"A fickó, aki a weboldalunkat készítette, már beállította a DDoS védelmet."
"DoS védelemmel rendelkezünk, miért szűnt meg az oldal?"
– Hány ezret akar Qrator?
Annak érdekében, hogy megfelelően válaszolhassunk az ügyfél/főnök ilyen kérdéseire, jó lenne tudni, mi rejtőzik a „DDoS védelem” név mögött. A biztonsági szolgáltatások választása inkább olyan, mint egy orvostól gyógyszert választani, mint egy asztalt az IKEA-ban.
11 éve támogatom a webhelyeket, túléltem több száz támadást az általam támogatott szolgáltatások ellen, és most mesélek egy kicsit a védelem belső működéséről.
Rendszeres támadások. 350k req összesen, 52k req jogos
Az első támadások szinte egy időben jelentek meg az internettel. A DDoS mint jelenség a 2000-es évek vége óta terjedt el (lásd ).
Körülbelül 2015–2016 óta szinte minden tárhelyszolgáltató védett a DDoS támadásokkal szemben, csakúgy, mint a versenyterületek legjelentősebb webhelyei (az eldorado.ru, leroymerlin.ru, tilda.ws webhelyek IP szerinti whois-ja, látni fogja a hálózatokat védelmi kezelők).
Ha 10-20 évvel ezelőtt a legtöbb támadást magát a szervert lehetett visszaverni (értékelje a Lenta.ru rendszergazdájának Maxim Moshkov ajánlásait a 90-es évekből: ), most azonban a védelmi feladatok megnehezültek.
A DDoS támadások típusai a védelmi operátor kiválasztása szempontjából
L3/L4 szintű támadások (OSI modell szerint)
— UDP elárasztás botnetről (sok kérés közvetlenül a fertőzött eszközökről érkezik a támadott szolgáltatáshoz, a szerverek blokkolva vannak a csatornával);
— DNS/NTP/stb erősítés (sok kérés érkezik a fertőzött eszközökről a sebezhető DNS/NTP/stb-re, a küldő címe hamis, a kérésekre válaszoló csomagfelhő elárasztja a támadott csatornáját; így a legtöbb tömeges támadásokat hajtanak végre a modern interneten);
— SYN / ACK árvíz (sok kapcsolat létrehozására irányuló kérést küldenek a megtámadott szervereknek, a kapcsolati sor túlcsordul);
— csomagtöredezett támadások, ping of death, ping flood (Google keresse meg);
- stb.
Ezeknek a támadásoknak az a célja, hogy „eltömítsék” a szerver csatornáját, vagy „megöljék” az új forgalmat fogadó képességét.
Bár a SYN/ACK elárasztás és az erősítés nagyon eltérő, sok cég egyformán jól küzd ellenük. Problémák merülnek fel a következő csoport támadásaival.
Támadások az L7 ellen (alkalmazási réteg)
— http áradás (ha egy webhelyet vagy valamilyen http api-t megtámadnak);
— támadás a webhely sérülékeny területei ellen (olyanok, amelyek nem rendelkeznek gyorsítótárral, nagyon terhelik a webhelyet stb.).
A cél az, hogy a szerver „keményen dolgozzon”, sok „valósnak tűnő kérést” dolgozzon fel, és erőforrás nélkül maradjon a valódi kérésekhez.
Bár vannak más támadások is, ezek a leggyakoribbak.
A súlyos támadások L7 szinten egyedi módon jönnek létre minden egyes megtámadt projekthez.
Miért 2 csoport?
Mert sokan vannak, akik tudják, hogyan kell jól visszaverni a támadásokat L3 / L4 szinten, de vagy egyáltalán nem vesznek fel védelmet az alkalmazási szinten (L7), vagy még mindig gyengébbek az alternatíváknál.
Ki kicsoda a DDoS védelmi piacon
(személyes véleményem)
Védelem L3/L4 szinten
Az erősítéssel (a szervercsatorna „blokkolása”) történő támadások visszaszorításához elegendő széles csatorna áll rendelkezésre (sok védelmi szolgáltatás csatlakozik a legtöbb nagy oroszországi gerinchálózati szolgáltatóhoz, és 1 Tbit-nél nagyobb elméleti kapacitású csatornákkal rendelkezik). Ne felejtse el, hogy a nagyon ritka erősítési támadások egy óránál tovább tartanak. Ha Ön Spamhaus és nem kedvel téged, igen, megpróbálhatják több napra leállítani a csatornáidat, akár azzal a kockázattal is, hogy a globális botnet tovább él. Ha csak van egy online áruháza, még ha az mvideo.ru is, akkor néhány napon belül nem fog hamarosan megjelenni az 1 Tbit (remélem).
