Yn ystod dau chwarter cyntaf 2020, bu bron i nifer yr ymosodiadau DDoS dreblu, gyda 65% ohonynt yn ymdrechion cyntefig ar “brofi llwyth” sy’n “analluogi” gwefannau di-amddiffyn siopau bach ar-lein, fforymau, blogiau a chyfryngau cyfryngau yn hawdd.
Sut i ddewis gwesteiwr wedi'i warchod gan DDoS? Beth ddylech chi roi sylw iddo a beth ddylech chi baratoi ar ei gyfer er mwyn peidio â wynebu sefyllfa annymunol?
(Brechiad yn erbyn marchnata “llwyd” y tu mewn)
Mae argaeledd ac amrywiaeth yr offer ar gyfer cynnal ymosodiadau DDoS yn gorfodi perchnogion gwasanaethau ar-lein i gymryd mesurau priodol i wrthsefyll y bygythiad. Dylech feddwl am amddiffyniad DDoS nid ar ôl y methiant cyntaf, ac nid hyd yn oed fel rhan o set o fesurau i gynyddu goddefgarwch nam ar y seilwaith, ond ar y cam o ddewis safle i'w leoli (darparwr cynnal neu ganolfan ddata).
Mae ymosodiadau DDoS yn cael eu dosbarthu yn dibynnu ar y protocolau y mae eu gwendidau yn cael eu hecsbloetio i lefelau'r model Cydgysylltiad Systemau Agored (OSI):
- sianel (L2),
- rhwydwaith (L3),
- trafnidiaeth (L4),
- cymhwyso (L7).
O safbwynt systemau diogelwch, gellir eu cyffredinoli yn ddau grŵp: ymosodiadau lefel seilwaith (L2-L4) ac ymosodiadau lefel cais (L7). Mae hyn oherwydd y dilyniant o weithredu algorithmau dadansoddi traffig a chymhlethdod cyfrifiannol: po ddyfnach yr edrychwn i mewn i'r pecyn IP, y mwyaf o bŵer cyfrifiadurol sydd ei angen.
Yn gyffredinol, mae'r broblem o optimeiddio cyfrifiadau wrth brosesu traffig mewn amser real yn bwnc ar gyfer cyfres ar wahân o erthyglau. Nawr, gadewch i ni ddychmygu bod yna rai darparwr cwmwl ag adnoddau cyfrifiadurol anghyfyngedig yn amodol a all amddiffyn safleoedd rhag ymosodiadau ar lefel cymhwysiad (gan gynnwys ).
3 phrif gwestiwn i bennu graddau'r diogelwch cynnal o ymosodiadau DDoS
Gadewch i ni edrych ar y telerau gwasanaeth ar gyfer amddiffyn rhag ymosodiadau DDoS a Chytundeb Lefel Gwasanaeth (CLG) y darparwr cynnal. A ydynt yn cynnwys atebion i'r cwestiynau canlynol:
- pa gyfyngiadau technegol a nodir gan y darparwr gwasanaeth??
- beth sy'n digwydd pan fydd y cwsmer yn mynd y tu hwnt i'r terfynau?
- Sut mae darparwr cynnal yn adeiladu amddiffyniad yn erbyn ymosodiadau DDoS (technolegau, datrysiadau, cyflenwyr)?
Os nad ydych wedi dod o hyd i'r wybodaeth hon, yna mae hyn yn rheswm i naill ai feddwl am ddifrifoldeb y darparwr gwasanaeth, neu drefnu amddiffyniad DDoS sylfaenol (L3-4) ar eich pen eich hun. Er enghraifft, archebwch gysylltiad corfforol â rhwydwaith darparwr diogelwch arbenigol.
Pwysig! Nid oes unrhyw ddiben darparu amddiffyniad rhag ymosodiadau ar lefel cymhwysiad gan ddefnyddio Reverse Proxy os nad yw'ch darparwr cynnal yn gallu darparu amddiffyniad rhag ymosodiadau ar lefel seilwaith: bydd yr offer rhwydwaith yn cael ei orlwytho ac ni fydd ar gael, gan gynnwys ar gyfer gweinyddwyr dirprwy y darparwr cwmwl (Ffigur 1).
Ffigur 1. Ymosodiad uniongyrchol ar rwydwaith y darparwr cynnal
A pheidiwch â gadael iddynt geisio dweud wrthych straeon tylwyth teg bod cyfeiriad IP go iawn y gweinydd wedi'i guddio y tu ôl i gwmwl y darparwr diogelwch, sy'n golygu ei bod yn amhosibl ymosod arno'n uniongyrchol. Mewn naw achos o bob deg, ni fydd yn anodd i ymosodwr ddod o hyd i gyfeiriad IP go iawn y gweinydd neu o leiaf rhwydwaith y darparwr cynnal er mwyn “dinistrio” canolfan ddata gyfan.
