"O tipo que fixo o noso sitio web xa configurou a protección DDoS".
"Temos protección contra DDoS, por que caeu o sitio?"
"Cantos miles quere Qrator?"
Para responder correctamente a tales preguntas do cliente/xefe, sería bo saber o que se esconde detrás do nome "protección DDoS". Elixir servizos de seguridade é máis como escoller un medicamento dun médico que escoller unha mesa en IKEA.
Levo 11 anos apoiando sitios web, sobrevivín a centos de ataques aos servizos aos que apoio, e agora falareivos un pouco sobre o funcionamento interno da protección.
Ataques regulares. 350k req total, 52k req lexítimos
Os primeiros ataques apareceron case simultáneamente con Internet. DDoS como fenómeno xeneralizouse desde finais da década de 2000 (consulta ).
Desde aproximadamente 2015-2016, case todos os provedores de hospedaxe están protexidos contra ataques DDoS, así como os sitios máis destacados en áreas competitivas (faga whois por IP dos sitios eldorado.ru, leroymerlin.ru, tilda.ws, verá as redes). de operadores de protección).
Se hai 10-20 anos a maioría dos ataques poderían ser repelidos no propio servidor (avaliar as recomendacións do administrador do sistema Lenta.ru Maxim Moshkov dos anos 90: ), pero agora as tarefas de protección fixéronse máis difíciles.
Tipos de ataques DDoS desde o punto de vista da elección dun operador de protección
Ataques a nivel L3/L4 (segundo o modelo OSI)
— Inundación UDP desde unha botnet (moitas solicitudes son enviadas directamente desde dispositivos infectados ao servizo atacado, os servidores están bloqueados coa canle);
— Amplificación de DNS/NTP/etc (moitas solicitudes son enviadas desde dispositivos infectados a DNS/NTP/etc vulnerables, falsifica o enderezo do remitente, unha nube de paquetes que responden ás solicitudes inunda a canle da persoa atacada; así é como máis lévanse a cabo ataques masivos na Internet moderna);
— SYN / ACK flood (moitas solicitudes para establecer unha conexión son enviadas aos servidores atacados, a cola de conexión desborda);
— ataques con fragmentación de paquetes, ping of death, ping flood (Google it please);
- etcétera.
Estes ataques teñen como obxectivo "obstruír" a canle do servidor ou "matar" a súa capacidade para aceptar novo tráfico.
Aínda que as inundacións e a amplificación SYN/ACK son moi diferentes, moitas empresas combaten igualmente ben. Os problemas xorden cos ataques do seguinte grupo.
Ataques a L7 (capa de aplicación)
— http flood (se se ataca un sitio web ou algunha API http);
— un ataque a zonas vulnerables do sitio (as que non teñen caché, que cargan moito o sitio, etc.).
O obxectivo é facer que o servidor "traballe duro", procese moitas "solicitudes aparentemente reais" e quede sen recursos para solicitudes reais.
Aínda que hai outros ataques, estes son os máis comúns.
Os ataques graves no nivel L7 créanse dun xeito único para cada proxecto atacado.
Por que 2 grupos?
Porque son moitos os que saben como repeler ben os ataques a nivel L3/L4, pero ou ben non asumen protección a nivel de aplicación (L7) ou aínda son máis débiles que as alternativas para tratar con eles.
Quen é quen no mercado de protección contra DDoS
(a miña opinión persoal)
Protección a nivel L3/L4
Para repeler os ataques con amplificación ("bloqueo" da canle do servidor), hai canles suficientemente amplas (moitos dos servizos de protección conéctanse á maioría dos grandes provedores de backbone en Rusia e teñen canles cunha capacidade teórica de máis de 1 Tbit). Non esquezas que os ataques de amplificación moi raros duran máis dunha hora. Se es Spamhaus e non queres a todos, si, poden intentar pechar as túas canles durante varios días, mesmo co risco de que a rede de bots global superviva aínda máis. Se só tes unha tenda en liña, aínda que sexa mvideo.ru, non verás 1 Tbit nuns días moi pronto (espero).
Para repeler ataques con inundación SYN/ACK, fragmentación de paquetes, etc., necesitas equipos ou sistemas de software para detectar e deter estes ataques.
Moita xente produce este tipo de equipos (Arbor, hai solucións de Cisco, Huawei, implementacións de software de Wanguard, etc.), moitos operadores de backbone xa o instalaron e venden servizos de protección contra DDoS (coñezo instalacións de Rostelecom, Megafon, TTK, MTS). , de feito, todos os principais provedores fan o mesmo con hosters coa súa propia protección a-la OVH.com, Hetzner.de, eu mesmo atopei protección en ihor.ru). Algunhas empresas están a desenvolver as súas propias solucións de software (tecnoloxías como DPDK permítenche procesar decenas de gigabits de tráfico nunha máquina física x86).
Dos xogadores coñecidos, todos poden loitar contra os DDoS L3/L4 con máis ou menos eficacia. Agora non vou dicir quen ten a maior capacidade máxima da canle (esta é información privilegiada), pero normalmente isto non é tan importante, e a única diferenza é a rapidez con que se activa a protección (instantaneamente ou despois duns minutos de inactividade do proxecto, como en Hetzner).
A cuestión é o ben que se fai: un ataque de amplificación pode ser repelido bloqueando o tráfico dos países con maior cantidade de tráfico daniño, ou só se pode descartar o tráfico realmente innecesario.
