamaagi mao ang paggamit sa feedback / rehistro nga porma (o bisan unsang paagi nga nagtugot kanimo sa pagsugod sa pagpadala sa usa ka sulat) aron makadawat usa ka sulat sa imong email ug susihon ang mga ulohan, labi na ang "Nadawat" nga uma. .
Ang email header sagad naglangkob sa aktuwal nga IP address sa MX record (email exchange server), nga mahimong usa ka punto sa pagsugod sa pagpangita sa ubang mga server sa target.
Pangitaa Automation Tools
Ang software sa pagpangita sa IP luyo sa taming sa Cloudflare kanunay nga nagtrabaho alang sa tulo ka mga buluhaton:
- I-scan ang sayop nga configuration sa DNS gamit ang DNSDumpster.com;
- Crimeflare.com database scan;
- pangitaa ang mga subdomain gamit ang paagi sa pagpangita sa diksyonaryo.
Ang pagpangita sa mga subdomain kasagaran ang labing epektibo nga kapilian sa tulo - ang tag-iya sa site makapanalipod sa nag-unang site ug biyaan ang mga subdomain nga direkta nga nagdagan. Ang pinakasayon ββnga paagi sa pagsusi mao ang paggamit .
Dugang pa, adunay mga utilities nga gidisenyo lamang alang sa pagpangita sa mga subdomain gamit ang pagpangita sa diksyonaryo ug pagpangita sa bukas nga mga tinubdan, pananglitan: o .
Giunsa ang pagpangita mahitabo sa praktis
Pananglitan, atong kuhaon ang site nga seo.com gamit ang Cloudflare, nga atong makit-an gamit ang usa ka ilado nga serbisyo (nagtugot kanimo sa pagtino sa mga teknolohiya / makina / CMS diin ang site naglihok, ug vice versa - pagpangita sa mga site pinaagi sa mga teknolohiya nga gigamit).
Kung nag-klik ka sa tab nga "IPv4 Hosts", ang serbisyo magpakita sa usa ka lista sa mga host gamit ang sertipiko. Aron makit-an ang usa nga imong gikinahanglan, pangitaa ang usa ka IP address nga adunay bukas nga port 443. Kung kini mag-redirect sa gusto nga site, nan ang buluhaton makompleto, kung dili kinahanglan nimo nga idugang ang domain name sa site sa "Host" nga ulohan sa HTTP nga hangyo (pananglitan, *curl -H "Host: site_name" *).
Sa among kaso, ang pagpangita sa database sa Censys wala maghatag bisan unsa, mao nga nagpadayon kami.
Maghimo kami usa ka pagpangita sa DNS pinaagi sa serbisyo.
Pinaagi sa pagpangita sa mga adres nga gihisgutan sa mga lista sa mga DNS server gamit ang CloudFail utility, nakit-an namon ang nagtrabaho nga mga kapanguhaan. Ang resulta mahimong andam sa pipila ka segundo.
Gamit lamang ang bukas nga datos ug yano nga mga himan, among gitino ang tinuod nga IP address sa web server. Ang nahabilin alang sa tig-atake usa ka butang sa teknik.
Balikan nato ang pagpili og hosting provider. Aron masusi ang kaayohan sa serbisyo para sa kustomer, atong tagdon ang posible nga mga pamaagi sa pagpanalipod batok sa mga pag-atake sa DDoS.
Giunsa ang usa ka host provider nagtukod sa proteksyon niini
- Kaugalingong sistema sa pagpanalipod nga adunay kagamitan sa pagsala (Figure 2).
Nagkinahanglan:
1.1. Mga kagamitan sa pagsala sa trapiko ug mga lisensya sa software;
1.2. Full-time nga mga espesyalista alang sa suporta ug operasyon niini;
1.3. Mga agianan sa pag-access sa Internet nga igo aron makadawat mga pag-atake;
1.4. Mahinungdanon nga prepaid channel bandwidth alang sa pagdawat sa "junk" nga trapiko.
Figure 2. Ang kaugalingong sistema sa seguridad sa hosting provider
Kung atong isipon ang gihulagway nga sistema isip usa ka paagi sa pagpanalipod batok sa modernong mga pag-atake sa DDoS sa gatusan ka Gbps, nan ang ingon nga sistema mogasto og daghang salapi. Ang hosting provider ba adunay ingon nga proteksyon? Andam na ba siya nga mobayad sa βjunkβ nga trapiko? Dayag nga, ang ingon nga modelo sa ekonomiya dili mapuslanon alang sa taghatag kung ang mga taripa wala maghatag dugang nga bayad. - Reverse Proxy (alang sa mga website ug pipila ka mga aplikasyon lamang). Bisan pa sa usa ka numero , dili garantiya sa supplier ang proteksyon batok sa direktang pag-atake sa DDoS (tan-awa ang Figure 1). Ang mga taghatag sa pag-host kanunay nagtanyag sa ingon nga solusyon ingon usa ka panacea, gibalhin ang responsibilidad sa taghatag sa seguridad.
- Mga serbisyo sa usa ka espesyal nga cloud provider (paggamit sa filtering network niini) aron mapanalipdan batok sa mga pag-atake sa DDoS sa tanang lebel sa OSI (Figure 3).
Figure 3. Komprehensibo nga proteksyon batok sa mga pag-atake sa DDoS gamit ang usa ka espesyal nga provider
nag-angkon sa lawom nga panagsama ug taas nga lebel sa teknikal nga katakus sa duha ka partido. Ang outsourcing nga mga serbisyo sa pagsala sa trapiko nagtugot sa hosting provider sa pagpakunhod sa presyo sa dugang nga mga serbisyo alang sa kustomer.
Importante! Ang mas detalyado nga teknikal nga mga kinaiya sa serbisyo nga gihatag gihulagway, mas dako ang kahigayonan sa pagpangayo sa ilang pagpatuman o bayad sa kaso sa downtime.
Dugang pa sa tulo ka nag-unang mga pamaagi, adunay daghang mga kombinasyon ug mga kombinasyon. Kung nagpili usa ka pag-host, hinungdanon nga hinumdoman sa kustomer nga ang desisyon magdepende dili lamang sa gidak-on sa gigarantiyahan nga gibabagan nga mga pag-atake ug katukma sa pagsala, apan usab sa katulin sa pagtubag, ingon man ang sulud sa kasayuran (listahan sa mga gibabagan nga pag-atake, kinatibuk-ang estadistika, ug uban pa).
Hinumdumi nga pipila ra ang nag-host nga taghatag sa kalibutan ang makahatag usa ka madawat nga lebel sa pagpanalipod sa ilang kaugalingon; sa ubang mga kaso, ang kooperasyon ug teknikal nga literasiya makatabang. Sa ingon, ang pagsabut sa sukaranang mga prinsipyo sa pag-organisar sa proteksyon batok sa mga pag-atake sa DDoS magtugot sa tag-iya sa site nga dili mahulog sa mga limbong sa marketing ug dili mopalit og "baboy sa usa ka poke."
Source: www.habr.com