Anns a’ chiad dà chairteal de 2020, bha an àireamh de dh’ ionnsaighean DDoS cha mhòr trì uiread, le 65% dhiubh nan oidhirpean prìomhadail air “deuchainn luchdan” a bhios gu furasta “a’ cuir à comas ”làraich gun dìon de stòran beaga air-loidhne, fòraman, blogaichean agus ionadan meadhanan.
Mar a roghnaicheas tu aoigheachd fo dhìon DDoS? Dè bu chòir dhut aire a thoirt dha agus dè a bu chòir dhut ullachadh air a shon gus nach bi thu ann an suidheachadh mì-thlachdmhor?
(Banachdach an aghaidh margaidheachd “liath” a-staigh)
Tha na tha ri fhaighinn agus measgachadh de dh’ innealan airson a bhith a’ coileanadh ionnsaighean DDoS a’ toirt air luchd-seilbh sheirbheisean air-loidhne ceumannan iomchaidh a ghabhail gus cuir an-aghaidh a’ chunnart. Bu chòir dhut smaoineachadh air dìon DDoS chan ann às deidh a ’chiad fhàilligeadh, agus chan ann eadhon mar phàirt de sheata de cheumannan gus fulangas locht a’ bhun-structair a mheudachadh, ach aig an ìre de bhith a ’taghadh làrach airson àite (solaraiche aoigheachd no ionad dàta).
Tha ionnsaighean DDoS air an seòrsachadh a rèir nam protocalan aig a bheil so-leòntachd air a chleachdadh gu ìrean modal Eadar-cheangal Siostaman Fosgailte (OSI):
- seanail (L2),
- lìonra (L3),
- còmhdhail (L4),
- air a chur an sàs (L7).
Bho shealladh siostaman tèarainteachd, faodar an roinn ann an dà bhuidheann: ionnsaighean ìre bun-structair (L2-L4) agus ionnsaighean ìre tagraidh (L7). Tha seo mar thoradh air an t-sreath de bhith a’ coileanadh algorithms mion-sgrùdadh trafaic agus iom-fhillteachd coimpiutaireachd: mar as doimhne a choimheadas sinn a-steach don phasgan IP, is ann as motha de chumhachd coimpiutaireachd a tha a dhìth.
San fharsaingeachd, tha an duilgheadas ann a bhith ag àrdachadh àireamhachadh nuair a bhios tu a’ giullachd trafaic ann an àm fìor na chuspair airson sreath de artaigilean air leth. A-nis smaoinichidh sinn gu bheil cuid de sholaraiche sgòthan ann le goireasan coimpiutaireachd gun chrìoch a dh ’fhaodas làraich a dhìon bho ionnsaighean aig ìre tagraidh (a’ toirt a-steach ).
3 prìomh cheistean gus faighinn a-mach dè an ìre de thèarainteachd aoigheachd an aghaidh ionnsaighean DDoS
Bheir sinn sùil air na cumhachan seirbheis airson dìon an aghaidh ionnsaighean DDoS agus Aonta Ìre Seirbheis (SLA) an t-solaraiche aoigheachd. A bheil freagairtean ann do na ceistean a leanas:
- dè na crìochan teicnigeach a tha an solaraiche seirbheis ag ràdh??
- dè thachras nuair a thèid an neach-ceannach seachad air na crìochan?
- Ciamar a thogas solaraiche aoigheachd dìon an aghaidh ionnsaighean DDoS (teicneòlasan, fuasglaidhean, solaraichean)?
Mura h-eil thu air am fiosrachadh seo a lorg, tha seo na adhbhar airson smaoineachadh air cho dona sa tha an solaraiche seirbheis, no gus dìon bunaiteach DDoS (L3-4) a chuir air dòigh leat fhèin. Mar eisimpleir, òrdaich ceangal corporra ri lìonra solaraiche tèarainteachd sònraichte.