A SYN/ACK-elárasztással, csomagfeldarabolással stb. történő támadások visszaszorításához berendezésekre vagy szoftverrendszerekre van szüksége az ilyen támadások észleléséhez és leállításához.
Sokan gyártanak ilyen berendezéseket (Arbor, vannak Cisco, Huawei megoldások, Wanguard szoftveres implementációi stb.), sok gerincszolgáltató telepítette már és értékesít DDoS védelmi szolgáltatásokat (tudok a Rostelecom, Megafon, TTK, MTS telepítéseiről , sőt, minden nagyobb szolgáltató ugyanezt teszi a saját védelemmel rendelkező tárhelyszolgáltatókkal a-la OVH.com, Hetzner.de, én magam is találkoztam a védelemmel az ihor.ru oldalon). Egyes cégek saját szoftvermegoldásokat fejlesztenek (az olyan technológiák, mint a DPDK, lehetővé teszik több tíz gigabit forgalom feldolgozását egyetlen fizikai x86-os gépen).
Az ismert játékosok közül mindenki többé-kevésbé hatékonyan tudja leküzdeni az L3/L4 DDoS-t. Most nem mondom meg, hogy kinek van nagyobb maximális csatornakapacitása (ez bennfentes információ), de általában ez nem annyira fontos, és csak az a különbség, hogy milyen gyorsan aktiválódik a védelem (azonnal vagy néhány percnyi projektleállás után, mint Hetznernél).
A kérdés az, hogy ez mennyire sikerül: az erősítő támadást a legnagyobb károsító forgalommal rendelkező országok forgalmának blokkolásával lehet visszaverni, vagy csak a valóban felesleges forgalmat lehet elvetni.
De ugyanakkor tapasztalataim alapján minden komoly piaci szereplő gond nélkül megbirkózik ezzel: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (korábban SkyParkCDN), ServicePipe, Stormwall, Voxility stb.
Nem találkoztam olyan szolgáltatók védelmével, mint a Rostelecom, a Megafon, a TTK, a Beeline; a kollégák véleménye szerint elég jól nyújtják ezeket a szolgáltatásokat, de eddig a tapasztalatok hiánya időszakosan érinti: néha valamit módosítani kell a támogatáson keresztül. a védelem kezelőjének.
Egyes szolgáltatók külön szolgáltatással rendelkeznek „L3/L4 szintű támadások elleni védelem” vagy „csatornavédelem”; ez sokkal kevesebbe kerül, mint az összes szintű védelem.
Miért nem veri vissza a gerincszolgáltató a több száz Gbites támadásokat, mivel nincsenek saját csatornái?A védelmi operátor bármelyik nagyobb szolgáltatóhoz csatlakozhat, és „a saját költségén” visszaverheti a támadásokat. Fizetni kell a csatornáért, de ez a több száz Gbit nem mindig kerül felhasználásra; ebben az esetben van lehetőség a csatornák költségeinek jelentős csökkentésére, így a rendszer működőképes marad.
Ezeket a jelentéseket rendszeresen kaptam a magasabb szintű L3/L4 védelemtől, miközben támogattam a tárhelyszolgáltató rendszereit.
Védelem L7 szinten (alkalmazási szinten)
Az L7 szintű (alkalmazási szint) támadások következetesen és hatékonyan képesek visszaverni az egységeket.
Elég sok valós tapasztalatom van vele
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
A tiszta forgalom minden megabitjáért díjat számítanak fel, egy megabit körülbelül több ezer rubelbe kerül. Ha legalább 100 Mbps tiszta forgalommal rendelkezik - ó. A védelem nagyon drága lesz. A következő cikkekben elmondhatom, hogyan tervezzen alkalmazásokat a biztonsági csatornák kapacitásának jelentős megtakarítása érdekében.
