Nos dous primeiros trimestres de 2020, o número de ataques DDoS case se triplicou, sendo o 65% deles intentos primitivos de "probas de carga" que "desactivan" facilmente sitios indefensos de pequenas tendas en liña, foros, blogs e medios de comunicación.
Como elixir aloxamento protexido por DDoS? A que debes prestar atención e para que tes que preparar para non acabar nunha situación desagradable?
(Vacinación contra o marketing "gris" dentro)
A dispoñibilidade e variedade de ferramentas para levar a cabo ataques DDoS obriga aos propietarios de servizos en liña a tomar as medidas adecuadas para contrarrestar a ameaza. Debería pensar na protección DDoS non despois do primeiro fallo, nin sequera como parte dun conxunto de medidas para aumentar a tolerancia a fallos da infraestrutura, senón na fase de elección dun sitio para a súa colocación (proveedor de hospedaxe ou centro de datos).
Os ataques DDoS clasifícanse en función dos protocolos cuxas vulnerabilidades se exploten aos niveis do modelo de interconexión de sistemas abertos (OSI):
- canle (L2),
- rede (L3),
- transporte (L4),
- aplicado (L7).
Desde o punto de vista dos sistemas de seguridade, pódense xeneralizar en dous grupos: ataques a nivel de infraestrutura (L2-L4) e ataques a nivel de aplicación (L7). Isto débese á secuencia de execución dos algoritmos de análise de tráfico e á complexidade computacional: canto máis afondamos no paquete IP, máis potencia de cálculo é necesaria.
En xeral, o problema de optimizar os cálculos ao procesar o tráfico en tempo real é un tema para unha serie separada de artigos. Agora imaxinemos que hai algún provedor de nube con recursos informáticos condicionalmente ilimitados que pode protexer os sitios de ataques a nivel de aplicación (incluíndo ).
3 preguntas principais para determinar o grao de seguridade do hospedaxe dos ataques DDoS
Vexamos as condicións de servizo para a protección contra ataques DDoS e o Acordo de nivel de servizo (SLA) do provedor de hospedaxe. Conteñen respostas ás seguintes preguntas:
- que limitacións técnicas indica o provedor do servizo??
- que pasa cando o cliente supera os límites?
- Como constrúe un provedor de hospedaxe protección contra ataques DDoS (tecnoloxías, solucións, provedores)?
Se non atopou esta información, esta é unha razón para pensar na seriedade do provedor de servizos ou organizar a protección básica contra DDoS (L3-4) pola súa conta. Por exemplo, solicite unha conexión física á rede dun provedor de seguridade especializado.
Importante! Non ten sentido proporcionar protección contra ataques a nivel de aplicación mediante Reverse Proxy se o seu fornecedor de hospedaxe non é capaz de proporcionar protección contra ataques a nivel de infraestrutura: o equipo de rede sobrecargarase e non estará dispoñible, incluídos os servidores proxy do provedor na nube (figura 1).
Figura 1. Ataque directo á rede do provedor de hospedaxe
E non deixes que intenten contarche contos de fadas de que o enderezo IP real do servidor está escondido detrás da nube do provedor de seguridade, o que significa que é imposible atacalo directamente. En nove de cada dez casos, non será difícil para un atacante atopar o enderezo IP real do servidor ou polo menos a rede do provedor de hospedaxe para "destruír" todo un centro de datos.
Como actúan os hackers na procura dun enderezo IP real
Debaixo dos spoilers hai varios métodos para atopar un enderezo IP real (dado con fins informativos).
Método 1: Busca en fontes abertas
Podes comezar a túa busca co servizo en liña: Busca na web escura, plataformas de intercambio de documentos, procesa datos Whois, filtracións de datos públicos e moitas outras fontes.
Se, baseándose nalgúns signos (encabezados HTTP, datos Whois, etc.), foi posible determinar que a protección do sitio está organizada mediante Cloudflare, pode comezar a buscar a IP real desde, que contén uns 3 millóns de enderezos IP de sitios situados detrás de Cloudflare.
Usando un certificado e un servizo SSL podes atopar moita información útil, incluíndo o enderezo IP real do sitio. Para xerar unha solicitude para o teu recurso, vai á pestana Certificados e introduce:
_analizados.nomes: nomesitio E etiquetas.raw: de confianza
Para buscar enderezos IP dos servidores mediante un certificado SSL, terás que ir manualmente pola lista despregable con varias ferramentas (a pestana "Explorar" e despois seleccionar "Anfitrións IPv4").
Método 2: DNS
Buscar no historial de cambios de rexistros DNS é un método antigo e comprobado. O enderezo IP anterior do sitio pode deixar claro en que hospedaxe (ou centro de datos) se atopaba. Entre os servizos en liña en canto á facilidade de uso, destacan os seguintes: и .
Cando cambie a configuración, o sitio non usará inmediatamente o enderezo IP do provedor de seguridade na nube ou CDN, senón que funcionará directamente durante algún tempo. Neste caso, existe a posibilidade de que os servizos en liña para almacenar o historial de cambios de enderezos IP conteñan información sobre o enderezo de orixe do sitio.
