"Gure webgunea egin duen tipoak dagoeneko ezarri du DDoS babesa".
"DDoS babesa dugu, zergatik erori zen gunea?"
"Zenbat milaka nahi ditu Qratorrek?"
Bezeroaren/buruaren horrelako galderei behar bezala erantzuteko, ondo legoke "DDoS babesa" izenaren atzean zer ezkutatzen den jakitea. Segurtasun-zerbitzuak aukeratzea medikuarengandik sendagai bat aukeratzea IKEAko mahai bat aukeratzea baino gehiago da.
11 urte daramatzat webguneak onartzen, onartzen ditudan zerbitzuen aurkako ehunka erasoetatik bizirik atera naiz, eta orain babesaren barne funtzionamenduari buruz apur bat kontatuko dizut.
Eraso erregularrak. 350k eskaera guztira, 52k eskaera zilegi
Lehen erasoak Internetekin ia aldi berean agertu ziren. DDoS fenomeno gisa hedatu egin da 2000ko hamarkadaren amaieratik (begiratu ).
2015-2016 urteaz geroztik, ostalaritza-hornitzaile ia guztiak DDoS erasoetatik babestuta daude, lehiakortasun-eremuetako gune nabarmenenak bezala (egin whois IP arabera eldorado.ru, leroymerlin.ru, tilda.ws guneen sareak ikusiko dituzu). babes-operadoreak).
Duela 10-20 urte eraso gehienak zerbitzarian bertan uxatzen baziren (ebaluatu 90eko hamarkadako Lenta.ru sistema administratzailearen Maxim Moshkov-en gomendioak: ), baina orain babes-zereginak zaildu egin dira.
DDoS eraso motak babes-operadore bat aukeratzearen ikuspegitik
L3/L4 mailako erasoak (OSI ereduaren arabera)
— UDP uholdea botnet batetik (eskaera asko kutsatutako gailuetatik erasotutako zerbitzura zuzenean bidaltzen dira, zerbitzariak kanalarekin blokeatzen dira);
— DNS/NTP/etab anplifikazioa (eskaera asko infektatutako gailuetatik DNS/NTP/eta abarrera ahuletara bidaltzen dira, igorlearen helbidea faltsutzen da, eskaerei erantzuten dien pakete hodei batek erasotzen duen pertsonaren kanala gainditzen du; horrela da gehien. eraso masiboak egiten dira Internet modernoan);
— SYN / ACK uholdea (konexio bat ezartzeko eskaera asko bidaltzen dira erasotutako zerbitzarietara, konexio ilarak gainezka egiten du);
— paketeen zatiketa duten erasoak, heriotzaren ping, ping flood (Google it please);
- eta abar.
Eraso hauek zerbitzariaren kanala "blokeatzea" edo trafiko berria onartzeko duen gaitasuna "hiltzea" dute helburu.
SYN/ACK uholdea eta anplifikazioa oso desberdinak diren arren, enpresa askok berdin aurre egiten diete. Hurrengo taldearen erasoekin arazoak sortzen dira.
L7-ren aurkako erasoak (aplikazio-geruza)
— http flood (webgune bat edo http api batzuk erasotzen badira);
— guneko gune zaurgarrien aurkako erasoa (cacherik ez dutenei, gunea oso kargatzen dutenei, etab.).
Helburua zerbitzariak "gogor lan egitea", "itxuraz benetako eskaerak" asko prozesatzea eta benetako eskaerak egiteko baliabiderik gabe geratzea da.
Beste eraso batzuk egon arren, hauek dira ohikoenak.
L7 mailan eraso larriak modu berezian sortzen dira erasotzen den proiektu bakoitzeko.
Zergatik 2 talde?
Asko baita L3 / L4 mailan erasoak ondo uxatzen dakitenak, baina aplikazio mailan (L7) batere babesik hartzen ez dutenak edo alternatibak baino ahulagoak dira haiei aurre egiteko.
Nor da nor DDoS babesaren merkatuan
(nire iritzi pertsonala)
L3/L4 mailan babesa
Anplifikazioarekin erasoak uxatzeko ("blokeoa" zerbitzariaren kanala), nahikoa kanal zabal daude (babes-zerbitzu asko Errusiako bizkarrezurreko hornitzaile handi gehienekin konektatzen dira eta 1 Tbit baino gehiagoko gaitasun teorikoa duten kanalak dituzte). Ez ahaztu anplifikazio-eraso arraroek ordubete baino gehiago irauten dutela. Spamhaus bazara eta denek ez zaituzte gustatzen, bai, hainbat egunez zure kanalak ixten saiatuko dira, nahiz eta botnet globala gehiago bizirik irauteko arriskuan egon. Lineako denda bat besterik ez baduzu, mvideo.ru bada ere, egun gutxi barru ez duzu 1 Tbit ikusiko (espero dut).
