ProHoster > وبلاگ > اداره > میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

در دو سه ماهه اول سال 2020، تعداد حملات DDoS تقریباً سه برابر شد، که 65٪ از آنها تلاش های اولیه برای "تست بار" است که به راحتی سایت های بی دفاع فروشگاه های آنلاین کوچک، انجمن ها، وبلاگ ها و رسانه ها را "غیرفعال می کند".

چگونه هاست محافظت شده با DDoS را انتخاب کنیم؟ به چه مواردی باید توجه کنید و برای چه چیزی باید آماده شوید تا در موقعیت ناخوشایندی قرار نگیرید؟

(واکسیناسیون در برابر بازاریابی خاکستری در داخل)

در دسترس بودن و تنوع ابزارها برای انجام حملات DDoS، صاحبان سرویس های آنلاین را وادار می کند تا اقدامات مناسبی را برای مقابله با تهدید انجام دهند. شما باید در مورد محافظت از DDoS نه پس از اولین شکست، و نه حتی به عنوان بخشی از مجموعه اقدامات برای افزایش تحمل خطای زیرساخت، بلکه در مرحله انتخاب سایت برای قرار دادن (ارائه دهنده میزبان یا مرکز داده) فکر کنید.

حملات DDoS بسته به پروتکل‌هایی که آسیب‌پذیری‌های آن‌ها در سطوح مدل Open Systems Interconnection (OSI) مورد سوء استفاده قرار می‌گیرند، طبقه‌بندی می‌شوند:

  • کانال (L2)،
  • شبکه (L3)،
  • حمل و نقل (L4)،
  • اعمال شد (L7).

از دیدگاه سیستم های امنیتی می توان آنها را به دو گروه تعمیم داد: حملات سطح زیرساخت (L2-L4) و حملات سطح برنامه (L7). این به دلیل توالی اجرای الگوریتم‌های تحلیل ترافیک و پیچیدگی محاسباتی است: هرچه عمیق‌تر به بسته IP نگاه کنیم، قدرت محاسباتی بیشتری مورد نیاز است.

به طور کلی، مشکل بهینه سازی محاسبات هنگام پردازش ترافیک در زمان واقعی موضوعی برای یک سری مقالات جداگانه است. حالا بیایید تصور کنیم که ارائه‌دهنده‌ای ابری با منابع محاسباتی مشروط نامحدود وجود دارد که می‌تواند از سایت‌ها در برابر حملات سطح برنامه (از جمله бесплатно).

3 سوال اصلی برای تعیین درجه امنیت میزبانی در برابر حملات DDoS

بیایید به شرایط خدمات برای محافظت در برابر حملات DDoS و توافقنامه سطح سرویس (SLA) ارائه دهنده میزبان نگاه کنیم. آیا آنها حاوی پاسخ به سؤالات زیر هستند:

  • چه محدودیت های فنی توسط ارائه دهنده خدمات بیان شده است؟?
  • وقتی مشتری از محدودیت ها فراتر می رود چه اتفاقی می افتد؟
  • چگونه یک ارائه دهنده هاست محافظت در برابر حملات DDoS (فناوری ها، راه حل ها، تامین کنندگان) ایجاد می کند؟

اگر این اطلاعات را پیدا نکرده‌اید، پس این دلیلی است که یا در مورد جدی بودن ارائه‌دهنده خدمات فکر کنید، یا حفاظت اولیه DDoS (L3-4) را خودتان سازماندهی کنید. به عنوان مثال، یک اتصال فیزیکی به شبکه یک ارائه دهنده امنیتی تخصصی را سفارش دهید.

مهم! اگر ارائه‌دهنده میزبان شما قادر به محافظت در برابر حملات سطح زیرساخت نباشد، محافظت در برابر حملات سطح برنامه با استفاده از Reverse Proxy هیچ فایده‌ای ندارد: تجهیزات شبکه بیش از حد بارگذاری می‌شوند و از دسترس خارج می‌شوند، از جمله برای سرورهای پروکسی ارائه‌دهنده ابر (شکل 1).

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

شکل 1. حمله مستقیم به شبکه ارائه دهنده میزبانی

و اجازه ندهید که آنها سعی کنند به شما افسانه هایی بگویند که آدرس IP واقعی سرور در پشت ابر ارائه دهنده امنیت پنهان شده است، به این معنی که حمله مستقیم به آن غیرممکن است. در XNUMX مورد از ده مورد، یافتن آدرس IP واقعی سرور یا حداقل شبکه ارائه دهنده میزبانی برای مهاجم برای "تخریب" کل مرکز داده دشوار نخواهد بود.

چگونه هکرها در جستجوی یک آدرس IP واقعی عمل می کنند

در زیر اسپویلرها چندین روش برای یافتن یک آدرس IP واقعی (برای اهداف اطلاعاتی داده شده) وجود دارد.

