„Der Typ, der unsere Website erstellt hat, hat bereits einen DDoS-Schutz eingerichtet.“
„Wir haben DDoS-Schutz, warum ist die Website ausgefallen?“
„Wie viele Tausend will Qrator?“
Um solche Fragen des Kunden/Chefs richtig beantworten zu können, wäre es schön zu wissen, was sich hinter dem Namen „DDoS-Schutz“ verbirgt. Die Wahl eines Sicherheitsdienstes ähnelt eher der Wahl eines Medikaments von einem Arzt als der Wahl eines Tisches bei IKEA.
Ich unterstütze seit 11 Jahren Websites, habe Hunderte von Angriffen auf die von mir unterstützten Dienste überlebt und jetzt erzähle ich Ihnen ein wenig über die Funktionsweise des Schutzes.
Regelmäßige Angriffe. 350 Anforderungen insgesamt, 52 Anforderungen legitim
Die ersten Angriffe erfolgten fast zeitgleich mit dem Internet. DDoS als Phänomen ist seit Ende der 2000er Jahre weit verbreitet (siehe ).
Seit etwa 2015–2016 sind fast alle Hosting-Anbieter vor DDoS-Angriffen geschützt, ebenso wie die meisten prominenten Websites in Wettbewerbsbereichen (Whois per IP der Websites eldorado.ru, leroymerlin.ru, tilda.ws, Sie werden die Netzwerke sehen). der Schutzbetreiber).
Wenn vor 10 bis 20 Jahren die meisten Angriffe auf dem Server selbst abgewehrt werden könnten (werten Sie die Empfehlungen des Lenta.ru-Systemadministrators Maxim Moshkov aus den 90er Jahren aus: ), aber jetzt sind Schutzaufgaben schwieriger geworden.
Arten von DDoS-Angriffen aus Sicht der Auswahl eines Schutzbetreibers
Angriffe auf L3/L4-Ebene (gemäß OSI-Modell)
— UDP-Flut aus einem Botnetz (viele Anfragen werden direkt von infizierten Geräten an den angegriffenen Dienst gesendet, die Server werden mit dem Kanal blockiert);
— DNS/NTP/usw.-Verstärkung (viele Anfragen werden von infizierten Geräten an anfällige DNS/NTP/usw. gesendet, die Adresse des Absenders ist gefälscht, eine Wolke von Paketen, die auf Anfragen antworten, überschwemmt den Kanal der angegriffenen Person; das ist am häufigsten der Fall es kommt zu massiven Angriffen auf das moderne Internet);
— SYN/ACK-Flut (viele Anfragen zum Verbindungsaufbau werden an die angegriffenen Server gesendet, die Verbindungswarteschlange läuft über);
— Angriffe mit Paketfragmentierung, Ping of Death, Ping Flood (bitte googeln);
- usw.
Diese Angriffe zielen darauf ab, den Kanal des Servers zu „verstopfen“ oder seine Fähigkeit, neuen Datenverkehr zu akzeptieren, zu „killen“.
Obwohl SYN/ACK-Flooding und -Verstärkung sehr unterschiedlich sind, bekämpfen viele Unternehmen sie gleichermaßen gut. Bei Angriffen der nächsten Gruppe treten Probleme auf.
Angriffe auf L7 (Anwendungsschicht)
— HTTP-Flut (wenn eine Website oder eine HTTP-API angegriffen wird);
– ein Angriff auf gefährdete Bereiche der Site (solche, die keinen Cache haben, die die Site sehr stark belasten usw.).
Das Ziel besteht darin, den Server „hart arbeiten“ zu lassen, viele „scheinbar echte Anfragen“ zu verarbeiten und keine Ressourcen für echte Anfragen zu haben.
Obwohl es andere Angriffe gibt, sind diese die häufigsten.
Schwerwiegende Angriffe auf L7-Ebene werden für jedes angegriffene Projekt auf einzigartige Weise erstellt.
Warum 2 Gruppen?
Denn es gibt viele, die Angriffe auf der Ebene L3/L4 gut abzuwehren wissen, auf der Anwendungsebene (L7) aber entweder gar keinen Schutz in Anspruch nehmen oder im Umgang damit noch schwächer als Alternativen sind.
