ProHoster > وبلاگ > اداره > در بازار حفاظت DDoS چیست و چه کسی چه کسی است

در بازار حفاظت DDoS چیست و چه کسی چه کسی است

"مردی که وب سایت ما را ساخته است قبلاً محافظت DDoS را راه اندازی کرده است."
"ما حفاظت DDoS داریم، چرا سایت از کار افتاد؟"
«قراتور چند هزار می‌خواهد؟»

به منظور پاسخ صحیح به چنین سوالاتی از سوی مشتری/رئیس، بهتر است بدانیم پشت نام "حفاظت DDoS" چه چیزی پنهان شده است. انتخاب خدمات امنیتی بیشتر شبیه انتخاب دارو از پزشک است تا انتخاب میز در IKEA.

من 11 سال است که از وب سایت ها پشتیبانی می کنم، از صدها حمله به سرویس هایی که پشتیبانی می کنم جان سالم به در برده ام، و اکنون کمی در مورد عملکرد داخلی حفاظت به شما می گویم.
در بازار حفاظت DDoS چیست و چه کسی چه کسی است
حملات منظم 350k req کل، 52k req مشروع

اولین حملات تقریباً همزمان با اینترنت ظاهر شد. DDoS به عنوان یک پدیده از اواخر دهه 2000 گسترده شده است (مراجعه کنید www.cloudflare.com/learning/ddos/famous-ddos-attacks).
از حدود سال‌های 2015 تا 2016، تقریباً تمام ارائه‌دهندگان میزبانی وب از حملات DDoS محافظت شده‌اند، همانطور که اکثر سایت‌های برجسته در حوزه‌های رقابتی (با IP سایت‌های eldorado.ru، leroymerlin.ru، tilda.ws انجام دهید، شبکه‌ها را خواهید دید. اپراتورهای حفاظتی).

اگر 10-20 سال پیش می شد اکثر حملات را روی خود سرور دفع کرد (توصیه های مدیر سیستم Lenta.ru ماکسیم موشکوف از دهه 90 را ارزیابی کنید: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10، اما اکنون وظایف حفاظتی دشوارتر شده است.

انواع حملات DDoS از دیدگاه انتخاب اپراتور حفاظتی

حملات در سطح L3/L4 (طبق مدل OSI)

- سیل UDP از یک بات نت (بسیاری از درخواست ها مستقیماً از دستگاه های آلوده به سرویس مورد حمله ارسال می شوند، سرورها با کانال مسدود می شوند).
- تقویت DNS/NTP/etc (بسیاری از درخواست‌ها از دستگاه‌های آلوده به DNS/NTP/و غیره آسیب‌پذیر ارسال می‌شوند، آدرس فرستنده جعلی است، ابری از بسته‌ها که به درخواست‌ها پاسخ می‌دهند کانال شخصی را که مورد حمله قرار می‌گیرد سرازیر می‌کند؛ به این ترتیب بیشترین حملات گسترده در اینترنت مدرن انجام می شود).
- سیل SYN / ACK (بسیاری از درخواست ها برای ایجاد اتصال به سرورهای مورد حمله ارسال می شود، صف اتصال سرریز می شود).
- حملات با تکه تکه شدن بسته، پینگ مرگ، پینگ سیل (لطفاً آن را در گوگل جستجو کنید).
- و غیره

هدف این حملات "انسداد" کانال سرور یا "کشتن" توانایی آن برای پذیرش ترافیک جدید است.
اگرچه سیل و تقویت SYN/ACK بسیار متفاوت است، بسیاری از شرکت ها به همان اندازه با آنها مبارزه می کنند. مشکلات با حملات گروه بعدی ایجاد می شود.

حملات به L7 (لایه برنامه)

- سیل http (اگر یک وب سایت یا برخی از http api مورد حمله قرار گرفته باشد).
- حمله به مناطق آسیب پذیر سایت (آنهایی که کش ندارند، سایت را به شدت بارگذاری می کنند و غیره).