Sut mae hacwyr yn gweithredu i chwilio am gyfeiriad IP go iawn
O dan y sbwylwyr mae sawl dull o ddod o hyd i gyfeiriad IP go iawn (a roddir at ddibenion gwybodaeth).
Dull 1: Chwilio mewn ffynonellau agored
Gallwch ddechrau eich chwiliad gyda'r gwasanaeth ar-lein: Mae'n chwilio'r we dywyll, llwyfannau rhannu dogfennau, prosesau data Whois, gollyngiadau data cyhoeddus a llawer o ffynonellau eraill.
Os, yn seiliedig ar rai arwyddion (penawdau HTTP, data Whois, ac ati), roedd hi'n bosibl pennu bod amddiffyniad y wefan yn cael ei drefnu gan ddefnyddio Cloudflare, yna gallwch chi ddechrau chwilio am yr IP go iawn o, sy'n cynnwys tua 3 miliwn o gyfeiriadau IP o safleoedd sydd wedi'u lleoli y tu ôl i Cloudflare.
Defnyddio tystysgrif a gwasanaeth SSL gallwch ddod o hyd i lawer o wybodaeth ddefnyddiol, gan gynnwys cyfeiriad IP go iawn y wefan. I gynhyrchu cais am eich adnodd, ewch i'r tab Tystysgrifau a rhowch:
_parsed.names: enwsafle A tags.raw: ymddiried
I chwilio am gyfeiriadau IP gweinyddwyr gan ddefnyddio tystysgrif SSL, bydd yn rhaid i chi fynd trwy'r gwymplen â llaw gyda sawl teclyn (y tab “Archwilio”, yna dewiswch “IPv4 Hosts”).
Dull 2: DNS
Mae chwilio hanes newidiadau cofnodion DNS yn hen ddull profedig. Gall cyfeiriad IP blaenorol y wefan ei gwneud yn glir ar ba westeiwr (neu ganolfan ddata) y cafodd ei lleoli. Ymhlith y gwasanaethau ar-lein o ran rhwyddineb defnydd, mae'r canlynol yn sefyll allan: и .
Pan fyddwch chi'n newid y gosodiadau, ni fydd y wefan yn defnyddio cyfeiriad IP y darparwr diogelwch cwmwl neu CDN ar unwaith, ond bydd yn gweithio'n uniongyrchol am beth amser. Yn yr achos hwn, mae posibilrwydd bod gwasanaethau ar-lein ar gyfer storio hanes newidiadau cyfeiriad IP yn cynnwys gwybodaeth am gyfeiriad ffynhonnell y wefan.
Os nad oes dim byd ond enw'r hen weinydd DNS, yna gan ddefnyddio cyfleustodau arbennig (cloddio, gwesteiwr neu nslookup) gallwch ofyn am gyfeiriad IP yn ôl enw parth y wefan, er enghraifft:
_dig @old_dns_server_name enwsafle
Dull 3: e-bost
Syniad y dull yw defnyddio’r ffurflen adborth/cofrestru (neu unrhyw ddull arall sy’n eich galluogi i gychwyn anfon llythyr) i dderbyn llythyr i’ch e-bost a gwirio’r penawdau, yn enwedig y maes “Derbyniwyd”. .
Mae'r pennawd e-bost yn aml yn cynnwys cyfeiriad IP gwirioneddol y cofnod MX (gweinydd cyfnewid e-bost), a all fod yn fan cychwyn ar gyfer dod o hyd i weinyddion eraill ar y targed.
Chwilio Offer Awtomatiaeth
Mae meddalwedd chwilio IP y tu ôl i darian Cloudflare yn aml yn gweithio ar gyfer tair tasg:
- Sganiwch am gamgyfluniad DNS gan ddefnyddio DNSDumpster.com;
- Sgan cronfa ddata Crimeflare.com;
- chwilio am is-barthau gan ddefnyddio dull chwilio geiriadur.
Dod o hyd i is-barthau yn aml yw'r opsiwn mwyaf effeithiol o'r tri - gallai perchennog y safle amddiffyn y prif safle a gadael yr is-barthau yn rhedeg yn uniongyrchol. Y ffordd hawsaf i wirio yw defnyddio .
Yn ogystal, mae yna gyfleustodau sydd wedi'u cynllunio'n unig ar gyfer chwilio is-barthau gan ddefnyddio chwiliad geiriadur a chwilio mewn ffynonellau agored, er enghraifft: neu .
Sut mae chwilio'n digwydd yn ymarferol
Er enghraifft, gadewch i ni gymryd y wefan seo.com gan ddefnyddio Cloudflare, y byddwn yn dod o hyd iddo gan ddefnyddio gwasanaeth adnabyddus (yn eich galluogi i benderfynu ar y technolegau / peiriannau / CMS y mae'r wefan yn gweithredu arnynt, ac i'r gwrthwyneb - chwilio am safleoedd yn ôl y technolegau a ddefnyddir).
