
In den ersten beiden Quartalen des Jahres 2020 hat sich die Zahl der DDoS-Angriffe fast verdreifacht, wobei 65 % davon primitive Versuche von âLasttestsâ waren, die wehrlose Websites kleiner Online-Shops, Foren, Blogs und Medienunternehmen leicht âdeaktivierenâ.
Wie wĂ€hlt man DDoS-geschĂŒtztes Hosting aus? Worauf sollten Sie achten und worauf sollten Sie sich vorbereiten, um nicht in eine unangenehme Situation zu geraten?
(Impfung gegen âgrauesâ Marketing im Innenbereich)
Die VerfĂŒgbarkeit und Vielfalt der Tools zur DurchfĂŒhrung von DDoS-Angriffen zwingt Betreiber von Online-Diensten dazu, geeignete MaĂnahmen zur Abwehr der Bedrohung zu ergreifen. Sie sollten ĂŒber den DDoS-Schutz nicht nach dem ersten Ausfall und nicht einmal als Teil einer Reihe von MaĂnahmen zur Erhöhung der Fehlertoleranz der Infrastruktur nachdenken, sondern bereits bei der Auswahl eines Standorts fĂŒr die Platzierung (Hosting-Anbieter oder Rechenzentrum).
DDoS-Angriffe werden je nach den Protokollen, deren Schwachstellen ausgenutzt werden, auf den Ebenen des Open Systems Interconnection (OSI)-Modells klassifiziert:
- Kanal (L2),
- Netzwerk (L3),
- Transport (L4),
- angewendet (L7).
Aus Sicht der Sicherheitssysteme lassen sie sich in zwei Gruppen einteilen: Angriffe auf Infrastrukturebene (L2-L4) und Angriffe auf Anwendungsebene (L7). Dies ist auf die Reihenfolge der AusfĂŒhrung von Verkehrsanalysealgorithmen und die RechenkomplexitĂ€t zurĂŒckzufĂŒhren: Je tiefer wir in das IP-Paket schauen, desto mehr Rechenleistung ist erforderlich.
Generell ist das Problem der Berechnungsoptimierung bei der Verarbeitung des Verkehrs in Echtzeit Gegenstand einer eigenen Artikelserie. Stellen wir uns nun einmal vor, dass es einen Cloud-Anbieter mit bedingt unbegrenzten Rechenressourcen gibt, der Websites vor Angriffen auf Anwendungsebene (einschlieĂlich) schĂŒtzen kann ).
3 Hauptfragen zur Bestimmung des Grads der Hosting-Sicherheit gegen DDoS-Angriffe
Werfen wir einen Blick auf die Nutzungsbedingungen zum Schutz vor DDoS-Angriffen und das Service Level Agreement (SLA) des Hosting-Anbieters. Enthalten sie Antworten auf folgende Fragen:
- Welche technischen EinschrÀnkungen gibt der Dienstanbieter an??
- Was passiert, wenn der Kunde die Grenzen ĂŒberschreitet?
- Wie baut ein Hosting-Anbieter Schutz vor DDoS-Angriffen auf (Technologien, Lösungen, Lieferanten)?
Wenn Sie diese Informationen nicht gefunden haben, ist dies ein Grund, entweder ĂŒber die SeriositĂ€t des Dienstanbieters nachzudenken oder selbst einen grundlegenden DDoS-Schutz (L3-4) zu organisieren. Bestellen Sie beispielsweise eine physische Verbindung zum Netzwerk eines spezialisierten Sicherheitsanbieters.
Wichtig! Es macht keinen Sinn, mit Reverse Proxy Schutz vor Angriffen auf Anwendungsebene zu bieten, wenn Ihr Hosting-Anbieter nicht in der Lage ist, Schutz vor Angriffen auf Infrastrukturebene zu bieten: Die NetzwerkausrĂŒstung wird ĂŒberlastet und nicht mehr verfĂŒgbar, auch fĂŒr die Proxy-Server des Cloud-Anbieters (Abbildung). 1).

Abbildung 1. Direkter Angriff auf das Netzwerk des Hosting-Anbieters
Und lassen Sie sich nicht das MĂ€rchen erzĂ€hlen, dass die tatsĂ€chliche IP-Adresse des Servers hinter der Cloud des Sicherheitsanbieters verborgen sei und es daher unmöglich sei, ihn direkt anzugreifen. In neun von zehn FĂ€llen wird es fĂŒr einen Angreifer nicht schwer sein, die echte IP-Adresse des Servers oder zumindest des Netzwerks des Hosting-Anbieters herauszufinden, um ein ganzes Rechenzentrum zu âzerstörenâ.
Wie Hacker auf der Suche nach einer echten IP-Adresse vorgehen
Unter den Spoilern finden Sie mehrere Methoden zum Finden einer echten IP-Adresse (zu Informationszwecken angegeben).
Methode 1: Suche in offenen Quellen
Sie können Ihre Suche ĂŒber den Onlinedienst starten: Es durchsucht das Dark Web, Dokumenten-Sharing-Plattformen, verarbeitet Whois-Daten, öffentliche Datenlecks und viele andere Quellen.

