“Mae’r dyn a greodd ein gwefan eisoes wedi sefydlu amddiffyniad DDoS.”
“Mae gennym ni amddiffyniad DDoS, pam aeth y safle i lawr?”
“Faint o filoedd mae Qrator eisiau?”
Er mwyn ateb cwestiynau o'r fath yn iawn gan y cwsmer / pennaeth, byddai'n braf gwybod beth sydd wedi'i guddio y tu ôl i'r enw “amddiffyn DDoS”. Mae dewis gwasanaethau diogelwch yn debycach i ddewis meddyginiaeth gan feddyg na dewis bwrdd yn IKEA.
Rwyf wedi bod yn cefnogi gwefannau ers 11 mlynedd, wedi goroesi cannoedd o ymosodiadau ar y gwasanaethau yr wyf yn eu cefnogi, a nawr byddaf yn dweud ychydig wrthych am y gwaith amddiffyn mewnol.
Ymosodiadau rheolaidd. Cyfanswm req 350k, 52k req cyfreithlon
Ymddangosodd yr ymosodiadau cyntaf bron ar yr un pryd â'r Rhyngrwyd. Mae DDoS fel ffenomen wedi dod yn gyffredin ers diwedd y 2000au (edrychwch ).
Ers tua 2015-2016, mae bron pob darparwr cynnal wedi'i ddiogelu rhag ymosodiadau DDoS, fel y mae safleoedd mwyaf amlwg mewn meysydd cystadleuol (gwnewch whois gan IP o'r safleoedd eldorado.ru, leroymerlin.ru, tilda.ws, fe welwch y rhwydweithiau o weithredwyr amddiffyn).
Pe bai 10-20 mlynedd yn ôl y gellid gwrthyrru'r rhan fwyaf o ymosodiadau ar y gweinydd ei hun (gwerthuswch argymhellion gweinyddwr system Lenta.ru Maxim Moshkov o'r 90au: ), ond erbyn hyn mae tasgau amddiffyn wedi dod yn fwy anodd.
Mathau o ymosodiadau DDoS o safbwynt dewis gweithredwr amddiffyn
Ymosodiadau ar lefel L3/L4 (yn ôl model OSI)
- CDU yn gorlifo o botnet (anfonir llawer o geisiadau yn uniongyrchol o ddyfeisiau heintiedig i'r gwasanaeth yr ymosodir arno, mae'r gweinyddwyr wedi'u rhwystro gan y sianel);
— Ymhelaethiad DNS/NTP/etc (anfonir llawer o geisiadau o ddyfeisiau heintiedig i DNS/NTP/etc bregus, mae cyfeiriad yr anfonwr yn cael ei ffugio, mae cwmwl o becynnau sy'n ymateb i geisiadau yn gorlifo sianel y person yr ymosodir arno; dyma'r ffordd fwyaf ymosodiadau enfawr yn cael eu cynnal ar y Rhyngrwyd modern);
— llifogydd SYN / ACK (anfonir llawer o geisiadau i sefydlu cysylltiad at y gweinyddwyr yr ymosodwyd arnynt, mae'r ciw cysylltiad yn gorlifo);
— ymosodiadau gyda darnio pecynnau, ping marwolaeth, llifogydd ping (Google os gwelwch yn dda);
- ac yn y blaen.
Nod yr ymosodiadau hyn yw “clocsio” sianel y gweinydd neu “ladd” ei gallu i dderbyn traffig newydd.
Er bod llifogydd a chwyddo SYN/ACK yn wahanol iawn, mae llawer o gwmnïau'n brwydro yn eu herbyn yr un mor dda. Mae problemau'n codi gydag ymosodiadau o'r grŵp nesaf.
Ymosodiadau ar L7 (haen cais)
— http llifogydd (os ymosodir ar wefan neu ryw http api);
- ymosodiad ar rannau o'r safle sy'n agored i niwed (y rhai nad oes ganddynt storfa, sy'n llwytho'r safle'n drwm iawn, ac ati).
