U prva dva kvartala 2020. broj DDoS napada gotovo se utrostručio, a 65% njih bili su primitivni pokušaji "testiranja opterećenja" koji lako "onesposobljavaju" bespomoćne stranice malih internetskih trgovina, foruma, blogova i medijskih kuća.
Kako odabrati hosting zaštićen od DDoS-a? Na što treba obratiti pozornost i na što se pripremiti kako ne biste došli u neugodnu situaciju?
(Cijepljenje protiv “sivog” marketinga unutar)
Dostupnost i raznolikost alata za izvođenje DDoS napada prisiljava vlasnike online usluga da poduzmu odgovarajuće mjere za suzbijanje prijetnje. O zaštiti od DDoS-a ne biste trebali razmišljati nakon prvog kvara, pa čak ni kao dio skupa mjera za povećanje tolerancije na pogreške infrastrukture, već u fazi odabira mjesta za postavljanje (davatelj usluga hostinga ili podatkovni centar).
DDoS napadi klasificiraju se ovisno o protokolima čije se ranjivosti iskorištavaju do razina modela Open Systems Interconnection (OSI):
- kanal (L2),
- mreža (L3),
- prijevoz (L4),
- primijenjen (L7).
Sa stajališta sigurnosnih sustava, oni se mogu generalizirati u dvije skupine: napadi na razini infrastrukture (L2-L4) i napadi na razini aplikacije (L7). To je zbog redoslijeda izvršavanja algoritama analize prometa i računalne složenosti: što dublje gledamo u IP paket, potrebna je veća računalna snaga.
Općenito, problem optimizacije izračuna pri obradi prometa u stvarnom vremenu tema je za zasebnu seriju članaka. Sada samo zamislimo da postoji neki pružatelj usluga oblaka s uvjetno neograničenim računalnim resursima koji može zaštititi stranice od napada na razini aplikacije (uključujući ).
3 glavna pitanja za određivanje stupnja sigurnosti hostinga od DDoS napada
Pogledajmo uvjete usluge za zaštitu od DDoS napada i Ugovor o razini usluge (SLA) davatelja usluga hostinga. Sadrže li odgovore na sljedeća pitanja:
- koja tehnička ograničenja navodi pružatelj usluga??
- što se događa kada kupac prijeđe granice?
- Kako hosting provider gradi zaštitu od DDoS napada (tehnologije, rješenja, dobavljači)?
Ako niste pronašli ove podatke, onda je to razlog da razmislite o ozbiljnosti pružatelja usluga ili sami organizirate osnovnu DDoS zaštitu (L3-4). Na primjer, naručite fizičko spajanje na mrežu specijaliziranog pružatelja sigurnosnih usluga.
Važno! Nema smisla pružati zaštitu od napada na razini aplikacije pomoću obrnutog proxyja ako vaš pružatelj usluge hostinga nije u mogućnosti pružiti zaštitu od napada na razini infrastrukture: mrežna oprema bit će preopterećena i postat će nedostupna, uključujući proxy poslužitelje pružatelja usluga oblaka (slika 1).
Slika 1. Izravni napad na mrežu hosting providera
I ne dopustite da vam pričaju bajke da je stvarna IP adresa poslužitelja skrivena iza oblaka pružatelja sigurnosti, što znači da ga je nemoguće izravno napasti. U devet od deset slučajeva napadaču neće biti teško pronaći pravu IP adresu poslužitelja ili barem mreže hosting providera kako bi “uništio” cijeli podatkovni centar.
Kako hakeri postupaju u potrazi za pravom IP adresom
Ispod spojlera nalazi se nekoliko metoda za pronalaženje prave IP adrese (dano u informativne svrhe).
Metoda 1: Pretraživanje u otvorenim izvorima
Svoju pretragu možete započeti s online uslugom: Pretražuje mračni web, platforme za dijeljenje dokumenata, obrađuje Whois podatke, curenje javnih podataka i mnoge druge izvore.
Ako je na temelju nekih znakova (HTTP zaglavlja, Whois podataka, itd.) bilo moguće utvrditi da je zaštita stranice organizirana pomoću Cloudflarea, tada možete početi tražiti pravi IP od, koji sadrži oko 3 milijuna IP adresa stranica koje se nalaze iza Cloudflarea.
Korištenje SSL certifikata i usluge možete pronaći puno korisnih informacija, uključujući stvarnu IP adresu stranice. Da biste generirali zahtjev za svoj resurs, idite na karticu Certifikati i unesite:
_parsed.imena: imeweb mjesto I oznake.raw: pouzdano
Za traženje IP adresa poslužitelja koji koriste SSL certifikat, morat ćete ručno proći kroz padajući popis s nekoliko alata (kartica "Istraži", zatim odaberite "IPv4 Hosts").
Metoda 2: DNS
Pretraživanje povijesti promjena DNS zapisa je stara, provjerena metoda. Prethodna IP adresa stranice može jasno pokazati na kojem se hostingu (ili podatkovnom centru) nalazi. Među online uslugama po jednostavnosti korištenja izdvajaju se: и .
Kada promijenite postavke, stranica neće odmah koristiti IP adresu pružatelja sigurnosti u oblaku ili CDN-a, već će neko vrijeme raditi izravno. U tom slučaju postoji mogućnost da mrežne usluge za pohranjivanje povijesti promjena IP adrese sadrže informacije o izvornoj adresi stranice.
