"La ulo, kiu kreis nian retejon, jam instalis DDoS-protekton."
"Ni havas DDoS-protekton, kial la retejo malfunkciis?"
"Kiom da miloj Qrator volas?"
Por ĝuste respondi tiajn demandojn de la kliento/estro, estus bone scii, kio estas kaŝita malantaŭ la nomo "DDoS-protekto". Elekti sekurecajn servojn estas pli kiel elekti medikamenton de kuracisto ol elekti tablon ĉe IKEA.
Mi subtenas retejojn dum 11 jaroj, travivis centojn da atakoj kontraŭ la servoj, kiujn mi subtenas, kaj nun mi rakontos al vi iomete pri la interna funkciado de protekto.
Regulaj atakoj. 350k postulo totalo, 52k postulo legitima
La unuaj atakoj aperis preskaŭ samtempe kun Interreto. DDoS kiel fenomeno disvastiĝis ekde la malfruaj 2000-aj jaroj (kontrolu ).
Ekde proksimume 2015-2016, preskaŭ ĉiuj gastigaj provizantoj estas protektitaj kontraŭ DDoS-atakoj, same kiel plej elstaraj retejoj en konkurencivaj areoj (faru whois per IP de la retejoj eldorado.ru, leroymerlin.ru, tilda.ws, vi vidos la retojn). de protektantoj).
Se antaŭ 10-20 jaroj plej multaj atakoj povus esti forpuŝitaj sur la servilo mem (taksi la rekomendojn de la administranto de la sistemo Lenta.ru Maxim Moshkov de la 90-aj jaroj: ), sed nun protektotaskoj fariĝis pli malfacilaj.
Tipoj de DDoS-atakoj de la vidpunkto de elektado de protekta operatoro
Atakoj sur L3/L4-nivelo (laŭ OSI-modelo)
— UDP-inundo de botneto (multaj petoj estas senditaj rekte de infektitaj aparatoj al la atakita servo, la serviloj estas blokitaj per la kanalo);
— DNS/NTP/ktp-plifortigo (multaj petoj estas senditaj de infektitaj aparatoj al vundeblaj DNS/NTP/ktp, la adreso de la sendinto estas falsita, nubo de pakaĵetoj respondantaj al petoj inundas la kanalon de la atakata persono; jen kiel la plej amasaj atakoj estas faritaj sur la moderna Interreto);
— SYN / ACK inundo (multaj petoj por establi konekton estas senditaj al la atakitaj serviloj, la konektovico superfluas);
— atakoj kun paka fragmentiĝo, ping de morto, ping flood (Google it please);
- kaj tiel plu.
Ĉi tiuj atakoj celas "ŝtopi" la kanalon de la servilo aŭ "mortigi" ĝian kapablon akcepti novan trafikon.
Kvankam SYN/ACK-inundo kaj plifortigo estas tre malsamaj, multaj kompanioj batalas ilin same bone. Problemoj ekestas kun atakoj de la sekva grupo.
Atakoj sur L7 (aplika tavolo)
— http flod (se retejo aŭ iu http-api estas atakata);
— atako al vundeblaj areoj de la retejo (tiuj, kiuj ne havas kaŝmemoron, kiuj tre peze ŝarĝas la retejon, ktp.).
La celo estas igi la servilon "labori forte", procesi multajn "ŝajne realajn petojn" kaj resti sen rimedoj por veraj petoj.
Kvankam estas aliaj atakoj, ĉi tiuj estas la plej oftaj.
Seriozaj atakoj ĉe la L7-nivelo estas kreitaj en unika maniero por ĉiu projekto estanta atakita.
Kial 2 grupoj?
Ĉar estas multaj, kiuj scias kiel bone forpuŝi atakojn ĉe la nivelo L3 / L4, sed aŭ tute ne prenas protekton ĉe la aplika nivelo (L7), aŭ estas ankoraŭ pli malfortaj ol alternativoj en traktado de ili.
Kiu estas kiu en la DDoS-protekta merkato
(mia persona opinio)
Protekto ĉe L3/L4-nivelo
Por forpuŝi atakojn kun plifortigo ("blokado" de la servila kanalo), ekzistas sufiĉe larĝaj kanaloj (multaj el la protektoservoj konektas al la plej multaj el la grandaj spinaj provizantoj en Rusio kaj havas kanalojn kun teoria kapablo de pli ol 1 Tbit). Ne forgesu, ke tre maloftaj plifortigaj atakoj daŭras pli ol unu horon. Se vi estas Spamhaus kaj ĉiuj ne ŝatas vin, jes, ili eble provos fermi viajn kanalojn dum pluraj tagoj, eĉ kun la risko de la plua supervivo de la tutmonda botneto uzata. Se vi nur havas retan vendejon, eĉ se ĝi estas mvideo.ru, vi ne vidos 1 Tbit ene de kelkaj tagoj tre baldaŭ (mi esperas).
