"Meie veebisaidi teinud mees on juba DDoS-kaitse seadistanud."
"Meil on DDoS-kaitse, miks sait alla läks?"
"Mitu tuhat Qrator tahab?"
Et sellistele kliendi/ülemuse küsimustele korralikult vastata, oleks tore teada, mis peitub nimetuse “DDoS protection” taga. Turvateenuste valimine on rohkem nagu arstilt ravimi valimine kui IKEA laua valimine.
Olen veebisaite toetanud 11 aastat, üle elanud sadu rünnakuid toetatavatele teenustele ja nüüd räägin teile veidi kaitse sisemisest toimimisest.
Regulaarsed rünnakud. 350 52 req kokku, XNUMX XNUMX req legitiimne
Esimesed rünnakud ilmnesid peaaegu samaaegselt Internetiga. DDoS kui nähtus on alates 2000. aastate lõpust laialt levinud (vaadake ).
Umbes aastatel 2015–2016 on peaaegu kõik hostimise pakkujad kaitstud DDoS-i rünnakute eest, nagu ka kõige silmapaistvamad saidid konkurentsipiirkondades (saitide eldorado.ru, leroymerlin.ru, tilda.ws IP järgi, näete võrke kaitse operaatorid).
Kui 10-20 aastat tagasi suudeti enamik rünnakuid tõrjuda serveris endas (hinnake Lenta.ru süsteemiadministraatori Maxim Moshkovi soovitusi 90ndatest): ), kuid nüüd on kaitseülesanded muutunud raskemaks.
DDoS rünnakute tüübid kaitseoperaatori valiku seisukohalt
Rünnakud L3/L4 tasemel (vastavalt OSI mudelile)
— UDP üleujutus botnetist (paljud päringud saadetakse nakatunud seadmetest otse rünnatavale teenusele, serverid on kanaliga blokeeritud);
— DNS/NTP/jne võimendus (nakatunud seadmetest saadetakse palju päringuid haavatavasse DNS/NTP/etc, saatja aadress on võltsitud, päringutele vastav pakettide pilv ujutab rünnatava kanali üle; nii saab kõige rohkem kaasaegses Internetis viiakse läbi massilisi rünnakuid);
— SYN / ACK üleujutus (rünnatud serveritele saadetakse palju ühenduse loomise taotlusi, ühenduse järjekord täitub);
— pakettide killustatuse, surmapingi, pingi üleujutuse rünnakud (Google, palun);
- ja nii edasi.
Nende rünnakute eesmärk on "ummistada" serveri kanal või "tappa" selle võime uut liiklust vastu võtta.
Kuigi SYN/ACKi üleujutus ja võimendus on väga erinevad, võitlevad paljud ettevõtted nendega võrdselt hästi. Probleemid tekivad järgmise rühma rünnakutega.
Rünnakud L7 (rakenduskiht) vastu
— http üleujutus (kui rünnatakse veebisaiti või mõnda http api-d);
— rünnak saidi haavatavatele aladele (need, millel pole vahemälu, mis koormavad saiti väga tugevalt jne).
Eesmärk on panna server "rasvalt tööle", töötlema palju "näiliselt tõelisi päringuid" ja jääma reaalsete päringute jaoks ressurssideta.
Kuigi on ka teisi rünnakuid, on need kõige levinumad.
Tõsised rünnakud L7 tasemel luuakse iga rünnatava projekti jaoks ainulaadsel viisil.
Miks 2 rühma?
Sest palju on neid, kes oskavad L3 / L4 tasemel rünnakuid hästi tõrjuda, aga kas ei võta üldse rakendustasandil (L7) kaitset või on nendega toimetulemisel siiski alternatiividest nõrgemad.
Kes on kes DDoS-kaitse turul
(minu isiklik arvamus)
Kaitse L3/L4 tasemel
Rünnakute võimendusega tõrjumiseks (serverikanali blokeerimine) on piisavalt laiu kanaleid (paljud kaitseteenused ühenduvad enamiku Venemaa suurte magistraalvõrgu pakkujatega ja neil on kanalid, mille teoreetiline võimsus on üle 1 Tbit). Ärge unustage, et väga haruldased võimendusrünnakud kestavad kauem kui tund. Kui olete Spamhaus ja te ei meeldi kõigile, jah, võivad nad proovida teie kanaleid mitmeks päevaks sulgeda, isegi kui on oht, et globaalne botneti kasutamine jätkab ellujäämist. Kui teil on lihtsalt veebipood, isegi kui see on mvideo.ru, ei näe te mõne päeva jooksul 1 Tbit (ma loodan).