روش 1: جستجو در منابع باز

می توانید جستجوی خود را با سرویس آنلاین شروع کنید هوش X: وب تاریک، پلتفرم های اشتراک گذاری اسناد را جستجو می کند، داده های Whois، نشت داده های عمومی و بسیاری از منابع دیگر را پردازش می کند.

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

اگر بر اساس برخی نشانه ها (هدرهای HTTP، داده های Whois و غیره)، تشخیص داده شد که حفاظت سایت با استفاده از Cloudflare سازماندهی شده است، می توانید جستجوی IP واقعی را از این آدرس آغاز کنید. لیست، که شامل حدود 3 میلیون آدرس IP از سایت های واقع در پشت Cloudflare است.

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

استفاده از گواهینامه و سرویس SSL Censys شما می توانید اطلاعات مفید زیادی از جمله آدرس IP واقعی سایت پیدا کنید. برای ایجاد یک درخواست برای منبع خود، به تب Certificates بروید و وارد کنید:

_parsed.names: نامsite AND tags.raw: قابل اعتماد

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

برای جستجوی آدرس‌های IP سرورها با استفاده از گواهی SSL، باید به صورت دستی از فهرست کشویی با چندین ابزار عبور کنید (برگه «کاوش»، سپس «میزبان IPv4» را انتخاب کنید).

روش 2: DNS

جستجو در تاریخچه تغییرات رکورد DNS یک روش قدیمی و اثبات شده است. آدرس IP قبلی سایت می تواند مشخص کند که در کدام هاست (یا مرکز داده) قرار دارد. در میان خدمات آنلاین از نظر سهولت استفاده، موارد زیر متمایز است: ViewDNS и مسیرهای امنیتی.

وقتی تنظیمات را تغییر می‌دهید، سایت بلافاصله از آدرس IP ارائه‌دهنده امنیت ابر یا CDN استفاده نمی‌کند، اما برای مدتی مستقیماً کار می‌کند. در این صورت، این احتمال وجود دارد که سرویس های آنلاین برای ذخیره تاریخچه تغییرات آدرس IP حاوی اطلاعاتی در مورد آدرس منبع سایت باشند.

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

اگر چیزی جز نام سرور DNS قدیمی وجود ندارد، با استفاده از ابزارهای ویژه (dig، host یا nslookup) می توانید یک آدرس IP با نام دامنه سایت درخواست کنید، به عنوان مثال:

_dig @old_dns_server_name نامسایت

روش 3: ایمیل

ایده روش استفاده از فرم بازخورد/ثبت نام (یا هر روش دیگری که به شما امکان می دهد ارسال نامه را آغاز کنید) برای دریافت نامه به ایمیل خود و بررسی سرصفحه ها، به ویژه فیلد "دریافت شده" است. .

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

هدر ایمیل اغلب حاوی آدرس IP واقعی رکورد MX (سرور تبادل ایمیل) است که می تواند نقطه شروعی برای یافتن سرورهای دیگر در هدف باشد.

ابزارهای اتوماسیون جستجو

نرم افزار جستجوی IP در پشت سپر Cloudflare اغلب برای سه کار کار می کند:

  • با استفاده از DNSDumpster.com پیکربندی نادرست DNS را اسکن کنید.
  • اسکن پایگاه داده Crimeflare.com؛
  • با استفاده از روش جستجوی فرهنگ لغت، زیر دامنه ها را جستجو کنید.

یافتن زیر دامنه ها اغلب موثرترین گزینه از این سه مورد است - مالک سایت می تواند از سایت اصلی محافظت کند و زیر دامنه ها را مستقیماً در حال اجرا بگذارد. ساده ترین راه برای بررسی استفاده است CloudFail.

علاوه بر این، ابزارهایی وجود دارد که فقط برای جستجوی زیر دامنه ها با استفاده از جستجوی فرهنگ لغت و جستجو در منابع باز طراحی شده اند، به عنوان مثال: Sublist3r یا dnsrecon.

چگونه جستجو در عمل اتفاق می افتد

به عنوان مثال، بیایید سایت seo.com را با استفاده از Cloudflare در نظر بگیریم، که با استفاده از یک سرویس شناخته شده آن را خواهیم یافت. ساخته شده با (به شما امکان می دهد هم فناوری ها / موتورها / CMS هایی را که سایت روی آنها کار می کند تعیین کنید و بالعکس - سایت ها را با استفاده از فناوری های مورد استفاده جستجو کنید).

هنگامی که روی تب "میزبان IPv4" کلیک می کنید، این سرویس لیستی از میزبان هایی که از گواهی استفاده می کنند را نشان می دهد. برای پیدا کردن آدرس مورد نیاز خود، به دنبال یک آدرس IP با پورت باز 443 بگردید. اگر به سایت مورد نظر هدایت شود، کار تکمیل شده است، در غیر این صورت باید نام دامنه سایت را به هدر "Host" اضافه کنید. درخواست HTTP (به عنوان مثال، *curl -H "Host: site_name" *https://IP_адрес).