Y nod yw gwneud i'r gweinydd "weithio'n galed", prosesu llawer o "geisiadau sy'n ymddangos yn wirioneddol" a chael ei adael heb adnoddau ar gyfer ceisiadau go iawn.
Er bod ymosodiadau eraill, dyma'r rhai mwyaf cyffredin.
Mae ymosodiadau difrifol ar lefel L7 yn cael eu creu mewn ffordd unigryw ar gyfer pob prosiect yr ymosodir arno.
Pam 2 grŵp?
Oherwydd bod yna lawer sy'n gwybod sut i wrthyrru ymosodiadau yn dda ar lefel L3 / L4, ond naill ai ddim yn cymryd amddiffyniad ar lefel y cais (L7) o gwbl, neu'n dal yn wannach na dewisiadau eraill wrth ddelio â nhw.
Pwy yw pwy yn y farchnad amddiffyn DDoS
(fy marn bersonol)
Amddiffyniad ar lefel L3/L4
Er mwyn gwrthyrru ymosodiadau ag ymhelaethu (“rhwystr” sianel y gweinyddwr), mae digon o sianeli eang (mae llawer o'r gwasanaethau amddiffyn yn cysylltu â'r rhan fwyaf o'r darparwyr asgwrn cefn mawr yn Rwsia ac mae ganddynt sianeli sydd â chynhwysedd damcaniaethol o fwy nag 1 Tbit). Peidiwch ag anghofio bod ymosodiadau chwyddo prin iawn yn para mwy nag awr. Os ydych chi'n Spamhaus ac nad yw pawb yn eich hoffi chi, ie, efallai y byddant yn ceisio cau'ch sianeli am sawl diwrnod, hyd yn oed ar y risg o oroesiad pellach y botnet byd-eang sy'n cael ei ddefnyddio. Os mai dim ond siop ar-lein sydd gennych, hyd yn oed os mai mvideo.ru ydyw, ni welwch 1 Tbit o fewn ychydig ddyddiau yn fuan iawn (gobeithio).
Er mwyn atal ymosodiadau gyda llifogydd SYN/ACK, darnio pecynnau, ac ati, mae angen offer neu systemau meddalwedd arnoch i ganfod ac atal ymosodiadau o'r fath.
Mae llawer o bobl yn cynhyrchu offer o'r fath (Arbor, mae yna atebion gan Cisco, Huawei, gweithrediadau meddalwedd gan Wanguard, ac ati), mae llawer o weithredwyr asgwrn cefn eisoes wedi ei osod ac yn gwerthu gwasanaethau amddiffyn DDoS (rwy'n gwybod am osodiadau o Rostelecom, Megafon, TTK, MTS , mewn gwirionedd, mae pob darparwr mawr yn gwneud yr un peth â gwesteiwyr gyda'u hamddiffyniad eu hunain a-la OVH.com, Hetzner.de, fe wnes i fy hun ddod ar draws amddiffyniad yn ihor.ru). Mae rhai cwmnïau yn datblygu eu datrysiadau meddalwedd eu hunain (mae technolegau fel DPDK yn caniatáu ichi brosesu degau o gigabits o draffig ar un peiriant x86 corfforol).
O'r chwaraewyr adnabyddus, gall pawb frwydro yn erbyn L3/L4 DDoS yn fwy neu'n llai effeithiol. Nawr ni fyddaf yn dweud pwy sydd â'r capasiti sianel uchaf mwy (mae hyn yn wybodaeth fewnol), ond fel arfer nid yw hyn mor bwysig, a'r unig wahaniaeth yw pa mor gyflym y mae'r amddiffyniad yn cael ei sbarduno (ar unwaith neu ar ôl ychydig funudau o amser segur y prosiect, fel yn Hetzner).
Y cwestiwn yw pa mor dda y gwneir hyn: gellir atal ymosodiad chwyddo trwy rwystro traffig o wledydd sydd â'r swm mwyaf o draffig niweidiol, neu dim ond traffig gwirioneddol ddiangen y gellir ei daflu.