Az igazi „a domb királya” a Qrator.net, a többiek elmaradnak tőlük. A Qrator eddig a tapasztalataim szerint az egyetlen, aki nullához közeli téves pozitív százalékot ad, ugyanakkor többszörösen drágább, mint a többi piaci szereplő.
Más kezelők is kiváló minőségű és stabil védelmet biztosítanak. Számos általunk támogatott szolgáltatás (beleértve az országban nagyon ismerteket is!) védett a DDoS-Guardtól, a G-Core Labstól, és nagyon elégedettek a kapott eredményekkel.
A Qrator visszaverte a támadásokat
Van tapasztalatom olyan kis biztonsági szolgáltatókkal is, mint a cloud-shield.ru, ddosa.net, több ezer ilyen. Biztosan nem ajánlom, mert... Nincs sok tapasztalatom, de elmesélem a munkájuk alapelveit. Védelmi költségük gyakran 1-2 nagyságrenddel alacsonyabb, mint a nagyobb szereplőké. Általános szabály, hogy egy részleges védelmi szolgáltatást (L3/L4) vásárolnak valamelyik nagyobb játékostól + saját maguk védekeznek a magasabb szintű támadások ellen. Ez elég hatásos lehet + jó szolgáltatást lehet kapni kevesebb pénzért, de ezek még mindig kis cégek, kis létszámmal, kérlek vedd figyelembe.
Milyen nehézséget jelent a támadások visszaverése L7 szinten?
Minden alkalmazás egyedi, és engedélyeznie kell a számukra hasznos forgalmat, és blokkolnia kell a károsakat. A botokat nem mindig lehet egyértelműen kiszűrni, ezért sok, de tényleg SOK fokú forgalomtisztítást kell alkalmazni.
Réges-régen elég volt az nginx-testcookie modul (), és ez még mindig elég nagy számú támadás visszaveréséhez. Amikor a hosting iparágban dolgoztam, az L7 védelem az nginx-testcookie-n alapult.
Sajnos a támadások nehezebbé váltak. A testcookie JS-alapú botellenőrzéseket használ, és sok modern bot sikeresen át tudja adni azokat.
Az Attack botnetek is egyediek, és minden nagy botnet jellemzőit figyelembe kell venni.
Erősítés, direkt elárasztás botnetről, különböző országokból érkező forgalom szűrése (különböző országokra eltérő szűrés), SYN/ACK elárasztás, csomagfeldarabolás, ICMP, http elárasztás, míg alkalmazás/http szinten korlátlan számú különböző támadások.
Összességében a csatornavédelem szintjén, a forgalom törlésére szolgáló speciális berendezések, speciális szoftverek, további szűrési beállítások minden ügyfél számára tíz és száz szűrési szint lehet.
Ennek megfelelő kezeléséhez és a különböző felhasználók szűrési beállításainak megfelelő hangolásához nagy tapasztalatra és képzett személyzetre van szükség. Még egy nagy szolgáltató sem tud „hülye pénzt dobni a problémára”, amelyik úgy döntött, hogy védelmi szolgáltatásokat nyújt: tapasztalatokat kell szerezni a hazug oldalakról és a jogszerű forgalomról szóló hamis pozitív eredményekről.
A biztonsági kezelő számára nincs „repel DDoS” gomb, rengeteg eszköz létezik, és tudnia kell, hogyan kell használni őket.
És még egy bónusz példa.
Egy nem védett szervert blokkolt a hoster egy 600 Mbit kapacitású támadás során
(A forgalom „kiesése” nem észrevehető, mert mindössze 1 oldalt támadtak meg, azt ideiglenesen eltávolították a szerverről és egy órán belül feloldották a blokkolást).
Ugyanaz a szerver védett. A támadók egy napos visszavert támadások után „adták meg magukat”. Maga a támadás nem volt a legerősebb.
Az L3/L4 támadása és védelme triviálisabb, főként a csatornák vastagságától, a támadások észlelési és szűrési algoritmusaitól függ.
Az L7 támadások összetettebbek és eredetibbek; függenek a támadott alkalmazástól, a támadók képességeitől és képzeletétől. Az ellenük való védekezés nagy tudást és tapasztalatot igényel, az eredmény pedig nem biztos, hogy azonnali és nem is száz százalékos. Egészen addig, amíg a Google nem talált ki egy másik neurális hálózatot a védelem érdekében.
Forrás: will.com