In i primi dui trimestri di u 2020, u numeru di attacchi DDoS quasi triplicatu, cù u 65% di elli sò tentativi primitivi di "test di carica" chì facilmente "disabilitanu" siti senza difesa di picculi magazzini in linea, fori, blog, è media.
Cumu sceglie un hosting protettu da DDoS? Chì deve esse attentu è chì deve esse preparatu per ùn finisce micca in una situazione spiacevoli?
(Vaccinazione contr'à u marketing "grigiu" à l'internu)
A dispunibilità è a varietà di arnesi per a realizazione di attacchi DDoS forza i pruprietarii di servizii in linea à piglià misure appropritate per contru à a minaccia. Avete da pensà à a prutezzione DDoS micca dopu à u primu fallimentu, è micca ancu cum'è parte di un inseme di misure per aumentà a toleranza di difetti di l'infrastruttura, ma in u stadiu di sceglie un situ per a piazza (furnitore di hosting o data center).
L'attacchi DDoS sò classificati secondu i protokolli chì e vulnerabilità sò sfruttate à i livelli di u mudellu di Interconnessione di Sistemi Aperti (OSI):
- canale (L2),
- rete (L3),
- trasportu (L4),
- applicata (L7).
Da u puntu di vista di i sistemi di sicurità, ponu esse generalizati in dui gruppi: attacchi à livellu di infrastruttura (L2-L4) è attacchi à livellu di applicazione (L7). Questu hè dovutu à a sequenza di l'esekzione di l'algoritmi di l'analisi di u trafficu è a cumplessità computazionale: u più prufonda guardemu in u pacchettu IP, u più putere di computing hè necessariu.
In generale, u prublema di ottimisazione di i calculi in u processu di u trafficu in tempu reale hè un tema per una seria di articuli separati. Avà imaginemu solu chì ci hè un fornitore di nuvola cù risorse informatiche illimitate cundizionalmente chì ponu prutege i siti da attacchi à livellu di l'applicazione (cumpresu ).
3 dumande principali per determinà u gradu di sicurità di hosting contr'à attacchi DDoS
Fighjemu i termini di serviziu per a prutezzione contra l'attacchi DDoS è l'Acordu di Livellu di Serviziu (SLA) di u fornitore di hosting. Contenenu risposte à e seguenti dumande:
- quali limitazioni tecniche sò dichjarate da u fornitore di serviziu??
- chì succede quandu u cliente supera i limiti?
- Cumu un fornitore di hosting crea a prutezzione contru l'attacchi DDoS (tecnulugie, suluzioni, fornitori)?
Se ùn avete micca truvatu sta infurmazione, allora questu hè un mutivu per pensà à a serietà di u fornitore di serviziu, o urganizà a prutezzione di basa DDoS (L3-4) nantu à u vostru propiu. Per esempiu, urdinate una cunnessione fisica à a reta di un fornitore di sicurità specializatu.
Impurtante! Ùn ci hè nunda di furnisce a prutezzione contru l'attacchi à u livellu di l'applicazioni utilizendu Reverse Proxy se u vostru fornitore di hosting ùn hè micca capaci di furnisce a prutezzione contru l'attacchi à u livellu di l'infrastruttura: l'equipaggiu di a rete serà sopraccaricatu è diventeranu indisponibile, ancu per i servitori proxy di u fornitore di nuvola (Figura). 1).
Figura 1. Attaccu direttu à a reta di u fornitore di hosting
È ùn lasciate micca pruvà à dì à i fiabe chì l'indirizzu IP veru di u servitore hè oculatu daretu à u nuvulu di u fornitore di sicurità, chì significa chì hè impussibile di attaccà direttamente. In novi casi di deci, ùn serà micca difficiule per un attaccu di truvà l'indirizzu IP veru di u servitore o almenu a reta di l'ospiti per "distrughje" un centru di dati sanu.
Cumu i pirate agiscenu in cerca di un veru indirizzu IP
Sottu i spoilers sò parechji metudi per truvà un veru indirizzu IP (datu per scopi informativi).