Cudromach! Chan eil feum sam bith ann a bhith a’ toirt dìon an aghaidh ionnsaighean ìre tagraidh a’ cleachdadh Reverse Proxy mura h-urrainn don t-solaraiche aoigheachd agad dìon a thoirt seachad an-aghaidh ionnsaighean aig ìre bun-structair: bidh cus cuideim air uidheamachd an lìonraidh agus cha bhith e ri fhaighinn, a’ gabhail a-steach airson frithealaichean progsaidh an t-solaraiche sgòthan (Figear 1).
Figear 1. Ionnsaigh dìreach air lìonra an t-solaraiche aoigheachd
Agus na leig leotha feuchainn ri sgeulachdan sìthe innse dhut gu bheil fìor sheòladh IP an fhrithealaiche falaichte air cùl sgòthan an t-solaraiche tèarainteachd, a tha a’ ciallachadh gu bheil e do-dhèanta ionnsaigh a thoirt air gu dìreach. Ann an naoi cùisean a-mach à deich, cha bhith e duilich do neach-ionnsaigh fìor sheòladh IP an fhrithealaiche no co-dhiù lìonra an t-solaraiche aoigheachd a lorg gus ionad dàta iomlan “a sgrios”.
Mar a bhios hackers ag obair a’ lorg fìor sheòladh IP
Gu h-ìosal tha grunn dhòighean air seòladh IP fìor a lorg (air a thoirt seachad airson adhbharan fiosrachaidh).
Dòigh 1: Rannsaich ann an stòran fosgailte
Faodaidh tu do rannsachadh a thòiseachadh leis an t-seirbheis air-loidhne: Bidh e a’ sgrùdadh an lìon dhorcha, àrd-ùrlaran roinneadh sgrìobhainnean, pròiseasan Whois data, dàta poblach ag aoidion agus mòran stòran eile.
Ma bha e comasach, stèidhichte air cuid de shoidhnichean (cinn-cinn HTTP, dàta Whois, msaa), dearbhadh gu bheil dìon na làraich air a chuir air dòigh le Cloudflare, faodaidh tu tòiseachadh air an fhìor IP a lorg bho, anns a bheil timcheall air 3 millean seòladh IP de làraich a tha air cùl Cloudflare.
A’ cleachdadh teisteanas SSL agus seirbheis gheibh thu tòrr fiosrachaidh feumail, a 'gabhail a-steach fìor sheòladh IP na làraich. Gus iarrtas airson do ghoireas a ghineadh, rachaibh gu tab Teisteanasan agus cuir a-steach:
_parsed.names: ainmlàrach AGUS tags.raw: earbsach
Gus seòlaidhean IP luchd-frithealaidh a lorg a’ cleachdadh teisteanas SSL, feumaidh tu a dhol tron liosta tuiteam-sìos le grunn innealan (an taba “Rannsaich”, agus an uairsin tagh “IPv4 Hosts”).
Dòigh 2: DNS
Is e seann dhòigh dearbhte a th’ ann a bhith a’ sgrùdadh eachdraidh atharrachaidhean clàran DNS. Faodaidh seòladh IP na làraich roimhe seo a dhèanamh soilleir dè an aoigheachd (no an ionad dàta) air an robh e. Am measg nan seirbheisean air-loidhne a thaobh cho furasta an cleachdadh, tha na leanas a’ seasamh a-mach: и .
Nuair a dh’ atharraicheas tu na roghainnean, cha chleachd an làrach seòladh IP an t-solaraiche tèarainteachd sgòthan no CDN sa bhad, ach obraichidh e gu dìreach airson ùine. Anns a 'chùis seo, tha e comasach gum bi fiosrachadh mu sheòladh stòr na làraich ann an seirbheisean air-loidhne airson eachdraidh atharrachaidhean seòladh IP a stòradh.