Wenn anhand einiger Anzeichen (HTTP-Header, Whois-Daten usw.) festgestellt werden konnte, dass der Schutz der Website ĂŒber Cloudflare organisiert ist, können Sie mit der Suche nach der tatsĂ€chlichen IP beginnen, das etwa 3 Millionen IP-Adressen von Websites enthĂ€lt, die sich hinter Cloudflare befinden.

Verwendung eines SSL-Zertifikats und -Dienstes Sie können viele nĂŒtzliche Informationen finden, einschlieĂlich der tatsĂ€chlichen IP-Adresse der Website. Um eine Anfrage fĂŒr Ihre Ressource zu generieren, gehen Sie zur Registerkarte âZertifikateâ und geben Sie Folgendes ein:
_parsed.names: NameWebsite UND tags.raw: vertrauenswĂŒrdig

Um nach IP-Adressen von Servern zu suchen, die ein SSL-Zertifikat verwenden, mĂŒssen Sie die Dropdown-Liste mit mehreren Tools manuell durchgehen (Registerkarte âDurchsuchenâ und dann âIPv4-Hostsâ auswĂ€hlen).
Methode 2: DNS
Das Durchsuchen des Verlaufs von DNS-EintragsĂ€nderungen ist eine alte, bewĂ€hrte Methode. Anhand der bisherigen IP-Adresse der Seite lĂ€sst sich erkennen, auf welchem ââHosting (oder Rechenzentrum) sie sich befand. Unter den Online-Diensten stechen in puncto Benutzerfreundlichkeit folgende hervor: Đž .
Wenn Sie die Einstellungen Ă€ndern, verwendet die Site nicht sofort die IP-Adresse des Cloud-Sicherheitsanbieters oder CDN, sondern funktioniert fĂŒr einige Zeit direkt. In diesem Fall besteht die Möglichkeit, dass Online-Dienste zur Speicherung des Verlaufs von IP-AdressĂ€nderungen Informationen ĂŒber die Quelladresse der Website enthalten.

Wenn nur der Name des alten DNS-Servers vorhanden ist, können Sie mit speziellen Dienstprogrammen (dig, host oder nslookup) eine IP-Adresse anhand des DomÀnennamens der Site anfordern, zum Beispiel:
_dig @old_dns_server_name NameStandort
Methode 3: E-Mail
Die Idee der Methode besteht darin, das Feedback-/Registrierungsformular (oder jede andere Methode, die es Ihnen ermöglicht, den Versand eines Briefes zu veranlassen) zu verwenden, um einen Brief an Ihre E-Mail-Adresse zu erhalten und die Kopfzeilen, insbesondere das Feld âEmpfangenâ, zu ĂŒberprĂŒfen .

Der E-Mail-Header enthĂ€lt hĂ€ufig die tatsĂ€chliche IP-Adresse des MX-Eintrags (E-Mail-Exchange-Server), die ein Ausgangspunkt fĂŒr die Suche nach anderen Servern auf dem Ziel sein kann.
Suchautomatisierungstools
IP-Suchsoftware hinter dem Cloudflare-Schutzschild erfĂŒllt meist drei Aufgaben:
- Scannen Sie mit DNSDumpster.com nach DNS-Fehlkonfigurationen.
- Datenbankscan von Crimeflare.com;
- Suchen Sie mithilfe einer Wörterbuchsuchmethode nach Subdomains.
Das Finden von Subdomains ist oft die effektivste der drei Optionen â der Websitebesitzer könnte die Hauptsite schĂŒtzen und die Subdomains direkt laufen lassen. Der einfachste Weg, dies zu ĂŒberprĂŒfen, ist die Verwendung .
DarĂŒber hinaus gibt es Dienstprogramme, die nur fĂŒr die Suche in Subdomains mithilfe einer Wörterbuchsuche und fĂŒr die Suche in offenen Quellen konzipiert sind, zum Beispiel: oder .
Wie die Suche in der Praxis ablÀuft
Nehmen wir zum Beispiel die Website seo.com mit Cloudflare, die wir ĂŒber einen bekannten Dienst finden (Ermöglicht Ihnen, sowohl die Technologien/Engines/CMS zu bestimmen, auf denen die Site lĂ€uft, als auch umgekehrt â nach Sites anhand der verwendeten Technologien zu suchen.)
Wenn Sie auf die Registerkarte âIPv4-Hostsâ klicken, zeigt der Dienst eine Liste der Hosts an, die das Zertifikat verwenden. Um die benötigte Adresse zu finden, suchen Sie nach einer IP-Adresse mit offenem Port 443. Wenn sie zur gewĂŒnschten Site umleitet, ist die Aufgabe abgeschlossen, andernfalls mĂŒssen Sie den DomĂ€nennamen der Site zum âHostâ-Header der hinzufĂŒgen HTTP-Anfrage (zum Beispiel *curl -H "Host: Site_name" *).