Metudu 1: Ricerca in fonti aperti
Pudete principià a vostra ricerca cù u serviziu in linea: Cerca in u web scuru, piattaforme di spartera di documenti, processa dati Whois, fughe di dati publichi è parechje altre fonti.
Se, basatu annantu à certi segni (intestazione HTTP, dati Whois, etc.), era pussibule di determinà chì a prutezzione di u situ hè urganizata cù Cloudflare, pudete inizià a ricerca di l'IP reale da, chì cuntene circa 3 milioni di indirizzi IP di siti situati daretu à Cloudflare.
Utilizà un certificatu SSL è serviziu pudete truvà assai infurmazioni utili, cumpresu l'indirizzu IP veru di u situ. Per generà una dumanda per a vostra risorsa, andate à a tabulazione Certificati è entre:
_parsed.names : nomesitu AND tags.raw: fiducia
Per circà l'indirizzi IP di i servitori chì utilizanu un certificatu SSL, duverete passà manualmente in a lista di u drop-down cù parechji strumenti (a tabulazione "Esplora", dopu selezziunate "Ospiti IPv4").
Metudu 2: DNS
A ricerca di a storia di i cambiamenti di u record DNS hè un vechju metudu pruvucatu. L'indirizzu IP precedente di u situ pò esse chjaru in quale hosting (o centru di dati) era situatu. Trà i servizii in linea in termini di facilità d'usu, si distinguenu i seguenti: и .
Quandu cambiate i paràmetri, u situ ùn hà micca aduprà immediatamente l'indirizzu IP di u fornitore di sicurezza in nuvola o CDN, ma hà da travaglià direttamente per qualchì tempu. In questu casu, ci hè una pussibilità chì i servizii in linea per almacenà a storia di i cambiamenti di l'indirizzu IP cuntenenu infurmazioni nantu à l'indirizzu fonte di u situ.
Se ùn ci hè nunda, ma u nome di u vechju servitore DNS, allora usendu utilità speciale (dig, host o nslookup) pudete dumandà un indirizzu IP da u nome di duminiu di u situ, per esempiu:
_dig @old_dns_server_name nomesitu
Metudu 3: email
L'idea di u metudu hè di utilizà a forma di feedback / iscrizzione (o qualsiasi altru metudu chì vi permette di inizià l'inviu di una lettera) per riceve una lettera à u vostru email è verificà l'intestazione, in particulare u campu "Ricivutu". .
L'intestazione di email spessu cuntene l'indirizzu IP attuale di u record MX (servitore di scambiu di email), chì pò esse un puntu di partenza per truvà altri servitori nantu à u mira.
Ricerca Strumenti d'automatizazione
U software di ricerca IP daretu à u scudo Cloudflare funziona più spessu per trè attività:
- Scans for DNS misconfiguration usendu DNSDumpster.com;
- scansione di basa di dati Crimeflare.com;
- cercate subdomini cù un metudu di ricerca di dizziunariu.
Truvà i subdominii hè spessu l'opzione più efficace di i trè - u pruprietariu di u situ puderia prutegge u situ principale è lascià i subdominii in esecuzione direttamente. U modu più faciule per verificà hè di utilizà .
Inoltre, ci sò utilità pensate solu per a ricerca di subdomini cù una ricerca di dizziunariu è a ricerca in fonti aperti, per esempiu: o .
Cumu a ricerca passa in pratica
Per esempiu, pigliemu u situ seo.com cù Cloudflare, chì truveremu cù un serviziu ben cunnisciutu (permette di stabilisce e tecnulugia / motori / CMS nantu à quale u situ opera, è vice versa - cercate siti per e tecnulugia aduprate).
Quandu clicate nantu à a tabulazione "IPv4 Hosts", u serviziu mostrarà una lista di ospiti chì utilizanu u certificatu. Per truvà quellu chì avete bisognu, cercate un indirizzu IP cù u portu apertu 443. Se redirige à u situ desideratu, u compitu hè cumpletu, altrimente avete bisognu di aghjunghje u nome di duminiu di u situ à l'intestazione "Host" di u situ. Richiesta HTTP (per esempiu, * curl -H "Host: site_name" *).