Mura h-eil dad ann ach ainm an t-seann fhrithealaiche DNS, an uairsin a’ cleachdadh goireasan sònraichte (cladhach, aoigheachd no nslookup) faodaidh tu seòladh IP iarraidh le ainm àrainn na làraich, mar eisimpleir:
_dig @old_dns_server_name ainmсайта
Dòigh 3: post-d
Is e am beachd air an dòigh am foirm fios-air-ais / clàraidh a chleachdadh (no dòigh sam bith eile a leigeas leat litir a chuir air adhart) gus litir fhaighinn chun phost-d agad agus sùil a thoirt air na cinn, gu sònraichte an raon “Faighteadh”. .
Bidh an ceann post-d gu tric a’ toirt a-steach fìor sheòladh IP a ’chlàr MX (frithealaiche iomlaid post-d), a dh’ fhaodadh a bhith na thoiseach tòiseachaidh airson frithealaichean eile a lorg air an targaid.
Rannsaich Innealan Automation
Mar as trice bidh bathar-bog sgrùdaidh IP air cùl sgiath Cloudflare ag obair airson trì gnìomhan:
- Sgan airson mì-dhealbhadh DNS a’ cleachdadh DNSDumpster.com;
- Sgan stòr-dàta Crimeflare.com;
- lorg subdomains a’ cleachdadh dòigh sgrùdaidh faclair.
Is e a bhith a’ lorg subdomains gu tric an roghainn as èifeachdaiche de na trì - dh’ fhaodadh sealbhadair na làraich am prìomh làrach a dhìon agus na subdomains fhàgail a’ ruith gu dìreach. Is e an dòigh as fhasa sgrùdadh a dhèanamh air a chleachdadh .
A bharrachd air an sin, tha goireasan ann a chaidh a dhealbhadh a-mhàin airson a bhith a’ sgrùdadh fo-roinnean a’ cleachdadh sgrùdadh faclair agus a’ sgrùdadh ann an stòran fosgailte, mar eisimpleir: no .
Mar a tha rannsachadh a’ tachairt ann an cleachdadh
Mar eisimpleir, leig dhuinn an làrach seo.com a 'cleachdadh Cloudflare, a lorgas sinn a' cleachdadh seirbheis ainmeil (a 'leigeil leat an dà chuid na teicneòlasan / einnseanan / CMS a dhearbhadh air a bheil an làrach ag obrachadh, agus a chaochladh - lorg làraich leis na teicneòlasan a thathar a' cleachdadh).
Nuair a phutas tu air an taba “IPv4 Hosts”, seallaidh an t-seirbheis liosta de luchd-aoigheachd a’ cleachdadh an teisteanais. Gus am fear a tha a dhìth ort a lorg, coimhead airson seòladh IP le port fosgailte 443. Ma bheir e ath-stiùireadh chun làrach a tha thu ag iarraidh, bidh an obair deiseil, air neo feumaidh tu ainm àrainn na làraich a chur ri bann-cinn “Host” an Iarrtas HTTP (mar eisimpleir, * curl -H "Host: site_name" *).
Anns a 'chùis againn, cha tug rannsachadh ann an stòr-dàta Censys dad, agus mar sin gluaisidh sinn air adhart.
Nì sinn sgrùdadh DNS tron t-seirbheis.
Le bhith a’ sgrùdadh tro na seòlaidhean a tha air an ainmeachadh anns na liostaichean de luchd-frithealaidh DNS a’ cleachdadh goireas CloudFail, lorg sinn goireasan obrach. Bidh an toradh deiseil ann am beagan dhiog.
A’ cleachdadh dìreach dàta fosgailte agus innealan sìmplidh, cho-dhùin sinn fìor sheòladh IP an fhrithealaiche lìn. Tha an còrr airson an neach-ionnsaigh na chùis teicneòlais.
Tillidh sinn gu bhith a’ taghadh solaraiche aoigheachd. Gus measadh a dhèanamh air buannachd na seirbheis don neach-ceannach, beachdaichidh sinn air dòighean dìon an aghaidh ionnsaighean DDoS.
