2020 első két negyedévében a DDoS támadások száma majdnem megháromszorozódott, 65%-uk primitív „terheléses tesztelési” kísérlet volt, amely könnyen „letiltja” a kis online áruházak, fórumok, blogok és médiák védtelen oldalait.
Hogyan válasszunk DDoS-védett tárhelyet? Mire érdemes odafigyelni és mire kell felkészülni, hogy ne kerüljön kellemetlen helyzetbe?
(Belső „szürke” marketing elleni oltás)
A DDoS-támadások végrehajtására szolgáló eszközök rendelkezésre állása és sokfélesége arra kényszeríti az online szolgáltatások tulajdonosait, hogy megfelelő intézkedéseket tegyenek a fenyegetés ellen. A DDoS védelemre nem az első meghibásodás után kell gondolni, és még csak nem is az infrastruktúra hibatűrését növelő intézkedéscsomag részeként, hanem az elhelyezés helyének (tárhelyszolgáltató vagy adatközpont) kiválasztásának szakaszában.
A DDoS támadások osztályozása attól függően történik, hogy mely protokollok sebezhetőségét használják ki az Open Systems Interconnection (OSI) modell szintjéig:
- csatorna (L2),
- hálózat (L3),
- szállítás (L4),
- alkalmazva (L7).
A biztonsági rendszerek szempontjából két csoportra lehet általánosítani: infrastruktúra szintű támadásokra (L2-L4) és alkalmazás szintű támadásokra (L7). Ennek oka a forgalomelemző algoritmusok végrehajtási sorrendje és a számítási bonyolultság: minél mélyebbre tekintünk az IP-csomagban, annál nagyobb számítási teljesítményre van szükség.
Általában a számítások optimalizálásának problémája a forgalom valós idejű feldolgozásakor egy külön cikksorozat témája. Most képzeljük el, hogy létezik néhány felhőszolgáltató feltételesen korlátlan számítási erőforrással, amely megvédheti a webhelyeket az alkalmazásszintű támadásoktól (pl. ).
3 fő kérdés a DDoS támadásokkal szembeni tárhelybiztonság mértékének meghatározásához
Nézzük meg a DDoS támadások elleni védelem szolgáltatási feltételeit és a tárhelyszolgáltató szolgáltatási szint megállapodását (SLA). Tartalmaznak-e választ a következő kérdésekre:
- milyen technikai korlátozásokat ír elő a szolgáltató??
- mi történik, ha az ügyfél túllép a határokon?
- Hogyan épít egy tárhelyszolgáltató védelmet a DDoS támadások ellen (technológiák, megoldások, beszállítók)?
Ha nem találta meg ezt az információt, akkor ez ok arra, hogy elgondolkozzon a szolgáltató komolyságán, vagy önállóan szervezze meg az alapvető DDoS védelmet (L3-4). Például rendeljen fizikai kapcsolatot egy speciális biztonsági szolgáltató hálózatához.
Fontos! Nincs értelme az alkalmazásszintű támadások elleni védelmet Reverse Proxy használatával biztosítani, ha a tárhelyszolgáltató nem tud védelmet nyújtani az infrastruktúra szintű támadások ellen: a hálózati berendezések túlterhelődnek és elérhetetlenné válnak, beleértve a felhőszolgáltató proxyszervereit is (ábra). 1).
1. ábra: Közvetlen támadás a tárhelyszolgáltató hálózata ellen
És ne próbáljanak meséket mesélni arról, hogy a szerver valódi IP-címe a biztonsági szolgáltató felhője mögött rejtőzik, ami azt jelenti, hogy nem lehet közvetlenül megtámadni. Tízből kilenc esetben a támadónak nem lesz nehéz megtalálnia a szerver vagy legalább a tárhelyszolgáltató hálózatának valós IP-címét, hogy egy teljes adatközpontot „leromboljon”.
Hogyan járnak el a hackerek valódi IP-cím keresése során
A spoilerek alatt számos módszer található a valódi IP-cím megkeresésére (információs céllal).
