"Ο τύπος που έφτιαξε τον ιστότοπό μας έχει ήδη δημιουργήσει προστασία DDoS."
"Έχουμε προστασία DDoS, γιατί χάθηκε ο ιστότοπος;"
«Πόσες χιλιάδες θέλει ο Qrator;»
Για να απαντήσετε σωστά σε τέτοιες ερωτήσεις από τον πελάτη/αφεντικό, θα ήταν ωραίο να ξέρετε τι κρύβεται πίσω από το όνομα «DDoS προστασία». Η επιλογή υπηρεσιών ασφαλείας μοιάζει περισσότερο με την επιλογή ενός φαρμάκου από έναν γιατρό παρά με την επιλογή ενός τραπεζιού στο IKEA.
Υποστηρίζω ιστότοπους για 11 χρόνια, έχω επιβιώσει από εκατοντάδες επιθέσεις στις υπηρεσίες που υποστηρίζω και τώρα θα σας πω λίγα λόγια για την εσωτερική λειτουργία της προστασίας.
Τακτικές επιθέσεις. 350k req σύνολο, 52k απαιτούμενο νόμιμο
Οι πρώτες επιθέσεις εμφανίστηκαν σχεδόν ταυτόχρονα με το Διαδίκτυο. Το DDoS ως φαινόμενο έχει γίνει ευρέως διαδεδομένο από τα τέλη της δεκαετίας του 2000 (βλ ).
Από το 2015-2016 περίπου, σχεδόν όλοι οι πάροχοι φιλοξενίας έχουν προστατευτεί από επιθέσεις DDoS, όπως και οι περισσότεροι εξέχοντες ιστότοποι σε ανταγωνιστικές περιοχές (κάντε whois με IP των ιστότοπων eldorado.ru, leroymerlin.ru, tilda.ws, θα δείτε τα δίκτυα των χειριστών προστασίας).
Εάν πριν από 10-20 χρόνια οι περισσότερες επιθέσεις μπορούσαν να αποκρούονται στον ίδιο τον διακομιστή (αξιολογήστε τις συστάσεις του διαχειριστή συστήματος Lenta.ru Maxim Moshkov από τη δεκαετία του '90: ), αλλά τώρα τα καθήκοντα προστασίας έχουν γίνει πιο δύσκολα.
Τύποι επιθέσεων DDoS από την άποψη της επιλογής χειριστή προστασίας
Επιθέσεις σε επίπεδο L3/L4 (σύμφωνα με το μοντέλο OSI)
— Πλημμύρα UDP από ένα botnet (πολλά αιτήματα αποστέλλονται απευθείας από μολυσμένες συσκευές στην υπηρεσία που δέχεται επίθεση, οι διακομιστές μπλοκάρονται με το κανάλι).
— Ενίσχυση DNS/NTP/etc (πολλά αιτήματα αποστέλλονται από μολυσμένες συσκευές σε ευάλωτα DNS/NTP/κ.λπ., η διεύθυνση του αποστολέα είναι παραποιημένη, ένα σύννεφο πακέτων που ανταποκρίνονται σε αιτήματα πλημμυρίζει το κανάλι του ατόμου που δέχεται επίθεση. πραγματοποιούνται μαζικές επιθέσεις στο σύγχρονο Διαδίκτυο).
— Πλημμύρα SYN / ACK (πολλά αιτήματα για τη δημιουργία σύνδεσης αποστέλλονται στους διακομιστές που έχουν επιτεθεί, η ουρά σύνδεσης υπερχειλίζει).
— επιθέσεις με κατακερματισμό πακέτων, ping of death, ping flood (Google it please).
- και ούτω καθεξής.
Αυτές οι επιθέσεις στοχεύουν να «φράξουν» το κανάλι του διακομιστή ή να «σκοτώσουν» την ικανότητά του να δέχεται νέα κίνηση.
Αν και το flooding και η ενίσχυση SYN/ACK είναι πολύ διαφορετικά, πολλές εταιρείες τα καταπολεμούν εξίσου καλά. Προβλήματα προκύπτουν με επιθέσεις από την επόμενη ομάδα.
Επιθέσεις στο L7 (επίπεδο εφαρμογής)
— http flood (εάν προσβληθεί ένας ιστότοπος ή κάποιο http api).
— μια επίθεση σε ευάλωτες περιοχές του ιστότοπου (αυτές που δεν έχουν κρυφή μνήμη, που φορτώνουν πολύ τον ιστότοπο κ.λπ.).
Ο στόχος είναι να κάνει τον διακομιστή να «δουλέψει σκληρά», να επεξεργαστεί πολλά «φαινομενικά πραγματικά αιτήματα» και να μείνει χωρίς πόρους για πραγματικά αιτήματα.
