"Tip koji je napravio našu web stranicu već je postavio DDoS zaštitu."
"Imamo DDoS zaštitu, zašto je stranica pala?"
"Koliko tisuća Qrator želi?"
Kako bismo pravilno odgovorili na takva pitanja kupca/šefa, bilo bi lijepo znati što se krije iza naziva “DDoS zaštita”. Odabir zaštitarskih usluga više je poput odabira lijeka kod liječnika nego odabira stola u IKEA-i.
Podržavam web stranice 11 godina, preživio sam stotine napada na usluge koje podržavam, a sada ću vam reći nešto o unutarnjem funkcioniranju zaštite.
Redoviti napadi. 350k req ukupno, 52k req legitiman
Prvi napadi pojavili su se gotovo istodobno s internetom. DDoS kao fenomen postao je raširen od kasnih 2000-ih (pogledajte ).
Otprilike od 2015.-2016. gotovo svi pružatelji usluga hostinga zaštićeni su od DDoS napada, kao i najistaknutije stranice u konkurentskim područjima (napravite whois prema IP-u stranica eldorado.ru, leroymerlin.ru, tilda.ws, vidjet ćete mreže operatora zaštite).
Ako se prije 10-20 godina većina napada mogla odbiti na samom poslužitelju (procijenite preporuke administratora sustava Lenta.ru Maxima Moshkova iz 90-ih: ), ali sada su zadaće zaštite postale teže.
Vrste DDoS napada sa stajališta izbora operatora zaštite
Napadi na razini L3/L4 (prema OSI modelu)
— UDP flood iz botnet-a (mnogi zahtjevi se šalju izravno sa zaraženih uređaja napadnutom servisu, poslužitelji su blokirani s kanalom);
— DNS/NTP/etc amplifikacija (mnogi zahtjevi se šalju sa zaraženih uređaja na ranjivi DNS/NTP/etc, adresa pošiljatelja je krivotvorena, oblak paketa koji odgovara na zahtjeve preplavljuje kanal osobe koja je napadnuta; to je način na koji većina masivni napadi se provode na modernom Internetu);
— SYN / ACK poplava (mnogi zahtjevi za uspostavljanje veze šalju se napadnutim poslužiteljima, red čekanja veze se prelijeva);
— napadi s fragmentacijom paketa, ping of death, ping flood (guglajte molim);
- i tako dalje.
Cilj ovih napada je "začepiti" kanal poslužitelja ili "ubiti" njegovu sposobnost da prihvati novi promet.
Iako su SYN/ACK flooding i amplifikacija vrlo različiti, mnoge se tvrtke jednako dobro bore protiv njih. Problemi nastaju s napadima iz sljedeće skupine.
Napadi na L7 (aplikacijski sloj)
— http flood (ako je web stranica ili neki http api napadnut);
— napad na ranjiva područja stranice (ona koja nemaju predmemoriju, koja jako opterećuju stranicu, itd.).
Cilj je natjerati poslužitelj da se "naradi", obradi puno "naizgled stvarnih zahtjeva" i ostane bez resursa za stvarne zahtjeve.
Iako postoje i drugi napadi, ovi su najčešći.
Ozbiljni napadi na razini L7 kreiraju se na jedinstven način za svaki napadnuti projekt.
Zašto 2 grupe?
Jer postoje mnogi koji znaju kako dobro odbiti napade na razini L3 / L4, ali ili uopće ne preuzimaju zaštitu na razini aplikacije (L7) ili su još uvijek slabiji od alternativa u suočavanju s njima.
Tko je tko na tržištu DDoS zaštite
(moje osobno mišljenje)
Zaštita na razini L3/L4
Za odbijanje napada s pojačanjem ("blokada" kanala poslužitelja) postoji dovoljno širokih kanala (mnogi zaštitni servisi povezani su s većinom velikih pružatelja okosnice u Rusiji i imaju kanale s teoretskim kapacitetom većim od 1 Tbit). Ne zaboravite da vrlo rijetki napadi pojačanja traju duže od sat vremena. Ako ste Spamhaus i svi vas ne vole, da, možda će pokušati zatvoriti vaše kanale na nekoliko dana, čak i pod rizikom daljnjeg opstanka globalnog botneta koji se koristi. Ako imate samo internetsku trgovinu, čak i ako je to mvideo.ru, nećete vidjeti 1 Tbit za nekoliko dana vrlo brzo (nadam se).
