"Le gars qui a créé notre site Web a déjà mis en place une protection DDoS."
« Nous disposons d'une protection DDoS, pourquoi le site est-il tombé en panne ? »
« Combien de milliers Qrator veut-il ? »
Afin de répondre correctement à ces questions du client/patron, il serait bien de savoir ce qui se cache derriÚre le nom « protection DDoS ». Choisir les services de sécurité, c'est plus choisir un médicament chez un médecin que choisir une table chez IKEA.
Je supporte des sites Web depuis 11 ans, j'ai survécu à des centaines d'attaques contre les services que je prends en charge, et maintenant je vais vous parler un peu du fonctionnement interne de la protection.
Attaques réguliÚres. 350 52 demandes au total, XNUMX XNUMX demandes légitimes
Les premiÚres attaques sont apparues presque simultanément avec Internet. Le phénomÚne DDoS s'est répandu depuis la fin des années 2000 (consultez ).
Depuis 2015-2016 environ, presque tous les hébergeurs sont protégés contre les attaques DDoS, tout comme les sites les plus importants dans les zones concurrentielles (faites le whois par IP des sites eldorado.ru, leroymerlin.ru, tilda.ws, vous verrez les réseaux des opérateurs de protection).
S'il y a 10 Ă 20 ans, la plupart des attaques pouvaient ĂȘtre repoussĂ©es sur le serveur lui-mĂȘme (Ă©valuez les recommandations de l'administrateur systĂšme de Lenta.ru, Maxim Moshkov, dans les annĂ©es 90 : ), mais les tĂąches de protection sont dĂ©sormais devenues plus difficiles.
Types d'attaques DDoS du point de vue du choix d'un opérateur de protection
Attaques au niveau L3/L4 (selon le modĂšle OSI)
â Inondation UDP d'un botnet (de nombreuses requĂȘtes sont envoyĂ©es directement des appareils infectĂ©s au service attaquĂ©, les serveurs sont bloquĂ©s avec le canal) ;
â Amplification DNS/NTP/etc (de nombreuses requĂȘtes sont envoyĂ©es depuis des appareils infectĂ©s vers des DNS/NTP/etc vulnĂ©rables, l'adresse de l'expĂ©diteur est falsifiĂ©e, un nuage de paquets rĂ©pondant aux requĂȘtes inonde le canal de la personne attaquĂ©e ; c'est ainsi que le plus des attaques massives sont menĂ©es sur l'Internet moderne) ;
â Flood SYN/ACK (de nombreuses requĂȘtes d'Ă©tablissement de connexion sont envoyĂ©es aux serveurs attaquĂ©s, la file d'attente de connexion dĂ©borde) ;
â attaques avec fragmentation de paquets, ping de mort, ping Flood (Google s'il vous plaĂźt) ;
- et ainsi de suite.
Ces attaques visent à « obstruer » le canal du serveur ou à « tuer » sa capacité à accepter du nouveau trafic.
Bien que lâinondation et lâamplification SYN/ACK soient trĂšs diffĂ©rentes, de nombreuses entreprises les combattent tout aussi bien. Des problĂšmes surviennent avec les attaques du groupe suivant.
Attaques sur L7 (couche application)
â HTTP Flood (si un site Web ou une API http est attaquĂ©) ;
â une attaque sur les zones vulnĂ©rables du site (celles qui ne disposent pas de cache, qui chargent trĂšs fortement le site, etc.).
Le but est de faire « travailler dur » le serveur, de traiter beaucoup de « requĂȘtes apparemment rĂ©elles » et de se retrouver sans ressources pour des requĂȘtes rĂ©elles.
Bien quâil existe dâautres attaques, celles-ci sont les plus courantes.
Les attaques sérieuses au niveau L7 sont créées d'une maniÚre unique pour chaque projet attaqué.
Pourquoi 2 groupes ?
Parce que nombreux sont ceux qui savent bien repousser les attaques au niveau L3 / L4, mais soit n'assument pas du tout la protection au niveau de l'application (L7), soit sont encore plus faibles que les alternatives pour y faire face.
Qui fait quoi sur le marché de la protection DDoS ?
(mon avis personnel)
Protection au niveau L3/L4
Pour repousser les attaques par amplification (« blocage » du canal du serveur), il existe des canaux suffisamment larges (de nombreux services de protection se connectent Ă la plupart des grands fournisseurs de backbone en Russie et disposent de canaux d'une capacitĂ© thĂ©orique supĂ©rieure Ă 1 Tbit). N'oubliez pas que les trĂšs rares attaques d'amplification durent plus d'une heure. Si vous ĂȘtes Spamhaus et que tout le monde ne vous aime pas, oui, ils peuvent essayer de fermer vos chaĂźnes pendant plusieurs jours, mĂȘme au risque de la survie du botnet mondial utilisĂ©. Si vous n'avez qu'une boutique en ligne, mĂȘme s'il s'agit de mvideo.ru, vous ne verrez pas 1 Tbit d'ici quelques jours trĂšs bientĂŽt (j'espĂšre).
