"Nèg ki te fè sit entènèt nou an te deja etabli pwoteksyon DDoS."
"Nou gen pwoteksyon DDoS, poukisa sit la te desann?"
"Konbyen milye Qrator vle?"
Yo nan lòd yo byen reponn kesyon sa yo nan men kliyan an / bòs nan travay, li ta bon pou konnen ki sa ki kache dèyè non "DDoS pwoteksyon". Chwazi sèvis sekirite se plis tankou w ap chwazi yon medikaman nan men yon doktè pase w ap chwazi yon tab nan IKEA.
Mwen te sipòte sit entènèt pou 11 ane, te siviv dè santèn de atak sou sèvis mwen sipòte yo, epi kounye a mwen pral di ou yon ti kras sou fonksyonman enteryè pwoteksyon an.
Atak regilye. 350k req total, 52k req lejitim
Premye atak yo te parèt prèske ansanm ak entènèt la. DDoS kòm yon fenomèn te vin gaye toupatou depi fen ane 2000 yo (tcheke ).
Depi apeprè 2015-2016, prèske tout founisè hosting yo te pwoteje kont atak DDoS, menm jan ak sit ki pi enpòtan nan zòn konpetitif (fè whois pa IP nan sit yo eldorado.ru, leroymerlin.ru, tilda.ws, ou pral wè rezo yo. nan operatè pwoteksyon).
Si 10-20 ane de sa, pifò atak yo ta ka repouse sou sèvè a tèt li (evalye rekòmandasyon administratè sistèm Lenta.ru Maxim Moshkov soti nan ane 90 yo: ), men kounye a travay pwoteksyon yo te vin pi difisil.
Kalite atak DDoS soti nan pwen de vi nan chwazi yon operatè pwoteksyon
Atak nan nivo L3/L4 (dapre modèl OSI)
— UDP inondasyon soti nan yon botne (anpil demann yo voye dirèkteman nan aparèy ki enfekte nan sèvis la atake, sèvè yo bloke ak chanèl la);
— DNS/NTP/etc anplifikasyon (anpil demann yo voye soti nan aparèy ki enfekte nan vilnerab DNS/NTP/etc, adrès moun k ap voye a se fòje, yon nwaj pake ki reponn a demann inonde kanal moun ki atake a; se konsa ki pi plis. atak masiv yo te fèt sou entènèt la modèn);
— SYN / ACK inondasyon (anpil demann pou etabli yon koneksyon yo voye bay sèvè yo atake, keu koneksyon an debòde);
— atak ak fwagmantasyon pake, ping nan lanmò, ping inondasyon (Google li tanpri);
- ak sou sa.
Atak sa yo vize "bouche" chanèl sèvè a oswa "touye" kapasite li pou aksepte nouvo trafik.
Malgre ke SYN/ACK inondasyon ak anplifikasyon yo trè diferan, anpil konpayi konbat yo egalman byen. Pwoblèm rive ak atak nan pwochen gwoup la.
Atak sou L7 (kouch aplikasyon)
— http flod (si yo atake yon sit entènèt oswa kèk http api);
— yon atak sou zòn vilnerab nan sit la (sa yo ki pa gen yon kachèt, ki chaje sit la trè lou, elatriye).
Objektif la se fè sèvè a "travay di", trete yon anpil nan "demann ki sanble reyèl" epi yo rete san resous pou demann reyèl.
Malgre ke gen lòt atak, sa yo se pi komen an.
Atak grav nan nivo L7 yo kreye nan yon fason inik pou chak pwojè yo te atake.
Poukisa 2 gwoup?
Paske gen anpil moun ki konnen ki jan yo repouse atak byen nan nivo L3 / L4, men swa pa pran pwoteksyon nan nivo aplikasyon an (L7) ditou, oswa yo toujou pi fèb nan fè fas ak yo pase altènativ yo.
Ki moun ki nan mache pwoteksyon DDoS la
(opinyon pèsonèl mwen)
Pwoteksyon nan nivo L3/L4
Pou repouse atak ak anplifikasyon ("bloke" nan chanèl sèvè a), gen ase chanèl lajè (anpil nan sèvis pwoteksyon yo konekte ak pi fò nan founisè yo gwo zo rèl do nan Larisi epi yo gen chanèl ki gen yon kapasite teyorik ki gen plis pase 1 Tbit). Pa bliye ke atak anplifikasyon trè ra dire pi lontan pase yon èdtan. Si ou se Spamhaus ak tout moun pa renmen ou, wi, yo ka eseye fèmen chanèl ou yo pandan plizyè jou, menm nan risk pou yo siviv plis nan botne mondyal la yo te itilize. Si ou jis gen yon magazen sou entènèt, menm si li nan mvideo.ru, ou pa pral wè 1 Tbit nan kèk jou trè byento (mwen espere).