Za odbijanje napada sa SYN/ACK floodom, fragmentacijom paketa itd. potrebna vam je oprema ili softverski sustavi za otkrivanje i zaustavljanje takvih napada.
Mnogi ljudi proizvode takvu opremu (Arbor, postoje rješenja Cisca, Huaweija, softverske implementacije Wanguarda itd.), mnogi operateri okosnice su je već instalirali i prodaju usluge DDoS zaštite (znam za instalacije Rostelecoma, Megafona, TTK, MTS-a , zapravo svi veliki provajderi rade isto sa hosterima sa svojom zaštitom a-la OVH.com, Hetzner.de, i sam sam se susreo sa zaštitom na ihor.ru). Neke tvrtke razvijaju vlastita softverska rješenja (tehnologije poput DPDK omogućuju vam obradu desetaka gigabita prometa na jednom fizičkom x86 stroju).
Od poznatih igrača, svi se mogu manje ili više učinkovito boriti protiv L3/L4 DDoS-a. Sada neću reći tko ima veći maksimalni kapacitet kanala (ovo je insajderska informacija), ali obično to nije toliko važno, a jedina je razlika koliko brzo se aktivira zaštita (trenutačno ili nakon nekoliko minuta zastoja projekta, kao u Hetznera).
Pitanje je koliko je to dobro učinjeno: napad pojačanja može se odbiti blokiranjem prometa iz zemalja s najvećom količinom štetnog prometa ili se može odbaciti samo uistinu nepotreban promet.
Ali u isto vrijeme, na temelju mog iskustva, svi ozbiljni igrači na tržištu nose se s tim bez problema: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (bivši SkyParkCDN), ServicePipe, Stormwall, Voxility itd.
Nisam naišao na zaštitu od operatera kao što su Rostelecom, Megafon, TTK, Beeline; prema ocjenama kolega, oni pružaju ove usluge prilično dobro, ali do sada nedostatak iskustva povremeno utječe: ponekad morate nešto podesiti kroz podršku operatera zaštite.
Neki operateri imaju zasebnu uslugu „zaštita od napada na razini L3/L4“ ili „zaštita kanala“ koja košta mnogo manje od zaštite na svim razinama.
Zašto pružatelj okosnice ne odbija napade od stotina Gbita, budući da nema vlastite kanale?Operater zaštite može se povezati s bilo kojim od glavnih pružatelja usluga i odbiti napade "o svom trošku". Morat ćete platiti za kanal, ali sve te stotine Gbita neće uvijek biti iskorištene; u ovom slučaju postoje opcije za značajno smanjenje troškova kanala, tako da shema ostaje izvediva.
Ovo su izvješća koja sam redovito dobivao od zaštite više razine L3/L4 dok sam podržavao sustave pružatelja usluga hostinga.
Zaštita na razini L7 (aplikacijska razina)
Napadi na razini L7 (aplikacijska razina) mogu dosljedno i učinkovito odbiti jedinice.
Imam dosta stvarnog iskustva sa
— Qrator.net;
— DDoS-čuvar;
- G-Core Labs;
— Kaspersky.
Naplaćuju svaki megabit čistog prometa, megabit košta oko nekoliko tisuća rubalja. Ako imate barem 100 Mbps čistog prometa - oh. Zaštita će biti vrlo skupa. U sljedećim člancima mogu vam reći kako dizajnirati aplikacije kako biste puno uštedjeli na kapacitetu sigurnosnih kanala.