Pero ao mesmo tempo, segundo a miña experiencia, todos os actores serios do mercado afrontan isto sen problemas: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (anteriormente SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Non atopei protección de operadores como Rostelecom, Megafon, TTK, Beeline; segundo os comentarios dos compañeiros, prestan estes servizos bastante ben, pero ata agora a falta de experiencia está a afectar periódicamente: ás veces hai que modificar algo a través do soporte. do operador de protección.
Algúns operadores teñen un servizo separado de "protección contra ataques a nivel L3/L4" ou "protección de canles"; custa moito menos que a protección a todos os niveis.
Por que o provedor de backbone non está a repeler ataques de centos de Gbits, xa que non ten as súas propias canles?O operador de protección pode conectarse con calquera dos principais provedores e repeler ataques "á súa costa". Terás que pagar pola canle, pero non sempre se utilizarán todos estes centos de Gbits; neste caso hai opcións para reducir significativamente o custo das canles, polo que o esquema segue sendo viable.
Estes son os informes que recibín regularmente de protección de nivel superior L3/L4 mentres soportaba os sistemas do provedor de hospedaxe.
Protección a nivel L7 (nivel de aplicación)
Os ataques no nivel L7 (nivel de aplicación) son capaces de repeler as unidades de forma consistente e eficiente.
Teño moita experiencia real
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Cobran por cada megabit de tráfico puro, un megabit custa uns miles de rublos. Se tes polo menos 100 Mbps de tráfico puro, oh. A protección será moi cara. Podo dicirche nos seguintes artigos como deseñar aplicacións para aforrar moito na capacidade das canles de seguridade.
O verdadeiro "rei do outeiro" é Qrator.net, o resto queda atrás deles. Qrator son ata agora os únicos na miña experiencia que dan unha porcentaxe de falsos positivos próxima a cero, pero ao mesmo tempo son varias veces máis caros que outros actores do mercado.
Outros operadores tamén proporcionan unha protección estable e de alta calidade. Moitos servizos apoiados por nós (incluídos os moi coñecidos no país!) están protexidos contra DDoS-Guard, G-Core Labs e están bastante satisfeitos cos resultados obtidos.
Ataques repelidos por Qrator
Tamén teño experiencia con pequenos operadores de seguridade como cloud-shield.ru, ddosa.net, miles deles. Definitivamente non o recomendarei, porque... Non teño moita experiencia, pero vouvos falar dos principios do seu traballo. O seu custo de protección adoita ser 1-2 ordes de magnitude inferior ao dos principais xogadores. Como regra xeral, compran un servizo de protección parcial (L3/L4) dun dos xogadores máis grandes + fan a súa propia protección contra ataques a niveis superiores. Isto pode ser bastante efectivo + podes obter un bo servizo por menos diñeiro, pero aínda son pequenas empresas cun persoal reducido, téñao en conta.
Cal é a dificultade de repeler ataques no nivel L7?
Todas as aplicacións son únicas e cómpre permitir o tráfico útil para elas e bloquear as prexudiciais. Non sempre é posible eliminar de forma inequívoca os bots, polo que tes que usar moitos, moi MOITOS graos de purificación de tráfico.
Érase unha vez, o módulo nginx-testcookie era suficiente (), e aínda é suficiente para repeler un gran número de ataques. Cando traballaba na industria de hospedaxe, a protección L7 baseábase en nginx-testcookie.
Desafortunadamente, os ataques fixéronse máis difíciles. testcookie usa comprobacións de bot baseadas en JS, e moitos bots modernos poden pasalas con éxito.
As botnets de ataque tamén son únicas e hai que ter en conta as características de cada gran botnet.
Amplificación, inundación directa desde unha botnet, filtrado de tráfico de diferentes países (filtrado diferente para diferentes países), inundación SYN/ACK, fragmentación de paquetes, ICMP, inundación http, mentres que a nivel de aplicación/http pode chegar a un número ilimitado de ataques diferentes.
En total, a nivel de protección da canle, equipos especializados para limpar o tráfico, software especial, opcións de filtrado adicionais para cada cliente, pode haber decenas e centos de niveis de filtrado.
Para xestionar isto correctamente e axustar correctamente a configuración de filtrado para diferentes usuarios, necesitas moita experiencia e persoal cualificado. Incluso un gran operador que decidiu prestar servizos de protección non pode "botarlle cartos estúpidamente ao problema": haberá que gañar experiencia con sitios mentirosos e falsos positivos sobre tráfico lexítimo.
Non hai un botón "repelir DDoS" para o operador de seguridade; hai un gran número de ferramentas e cómpre saber como usalas.
E un exemplo de bonificación máis.
Un servidor desprotexido foi bloqueado polo host durante un ataque cunha capacidade de 600 Mbit
("A perda" de tráfico non se nota, porque só 1 sitio foi atacado, foi eliminado temporalmente do servidor e o bloqueo foi levantado nunha hora).
O mesmo servidor está protexido. Os atacantes "rendéronse" despois dunha xornada de ataques rexeitados. O ataque en si non foi o máis forte.
O ataque e a defensa de L3/L4 son máis triviais; dependen principalmente do grosor das canles, dos algoritmos de detección e filtrado dos ataques.
Os ataques L7 son máis complexos e orixinais; dependen da aplicación atacada, das capacidades e da imaxinación dos atacantes. A protección contra eles require moito coñecemento e experiencia, e o resultado pode non ser inmediato nin cen por cen. Ata que Google creou outra rede neuronal para protexer.
Fonte: www.habr.com