Por forpuŝi atakojn kun SYN/ACK-inundo, pakaĵeto, ktp., vi bezonas ekipaĵon aŭ programsistemojn por detekti kaj ĉesigi tiajn atakojn.
Multaj homoj produktas tiajn ekipaĵojn (Arbor, ekzistas solvoj de Cisco, Huawei, programaro-efektivigoj de Wanguard, ktp.), multaj spinaj operatoroj jam instalis ĝin kaj vendas DDoS-protektajn servojn (mi scias pri instalaĵoj de Rostelecom, Megafon, TTK, MTS). , fakte, ĉiuj ĉefaj provizantoj faras la samon kun gastigantoj kun propra protekto a-la OVH.com, Hetzner.de, mi mem renkontis protekton ĉe ihor.ru). Iuj kompanioj disvolvas siajn proprajn programajn solvojn (teknologioj kiel DPDK permesas vin prilabori dekojn da gigabitoj da trafiko sur unu fizika x86-maŝino).
El la konataj ludantoj, ĉiuj povas batali kontraŭ L3/L4 DDoS pli-malpli efike. Nun mi ne diros, kiu havas la pli grandan maksimuman kanalkapaciton (ĉi tio estas interna informo), sed kutime ĉi tio ne estas tiel grava, kaj la nura diferenco estas kiom rapide la protekto estas ekigita (tuj aŭ post kelkaj minutoj da projekta malfunkcio, kiel en Hetzner).
La demando estas kiel bone tio estas farita: plifortiga atako povas esti forpuŝita blokante trafikon de landoj kun la plej granda kvanto da malutila trafiko, aŭ nur vere nenecesa trafiko povas esti forĵetita.
Sed samtempe, laŭ mia sperto, ĉiuj seriozaj merkataj ludantoj senprobleme traktas ĉi tion: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (antaŭe SkyParkCDN), ServicePipe, Stormwall, Voxility, ktp.
Mi ne renkontis protekton de telefonistoj kiel Rostelecom, Megafon, TTK, Beeline; laŭ recenzoj de kolegoj, ili sufiĉe bone provizas ĉi tiujn servojn, sed ĝis nun la manko de sperto periode influas: foje vi bezonas ĝustigi ion per la subteno. de la protektanto.
Kelkaj funkciigistoj havas apartan servon "protekto kontraŭ atakoj sur la L3/L4-nivelo", aŭ "kanala protekto"; ĝi kostas multe malpli ol protekto sur ĉiuj niveloj.
Kial la provizanto de spino ne forpuŝas atakojn de centoj da Gbitoj, ĉar ĝi ne havas siajn proprajn kanalojn?La protekta operatoro povas konektiĝi al iu ajn el la ĉefaj provizantoj kaj forpuŝi atakojn "je sia kosto." Vi devos pagi por la kanalo, sed ĉiuj ĉi tiuj centoj da Gbitoj ne ĉiam estos uzataj; ekzistas ebloj por signife redukti la koston de kanaloj en ĉi tiu kazo, do la skemo restas realigebla.
Ĉi tiuj estas la raportoj, kiujn mi regule ricevis de pli alta nivelo L3/L4-protekto dum mi subtenas la sistemojn de la gastiga provizanto.
Protekto ĉe L7-nivelo (apliknivelo)
Atakoj ĉe la L7-nivelo (apliknivelo) kapablas forpuŝi unuojn konstante kaj efike.
Mi havas sufiĉe da reala sperto kun
— Qrator.net;
— DDoS-Gvardio;
- G-Core Labs;
— Kaspersky.
Ili pagas por ĉiu megabito de pura trafiko, megabito kostas ĉirkaŭ kelkmil rublojn. Se vi havas almenaŭ 100 Mbps de pura trafiko - ho. Protekto estos tre multekosta. Mi povas diri al vi en la sekvaj artikoloj kiel desegni aplikaĵojn por ŝpari multe pri la kapablo de sekurecaj kanaloj.
La vera "reĝo de la monteto" estas Qrator.net, la ceteraj restas malantaŭ ili. Qrator estas ĝis nun la solaj laŭ mia sperto, kiuj donas procenton de falsaj pozitivoj proksima al nulo, sed samtempe ili estas plurfoje pli multekostaj ol aliaj merkataj ludantoj.
