"Ten, kdo vytvořil náš web, už nastavil ochranu DDoS."
"Máme ochranu proti DDoS, proč se stránka rozpadla?"
"Kolik tisíc chce Qrator?"
Aby bylo možné správně odpovědět na takové otázky zákazníka/šéfa, bylo by dobré vědět, co se skrývá pod názvem „DDoS ochrana“. Výběr bezpečnostních služeb připomíná spíše výběr léků u lékaře než výběr stolu v IKEA.
Podporuji webové stránky již 11 let, přežil jsem stovky útoků na služby, které podporuji, a nyní vám řeknu něco o vnitřním fungování ochrany.
Pravidelné útoky. Celkem 350 52 požadavků, legitimní požadavek XNUMX XNUMX
První útoky se objevily téměř současně s internetem. DDoS jako fenomén se rozšířil od konce roku 2000 (viz ).
Přibližně od roku 2015-2016 jsou téměř všichni poskytovatelé hostingu chráněni před útoky DDoS, stejně jako většina prominentních stránek v konkurenčních oblastech (proveďte whois podle IP stránek eldorado.ru, leroymerlin.ru, tilda.ws, uvidíte sítě operátorů ochrany).
Pokud před 10–20 lety bylo možné většinu útoků odrazit na samotném serveru (zhodnoťte doporučení správce systému Lenta.ru Maxima Moshkova z 90. let: ), ale nyní jsou úkoly ochrany obtížnější.
Typy DDoS útoků z pohledu výběru operátora ochrany
Útoky na úrovni L3/L4 (podle modelu OSI)
— UDP záplava z botnetu (mnoho požadavků je odesíláno přímo z infikovaných zařízení napadené službě, servery jsou blokovány kanálem);
— zesílení DNS/NTP/atd (z infikovaných zařízení je odesíláno mnoho požadavků na zranitelné DNS/NTP/atd, adresa odesílatele je podvržena, mrak paketů odpovídajících na požadavky zaplavuje kanál napadené osoby; takto je nejvíce masivní útoky jsou prováděny na moderním internetu);
— SYN / ACK záplava (na napadené servery je odesláno mnoho požadavků na navázání spojení, fronta spojení přeteče);
— útoky s fragmentací paketů, ping smrti, ping záplava (prosím Google);
- a tak dále.
Cílem těchto útoků je „ucpat“ kanál serveru nebo „zabít“ jeho schopnost přijímat nový provoz.
Ačkoli jsou SYN/ACK záplavy a zesílení velmi odlišné, mnoho společností s nimi bojuje stejně dobře. Problémy nastávají s útoky z další skupiny.
Útoky na L7 (aplikační vrstva)
— http záplava (pokud je napadena webová stránka nebo některé http api);
— útok na zranitelné oblasti webu (ty, které nemají mezipaměť, velmi silně zatěžují web atd.).
Cílem je přimět server "tvrdě pracovat", zpracovávat mnoho "zdánlivě skutečných požadavků" a zůstat bez prostředků na skutečné požadavky.
I když existují i jiné útoky, tyto jsou nejčastější.
Vážné útoky na úrovni L7 jsou vytvářeny jedinečným způsobem pro každý napadený projekt.
Proč 2 skupiny?
Protože existuje mnoho těch, kteří vědí, jak dobře odrážet útoky na úrovni L3 / L4, ale buď vůbec nezabírají ochranu na úrovni aplikace (L7), nebo jsou v jejich řešení stále slabší než alternativy.
Kdo je kdo na trhu DDoS ochrany
(můj osobní názor)
Ochrana na úrovni L3/L4
Pro odražení útoků zesílením („blokace“ kanálu serveru) existuje dostatek širokých kanálů (mnoho ochranných služeb se připojuje k většině velkých páteřních poskytovatelů v Rusku a má kanály s teoretickou kapacitou vyšší než 1 Tbit). Nezapomeňte, že velmi vzácné zesilovací útoky trvají déle než hodinu. Pokud jste Spamhaus a všichni vás nemají rádi, ano, mohou se pokusit vypnout vaše kanály na několik dní, a to i s rizikem dalšího přežití globálního botnetu, který je používán. Pokud máte pouze internetový obchod, i když je to mvideo.ru, neuvidíte 1 Tbit během několika dní velmi brzy (doufám).
