Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz

„Der Junge, der unsere Website gemacht hat, hat bereits den DDoS-Schutz eingerichtet.“
„Wir haben doch DDoS-Schutz, warum ist die Seite down?“
„Wie viele Tausend verlangt Qrator?“

Um auf solche Fragen von Kunden oder Vorgesetzten angemessen zu antworten, wĂ€re es gut zu wissen, was hinter dem Begriff „DDoS-Schutz“ steckt. Die Auswahl der Schutzdienste Ă€hnelt eher der Wahl eines Medikaments durch einen Arzt als der Auswahl eines Tisches bei IKEA.

Ich unterstĂŒtze Websites seit 11 Jahren, habe Hunderte von Angriffen auf die von mir betreuten Dienste ĂŒberstanden und werde nun ein wenig ĂŒber die interne Funktionsweise des Schutzes erzĂ€hlen.
Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz
RegelmĂ€ĂŸige Angriffe. 350.000 Anfragen insgesamt, 52.000 legitime Anfragen.

Die ersten Angriffe traten praktisch zeitgleich mit dem Internet auf. DDoS wurde ab Ende der 2000er Jahre zu einem massenhaften PhÀnomen (siehe www.cloudflare.com/learning/ddos/famous-ddos-attacks).
Seit etwa 2015-2016 haben fast alle Hosting-Anbieter DDoS-Schutz implementiert, ebenso wie die meisten bedeutenden Websites in wettbewerbsintensiven Bereichen (machen Sie einen Whois-Abgleich fĂŒr die IPs der Websites eldorado.ru, leroymerlin.ru, tilda.ws, und Sie werden die Schutznetzwerke sehen).

Wenn vor 10-20 Jahren die meisten Angriffe direkt auf dem Server abgewehrt werden konnten (beurteilen Sie die Empfehlungen des Systemadministrators von Lenta.ru, Maxim Moshkov, aus den 90ern: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), dann sind die Schutzmaßnahmen jetzt komplizierter geworden.

Arten von DDoS-Attacken aus der Sicht der Auswahl des Schutzanbieters

Angriffe auf L3 / L4 Ebene (nach dem OSI-Modell)

— UDP Flood von einem Botnetz (viele Anfragen werden direkt von infizierten GerĂ€ten an den angegriffenen Service gesendet, wodurch die Server ĂŒberlastet werden);
— DNS/NTP/etc. Amplifikation (viele Anfragen werden von infizierten GerĂ€ten an verwundbare DNS/NTP/etc. gesendet, die Absenderadresse wird gefĂ€lscht; eine Flut von Paketen mit Antworten auf diese Anfragen ĂŒberlastet den Kanal des Ziels; dies sind die massenhaftesten Angriffe im modernen Internet);
— SYN / ACK Flood (viele Anfragen zum Verbindungsaufbau werden an die angegriffenen Server gesendet, was zu einer ÜberfĂŒllung der Verbindungswarteschlange fĂŒhrt);
— Angriffe mit Paketfragmentierung, Ping of Death, Ping Flood (bitte googeln);
— usw.

Diese Angriffe zielen darauf ab, den Kanal des Servers 'zumĂŒllen' oder seine FĂ€higkeit zu töten, neuen Datenverkehr zu empfangen.
Obwohl SYN/ACK Flood und Amplifikation stark unterschiedlich sind, bekÀmpfen viele Unternehmen sie gleich gut. Probleme treten bei Angriffen der folgenden Gruppe auf.

Angriffe auf L7 (Anwendungsebene)

— HTTP Flood (wenn eine Website oder eine HTTP-API angegriffen wird);
— Angriffe auf verwundbare Bereiche der Website (die keinen Cache haben und die Website stark belasten, usw.).

Ziel ist es, den Server "ĂŒbermĂ€ĂŸig arbeiten" zu lassen, viele "scheinbar echte Anfragen" zu verarbeiten und keine Ressourcen fĂŒr echte Anfragen zu haben.

