Vuoden 2020 kahdella ensimmäisellä vuosineljänneksellä DDoS-hyökkäysten määrä lähes kolminkertaistui, ja 65 % niistä oli primitiivisiä "kuormitustestausyrityksiä", jotka helposti "poistavat" pienten verkkokauppojen, foorumien, blogien ja median puolustuskyvyttömät sivustot käytöstä.
Kuinka valita DDoS-suojattu hosting? Mihin kannattaa kiinnittää huomiota ja mihin varautua, jotta ei joudu epämiellyttävään tilanteeseen?
(Rokotus "harmaata" markkinointia vastaan)
DDoS-hyökkäysten suorittamiseen tarvittavien työkalujen saatavuus ja monipuolisuus pakottaa verkkopalvelujen omistajat ryhtymään asianmukaisiin toimiin uhan torjumiseksi. Sinun tulisi ajatella DDoS-suojausta ei ensimmäisen vian jälkeen eikä edes osana toimenpiteitä infrastruktuurin vikasietoisuuden lisäämiseksi, vaan sijoituspaikan (isännöintipalveluntarjoajan tai datakeskuksen) valintavaiheessa.
DDoS-hyökkäykset luokitellaan protokollien mukaan, joiden haavoittuvuuksia hyödynnetään Open Systems Interconnection (OSI) -mallin tasoille:
- kanava (L2),
- verkko (L3),
- kuljetus (L4),
- sovellettu (L7).
Turvajärjestelmien näkökulmasta ne voidaan yleistää kahteen ryhmään: infrastruktuuritason hyökkäykset (L2-L4) ja sovellustason hyökkäykset (L7). Tämä johtuu liikenneanalyysialgoritmien suoritusjärjestyksestä ja laskennan monimutkaisuudesta: mitä syvemmälle katsomme IP-pakettia, sitä enemmän laskentatehoa tarvitaan.
Yleensä laskelmien optimointiongelma liikennettä reaaliajassa käsiteltäessä on aiheena erillisessä artikkelisarjassa. Kuvitellaan nyt, että on olemassa pilvipalveluntarjoaja, jolla on ehdollisesti rajattomat laskentaresurssit ja joka voi suojata sivustoja sovellustason hyökkäyksiltä (mukaan lukien ).
3 pääkysymystä DDoS-hyökkäyksiltä suojatun isännöinnin asteen määrittämiseksi
Katsotaanpa DDoS-hyökkäyksiltä suojaamisen käyttöehtoja ja isännöintipalveluntarjoajan Service Level Agreement (SLA) -sopimusta. Sisältääkö ne vastauksia seuraaviin kysymyksiin:
- mitä teknisiä rajoituksia palveluntarjoaja on ilmoittanut??
- mitä tapahtuu, kun asiakas ylittää rajat?
- Kuinka isännöintipalveluntarjoaja rakentaa suojan DDoS-hyökkäyksiä vastaan (teknologiat, ratkaisut, toimittajat)?
Jos et ole löytänyt näitä tietoja, tämä on syy joko pohtia palveluntarjoajan vakavuutta tai järjestää DDoS-perussuojaus (L3-4) itse. Tilaa esimerkiksi fyysinen yhteys erikoistuneen tietoturvatoimittajan verkkoon.
Tärkeää! Ei ole mitään järkeä tarjota suojausta sovellustason hyökkäyksiä vastaan Reverse Proxy -palvelun avulla, jos isännöintipalveluntarjoajasi ei pysty tarjoamaan suojaa infrastruktuuritason hyökkäyksiä vastaan: verkkolaitteet ylikuormituvat ja ne eivät ole käytettävissä, mukaan lukien pilvipalveluntarjoajan välityspalvelimet (kuva 1).
Kuva 1. Suora hyökkäys isännöintipalveluntarjoajan verkkoon
Ja älä anna heidän yrittää kertoa sinulle satuja, että palvelimen todellinen IP-osoite on piilossa tietoturvan tarjoajan pilven takana, mikä tarkoittaa, että siihen on mahdotonta hyökätä suoraan. Yhdeksässä tapauksessa kymmenestä hyökkääjän ei ole vaikea löytää palvelimen tai ainakin isännöintipalveluntarjoajan verkon todellista IP-osoitetta kokonaisen datakeskuksen "tuhoamiseksi".