Pou repouse atak ak inondasyon SYN/ACK, fwagmantasyon pake, elatriye, ou bezwen ekipman oswa sistèm lojisyèl pou detekte epi sispann atak sa yo.
Anpil moun pwodui ekipman sa yo (Arbor, gen solisyon soti nan Cisco, Huawei, aplikasyon lojisyèl soti nan Wanguard, elatriye), anpil operatè kolòn vètebral te deja enstale li epi vann sèvis pwoteksyon DDoS (mwen konnen sou enstalasyon nan Rostelecom, Megafon, TTK, MTS). , an reyalite, tout gwo founisè fè menm bagay la ak hosters ak pwòp pwoteksyon yo a-la OVH.com, Hetzner.de, mwen menm mwen rankontre pwoteksyon nan ihor.ru). Gen kèk konpayi kap devlope pwòp solisyon lojisyèl yo (teknoloji tankou DPDK pèmèt ou trete plizyè dizèn gigabit trafik sou yon sèl machin fizik x86).
Nan jwè yo byen li te ye, tout moun ka konbat L3 / L4 DDoS plis oswa mwens efektivman. Koulye a, mwen pa pral di ki moun ki gen pi gwo kapasite chanèl maksimòm (sa a se enfòmasyon inisye), men anjeneral sa a pa tèlman enpòtan, ak diferans lan sèlman se konbyen vit pwoteksyon an deklanche (enstantane oswa apre kèk minit nan D 'pwojè a, tankou nan Hetzner).
Kesyon an se kòman sa a se byen fè: yon atak anplifikasyon ka repouse pa bloke trafik soti nan peyi ki gen pi gwo kantite trafik danjere, oswa sèlman trafik vrèman nesesè yo ka jete.
Men, an menm tan, dapre eksperyans mwen, tout jwè serye mache fè fas ak sa san pwoblèm: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ansyen SkyParkCDN), ServicePipe, Stormwall, Voxility, elatriye.
Mwen pa te rankontre pwoteksyon nan men operatè tankou Rostelecom, Megafon, TTK, Beeline; dapre revizyon nan men kòlèg yo, yo bay sèvis sa yo byen, men byen lwen tèlman mank nan eksperyans ap afekte detanzantan: pafwa ou bezwen ajiste yon bagay atravè sipò a. nan operatè pwoteksyon an.
Gen kèk operatè ki gen yon sèvis separe "pwoteksyon kont atak nan nivo L3/L4", oswa "pwoteksyon chanèl"; li koute anpil mwens pase pwoteksyon nan tout nivo.
Poukisa se pa founisè kolòn vètebral la ki repouse atak dè santèn de Gbit, paske li pa gen pwòp chanèl li yo?Operatè pwoteksyon an ka konekte ak nenpòt nan pi gwo founisè yo epi repouse atak "sou depans li yo." Ou pral oblije peye pou chanèl la, men tout santèn Gbit sa yo pa pral toujou itilize; gen opsyon pou redwi siyifikativman pri a nan chanèl nan ka sa a, kidonk konplo a rete viable.
Sa yo se rapò mwen te resevwa regilyèman nan pi wo nivo pwoteksyon L3/L4 pandan m ap sipòte sistèm founisè hosting yo.
Pwoteksyon nan nivo L7 (nivo aplikasyon)
Atak nan nivo L7 (nivo aplikasyon) yo kapab repouse inite yo toujou ak efikasite.
Mwen gen anpil eksperyans reyèl ak
- Qrator.net;
- DDoS-Gad;
- G-Core Labs;
— Kaspèski.
Yo chaje pou chak megabit nan trafik pi bon kalite, yon megabit koute apeprè plizyè mil rubles. Si ou gen omwen 100 Mbps nan trafik pi - o. Pwoteksyon pral trè chè. Mwen ka di ou nan atik sa yo ki jan yo konsepsyon aplikasyon yo nan lòd yo ekonomize anpil sou kapasite nan chanèl sekirite.
Vrè "wa ti mòn lan" se Qrator.net, rès la lag dèyè yo. Qrator se jiskaprezan yo sèlman nan eksperyans mwen ki bay yon pousantaj nan fo pozitif fèmen nan zewo, men an menm tan an yo se plizyè fwa pi chè pase lòt jwè mache.