Obwohl es auch andere Angriffe gibt, sind diese die hÀufigsten.

Ernsthafte Angriffe auf der L7-Ebene werden einzigartig fĂŒr jedes angegriffene Projekt erstellt.

Warum zwei Gruppen?
Weil es viele gibt, die Angriffe auf der L3/L4-Ebene gut abwehren können, aber entweder gar nicht fĂŒr den Schutz auf der Anwendungsebene (L7) zustĂ€ndig sind oder derzeit schwĂ€cher dastehen als alternative Lösungen.

Wer ist wer im DDoS-Schutzmarkt

(meine persönliche Meinung)

Schutz auf der L3/L4-Ebene

Um Angriffe mit AmpliïŹkation (Â»Ăœberlastung« des Serverkanals) abzuwehren, sind breite KanĂ€le ausreichend (viele Schutzdienste sind mit den meisten großen Backbone-Anbietern in Deutschland verbunden und verfĂŒgen ĂŒber KanĂ€le mit einer theoretischen KapazitĂ€t von mehr als 1 Tbit). Denken Sie daran, dass sehr seltene Angriffe mit AmpliïŹkation lĂ€nger als eine Stunde dauern. Wenn Sie Spamhaus sind und von allen gehasst werden—ja, dann könnten Sie versuchen, KanĂ€le fĂŒr mehrere Tage lahmzulegen, selbst mit Risiken fĂŒr das Überleben des genutzten weltweiten Botnetzes. Wenn Sie einfach nur einen Online-Shop haben, selbst wenn es sich um mvideo.ru handelt—1 Tbit ĂŒber mehrere Tage werden Sie sehr wahrscheinlich nicht erleben (hoffe ich).

Um Angriffe mit SYN/ACK-Fluten, Paketfragmentierung usw. zu abzuwehren, sind entweder spezialisierte Hardware oder Softwarelösungen zur Detektion und Abwehr solcher Angriffe erforderlich.
Viele Hersteller bieten solche GerĂ€te an (Arbor, Lösungen von Cisco, Huawei, Softwareimplementierungen von Wanguard usw.). Viele Backbone-Provider haben diese bereits installiert und verkaufen DDoS-Schutzdienste (ich kenne Installationen bei Rosetec, Megafon, TTK, MTS; im Grunde haben es alle großen Anbieter, das bieten auch Hosting-Anbieter wie OVH.com und Hetzner.de an, bei denen ich selbst Erfahrung mit dem Schutz bei ihor.ru gemacht habe). Einige Unternehmen entwickeln ihre eigenen Softwarelösungen (Technologien wie DPDK ermöglichen es, den Datenverkehr mit mehreren Dutzend Gigabit auf einer physischen x86-Maschine zu verarbeiten).

Unter den bekannten Anbietern wissen alle mehr oder weniger effektiv, wie man L3/L4 DDoS-Angriffe abwehrt. Ich kann jetzt nicht sagen, welcher Anbieter die höchste Bandbreite hat (das ist Insiderinformation), aber normalerweise ist das nicht so wichtig. Der Unterschied liegt oft nur darin, wie schnell der Schutz reagiert (sofort oder nach einigen Minuten Ausfallzeit fĂŒr das Projekt, wie bei Hetzner).
Die Frage ist, wie qualitativ hochwertig das durchgefĂŒhrt wird: Ein amplifizierter Angriff kann abgewehrt werden, indem der Datenverkehr aus LĂ€ndern mit dem höchsten Anteil an schĂ€dlichem Traffic blockiert wird, oder man kann nur den wirklich ĂŒberflĂŒssigen Traffic abweisen.
Doch basierend auf meiner Erfahrung meistern alle ernsthaften Akteure auf dem Markt dies problemlos: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ehemals SkyParkCDN), ServicePipe, Stormwall, Voxility usw.
Ich habe keine Erfahrungen mit Anbietern wie Rostelekom, Megafon, TTK oder Beeline gemacht, aber laut Berichten von Kollegen erbringen sie diese Dienste recht zuverlĂ€ssig. Allerdings mangelt es manchmal noch an Erfahrung: Gelegentlich muss man etwas ĂŒber den Support der Schutzanbieter anpassen.
Einige Betreiber bieten einen separaten Dienst fĂŒr "Schutz vor Angriffen auf L3/L4-Ebene" oder "Kanal-Schutz" an, der deutlich gĂŒnstiger ist als der umfassende Schutz auf allen Ebenen.