هدف این است که سرور «سخت کار کند»، بسیاری از «درخواست‌های به ظاهر واقعی» را پردازش کند و بدون منابع برای درخواست‌های واقعی باقی بماند.

اگرچه حملات دیگری نیز وجود دارد، اما اینها شایع ترین آنها هستند.

حملات جدی در سطح L7 به روشی منحصر به فرد برای هر پروژه ای که مورد حمله قرار می گیرد ایجاد می شود.

چرا 2 گروه؟
زیرا بسیاری هستند که می دانند چگونه حملات را در سطح L3 / L4 به خوبی دفع کنند، اما یا به هیچ وجه در سطح برنامه (L7) محافظت نمی کنند یا همچنان در مقابله با آنها ضعیف تر از جایگزین هستند.

چه کسی در بازار حفاظت از DDoS است

(نظر شخصی من)

حفاظت در سطح L3/L4

برای دفع حملات با تقویت ("انسداد" کانال سرور)، کانال های گسترده کافی وجود دارد (بسیاری از خدمات حفاظتی به اکثر ارائه دهندگان ستون فقرات بزرگ در روسیه متصل می شوند و کانال هایی با ظرفیت نظری بیش از 1 ترابیت دارند). فراموش نکنید که حملات بسیار نادر تقویت بیش از یک ساعت طول می کشد. اگر Spamhaus هستید و همه شما را دوست ندارند، بله، ممکن است سعی کنند برای چند روز کانال های شما را ببندند، حتی در خطر بقای بیشتر بات نت جهانی که استفاده می شود. اگر فقط یک فروشگاه آنلاین دارید، حتی اگر mvideo.ru باشد، در عرض چند روز 1 ترابایت را نخواهید دید (امیدوارم).

برای دفع حملات با سیل SYN/ACK، تکه تکه شدن بسته ها و غیره، به تجهیزات یا سیستم های نرم افزاری برای شناسایی و توقف چنین حملاتی نیاز دارید.
بسیاری از مردم چنین تجهیزاتی را تولید می کنند (Arbor، راه حل هایی از Cisco، Huawei، پیاده سازی نرم افزار از Wanguard و غیره وجود دارد)، بسیاری از اپراتورهای ستون فقرات قبلاً آن را نصب کرده اند و خدمات حفاظت DDoS را می فروشند (من در مورد نصب های Rostelecom، Megafon، TTK، MTS اطلاع دارم. ، در واقع، همه ارائه دهندگان اصلی با میزبان ها با محافظت از خود a-la OVH.com، Hetzner.de، همین کار را انجام می دهند، من خودم در ihor.ru با محافظت مواجه شدم. برخی از شرکت ها در حال توسعه راه حل های نرم افزاری خود هستند (فناوری هایی مانند DPDK به شما امکان می دهد ده ها گیگابیت ترافیک را روی یک دستگاه فیزیکی x86 پردازش کنید).

از بین بازیکنان شناخته شده، همه می توانند کم و بیش موثر با L3/L4 DDoS مبارزه کنند. حالا نمی‌گویم چه کسی حداکثر ظرفیت کانال را دارد (این اطلاعات داخلی است)، اما معمولاً این خیلی مهم نیست و تنها تفاوت این است که محافظت چقدر سریع راه‌اندازی می‌شود (فوری یا پس از چند دقیقه توقف پروژه، مانند هتسنر).
سوال این است که این کار چقدر خوب انجام می شود: یک حمله تقویتی را می توان با مسدود کردن ترافیک کشورهایی که بیشترین حجم ترافیک مضر را دارند دفع کرد یا فقط ترافیک غیرضروری را کنار گذاشت.
اما در عین حال، بر اساس تجربه من، همه بازیگران جدی بازار بدون مشکل با این کار کنار می آیند: Qrator، DDoS-Guard، Kaspersky، G-Core Labs (SkyParkCDN سابق)، ServicePipe، Stormwall، Voxility و غیره.
من با محافظت از اپراتورهایی مانند Rostelecom، Megafon، TTK، Beeline مواجه نشده ام؛ طبق بررسی های همکاران، آنها این خدمات را به خوبی ارائه می دهند، اما تا کنون کمبود تجربه به صورت دوره ای تأثیر می گذارد: گاهی اوقات شما باید چیزی را از طریق پشتیبانی تغییر دهید. از اپراتور حفاظت
برخی از اپراتورها یک سرویس جداگانه "محافظت در برابر حملات در سطح L3/L4" یا "محافظت کانال" دارند؛ هزینه آن بسیار کمتر از محافظت در همه سطوح است.

