"U tippu chì hà fattu u nostru situ web hà digià stallatu a prutezzione DDoS".
"Avemu prutezzione DDoS, perchè u situ hè cascatu?"
"Quanti millaie vole Qrator?"
Per risponde bè à tali dumande da u cliente / capu, saria bellu di sapè ciò chì hè ammucciatu daretu à u nome "protezzione DDoS". A scelta di i servizii di sicurità hè più cum'è a scelta di una medicina da un duttore chè a scelta di una tavola in IKEA.
Aghju sustinutu i siti web per 11 anni, sò sopravvissuti à centinaie di attacchi à i servizii chì sustene, è avà vi dicu un pocu di u funziunamentu internu di prutezzione.
Attacchi rigulari. 350k req totali, 52k req legittimi
I primi attacchi apparsu quasi simultaneamente cù Internet. DDoS cum'è un fenomenu hè diventatu generalizatu da a fine di l'anni 2000 (verificate ).
Dapoi circa 2015-2016, quasi tutti i fornituri d'ospiti sò stati prutetti da attacchi DDoS, cum'è i siti più prominenti in i zoni cumpetitivi (fà whois per IP di i siti eldorado.ru, leroymerlin.ru, tilda.ws, vi vede e rete). di l'operatori di prutezzione).
Se 10-20 anni fà, a maiò parte di l'attacchi puderianu esse respinti nantu à u servitore stessu (evaluate i cunsiglii di l'amministratore di sistema Lenta.ru Maxim Moshkov da l'anni 90: ), ma avà i travaglii di prutezzione sò diventati più difficili.
Tipi di attacchi DDoS da u puntu di vista di sceglie un operatore di prutezzione
Attacchi à livellu L3/L4 (sicondu u mudellu OSI)
- UDP inundazione da una botnet (assai dumande sò mandati direttamente da i dispositi infettati à u serviziu attaccatu, i servitori sò bluccati cù u canali);
- Amplificazione DNS/NTP/etc (assai richieste sò mandate da i dispositi infettati à DNS/NTP/etc vulnerabili, l'indirizzu di u mittente hè falsificatu, un nuvulu di pacchetti chì rispondenu à e richieste inundanu u canali di a persona attaccata; questu hè cumu u più. attacchi massivi sò fatti nantu à l'Internet mudernu);
- Inondazione SYN / ACK (assai richieste per stabilisce una cunnessione sò mandate à i servitori attaccati, a fila di cunnessione si sbocca);
- attacchi cù frammentazione di pacchetti, ping di morte, ping flood (Google it please);
- eccetera.
Questi attacchi miranu à "obstruisce" u canali di u servitore o "uccide" a so capacità di accettà u novu trafficu.
Ancu s'è l'inundazioni SYN / ACK è l'amplificazione sò assai diffirenti, assai cumpagnie cumbattenu ugualmente bè. I prublemi nascenu cù attacchi da u gruppu prossimu.
Attacchi à L7 (stratu d'applicazione)
- http flood (se un situ web o qualchì http api hè attaccatu);
- un attaccu à i zoni vulnerabili di u situ (quelli chì ùn anu micca un cache, chì caricanu u situ assai assai, etc.).
L'ughjettu hè di fà u servitore "travaglià duramente", processà assai "richieste apparentemente reali" è esse lasciatu senza risorse per richieste reali.
Ancu s'ellu ci sò altri attacchi, questi sò i più cumuni.
Attacchi serii à u livellu L7 sò creati in modu unicu per ogni prughjettu attaccatu.
Perchè 2 gruppi?
Perchè ci sò parechji chì sà cumu per ripultà l'attacchi bè à u livellu L3 / L4, ma o ùn piglianu micca a prutezzione à u livellu di l'applicazione (L7), o sò sempre più debuli di l'alternative per trattà cun elli.
Quale hè quale in u mercatu di prutezzione DDoS
(a mo opinione persunale)
Prutezzione à u livellu L3/L4
Per ripiglià l'attacchi cù l'amplificazione ("bloccaggio" di u canali di u servitore), ci sò abbastanza canali largu (assai di i servizii di prutezzione si cunnetta à a maiò parte di i grandi fornitori di spine in Russia è anu canali cù una capacità teorica di più di 1 Tbit). Ùn vi scurdate chì attacchi di amplificazione assai rari duranu più di una ora. Sè vo site Spamhaus è tutti ùn ti piace micca, iè, puderanu pruvà à chjude i vostri canali per parechji ghjorni, ancu à u risicu di più sopravvivenza di a botnet globale chì hè stata utilizata. Sì avete solu una tenda in linea, ancu s'ellu hè mvideo.ru, ùn vi vede micca 1 Tbit in pochi ghjorni assai prestu (speru).