Pravi “kralj brda” je Qrator.net, ostali zaostaju za njima. Qrator je za sada jedini po mom iskustvu koji daje postotak lažno pozitivnih blizu nule, ali su istovremeno nekoliko puta skuplji od ostalih igrača na tržištu.
I drugi operateri pružaju kvalitetnu i stabilnu zaštitu. Mnoge usluge koje podržavamo (uključujući vrlo poznate u zemlji!) Zaštićene su od DDoS-Guarda, G-Core Labsa i prilično su zadovoljne dobivenim rezultatima.
Qrator odbija napade
Također imam iskustva s malim sigurnosnim operaterima poput cloud-shield.ru, ddosa.net, tisućama njih. Definitivno neću preporučiti, jer... Nemam puno iskustva, ali reći ću vam o principima njihovog rada. Njihov je trošak zaštite često 1-2 reda veličine niži od troška glavnih igrača. U pravilu kupuju uslugu djelomične zaštite (L3/L4) od nekog od većih igrača + rade vlastitu zaštitu od napada na višim razinama. Ovo može biti vrlo učinkovito + možete dobiti dobru uslugu za manje novca, ali to su još uvijek male tvrtke s malim brojem zaposlenih, imajte to na umu.
Kolika je težina odbijanja napada na razini L7?
Sve aplikacije su jedinstvene i potrebno je dopustiti promet koji je za njih koristan, a blokirati štetan. Nije uvijek moguće nedvosmisleno ukloniti botove, tako da morate koristiti mnogo, stvarno MNOGO stupnjeva pročišćavanja prometa.
Jednom davno, modul nginx-testcookie je bio dovoljan (), i dalje je dovoljan za odbijanje velikog broja napada. Kad sam radio u industriji hostinga, L7 zaštita se temeljila na nginx-testcookie.
Na žalost, napadi su postali teži. testcookie koristi bot provjere temeljene na JS-u, a mnogi moderni botovi ih mogu uspješno proći.
Napadački botneti također su jedinstveni, a karakteristike svakog velikog botneta moraju se uzeti u obzir.
Amplifikacija, izravni flooding iz botneta, filtriranje prometa iz različitih zemalja (različito filtriranje za različite zemlje), SYN/ACK flooding, fragmentacija paketa, ICMP, http flooding, dok na razini aplikacije/http možete doći do neograničenog broja različite napade.
Ukupno, na razini zaštite kanala, specijalizirane opreme za čišćenje prometa, posebnog softvera, dodatnih postavki filtriranja za svakog klijenta mogu postojati deseci i stotine razina filtriranja.
Da biste ispravno upravljali ovime i ispravno podesili postavke filtriranja za različite korisnike, potrebno vam je puno iskustva i kvalificirano osoblje. Čak ni veliki operater koji je odlučio pružiti usluge zaštite ne može "glupo bacati novac na problem": iskustvo će se morati steći na lažljivim stranicama i lažnim pozitivnim rezultatima na legitimnom prometu.
Za sigurnosnog operatera ne postoji tipka “odbiti DDoS”, postoji veliki broj alata i morate ih znati koristiti.
I još jedan bonus primjer.
Nezaštićeni poslužitelj blokiran je od strane hostera tijekom napada s kapacitetom od 600 Mbit
(“Gubitak” prometa nije primjetan, jer je samo 1 stranica napadnuta, privremeno je uklonjena sa servera i blokada je ukinuta u roku od sat vremena).
Isti poslužitelj je zaštićen. Napadači su se "predali" nakon dana odbijenih napada. Sam napad nije bio najjači.
Napad i obrana L3/L4 trivijalniji su, uglavnom ovise o debljini kanala, algoritmima detekcije i filtriranja napada.
L7 napadi su složeniji i originalniji, ovise o aplikaciji koja se napada, sposobnostima i mašti napadača. Za zaštitu od njih potrebno je mnogo znanja i iskustva, a rezultat možda neće biti trenutan i ne stopostotan. Sve dok Google nije smislio drugu neuronsku mrežu za zaštitu.
Izvor: www.habr.com