"Kaveri, joka teki verkkosivustomme, on jo määrittänyt DDoS-suojauksen."
"Meillä on DDoS-suojaus, miksi sivusto katosi?"
"Kuinka monta tuhatta Qrator haluaa?"
Jotta tällaisiin asiakkaan/pomon esittämiin kysymyksiin voitaisiin vastata oikein, olisi kiva tietää, mitä "DDoS-suojaus"-nimen takana piilee. Turvapalveluiden valitseminen on enemmän kuin lääkkeen valitsemista lääkäriltä kuin pöydän valitsemista IKEAsta.
Olen tukenut verkkosivustoja 11 vuotta, selvinnyt sadoista hyökkäyksistä tukemiini palveluihin, ja nyt kerron sinulle hieman suojauksen sisäisestä toiminnasta.
Säännölliset hyökkäykset. 350k req yhteensä, 52k req laillinen
Ensimmäiset hyökkäykset ilmestyivät lähes samanaikaisesti Internetin kanssa. DDoS ilmiönä on yleistynyt 2000-luvun lopulta lähtien (katso ).
Noin vuodesta 2015–2016 lähtien lähes kaikki isännöintipalveluntarjoajat ovat olleet suojattuina DDoS-hyökkäyksiltä, kuten myös merkittävimmät sivustot kilpailluilla alueilla (do whois IP:n mukaan sivustoille eldorado.ru, leroymerlin.ru, tilda.ws, näet verkot suojausoperaattoreista).
Jos 10-20 vuotta sitten useimmat hyökkäykset pystyttiin torjumaan itse palvelimeen (arvioi Lenta.ru-järjestelmänvalvojan Maxim Moshkovin suosituksia 90-luvulta): ), mutta nyt suojelutehtävät ovat vaikeutuneet.
DDoS-hyökkäystyypit suojausoperaattorin valinnan näkökulmasta
Hyökkäys L3/L4-tasolla (OSI-mallin mukaan)
— UDP-tulva bottiverkosta (useita pyyntöjä lähetetään suoraan tartunnan saaneista laitteista hyökkäyksen kohteena olevaan palveluun, palvelimet estetään kanavalla);
— DNS/NTP/etc-vahvistus (saatuneilta laitteilta lähetetään monia pyyntöjä haavoittuvaan DNS/NTP/etc-verkkoon, lähettäjän osoite on väärennetty, pyyntöihin vastaava pakettipilvi tulvii hyökkäyksen kohteena olevan henkilön kanavaa; näin nykyaikaiseen Internetiin tehdään massiivisia hyökkäyksiä);
— SYN / ACK-tulva (useita yhteyden muodostamispyyntöjä lähetetään hyökkäyksen kohteena oleville palvelimille, yhteysjono ylittyy);
— hyökkäykset, joissa on pakettien pirstoutuminen, kuoleman ping, ping-tulva (Google, kiitos);
- ja niin edelleen.
Nämä hyökkäykset pyrkivät "tukkimaan" palvelimen kanavan tai "tappamaan" sen kyvyn vastaanottaa uutta liikennettä.
Vaikka SYN/ACK-tulva ja vahvistus ovat hyvin erilaisia, monet yritykset taistelevat niitä vastaan yhtä hyvin. Ongelmia syntyy seuraavan ryhmän hyökkäyksistä.
Hyökkäykset L7:ään (sovelluskerrokseen)
- http-tulva (jos verkkosivustoa tai http-sovellusliittymää vastaan hyökätään);
- hyökkäys sivuston haavoittuville alueille (joille ei ole välimuistia, jotka kuormittavat sivustoa erittäin raskaasti jne.).
Tavoitteena on saada palvelin "työskentelemään kovasti", käsittelemään paljon "todelliselta näyttäviä pyyntöjä" ja jäämään ilman resursseja todellisiin pyyntöihin.
Vaikka on muitakin hyökkäyksiä, nämä ovat yleisimpiä.
Vakavat hyökkäykset L7-tasolla luodaan ainutlaatuisella tavalla jokaiselle hyökkäyksen kohteena olevalle projektille.
Miksi 2 ryhmää?
Koska monet osaavat torjua hyökkäykset hyvin L3/L4-tasolla, mutta joko eivät ota suojausta sovellustasolla (L7) ollenkaan tai ovat silti vaihtoehtoja heikompia niiden käsittelyssä.