Pan gliciwch ar y tab “IPv4 Hosts”, bydd y gwasanaeth yn dangos rhestr o westeion gan ddefnyddio'r dystysgrif. I ddod o hyd i'r un sydd ei angen arnoch, edrychwch am gyfeiriad IP gyda phorth agored 443. Os yw'n ailgyfeirio i'r safle a ddymunir, yna cwblheir y dasg, fel arall mae angen i chi ychwanegu enw parth y wefan i bennawd "Host" y Cais HTTP (er enghraifft, * curl -H "Host: site_name" *).
Yn ein hachos ni, ni roddodd chwiliad yng nghronfa ddata Censys unrhyw beth, felly symudwn ymlaen.
Byddwn yn cynnal chwiliad DNS trwy'r gwasanaeth.
Trwy chwilio trwy'r cyfeiriadau a grybwyllir yn y rhestrau o weinyddion DNS sy'n defnyddio cyfleustodau CloudFail, rydym yn dod o hyd i adnoddau gweithio. Bydd y canlyniad yn barod mewn ychydig eiliadau.
Gan ddefnyddio data agored yn unig ac offer syml, fe wnaethom bennu cyfeiriad IP go iawn y gweinydd gwe. Mater o dechneg yw'r gweddill i'r ymosodwr.
Gadewch i ni ddychwelyd i ddewis darparwr cynnal. Er mwyn gwerthuso budd y gwasanaeth i'r cwsmer, byddwn yn ystyried dulliau posibl o amddiffyn rhag ymosodiadau DDoS.
Sut mae darparwr cynnal yn adeiladu ei amddiffyniad
- System amddiffyn eich hun gydag offer hidlo (Ffigur 2).
Angen:
1.1. Trwyddedau offer hidlo traffig a meddalwedd;
1.2. Arbenigwyr amser llawn ar gyfer ei gefnogaeth a'i weithrediad;
1.3. Sianeli mynediad rhyngrwyd a fydd yn ddigonol i dderbyn ymosodiadau;
1.4. Lled band sianel rhagdaledig sylweddol ar gyfer derbyn traffig “sothach”.
Ffigur 2. System ddiogelwch y darparwr cynnal ei hun
Os byddwn yn ystyried y system a ddisgrifir fel ffordd o amddiffyn rhag ymosodiadau DDoS modern o gannoedd o Gbps, yna bydd system o'r fath yn costio llawer o arian. A oes gan y darparwr cynnal amddiffyniad o'r fath? Ydy e’n barod i dalu am draffig “sothach”? Yn amlwg, mae model economaidd o'r fath yn amhroffidiol i'r darparwr os nad yw'r tariffau'n darparu ar gyfer taliadau ychwanegol. - Reverse Proxy (ar gyfer gwefannau a rhai cymwysiadau yn unig). Er gwaethaf nifer , nid yw'r cyflenwr yn gwarantu amddiffyniad rhag ymosodiadau DDoS uniongyrchol (gweler Ffigur 1). Mae darparwyr cynnal yn aml yn cynnig ateb o'r fath fel ateb i bob problem, gan symud y cyfrifoldeb i'r darparwr diogelwch.
- Gwasanaethau darparwr cwmwl arbenigol (defnydd o'i rwydwaith hidlo) i amddiffyn rhag ymosodiadau DDoS ar bob lefel OSI (Ffigur 3).
Ffigur 3. Amddiffyniad cynhwysfawr yn erbyn ymosodiadau DDoS gan ddefnyddio darparwr arbenigol
yn rhagdybio integreiddio dwfn a lefel uchel o gymhwysedd technegol y ddau barti. Mae rhoi gwasanaethau hidlo traffig ar gontract allanol yn caniatáu i'r darparwr cynnal ostwng pris gwasanaethau ychwanegol i'r cwsmer.
Pwysig! Po fwyaf manwl y disgrifir nodweddion technegol y gwasanaeth a ddarperir, y mwyaf yw'r siawns o fynnu eu gweithredu neu iawndal rhag ofn y bydd amser segur.
Yn ogystal â'r tri phrif ddull, mae yna lawer o gyfuniadau a chyfuniadau. Wrth ddewis gwesteiwr, mae'n bwysig i'r cwsmer gofio y bydd y penderfyniad yn dibynnu nid yn unig ar faint yr ymosodiadau rhwystredig gwarantedig a chywirdeb hidlo, ond hefyd ar gyflymder yr ymateb, yn ogystal â chynnwys gwybodaeth (rhestr o ymosodiadau blocio, ystadegau cyffredinol, etc.).
Cofiwch mai dim ond ychydig o ddarparwyr cynnal yn y byd sy'n gallu darparu lefel dderbyniol o amddiffyniad ar eu pen eu hunain; mewn achosion eraill, mae cydweithrediad a llythrennedd technegol yn helpu. Felly, bydd deall egwyddorion sylfaenol trefnu amddiffyniad yn erbyn ymosodiadau DDoS yn caniatáu i berchennog y safle beidio â chwympo am driciau marchnata a pheidio â phrynu “mochyn mewn poke”.
Ffynhonnell: hab.com