چرا این ارائه دهنده ستون فقرات نیست که حملات صدها گیگابیت را دفع می کند، زیرا کانال های خود را ندارد؟اپراتور حفاظتی می تواند به هر یک از ارائه دهندگان اصلی متصل شود و حملات را «به هزینه خود» دفع کند. شما باید برای کانال هزینه کنید، اما همه این صدها گیگابیت همیشه مورد استفاده قرار نخواهند گرفت؛ گزینه هایی برای کاهش قابل توجه هزینه کانال ها در این مورد وجود دارد، بنابراین این طرح همچنان قابل اجرا است.
در بازار حفاظت DDoS چیست و چه کسی چه کسی است
اینها گزارشاتی است که من به طور مرتب از سطح بالاتر حفاظت L3/L4 در حین پشتیبانی از سیستم های ارائه دهنده هاست دریافت می کردم.

حفاظت در سطح L7 (سطح برنامه)

حملات در سطح L7 (سطح برنامه) قادرند واحدها را به طور مداوم و کارآمد دفع کنند.
من تجربه واقعی زیادی دارم
- Qrator.net؛
- DDoS-Guard؛
- آزمایشگاه های G-Core.
- کسپرسکی

آنها برای هر مگابیت ترافیک خالص هزینه می کنند، یک مگابیت حدود چند هزار روبل هزینه دارد. اگر حداقل 100 مگابیت در ثانیه ترافیک خالص دارید - اوه. حفاظت بسیار گران خواهد بود. من می توانم در مقاله های بعدی به شما بگویم که چگونه اپلیکیشن ها را طراحی کنید تا در ظرفیت کانال های امنیتی بسیار صرفه جویی کنید.
"پادشاه تپه" واقعی Qrator.net است، بقیه از آنها عقب مانده اند. Qrator تا به حال تنها کسانی هستند که در تجربه من درصدی از مثبت های کاذب را نزدیک به صفر می دهند، اما در عین حال چندین برابر گران تر از سایر بازیگران بازار هستند.

سایر اپراتورها نیز حفاظت با کیفیت و پایدار را ارائه می دهند. بسیاری از سرویس های پشتیبانی شده توسط ما (از جمله سرویس های بسیار شناخته شده در کشور!) از DDoS-Guard، G-Core Labs محافظت می شوند و از نتایج به دست آمده کاملا راضی هستند.
در بازار حفاظت DDoS چیست و چه کسی چه کسی است
دفع حملات توسط Qrator

من همچنین با اپراتورهای امنیتی کوچک مانند cloud-shield.ru، ddosa.net، هزاران نفر از آنها تجربه دارم. من قطعا آن را توصیه نمی کنم، زیرا ... من تجربه زیادی ندارم، اما در مورد اصول کار آنها به شما می گویم. هزینه حفاظت آنها اغلب 1-2 مرتبه کمتر از بازیگران اصلی است. به عنوان یک قاعده، آنها یک سرویس حفاظت جزئی (L3/L4) از یکی از بازیکنان بزرگتر خریداری می کنند + محافظت خود را در برابر حملات در سطوح بالاتر انجام می دهند. این می تواند بسیار مؤثر باشد + شما می توانید با پول کمتر خدمات خوبی دریافت کنید، اما اینها هنوز هم شرکت های کوچکی هستند که پرسنل کمی دارند، لطفاً این را در نظر داشته باشید.