K odražení útoků se zahlcováním SYN/ACK, fragmentací paketů atd. potřebujete vybavení nebo softwarové systémy k detekci a zastavení takových útoků.
Mnoho lidí takové zařízení vyrábí (Arbor, existují řešení od Cisco, Huawei, implementace softwaru od Wanguard atd.), mnoho páteřních operátorů je již nainstalovalo a prodává služby ochrany DDoS (vím o instalacích od Rostelecom, Megafon, TTK, MTS , ve skutečnosti všichni hlavní poskytovatelé dělají totéž s hostiteli s vlastní ochranou a-la OVH.com, Hetzner.de, já sám jsem narazil na ochranu na ihor.ru). Některé společnosti vyvíjejí vlastní softwarová řešení (technologie jako DPDK umožňují zpracovat desítky gigabitů provozu na jednom fyzickém x86 stroji).
Ze známých hráčů se s L3/L4 DDoS dokáže více či méně efektivně poprat každý. Nyní neřeknu, kdo má větší maximální kapacitu kanálu (toto jsou interní informace), ale obvykle to není tak důležité a jediný rozdíl je v tom, jak rychle se ochrana spustí (okamžitě nebo po několika minutách výpadku projektu, jako u Hetznera).
Otázkou je, jak dobře se to dělá: zesilovací útok lze odrazit zablokováním provozu ze zemí s největším množstvím škodlivého provozu nebo lze zahodit pouze skutečně nepotřebný provoz.
Zároveň se s tím ale podle mých zkušeností bez problémů vyrovnávají všichni seriózní hráči na trhu: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (dříve SkyParkCDN), ServicePipe, Stormwall, Voxility atd.
Nesetkal jsem se s ochranou od operátorů, jako je Rostelecom, Megafon, TTK, Beeline; podle recenzí od kolegů tyto služby poskytují docela dobře, ale zatím se pravidelně projevuje nedostatek zkušeností: někdy je třeba něco vyladit prostřednictvím podpory operátora ochrany.
Někteří operátoři mají samostatnou službu „ochrana před útoky na úrovni L3/L4“ nebo „ochrana kanálu“, která stojí mnohem méně než ochrana na všech úrovních.
Proč poskytovatel páteřní sítě neodráží útoky o stovkách Gbitů, když nemá vlastní kanály?Operátor ochrany se může připojit k libovolnému z hlavních poskytovatelů a odrazit útoky „na své náklady“. Za kanál budete muset zaplatit, ale všechny tyto stovky Gbitů nebudou vždy využity; v tomto případě existují možnosti, jak výrazně snížit náklady na kanály, takže schéma zůstává funkční.
Toto jsou zprávy, které pravidelně dostávám od vyšší úrovně ochrany L3/L4 při podpoře systémů poskytovatele hostingu.
Ochrana na úrovni L7 (úroveň aplikace)
Útoky na úrovni L7 (aplikační úroveň) jsou schopny jednotky konzistentně a efektivně odrážet.
Mám s tím poměrně dost reálných zkušeností
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Účtují se za každý megabit čistého provozu, megabit stojí asi několik tisíc rublů. Pokud máte alespoň 100 Mbps čistého provozu - oh. Ochrana bude velmi drahá. V následujících článcích vám prozradím, jak navrhovat aplikace, abyste hodně ušetřili na kapacitě bezpečnostních kanálů.
Skutečným „králem kopce“ je Qrator.net, zbytek za nimi zaostává. Qrator jsou podle mých zkušeností zatím jediní, kteří dávají procento falešně pozitivních výsledků blízko nule, ale zároveň jsou několikanásobně dražší než ostatní hráči na trhu.