In u nostru casu, una ricerca in a basa di dati Censys ùn hà datu nunda, cusì andemu avanti.
Eseguiremu una ricerca DNS attraversu u serviziu.
Circhendu l'indirizzi citati in i listi di servitori DNS cù l'utilità CloudFail, truvamu risorse di travagliu. U risultatu serà prontu in pochi seconde.
Utilizendu solu dati aperti è arnesi simplici, avemu determinatu l'indirizzu IP veru di u servitore web. U restu per l'attaccu hè una materia di tecnica.
Riturnemu à sceglie un fornitore di hosting. Per evaluà u benefiziu di u serviziu per u cliente, cunsideremu i metudi pussibuli di prutezzione contra l'attacchi DDoS.
Cumu un fornitore di hosting crea a so prutezzione
- Sistema di prutezzione propiu cù l'equipaggiu di filtrazione (Figura 2).
Esige:
1.1. L'equipaggiu di filtrazione di u trafficu è e licenze di software;
1.2. Specialisti à tempu pienu per u so sustegnu è u so funziunamentu;
1.3. canali d'accessu à Internet chì saranu abbastanza per riceve attacchi;
1.4. Larghezza di banda di canale prepagata significativa per riceve trafficu "spazzatura".
Figura 2. Sistema di sicurità propiu di u fornitore di hosting
Se avemu cunsideratu u sistema descrittu cum'è un mezzu di prutezzione contra l'attacchi DDoS muderni di centinaie di Gbps, allora un tali sistema costarà assai soldi. U fornitore di hosting hà una tale prutezzione? Hè prontu à pagà per u trafficu "junk"? Ovviamente, un tali mudellu ecunomicu ùn hè micca prufittu per u fornitore se i tariffi ùn furnisce micca pagamenti supplementari. - Reverse Proxy (solu per i siti web è alcune applicazioni). Malgradu un numeru , u fornitore ùn guarantisci micca a prutezzione contru l'attacchi diretti DDoS (vede Figura 1). I fornituri d'ospiti spessu offrenu una tale suluzione cum'è una panacea, trasfirendu a rispunsabilità à u fornitore di sicurità.
- I servizii di un fornitore di nuvola specializatu (usu di a so reta di filtrazione) per pruteggiri contra l'attacchi DDoS à tutti i livelli OSI (Figura 3).
Figura 3. Prutezzione cumpleta contr'à attacchi DDoS utilizendu un fornitore specializatu
assume una integrazione prufonda è un altu livellu di cumpetenza tecnica di e duie parti. L'outsourcing di i servizii di filtrazione di u trafficu permette à u fornitore di hosting per riduce u prezzu di servizii supplementari per u cliente.
Impurtante! Quantu più dettagliate sò descritte e caratteristiche tecniche di u serviziu furnitu, più grande hè a pussibilità di dumandà a so implementazione o compensazione in casu di downtime.
In più di i trè metudi principali, ci sò parechje cumminazzioni è cumminazzioni. Quandu sceglite un hosting, hè impurtante per u cliente di ricurdà chì a decisione dependerà micca solu di a dimensione di attacchi bluccati garantiti è di precisione di filtrazione, ma ancu di a rapidità di risposta, è ancu di u cuntenutu di l'infurmazioni (lista di attacchi bluccati, statistiche generale, etc.).
Ricurdativi chì solu uni pochi di fornitori di hosting in u mondu sò capaci di furnisce un livellu accettabile di prutezzione per sè stessu; in altri casi, a cooperazione è l'alfabetizazione tecnica aiutanu. Cusì, capiscenu i principii basi di l'urganizazione di a prutezzione contra l'attacchi DDoS permetterà à u pruprietariu di u situ di ùn cascà per i trucchi di marketing è micca cumprà un "porcu in un poke".
Source: www.habr.com