V prvních dvou čtvrtletích roku 2020 se počet DDoS útoků téměř ztrojnásobil, přičemž 65 % z nich byly primitivní pokusy o „testování zátěže“, které snadno „znefunkční“ bezbranné stránky malých internetových obchodů, fór, blogů a médií.
Jak vybrat hosting chráněný DDoS? Na co si dát pozor a na co se připravit, abyste se nedostali do nepříjemné situace?
(Očkování proti „šedému“ marketingu uvnitř)
Dostupnost a rozmanitost nástrojů pro provádění DDoS útoků nutí vlastníky online služeb, aby přijali vhodná opatření proti hrozbě. Na ochranu DDoS byste měli myslet nikoli po prvním selhání, a to ani jako součást souboru opatření ke zvýšení odolnosti infrastruktury proti chybám, ale ve fázi výběru místa pro umístění (poskytovatel hostingu nebo datové centrum).
Útoky DDoS jsou klasifikovány v závislosti na protokolech, jejichž zranitelnosti jsou zneužívány na úroveň modelu OSI (Open Systems Interconnection):
- kanál (L2),
- síť (L3),
- doprava (L4),
- aplikováno (L7).
Z hlediska bezpečnostních systémů je lze zobecnit do dvou skupin: útoky na úrovni infrastruktury (L2-L4) a útoky na úrovni aplikací (L7). To je způsobeno posloupností provádění algoritmů analýzy provozu a výpočetní složitostí: čím hlouběji se podíváme do IP paketu, tím větší výpočetní výkon je vyžadován.
Obecně je problematika optimalizace výpočtů při zpracování provozu v reálném čase tématem na samostatnou sérii článků. Nyní si představme, že existuje nějaký cloudový poskytovatel s podmíněně neomezenými výpočetními zdroji, který může chránit weby před útoky na úrovni aplikací (včetně ).
3 hlavní otázky k určení stupně zabezpečení hostingu proti DDoS útokům
Podívejme se na smluvní podmínky ochrany před DDoS útoky a Smlouvu o úrovni služeb (SLA) poskytovatele hostingu. Obsahují odpovědi na následující otázky:
- jaká technická omezení uvádí poskytovatel služeb??
- co se stane, když zákazník překročí limity?
- Jak poskytovatel hostingu buduje ochranu proti DDoS útokům (technologie, řešení, dodavatelé)?
Pokud jste tyto informace nenašli, pak je to důvod k zamyšlení se nad seriózností poskytovatele služeb, nebo si základní DDoS ochranu (L3-4) zorganizovat vlastními silami. Objednejte si například fyzické připojení k síti specializovaného poskytovatele zabezpečení.
Důležité! Nemá smysl poskytovat ochranu proti útokům na úrovni aplikace pomocí Reverse Proxy, pokud váš poskytovatel hostingu není schopen poskytnout ochranu proti útokům na úrovni infrastruktury: síťové zařízení bude přetíženo a nebude dostupné, a to i pro proxy servery poskytovatele cloudu (obrázek 1).
Obrázek 1. Přímý útok na síť poskytovatele hostingu
A nenechte je, aby se vám snažili vyprávět pohádky, že skutečná IP adresa serveru je skryta za cloudem poskytovatele zabezpečení, což znamená, že na něj nelze přímo zaútočit. V devíti případech z deseti nebude pro útočníka těžké najít skutečnou IP adresu serveru nebo alespoň sítě poskytovatele hostingu, aby „zničil“ celé datové centrum.
Jak hackeři jednají při hledání skutečné IP adresy
Pod spoilery je několik způsobů, jak zjistit skutečnou IP adresu (uvedeno pro informační účely).
Metoda 1: Vyhledávání v otevřených zdrojích
Vyhledávání můžete zahájit pomocí online služby: Prohledává temný web, platformy pro sdílení dokumentů, zpracovává data Whois, úniky veřejných dat a mnoho dalších zdrojů.
Pokud bylo na základě některých znaků (hlavičky HTTP, data Whois atd.) možné určit, že ochrana webu je organizována pomocí Cloudflare, můžete začít hledat skutečnou IP z, která obsahuje asi 3 miliony IP adres stránek umístěných za Cloudflare.
Použití SSL certifikátu a služby můžete najít mnoho užitečných informací, včetně skutečné IP adresy webu. Chcete-li vygenerovat požadavek na váš zdroj, přejděte na kartu Certifikáty a zadejte:
_parsed.names: jménosite AND tags.raw: důvěryhodné
Chcete-li vyhledat IP adresy serverů pomocí certifikátu SSL, budete muset ručně projít rozevírací seznam pomocí několika nástrojů (záložka „Prozkoumat“ a poté vyberte „Hostitelé IPv4“).
Metoda 2: DNS
Prohledávání historie změn DNS záznamů je stará osvědčená metoda. Z předchozí IP adresy webu může být jasné, na kterém hostingu (nebo datovém centru) byl umístěn. Mezi online službami z hlediska snadného použití vynikají následující: и .
Když změníte nastavení, web nebude okamžitě používat IP adresu poskytovatele cloudového zabezpečení nebo CDN, ale bude nějakou dobu přímo fungovat. V tomto případě existuje možnost, že online služby pro ukládání historie změn IP adres obsahují informace o zdrojové adrese webu.