Per ripiglià l'attacchi cù inundazioni SYN / ACK, frammentazione di pacchetti, etc., avete bisognu di l'equipaggiu o sistemi di software per detectà è piantà tali attacchi.
Parechje persone pruducianu tali equipaghji (Arbor, ci sò suluzioni da Cisco, Huawei, implementazioni di software da Wanguard, etc.), assai operatori di backbone l'anu digià stallatu è vende servizii di prutezzione DDoS (sò installazioni da Rostelecom, Megafon, TTK, MTS). , In fatti, tutti i fornituri maiò facenu u listessu cù l'ospiti cù a so propria prutezzione a-la OVH.com, Hetzner.de, aghju scuntatu a prutezzione in ihor.ru). Alcune cumpagnie sviluppanu e so solu suluzioni software (tecnulugie cum'è DPDK permettenu di processà decine di gigabits di trafficu in una macchina fisica x86).
Di i ghjucatori cunnisciuti, ognunu pò cummattiri L3 / L4 DDoS più o menu efficace. Avà ùn diceraghju micca quale hà a capacità massima di u canali più grande (questa hè una informazione privilegiata), ma di solitu questu ùn hè micca cusì impurtante, è l'unica diferenza hè quantu rapidamente a prutezzione hè attivata (istantaneamente o dopu uni pochi di minuti di downtime di u prughjettu, cum'è in Hetzner).
A quistione hè quantu hè fattu questu: un attaccu d'amplificazione pò esse rimpiazzatu bluccà u trafficu da i paesi cù a più grande quantità di trafficu dannusu, o solu u trafficu veramente innecessariu pò esse scartatu.
Ma à u stessu tempu, basatu nantu à a mo spirimintà, tutti i ghjucatori di u mercatu seriu affruntà questu senza prublemi: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ex SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Ùn aghju micca scontru a prutezzione di l'operatori cum'è Rostelecom, Megafon, TTK, Beeline; secondu e recensioni di i culleghi, furnianu questi servizii abbastanza bè, ma finu à avà a mancanza di sperienza hè periodicamente affettata: qualchì volta avete bisognu di aghjustà qualcosa attraversu u supportu. di l'operatore di prutezzione.
Certi operatori anu un serviziu separatu "prutezzione contr'à attacchi à u livellu L3 / L4", o "prutezzione di u canali"; custa assai menu di prutezzione à tutti i livelli.
Perchè u fornitore di backbone ùn repelle l'attacchi di centinaie di Gbits, postu chì ùn hà micca i so canali?L'operatore di prutezzione pò cunnette à qualsiasi di i principali fornituri è repelle l'attacchi "à u so spesa". Avete da pagà per u canali, ma tutti questi cintunari di Gbits ùn saranu micca sempre utilizati; ci sò opzioni per riduce significativamente u costu di i canali in questu casu, cusì u schema resta praticabile.
Quessi sò i rapporti chì aghju ricevutu regularmente da a prutezzione L3 / L4 di livellu più altu mentre sustene i sistemi di u fornitore di hosting.
Prutezzione à u livellu L7 (livellu di applicazione)
L'attacchi à u livellu L7 (livellu di l'applicazione) sò capaci di respingere unità in modu coerente è efficiente.
Aghju assai sperienza vera cun
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Cuntribuiscenu per ogni megabit di trafficu puru, un megabit costa circa parechji milla rubli. Sè vo avete almenu 100 Mbps di trafficu puri - oh. A prutezzione serà assai caru. Puderaghju dì in l'articuli seguenti cumu cuncepisce l'applicazioni per risparmià assai in a capacità di i canali di sicurezza.
U veru "rè di a muntagna" hè Qrator.net, u restu resta daretu à elli. Qrator sò finu à quì l'unicu in a mo spirimintà chì dà un percentinu di falsi pusitivi vicinu à cero, ma à u stessu tempu sò parechje volte più caru di l'altri attori di u mercatu.