SYN/ACK uholdearekin, paketeen zatiketarekin eta abarrekin erasoak uxatzeko, ekipoak edo software sistemak behar dituzu eraso horiek detektatzeko eta geldiarazteko.
Jende askok horrelako ekipoak ekoizten ditu (Arbor, Cisco, Huawei-ren irtenbideak, Wanguard-en software inplementazioak, etab.), bizkarrezurreko operadore askok dagoeneko instalatu eta DDoS babes-zerbitzuak saltzen dituzte (Rostelecom, Megafon, TTK, MTS-en instalazioak ezagutzen ditut. Izan ere, hornitzaile nagusi guztiek gauza bera egiten dute beren babesa duten ostalariekin a-la OVH.com, Hetzner.de, nik neuk babesa aurkitu nuen ihor.ru-n). Enpresa batzuk beren software irtenbide propioak garatzen ari dira (DPDK bezalako teknologiek hamarnaka gigabit trafiko prozesatzeko aukera ematen dute x86 makina fisiko batean).
Jokalari ezagunetatik, denek L3/L4 DDoS-i aurre egin diezaiekete modu eraginkorrean edo gutxiagoan. Orain ez dut esango zeinek duen kanalaren ahalmen handiena (hau barneko informazioa da), baina normalean hori ez da hain garrantzitsua, eta desberdintasun bakarra da babesa zenbateraino abiarazten den (berehala edo proiektuaren geldialdiaren minutu batzuk igaro ondoren, Hetzner-en bezala).
Kontua da zein ondo egiten den hori: anplifikazio-eraso bat uxatu daiteke trafiko kaltegarri gehien duten herrialdeetako trafikoa blokeatuz, edo benetan beharrezkoa ez den trafikoa soilik bazter daiteke.
Baina, aldi berean, nire esperientzian oinarrituta, merkatuko eragile serio guztiek arazorik gabe aurre egiten diote horri: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (lehen SkyParkCDN), ServicePipe, Stormwall, Voxility, etab.
Rostelecom, Megafon, TTK, Beeline bezalako operadoreen babesik ez dut aurkitu; lankideen iritzien arabera, zerbitzu hauek nahiko ondo eskaintzen dituzte, baina orain arte esperientzia ezak aldian-aldian eragiten du: batzuetan laguntzaren bidez zerbait moldatu behar duzu. babes-operadorearena.
Operadore batzuek "L3/L4 mailan erasoen aurkako babesa" edo "kanalen babesa" zerbitzu bereizia dute; maila guztietan babesa baino askoz gutxiago kostatzen da.
Zergatik ez ditu bizkarrezurra hornitzaileak ehunka Gbit-eko erasoak uxatzen, ez baitu bere kanalik?Babes-operadoreak edozein hornitzaile nagusirekin konektatu eta erasoak uxatu "bere kontura". Kanala ordaindu beharko duzu, baina ehunka Gbit horiek guztiak ez dira beti erabiliko; kasu honetan kanalen kostua nabarmen murrizteko aukerak daude, beraz, eskemak egingarria izaten jarraitzen du.
Hauek dira goi-mailako L3/L4 babestik jasotzen ditudan txostenak, ostalaritza-hornitzailearen sistemak onartzen ditudan bitartean.
Babesa L7 mailan (aplikazio maila)
L7 mailan (aplikazio mailan) erasoak unitateak koherentziaz eta eraginkortasunez uxatzeko gai dira.
Benetako esperientzia asko daukat
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Trafiko hutsaren megabit bakoitzeko kobratzen dute, megabit batek mila errublo inguru balio du. Gutxienez 100 Mbps trafiko hutsa baduzu - oh. Babesa oso garestia izango da. Hurrengo artikuluetan esan dezaket aplikazioak nola diseinatzen diren segurtasun kanalen gaitasunean asko aurrezteko.
Benetako "muinoko erregea" Qrator.net da, gainerakoak atzean geratzen dira. Qrator dira orain arte nire esperientzian positibo faltsuen ehuneko bat zerotik gertu ematen duten bakarrak, baina, aldi berean, merkatuko beste eragile batzuek baino hainbat aldiz garestiagoak dira.