Kuinka hakkerit toimivat etsiessään todellista IP-osoitetta
Spoilerien alla on useita tapoja löytää oikea IP-osoite (annettu tiedoksi).
Tapa 1: Hae avoimista lähteistä
Voit aloittaa haun verkkopalvelusta: Se hakee pimeästä verkosta, dokumenttien jakamisalustoista, käsittelee Whois-tietoja, julkisia tietovuotoja ja monia muita lähteitä.
Jos joidenkin merkkien (HTTP-otsikot, Whois-tiedot jne.) perusteella pystyttiin toteamaan, että sivuston suojaus on järjestetty Cloudflaren avulla, voit aloittaa todellisen IP-osoitteen etsimisen osoitteesta, joka sisältää noin 3 miljoonaa IP-osoitetta Cloudflaren takana sijaitsevista sivustoista.
SSL-varmenteen ja -palvelun käyttäminen löydät paljon hyödyllistä tietoa, mukaan lukien sivuston todellisen IP-osoitteen. Luo resurssipyyntö siirtymällä Sertifikaatit-välilehteen ja kirjoittamalla:
_parsed.names: nimisivusto JA tags.raw: luotettu
Jos haluat etsiä palvelimien IP-osoitteita SSL-sertifikaatin avulla, sinun on selattava manuaalisesti avattava luettelo useilla työkaluilla ("Tutki"-välilehti ja valitse sitten "IPv4-palvelimet").
Tapa 2: DNS
DNS-tietueiden muutoshistorian etsiminen on vanha, hyväksi havaittu menetelmä. Sivuston edellinen IP-osoite voi tehdä selväksi, missä isännöinnissä (tai datakeskuksessa) se sijaitsi. Helppokäyttöisyyden kannalta verkkopalveluista erottuvat seuraavat: и .
Kun muutat asetuksia, sivusto ei käytä heti pilviturvatoimittajan tai CDN:n IP-osoitetta, vaan toimii suoraan jonkin aikaa. Tässä tapauksessa on mahdollista, että verkkopalvelut IP-osoitteiden muutoshistorian tallentamiseen sisältävät tietoa sivuston lähdeosoitteesta.
Jos siinä ei ole muuta kuin vanhan DNS-palvelimen nimi, voit pyytää erityisiä apuohjelmia (dig, host tai nslookup) käyttämällä IP-osoitetta sivuston verkkotunnuksen nimellä, esimerkiksi:
_dig @old_dns_server_name namepaikka
Tapa 3: sähköposti
Menetelmän ideana on käyttää palaute/ilmoittautumislomaketta (tai muuta menetelmää, jolla voit aloittaa kirjeen lähettämisen) vastaanottaaksesi kirje sähköpostiisi ja tarkistaaksesi otsikot, erityisesti "Vastaanotettu"-kentän .
Sähköpostin otsikko sisältää usein MX-tietueen (sähköpostin vaihtopalvelimen) todellisen IP-osoitteen, joka voi olla lähtökohta muiden palvelimien etsimiselle kohteelta.
Hakuautomaatiotyökalut
Cloudflare-suojan takana oleva IP-hakuohjelmisto toimii useimmiten kolmeen tehtävään:
- Tarkista DNS-virheiden varalta DNSDumpster.com-sivustolla;
- Crimeflare.com-tietokannan skannaus;
- etsiä aliverkkotunnuksia sanakirjahakumenetelmällä.
Aliverkkotunnusten etsiminen on usein tehokkain vaihtoehto näistä kolmesta - sivuston omistaja voi suojata pääsivuston ja jättää aliverkkotunnukset toimimaan suoraan. Helpoin tapa tarkistaa on käyttää .
Lisäksi on apuohjelmia, jotka on suunniteltu vain aliverkkotunnuksien etsimiseen sanakirjahaun avulla ja avoimista lähteistä hakemiseen, esimerkiksi: tai .
Miten haku tapahtuu käytännössä
Otetaan esimerkiksi sivusto seo.com Cloudflaren avulla, jonka löydämme käyttämällä tunnettua palvelua (voit määrittää tekniikat / moottorit / sisällönhallintajärjestelmät, joilla sivusto toimii, ja päinvastoin - etsiä sivustoja käytettyjen teknologioiden perusteella).