Kuka on kuka DDoS-suojausmarkkinoilla
(henkilökohtainen mielipiteeni)
Suojaus L3/L4 tasolla
Hyökkäysten torjumiseksi vahvistuksella (palvelinkanavan "tukos") on tarpeeksi leveitä kanavia (monet suojauspalvelut muodostavat yhteyden useimpiin Venäjän suuriin runkoverkkopalveluntarjoajiin ja niillä on kanavia, joiden teoreettinen kapasiteetti on yli 1 Tbit). Älä unohda, että erittäin harvinaiset vahvistushyökkäykset kestävät yli tunnin. Jos olet Spamhaus ja kaikki eivät pidä sinusta, kyllä, he saattavat yrittää sulkea kanavasi useiksi päiviksi, vaikka maailmanlaajuisen botnet-verkon säilyminen jatkuisikin vaarassa. Jos sinulla on vain verkkokauppa, vaikka se olisi mvideo.ru, et näe 1 Tbit muutamassa päivässä hyvin pian (toivottavasti).
Hyökkäysten torjumiseksi SYN/ACK-tulvan, pakettien pirstoutumisen jne. avulla tarvitset laitteita tai ohjelmistojärjestelmiä tällaisten hyökkäysten havaitsemiseen ja pysäyttämiseen.
Monet ihmiset valmistavat tällaisia laitteita (Arbor, Ciscon, Huawein ratkaisuja, Wanguardin ohjelmistototeutuksia jne.), monet runkoverkkooperaattorit ovat jo asentaneet ne ja myyvät DDoS-suojauspalveluita (Tiedän Rostelecomin, Megafonin, TTK:n, MTS:n asennuksista Itse asiassa kaikki suuret palveluntarjoajat tekevät samoin isännöitsijöiden kanssa, joilla on oma suoja. A-la OVH.com, Hetzner.de, itse törmäsin suojaukseen osoitteessa ihor.ru). Jotkut yritykset kehittävät omia ohjelmistoratkaisujaan (DPDK:n kaltaisten teknologioiden avulla voit käsitellä kymmeniä gigabittejä liikennettä yhdellä fyysisellä x86-koneella).
Tunnetuista pelaajista jokainen voi taistella L3/L4 DDoS:ää vastaan enemmän tai vähemmän tehokkaasti. En nyt kerro, kenellä on suurempi maksimikanavakapasiteetti (tämä on sisäpiiritietoa), mutta yleensä tämä ei ole niin tärkeää, ja ainoa ero on, kuinka nopeasti suojaus laukeaa (hetkellä tai muutaman minuutin projektin seisokkiajan jälkeen, kuten Hetznerissä).
Kysymys kuuluu, kuinka hyvin tämä tehdään: vahvistushyökkäys voidaan torjua estämällä liikenne maista, joissa on eniten haitallista liikennettä, tai vain todella tarpeeton liikenne voidaan hylätä.
Mutta samaan aikaan, kokemukseni perusteella, kaikki vakavat markkinatoimijat selviävät tästä ilman ongelmia: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (entinen SkyParkCDN), ServicePipe, Stormwall, Voxility jne.
En ole kohdannut suojaa operaattorilta, kuten Rostelecom, Megafon, TTK, Beeline; kollegoiden arvostelujen mukaan he tarjoavat nämä palvelut melko hyvin, mutta toistaiseksi kokemuksen puute vaikuttaa ajoittain: joskus joudut säätämään jotain tuen kautta. suojausoperaattorilta.
Joillakin operaattoreilla on erillinen palvelu "suojaus hyökkäyksiä vastaan L3/L4-tasolla" tai "kanavasuojaus"; se maksaa paljon vähemmän kuin suojaus kaikilla tasoilla.
Miksi runkoverkkopalveluntarjoaja ei torju satojen Gbitin hyökkäyksiä, koska sillä ei ole omia kanavia?Suojausoperaattori voi muodostaa yhteyden mihin tahansa suuriin palveluntarjoajiin ja torjua hyökkäyksiä "omalla kustannuksellaan". Sinun on maksettava kanavasta, mutta kaikkia näitä satoja Gbittejä ei aina hyödynnetä; tässä tapauksessa on vaihtoehtoja vähentää kanavien kustannuksia merkittävästi, joten järjestelmä pysyy toimivana.
Nämä ovat raportteja, joita sain säännöllisesti korkeamman tason L3/L4-suojauksesta samalla kun tuen isännöintipalveluntarjoajan järjestelmiä.
Suojaus L7-tasolla (sovellustaso)
L7-tason hyökkäykset (sovellustaso) pystyvät torjumaan yksiköitä johdonmukaisesti ja tehokkaasti.
Minulla on aika paljon aitoa kokemusta
- Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
He veloittavat jokaisesta puhtaan liikenteen megabitin, megabitti maksaa noin useita tuhansia ruplaa. Jos sinulla on vähintään 100 Mbps puhdasta liikennettä - oh. Suojaus tulee olemaan erittäin kallista. Seuraavissa artikkeleissa voin kertoa, kuinka sovelluksia suunnitellaan, jotta voidaan säästää paljon tietoturvakanavien kapasiteetissa.
