Τα δύο πρώτα τρίμηνα του 2020, ο αριθμός των επιθέσεων DDoS σχεδόν τριπλασιάστηκε, με το 65% από αυτές να είναι πρωτόγονες προσπάθειες για «δοκιμή φορτίου» που «απενεργοποιούν» εύκολα ανυπεράσπιστους ιστότοπους μικρών διαδικτυακών καταστημάτων, φόρουμ, ιστολογίων και μέσων ενημέρωσης.
Πώς να επιλέξετε φιλοξενία με προστασία DDoS; Τι πρέπει να προσέξεις και τι πρέπει να προετοιμαστείς για να μην καταλήξεις σε μια δυσάρεστη κατάσταση;
(Εμβολιασμός κατά του «γκρίζου» μάρκετινγκ στο εσωτερικό)
Η διαθεσιμότητα και η ποικιλία εργαλείων για την πραγματοποίηση επιθέσεων DDoS αναγκάζει τους ιδιοκτήτες διαδικτυακών υπηρεσιών να λαμβάνουν τα κατάλληλα μέτρα για την αντιμετώπιση της απειλής. Θα πρέπει να σκεφτείτε την προστασία DDoS όχι μετά την πρώτη αποτυχία και ούτε ως μέρος ενός συνόλου μέτρων για την αύξηση της ανοχής σφαλμάτων της υποδομής, αλλά στο στάδιο της επιλογής τοποθεσίας για τοποθέτηση (πάροχος φιλοξενίας ή κέντρο δεδομένων).
Οι επιθέσεις DDoS ταξινομούνται ανάλογα με τα πρωτόκολλα των οποίων τα τρωτά σημεία εκμεταλλεύονται στα επίπεδα του μοντέλου Open Systems Interconnection (OSI):
- κανάλι (L2),
- δίκτυο (L3),
- μεταφορά (L4),
- εφαρμόζεται (L7).
Από την άποψη των συστημάτων ασφαλείας, μπορούν να γενικευθούν σε δύο ομάδες: επιθέσεις σε επίπεδο υποδομής (L2-L4) και επιθέσεις σε επίπεδο εφαρμογής (L7). Αυτό οφείλεται στην ακολουθία εκτέλεσης των αλγορίθμων ανάλυσης κίνησης και στην υπολογιστική πολυπλοκότητα: όσο πιο βαθιά κοιτάμε το πακέτο IP, τόσο περισσότερη υπολογιστική ισχύς απαιτείται.
Γενικά, το πρόβλημα της βελτιστοποίησης των υπολογισμών κατά την επεξεργασία της κυκλοφορίας σε πραγματικό χρόνο είναι ένα θέμα για μια ξεχωριστή σειρά άρθρων. Τώρα ας φανταστούμε ότι υπάρχει κάποιος πάροχος cloud με απεριόριστους υπολογιστικούς πόρους υπό όρους που μπορεί να προστατεύσει ιστότοπους από επιθέσεις σε επίπεδο εφαρμογής (συμπεριλαμβανομένων ).
3 κύριες ερωτήσεις για τον προσδιορισμό του βαθμού ασφάλειας φιλοξενίας από επιθέσεις DDoS
Ας δούμε τους όρους παροχής υπηρεσιών για προστασία από επιθέσεις DDoS και τη συμφωνία επιπέδου υπηρεσίας (SLA) του παρόχου φιλοξενίας. Περιέχουν απαντήσεις στις ακόλουθες ερωτήσεις:
- ποιοι τεχνικοί περιορισμοί αναφέρονται από τον πάροχο υπηρεσιών;?
- τι συμβαίνει όταν ο πελάτης ξεπερνά τα όρια;
- Πώς ένας πάροχος φιλοξενίας δημιουργεί προστασία έναντι επιθέσεων DDoS (τεχνολογίες, λύσεις, προμηθευτές);
Εάν δεν έχετε βρει αυτές τις πληροφορίες, τότε αυτός είναι ένας λόγος είτε να σκεφτείτε τη σοβαρότητα του παρόχου υπηρεσιών είτε να οργανώσετε τη βασική προστασία DDoS (L3-4) μόνοι σας. Για παράδειγμα, παραγγείλετε μια φυσική σύνδεση στο δίκτυο ενός εξειδικευμένου παρόχου ασφάλειας.