Mar a bhios solaraiche aoigheachd a 'togail a dhìon
- Siostam dìon fhèin le uidheamachd sìolaidh (Figear 2).
Feumaidh:
1.1. Uidheam sìolaidh trafaic agus ceadan bathar-bog;
1.2. Eòlaichean làn-ùine airson a thaic agus obrachadh;
1.3. Seanalan ruigsinneachd eadar-lìn a bhios gu leòr airson ionnsaighean fhaighinn;
1.4. Leud-còmhnard seanail ro-phàighte cudromach airson trafaic “sgudail” fhaighinn.
Figear 2. Siostam tèarainteachd solaraiche aoigheachd fhèin
Ma bheachdaicheas sinn air an t-siostam a chaidh a mhìneachadh mar dhòigh dìon an aghaidh ionnsaighean DDoS an latha an-diugh de cheudan Gbps, cosgaidh siostam mar seo tòrr airgid. A bheil an leithid de dhìon aig an t-solaraiche aoigheachd? A bheil e deiseil airson pàigheadh airson trafaic “sgudail”? Gu follaiseach, tha modal eaconamach mar seo neo-phrothaideach don t-solaraiche mura h-eil na taraidhean a ’toirt seachad pàighidhean a bharrachd. - Reverse Proxy (airson làraich-lìn agus cuid de thagraidhean a-mhàin). A dh'aindeoin àireamh , chan eil an solaraiche a’ gealltainn dìon an aghaidh ionnsaighean DDoS dìreach (faic Figear 1). Bidh solaraichean aoigheachd gu tric a ’tabhann fuasgladh mar seo mar panacea, a’ gluasad uallach don t-solaraiche tèarainteachd.
- Seirbheisean solaraiche sgòthan sònraichte (cleachdadh an lìonra sìolaidh aige) gus dìon an aghaidh ionnsaighean DDoS aig gach ìre OSI (Figear 3).
Figear 3. Dìon cuimseach an aghaidh ionnsaighean DDoS a 'cleachdadh solaraiche speisealta
a’ gabhail ri amalachadh domhainn agus ìre àrd de chomas teignigeach an dà phàrtaidh. Le bhith a’ toirt a-mach seirbheisean sìolaidh trafaic leigidh sin leis an t-solaraiche aoigheachd prìs sheirbheisean a bharrachd a lughdachadh don neach-ceannach.
Cudromach! Mar as mionaidiche a thathas a’ toirt cunntas air feartan teicnigeach na seirbheis a tha air a thoirt seachad, is ann as motha a bhios an cothrom a bhith ag iarraidh am buileachadh no dìoladh gun fhios nach bi ùine downt ann.
A bharrachd air na trì prìomh dhòighean, tha mòran choimeasgaidhean agus choimeasgaidhean ann. Nuair a bhios tu a 'taghadh aoigheachd, tha e cudromach cuimhneachadh gum bi an co-dhùnadh an urra chan ann a-mhàin air meud ionnsaighean dùinte agus cruinneas sìoltachaidh, ach cuideachd air astar freagairt, a bharrachd air susbaint fiosrachaidh (liosta de dh'ionnsaighean dùinte, staitistig coitcheann, msaa).
Cuimhnich nach eil ach beagan sholaraichean aoigheachd san t-saoghal comasach air ìre iomchaidh de dhìon a thoirt seachad leotha fhèin; ann an cùisean eile, bidh co-obrachadh agus litearrachd theicnigeach a 'cuideachadh. Mar sin, le bhith a’ tuigsinn nam prionnsapalan bunaiteach mu bhith a’ cur dìon air dòigh an aghaidh ionnsaighean DDoS leigidh sin le sealbhadair na làraich gun a bhith a’ tuiteam airson cleasan margaidheachd agus gun a bhith a’ ceannach “muc ann am poke.”
Source: www.habr.com