"De man dy't ús webside makke hat DDoS-beskerming al ynsteld."
"Wy hawwe DDoS-beskerming, wêrom gie de side del?"
"Hoefolle tûzenen wol Qrator?"
Om sokke fragen fan de klant/baas goed te beantwurdzjen soe it moai wêze om te witten wat der efter de namme “DDoS-beskerming” skûlet. Kieze foar befeiligingstsjinsten is mear as it kiezen fan in medisyn fan in dokter dan it kiezen fan in tafel by IKEA.
Ik haw websiden foar 11 jier stipe, haw hûnderten oanfallen oerlibbe op 'e tsjinsten dy't ik stypje, en no sil ik jo in bytsje fertelle oer de ynderlike wurking fan beskerming.
Regelmjittige oanfallen. 350k req totaal, 52k req legitime
De earste oanfallen ferskynden hast tagelyk mei it ynternet. DDoS as fenomeen is wiidferspraat wurden sûnt de lette 2000s (besjoch ).
Sûnt sawat 2015-2016 binne hast alle hostingproviders beskerme fan DDoS-oanfallen, lykas de meast promininte siden yn kompetitive gebieten (doe whois troch IP fan 'e siden eldorado.ru, leroymerlin.ru, tilda.ws, jo sille de netwurken sjen fan beskermingsoperators).
As 10-20 jier lyn de measte oanfallen op 'e server sels kinne wurde ôfwiisd (evaluearje de oanbefellings fan Lenta.ru systeembehearder Maxim Moshkov út' e jierren '90: ), mar no binne beskermingstaken dreger wurden.
Soarten DDoS-oanfallen út it eachpunt fan it kiezen fan in beskermingsoperator
Oanfallen op L3/L4-nivo (neffens OSI-model)
- UDP-oerstreaming fan in botnet (in protte oanfragen wurde direkt stjoerd fan ynfekteare apparaten nei de oanfalle tsjinst, de servers wurde blokkearre mei it kanaal);
- DNS/NTP/etc-fersterking (in protte oanfragen wurde stjoerd fan ynfekteare apparaten nei kwetsbere DNS/NTP/etc, it adres fan de stjoerder is smeid, in wolk fan pakketten dy't reagearje op oanfragen oerstreamt it kanaal fan 'e oanfallen persoan; dit is hoe't it meast massale oanfallen wurde útfierd op it moderne ynternet);
- SYN / ACK-oerstreaming (in protte oanfragen om in ferbining te meitsjen wurde stjoerd nei de oanfallen servers, de ferbiningswachtrige rint oer);
- oanfallen mei pakketfragmentaasje, ping fan 'e dea, pingfloed (Google it asjebleaft);
- ensafuorthinne.
Dizze oanfallen hawwe as doel om it kanaal fan 'e tsjinner te "ferstoppe" of syn fermogen om nij ferkear te akseptearjen "deadzje".
Hoewol SYN / ACK-oerstreaming en amplifikaasje heul ferskillend binne, bestride in protte bedriuwen har like goed. Der ûntsteane problemen mei oanfallen fan de folgjende groep.
Oanfallen op L7 (applikaasjelaach)
- http oerstreaming (as in webside of wat http api wurdt oanfallen);
- in oanfal op kwetsbere gebieten fan 'e side (dyjingen dy't gjin cache hawwe, dy't de side tige swier laden, ensfh.).
It doel is om de tsjinner "hurd te wurkjen", in protte "skynber echte oanfragen" te ferwurkjen en sûnder boarnen te litten foar echte oanfragen.
Hoewol d'r oare oanfallen binne, binne dit de meast foarkommende.
Serieuze oanfallen op it L7-nivo wurde op in unike manier makke foar elk projekt dat wurdt oanfallen.
Wêrom 2 groepen?
Om't d'r in protte binne dy't goed witte hoe't se oanfallen op it L3 / L4-nivo ôfsmite, mar of hielendal gjin beskerming nimme op it tapassingsnivo (L7), of noch swakker binne as alternativen yn it omgean mei har.