SYN/ACK-i üleujutuse, pakettide killustatuse jms rünnakute tõrjumiseks vajate selliste rünnakute tuvastamiseks ja peatamiseks seadmeid või tarkvarasüsteeme.
Paljud inimesed toodavad selliseid seadmeid (Arbor, on Cisco, Huawei lahendused, Wanguardi tarkvara juurutused jne), paljud magistraaloperaatorid on selle juba installinud ja müüvad DDoS-i kaitseteenuseid (tean Rostelecomi, Megafoni, TTK, MTS-i paigaldusi , tegelikult teevad kõik suuremad pakkujad sama oma kaitsega hostitega a-la OVH.com, Hetzner.de, ise kohtasin kaitset saidil ihor.ru). Mõned ettevõtted arendavad oma tarkvaralahendusi (tehnoloogiad nagu DPDK võimaldavad töödelda kümneid gigabitte liiklust ühes füüsilises x86 masinas).
Tuntud mängijatest suudavad L3/L4 DDoS-i vastu enam-vähem tõhusalt võidelda kõik. Nüüd ma ei ütle, kellel on suurem maksimaalne kanali mahutavus (see on siseteave), kuid tavaliselt pole see nii oluline ja ainus erinevus on see, kui kiiresti kaitse rakendub (hetkeliselt või mõne minuti pärast projekti seisakuid, nagu Hetzneris).
Küsimus on selles, kui hästi seda tehakse: võimendusrünnakut saab tõrjuda, blokeerides liikluse kõige suurema kahjuliku liiklusega riikidest või loobuda ainult tõeliselt ebavajalikust liiklusest.
Kuid samas saavad minu kogemuse põhjal sellega probleemideta hakkama kõik tõsised turuosalised: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (endine SkyParkCDN), ServicePipe, Stormwall, Voxility jne.
Ma ei ole kohanud kaitset sellistelt operaatoritelt nagu Rostelecom, Megafon, TTK, Beeline; kolleegide arvustuste kohaselt pakuvad nad neid teenuseid üsna hästi, kuid siiani mõjutab perioodiliselt kogemuste puudumine: mõnikord peate toe kaudu midagi muutma. kaitse operaatorilt.
Mõnel operaatoril on eraldi teenus "kaitse rünnakute eest L3/L4 tasemel" või "kanalikaitse"; see maksab palju vähem kui kaitse kõigil tasanditel.
Miks ei tõrju selgroog pakkuja sadade Gbit-ide rünnakuid, kuna tal pole oma kanaleid?Kaitseoperaator saab ühenduse luua mis tahes suuremate pakkujatega ja tõrjuda rünnakuid "oma kulul". Kanali eest peate maksma, kuid kõiki neid sadu Gbiteid ei kasutata alati ära; sel juhul on võimalusi kanalite maksumuse oluliseks vähendamiseks, nii et skeem jääb toimivaks.
Need on aruanded, mida sain regulaarselt kõrgema taseme L3/L4 kaitsest, toetades samal ajal hostiteenuse pakkuja süsteeme.
Kaitse L7 tasemel (rakenduse tase)
Rünnakud L7 tasemel (rakenduse tasemel) suudavad üksusi tõrjuda järjekindlalt ja tõhusalt.
Mul on päris palju reaalset kogemust
- Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Nad võtavad tasu iga puhta liikluse megabiti eest, megabit maksab umbes mitu tuhat rubla. Kui teil on puhast liiklust vähemalt 100 Mbps - oh. Kaitse läheb väga kalliks. Järgmistes artiklites võin teile rääkida, kuidas rakendusi kujundada, et säästa palju turvakanalite mahtu.
Tõeline “mäe kuningas” on Qrator.net, ülejäänud jäävad neist maha. Qrator on minu kogemuse põhjal seni ainsad, kes annavad valepositiivsete protsendi nullilähedase, kuid samas on need kordades kallimad kui teised turuosalised.