Who is Who auf dem DDoS-Schutzmarkt
(meine persönliche Meinung)
Schutz auf L3/L4-Ebene
Um Angriffe mit Verstärkung („Blockierung“ des Serverkanals) abzuwehren, gibt es genügend breite Kanäle (viele Schutzdienste sind mit den meisten großen Backbone-Anbietern in Russland verbunden und verfügen über Kanäle mit einer theoretischen Kapazität von mehr als 1 Tbit). Vergessen Sie nicht, dass sehr seltene Verstärkungsangriffe länger als eine Stunde dauern. Wenn Sie ein Spamhaus sind und jeder Sie nicht mag, ja, werden sie möglicherweise versuchen, Ihre Kanäle für mehrere Tage zu schließen, selbst auf die Gefahr hin, dass das globale Botnetz, das sie nutzen, weiter überlebt. Wenn Sie nur einen Online-Shop haben, selbst wenn es mvideo.ru ist, werden Sie in ein paar Tagen nicht sehr bald 1 Tbit sehen (hoffe ich).
Um Angriffe mit SYN/ACK-Flooding, Paketfragmentierung usw. abzuwehren, benötigen Sie Geräte oder Softwaresysteme, um solche Angriffe zu erkennen und zu stoppen.
Viele Leute stellen solche Geräte her (Arbor, es gibt Lösungen von Cisco, Huawei, Softwareimplementierungen von Wanguard usw.), viele Backbone-Betreiber haben sie bereits installiert und verkaufen DDoS-Schutzdienste (ich kenne Installationen von Rostelecom, Megafon, TTK, MTS). Tatsächlich machen alle großen Anbieter dasselbe mit Hostern mit eigenem Schutz (a-la OVH.com, Hetzner.de, ich selbst bin auf Schutz bei ihor.ru gestoßen). Einige Unternehmen entwickeln ihre eigenen Softwarelösungen (Technologien wie DPDK ermöglichen die Verarbeitung von Datenverkehr im Dutzend-Gigabit-Bereich auf einer physischen x86-Maschine).
Von den bekannten Spielern kann jeder L3/L4-DDoS mehr oder weniger effektiv bekämpfen. Jetzt werde ich nicht sagen, wer die größere maximale Kanalkapazität hat (das ist eine Insiderinformation), aber normalerweise ist das nicht so wichtig und der einzige Unterschied besteht darin, wie schnell der Schutz ausgelöst wird (sofort oder nach ein paar Minuten Projektausfallzeit). wie bei Hetzner).
Die Frage ist, wie gut dies gelingt: Ein Amplification-Angriff kann abgewehrt werden, indem der Datenverkehr aus Ländern mit dem größten schädlichen Datenverkehr blockiert wird, oder es kann nur wirklich unnötiger Datenverkehr verworfen werden.
Aber gleichzeitig kommen meiner Erfahrung nach alle seriösen Marktteilnehmer problemlos damit zurecht: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ehemals SkyParkCDN), ServicePipe, Stormwall, Voxility usw.
Ich habe keinen Schutz bei Betreibern wie Rostelecom, Megafon, TTK, Beeline erlebt; laut Bewertungen von Kollegen bieten sie diese Dienste recht gut an, aber bisher macht sich der Mangel an Erfahrung regelmäßig bemerkbar: Manchmal muss man über den Support etwas optimieren des Schutzbetreibers.
Einige Betreiber verfügen über einen separaten Dienst „Schutz vor Angriffen auf L3/L4-Ebene“ oder „Kanalschutz“, der viel weniger kostet als der Schutz auf allen Ebenen.
Warum wehrt der Backbone-Anbieter Angriffe mit Hunderten von Gbits nicht ab, obwohl er über keine eigenen Kanäle verfügt?Der Schutzbetreiber kann sich mit jedem der großen Anbieter verbinden und Angriffe „auf eigene Kosten“ abwehren. Sie müssen für den Kanal bezahlen, aber nicht immer werden alle diese Hunderte von Gbit genutzt. In diesem Fall gibt es Möglichkeiten, die Kosten der Kanäle erheblich zu senken, sodass das System weiterhin praktikabel bleibt.
Dies sind die Berichte, die ich regelmäßig von einem übergeordneten L3/L4-Schutz bei der Unterstützung der Systeme des Hosting-Anbieters erhalten habe.
Schutz auf L7-Ebene (Anwendungsebene)
Angriffe auf der L7-Ebene (Anwendungsebene) sind in der Lage, Einheiten konsequent und effizient abzuwehren.
Ich habe ziemlich viel echte Erfahrung damit
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Sie berechnen für jedes Megabit reinen Datenverkehrs eine Gebühr, ein Megabit kostet etwa mehrere tausend Rubel. Wenn Sie mindestens 100 Mbit/s reinen Datenverkehr haben – oh. Der Schutz wird sehr teuer sein. In den folgenden Artikeln kann ich Ihnen erklären, wie Sie Anwendungen entwerfen, um viel Kapazität bei Sicherheitskanälen einzusparen.
Der wahre „König“ ist Qrator.net, der Rest hinkt ihnen hinterher. Qrator ist meiner Erfahrung nach bisher der Einzige, der einen Prozentsatz falsch positiver Ergebnisse nahe Null liefert, gleichzeitig aber um ein Vielfaches teurer ist als andere Marktteilnehmer.