1. módszer: Keresés nyílt forrásokban
A keresést az online szolgáltatással indíthatja el: Keres a sötét weben, a dokumentummegosztó platformokon, feldolgozza a Whois-adatokat, a nyilvános adatok kiszivárgását és sok más forrást.
Ha bizonyos jelek (HTTP fejlécek, Whois adatok stb.) alapján megállapítható volt, hogy az oldal védelme a Cloudflare segítségével van megszervezve, akkor elkezdheti a valódi IP keresését innen., amely a Cloudflare mögött található webhelyek mintegy 3 millió IP-címét tartalmazza.
SSL tanúsítvány és szolgáltatás használata sok hasznos információt találhat, köztük az oldal valós IP-címét. Az erőforrásra vonatkozó kérelem generálásához lépjen a Tanúsítványok lapra, és írja be:
_parsed.names: névsite ÉS tags.raw: megbízható
A szerverek IP-címeinek SSL-tanúsítvánnyal történő kereséséhez manuálisan kell végigmennie a legördülő listán több eszköz segítségével (az „Explore” fülön, majd válassza ki az „IPv4 Hosts” lehetőséget).
2. módszer: DNS
A DNS-rekord változástörténetében való keresés egy régi, bevált módszer. Az oldal korábbi IP-címe egyértelművé teheti, hogy melyik tárhelyen (vagy adatközponton) található. Az online szolgáltatások közül a könnyű használhatóság szempontjából kiemelkednek a következők: и .
Amikor módosítja a beállításokat, a webhely nem fogja azonnal használni a felhőalapú biztonsági szolgáltató vagy a CDN IP-címét, hanem egy ideig közvetlenül fog működni. Ebben az esetben fennáll annak a lehetősége, hogy az IP-címváltozások előzményeinek tárolására szolgáló online szolgáltatások információkat tartalmaznak a webhely forráscíméről.
Ha nincs más, csak a régi DNS-szerver neve, akkor speciális segédprogramokkal (dig, host vagy nslookup) kérhet IP-címet a webhely domain nevével, például:
_dig @old_dns_server_name névhely
3. módszer: e-mail
A módszer lényege, hogy a visszajelzési/regisztrációs űrlapot (vagy bármely más, levélküldést kezdeményező módszert) használva levelet kapsz az e-mailedre, és ellenőrizd a fejlécet, különös tekintettel a „Fogadott” mezőre. .
Az e-mail fejléc gyakran tartalmazza az MX rekord (e-mail csereszerver) tényleges IP-címét, amely kiindulási pont lehet más szerverek megtalálásához a célon.
Keresés automatizálási eszközök
A Cloudflare pajzs mögötti IP-kereső szoftver leggyakrabban három feladatra működik:
- Hibás DNS-konfiguráció keresése a DNSDumpster.com használatával;
- Crimeflare.com adatbázis vizsgálat;
- keressen aldomaineket szótári keresési módszerrel.
Az aldomainek keresése gyakran a leghatékonyabb lehetőség a három közül – a webhely tulajdonosa megvédheti a fő webhelyet, és közvetlenül hagyhatja az aldomaineket. Az ellenőrzés legegyszerűbb módja a használata .
Ezen kívül vannak olyan segédprogramok, amelyek csak az aldomainek keresésére szolgálnak szótári kereséssel és nyílt forrásokban való keresésre, például: vagy .
Hogyan történik a keresés a gyakorlatban
Vegyük például a seo.com oldalt a Cloudflare segítségével, amelyet egy jól ismert szolgáltatással találunk meg. (lehetővé teszi, hogy meghatározza azokat a technológiákat / motorokat / CMS-eket, amelyeken a webhely működik, és fordítva - webhelyek keresését a használt technológiák alapján).
Amikor az „IPv4 Hosts” fülre kattint, a szolgáltatás megjeleníti a tanúsítványt használó gazdagépek listáját. A megfelelő megtalálásához keressen egy nyitott 443-as porttal rendelkező IP-címet. Ha az átirányít a kívánt oldalra, akkor a feladat befejeződött, ellenkező esetben hozzá kell adni a webhely domain nevét a „Host” fejléchez. HTTP kérés (például *curl -H "Host: site_name" *).