Αν και υπάρχουν και άλλες επιθέσεις, αυτές είναι οι πιο συνηθισμένες.
Οι σοβαρές επιθέσεις στο επίπεδο L7 δημιουργούνται με μοναδικό τρόπο για κάθε έργο που δέχεται επίθεση.
Γιατί 2 ομάδες;
Επειδή υπάρχουν πολλοί που ξέρουν πώς να αποκρούουν επιθέσεις καλά σε επίπεδο L3 / L4, αλλά είτε δεν αναλαμβάνουν καθόλου προστασία στο επίπεδο εφαρμογής (L7) είτε εξακολουθούν να είναι πιο αδύναμοι από τις εναλλακτικές στην αντιμετώπισή τους.
Who's who στην αγορά προστασίας DDoS
(προσωπική μου άποψη)
Προστασία σε επίπεδο L3/L4
Για την απόκρουση επιθέσεων με ενίσχυση («μπλοκάρισμα» του καναλιού διακομιστή), υπάρχουν αρκετά μεγάλα κανάλια (πολλές από τις υπηρεσίες προστασίας συνδέονται με τους περισσότερους μεγάλους παρόχους κορμού στη Ρωσία και έχουν κανάλια με θεωρητική χωρητικότητα άνω του 1 Tbit). Μην ξεχνάτε ότι οι πολύ σπάνιες επιθέσεις ενίσχυσης διαρκούν περισσότερο από μία ώρα. Εάν είστε Spamhaus και δεν σας αρέσουν όλοι, ναι, μπορεί να προσπαθήσουν να κλείσουν τα κανάλια σας για αρκετές ημέρες, ακόμη και με τον κίνδυνο της περαιτέρω επιβίωσης του παγκόσμιου botnet που χρησιμοποιείται. Εάν έχετε απλώς ένα ηλεκτρονικό κατάστημα, ακόμα κι αν είναι το mvideo.ru, δεν θα δείτε 1 Tbit μέσα σε λίγες μέρες πολύ σύντομα (ελπίζω).
Για να αποκρούσετε επιθέσεις με πλημμύρα SYN/ACK, κατακερματισμό πακέτων κ.λπ., χρειάζεστε εξοπλισμό ή συστήματα λογισμικού για τον εντοπισμό και τη διακοπή τέτοιων επιθέσεων.
Πολλοί άνθρωποι παράγουν τέτοιο εξοπλισμό (Arbor, υπάρχουν λύσεις από Cisco, Huawei, εφαρμογές λογισμικού από Wanguard κ.λπ.), πολλοί χειριστές κορμού τον έχουν ήδη εγκαταστήσει και πωλούν υπηρεσίες προστασίας DDoS (ξέρω για εγκαταστάσεις από Rostelecom, Megafon, TTK, MTS , στην πραγματικότητα, όλοι οι μεγάλοι πάροχοι κάνουν το ίδιο με hosters με δική τους προστασία a-la OVH.com, Hetzner.de, εγώ ο ίδιος αντιμετώπισα προστασία στο ihor.ru). Ορισμένες εταιρείες αναπτύσσουν τις δικές τους λύσεις λογισμικού (τεχνολογίες όπως η DPDK σάς επιτρέπουν να επεξεργάζεστε δεκάδες gigabit κίνησης σε ένα φυσικό μηχάνημα x86).
Από τους γνωστούς παίκτες, ο καθένας μπορεί να αντιμετωπίσει το L3/L4 DDoS περισσότερο ή λιγότερο αποτελεσματικά. Τώρα δεν θα πω ποιος έχει τη μεγαλύτερη μέγιστη χωρητικότητα καναλιού (αυτές είναι εσωτερικές πληροφορίες), αλλά συνήθως αυτό δεν είναι τόσο σημαντικό και η μόνη διαφορά είναι πόσο γρήγορα ενεργοποιείται η προστασία (άμεσα ή μετά από λίγα λεπτά διακοπής του έργου, όπως στο Hetzner).
Το ερώτημα είναι πόσο καλά γίνεται αυτό: μια επίθεση ενίσχυσης μπορεί να αποτραπεί μπλοκάροντας την κυκλοφορία από χώρες με τη μεγαλύτερη ποσότητα επιβλαβούς κίνησης ή μόνο η πραγματικά περιττή κίνηση μπορεί να απορριφθεί.
Αλλά ταυτόχρονα, με βάση την εμπειρία μου, όλοι οι σοβαροί παίκτες της αγοράς το αντιμετωπίζουν χωρίς προβλήματα: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (πρώην SkyParkCDN), ServicePipe, Stormwall, Voxility κ.λπ.