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

در مورد ما، جستجو در پایگاه داده Censys چیزی به دست نیاورد، بنابراین ما ادامه می دهیم.

ما یک جستجوی DNS از طریق سرویس انجام خواهیم داد https://securitytrails.com/dns-trails.

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

با جستجو در آدرس های ذکر شده در لیست سرورهای DNS با استفاده از ابزار CloudFail، منابع کاری را پیدا می کنیم. نتیجه در عرض چند ثانیه آماده خواهد شد.

میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت

فقط با استفاده از داده های باز و ابزارهای ساده، آدرس IP واقعی سرور وب را تعیین کردیم. بقیه برای مهاجم یک مسئله تکنیکی است.

بیایید به انتخاب یک ارائه دهنده هاست بازگردیم. برای ارزیابی سود سرویس برای مشتری، روش‌های احتمالی محافظت در برابر حملات DDoS را در نظر خواهیم گرفت.

چگونه یک ارائه دهنده هاست محافظت خود را ایجاد می کند

  1. سیستم حفاظتی خود با تجهیزات فیلتر (شکل 2).
    نیاز دارد:
    1.1. تجهیزات فیلتر ترافیک و مجوزهای نرم افزار؛
    1.2. متخصصان تمام وقت برای پشتیبانی و عملکرد آن؛
    1.3. کانال های دسترسی به اینترنت که برای دریافت حملات کافی خواهند بود.
    1.4. پهنای باند قابل توجه کانال از پیش پرداخت شده برای دریافت ترافیک "ناخواسته".
    میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت
    شکل 2. سیستم امنیتی خود ارائه دهنده هاست
    اگر سیستم توصیف شده را به عنوان وسیله ای برای محافظت در برابر حملات مدرن DDoS صدها گیگابیت بر ثانیه در نظر بگیریم، چنین سیستمی هزینه زیادی را به همراه خواهد داشت. آیا ارائه دهنده هاست چنین محافظتی دارد؟ آیا او آماده است تا برای ترافیک "ناخواسته" هزینه کند؟ بدیهی است که اگر در تعرفه ها پرداخت های اضافی پیش بینی نشود، چنین مدل اقتصادی برای ارائه دهنده سودآور نیست.
  2. پروکسی معکوس (فقط برای وب سایت ها و برخی برنامه ها). با وجود یک عدد مزایای، تامین کننده محافظت در برابر حملات مستقیم DDoS را تضمین نمی کند (شکل 1 را ببینید). ارائه دهندگان میزبانی اغلب چنین راه حلی را به عنوان نوشدارویی ارائه می دهند و مسئولیت را به تامین کننده امنیت منتقل می کنند.
  3. خدمات یک ارائه دهنده ابر تخصصی (استفاده از شبکه فیلترینگ آن) برای محافظت در برابر حملات DDoS در تمام سطوح OSI (شکل 3).
    میزبانی با محافظت کامل در برابر حملات DDoS - افسانه یا واقعیت
    شکل 3. حفاظت جامع در برابر حملات DDoS با استفاده از یک ارائه دهنده تخصصی
    تصمیم یکپارچگی عمیق و سطح بالایی از صلاحیت فنی هر دو طرف را در نظر می گیرد. برون سپاری خدمات فیلترینگ ترافیک به ارائه دهنده هاست اجازه می دهد تا قیمت خدمات اضافی را برای مشتری کاهش دهد.

مهم! هرچه مشخصات فنی سرویس ارائه شده با جزئیات بیشتر توضیح داده شود، شانس درخواست اجرای آنها یا جبران خسارت در صورت خرابی بیشتر است.

علاوه بر سه روش اصلی، ترکیبات و ترکیبات زیادی وجود دارد. هنگام انتخاب هاست، برای مشتری مهم است که به خاطر داشته باشد که تصمیم نه تنها به اندازه حملات مسدود شده تضمین شده و دقت فیلتر بستگی دارد، بلکه به سرعت پاسخگویی و همچنین محتوای اطلاعاتی (فهرست حملات مسدود شده، آمار عمومی و غیره).

به یاد داشته باشید که تنها تعداد کمی از ارائه دهندگان هاست در جهان به تنهایی قادر به ارائه سطح قابل قبولی از محافظت هستند؛ در موارد دیگر، همکاری و سواد فنی به شما کمک می کند. بنابراین، درک اصول اولیه سازماندهی حفاظت در برابر حملات DDoS به صاحب سایت این امکان را می دهد که در دام ترفندهای بازاریابی نیفتد و "خوک در یک پوک" را خریداری نکند.

منبع: www.habr.com

اضافه کردن نظر