Se non hai nada máis que o nome do antigo servidor DNS, entón usando utilidades especiais (dig, host ou nslookup) pode solicitar un enderezo IP polo nome de dominio do sitio, por exemplo:
_dig @old_dns_server_name nomesitio
Método 3: correo electrónico
A idea do método é utilizar o formulario de comentarios/inscrición (ou calquera outro método que che permita iniciar o envío dunha carta) para recibir unha carta no teu correo electrónico e comprobar as cabeceiras, en particular o campo "Recibido". .
A cabeceira do correo electrónico contén a miúdo o enderezo IP real do rexistro MX (servidor de intercambio de correo electrónico), que pode ser un punto de partida para atopar outros servidores no destino.
Ferramentas de automatización de busca
O software de busca de IP detrás do escudo de Cloudflare funciona con máis frecuencia para tres tarefas:
- Busca unha configuración incorrecta de DNS usando DNSdumpster.com;
- Exploración da base de datos Crimeflare.com;
- buscar subdominios mediante un método de busca de dicionario.
Buscar subdominios adoita ser a opción máis eficaz das tres: o propietario do sitio pode protexer o sitio principal e deixar os subdominios funcionando directamente. O xeito máis sinxelo de comprobar é usar .
Ademais, hai utilidades deseñadas só para buscar subdominios mediante unha busca de dicionario e buscar en fontes abertas, por exemplo: ou .
Como ocorre a busca na práctica
Por exemplo, tomemos o sitio seo.com usando Cloudflare, que atoparemos usando un servizo moi coñecido (permítelle determinar as tecnoloxías / motores / CMS nos que opera o sitio e viceversa: buscar sitios polas tecnoloxías utilizadas).
Cando fai clic na pestana "Anfitrións IPv4", o servizo mostrará unha lista de servidores que usan o certificado. Para atopar o que necesitas, busca un enderezo IP co porto aberto 443. Se redirixe ao sitio desexado, a tarefa está completada, se non, debes engadir o nome de dominio do sitio á cabeceira "Host" do sitio. Solicitude HTTP (por exemplo, *curl -H "Host: site_name" *).
No noso caso, unha busca na base de datos Censys non deu nada, así que seguimos adiante.
Realizaremos unha busca de DNS a través do servizo.
Ao buscar nos enderezos mencionados nas listas de servidores DNS mediante a utilidade CloudFail, atopamos recursos de traballo. O resultado estará listo nuns segundos.
Usando só datos abertos e ferramentas sinxelas, determinamos o enderezo IP real do servidor web. O resto para o atacante é cuestión de técnica.
Volvamos a escoller un provedor de hospedaxe. Para avaliar o beneficio do servizo para o cliente, consideraremos posibles métodos de protección contra ataques DDoS.
Como un provedor de hospedaxe crea a súa protección
- Sistema de protección propio con equipos de filtrado (Figura 2).
Require:
1.1. Equipos de filtrado de tráfico e licenzas de software;
1.2. Especialistas a tempo completo polo seu apoio e funcionamento;
1.3. canles de acceso a Internet que serán suficientes para recibir ataques;
1.4. Ancho de banda de canle de prepago importante para recibir tráfico "lixo".
Figura 2. Sistema de seguridade propio do provedor de hospedaxe
Se consideramos o sistema descrito como un medio de protección contra ataques DDoS modernos de centos de Gbps, entón tal sistema custará moito diñeiro. O provedor de hospedaxe ten esa protección? Está preparado para pagar o tráfico "lixo"? Obviamente, tal modelo económico non é rendible para o provedor se as tarifas non prevén pagos adicionais. - Proxy inverso (só para sitios web e algunhas aplicacións). A pesar dun número , o provedor non garante a protección contra ataques DDoS directos (consulte a Figura 1). Os provedores de hospedaxe adoitan ofrecer esa solución como unha panacea, trasladando a responsabilidade ao provedor de seguridade.
- Servizos dun provedor de nube especializado (uso da súa rede de filtrado) para protexerse contra ataques DDoS en todos os niveis OSI (Figura 3).
Figura 3. Protección integral contra ataques DDoS mediante un provedor especializado
supón unha profunda integración e un alto nivel de competencia técnica de ambas as partes. A subcontratación de servizos de filtrado de tráfico permite ao provedor de hospedaxe reducir o prezo dos servizos adicionais para o cliente.
Importante! Canto máis detalladas sexan descritas as características técnicas do servizo prestado, maior será a posibilidade de esixir a súa implantación ou compensación en caso de inactividade.
Ademais dos tres métodos principais, hai moitas combinacións e combinacións. Ao elixir un hospedaxe, é importante que o cliente recorde que a decisión dependerá non só do tamaño dos ataques bloqueados garantidos e da precisión do filtrado, senón tamén da velocidade de resposta, así como do contido da información (lista de ataques bloqueados, estatísticas xerais, etc.).
Lembre que só uns poucos provedores de hospedaxe no mundo son capaces de proporcionar un nivel aceptable de protección por si mesmos; noutros casos, a cooperación e a alfabetización técnica axudan. Así, comprender os principios básicos para organizar a protección contra ataques DDoS permitirá ao propietario do sitio non caer en trucos de mercadotecnia e non mercar un "porco nun golpe".
Fonte: www.habr.com