L'altri operatori furniscenu ancu una prutezzione stabile è di alta qualità. Parechji servizii sustinuti da noi (cumpresi quelli assai cunnisciuti in u paese!) Sò prutetti da DDoS-Guard, G-Core Labs, è sò abbastanza soddisfatti di i risultati ottenuti.
Attacchi respinti da Qrator
Aghju ancu sperienza cù i picculi operatori di sicurezza cum'è cloud-shield.ru, ddosa.net, millaie di elli. Di sicuru ùn l'aghju micca cunsigliatu, perchè ... Ùn aghju micca assai sperienza, ma vi dicu di i principii di u so travagliu. U so costu di prutezzione hè spessu 1-2 ordini di grandezza più bassu di quellu di i principali attori. Comu regula, cumprà un serviziu di prutezzione parziale (L3 / L4) da unu di i ghjucatori più grande + facenu a so propria prutezzione contru l'attacchi à livelli più alti. Questu pò esse abbastanza efficace + pudete uttene un bonu serviziu per menu soldi, ma questi sò sempre picculi cumpagnie cù un picculu staffu, per piacè tene in mente.
Chì ci hè a difficultà di ripiglià l'attacchi à u livellu L7?
Tutte l'applicazioni sò uniche, è avete bisognu di permette u trafficu chì hè utile per elli è bluccà quelli dannosi. Ùn hè micca sempre pussibule di scaccià inequivocabilmente i bots, perchè avete aduprà assai, veramente MULTI gradi di purificazione di u trafficu.
Una volta, u modulu nginx-testcookie era abbastanza (), è hè sempre abbastanza per ripiglià un gran numaru di attacchi. Quandu aghju travagliatu in l'industria di l'ospiti, a prutezzione L7 hè stata basata nantu à nginx-testcookie.
Sfortunatamente, l'attacchi sò diventati più difficili. testcookie usa cuntrolli di bot basati in JS, è parechji bots muderni ponu passà cun successu.
I botnets d'attaccu sò ancu unichi, è e caratteristiche di ogni botnet grande deve esse cunsideratu.
Amplificazione, inundazioni dirette da una botnet, filtrazione di u trafficu da diversi paesi (filtri differenti per i diversi paesi), inundazioni SYN / ACK, frammentazione di pacchetti, ICMP, inundazioni http, mentre chì à u livellu di l'applicazione / http pudete vene cun un numeru illimitatu di diversi attacchi.
In u tutale, à u livellu di prutezzione di u canali, l'equipaggiu specializatu per u trafficu di sguassà, u software speciale, i paràmetri di filtrazione supplementari per ogni cliente pò esse decine è centinaie di livelli di filtrazione.
Per gestisce bè questu è sintonizà currettamente i paràmetri di filtrazione per diversi utilizatori, avete bisognu di assai sperienza è persunale qualificatu. Ancu un grande operatore chì hà decisu di furnisce servizii di prutezzione ùn pò micca "stupidly throw money at the problem": l'experientia duverà esse acquistata da i siti minzogni è falsi pusitivi nantu à u trafficu legittimi.
Ùn ci hè micca un buttone "repel DDoS" per l'operatore di sicurità; Ci hè un gran numaru di strumenti, è avete bisognu di sapè cumu utilizà.
È un altru esempiu bonus.
Un servitore senza prutezzione hè stata bluccata da l'hoster durante un attaccu cù una capacità di 600 Mbit
("A perdita" di u trafficu ùn hè micca notu, perchè solu u situ 1 hè statu attaccatu, hè statu sguassatu temporaneamente da u servitore è u bloccu hè statu elevatu in una ora).
U stessu servitore hè prutettu. L'attaccanti "si rendenu" dopu un ghjornu di attacchi respinti. L'attaccu stessu ùn era micca u più forte.
L'attaccu è a difesa di L3 / L4 sò più triviali; dipendenu principalmente da u grossu di i canali, l'algoritmi di rilevazione è filtrazione per attacchi.
L'attacchi L7 sò più cumplessi è originali; dipendenu da l'applicazione attaccata, e capacità è l'imaginazione di l'attaccanti. A prutezzione contru à elli esige assai cunniscenze è sperienza, è u risultatu pò esse micca immediata è micca centu per centu. Finu à Google hà ghjuntu cù una altra rete neurale per a prutezzione.
Source: www.habr.com