“Tha am fear a chruthaich an làrach-lìn againn mu thràth air dìon DDoS a stèidheachadh.”
“Tha dìon DDoS againn, carson a chaidh an làrach sìos?"
“Cò mheud mìle a tha Qrator ag iarraidh?”
Gus ceistean mar sin a fhreagairt gu ceart bhon neach-ceannach / ceannard, bhiodh e math fios a bhith agad dè a tha falaichte air cùl an ainm “DDoS protection”. Tha a bhith a’ taghadh seirbheisean tèarainteachd nas coltaiche ri bhith a’ taghadh cungaidh-leigheis bho dhotair na bhith a’ taghadh bòrd aig IKEA.
Tha mi air a bhith a’ toirt taic do làraich-lìn airson 11 bliadhna, air a bhith beò ceudan de ionnsaighean air na seirbheisean a tha mi a’ toirt taic, agus a-nis innsidh mi beagan dhut mun obair dìon a-staigh.
ionnsaighean cunbhalach. 350k req gu h-iomlan, 52k req dligheach
Nochd a 'chiad ionnsaighean cha mhòr aig an aon àm leis an eadar-lìon. Tha DDoS mar iongantas air fàs farsaing bho dheireadh nan 2000n (thoir sùil air ).
Bho timcheall air 2015-2016, tha cha mhòr a h-uile solaraiche aoigheachd air a bhith air an dìon bho ionnsaighean DDoS, mar a tha na làraich as fhollaisiche ann an raointean farpaiseach (dèan cò leis a tha IP de na làraich eldorado.ru, leroymerlin.ru, tilda.ws, chì thu na lìonraidhean de ghnìomhaichean dìon).
Nam biodh 10-20 bliadhna air ais dh’ fhaodadh a’ mhòr-chuid de dh’ ionnsaighean a bhith air an cuir air ais air an fhrithealaiche fhèin (dèan measadh air molaidhean rianadair siostam Lenta.ru Maxim Moshkov bho na 90an: ), ach a-nis tha gnìomhan dìon air fàs nas duilghe.
Seòrsan ionnsaighean DDoS bho shealladh taghadh gnìomhaiche dìon
Ionnsaighean aig ìre L3/L4 (a rèir modail OSI)
- tuil UDP bho botnet (thèid mòran iarrtasan a chuir gu dìreach bho innealan gabhaltach chun t-seirbheis fo ionnsaigh, tha na frithealaichean air am bacadh leis an t-sianal);
- Meudachadh DNS / NTP / msaa (bidh mòran iarrtasan air an cur bho innealan gabhaltach gu DNS / NTP / msaa so-leònte, tha seòladh an neach a chuir e air a chruthachadh, tha sgòth de phasgan a ’freagairt iarrtasan a’ tuiltean sianal an neach a tha fo ionnsaigh; seo mar as motha thèid ionnsaighean mòra a dhèanamh air an eadar-lìn ùr-nodha);
- tuil SYN / ACK (tha mòran iarrtasan airson ceangal a stèidheachadh air an cur gu na frithealaichean ionnsaigh, tha an ciudha ceangail a’ dol thairis);
- ionnsaighean le sgaradh pacaid, ping bàis, tuil ping (Google mas e do thoil e);
- Agus mar sin air adhart.
Tha na h-ionnsaighean sin ag amas air “clog” seanail an fhrithealaiche no “marbhadh” a chomas gabhail ri trafaic ùr.
Ged a tha tuiltean SYN/ACK agus leudachadh gu math eadar-dhealaichte, bidh mòran chompanaidhean a’ sabaid riutha a cheart cho math. Bidh duilgheadasan ag èirigh le ionnsaighean bhon ath bhuidheann.
Ionnsaighean air L7 (sreath tagraidh)
- http tuil (ma thèid ionnsaigh a thoirt air làrach-lìn no cuid de http api);
- ionnsaigh air raointean so-leònte den làrach (an fheadhainn aig nach eil tasgadan, a bhios a’ luchdachadh an làrach gu mòr, msaa).
Is e an t-amas gum bi an frithealaiche “ag obair gu cruaidh”, a’ giullachd mòran de “iarrtasan a tha coltach gu fìor” agus a bhith air am fàgail às aonais goireasan airson fìor iarrtasan.
Ged a tha ionnsaighean eile ann, is iad seo an fheadhainn as cumanta.
Thathas a’ cruthachadh fìor ionnsaighean aig ìre L7 ann an dòigh air leth airson gach pròiseact air a bheilear a’ toirt ionnsaigh.
Carson 2 bhuidheann?
Leis gu bheil mòran ann a tha eòlach air ionnsaighean a chuir air ais gu math aig ìre L3 / L4, ach an dàrna cuid nach eil a ’gabhail dìon aig ìre tagraidh (L7) idir, no tha iad fhathast nas laige na roghainnean eile ann a bhith a’ dèiligeadh riutha.
Cò a th’ ann am margaidh dìon DDoS
(mo bheachd pearsanta)
Dìon aig ìre L3/L4
Gus ionnsaighean a chuir air ais le leudachadh (“bacadh” den t-sianal frithealaiche), tha seanalan farsaing gu leòr ann (bidh mòran de na seirbheisean dìon a’ ceangal ris a’ mhòr-chuid de sholaraichean cnàimh-droma mòra san Ruis agus tha seanalan aca le comas teòiridheach nas motha na 1 Tbit). Na dì-chuimhnich gum mair ionnsaighean leudachaidh glè ainneamh nas fhaide na uair a thìde. Mas e Spamhaus a th’ annad agus nach toil leis a h-uile duine thu, tha, is dòcha gum feuch iad ris na seanailean agad a dhùnadh sìos airson grunn làithean, eadhon ann an cunnart gum mair an botnet cruinne a thèid a chleachdadh tuilleadh. Ma tha dìreach stòr air-loidhne agad, eadhon ged is e mvideo.ru a th’ ann, chan fhaic thu 1 Tbit taobh a-staigh beagan làithean gu math luath (tha mi an dòchas).
Gus ionnsaighean le tuiltean SYN/ACK a chuir air ais, sgaradh pacaid, msaa, feumaidh tu uidheamachd no siostaman bathar-bog gus ionnsaighean leithid seo a lorg agus stad.
Bidh mòran dhaoine a’ toirt a-mach uidheamachd mar seo (Arbor, tha fuasglaidhean ann bho Cisco, Huawei, buileachadh bathar-bog bho Wanguard, msaa), tha mòran de ghnìomhaichean cnàimh-droma air a chuir a-steach mu thràth agus a ’reic seirbheisean dìon DDoS (tha fios agam mu ionadan bho Rostelecom, Megafon, TTK, MTS , gu dearbh, bidh a h-uile prìomh sholaraiche a 'dèanamh an aon rud le luchd-aoigheachd le an dìon fhèin a-la OVH.com, Hetzner.de, thachair mi fhìn ri dìon aig ihor.ru). Tha cuid de chompanaidhean a’ leasachadh am fuasglaidhean bathar-bog aca fhèin (tha teicneòlasan leithid DPDK a’ toirt cothrom dhut deichean de gigabits de thrafaig a làimhseachadh air aon inneal corporra x86).
De na cluicheadairean ainmeil, faodaidh a h-uile duine sabaid an aghaidh L3 / L4 DDoS barrachd no nas èifeachdaiche. A-nis cha bhith mi ag ràdh cò aig a bheil an comas seanail as motha (is e seo fiosrachadh taobh a-staigh), ach mar as trice chan eil seo cho cudromach, agus is e an aon eadar-dhealachadh cho luath sa tha an dìon air a phiobrachadh (sa bhad no às deidh beagan mhionaidean de ùine downt pròiseict, mar ann an Hetzner).
Is e a’ cheist dè cho math ‘s a tha seo air a dhèanamh: faodar ionnsaigh leudachaidh a chuir air ais le bhith a’ bacadh trafaic bho dhùthchannan leis an ìre as motha de thrafaig cronail, no chan urrainnear ach trafaic fìor neo-riatanach a chuir air falbh.
Ach aig an aon àm, stèidhichte air an eòlas agam, bidh a h-uile cluicheadair margaidh trom a’ dèiligeadh ri seo gun duilgheadasan: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (SkyParkCDN roimhe seo), ServicePipe, Stormwall, Voxility, msaa.
Cha do thachair mi ri dìon bho ghnìomhaichean leithid Rostelecom, Megafon, TTK, Beeline; a rèir lèirmheasan bho cho-obraichean, bidh iad a ’toirt seachad na seirbheisean sin gu math, ach gu ruige seo tha dìth eòlais a’ toirt buaidh bho àm gu àm: uaireannan feumaidh tu rudeigin a thionndadh tron taic den ghnìomhaiche dìon.
Tha seirbheis air leth aig cuid de ghnìomhaichean “dìon an aghaidh ionnsaighean aig ìre L3/L4”, no “dìon seanail”; tha e a’ cosg mòran nas lugha na dìon aig gach ìre.
Carson nach eil an solaraiche cnàimh-droma a’ toirt air ais ionnsaighean de cheudan Gbits, leis nach eil na seanailean aige fhèin?Faodaidh an gnìomhaiche dìon ceangal a dhèanamh ri gin de na prìomh sholaraichean agus ionnsaighean a chuir air ais “aig a chosgais.” Feumaidh tu pàigheadh airson an t-seanail, ach cha tèid na ceudan Gbits sin uile a chleachdadh an-còmhnaidh; tha roghainnean ann gus cosgais seanalan a lughdachadh gu mòr sa chùis seo, agus mar sin bidh an sgeama fhathast comasach.
Is iad sin na h-aithisgean a fhuair mi gu cunbhalach bho dhìon àrd-ìre L3 / L4 fhad ‘s a bha mi a’ toirt taic do shiostaman an t-solaraiche aoigheachd.
Dìon aig ìre L7 (ìre tagraidh)
Bidh ionnsaighean aig ìre L7 (ìre tagraidh) comasach air aonadan a chuir air ais gu cunbhalach agus gu h-èifeachdach.
Tha tòrr fìor eòlas agam le
— Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Bidh iad a 'cosg airson gach megabit de thrafaig fìor, tha megabit a' cosg mu mhìltean rubles. Ma tha co-dhiù 100 Mbps de thrafaig fhìor agad - oh. Bidh dìon gu math daor. Is urrainn dhomh innse dhut anns na h-artaigilean a leanas mar a dhealbhaicheas tu tagraidhean gus tòrr a shàbhaladh air comas seanalan tèarainteachd.
Is e fìor “rìgh a’ chnuic” Qrator.net, tha an còrr air dheireadh orra. Is e Qrator gu ruige seo an aon fheadhainn nam eòlas a tha a’ toirt seachad ceudad de nithean ceàrr faisg air neoni, ach aig an aon àm tha iad grunn thursan nas daoire na cluicheadairean margaidh eile.
Bidh gnìomhaichean eile cuideachd a’ toirt seachad dìon àrd-inbhe agus seasmhach. Tha mòran de sheirbheisean a tha a’ faighinn taic bhuainn (a’ toirt a-steach feadhainn a tha gu math ainmeil san dùthaich!) Air an dìon bho DDoS-Guard, G-Core Labs, agus tha iad gu math riaraichte leis na toraidhean a fhuaireadh.
Ionnsaighean air an ath-ghairm le Qrator
Tha eòlas agam cuideachd le gnìomhaichean tèarainteachd beaga leithid cloud-shield.ru, ddosa.net, mìltean dhiubh. Cha bhith mi gu cinnteach ga mholadh, oir ... Chan eil mòran eòlas agam, ach innsidh mi dhut mu phrionnsabalan na h-obrach aca. Gu tric bidh an cosgais dìon aca 1-2 òrdugh meudachd nas ìsle na cosgais prìomh chluicheadairean. Mar riaghailt, bidh iad a’ ceannach seirbheis dìon pàirt (L3 / L4) bho aon de na cluicheadairean as motha + a’ dèanamh an dìon fhèin an aghaidh ionnsaighean aig ìrean nas àirde. Faodaidh seo a bhith gu math èifeachdach + gheibh thu seirbheis mhath airson nas lugha de dh’ airgead, ach tha iad sin fhathast nan companaidhean beaga le luchd-obrach beag, feuch an cùm thu sin nad inntinn.
Dè an duilgheadas a th’ ann a bhith a’ toirt air ais ionnsaighean aig ìre L7?
Tha a h-uile tagradh gun samhail, agus feumaidh tu trafaic a cheadachadh a tha feumail dhaibh agus casg a chuir air feadhainn cronail. Chan eil e an-còmhnaidh comasach botaichean a chuir a-mach gu soilleir, agus mar sin feumaidh tu mòran, dha-rìribh MANY ìrean de ghlanadh trafaic a chleachdadh.
Uair dhe na h-uairean, bha am modal nginx-testcookie gu leòr (), agus tha e fhathast gu leòr airson àireamh mhòr de ionnsaighean a chuir air ais. Nuair a bha mi ag obair anns a 'ghnìomhachas aoigheachd, bha dìon L7 stèidhichte air nginx-testcookie.
Gu mì-fhortanach, tha ionnsaighean air fàs nas duilghe. Bidh testcookie a’ cleachdadh sgrùdaidhean bot stèidhichte air JS, agus faodaidh mòran bhotan ùr-nodha an toirt seachad gu soirbheachail.
Tha botnets ionnsaigh cuideachd gun samhail, agus feumar aire a thoirt do fheartan gach botnet mòr.
Meudachadh, tuiltean dìreach bho botnet, sìoladh trafaic bho dhiofar dhùthchannan (sìoladh eadar-dhealaichte airson diofar dhùthchannan), tuiltean SYN / ACK, sgaradh pacaid, ICMP, http tuiltean, agus aig an ìre tagraidh / http faodaidh tu àireamh neo-chuingealaichte de diofar ionnsaighean.
Gu h-iomlan, aig ìre dìon seanail, uidheamachd sònraichte airson trafaic a ghlanadh, bathar-bog sònraichte, suidheachaidhean sìoltachaidh a bharrachd airson gach teachdaiche faodaidh deichean is ceudan de ìrean sìolaidh a bhith ann.
Gus seo a riaghladh gu ceart agus roghainnean sìoltachaidh a ghleusadh gu ceart airson diofar luchd-cleachdaidh, feumaidh tu tòrr eòlas agus luchd-obrach le teisteanas. Chan urrainn eadhon gnìomhaiche mòr a tha air co-dhùnadh seirbheisean dìon a thoirt seachad “airgead a thilgeil gu gòrach air an duilgheadas”: feumar eòlas fhaighinn bho làraich laighe agus nithean ceàrr air trafaic dhligheach.
Chan eil putan “repel DDoS” ann airson a’ ghnìomhaiche tèarainteachd; tha àireamh mhòr de dh’ innealan ann, agus feumaidh fios a bhith agad mar a chleachdas tu iad.
Agus aon eisimpleir bonus eile.
Chaidh frithealaiche gun dìon a bhacadh leis an òstair ri linn ionnsaigh le comas 600 Mbit
(“Chan eil call” trafaic ri fhaicinn, leis nach deach ionnsaigh a thoirt ach air làrach 1, chaidh a thoirt air falbh bhon t-seirbheisiche airson ùine agus chaidh am bacadh a thogail taobh a-staigh uair a-thìde).
Tha an aon fhrithealaiche air a dhìon. Ghèill an luchd-ionnsaigh “às deidh latha de dh’ ionnsaighean ath-chuinge. Cha robh an ionnsaigh fhèin cho làidir.
Tha ionnsaigh agus dìon L3 / L4 nas duilghe; tha iad gu mòr an urra ri tiugh nan seanalan, algoirmean lorg agus sìoltachain airson ionnsaighean.
Tha ionnsaighean L7 nas iom-fhillte agus tùsail; tha iad an urra ris an tagradh air a bheilear a’ toirt ionnsaigh, comasan agus mac-meanmna an luchd-ionnsaigh. Feumaidh dìon nan aghaidh mòran eòlais agus eòlas, agus is dòcha nach bi an toradh sa bhad agus chan e ceud sa cheud. Gus an tàinig Google suas le lìonra neòil eile airson dìon.
Source: www.habr.com