Δεν έχω συναντήσει προστασία από φορείς όπως Rostelecom, Megafon, TTK, Beeline· σύμφωνα με κριτικές από συναδέλφους, παρέχουν αυτές τις υπηρεσίες αρκετά καλά, αλλά μέχρι στιγμής η έλλειψη εμπειρίας επηρεάζει περιοδικά: μερικές φορές χρειάζεται να τροποποιήσετε κάτι μέσω της υποστήριξης του χειριστή προστασίας.
Ορισμένοι χειριστές έχουν μια ξεχωριστή υπηρεσία "προστασία από επιθέσεις σε επίπεδο L3/L4" ή "προστασία καναλιού"· κοστίζει πολύ λιγότερο από την προστασία σε όλα τα επίπεδα.
Γιατί ο πάροχος κορμού δεν αποκρούει επιθέσεις εκατοντάδων Gbit, αφού δεν έχει δικά του κανάλια;Ο χειριστής προστασίας μπορεί να συνδεθεί με οποιονδήποτε από τους μεγάλους παρόχους και να αποκρούσει επιθέσεις «με βάρος του». Θα πρέπει να πληρώσετε για το κανάλι, αλλά όλα αυτά τα εκατοντάδες Gbit δεν θα χρησιμοποιούνται πάντα· υπάρχουν επιλογές για να μειώσετε σημαντικά το κόστος των καναλιών σε αυτήν την περίπτωση, επομένως το σχήμα παραμένει εφαρμόσιμο.
Αυτές είναι οι αναφορές που έλαβα τακτικά από την προστασία L3/L4 υψηλότερου επιπέδου ενώ υποστηρίζω τα συστήματα του παρόχου φιλοξενίας.
Προστασία σε επίπεδο L7 (επίπεδο εφαρμογής)
Οι επιθέσεις στο επίπεδο L7 (επίπεδο εφαρμογής) είναι σε θέση να αποκρούουν μονάδες με συνέπεια και αποτελεσματικότητα.
Έχω πολύ μεγάλη πραγματική εμπειρία
— Qrator.net;
— DDoS-Guard.
- Εργαστήρια G-Core
— Kaspersky.
Χρεώνουν για κάθε megabit καθαρής κίνησης, ένα megabit κοστίζει περίπου αρκετές χιλιάδες ρούβλια. Εάν έχετε τουλάχιστον 100 Mbps καθαρής κίνησης - ω. Η προστασία θα είναι πολύ ακριβή. Μπορώ να σας πω στα παρακάτω άρθρα πώς να σχεδιάζετε εφαρμογές για να εξοικονομήσετε πολλά στη χωρητικότητα των καναλιών ασφαλείας.
Ο πραγματικός «βασιλιάς του λόφου» είναι το Qrator.net, οι υπόλοιποι μένουν πίσω τους. Οι Qrator είναι μέχρι στιγμής οι μόνοι από την εμπειρία μου που δίνουν ποσοστό ψευδών θετικών κοντά στο μηδέν, αλλά ταυτόχρονα είναι και αρκετές φορές πιο ακριβοί από άλλους παίκτες της αγοράς.
Άλλοι χειριστές παρέχουν επίσης υψηλής ποιότητας και σταθερή προστασία. Πολλές υπηρεσίες που υποστηρίζονται από εμάς (συμπεριλαμβανομένων των πολύ γνωστών στη χώρα!) προστατεύονται από το DDoS-Guard, το G-Core Labs και είναι αρκετά ικανοποιημένοι με τα αποτελέσματα που λαμβάνονται.
Οι επιθέσεις αποκρούονται από τον Qrator
Έχω επίσης εμπειρία με μικρούς χειριστές ασφαλείας όπως το cloud-shield.ru, ddosa.net, χιλιάδες από αυτούς. Σίγουρα δεν θα το προτείνω, γιατί... Δεν έχω μεγάλη εμπειρία, αλλά θα σας πω για τις αρχές της δουλειάς τους. Το κόστος προστασίας τους είναι συχνά 1-2 τάξεις μεγέθους χαμηλότερο από αυτό των μεγάλων παικτών. Κατά κανόνα, αγοράζουν μια υπηρεσία μερικής προστασίας (L3/L4) από έναν από τους μεγαλύτερους παίκτες + κάνουν τη δική τους προστασία από επιθέσεις σε υψηλότερα επίπεδα. Αυτό μπορεί να είναι αρκετά αποτελεσματικό + μπορείτε να έχετε καλή εξυπηρέτηση με λιγότερα χρήματα, αλλά εξακολουθούν να είναι μικρές εταιρείες με μικρό προσωπικό, έχετε αυτό υπόψη σας.