Lòt operatè yo tou bay bon jan kalite ak pwoteksyon ki estab. Anpil sèvis sipòte pa nou (ki gen ladan yo trè byen li te ye nan peyi a!) Pwoteje kont DDoS-Guard, G-Core Labs, epi yo byen satisfè ak rezilta yo jwenn.
Atak repouse pa Qrator
Mwen gen eksperyans tou ak ti operatè sekirite tankou cloud-shield.ru, ddosa.net, plizyè milye ladan yo. Mwen definitivman pa pral rekòmande li, paske ... Mwen pa gen anpil eksperyans, men mwen pral di ou sou prensip yo nan travay yo. Pri yo nan pwoteksyon se souvan 1-2 lòd nan grandè pi ba pase sa yo ki nan gwo jwè yo. Kòm yon règ, yo achte yon sèvis pwoteksyon pasyèl (L3 / L4) nan men youn nan pi gwo jwè yo + fè pwòp pwoteksyon yo kont atak nan pi wo nivo. Sa a ka byen efikas + ou ka jwenn bon sèvis pou mwens lajan, men sa yo se toujou ti konpayi ak yon ti anplwaye, tanpri kenbe sa nan tèt ou.
Ki difikilte pou repouse atak nan nivo L7?
Tout aplikasyon yo inik, epi ou bezwen pèmèt trafik ki itil pou yo epi bloke sa ki danjere. Li pa toujou posib pou elimine bots san mank, kidonk ou dwe sèvi ak anpil, vrèman ANPIL degre pirifikasyon trafik.
Yon fwa sou yon tan, modil la nginx-testcookie te ase (), epi li toujou ase pou repouse yon gwo kantite atak. Lè mwen te travay nan endistri hosting, pwoteksyon L7 te baze sou nginx-testcookie.
Malerezman, atak yo vin pi difisil. testcookie itilize chèk bot ki baze sou JS, ak anpil bot modèn ka pase yo avèk siksè.
Botne atak yo inik tou, epi yo dwe pran an konsiderasyon karakteristik chak gwo botne.
Anplifikasyon, inondasyon dirèk nan yon botne, filtraj trafik ki soti nan diferan peyi (diferan filtraj pou diferan peyi), inondasyon SYN/ACK, fwagmantasyon pake, ICMP, inondasyon http, pandan ke nan nivo aplikasyon/http ou ka vini ak yon kantite illimité diferan atak.
An total, nan nivo pwoteksyon chanèl, ekipman espesyalize pou netwaye trafik, lojisyèl espesyal, anviwònman filtraj adisyonèl pou chak kliyan ka genyen dè dizèn ak dè santèn de nivo filtraj.
Pou byen jere sa a ak kòrèkteman ajiste anviwònman filtraj pou itilizatè diferan, ou bezwen anpil eksperyans ak pèsonèl ki kalifye. Menm yon gwo operatè ki te deside bay sèvis pwoteksyon pa ka "stupid jete lajan nan pwoblèm nan": eksperyans yo pral gen yo te vin jwenn nan sit bay manti ak fo pozitif sou trafik lejitim.
Pa gen okenn bouton "repousse DDoS" pou operatè sekirite a; gen yon gwo kantite zouti, epi ou bezwen konnen ki jan yo sèvi ak yo.
Ak yon lòt egzanp bonis.
Yon sèvè san pwoteksyon te bloke pa hoster la pandan yon atak ak yon kapasite de 600 Mbit
("Pèt la" nan trafik se pa aparan, paske se sèlman 1 sit te atake, li te retire tanporèman nan sèvè a epi bloke a te leve nan yon èdtan).
Se menm sèvè a pwoteje. Atakè yo "rann tèt" apre yon jou nan atak repouse. Atak nan tèt li pa t 'pi fò a.
Atak ak defans L3/L4 yo pi trivial; yo sitou depann sou epesè chanèl yo, deteksyon ak algoritm filtraj pou atak.
Atak L7 yo pi konplèks ak orijinal yo; yo depann de aplikasyon an ke yo te atake, kapasite yo ak imajinasyon atakè yo. Pwoteksyon kont yo mande anpil konesans ak eksperyans, ak rezilta a pa ka imedya epi yo pa san pousan. Jiskaske Google te vini ak yon lòt rezo neral pou pwoteksyon.
Sous: www.habr.com