Wa is wa yn 'e DDoS-beskermingsmerk
(myn persoanlike miening)
Beskerming op L3 / L4 nivo
Om oanfallen mei fersterking ôf te kearen ("blokkearje" fan it serverkanaal), binne d'r genôch brede kanalen (in protte fan 'e beskermingstsjinsten ferbine mei de measte fan' e grutte rêchbonkeproviders yn Ruslân en hawwe kanalen mei in teoretyske kapasiteit fan mear as 1 Tbit). Ferjit net dat heul seldsume amplifikaasjeoanfallen langer dan in oere duorje. As jo Spamhaus binne en elkenien hâldt jo net, ja, se kinne besykje jo kanalen foar ferskate dagen ôf te sluten, sels op it risiko fan it fierdere oerlibjen fan it globale botnet dat wurdt brûkt. As jo gewoan in online winkel, sels as it is mvideo.ru, do silst net sjen 1 Tbit binnen in pear dagen hiel gau (Ik hoopje).
Om oanfallen mei SYN / ACK-oerstreaming, pakketfragmentaasje, ensfh., Jo hawwe apparatuer of softwaresystemen nedich om sokke oanfallen te detektearjen en te stopjen.
In protte minsken produsearje sokke apparatuer (Arbor, d'r binne oplossingen fan Cisco, Huawei, software-ymplementaasjes fan Wanguard, ensfh.), In protte rêchbonke-operators hawwe it al ynstalleare en ferkeapje DDoS-beskermingstsjinsten (ik wit oer ynstallaasjes fan Rostelecom, Megafon, TTK, MTS , Yn feite, alle grutte oanbieders dogge itselde mei hosters mei harren eigen beskerming a-la OVH.com, Hetzner.de, Ik sels tsjinkaam beskerming by ihor.ru). Guon bedriuwen ûntwikkelje har eigen software-oplossings (technologyen lykas DPDK kinne jo tsientallen gigabits fan ferkear ferwurkje op ien fysike x86-masine).
Fan 'e bekende spilers kin elkenien L3 / L4 DDoS min of mear effektyf fjochtsje. No sil ik net sizze wa't de gruttere maksimale kanaalkapasiteit hat (dit is ynsiderynformaasje), mar normaal is dit net sa wichtich, en it ienige ferskil is hoe fluch de beskerming wurdt aktivearre (direkt of nei in pear minuten fan projektûnderbrekking, lykas yn Hetzner).
De fraach is hoe goed dit dien wurdt: in amplifikaasjeoanfal kin ôfwiisd wurde troch it blokkearjen fan ferkear út lannen mei it grutste bedrach fan skealik ferkear, of allinich wier ûnnedich ferkear kin wurde ôfkard.
Mar tagelyk, basearre op myn ûnderfining, kinne alle serieuze merkspilers dit sûnder problemen omgean: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (earder SkyParkCDN), ServicePipe, Stormwall, Voxility, ensfh.
Ik haw gjin beskerming tsjinfûn tsjin operators lykas Rostelecom, Megafon, TTK, Beeline; neffens resinsjes fan kollega's leverje se dizze tsjinsten frij goed, mar oant no is it gebrek oan ûnderfining periodyk fan ynfloed: soms moatte jo wat oanpasse troch de stipe fan de beskerming operator.
Guon operators hawwe in aparte tsjinst "beskerming tsjin oanfallen op it L3 / L4-nivo", of "kanaalbeskerming"; it kostet folle minder dan beskerming op alle nivo's.
Wêrom is de rêchbonke-oanbieder gjin oanfallen fan hûnderten Gbits ôf, om't it gjin eigen kanalen hat?De beskermingsoperator kin ferbine mei ien fan 'e grutte providers en oanfallen "op syn kosten" ôfwike. Jo sille moatte betelje foar it kanaal, mar al dizze hûnderten Gbits sille net altyd wurde brûkt; d'r binne opsjes om de kosten fan kanalen yn dit gefal signifikant te ferminderjen, sadat it skema wurkber bliuwt.
Dit binne de rapporten dy't ik regelmjittich krige fan hegere nivo L3 / L4-beskerming, wylst ik de systemen fan 'e hostingprovider stypje.
Beskerming op L7-nivo (applikaasjenivo)
Oanfallen op it L7-nivo (applikaasjenivo) kinne ienheden konsekwint en effisjint ôfwize.
Ik haw nochal in soad echte ûnderfining mei
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Se betelje foar elke megabit fan suver ferkear, in megabit kostet sa'n inkele tûzen roebel. As jo teminsten 100 Mbps fan suver ferkear hawwe - oh. Beskerming sil tige djoer wêze. Ik kin jo yn 'e folgjende artikels fertelle hoe't jo applikaasjes kinne ûntwerpe om in protte te besparjen op 'e kapasiteit fan befeiligingskanalen.
