"El tipo que creó nuestro sitio web ya configuró la protección DDoS".
"Tenemos protección DDoS, ¿por qué se cayó el sitio?"
"¿Cuántos miles quiere Qrator?"
Para responder adecuadamente a estas preguntas del cliente/jefe, sería bueno saber qué se esconde detrás del nombre "protección DDoS". Elegir servicios de seguridad se parece más a elegir un medicamento de un médico que elegir una mesa en IKEA.
He brindado soporte a sitios web durante 11 años, he sobrevivido a cientos de ataques a los servicios que soporte y ahora les contaré un poco sobre el funcionamiento interno de la protección.
Ataques regulares. 350 solicitudes en total, 52 solicitudes legítimas
Los primeros ataques aparecieron casi simultáneamente con Internet. DDoS como fenómeno se ha generalizado desde finales de la década de 2000 (consulte ).
Desde aproximadamente 2015-2016, casi todos los proveedores de alojamiento han estado protegidos contra ataques DDoS, al igual que los sitios más destacados en áreas competitivas (haga whois por IP de los sitios eldorado.ru, leroymerlin.ru, tilda.ws, verá las redes de los operadores de protección).
Si hace 10 o 20 años la mayoría de los ataques podían repelerse en el propio servidor (evalúe las recomendaciones del administrador del sistema Lenta.ru, Maxim Moshkov, de los años 90: ), pero ahora las tareas de protección se han vuelto más difíciles.
Tipos de ataques DDoS desde el punto de vista de la elección de un operador de protección
Ataques a nivel L3/L4 (según modelo OSI)
— Inundación UDP de una botnet (muchas solicitudes se envían directamente desde los dispositivos infectados al servicio atacado, los servidores se bloquean con el canal);
— Amplificación DNS/NTP/etc (muchas solicitudes se envían desde dispositivos infectados a DNS/NTP/etc vulnerables, la dirección del remitente se falsifica, una nube de paquetes que responden a las solicitudes inunda el canal de la persona atacada; así es como la mayoría se llevan a cabo ataques masivos en la Internet moderna);
— Inundación SYN / ACK (muchas solicitudes para establecer una conexión se envían a los servidores atacados, la cola de conexión se desborda);
— ataques con fragmentación de paquetes, ping de muerte, ping de inundación (búsquelo en Google, por favor);
- etcétera.
Estos ataques tienen como objetivo "obstruir" el canal del servidor o "matar" su capacidad para aceptar tráfico nuevo.
Aunque la inundación y amplificación SYN/ACK son muy diferentes, muchas empresas las combaten igualmente bien. Los problemas surgen con los ataques del siguiente grupo.
Ataques a L7 (capa de aplicación)
— inundación de http (si se ataca un sitio web o alguna API de http);
— un ataque a áreas vulnerables del sitio (aquellas que no tienen caché, que cargan mucho el sitio, etc.).
El objetivo es hacer que el servidor "trabaje duro", procese muchas "solicitudes aparentemente reales" y se quede sin recursos para solicitudes reales.
Aunque existen otros ataques, estos son los más comunes.
Los ataques graves en el nivel L7 se crean de forma única para cada proyecto atacado.
¿Por qué 2 grupos?
Porque hay muchos que saben cómo repeler bien los ataques en el nivel L3 / L4, pero no protegen en absoluto el nivel de aplicación (L7) o siguen siendo más débiles que las alternativas para combatirlos.
Quién es quién en el mercado de protección DDoS
(Mi opinión personal)
Protección a nivel L3/L4
Para repeler ataques con amplificación (“bloqueo” del canal del servidor), existen canales bastante amplios (muchos de los servicios de protección se conectan a la mayoría de los grandes proveedores de backbone en Rusia y tienen canales con una capacidad teórica de más de 1 Tbit). No olvide que los ataques de amplificación, muy raros, duran más de una hora. Si eres Spamhaus y no agradas a todo el mundo, sí, es posible que intenten cerrar tus canales durante varios días, incluso a riesgo de que la botnet global que se utiliza sobreviva aún más. Si solo tienes una tienda en línea, incluso si es mvideo.ru, no verás 1 Tbit dentro de unos días muy pronto (espero).
Para repeler ataques con inundación SYN/ACK, fragmentación de paquetes, etc., necesita equipos o sistemas de software para detectar y detener dichos ataques.
Mucha gente produce este tipo de equipos (Arbor, hay soluciones de Cisco, Huawei, implementaciones de software de Wanguard, etc.), muchos operadores troncales ya los han instalado y venden servicios de protección DDoS (conozco instalaciones de Rostelecom, Megafon, TTK, MTS De hecho, todos los proveedores importantes hacen lo mismo con los proveedores de alojamiento con su propia protección (como OVH.com, Hetzner.de, yo mismo encontré protección en ihor.ru). Algunas empresas están desarrollando sus propias soluciones de software (tecnologías como DPDK le permiten procesar decenas de gigabits de tráfico en una máquina física x86).
De los jugadores más conocidos, todos pueden luchar contra DDoS L3/L4 de forma más o menos eficaz. Ahora bien, no diré quién tiene la mayor capacidad máxima de canal (esta es información privilegiada), pero normalmente esto no es tan importante y la única diferencia es la rapidez con la que se activa la protección (instantáneamente o después de unos minutos de inactividad del proyecto). como en Hetzner).
La pregunta es qué tan bien se hace esto: se puede repeler un ataque de amplificación bloqueando el tráfico de los países con la mayor cantidad de tráfico dañino, o solo se puede descartar el tráfico verdaderamente innecesario.