Σημαντικό! Δεν έχει νόημα να παρέχετε προστασία από επιθέσεις σε επίπεδο εφαρμογής χρησιμοποιώντας Reverse Proxy, εάν ο πάροχος φιλοξενίας σας δεν είναι σε θέση να παρέχει προστασία από επιθέσεις σε επίπεδο υποδομής: ο εξοπλισμός δικτύου θα υπερφορτωθεί και θα γίνει μη διαθέσιμος, συμπεριλαμβανομένων των διακομιστών μεσολάβησης του παρόχου cloud (Εικόνα 1).
Εικόνα 1. Απευθείας επίθεση στο δίκτυο του παρόχου φιλοξενίας
Και μην τους αφήσετε να προσπαθήσουν να σας πουν παραμύθια ότι η πραγματική διεύθυνση IP του διακομιστή είναι κρυμμένη πίσω από το σύννεφο του παρόχου ασφαλείας, πράγμα που σημαίνει ότι είναι αδύνατο να του επιτεθεί απευθείας. Σε εννέα στις δέκα περιπτώσεις, δεν θα είναι δύσκολο για έναν εισβολέα να βρει την πραγματική διεύθυνση IP του διακομιστή ή τουλάχιστον του δικτύου του παρόχου φιλοξενίας προκειμένου να «καταστρέψει» ένα ολόκληρο κέντρο δεδομένων.
Πώς ενεργούν οι χάκερ αναζητώντας μια πραγματική διεύθυνση IP
Κάτω από τα spoilers υπάρχουν διάφορες μέθοδοι για την εύρεση μιας πραγματικής διεύθυνσης IP (που δίνονται για ενημερωτικούς σκοπούς).
Μέθοδος 1: Αναζήτηση σε ανοιχτούς πόρους
Μπορείτε να ξεκινήσετε την αναζήτησή σας με την ηλεκτρονική υπηρεσία: Πραγματοποιεί αναζήτηση στον σκοτεινό ιστό, πλατφόρμες κοινής χρήσης εγγράφων, επεξεργάζεται δεδομένα Whois, διαρροές δημοσίων δεδομένων και πολλές άλλες πηγές.
Εάν, με βάση ορισμένα σημάδια (κεφαλίδες HTTP, δεδομένα Whois, κ.λπ.), ήταν δυνατό να προσδιοριστεί ότι η προστασία του ιστότοπου οργανώνεται χρησιμοποιώντας το Cloudflare, τότε μπορείτε να ξεκινήσετε την αναζήτηση για την πραγματική IP από, το οποίο περιέχει περίπου 3 εκατομμύρια διευθύνσεις IP ιστότοπων που βρίσκονται πίσω από το Cloudflare.
Χρήση πιστοποιητικού και υπηρεσίας SSL μπορείτε να βρείτε πολλές χρήσιμες πληροφορίες, συμπεριλαμβανομένης της πραγματικής διεύθυνσης IP του ιστότοπου. Για να δημιουργήσετε ένα αίτημα για τον πόρο σας, μεταβείτε στην καρτέλα Πιστοποιητικά και εισαγάγετε:
_parsed.names: όνομαsite AND tags.raw: αξιόπιστο
Για να αναζητήσετε διευθύνσεις IP διακομιστών που χρησιμοποιούν πιστοποιητικό SSL, θα πρέπει να περάσετε χειροκίνητα από την αναπτυσσόμενη λίστα με πολλά εργαλεία (την καρτέλα "Εξερεύνηση" και, στη συνέχεια, επιλέξτε "Κεντριστές IPv4").
Μέθοδος 2: DNS
Η αναζήτηση στο ιστορικό των αλλαγών εγγραφής DNS είναι μια παλιά, δοκιμασμένη μέθοδος. Η προηγούμενη διεύθυνση IP του ιστότοπου μπορεί να καταστήσει σαφές σε ποιο hosting (ή κέντρο δεδομένων) βρισκόταν. Από τις διαδικτυακές υπηρεσίες ως προς την ευκολία χρήσης ξεχωρίζουν οι εξής: и .
Όταν αλλάζετε τις ρυθμίσεις, ο ιστότοπος δεν θα χρησιμοποιεί αμέσως τη διεύθυνση IP του παρόχου ασφάλειας cloud ή του CDN, αλλά θα λειτουργεί απευθείας για κάποιο χρονικό διάστημα. Σε αυτήν την περίπτωση, υπάρχει πιθανότητα οι διαδικτυακές υπηρεσίες για την αποθήκευση του ιστορικού των αλλαγών διεύθυνσης IP να περιέχουν πληροφορίες σχετικά με τη διεύθυνση πηγής του ιστότοπου.