Pour repousser les attaques avec inondation SYN/ACK, fragmentation de paquets, etc., vous avez besoin d'Ă©quipements ou de systĂšmes logiciels pour dĂ©tecter et arrĂȘter de telles attaques.
De nombreuses personnes produisent de tels Ă©quipements (Arbor, il existe des solutions de Cisco, Huawei, des implĂ©mentations logicielles de Wanguard, etc.), de nombreux opĂ©rateurs de backbone l'ont dĂ©jĂ installĂ© et vendent des services de protection DDoS (je connais les installations de Rostelecom, Megafon, TTK, MTS , en fait, tous les principaux fournisseurs font de mĂȘme avec les hĂ©bergeurs avec leur propre protection (Ă la OVH.com, Hetzner.de, j'ai moi-mĂȘme rencontrĂ© une protection sur ihor.ru). Certaines entreprises dĂ©veloppent leurs propres solutions logicielles (des technologies comme DPDK permettent de traiter des dizaines de gigabits de trafic sur une machine physique x86).
Parmi les acteurs connus, tout le monde peut lutter plus ou moins efficacement contre les DDoS L3/L4. Maintenant, je ne dirai pas qui a la plus grande capacitĂ© de canal maximale (il s'agit d'informations privilĂ©giĂ©es), mais ce n'est gĂ©nĂ©ralement pas si important, et la seule diffĂ©rence est la rapiditĂ© avec laquelle la protection est dĂ©clenchĂ©e (instantanĂ©ment ou aprĂšs quelques minutes d'arrĂȘt du projet, comme chez Hetzner).
La question est de savoir dans quelle mesure cela est rĂ©alisĂ© : une attaque par amplification peut ĂȘtre repoussĂ©e en bloquant le trafic en provenance des pays oĂč le trafic nuisible est le plus important, ou seul le trafic rĂ©ellement inutile peut ĂȘtre rejetĂ©.
Mais en mĂȘme temps, d'aprĂšs mon expĂ©rience, tous les acteurs sĂ©rieux du marchĂ© y font face sans problĂšme : Qrator, DDoS-Guard, Kaspersky, G-Core Labs (anciennement SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Je n'ai pas rencontrĂ© de protection d'opĂ©rateurs tels que Rostelecom, Megafon, TTK, Beeline ; selon les avis de collĂšgues, ils fournissent assez bien ces services, mais jusqu'Ă prĂ©sent, le manque d'expĂ©rience affecte pĂ©riodiquement : il faut parfois peaufiner quelque chose via le support de lâopĂ©rateur de protection.
Certains opérateurs disposent d'un service distinct de « protection contre les attaques au niveau L3/L4 », ou « protection des canaux », qui coûte beaucoup moins cher que la protection à tous les niveaux.
Pourquoi le fournisseur de backbone ne repousse-t-il pas les attaques de plusieurs centaines de Gbits, puisquâil ne dispose pas de ses propres canaux ?LâopĂ©rateur de protection peut se connecter Ă nâimporte lequel des principaux fournisseurs et repousser les attaques « Ă ses frais ». Vous devrez payer pour la chaĂźne, mais toutes ces centaines de Gbits ne seront pas toujours utilisĂ©es ; il existe des options pour rĂ©duire considĂ©rablement le coĂ»t des chaĂźnes dans ce cas, le systĂšme reste donc viable.
Ce sont les rapports que je recevais rĂ©guliĂšrement dâune protection de niveau supĂ©rieur L3/L4 tout en prenant en charge les systĂšmes du fournisseur dâhĂ©bergement.
Protection au niveau L7 (niveau application)
Les attaques au niveau L7 (niveau application) sont capables de repousser les unités de maniÚre cohérente et efficace.
J'ai beaucoup d'expérience réelle avec
â Qrator.net ;
â DDoS-Guard;
- Laboratoires G-Core ;
â Kaspersky.
Ils facturent pour chaque mégabit de trafic pur, un mégabit coûte environ plusieurs milliers de roubles. Si vous avez au moins 100 Mbps de trafic pur, oh. La protection coûtera trÚs cher. Je peux vous expliquer dans les articles suivants comment concevoir des applications afin d'économiser beaucoup sur la capacité des canaux de sécurité.
Le vĂ©ritable « roi de la colline » est Qrator.net, les autres sont Ă la traĂźne. Qrator est jusqu'Ă prĂ©sent le seul d'aprĂšs mon expĂ©rience Ă donner un pourcentage de faux positifs proche de zĂ©ro, mais en mĂȘme temps, ils sont plusieurs fois plus chers que les autres acteurs du marchĂ©.