Ond ar yr un pryd, yn seiliedig ar fy mhrofiad, mae holl chwaraewyr difrifol y farchnad yn ymdopi â hyn heb broblemau: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (SkyParkCDN gynt), ServicePipe, Stormwall, Voxility, ac ati.
Nid wyf wedi dod ar draws amddiffyniad gan weithredwyr fel Rostelecom, Megafon, TTK, Beeline; yn ôl adolygiadau gan gydweithwyr, maent yn darparu'r gwasanaethau hyn yn eithaf da, ond hyd yn hyn mae'r diffyg profiad yn effeithio o bryd i'w gilydd: weithiau mae angen i chi addasu rhywbeth trwy'r gefnogaeth y gweithredwr amddiffyn.
Mae gan rai gweithredwyr wasanaeth ar wahân “amddiffyn rhag ymosodiadau ar lefel L3/L4”, neu “amddiffyn sianel”; mae'n costio llawer llai nag amddiffyniad ar bob lefel.
Pam nad yw'r darparwr asgwrn cefn yn gwrthyrru ymosodiadau cannoedd o Gbits, gan nad oes ganddo ei sianeli ei hun?Gall y gweithredwr amddiffyn gysylltu ag unrhyw un o’r prif ddarparwyr a gwrthyrru ymosodiadau “ar ei draul.” Bydd yn rhaid i chi dalu am y sianel, ond ni fydd y cannoedd hyn o Gbits yn cael eu defnyddio bob amser; mae opsiynau i leihau cost sianeli yn sylweddol yn yr achos hwn, felly mae'r cynllun yn parhau i fod yn ymarferol.
Dyma'r adroddiadau a gefais yn rheolaidd gan amddiffyniad L3 / L4 lefel uwch wrth gefnogi systemau'r darparwr cynnal.
Amddiffyn ar lefel L7 (lefel cais)
Mae ymosodiadau ar lefel L7 (lefel cais) yn gallu gwrthyrru unedau yn gyson ac yn effeithlon.
Mae gen i dipyn o brofiad go iawn gyda
— Qrator.net;
— DDoS-Guard;
- Labordai G-Core;
— Kaspersky.
Maent yn codi tâl am bob megabit o draffig pur, mae megabit yn costio tua miloedd o rubles. Os oes gennych chi o leiaf 100 Mbps o draffig pur - o. Bydd amddiffyniad yn ddrud iawn. Gallaf ddweud wrthych yn yr erthyglau canlynol sut i ddylunio cymwysiadau er mwyn arbed llawer ar gynhwysedd sianeli diogelwch.
“Brenin y bryn” go iawn yw Qrator.net, ac mae’r gweddill ar ei hôl hi. Hyd yn hyn Qrator yw'r unig rai yn fy mhrofiad i sy'n rhoi canran o bethau positif ffug yn agos at sero, ond ar yr un pryd maen nhw sawl gwaith yn ddrytach na chwaraewyr eraill y farchnad.
Mae gweithredwyr eraill hefyd yn darparu amddiffyniad sefydlog o ansawdd uchel. Mae llawer o wasanaethau a gefnogir gennym ni (gan gynnwys rhai adnabyddus iawn yn y wlad!) wedi'u diogelu rhag DDoS-Guard, G-Core Labs, ac yn eithaf bodlon â'r canlyniadau a gafwyd.
Ymosodiadau wedi'u gwrthyrru gan Qrator
Mae gen i brofiad hefyd gyda gweithredwyr diogelwch bach fel cloud-shield.ru, ddosa.net, miloedd ohonyn nhw. Yn bendant ni fyddaf yn ei argymell, oherwydd ... Nid oes gennyf lawer o brofiad, ond fe ddywedaf wrthych am egwyddorion eu gwaith. Mae eu cost amddiffyn yn aml 1-2 orchymyn maint yn is na'r prif chwaraewyr. Fel rheol, maen nhw'n prynu gwasanaeth amddiffyn rhannol (L3 / L4) gan un o'r chwaraewyr mwy + yn amddiffyn eu hunain rhag ymosodiadau ar lefelau uwch. Gall hyn fod yn eithaf effeithiol + gallwch gael gwasanaeth da am lai o arian, ond mae'r rhain yn dal i fod yn gwmnïau bach gyda staff bach, cofiwch gadw hynny.