Beste operadoreek ere kalitate handiko eta babes egonkorra eskaintzen dute. Guk onartzen ditugun zerbitzu asko (herrialde oso ezagunak barne!) DDoS-Guard, G-Core Labs-etatik babestuta daude eta nahiko pozik daude lortutako emaitzekin.
Qratorrek uxatutako erasoak
Segurtasun operadore txikiekin ere esperientzia dut cloud-shield.ru, ddosa.net, horietako milaka. Zalantzarik gabe, ez dut gomendatuko, zeren... Ez dut esperientzia handirik, baina haien lanaren printzipioak kontatuko dizkizut. Haien babes-kostua sarritan 1-2 magnitude maila baxuagoa da jokalari nagusiena baino. Oro har, babes partziala (L3/L4) jokalari handienetako bati erosten diote + maila altuagoetako erasoen aurkako babesa egiten dute. Hau nahiko eraginkorra izan daiteke + zerbitzu ona lor dezakezu diru gutxiagoren truke, baina langile txikia duten enpresa txikiak dira oraindik, mesedez, kontuan izan hori.
Zein da L7 mailan erasoak uxatzeko zailtasunak?
Aplikazio guztiak bakarrak dira, eta haientzat erabilgarria den trafikoa baimendu eta kaltegarriak blokeatu behar dituzu. Ez da beti posible bot-ak zalantzarik gabe kentzea, beraz, trafikoaren arazketa-gradu asko eta asko erabili behar dituzu.
Bazen behin, nginx-testcookie modulua nahikoa zen (), eta oraindik nahikoa da eraso ugari uxatzeko. Ostalaritzaren industrian lan egin nuenean, L7 babesa nginx-testcookie-n oinarritzen zen.
Zoritxarrez, erasoak zaildu egin dira. testcookie-ek JSn oinarritutako bot egiaztapenak erabiltzen ditu eta bot moderno askok arrakastaz gainditu ditzakete.
Erasoko botnetak ere bereziak dira, eta botnet handi bakoitzaren ezaugarriak kontuan hartu behar dira.
Anplifikazioa, botnet batetik zuzeneko uholdea, herrialde ezberdinetako trafikoa iragaztea (herrialde ezberdinetarako iragazketa desberdinak), SYN/ACK uholdea, paketeen zatiketa, ICMP, http uholdea, aplikazio/http mailan, berriz, kopuru mugagabea sor dezakezu. eraso desberdinak.
Guztira, kanalen babes mailan, trafikoa garbitzeko ekipamendu espezializatua, software berezia, bezero bakoitzarentzako iragazketa-ezarpen osagarriak hamarnaka eta ehunka iragazketa-maila izan daitezke.
Hau behar bezala kudeatzeko eta erabiltzaile ezberdinentzako iragazketa-ezarpenak behar bezala doitzeko, esperientzia handia eta langile kualifikatua behar dituzu. Babes-zerbitzuak ematea erabaki duen operadore handi batek ere ezin du "arazoari dirua ergelki bota": esperientzia gezurrezko guneetatik eta legezko trafikoan positibo faltsuetatik lortu beharko da.
Segurtasun-operadorearentzat ez dago "DDoS uxatzeko" botoirik; tresna ugari daude eta horiek erabiltzen jakin behar duzu.
Eta bonus adibide bat gehiago.
Babesik gabeko zerbitzari bat blokeatu zuen ostalariak 600 Mbit-eko gaitasuna zuen eraso batean
("Trafikoaren galera" ez da nabaritzen, gune bakarrari eraso egin baitiote, zerbitzaritik aldi baterako kendu eta ordubeteko epean blokeoa kendu zen).
Zerbitzari bera babestuta dago. Erasotzaileek "errenditu" egin zuten erasoak atzera botatako egun baten ostean. Erasoa bera ez zen indartsuena izan.
L3/L4-ren erasoa eta defentsa hutsalagoak dira; batez ere kanalen lodieraren, detekzio- eta erasoen iragazketa-algoritmoen araberakoak dira.
L7 erasoak konplexuagoak eta originalagoak dira; erasotzen den aplikazioaren, erasotzaileen gaitasunen eta irudimenaren araberakoak dira. Horien aurkako babesak ezagutza eta esperientzia handia eskatzen du, eta baliteke emaitza ez izatea berehalakoa eta ez ehuneko ehunean. Google-k babesteko beste sare neuronal bat sortu zuen arte.
Iturria: www.habr.com