Wie kann ein nicht-tarifgebundener Betreiber Angriffe in Hunderten von Gbit abwehren? Er hat doch keine eigenen KanĂ€le?Der Schutzanbieter kann sich an jeden der großen Anbieter anschließen und Angriffe "auf deren Kosten" abwehren. FĂŒr den Kanal fallen Kosten an, aber diese Hunderte von Gbit werden nicht immer vollstĂ€ndig benötigt, es gibt Möglichkeiten, die Kosten fĂŒr die KanĂ€le in diesem Fall erheblich zu senken, sodass das Modell weiterhin praktikabel bleibt.
Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz
Solche Berichte von der ĂŒbergeordneten L3/L4-Schutzebene habe ich regelmĂ€ĂŸig erhalten, wĂ€hrend ich die Systeme des Hosting-Anbieters unterstĂŒtzte.

Schutz auf L7-Ebene (Anwendungsebene)

Angriffe auf L7-Ebene (Anwendungsebene) werden zuverlÀssig und qualitativ hochwertig abgewehrt.
Ich habe umfangreiche Erfahrung mit
— Qrator.net;
— DDoS-Guard;
— G-Core Labs;
— Kaspersky.

Sie berechnen fĂŒr jedes Megabit reinen Traffics, wobei ein Megabit mehrere tausend Rubel kostet. Wenn Sie mindestens 100 Mbit reinen Traffic haben — oh. Der Schutz wird sehr teuer. Ich kann in zukĂŒnftigen Artikeln erzĂ€hlen, wie man Anwendungen entwirft, um die KapazitĂ€t der SchutzkanĂ€le erheblich zu sparen.
Der wahre „Bergkönig“ ist Qrator.net, die anderen haben Schwierigkeiten, mitzuhalten. Qrator ist bisher der Einzige in meiner Praxis, der einen nahezu null Prozentsatz an Fehlalarmen bietet, aber gleichzeitig sind sie mehrere Male teurer als die anderen Marktteilnehmer.

Andere Anbieter bieten ebenfalls qualitativ hochwertigen und stabilen Schutz. Viele der von uns unterstĂŒtzten Dienste (darunter sehr bekannte im Land!) stehen unter dem Schutz von DDoS-Guard, G-Core Labs und sind mit den Ergebnissen durchaus zufrieden.
Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz
Von Qrator abgewehrte Angriffe

Ich habe auch Erfahrung mit kleineren Schutzanbietern wie cloud-shield.ru, ddosa.net und vielen anderen. Ich kann sie nicht uneingeschrĂ€nkt empfehlen, da meine Erfahrung begrenzt ist, aber ich kann die Arbeitsweise erlĂ€utern. Die Schutzkosten liegen oft um ein bis zwei GrĂ¶ĂŸenordnungen unter denen der großen Anbieter. In der Regel kaufen sie eine teilweise Schutzdienstleistung (L3/L4) von grĂ¶ĂŸeren Anbietern und implementieren eigenen Schutz gegen Angriffe auf höheren Ebenen. Das kann durchaus effektiv sein, und Sie können einen guten Service zu geringeren Kosten erhalten, jedoch handelt es sich um kleinere Unternehmen mit begrenztem Personal, bitte beachten Sie das.