In unserem Fall hat eine Suche in der Censys-Datenbank nichts ergeben, also machen wir weiter.
Wir werden eine DNS-Suche ĂŒber den Dienst durchfĂŒhren.

Indem wir die in den Listen der DNS-Server genannten Adressen mit dem CloudFail-Dienstprogramm durchsuchen, finden wir funktionierende Ressourcen. Das Ergebnis ist in wenigen Sekunden fertig.

Mithilfe offener Daten und einfacher Tools haben wir die tatsĂ€chliche IP-Adresse des Webservers ermittelt. Der Rest ist fĂŒr den Angreifer eine Frage der Technik.
Kehren wir zur Auswahl eines Hosting-Anbieters zurĂŒck. Um den Nutzen des Dienstes fĂŒr den Kunden zu bewerten, prĂŒfen wir mögliche SchutzmaĂnahmen gegen DDoS-Angriffe.
Wie ein Hosting-Anbieter seinen Schutz aufbaut
- Eigenes Schutzsystem mit FilterausrĂŒstung (Abbildung 2).
Erfordert:
1.1. VerkehrsfiltergerÀte und Softwarelizenzen;
1.2. Vollzeit-Spezialisten fĂŒr deren Support und Betrieb;
1.3. InternetzugangskanÀle, die ausreichen, um Angriffe abzuwehren;
1.4. Erhebliche Prepaid-Kanalbandbreite fĂŒr den Empfang von âJunkâ-Verkehr.

Abbildung 2. Das eigene Sicherheitssystem des Hosting-Anbieters
Wenn wir das beschriebene System als Mittel zum Schutz vor modernen DDoS-Angriffen mit Hunderten von Gbit/s betrachten, dann wird ein solches System viel Geld kosten. VerfĂŒgt der Hosting-Anbieter ĂŒber einen solchen Schutz? Ist er bereit, fĂŒr âMĂŒllâ-Verkehr zu bezahlen? Offensichtlich ist ein solches Wirtschaftsmodell fĂŒr den Anbieter unrentabel, wenn die Tarife keine Nachzahlungen vorsehen. - Reverse Proxy (nur fĂŒr Websites und einige Anwendungen). Trotz einer Nummer Der Anbieter garantiert keinen Schutz vor direkten DDoS-Angriffen (siehe Abbildung 1). Hosting-Anbieter bieten eine solche Lösung hĂ€ufig als Allheilmittel an und verlagern die Verantwortung auf den Sicherheitsanbieter.
- Dienste eines spezialisierten Cloud-Anbieters (Nutzung seines Filternetzwerks) zum Schutz vor DDoS-Angriffen auf allen OSI-Ebenen (Abbildung 3).

Abbildung 3. Umfassender Schutz vor DDoS-Angriffen durch einen spezialisierten Anbieter
setzt eine tiefe Integration und ein hohes MaĂ an technischer Kompetenz beider Parteien voraus. Durch die Auslagerung von Verkehrsfilterdiensten kann der Hosting-Anbieter den Preis fĂŒr zusĂ€tzliche Dienste fĂŒr den Kunden senken.
Wichtig! Je detaillierter die technischen Merkmale der erbrachten Leistung beschrieben werden, desto gröĂer ist die Chance, deren Umsetzung oder EntschĂ€digung im Falle eines Ausfalls zu fordern.
ZusĂ€tzlich zu den drei Hauptmethoden gibt es viele Kombinationen und Kombinationen. Bei der Auswahl eines Hostings muss der Kunde bedenken, dass die Entscheidung nicht nur von der GröĂe der garantiert blockierten Angriffe und der Filtergenauigkeit abhĂ€ngt, sondern auch von der Reaktionsgeschwindigkeit sowie dem Informationsgehalt (Liste der blockierten Angriffe, allgemeine Statistiken usw.).
Denken Sie daran, dass nur wenige Hosting-Anbieter auf der Welt allein in der Lage sind, ein akzeptables Schutzniveau zu bieten; in anderen FÀllen helfen Zusammenarbeit und technische Kompetenz. Das VerstÀndnis der Grundprinzipien der Organisation des Schutzes vor DDoS-Angriffen ermöglicht es dem Websitebesitzer daher, nicht auf Marketingtricks hereinzufallen und nicht die Katze im Sack zu kaufen.
Source: habr.com