Auch andere Betreiber bieten hochwertigen und stabilen Schutz. Viele von uns unterstützte Dienste (einschließlich sehr bekannter im Land!) sind vor DDoS-Guard und G-Core Labs geschützt und mit den erzielten Ergebnissen recht zufrieden.
Von Qrator abgewehrte Angriffe
Ich habe auch Erfahrung mit kleinen Sicherheitsanbietern wie cloud-shield.ru, ddosa.net, Tausenden von ihnen. Ich werde es definitiv nicht empfehlen, weil... Ich habe nicht viel Erfahrung, aber ich erzähle Ihnen von den Prinzipien ihrer Arbeit. Ihre Schutzkosten sind oft ein bis zwei Größenordnungen niedriger als die der großen Anbieter. In der Regel kaufen sie einen teilweisen Schutzdienst (L1/L2) von einem der größeren Player und schützen sich selbst gegen Angriffe auf höheren Ebenen. Das kann sehr effektiv sein + man bekommt guten Service für weniger Geld, aber es handelt sich immer noch um kleine Unternehmen mit wenig Personal, bitte bedenken Sie das.
Was ist die Schwierigkeit, Angriffe auf der L7-Ebene abzuwehren?
Alle Anwendungen sind einzigartig und Sie müssen für sie nützlichen Datenverkehr zulassen und schädlichen blockieren. Es ist nicht immer möglich, Bots eindeutig auszumerzen, daher müssen Sie viele, wirklich VIELE Stufen der Traffic-Reinigung verwenden.
Es war einmal, das Nginx-Testcookie-Modul war genug (), und es reicht immer noch aus, um eine große Anzahl von Angriffen abzuwehren. Als ich in der Hosting-Branche arbeitete, basierte der L7-Schutz auf Nginx-Testcookie.
Leider sind Angriffe schwieriger geworden. testcookie verwendet JS-basierte Bot-Prüfungen und viele moderne Bots können diese erfolgreich bestehen.
Auch Angriffs-Botnetze sind einzigartig und die Merkmale jedes großen Botnetzes müssen berücksichtigt werden.
Verstärkung, direktes Flooding aus einem Botnetz, Filterung des Datenverkehrs aus verschiedenen Ländern (unterschiedliche Filterung für verschiedene Länder), SYN/ACK-Flooding, Paketfragmentierung, ICMP, http-Flooding, während Sie auf der Anwendungs-/http-Ebene eine unbegrenzte Anzahl davon finden können verschiedene Angriffe.
Insgesamt kann es auf der Ebene des Kanalschutzes, spezieller Geräte zur Verkehrsbereinigung, spezieller Software und zusätzlicher Filtereinstellungen für jeden Client Dutzende und Hunderte von Filterebenen geben.
Um dies richtig zu verwalten und die Filtereinstellungen für verschiedene Benutzer richtig anzupassen, benötigen Sie viel Erfahrung und qualifiziertes Personal. Selbst ein großer Betreiber, der sich für die Bereitstellung von Schutzdiensten entschieden hat, kann das Problem nicht „dummerweise mit Geld angehen“: Es müssen Erfahrungen mit Lügenseiten und Fehlalarmen bei legitimem Datenverkehr gesammelt werden.
Für den Sicherheitsbetreiber gibt es keinen „DDoS-Abwehr“-Button; es gibt eine Vielzahl von Tools, und Sie müssen wissen, wie man sie verwendet.
Und noch ein Bonusbeispiel.
Ein ungeschützter Server wurde bei einem Angriff mit einer Kapazität von 600 Mbit vom Hoster blockiert
(„Der Verlust“ des Datenverkehrs ist nicht spürbar, da nur 1 Site angegriffen wurde, diese vorübergehend vom Server entfernt und die Sperrung innerhalb einer Stunde aufgehoben wurde.)
Derselbe Server ist geschützt. Die Angreifer „kapitulierten“ nach einem Tag abgewehrter Angriffe. Der Angriff selbst war nicht der stärkste.
Angriff und Verteidigung von L3/L4 sind trivialer; sie hängen hauptsächlich von der Dicke der Kanäle sowie den Erkennungs- und Filteralgorithmen für Angriffe ab.
L7-Angriffe sind komplexer und origineller; sie hängen von der angegriffenen Anwendung sowie den Fähigkeiten und der Vorstellungskraft der Angreifer ab. Der Schutz vor ihnen erfordert viel Wissen und Erfahrung, und das Ergebnis ist möglicherweise nicht sofort und nicht hundertprozentig. Bis Google ein weiteres neuronales Netzwerk zum Schutz entwickelte.
Source: habr.com