Was sind die Schwierigkeiten bei der Abwehr von Angriffen auf L7-Ebene?

Alle Anwendungen sind einzigartig, und es ist notwendig, den fĂŒr sie nĂŒtzlichen Verkehr zuzulassen und schĂ€dlichen zu blockieren. Es gelingt nicht immer, Bots eindeutig auszusondern, weshalb viele, wirklich viele Stufen der Verkehrsfilterung eingesetzt werden mĂŒssen.

FrĂŒher reichte das Modul nginx-testcookie (https://github.com/kyprizel/testcookie-nginx-module), und es reicht auch heute noch aus, um eine große Zahl von Angriffen abzuwehren. Als ich in der Hosting-Branche arbeitete, basierte ich den L7-Schutz genau auf nginx-testcookie.
Leider sind die Angriffe komplexer geworden. testcookie verwendet Bot-PrĂŒfungen basierend auf JS, und viele moderne Bots können diese erfolgreich umgehen.

Die angreifenden Botnetze sind ebenfalls einzigartig, und es ist wichtig, die Besonderheiten jedes großen Botnetzes zu berĂŒcksichtigen.
Amplifikation, direkter Flood von Botnetzen, Traffic-Filterung aus verschiedenen LĂ€ndern (unterschiedliche Filterung fĂŒr unterschiedliche LĂ€nder), SYN/ACK Flood, Fragmentierung von Paketen, ICMP, HTTP Flood, wobei auf Anwendungsebene/HTTP unzĂ€hlige verschiedene Angriffe erdacht werden können.
Insgesamt können auf der Schutzebene, in spezialisierten Anlagen zur Bereinigung von Traffic, spezieller Software und zusĂ€tzlichen Filtereinstellungen fĂŒr jeden Kunden Dutzende oder Hunderte von Filterebenen existieren.
Um dies richtig zu managen und die Filtereinstellungen fĂŒr unterschiedliche Nutzer angemessen anzupassen, sind große Erfahrung und qualifizierte FachkrĂ€fte erforderlich. Selbst ein großer Anbieter, der Schutzdienste anbieten möchte, kann nicht einfach "die Probleme mit Geld zuschĂŒtten": Die Erfahrung muss durch Fehlalarme auf legitimen Traffic und unzureichend geschĂŒtzten Webseiten gesammelt werden.
FĂŒr den Schutzbetreiber gibt es keinen Button "DDoS abwehren"; es stehen jedoch viele Werkzeuge zur VerfĂŒgung, die man beherrschen muss.

Und noch ein weiteres Beispiel.
Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz
Der ungeschĂŒtzte Server wurde vom Hostanbieter wĂ€hrend eines Angriffs mit 600 Mbit gesperrt.
(Der "Verlust" von Datenverkehr war nicht erkennbar, da nur eine Website angegriffen wurde; diese wurde vorĂŒbergehend vom Server entfernt, und die Sperre wurde innerhalb einer Stunde aufgehoben).
Was ist was und wer ist wer auf dem Markt fĂŒr DDoS-Schutz
Dieser Server ist geschĂŒtzt. Die Angreifer "gaben auf" nach einem Tag abgewehrter Angriffe. Der Angriff selbst war nicht der stĂ€rkste.

Angriffe und Schutz auf L3/L4 sind simpler und hÀngen hauptsÀchlich von der Bandbreite, den Erkennungsalgorithmen und der Filterung von Angriffen ab.
L7-Angriffe sind schwieriger und kreativer; sie hÀngen von der angegriffenen Anwendung, den Möglichkeiten und der Fantasie der Angreifer ab. Der Schutz dagegen erfordert umfangreiche Kenntnisse und Erfahrung, und die Ergebnisse sind möglicherweise nicht sofort und nicht zu 100 % sicher. Bis Google einen neuen Algorithmus zur Abwehr entwickelt hat.

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster