ProHoster > Blog > Rianachd > A ’toirt aoigheachd le làn dhìon an aghaidh ionnsaighean DDoS - uirsgeul no fìrinn
A ’toirt aoigheachd le làn dhìon an aghaidh ionnsaighean DDoS - uirsgeul no fìrinn
Anns a’ chiad dà chairteal de 2020, bha an àireamh de dh’ ionnsaighean DDoS cha mhòr trì uiread, le 65% dhiubh nan oidhirpean prìomhadail air “deuchainn luchdan” a bhios gu furasta “a’ cuir à comas ”làraich gun dìon de stòran beaga air-loidhne, fòraman, blogaichean agus ionadan meadhanan.
Mar a roghnaicheas tu aoigheachd fo dhìon DDoS? Dè bu chòir dhut aire a thoirt dha agus dè a bu chòir dhut ullachadh air a shon gus nach bi thu ann an suidheachadh mì-thlachdmhor?
(Banachdach an aghaidh margaidheachd “liath” a-staigh)
Tha na tha ri fhaighinn agus measgachadh de dh’ innealan airson a bhith a’ coileanadh ionnsaighean DDoS a’ toirt air luchd-seilbh sheirbheisean air-loidhne ceumannan iomchaidh a ghabhail gus cuir an-aghaidh a’ chunnart. Bu chòir dhut smaoineachadh air dìon DDoS chan ann às deidh a ’chiad fhàilligeadh, agus chan ann eadhon mar phàirt de sheata de cheumannan gus fulangas locht a’ bhun-structair a mheudachadh, ach aig an ìre de bhith a ’taghadh làrach airson àite (solaraiche aoigheachd no ionad dàta).
Tha ionnsaighean DDoS air an seòrsachadh a rèir nam protocalan aig a bheil so-leòntachd air a chleachdadh gu ìrean modal Eadar-cheangal Siostaman Fosgailte (OSI):
seanail (L2),
lìonra (L3),
còmhdhail (L4),
air a chur an sàs (L7).
Bho shealladh siostaman tèarainteachd, faodar an roinn ann an dà bhuidheann: ionnsaighean ìre bun-structair (L2-L4) agus ionnsaighean ìre tagraidh (L7). Tha seo mar thoradh air an t-sreath de bhith a’ coileanadh algorithms mion-sgrùdadh trafaic agus iom-fhillteachd coimpiutaireachd: mar as doimhne a choimheadas sinn a-steach don phasgan IP, is ann as motha de chumhachd coimpiutaireachd a tha a dhìth.
San fharsaingeachd, tha an duilgheadas ann a bhith ag àrdachadh àireamhachadh nuair a bhios tu a’ giullachd trafaic ann an àm fìor na chuspair airson sreath de artaigilean air leth. A-nis smaoinichidh sinn gu bheil cuid de sholaraiche sgòthan ann le goireasan coimpiutaireachd gun chrìoch a dh ’fhaodas làraich a dhìon bho ionnsaighean aig ìre tagraidh (a’ toirt a-steach saor an-asgaidh).
3 prìomh cheistean gus faighinn a-mach dè an ìre de thèarainteachd aoigheachd an aghaidh ionnsaighean DDoS
Bheir sinn sùil air na cumhachan seirbheis airson dìon an aghaidh ionnsaighean DDoS agus Aonta Ìre Seirbheis (SLA) an t-solaraiche aoigheachd. A bheil freagairtean ann do na ceistean a leanas:
dè na crìochan teicnigeach a tha an solaraiche seirbheis ag ràdh??
dè thachras nuair a thèid an neach-ceannach seachad air na crìochan?
Ciamar a thogas solaraiche aoigheachd dìon an aghaidh ionnsaighean DDoS (teicneòlasan, fuasglaidhean, solaraichean)?
Mura h-eil thu air am fiosrachadh seo a lorg, tha seo na adhbhar airson smaoineachadh air cho dona sa tha an solaraiche seirbheis, no gus dìon bunaiteach DDoS (L3-4) a chuir air dòigh leat fhèin. Mar eisimpleir, òrdaich ceangal corporra ri lìonra solaraiche tèarainteachd sònraichte.
Cudromach! Chan eil feum sam bith ann a bhith a’ toirt dìon an aghaidh ionnsaighean ìre tagraidh a’ cleachdadh Reverse Proxy mura h-urrainn don t-solaraiche aoigheachd agad dìon a thoirt seachad an-aghaidh ionnsaighean aig ìre bun-structair: bidh cus cuideim air uidheamachd an lìonraidh agus cha bhith e ri fhaighinn, a’ gabhail a-steach airson frithealaichean progsaidh an t-solaraiche sgòthan (Figear 1).
Figear 1. Ionnsaigh dìreach air lìonra an t-solaraiche aoigheachd
Agus na leig leotha feuchainn ri sgeulachdan sìthe innse dhut gu bheil fìor sheòladh IP an fhrithealaiche falaichte air cùl sgòthan an t-solaraiche tèarainteachd, a tha a’ ciallachadh gu bheil e do-dhèanta ionnsaigh a thoirt air gu dìreach. Ann an naoi cùisean a-mach à deich, cha bhith e duilich do neach-ionnsaigh fìor sheòladh IP an fhrithealaiche no co-dhiù lìonra an t-solaraiche aoigheachd a lorg gus ionad dàta iomlan “a sgrios”.
Mar a bhios hackers ag obair a’ lorg fìor sheòladh IP
Gu h-ìosal tha grunn dhòighean air seòladh IP fìor a lorg (air a thoirt seachad airson adhbharan fiosrachaidh).
Dòigh 1: Rannsaich ann an stòran fosgailte
Faodaidh tu do rannsachadh a thòiseachadh leis an t-seirbheis air-loidhne Eòlas X: Bidh e a’ sgrùdadh an lìon dhorcha, àrd-ùrlaran roinneadh sgrìobhainnean, pròiseasan Whois data, dàta poblach ag aoidion agus mòran stòran eile.
Ma bha e comasach, stèidhichte air cuid de shoidhnichean (cinn-cinn HTTP, dàta Whois, msaa), dearbhadh gu bheil dìon na làraich air a chuir air dòigh le Cloudflare, faodaidh tu tòiseachadh air an fhìor IP a lorg bho an liosta, anns a bheil timcheall air 3 millean seòladh IP de làraich a tha air cùl Cloudflare.
A’ cleachdadh teisteanas SSL agus seirbheis Censys gheibh thu tòrr fiosrachaidh feumail, a 'gabhail a-steach fìor sheòladh IP na làraich. Gus iarrtas airson do ghoireas a ghineadh, rachaibh gu tab Teisteanasan agus cuir a-steach:
_parsed.names: ainmlàrach AGUS tags.raw: earbsach
Gus seòlaidhean IP luchd-frithealaidh a lorg a’ cleachdadh teisteanas SSL, feumaidh tu a dhol tron liosta tuiteam-sìos le grunn innealan (an taba “Rannsaich”, agus an uairsin tagh “IPv4 Hosts”).
Dòigh 2: DNS
Is e seann dhòigh dearbhte a th’ ann a bhith a’ sgrùdadh eachdraidh atharrachaidhean clàran DNS. Faodaidh seòladh IP na làraich roimhe seo a dhèanamh soilleir dè an aoigheachd (no an ionad dàta) air an robh e. Am measg nan seirbheisean air-loidhne a thaobh cho furasta an cleachdadh, tha na leanas a’ seasamh a-mach: SeallDNS и Slighean tèarainteachd.
Nuair a dh’ atharraicheas tu na roghainnean, cha chleachd an làrach seòladh IP an t-solaraiche tèarainteachd sgòthan no CDN sa bhad, ach obraichidh e gu dìreach airson ùine. Anns a 'chùis seo, tha e comasach gum bi fiosrachadh mu sheòladh stòr na làraich ann an seirbheisean air-loidhne airson eachdraidh atharrachaidhean seòladh IP a stòradh.
Mura h-eil dad ann ach ainm an t-seann fhrithealaiche DNS, an uairsin a’ cleachdadh goireasan sònraichte (cladhach, aoigheachd no nslookup) faodaidh tu seòladh IP iarraidh le ainm àrainn na làraich, mar eisimpleir:
_dig @old_dns_server_name ainmсайта
Dòigh 3: post-d
Is e am beachd air an dòigh am foirm fios-air-ais / clàraidh a chleachdadh (no dòigh sam bith eile a leigeas leat litir a chuir air adhart) gus litir fhaighinn chun phost-d agad agus sùil a thoirt air na cinn, gu sònraichte an raon “Faighteadh”. .
Bidh an ceann post-d gu tric a’ toirt a-steach fìor sheòladh IP a ’chlàr MX (frithealaiche iomlaid post-d), a dh’ fhaodadh a bhith na thoiseach tòiseachaidh airson frithealaichean eile a lorg air an targaid.
Rannsaich Innealan Automation
Mar as trice bidh bathar-bog sgrùdaidh IP air cùl sgiath Cloudflare ag obair airson trì gnìomhan:
Sgan airson mì-dhealbhadh DNS a’ cleachdadh DNSDumpster.com;
Sgan stòr-dàta Crimeflare.com;
lorg subdomains a’ cleachdadh dòigh sgrùdaidh faclair.
Is e a bhith a’ lorg subdomains gu tric an roghainn as èifeachdaiche de na trì - dh’ fhaodadh sealbhadair na làraich am prìomh làrach a dhìon agus na subdomains fhàgail a’ ruith gu dìreach. Is e an dòigh as fhasa sgrùdadh a dhèanamh air a chleachdadh CloudFail.
A bharrachd air an sin, tha goireasan ann a chaidh a dhealbhadh a-mhàin airson a bhith a’ sgrùdadh fo-roinnean a’ cleachdadh sgrùdadh faclair agus a’ sgrùdadh ann an stòran fosgailte, mar eisimpleir: Fo-liosta 3r no dnsrecon.
Mar a tha rannsachadh a’ tachairt ann an cleachdadh
Mar eisimpleir, leig dhuinn an làrach seo.com a 'cleachdadh Cloudflare, a lorgas sinn a' cleachdadh seirbheis ainmeil air a thogail leis (a 'leigeil leat an dà chuid na teicneòlasan / einnseanan / CMS a dhearbhadh air a bheil an làrach ag obrachadh, agus a chaochladh - lorg làraich leis na teicneòlasan a thathar a' cleachdadh).
Nuair a phutas tu air an taba “IPv4 Hosts”, seallaidh an t-seirbheis liosta de luchd-aoigheachd a’ cleachdadh an teisteanais. Gus am fear a tha a dhìth ort a lorg, coimhead airson seòladh IP le port fosgailte 443. Ma bheir e ath-stiùireadh chun làrach a tha thu ag iarraidh, bidh an obair deiseil, air neo feumaidh tu ainm àrainn na làraich a chur ri bann-cinn “Host” an Iarrtas HTTP (mar eisimpleir, * curl -H "Host: site_name" *https://IP_адрес).
Anns a 'chùis againn, cha tug rannsachadh ann an stòr-dàta Censys dad, agus mar sin gluaisidh sinn air adhart.
Le bhith a’ sgrùdadh tro na seòlaidhean a tha air an ainmeachadh anns na liostaichean de luchd-frithealaidh DNS a’ cleachdadh goireas CloudFail, lorg sinn goireasan obrach. Bidh an toradh deiseil ann am beagan dhiog.
A’ cleachdadh dìreach dàta fosgailte agus innealan sìmplidh, cho-dhùin sinn fìor sheòladh IP an fhrithealaiche lìn. Tha an còrr airson an neach-ionnsaigh na chùis teicneòlais.
Tillidh sinn gu bhith a’ taghadh solaraiche aoigheachd. Gus measadh a dhèanamh air buannachd na seirbheis don neach-ceannach, beachdaichidh sinn air dòighean dìon an aghaidh ionnsaighean DDoS.
Mar a bhios solaraiche aoigheachd a 'togail a dhìon
Siostam dìon fhèin le uidheamachd sìolaidh (Figear 2).
Feumaidh:
1.1. Uidheam sìolaidh trafaic agus ceadan bathar-bog;
1.2. Eòlaichean làn-ùine airson a thaic agus obrachadh;
1.3. Seanalan ruigsinneachd eadar-lìn a bhios gu leòr airson ionnsaighean fhaighinn;
1.4. Leud-còmhnard seanail ro-phàighte cudromach airson trafaic “sgudail” fhaighinn.
Figear 2. Siostam tèarainteachd solaraiche aoigheachd fhèin
Ma bheachdaicheas sinn air an t-siostam a chaidh a mhìneachadh mar dhòigh dìon an aghaidh ionnsaighean DDoS an latha an-diugh de cheudan Gbps, cosgaidh siostam mar seo tòrr airgid. A bheil an leithid de dhìon aig an t-solaraiche aoigheachd? A bheil e deiseil airson pàigheadh airson trafaic “sgudail”? Gu follaiseach, tha modal eaconamach mar seo neo-phrothaideach don t-solaraiche mura h-eil na taraidhean a ’toirt seachad pàighidhean a bharrachd.
Reverse Proxy (airson làraich-lìn agus cuid de thagraidhean a-mhàin). A dh'aindeoin àireamh buannachdan, chan eil an solaraiche a’ gealltainn dìon an aghaidh ionnsaighean DDoS dìreach (faic Figear 1). Bidh solaraichean aoigheachd gu tric a ’tabhann fuasgladh mar seo mar panacea, a’ gluasad uallach don t-solaraiche tèarainteachd.
Seirbheisean solaraiche sgòthan sònraichte (cleachdadh an lìonra sìolaidh aige) gus dìon an aghaidh ionnsaighean DDoS aig gach ìre OSI (Figear 3).
Figear 3. Dìon cuimseach an aghaidh ionnsaighean DDoS a 'cleachdadh solaraiche speisealta co-dhùnadh a’ gabhail ri amalachadh domhainn agus ìre àrd de chomas teignigeach an dà phàrtaidh. Le bhith a’ toirt a-mach seirbheisean sìolaidh trafaic leigidh sin leis an t-solaraiche aoigheachd prìs sheirbheisean a bharrachd a lughdachadh don neach-ceannach.
Cudromach! Mar as mionaidiche a thathas a’ toirt cunntas air feartan teicnigeach na seirbheis a tha air a thoirt seachad, is ann as motha a bhios an cothrom a bhith ag iarraidh am buileachadh no dìoladh gun fhios nach bi ùine downt ann.
A bharrachd air na trì prìomh dhòighean, tha mòran choimeasgaidhean agus choimeasgaidhean ann. Nuair a bhios tu a 'taghadh aoigheachd, tha e cudromach cuimhneachadh gum bi an co-dhùnadh an urra chan ann a-mhàin air meud ionnsaighean dùinte agus cruinneas sìoltachaidh, ach cuideachd air astar freagairt, a bharrachd air susbaint fiosrachaidh (liosta de dh'ionnsaighean dùinte, staitistig coitcheann, msaa).
Cuimhnich nach eil ach beagan sholaraichean aoigheachd san t-saoghal comasach air ìre iomchaidh de dhìon a thoirt seachad leotha fhèin; ann an cùisean eile, bidh co-obrachadh agus litearrachd theicnigeach a 'cuideachadh. Mar sin, le bhith a’ tuigsinn nam prionnsapalan bunaiteach mu bhith a’ cur dìon air dòigh an aghaidh ionnsaighean DDoS leigidh sin le sealbhadair na làraich gun a bhith a’ tuiteam airson cleasan margaidheachd agus gun a bhith a’ ceannach “muc ann am poke.”