Todellinen "kukkulan kuningas" on Qrator.net, loput ovat jäljessä. Qrator on toistaiseksi kokemukseni mukaan ainoa, joka antaa väärien positiivisten prosenttiosuuden lähellä nollaa, mutta samalla ne ovat useita kertoja kalliimpia kuin muut markkinatoimijat.
Myös muut käyttäjät tarjoavat korkealaatuista ja vakaata suojaa. Monet tukemamme palvelut (mukaan lukien hyvin tunnetut maassa!) on suojattu DDoS-Guardilta, G-Core Labsilta ja ovat varsin tyytyväisiä saatuihin tuloksiin.
Qrator torjui hyökkäykset
Minulla on myös kokemusta pienistä tietoturvaoperaattoreista, kuten cloud-shield.ru, ddosa.net, tuhansista. En todellakaan suosittele, koska... Minulla ei ole paljon kokemusta, mutta kerron sinulle heidän työnsä periaatteista. Niiden suojakustannukset ovat usein 1-2 suuruusluokkaa alhaisemmat kuin suurten toimijoiden. Pääsääntöisesti he ostavat osittaisen suojauspalvelun (L3/L4) joltakin isommalta pelaajalta + tekevät itse suojauksensa korkeamman tason hyökkäyksiä vastaan. Tämä voi olla varsin tehokasta + saat hyvää palvelua pienemmällä rahalla, mutta nämä ovat silti pieniä yrityksiä, joilla on pieni henkilökunta, muista tämä.
Mitä vaikeutta on torjua hyökkäykset L7-tasolla?
Kaikki sovellukset ovat ainutlaatuisia, ja sinun on sallittava niille hyödyllinen liikenne ja estettävä haitalliset. Aina ei ole mahdollista kitkeä yksiselitteisesti botteja, joten sinun on käytettävä monia, todella MONIA liikenteen puhdistusasteita.
Olipa kerran nginx-testcookie-moduuli riitti (), ja se riittää silti torjumaan suuren määrän hyökkäyksiä. Kun työskentelin isännöintialalla, L7-suojaus perustui nginx-testcookieen.
Valitettavasti hyökkäykset ovat vaikeutuneet. testcookie käyttää JS-pohjaisia bot-tarkistuksia, ja monet nykyaikaiset robotit voivat läpäistä ne.
Myös hyökkäysbottiverkot ovat ainutlaatuisia, ja jokaisen suuren bottiverkon ominaisuudet on otettava huomioon.
Vahvistus, suora tulva botnetistä, liikenteen suodatus eri maista (eri suodatus eri maille), SYN/ACK-tulva, pakettien pirstoutuminen, ICMP, http-tulva, kun taas sovellus/http-tasolla voit keksiä rajattoman määrän erilaisia hyökkäyksiä.
Kaiken kaikkiaan kanavasuojauksen tasolla, erikoislaitteet liikenteen selvittämiseen, erikoisohjelmistot, lisäsuodatusasetukset jokaiselle asiakkaalle voivat olla kymmeniä ja satoja suodatustasoja.
Tarvitset paljon kokemusta ja pätevää henkilöstöä, jotta voit hallita tätä oikein ja säätää suodatusasetuksia oikein eri käyttäjille. Edes suuri operaattori, joka on päättänyt tarjota suojapalveluita, ei voi "tyhmästi heittää rahaa ongelmaan": kokemusta on hankittava valehtelevista sivustoista ja vääristä positiivisista laillisista liikenteistä.
Turvaoperaattorille ei ole olemassa "repel DDoS" -painiketta, työkaluja on suuri määrä, ja sinun on osattava niitä käyttää.
Ja vielä yksi bonusesimerkki.
Isännöitsijä esti suojaamattoman palvelimen 600 Mbitin kapasiteetin hyökkäyksen aikana
(Liikenteen "häviö" ei ole havaittavissa, koska vain 1 sivustoon hyökättiin, se poistettiin väliaikaisesti palvelimelta ja esto poistettiin tunnin sisällä).
Sama palvelin on suojattu. Hyökkääjät " antautuivat" päivän torjuttujen hyökkäysten jälkeen. Itse hyökkäys ei ollut voimakkain.
L3/L4:n hyökkäys ja puolustaminen ovat triviaalimpia; ne riippuvat pääasiassa kanavien paksuudesta, hyökkäysten havaitsemis- ja suodatusalgoritmeista.
L7-hyökkäykset ovat monimutkaisempia ja omaperäisempiä; ne riippuvat sovelluksesta, jota vastaan hyökätään, sekä hyökkääjien kyvyistä ja mielikuvituksesta. Niitä vastaan suojaaminen vaatii paljon tietoa ja kokemusta, eikä tulos välttämättä ole välitön eikä sataprosenttinen. Kunnes Google keksi toisen hermoverkon suojaksi.
Lähde: will.com