دشواری دفع حملات در سطح L7 چیست؟

همه برنامه‌ها منحصربه‌فرد هستند و باید به ترافیکی اجازه دهید که برای آنها مفید باشد و برنامه‌های مضر را مسدود کنید. همیشه نمی‌توان ربات‌ها را به طور قطع حذف کرد، بنابراین باید از درجات بسیار، واقعاً بسیار زیادی از تصفیه ترافیک استفاده کنید.

روزی روزگاری ماژول nginx-testcookie کافی بود (https://github.com/kyprizel/testcookie-nginx-module) و هنوز هم برای دفع تعداد زیادی از حملات کافی است. زمانی که من در صنعت میزبانی کار می کردم، حفاظت L7 بر اساس nginx-testcookie بود.
متأسفانه، حملات دشوارتر شده است. testcookie از چک‌های ربات مبتنی بر JS استفاده می‌کند و بسیاری از ربات‌های مدرن می‌توانند با موفقیت آن‌ها را پاس کنند.

بات نت های حمله نیز منحصر به فرد هستند و ویژگی های هر بات نت بزرگ باید در نظر گرفته شود.
تقویت، سیل مستقیم از یک بات نت، فیلتر کردن ترافیک از کشورهای مختلف (فیلترهای مختلف برای کشورهای مختلف)، سیل SYN/ACK، تکه تکه کردن بسته ها، ICMP، سیلاب http، در حالی که در سطح برنامه/http می توانید تعداد نامحدودی داشته باشید. حملات مختلف
در مجموع، در سطح حفاظت از کانال، تجهیزات تخصصی برای پاکسازی ترافیک، نرم افزار ویژه، تنظیمات فیلتر اضافی برای هر مشتری، ده ها و صدها سطح فیلتر وجود دارد.
برای مدیریت صحیح این و تنظیم صحیح تنظیمات فیلتر برای کاربران مختلف، به تجربه زیاد و پرسنل واجد شرایط نیاز دارید. حتی اپراتور بزرگی که تصمیم به ارائه خدمات حفاظتی گرفته است، نمی‌تواند «به طور احمقانه روی مشکل پول بیاندازد»: تجربه باید از سایت‌های دروغ و نکات مثبت کاذب در مورد ترافیک قانونی به دست آید.
برای اپراتور امنیتی دکمه Repel DDoS وجود ندارد؛ ابزارهای زیادی وجود دارد و شما باید نحوه استفاده از آنها را بدانید.

و یک مثال پاداش دیگر.
در بازار حفاظت DDoS چیست و چه کسی چه کسی است
یک سرور محافظت نشده توسط میزبان در یک حمله با ظرفیت 600 مگابیت مسدود شد
("از دست دادن" ترافیک قابل توجه نیست، زیرا تنها 1 سایت مورد حمله قرار گرفت، به طور موقت از سرور حذف شد و مسدودسازی در عرض یک ساعت برداشته شد).
در بازار حفاظت DDoS چیست و چه کسی چه کسی است
همان سرور محافظت می شود. مهاجمان پس از یک روز دفع حملات "تسلیم" شدند. حمله به خودی خود قوی ترین نبود.

حمله و دفاع از L3/L4 بی اهمیت تر است؛ آنها عمدتاً به ضخامت کانال ها، الگوریتم های تشخیص و فیلتر برای حملات بستگی دارند.
حملات L7 پیچیده تر و اصلی تر هستند؛ آنها به برنامه مورد حمله، قابلیت ها و تخیل مهاجمان بستگی دارند. محافظت در برابر آنها نیاز به دانش و تجربه زیادی دارد و نتیجه ممکن است فوری و صد در صد نباشد. تا اینکه گوگل یک شبکه عصبی دیگر را برای محافظت ارائه کرد.

منبع: www.habr.com

اضافه کردن نظر