Εάν δεν υπάρχει τίποτα άλλο εκτός από το όνομα του παλιού διακομιστή DNS, τότε χρησιμοποιώντας ειδικά βοηθητικά προγράμματα (dig, host ή nslookup) μπορείτε να ζητήσετε μια διεύθυνση IP με το όνομα τομέα του ιστότοπου, για παράδειγμα:
_dig @old_dns_server_name nameсайта
Μέθοδος 3: email
Η ιδέα της μεθόδου είναι να χρησιμοποιήσετε τη φόρμα σχολίων/εγγραφής (ή οποιαδήποτε άλλη μέθοδο που σας επιτρέπει να ξεκινήσετε την αποστολή μιας επιστολής) για να λάβετε μια επιστολή στο email σας και να ελέγξετε τις κεφαλίδες, ιδίως το πεδίο "Λήφθηκε". .
Η κεφαλίδα email περιέχει συχνά την πραγματική διεύθυνση IP της εγγραφής MX (διακομιστής ανταλλαγής email), η οποία μπορεί να αποτελέσει σημείο εκκίνησης για την εύρεση άλλων διακομιστών στον στόχο.
Εργαλεία αυτοματισμού αναζήτησης
Το λογισμικό αναζήτησης IP πίσω από την ασπίδα Cloudflare λειτουργεί συνήθως για τρεις εργασίες:
- Σάρωση για εσφαλμένη διαμόρφωση DNS χρησιμοποιώντας το DNSDumpster.com.
- Σάρωση βάσης δεδομένων Crimeflare.com.
- αναζητήστε υποτομείς χρησιμοποιώντας μια μέθοδο αναζήτησης λεξικού.
Η εύρεση υποτομέων είναι συχνά η πιο αποτελεσματική επιλογή από τις τρεις - ο κάτοχος του ιστότοπου θα μπορούσε να προστατεύσει τον κύριο ιστότοπο και να αφήσει τους υποτομείς να εκτελούνται απευθείας. Ο ευκολότερος τρόπος για να ελέγξετε είναι να χρησιμοποιήσετε .
Επιπλέον, υπάρχουν βοηθητικά προγράμματα που έχουν σχεδιαστεί μόνο για αναζήτηση υποτομέων με χρήση αναζήτησης λεξικού και αναζήτηση σε ανοιχτούς πόρους, για παράδειγμα: ή .
Πώς γίνεται η αναζήτηση στην πράξη
Για παράδειγμα, ας πάρουμε τον ιστότοπο seo.com χρησιμοποιώντας το Cloudflare, τον οποίο θα βρούμε χρησιμοποιώντας μια γνωστή υπηρεσία (σας επιτρέπει τόσο να προσδιορίσετε τις τεχνολογίες / μηχανές / CMS στις οποίες λειτουργεί ο ιστότοπος και αντίστροφα - να αναζητήσετε τοποθεσίες βάσει των τεχνολογιών που χρησιμοποιούνται).
Όταν κάνετε κλικ στην καρτέλα "Υπολογιστές IPv4", η υπηρεσία θα εμφανίσει μια λίστα κεντρικών υπολογιστών που χρησιμοποιούν το πιστοποιητικό. Για να βρείτε αυτό που χρειάζεστε, αναζητήστε μια διεύθυνση IP με ανοιχτή θύρα 443. Εάν ανακατευθύνει στον επιθυμητό ιστότοπο, τότε η εργασία ολοκληρώνεται, διαφορετικά πρέπει να προσθέσετε το όνομα τομέα του ιστότοπου στην κεφαλίδα "Host" του Αίτημα HTTP (για παράδειγμα, *curl -H "Host: site_name" *).
Στην περίπτωσή μας, μια αναζήτηση στη βάση δεδομένων Censys δεν έδωσε τίποτα, οπότε προχωράμε.
Θα πραγματοποιήσουμε αναζήτηση DNS μέσω της υπηρεσίας.
Αναζητώντας τις διευθύνσεις που αναφέρονται στις λίστες των διακομιστών DNS χρησιμοποιώντας το βοηθητικό πρόγραμμα CloudFail, βρίσκουμε πόρους που λειτουργούν. Το αποτέλεσμα θα είναι έτοιμο σε λίγα δευτερόλεπτα.
Χρησιμοποιώντας μόνο ανοιχτά δεδομένα και απλά εργαλεία, προσδιορίσαμε την πραγματική διεύθυνση IP του διακομιστή ιστού. Τα υπόλοιπα για τον επιθετικό είναι θέμα τεχνικής.