Ako ne postoji ništa osim naziva starog DNS poslužitelja, tada pomoću posebnih uslužnih programa (dig, host ili nslookup) možete zatražiti IP adresu prema nazivu domene web mjesta, na primjer:
_dig @old_dns_server_name imeсайта
Metoda 3: e-pošta
Ideja metode je korištenje obrasca za povratne informacije/registracije (ili bilo koje druge metode koja vam omogućuje da započnete slanje pisma) za primanje pisma na svoju e-poštu i provjeru zaglavlja, posebno polje "Primljeno" .
Zaglavlje e-pošte često sadrži stvarnu IP adresu MX zapisa (poslužitelj za razmjenu e-pošte), što može biti početna točka za pronalaženje drugih poslužitelja na meti.
Alati za automatizaciju pretraživanja
Softver za IP pretraživanje iza Cloudflare štita najčešće radi za tri zadatka:
- Skenirajte pogrešnu konfiguraciju DNS-a pomoću DNSDumpster.com;
- skeniranje baze podataka Crimeflare.com;
- tražite poddomene pomoću metode pretraživanja rječnika.
Pronalaženje poddomena često je najučinkovitija opcija od ove tri - vlasnik web-mjesta može zaštititi glavno web-mjesto i ostaviti poddomene da rade izravno. Najlakši način provjere je korištenje .
Osim toga, postoje uslužni programi dizajnirani samo za pretraživanje poddomena korištenjem pretraživanja rječnika i pretraživanja u otvorenim izvorima, na primjer: ili .
Kako se pretraga odvija u praksi
Za primjer, uzmimo stranicu seo.com koristeći Cloudflare, koju ćemo pronaći pomoću poznatog servisa (omogućuje vam da odredite tehnologije / motore / CMS na kojima radi stranica i obrnuto - tražite stranice prema korištenim tehnologijama).
Kada kliknete na karticu "IPv4 Hosts", usluga će prikazati popis hostova koji koriste certifikat. Da biste pronašli onu koja vam je potrebna, potražite IP adresu s otvorenim portom 443. Ako preusmjerava na željenu stranicu, tada je zadatak dovršen, u suprotnom morate dodati naziv domene stranice u zaglavlje "Host" HTTP zahtjev (na primjer, *curl -H "Host: site_name" *).
U našem slučaju pretraga u Censys bazi nije dala ništa, pa idemo dalje.
Izvršit ćemo DNS pretragu putem usluge.
Pretraživanjem adresa navedenih u popisima DNS poslužitelja pomoću uslužnog programa CloudFail pronalazimo radne resurse. Rezultat će biti spreman za nekoliko sekundi.
Isključivo otvorenim podacima i jednostavnim alatima odredili smo stvarnu IP adresu web poslužitelja. Ostalo je za napadača stvar tehnike.
Vratimo se odabiru hosting providera. Kako bismo procijenili korist od usluge za korisnika, razmotrit ćemo moguće metode zaštite od DDoS napada.
Kako pružatelj usluga hostinga gradi svoju zaštitu
- Vlastiti sustav zaštite s opremom za filtriranje (slika 2).
Zahtijeva:
1.1. Oprema za filtriranje prometa i softverske licence;
1.2. Stalno zaposleni stručnjaci za njegovu podršku i rad;
1.3. Internetski pristupni kanali koji će biti dovoljni za primanje napada;
1.4. Značajna unaprijed plaćena propusnost kanala za primanje "junk" prometa.
Slika 2. Vlastiti sigurnosni sustav pružatelja usluga hostinga
Ako opisani sustav smatramo sredstvom zaštite od modernih DDoS napada od stotina Gbps, onda će takav sustav koštati puno novca. Ima li hosting provider takvu zaštitu? Je li spreman platiti za "junk" promet? Očito je takav ekonomski model neprofitabilan za pružatelja usluga ako tarife ne predviđaju dodatna plaćanja. - Obrnuti proxy (samo za web stranice i neke aplikacije). Unatoč broju , dobavljač ne jamči zaštitu od izravnih DDoS napada (vidi sliku 1). Hosting provideri često nude takvo rješenje kao lijek za sve, prebacujući odgovornost na pružatelja sigurnosnih usluga.
- Usluge specijaliziranog cloud providera (korištenje njegove mreže za filtriranje) za zaštitu od DDoS napada na svim OSI razinama (Slika 3).
Slika 3. Sveobuhvatna zaštita od DDoS napada pomoću specijaliziranog pružatelja usluga
pretpostavlja duboku integraciju i visoku razinu tehničke kompetencije obiju strana. Outsourcing usluga filtriranja prometa omogućuje davatelju usluga hostinga smanjenje cijene dodatnih usluga za korisnika.
Važno! Što su detaljnije opisane tehničke karakteristike pružene usluge, to je veća mogućnost da se zahtijeva njihova implementacija ili naknada u slučaju zastoja.
Osim tri glavne metode, postoje mnoge kombinacije i kombinacije. Prilikom odabira hostinga važno je da korisnik ima na umu da će odluka ovisiti ne samo o veličini zajamčenih blokiranih napada i točnosti filtriranja, već io brzini odgovora, kao i sadržaju informacija (popis blokiranih napada, opća statistika itd.).
Upamtite da samo nekoliko pružatelja usluga hostinga u svijetu može samostalno pružiti prihvatljivu razinu zaštite; u ostalim slučajevima pomaže suradnja i tehnička pismenost. Dakle, razumijevanje osnovnih načela organiziranja zaštite od DDoS napada omogućit će vlasniku web mjesta da ne padne na marketinške trikove i ne kupi "svinju u vreći".
Izvor: www.habr.com