Esetünkben a Censys adatbázisban végzett keresés nem hozott semmit, így továbblépünk.
DNS-keresést fogunk végezni a szolgáltatáson keresztül.
A DNS-kiszolgálók listáiban említett címek között a CloudFail segédprogram segítségével keresve működő erőforrásokat találunk. Az eredmény néhány másodpercen belül elkészül.
Csak nyílt adatok és egyszerű eszközök segítségével határoztuk meg a webszerver valós IP-címét. A többi a támadó számára technika kérdése.
Térjünk vissza a tárhelyszolgáltató kiválasztásához. Annak érdekében, hogy értékeljük a szolgáltatás előnyeit az ügyfél számára, megvizsgáljuk a DDoS támadások elleni védekezés lehetséges módszereit.
Hogyan építi fel a tárhelyszolgáltató a védelmét
- Saját védelmi rendszer szűrőberendezéssel (2. ábra).
Igényel:
1.1. Forgalomszűrő berendezések és szoftverlicencek;
1.2. Főállású szakemberek támogatásáért és működtetéséért;
1.3. Internet hozzáférési csatornák, amelyek elegendőek a támadások fogadásához;
1.4. Jelentős előre fizetett csatorna sávszélesség a „szemét” forgalom fogadásához.
2. ábra A tárhelyszolgáltató saját biztonsági rendszere
Ha a leírt rendszert a modern, több száz Gbps sebességű DDoS támadások elleni védelem eszközének tekintjük, akkor egy ilyen rendszer sok pénzbe kerül. A tárhelyszolgáltató rendelkezik ilyen védelemmel? Készen áll fizetni a „szemét” forgalomért? Nyilvánvaló, hogy egy ilyen gazdasági modell veszteséges a szolgáltató számára, ha a tarifák nem írnak elő többletfizetést. - Fordított proxy (csak webhelyekhez és egyes alkalmazásokhoz). A szám ellenére , a szállító nem garantál védelmet a közvetlen DDoS támadásokkal szemben (lásd az 1. ábrát). A tárhelyszolgáltatók gyakran kínálnak ilyen megoldást csodaszerként, áthárítva a felelősséget a biztonsági szolgáltatóra.
- Egy speciális felhőszolgáltató szolgáltatásai (szűrőhálózatának használata) a DDoS támadások elleni védelem érdekében minden OSI szinten (3. ábra).
3. ábra: Átfogó védelem a DDoS támadások ellen speciális szolgáltató segítségével
mindkét fél mély integrációját és magas szintű műszaki kompetenciáját feltételezi. A forgalomszűrési szolgáltatások kiszervezése lehetővé teszi a tárhelyszolgáltató számára, hogy csökkentse a további szolgáltatások árát az ügyfél számára.
Fontos! Minél részletesebben leírják a nyújtott szolgáltatás műszaki jellemzőit, annál nagyobb az esélye annak, hogy leállás esetén azok megvalósítását vagy kompenzációját követeljék.
A három fő módszer mellett számos kombináció és kombináció létezik. A tárhely kiválasztásakor fontos, hogy az ügyfél ne feledje, hogy a döntés nem csak a garantáltan blokkolt támadások méretétől és a szűrési pontosságtól függ, hanem a válaszadás sebességétől, valamint az információtartalomtól is (a blokkolt támadások listája, általános statisztika stb.).
Ne feledje, hogy a világon csak néhány tárhelyszolgáltató képes önállóan elfogadható szintű védelmet nyújtani, más esetekben az együttműködés és a technikai ismeretek segítik. Így a DDoS-támadások elleni védelem megszervezésének alapelvei megértése lehetővé teszi, hogy az oldal tulajdonosa ne dőljön be a marketingtrükköknek, és ne vásároljon „malacot a zsebben”.
Forrás: will.com