Ποια είναι η δυσκολία απόκρουσης επιθέσεων στο επίπεδο L7;
Όλες οι εφαρμογές είναι μοναδικές και πρέπει να επιτρέψετε την κυκλοφορία που είναι χρήσιμη για αυτές και να αποκλείσετε τις επιβλαβείς. Δεν είναι πάντα δυνατό να εξαλείψετε κατηγορηματικά τα bots, επομένως πρέπει να χρησιμοποιήσετε πολλούς, πραγματικά ΠΟΛΛΟΥΣ βαθμούς καθαρισμού της κυκλοφορίας.
Μια φορά κι έναν καιρό, η ενότητα nginx-testcookie ήταν αρκετή (), και είναι ακόμα αρκετό για να αποκρούσει μεγάλο αριθμό επιθέσεων. Όταν εργαζόμουν στη βιομηχανία φιλοξενίας, η προστασία L7 βασιζόταν στο nginx-testcookie.
Δυστυχώς, οι επιθέσεις έχουν γίνει πιο δύσκολες. Το testcookie χρησιμοποιεί ελέγχους bot που βασίζονται σε JS και πολλά σύγχρονα ρομπότ μπορούν να τους περάσουν με επιτυχία.
Τα Attack botnet είναι επίσης μοναδικά και τα χαρακτηριστικά κάθε μεγάλου botnet πρέπει να λαμβάνονται υπόψη.
Ενίσχυση, άμεση πλημμύρα από botnet, φιλτράρισμα κίνησης από διαφορετικές χώρες (διαφορετικό φιλτράρισμα για διαφορετικές χώρες), πλημμύρα SYN/ACK, κατακερματισμός πακέτων, ICMP, http flooding, ενώ σε επίπεδο εφαρμογής/http μπορείτε να βρείτε απεριόριστο αριθμό διαφορετικές επιθέσεις.
Συνολικά, σε επίπεδο προστασίας καναλιών, εξειδικευμένου εξοπλισμού εκκαθάρισης κίνησης, ειδικού λογισμικού, πρόσθετων ρυθμίσεων φιλτραρίσματος για κάθε πελάτη μπορεί να υπάρχουν δεκάδες και εκατοντάδες επίπεδα φιλτραρίσματος.
Για να διαχειριστείτε σωστά αυτό και να ρυθμίσετε σωστά τις ρυθμίσεις φιλτραρίσματος για διαφορετικούς χρήστες, χρειάζεστε μεγάλη εμπειρία και εξειδικευμένο προσωπικό. Ακόμη και ένας μεγάλος φορέας που έχει αποφασίσει να παρέχει υπηρεσίες προστασίας δεν μπορεί «να πετάξει ανόητα χρήματα στο πρόβλημα»: θα πρέπει να αποκτηθεί εμπειρία από ψεύτικους ιστότοπους και ψευδώς θετικά στοιχεία για τη νόμιμη κυκλοφορία.
Δεν υπάρχει κουμπί "απόκρουση DDoS" για τον χειριστή ασφαλείας· υπάρχει μεγάλος αριθμός εργαλείων και πρέπει να γνωρίζετε πώς να τα χρησιμοποιείτε.
Και ένα ακόμη παράδειγμα μπόνους.
Ένας απροστάτευτος διακομιστής μπλοκαρίστηκε από τον οικοδεσπότη κατά τη διάρκεια επίθεσης χωρητικότητας 600 Mbit
(Η "απώλεια" της επισκεψιμότητας δεν είναι αισθητή, επειδή μόνο 1 ιστότοπος δέχθηκε επίθεση, αφαιρέθηκε προσωρινά από τον διακομιστή και ο αποκλεισμός άρθηκε μέσα σε μία ώρα).
Ο ίδιος διακομιστής προστατεύεται. Οι επιτιθέμενοι «παραδόθηκαν» μετά από μια μέρα αποκρουόμενων επιθέσεων. Η ίδια η επίθεση δεν ήταν η πιο δυνατή.
Η επίθεση και η άμυνα των L3/L4 είναι πιο ασήμαντες· εξαρτώνται κυρίως από το πάχος των καναλιών, τους αλγόριθμους ανίχνευσης και φιλτραρίσματος για επιθέσεις.
Οι επιθέσεις L7 είναι πιο περίπλοκες και πρωτότυπες· εξαρτώνται από την εφαρμογή που δέχεται επίθεση, τις δυνατότητες και τη φαντασία των εισβολέων. Η προστασία από αυτά απαιτεί πολλές γνώσεις και εμπειρία και το αποτέλεσμα μπορεί να μην είναι άμεσο και ούτε εκατό τοις εκατό. Μέχρι που η Google βρήκε ένα άλλο νευρωνικό δίκτυο για προστασία.
Πηγή: www.habr.com