Pokud neexistuje nic jiného než název starého serveru DNS, můžete pomocí speciálních nástrojů (dig, host nebo nslookup) požádat o IP adresu podle názvu domény webu, například:
_dig @old_dns_server_name názevсайта
Metoda 3: e-mail
Myšlenkou této metody je použít formulář zpětné vazby/registrace (nebo jakýkoli jiný způsob, který vám umožní zahájit odeslání dopisu) k obdržení dopisu na váš e-mail a zkontrolovat záhlaví, zejména pole „Přijato“ .
Hlavička e-mailu často obsahuje skutečnou IP adresu záznamu MX (server pro výměnu e-mailů), což může být výchozím bodem pro nalezení dalších serverů v cíli.
Nástroje pro automatizaci vyhledávání
Software pro vyhledávání IP za štítem Cloudflare nejčastěji funguje pro tři úkoly:
- Vyhledejte nesprávnou konfiguraci DNS pomocí DNSDumpster.com;
- skenování databáze Crimeflare.com;
- vyhledávat subdomény pomocí metody vyhledávání ve slovníku.
Nalezení subdomén je často nejúčinnější možností ze všech tří – vlastník webu by mohl chránit hlavní web a nechat subdomény spuštěné přímo. Nejjednodušší způsob kontroly je použití .
Kromě toho existují nástroje určené pouze pro vyhledávání subdomén pomocí vyhledávání ve slovníku a vyhledávání v otevřených zdrojích, například: nebo .
Jak probíhá vyhledávání v praxi
Vezměme si například web seo.com využívající Cloudflare, který najdeme pomocí známé služby (umožňuje jak určit technologie / enginy / CMS, na kterých stránky fungují, a naopak - vyhledávat stránky podle použitých technologií).
Když kliknete na záložku „IPv4 Hosts“, služba zobrazí seznam hostitelů používajících certifikát. Chcete-li najít ten, který potřebujete, vyhledejte IP adresu s otevřeným portem 443. Pokud přesměrovává na požadovaný web, je úkol dokončen, v opačném případě musíte přidat název domény webu do hlavičky „Host“ HTTP požadavek (například *curl -H "Host: site_name" *).
V našem případě hledání v databázi Censys nic nedalo, takže jedeme dál.
Provedeme DNS vyhledávání prostřednictvím služby.
Prohledáváním adres uvedených v seznamech DNS serverů pomocí utility CloudFail najdeme funkční zdroje. Výsledek bude hotový za pár sekund.
Pouze pomocí otevřených dat a jednoduchých nástrojů jsme zjistili skutečnou IP adresu webového serveru. Zbytek pro útočníka je věcí techniky.
Vraťme se k výběru poskytovatele hostingu. Pro vyhodnocení přínosu služby pro zákazníka zvážíme možné způsoby ochrany před DDoS útoky.
Jak poskytovatel hostingu buduje svou ochranu
- Vlastní ochranný systém s filtračním zařízením (obrázek 2).
Vyžaduje:
1.1. Vybavení pro filtrování provozu a softwarové licence;
1.2. Specialisté na plný úvazek pro jeho podporu a provoz;
1.3. Internetové přístupové kanály, které budou dostatečné k přijímání útoků;
1.4. Značná šířka pásma předplaceného kanálu pro příjem „nevyžádaného“ provozu.
Obrázek 2. Vlastní bezpečnostní systém poskytovatele hostingu
Pokud budeme popisovaný systém považovat za prostředek ochrany před moderními DDoS útoky o velikosti stovek Gbps, pak takový systém bude stát nemalé peníze. Má poskytovatel hostingu takovou ochranu? Je připraven zaplatit za „nevyžádanou“ dopravu? Je zřejmé, že takový ekonomický model je pro poskytovatele nerentabilní, pokud tarify neposkytují dodatečné platby. - Reverzní proxy (pouze pro webové stránky a některé aplikace). Navzdory číslu , dodavatel nezaručuje ochranu proti přímým DDoS útokům (viz obrázek 1). Poskytovatelé hostingu často nabízejí takové řešení jako všelék, který přesouvá odpovědnost na poskytovatele zabezpečení.
- Služby specializovaného poskytovatele cloudu (využití jeho filtrační sítě) k ochraně před DDoS útoky na všech úrovních OSI (obrázek 3).
Obrázek 3. Komplexní ochrana proti DDoS útokům pomocí specializovaného poskytovatele
předpokládá hlubokou integraci a vysokou úroveň technické kompetence obou stran. Outsourcing služeb filtrování provozu umožňuje poskytovateli hostingu snížit cenu doplňkových služeb pro zákazníka.
Důležité! Čím podrobněji jsou popsány technické charakteristiky poskytované služby, tím větší je šance na vyžádání jejich realizace nebo kompenzace v případě výpadku.
Kromě tří hlavních metod existuje mnoho kombinací a kombinací. Při výběru hostingu je důležité, aby zákazník pamatoval na to, že rozhodnutí bude záviset nejen na velikosti garantovaných blokovaných útoků a přesnosti filtrování, ale také na rychlosti odezvy a také na informačním obsahu (seznam blokovaných útoků, obecné statistiky atd.).
Pamatujte, že jen málo poskytovatelů hostingu na světě je schopno samostatně zajistit přijatelnou úroveň ochrany, v jiných případech pomáhá spolupráce a technická gramotnost. Pochopení základních principů organizace ochrany proti DDoS útokům tak majiteli webu umožní nepropadat marketingovým trikům a nekupovat si „prase v žitě“.
Zdroj: www.habr.com