Beth yw anhawster gwrthyrru ymosodiadau ar lefel L7?
Mae pob cais yn unigryw, ac mae angen i chi ganiatáu traffig sy'n ddefnyddiol iddynt a rhwystro rhai niweidiol. Nid yw bob amser yn bosibl chwynnu bots yn ddiamwys, felly mae'n rhaid i chi ddefnyddio llawer, NIFER o raddau mewn gwirionedd o buro traffig.
Un tro, roedd y modiwl nginx-testcookie yn ddigon (), ac y mae eto yn ddigon i wrthyrru nifer fawr o ymosodiadau. Pan oeddwn i'n gweithio yn y diwydiant cynnal, roedd amddiffyniad L7 yn seiliedig ar nginx-testcookie.
Yn anffodus, mae ymosodiadau wedi dod yn fwy anodd. Mae testcookie yn defnyddio gwiriadau bot yn seiliedig ar JS, a gall llawer o bots modern eu pasio'n llwyddiannus.
Mae botnets ymosodiad hefyd yn unigryw, a rhaid ystyried nodweddion pob botnet mawr.
Ymhelaethiad, llifogydd uniongyrchol o botrwyd, hidlo traffig o wahanol wledydd (hidlo gwahanol ar gyfer gwahanol wledydd), llifogydd SYN/ACK, darnio pecynnau, ICMP, llifogydd http, tra ar lefel y cais/http gallwch ddod o hyd i nifer anghyfyngedig o ymosodiadau gwahanol.
Yn gyfan gwbl, ar lefel amddiffyn sianel, offer arbenigol ar gyfer clirio traffig, meddalwedd arbennig, gosodiadau hidlo ychwanegol ar gyfer pob cleient gall fod degau a channoedd o lefelau hidlo.
Er mwyn rheoli hyn yn iawn a thiwnio gosodiadau hidlo yn gywir ar gyfer gwahanol ddefnyddwyr, mae angen llawer o brofiad a phersonél cymwys arnoch chi. Ni all hyd yn oed gweithredwr mawr sydd wedi penderfynu darparu gwasanaethau amddiffyn “daflu arian yn wirion at y broblem”: bydd yn rhaid cael profiad o safleoedd gorwedd a phethau cadarnhaol ffug ar draffig cyfreithlon.
Nid oes botwm “gwrthyrru DDoS” ar gyfer y gweithredwr diogelwch; mae yna nifer fawr o offer, ac mae angen i chi wybod sut i'w defnyddio.
Ac un enghraifft bonws arall.
Cafodd gweinydd heb ei amddiffyn ei rwystro gan y gwesteiwr yn ystod ymosodiad gyda chynhwysedd o 600 Mbit
(“Nid yw colled” traffig yn amlwg, oherwydd dim ond 1 safle yr ymosodwyd arno, cafodd ei dynnu dros dro oddi ar y gweinydd a chodwyd y blocio o fewn awr).
Mae'r un gweinydd yn cael ei warchod. Fe wnaeth yr ymosodwyr “ildio” ar ôl diwrnod o ymosodiadau gwrthyrru. Nid yr ymosodiad ei hun oedd y cryfaf.
Mae ymosod ac amddiffyn L3 / L4 yn fwy dibwys; maent yn dibynnu'n bennaf ar drwch y sianeli, algorithmau canfod a hidlo ar gyfer ymosodiadau.
Mae ymosodiadau L7 yn fwy cymhleth a gwreiddiol; maent yn dibynnu ar y cais yr ymosodir arno, galluoedd a dychymyg yr ymosodwyr. Mae amddiffyniad yn eu herbyn yn gofyn am lawer o wybodaeth a phrofiad, ac efallai na fydd y canlyniad yn syth ac nid yn gant y cant. Hyd nes i Google greu rhwydwaith niwral arall i'w amddiffyn.
Ffynhonnell: hab.com