Ας επιστρέψουμε στην επιλογή ενός παρόχου φιλοξενίας. Για να αξιολογήσουμε το όφελος της υπηρεσίας για τον πελάτη, θα εξετάσουμε πιθανές μεθόδους προστασίας από επιθέσεις DDoS.
Πώς ένας πάροχος φιλοξενίας δημιουργεί την προστασία του
- Δικό σύστημα προστασίας με εξοπλισμό φιλτραρίσματος (Εικόνα 2).
Απαιτείται:
1.1. Εξοπλισμός φιλτραρίσματος κυκλοφορίας και άδειες λογισμικού.
1.2. Ειδικοί πλήρους απασχόλησης για την υποστήριξη και τη λειτουργία του.
1.3. Κανάλια πρόσβασης στο Διαδίκτυο που θα επαρκούν για τη λήψη επιθέσεων.
1.4. Σημαντικό εύρος ζώνης προπληρωμένου καναλιού για τη λήψη «άχρηστης» κίνησης.
Εικόνα 2. Το σύστημα ασφαλείας του ίδιου του παρόχου φιλοξενίας
Εάν θεωρήσουμε το περιγραφόμενο σύστημα ως μέσο προστασίας από σύγχρονες επιθέσεις DDoS εκατοντάδων Gbps, τότε ένα τέτοιο σύστημα θα κοστίσει πολλά χρήματα. Ο πάροχος φιλοξενίας έχει τέτοια προστασία; Είναι έτοιμος να πληρώσει για την κίνηση "άχρηστα"; Προφανώς, ένα τέτοιο οικονομικό μοντέλο είναι ασύμφορο για τον πάροχο εάν τα τιμολόγια δεν προβλέπουν πρόσθετες πληρωμές. - Reverse Proxy (μόνο για ιστότοπους και ορισμένες εφαρμογές). Παρά έναν αριθμό , ο προμηθευτής δεν εγγυάται προστασία από άμεσες επιθέσεις DDoS (βλ. Εικόνα 1). Οι πάροχοι φιλοξενίας συχνά προσφέρουν μια τέτοια λύση ως πανάκεια, μεταθέτοντας την ευθύνη στον πάροχο ασφάλειας.
- Υπηρεσίες ενός εξειδικευμένου παρόχου cloud (χρήση του δικτύου φιλτραρίσματος του) για προστασία από επιθέσεις DDoS σε όλα τα επίπεδα OSI (Εικόνα 3).
Εικόνα 3. Ολοκληρωμένη προστασία από επιθέσεις DDoS χρησιμοποιώντας έναν εξειδικευμένο πάροχο
προϋποθέτει βαθιά ολοκλήρωση και υψηλό επίπεδο τεχνικής επάρκειας και των δύο μερών. Η εξωτερική ανάθεση υπηρεσιών φιλτραρίσματος κίνησης επιτρέπει στον πάροχο φιλοξενίας να μειώσει την τιμή πρόσθετων υπηρεσιών για τον πελάτη.
Σημαντικό! Όσο πιο αναλυτικά περιγράφονται τα τεχνικά χαρακτηριστικά της παρεχόμενης υπηρεσίας, τόσο μεγαλύτερη είναι η πιθανότητα να απαιτηθεί η υλοποίησή τους ή η αποζημίωση σε περίπτωση διακοπής λειτουργίας.
Εκτός από τις τρεις κύριες μεθόδους, υπάρχουν πολλοί συνδυασμοί και συνδυασμοί. Κατά την επιλογή μιας φιλοξενίας, είναι σημαντικό για τον πελάτη να θυμάται ότι η απόφαση θα εξαρτηθεί όχι μόνο από το μέγεθος των εγγυημένων αποκλεισμένων επιθέσεων και την ακρίβεια του φιλτραρίσματος, αλλά και από την ταχύτητα απόκρισης, καθώς και από το περιεχόμενο πληροφοριών (κατάλογος αποκλεισμένων επιθέσεων, γενικές στατιστικές κ.λπ.).
Να θυμάστε ότι μόνο λίγοι πάροχοι φιλοξενίας στον κόσμο είναι σε θέση να παρέχουν ένα αποδεκτό επίπεδο προστασίας από μόνοι τους· σε άλλες περιπτώσεις, η συνεργασία και η τεχνική παιδεία βοηθούν. Έτσι, η κατανόηση των βασικών αρχών οργάνωσης της προστασίας από επιθέσεις DDoS θα επιτρέψει στον κάτοχο του ιστότοπου να μην υποκύψει σε κόλπα μάρκετινγκ και να μην αγοράσει ένα «γουρούνι στο σακί».
Πηγή: www.habr.com