Teised operaatorid pakuvad samuti kvaliteetset ja stabiilset kaitset. Paljud meie poolt toetatavad teenused (sh riigis väga tuntud!) on kaitstud DDoS-Guardi, G-Core Labsi eest ning on saadud tulemustega üsna rahul.
Qratori tõrjutud rünnakud
Mul on kogemusi ka väikeste turvaoperaatoritega nagu cloud-shield.ru, ddosa.net, tuhandetega. Kindlasti ei soovita, sest... Mul pole palju kogemusi, kuid ma räägin teile nende töö põhimõtetest. Nende kaitsekulud on sageli 1-2 suurusjärku madalamad kui suurtel mängijatel. Reeglina ostavad nad mõnelt suuremalt mängijalt osalise kaitseteenuse (L3/L4) + teevad ise kaitse kõrgema taseme rünnakute vastu. See võib olla üsna tõhus + võite saada hea teeninduse väiksema raha eest, kuid need on siiski väikesed ettevõtted, kus on vähe töötajaid, pidage seda meeles.
Mis on L7 tasemel rünnakute tõrjumise raskus?
Kõik rakendused on ainulaadsed ja peate lubama neile kasuliku liikluse ja blokeerima kahjulikud. Alati pole võimalik roboteid ühemõtteliselt välja rookida, seega peate kasutama palju, tõesti PALJU liikluse puhastusastmeid.
Kunagi piisas nginx-testcookie moodulist () ja sellest piisab suure hulga rünnakute tõrjumiseks. Kui töötasin hostimistööstuses, põhines L7 kaitse nginx-testcookie'l.
Kahjuks on rünnakud muutunud raskemaks. testcookie kasutab JS-põhiseid robotite kontrolle ja paljud kaasaegsed robotid suudavad need edukalt läbida.
Ka ründebotnetid on unikaalsed ning iga suure botneti omadustega tuleb arvestada.
Võimendamine, otseüleujutus botnetist, liikluse filtreerimine erinevatest riikidest (eri riikide jaoks erinev filtreerimine), SYN/ACK üleujutus, pakettide killustatus, ICMP, http üleujutus, samas kui rakenduse/http tasemel saate välja mõelda piiramatu arvu erinevad rünnakud.
Kokku võib kanalikaitse, liikluse puhastamise spetsialiseeritud seadmete, spetsiaalse tarkvara, iga kliendi jaoks täiendavate filtreerimisseadete tasemel olla kümneid ja sadu filtreerimistasemeid.
Selle õigeks haldamiseks ja erinevate kasutajate filtreerimisseadete õigeks häälestamiseks vajate palju kogemusi ja kvalifitseeritud töötajaid. Isegi suur operaator, kes on otsustanud pakkuda kaitseteenuseid, ei saa "probleemile rumalalt raha visata": tuleb hankida kogemusi valetavatelt saitidelt ja valepositiivsetelt seadusliku liikluse kohta.
Turvaoperaatoril puudub DDoS-i tõrjumise nupp, tööriistu on palju ja neid tuleb osata kasutada.
Ja veel üks boonusnäide.
Hostija blokeeris kaitsmata serveri 600 Mbit võimsusega rünnaku ajal
(Liikluse “kadu” pole märgatav, sest rünnati vaid 1 saiti, see eemaldati ajutiselt serverist ja blokeering tühistati tunni jooksul).
Sama server on kaitstud. Ründajad "alistusid" pärast päeva tõrjutud rünnakuid. Rünnak ise polnud just kõige tugevam.
L3/L4 rünnak ja kaitsmine on triviaalsemad, need sõltuvad peamiselt kanalite paksusest, rünnakute tuvastamise ja filtreerimise algoritmidest.
L7 rünnakud on keerukamad ja originaalsemad; need sõltuvad rünnatavast rakendusest, ründajate võimalustest ja kujutlusvõimest. Nende vastu kaitsmine nõuab palju teadmisi ja kogemusi ning tulemus ei pruugi olla kohene ja mitte sada protsenti. Kuni Google tuli kaitseks välja teise närvivõrguga.
Allikas: www.habr.com