Kvalitní a stabilní ochranu poskytují i ostatní operátoři. Mnoho námi podporovaných služeb (včetně těch v zemi velmi známých!) je chráněno před DDoS-Guard, G-Core Labs a jsou s dosaženými výsledky celkem spokojeni.
Útoky odražené Qratorem
Mám také zkušenosti s malými bezpečnostními operátory jako cloud-shield.ru, ddosa.net, tisíce z nich. Rozhodně nedoporučuji, protože... Nemám mnoho zkušeností, ale řeknu vám o principech jejich práce. Jejich náklady na ochranu jsou často o 1-2 řády nižší než u velkých hráčů. Zpravidla si kupují službu částečné ochrany (L3/L4) od některého z větších hráčů + dělají si vlastní ochranu proti útokům na vyšších úrovních. To může být docela efektivní + můžete získat dobré služby za méně peněz, ale stále jsou to malé společnosti s malým počtem zaměstnanců, mějte to prosím na paměti.
Jaká je obtížnost odrážení útoků na úrovni L7?
Všechny aplikace jsou jedinečné a musíte povolit provoz, který je pro ně užitečný, a blokovat ty škodlivé. Ne vždy je možné roboty jednoznačně vyřadit, takže musíte použít mnoho, opravdu MNOHO stupňů čištění provozu.
Kdysi stačil modul nginx-testcookie (), a stále to stačí na odražení velkého množství útoků. Když jsem pracoval v hostingovém průmyslu, ochrana L7 byla založena na nginx-testcookie.
Bohužel, útoky se staly obtížnějšími. testcookie používá kontroly botů založené na JS a mnoho moderních botů jimi může úspěšně projít.
Útočné botnety jsou také jedinečné a je třeba vzít v úvahu vlastnosti každého velkého botnetu.
Amplifikace, přímé zaplavování z botnetu, filtrování provozu z různých zemí (různé filtrování pro různé země), zahlcování SYN/ACK, fragmentace paketů, zahlcování ICMP, http, přičemž na úrovni aplikace/http můžete přijít s neomezeným počtem různé útoky.
Celkově na úrovni ochrany kanálu, specializovaného vybavení pro čištění provozu, speciálního softwaru, dalších nastavení filtrování pro každého klienta mohou být desítky a stovky úrovní filtrování.
Abyste to mohli správně spravovat a správně vyladit nastavení filtrování pro různé uživatele, potřebujete hodně zkušeností a kvalifikovaný personál. Ani velký operátor, který se rozhodl poskytovat ochranné služby, nemůže „hloupě vyhazovat peníze do problému“: zkušenosti budou muset získat z prolhaných stránek a falešně pozitivních údajů o legitimním provozu.
Pro operátora zabezpečení neexistuje žádné tlačítko „odmítnout DDoS“, existuje velké množství nástrojů a je třeba vědět, jak je používat.
A ještě jeden bonusový příklad.
Nechráněný server byl zablokován hostitelem při útoku s kapacitou 600 Mbit
(„Ztráta“ provozu není patrná, protože napaden byl pouze 1 web, ten byl dočasně odstraněn ze serveru a blokování bylo do hodiny zrušeno).
Stejný server je chráněn. Útočníci se „vzdali“ po dni odražených útoků. Samotný útok nebyl nejsilnější.
Útok a obrana L3/L4 jsou triviálnější, závisí především na tloušťce kanálů, detekčních a filtračních algoritmech pro útoky.
Útoky L7 jsou složitější a originálnější, závisí na napadené aplikaci, schopnostech a představivosti útočníků. Ochrana proti nim vyžaduje mnoho znalostí a zkušeností a výsledek nemusí být okamžitý a ani stoprocentní. Dokud Google nepřišel s další neuronovou sítí na ochranu.
Zdroj: www.habr.com