D'autres opérateurs offrent également une protection stable et de haute qualité. De nombreux services que nous soutenons (y compris des trÚs connus dans le pays !) sont protégés contre DDoS-Guard, G-Core Labs, et sont assez satisfaits des résultats obtenus.
Attaques repoussées par Qrator
J'ai Ă©galement de l'expĂ©rience avec de petits opĂ©rateurs de sĂ©curitĂ© comme cloud-shield.ru, ddosa.net, des milliers d'entre eux. Je ne le recommanderai certainement pas, parce que... Je n'ai pas beaucoup d'expĂ©rience, mais je vais vous parler des principes de leur travail. Leur coĂ»t de protection est souvent infĂ©rieur de 1 Ă 2 ordres de grandeur Ă celui des principaux acteurs. En rĂšgle gĂ©nĂ©rale, ils achĂštent un service de protection partielle (L3/L4) auprĂšs d'un des plus grands acteurs + assurent leur propre protection contre les attaques de niveaux supĂ©rieurs. Cela peut ĂȘtre assez efficace + vous pouvez obtenir un bon service pour moins d'argent, mais ce sont encore de petites entreprises avec un petit effectif, gardez cela Ă l'esprit.
Quelle est la difficulté de repousser les attaques au niveau L7 ?
Toutes les applications sont uniques et vous devez autoriser le trafic qui leur est utile et bloquer celui qui leur est nuisible. Il nâest pas toujours possible dâĂ©liminer sans Ă©quivoque les robots, vous devez donc utiliser de trĂšs nombreux degrĂ©s de purification du trafic.
Il Ă©tait une fois le module nginx-testcookie qui suffisait (), et câest encore suffisant pour repousser un grand nombre dâattaques. Lorsque je travaillais dans le secteur de l'hĂ©bergement, la protection L7 Ă©tait basĂ©e sur nginx-testcookie.
Malheureusement, les attaques sont devenues plus difficiles. testcookie utilise des contrÎles de robots basés sur JS, et de nombreux robots modernes peuvent les réussir.
Les botnets dâattaque sont Ă©galement uniques et les caractĂ©ristiques de chaque grand botnet doivent ĂȘtre prises en compte.
Amplification, inondation directe à partir d'un botnet, filtrage du trafic de différents pays (filtrage différent pour différents pays), inondation SYN/ACK, fragmentation de paquets, ICMP, inondation http, tandis qu'au niveau application/http, vous pouvez proposer un nombre illimité de différentes attaques.
Au total, au niveau de la protection des canaux, des équipements spécialisés pour évacuer le trafic, des logiciels spéciaux, des paramÚtres de filtrage supplémentaires pour chaque client, il peut y avoir des dizaines et des centaines de niveaux de filtrage.
Pour gĂ©rer correctement cela et rĂ©gler correctement les paramĂštres de filtrage pour les diffĂ©rents utilisateurs, vous avez besoin de beaucoup d'expĂ©rience et de personnel qualifiĂ©. MĂȘme un grand opĂ©rateur qui a dĂ©cidĂ© de fournir des services de protection ne peut pas « jeter bĂȘtement de l'argent sur le problĂšme » : il devra acquĂ©rir de l'expĂ©rience Ă partir de sites mensongers et de faux positifs sur du trafic lĂ©gitime.
Il nâexiste pas de bouton « repousser les DDoS » pour lâopĂ©rateur de sĂ©curitĂ© ; il existe un grand nombre dâoutils, et il faut savoir les utiliser.
Et encore un exemple bonus.
Un serveur non protégé a été bloqué par l'hébergeur lors d'une attaque d'une capacité de 600 Mbit
(« La perte » de trafic n'est pas perceptible, car un seul site a été attaqué, il a été temporairement supprimé du serveur et le blocage a été levé en une heure).
Le mĂȘme serveur est protĂ©gĂ©. Les assaillants se sont « rendus » aprĂšs une journĂ©e dâattaques repoussĂ©es. Lâattaque elle-mĂȘme nâa pas Ă©tĂ© la plus forte.
L'attaque et la défense de L3/L4 sont plus triviales ; elles dépendent principalement de l'épaisseur des canaux, des algorithmes de détection et de filtrage des attaques.
Les attaques L7 sont plus complexes et originales ; elles dĂ©pendent de l'application attaquĂ©e, des capacitĂ©s et de l'imagination des attaquants. La protection contre eux nĂ©cessite beaucoup de connaissances et d'expĂ©rience, et le rĂ©sultat peut ne pas ĂȘtre immĂ©diat ni Ă cent pour cent. Jusqu'Ă ce que Google propose un autre rĂ©seau neuronal pour la protection.
Source: habr.com