Aliaj funkciigistoj ankaŭ provizas altkvalitan kaj stabilan protekton. Multaj servoj subtenataj de ni (inkluzive de tre konataj en la lando!) estas protektitaj kontraŭ DDoS-Guard, G-Core Labs, kaj estas sufiĉe kontentaj pri la rezultoj akiritaj.
Atakoj forpuŝitaj fare de Qrator
Mi ankaŭ havas sperton kun malgrandaj sekurecaj operatoroj kiel cloud-shield.ru, ddosa.net, miloj da ili. Mi certe ne rekomendos ĝin, ĉar... Mi ne havas multe da sperto, sed mi rakontos al vi pri la principoj de ilia laboro. Ilia kosto de protekto ofte estas 1-2 ordoj de grandeco pli malalta ol tiu de ĉefaj ludantoj. Kiel regulo, ili aĉetas partan protektoservon (L3/L4) de unu el la pli grandaj ludantoj + faras sian propran protekton kontraŭ atakoj sur pli altaj niveloj. Ĉi tio povas esti sufiĉe efika + vi povas akiri bonan servon por malpli da mono, sed ĉi tiuj ankoraŭ estas malgrandaj kompanioj kun malgranda dungitaro, bonvolu memori tion.
Kio estas la malfacileco forpuŝi atakojn ĉe la L7-nivelo?
Ĉiuj aplikaĵoj estas unikaj, kaj vi devas permesi trafikon utilan por ili kaj bloki malutilajn. Ne ĉiam eblas sendube forigi robotojn, do vi devas uzi multajn, vere MULTAJN gradojn da trafikpurigo.
Iam, la modulo nginx-testcookie sufiĉis (), kaj ankoraŭ sufiĉas por forpuŝi grandan nombron da atakoj. Kiam mi laboris en la gastiga industrio, L7-protekto baziĝis sur nginx-testcookie.
Bedaŭrinde, atakoj fariĝis pli malfacilaj. testcookie uzas botkontrolojn bazitajn en JS, kaj multaj modernaj robotoj povas sukcese pasi ilin.
Atakaj botnetoj ankaŭ estas unikaj, kaj la karakterizaĵoj de ĉiu granda botneto devas esti konsiderataj.
Plifortigo, rekta inundo de botreto, filtrado de trafiko el diversaj landoj (malsama filtrado por malsamaj landoj), SYN/ACK-inundo, paka fragmentiĝo, ICMP, http-inundo, dum ĉe la aplikaĵo/http nivelo vi povas elpensi senliman nombron da malsamaj atakoj.
Entute, je la nivelo de kanala protekto, speciala ekipaĵo por purigado de trafiko, speciala programaro, pliaj filtraj agordoj por ĉiu kliento povas esti dekoj kaj centoj da filtraj niveloj.
Por ĝuste administri ĉi tion kaj ĝuste agordi filtrajn agordojn por malsamaj uzantoj, vi bezonas multan sperton kaj kvalifikitan dungitaron. Eĉ granda operatoro, kiu decidis provizi protektajn servojn, ne povas "stulte ĵeti monon al la problemo": sperto devos esti akirita de mensogaj retejoj kaj falsaj pozitivoj pri legitima trafiko.
Ne ekzistas butono "forpuŝi DDoS" por la sekureca operatoro; ekzistas granda nombro da iloj, kaj vi devas scii kiel uzi ilin.
Kaj unu plia bonus ekzemplo.
Senprotekta servilo estis blokita de la gastiganto dum atako kun kapacito de 600 Mbit
("La perdo" de trafiko ne estas rimarkebla, ĉar nur 1 retejo estis atakita, ĝi estis provizore forigita de la servilo kaj la blokado estis forigita ene de unu horo).
La sama servilo estas protektita. La atakantoj "kapitulacis" post tago da forpuŝitaj atakoj. La atako mem ne estis la plej forta.
Atako kaj defendo de L3/L4 estas pli bagatelaj; ili plejparte dependas de la dikeco de la kanaloj, detekto kaj filtraj algoritmoj por atakoj.
L7-atakoj estas pli kompleksaj kaj originalaj; ili dependas de la atakata aplikaĵo, de la kapabloj kaj imago de la atakantoj. Protekto kontraŭ ili postulas multan scion kaj sperton, kaj la rezulto eble ne estas tuja kaj ne centprocente. Ĝis Google elpensis alian neŭralan reton por protekto.
fonto: www.habr.com