Pero al mismo tiempo, según mi experiencia, todos los actores serios del mercado hacen frente a esto sin problemas: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (anteriormente SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
No encontré protección de operadores como Rostelecom, Megafon, TTK, Beeline; según las revisiones de mis colegas, brindan estos servicios bastante bien, pero hasta ahora la falta de experiencia afecta periódicamente: a veces es necesario modificar algo a través del soporte. del operador de protección.
Algunos operadores tienen un servicio separado de “protección contra ataques en el nivel L3/L4” o “protección de canal”, que cuesta mucho menos que la protección en todos los niveles.
¿Por qué el proveedor de backbone no resiste ataques de cientos de Gbits, ya que no tiene canales propios?El operador de protección puede conectarse a cualquiera de los principales proveedores y repeler ataques "a su costa". Tendrás que pagar por el canal, pero no siempre se utilizarán todos estos cientos de Gbits; en este caso, existen opciones para reducir significativamente el coste de los canales, por lo que el esquema sigue siendo viable.
Estos son los informes que recibí periódicamente de la protección L3/L4 de nivel superior mientras brindaba soporte a los sistemas del proveedor de hosting.
Protección a nivel L7 (nivel de aplicación)
Los ataques en el nivel L7 (nivel de aplicación) pueden repeler unidades de manera consistente y eficiente.
Tengo mucha experiencia real con
—Qrator.net;
— Guardia DDoS;
- Laboratorios G-Core;
—Kaspersky.
Cobran por cada megabit de tráfico puro, un megabit cuesta alrededor de varios miles de rublos. Si tiene al menos 100 Mbps de tráfico puro, oh. La protección será muy cara. Puedo contarte en los siguientes artículos cómo diseñar aplicaciones para ahorrar mucho en la capacidad de los canales de seguridad.
El verdadero "rey de la colina" es Qrator.net, el resto va detrás de él. Qrator son hasta ahora los únicos, según mi experiencia, que dan un porcentaje de falsos positivos cercano a cero, pero al mismo tiempo son varias veces más caros que otros actores del mercado.
Otros operadores también brindan protección estable y de alta calidad. Muchos de los servicios que apoyamos (¡incluidos los muy conocidos en el país!) están protegidos contra DDoS-Guard, G-Core Labs y están bastante satisfechos con los resultados obtenidos.
Ataques repelidos por Qrator
También tengo experiencia con pequeños operadores de seguridad como cloud-shield.ru, ddosa.net, miles de ellos. Definitivamente no lo recomendaré, porque... No tengo mucha experiencia, pero te contaré los principios de su trabajo. El costo de su protección suele ser entre uno y dos órdenes de magnitud menor que el de los principales actores. Como regla general, compran un servicio de protección parcial (L1/L2) de uno de los jugadores más grandes y realizan su propia protección contra ataques en niveles superiores. Esto puede ser bastante efectivo y puede obtener un buen servicio por menos dinero, pero todavía son empresas pequeñas con poco personal, téngalo en cuenta.
¿Cuál es la dificultad de repeler ataques en el nivel L7?
Todas las aplicaciones son únicas y es necesario permitir el tráfico que les resulte útil y bloquear las dañinas. No siempre es posible eliminar inequívocamente los bots, por lo que hay que utilizar muchos, realmente MUCHOS grados de purificación del tráfico.
Érase una vez, el módulo nginx-testcookie era suficiente (), y todavía es suficiente para repeler una gran cantidad de ataques. Cuando trabajaba en la industria del hosting, la protección L7 se basaba en nginx-testcookie.
Lamentablemente, los ataques se han vuelto más difíciles. testcookie utiliza comprobaciones de bots basadas en JS y muchos bots modernos pueden pasarlas con éxito.
Las botnets de ataque también son únicas y se deben tener en cuenta las características de cada botnet grande.
Amplificación, inundación directa desde una botnet, filtrado de tráfico de diferentes países (filtrado diferente para diferentes países), inundación SYN/ACK, fragmentación de paquetes, ICMP, inundación http, mientras que en el nivel de aplicación/http puede generar un número ilimitado de diferentes ataques.
En total, a nivel de protección de canales, equipos especializados para limpiar el tráfico, software especial y configuraciones de filtrado adicionales para cada cliente, puede haber decenas y cientos de niveles de filtrado.
Para administrar esto adecuadamente y ajustar correctamente la configuración de filtrado para diferentes usuarios, necesita mucha experiencia y personal calificado. Incluso un gran operador que ha decidido ofrecer servicios de protección no puede “tirar dinero estúpidamente al problema”: habrá que adquirir experiencia con sitios mentirosos y falsos positivos en el tráfico legítimo.
No existe un botón de “repeler DDoS” para el operador de seguridad; hay una gran cantidad de herramientas y es necesario saber cómo utilizarlas.
Y un ejemplo extra más.
El proveedor de alojamiento bloqueó un servidor desprotegido durante un ataque con una capacidad de 600 Mbit
("La pérdida" de tráfico no se nota, porque solo 1 sitio fue atacado, se eliminó temporalmente del servidor y el bloqueo se levantó en una hora).
El mismo servidor está protegido. Los atacantes “se rindieron” después de un día de ataques rechazados. El ataque en sí no fue el más fuerte.
El ataque y la defensa de L3/L4 son más triviales; dependen principalmente del grosor de los canales, de los algoritmos de detección y filtrado de ataques.
Los ataques L7 son más complejos y originales; dependen de la aplicación atacada, las capacidades y la imaginación de los atacantes. La protección contra ellos requiere mucho conocimiento y experiencia, y el resultado puede no ser inmediato ni cien por cien. Hasta que a Google se le ocurrió otra red neuronal para protegerse.
Fuente: habr.com