De echte "kening fan 'e heuvel" is Qrator.net, de rest leit efter harren. Qrator binne oant no ta de iennigen yn myn ûnderfining dy't jouwe in persintaazje fan falske posityf tichtby nul, mar tagelyk se binne ferskate kearen djoerder as oare merk spilers.
Oare operators jouwe ek hege kwaliteit en stabile beskerming. In protte tsjinsten stipe troch ús (ynklusyf tige bekende yn it lân!) Binne beskerme fan DDoS-Guard, G-Core Labs, en binne frij tefreden mei de resultaten krigen.
Oanfallen ôfwiisd troch Qrator
Ik haw ek ûnderfining mei lytse feiligens operators lykas cloud-shield.ru, ddosa.net, tûzenen fan harren. Ik sil it perfoarst net oanbefelje, om't ... Ik haw net folle ûnderfining, mar ik sil fertelle oer de prinsipes fan harren wurk. Harren kosten foar beskerming binne faak 1-2 oarders fan grutte leger as dy fan grutte spilers. As regel, se keapje in part beskerming tsjinst (L3 / L4) út ien fan de gruttere spilers + dogge harren eigen beskerming tsjin oanfallen op hegere nivo. Dit kin frij effektyf wêze + jo kinne goede tsjinst krije foar minder jild, mar dit binne noch altyd lytse bedriuwen mei in lyts personiel, hâld dat asjebleaft yn gedachten.
Wat is de muoite om oanfallen op it L7-nivo ôf te kearen?
Alle applikaasjes binne unyk, en jo moatte ferkear tastean dat nuttich is foar har en skealike blokkearje. It is net altyd mooglik om bots ûndúdlik út te weidzjen, dus jo moatte in protte, echt MANY graden fan ferkearsreiniging brûke.
Eartiids wie de nginx-testcookie-module genôch (), en it is noch genôch om in grut oantal oanfallen ôf te kearen. Doe't ik wurke yn de hosting yndustry, L7 beskerming wie basearre op nginx-testcookie.
Spitigernôch binne oanfallen dreger wurden. testcookie brûkt JS-basearre botkontrôles, en in protte moderne bots kinne se mei súkses trochjaan.
Oanfal botnets binne ek unyk, en de skaaimerken fan elk grut botnet moatte wurde rekken holden.
Amplifikaasje, direkte oerstreaming fan in botnet, filterjen fan ferkear út ferskate lannen (ferskillende filterjen foar ferskate lannen), SYN / ACK-oerstreaming, pakketfragmentaasje, ICMP, http-oerstreaming, wylst jo op it applikaasje-/http-nivo in ûnbeheind oantal kinne komme mei ferskate oanfallen.
Yn totaal, op it nivo fan kanaalbeskerming, spesjalisearre apparatuer foar it wiskjen fan ferkear, spesjale software, ekstra filterynstellingen foar elke kliïnt kinne tsientallen en hûnderten filternivo's wêze.
Om dit goed te behearjen en filterynstellingen foar ferskate brûkers goed ôf te stellen, hawwe jo in protte ûnderfining en kwalifisearre personiel nedich. Sels in grutte operator dy't besletten hat om beskermingstsjinsten te leverjen kin net "dom jild op it probleem goaie": ûnderfining sil opdien wurde moatte fan lizzende siden en falske positiven op legitime ferkear.
D'r is gjin knop "ôfslaan DDoS" foar de befeiligingsoperator; d'r binne in grut oantal ark, en jo moatte witte hoe't jo se brûke.
En noch ien bonus foarbyld.
In net beskerme server waard blokkearre troch de hoster by in oanfal mei in kapasiteit fan 600 Mbit
("It ferlies" fan ferkear is net te merken, om't allinich 1 side waard oanfallen, it waard tydlik fan 'e tsjinner fuortsmiten en it blokkearjen waard binnen in oere opheft).
Deselde tsjinner is beskerme. De oanfallers "oerjûn" nei in dei fan ôfwiisde oanfallen. De oanfal sels wie net de sterkste.
Oanfal en ferdigening fan L3 / L4 binne trivialer; se binne benammen ôfhinklik fan 'e dikte fan' e kanalen, deteksje en filtering algoritmen foar oanfallen.
L7-oanfallen binne komplekser en oarspronkliker; se binne ôfhinklik fan 'e applikaasje dy't wurdt oanfallen, de mooglikheden en ferbylding fan' e oanfallers. Beskerming tsjin har fereasket in protte kennis en ûnderfining, en it resultaat kin net direkt wêze en net hûndert prosint. Oant Google kaam mei in oar neural netwurk foar beskerming.
Boarne: www.habr.com