Kun napsautat "IPv4-isännät" -välilehteä, palvelu näyttää luettelon varmennetta käyttävistä isännistä. Löytääksesi tarvitsemasi, etsi IP-osoite, jossa on avoin portti 443. Jos se uudelleenohjaa halutulle sivustolle, tehtävä on suoritettu, muussa tapauksessa sinun on lisättävä sivuston verkkotunnus otsikkoon "Host". HTTP-pyyntö (esimerkiksi *curl -H "Host: site_name" *).
Meidän tapauksessamme haku Censys-tietokannasta ei antanut mitään, joten siirrymme eteenpäin.
Teemme DNS-haun palvelun kautta.
Etsimällä DNS-palvelinluetteloissa mainittuja osoitteita CloudFail-apuohjelman avulla löydämme työresursseja. Tulos on valmis muutamassa sekunnissa.
Vain avointa dataa ja yksinkertaisia työkaluja käyttämällä määritimme verkkopalvelimen todellisen IP-osoitteen. Loput hyökkääjälle on tekniikasta kiinni.
Palataan hosting-palveluntarjoajan valintaan. Arvioidaksemme palvelun hyötyjä asiakkaalle, harkitsemme mahdollisia suojautumiskeinoja DDoS-hyökkäyksiltä.
Kuinka isännöintipalveluntarjoaja rakentaa suojaustaan
- Oma suojajärjestelmä suodatinlaitteilla (kuva 2).
Vaatii:
1.1. Liikenteen suodatuslaitteet ja ohjelmistolisenssit;
1.2. Kokopäiväiset asiantuntijat sen tukemiseen ja toimintaan;
1.3. Internet-yhteyskanavat, jotka riittävät hyökkäysten vastaanottamiseen;
1.4. Merkittävä prepaid-kanavan kaistanleveys "roskapostin" vastaanottamiseksi.
Kuva 2. Isännöitsijän oma turvajärjestelmä
Jos pidämme kuvattua järjestelmää suojakeinona nykyaikaisia satojen Gbps:n DDoS-hyökkäyksiä vastaan, tällainen järjestelmä maksaa paljon rahaa. Onko hosting-palveluntarjoajalla tällaista suojaa? Onko hän valmis maksamaan "roskaliikenteestä"? Ilmeisesti tällainen taloudellinen malli on palveluntarjoajan kannalta kannattamaton, jos tariffit eivät sisällä lisämaksuja. - Käänteinen välityspalvelin (vain verkkosivustoille ja joissakin sovelluksissa). Numerosta huolimatta , toimittaja ei takaa suojaa suoria DDoS-hyökkäyksiä vastaan (katso kuva 1). Isännöitsijät tarjoavat usein tällaista ratkaisua ihmelääkenä siirtäen vastuun tietoturvan tarjoajalle.
- Erikoistuneen pilvipalveluntarjoajan palvelut (sen suodatusverkoston käyttö) suojaamaan DDoS-hyökkäyksiltä kaikilla OSI-tasoilla (Kuva 3).
Kuva 3. Kattava suojaus DDoS-hyökkäyksiä vastaan erikoistuneen palveluntarjoajan avulla
edellyttää molempien osapuolten syvää integraatiota ja korkeaa teknistä osaamista. Liikenteen suodatuspalvelujen ulkoistaminen mahdollistaa isännöintipalvelun tarjoajan alentaa lisäpalveluiden hintaa asiakkaalle.
Tärkeää! Mitä yksityiskohtaisemmin tarjottavan palvelun tekniset ominaisuudet kuvataan, sitä suurempi on mahdollisuus vaatia niiden toteuttamista tai korvausta seisokkien sattuessa.
Kolmen päämenetelmän lisäksi on olemassa monia yhdistelmiä ja yhdistelmiä. Isännöintiä valitessaan asiakkaan on tärkeää muistaa, että päätös ei riipu pelkästään taattujen estettyjen hyökkäysten koosta ja suodatustarkkuudesta, vaan myös vastausnopeudesta sekä tietosisällöstä (estettujen hyökkäysten luettelo, yleiset tilastot jne.).
Muista, että vain harvat isännöintipalveluntarjoajat maailmassa pystyvät tarjoamaan riittävän suojan itse, muissa tapauksissa yhteistyö ja tekninen lukutaito auttavat. Siten DDoS-hyökkäyksiä vastaan suojautumisen järjestämisen perusperiaatteiden ymmärtäminen antaa sivuston omistajalle mahdollisuuden olla langettamatta markkinointitemppuja eikä ostamasta "sikaa säkissä".
Lähde: will.com