2020 թվականի առաջին երկու եռամսյակում DDoS հարձակումների թիվը գրեթե եռապատկվել է, ընդ որում դրանց 65%-ը եղել են «բեռների թեստավորման» պարզունակ փորձեր, որոնք հեշտությամբ «անջատում են» փոքր առցանց խանութների, ֆորումների, բլոգերի և լրատվամիջոցների անպաշտպան կայքերը:
Ինչպե՞ս ընտրել DDoS-ով պաշտպանված հոստինգ: Ինչի՞ վրա պետք է ուշադրություն դարձնել և ինչի՞ն պետք է պատրաստվել, որպեսզի չհայտնվեք տհաճ իրավիճակում։
(Ներքին «մոխրագույն» շուկայավարման դեմ պատվաստում)
DDoS հարձակումներ իրականացնելու գործիքների առկայությունը և բազմազանությունը ստիպում է առցանց ծառայությունների սեփականատերերին համապատասխան միջոցներ ձեռնարկել սպառնալիքին դիմակայելու համար: Դուք պետք է մտածեք DDoS պաշտպանության մասին ոչ թե առաջին ձախողումից հետո, և նույնիսկ որպես ենթակառուցվածքի անսարքության հանդուրժողականությունը բարձրացնելու միջոցառումների մի շարք, այլ տեղաբաշխման համար կայքի ընտրության փուլում (հոսթինգ մատակարար կամ տվյալների կենտրոն):
DDoS հարձակումները դասակարգվում են՝ կախված այն արձանագրություններից, որոնց խոցելիությունը օգտագործվում է բաց համակարգերի փոխկապակցման (OSI) մոդելի մակարդակներում.
- ալիք (L2),
- ցանց (L3),
- տրանսպորտ (L4),
- կիրառվում է (L7):
Անվտանգության համակարգերի տեսանկյունից դրանք կարելի է ընդհանրացնել երկու խմբի՝ ենթակառուցվածքի մակարդակի հարձակումներ (L2-L4) և կիրառական մակարդակի հարձակումներ (L7): Սա պայմանավորված է երթևեկության վերլուծության ալգորիթմների կատարման հաջորդականությամբ և հաշվողական բարդությամբ. որքան խորը նայենք IP փաթեթին, այնքան ավելի շատ հաշվողական հզորություն է պահանջվում:
Ընդհանուր առմամբ, իրական ժամանակում տրաֆիկի մշակման ժամանակ հաշվարկների օպտիմալացման խնդիրը առանձին հոդվածաշարի թեմա է։ Հիմա եկեք պատկերացնենք, որ կա ինչ-որ ամպային մատակարար՝ պայմանականորեն անսահմանափակ հաշվողական ռեսուրսներով, որոնք կարող են պաշտպանել կայքերը հավելվածի մակարդակի հարձակումներից (այդ թվում՝ ).
3 հիմնական հարց՝ DDoS հարձակումներից հոսթինգի անվտանգության աստիճանը որոշելու համար
Դիտարկենք DDoS հարձակումներից պաշտպանության ծառայության պայմանները և հոսթինգ մատակարարի Ծառայության մակարդակի համաձայնագիրը (SLA): Արդյո՞ք դրանք պարունակում են հետևյալ հարցերի պատասխանները.
- ի՞նչ տեխնիկական սահմանափակումներ է նշված ծառայություն մատուցողի կողմից:?
- ինչ է տեղի ունենում, երբ հաճախորդը դուրս է գալիս սահմաններից:
- Ինչպե՞ս է հոստինգ մատակարարը պաշտպանություն ստեղծում DDoS հարձակումներից (տեխնոլոգիաներ, լուծումներ, մատակարարներ):
Եթե դուք չեք գտել այս տեղեկատվությունը, ապա սա առիթ է կամ մտածելու ծառայության մատակարարի լրջության մասին, կամ ինքնուրույն կազմակերպելու հիմնական DDoS պաշտպանությունը (L3-4): Օրինակ՝ պատվիրեք ֆիզիկական միացում անվտանգության մասնագիտացված մատակարարի ցանցին:
Կարեւոր! Անիմաստ է հակադարձ պրոքսիի միջոցով պաշտպանություն տրամադրել հավելվածի մակարդակի հարձակումներից, եթե ձեր հոսթինգի մատակարարը չի կարողանում պաշտպանություն ապահովել ենթակառուցվածքի մակարդակի հարձակումներից. ցանցային սարքավորումները կծանրաբեռնվեն և անհասանելի կդառնան, այդ թվում՝ ամպային մատակարարի վստահված սերվերների համար (Նկար 1).
Նկար 1. Ուղղակի հարձակում հոսթինգ մատակարարի ցանցի վրա
Եվ թույլ մի տվեք, որ նրանք փորձեն ձեզ հեքիաթներ պատմել, որ սերվերի իրական IP հասցեն թաքնված է անվտանգության մատակարարի ամպի հետևում, ինչը նշանակում է, որ անհնար է ուղղակիորեն հարձակվել դրա վրա: Տասից ինը դեպքերում հարձակվողի համար դժվար չի լինի գտնել սերվերի իրական IP հասցեն կամ գոնե հոսթինգ մատակարարի ցանցը, որպեսզի «ոչնչացնեն» տվյալների մի ամբողջ կենտրոն:
Ինչպես են հաքերները գործում իրական IP հասցե փնտրելու համար
Սփոյլերների տակ ներկայացված են իրական IP հասցե գտնելու մի քանի մեթոդներ (տրված տեղեկատվական նպատակներով):
Մեթոդ 1. Որոնել բաց աղբյուրներում
Դուք կարող եք սկսել ձեր որոնումը առցանց ծառայության միջոցովԱյն որոնում է մութ համացանցում, փաստաթղթերի փոխանակման հարթակներում, մշակում Whois-ի տվյալները, հանրային տվյալների արտահոսքը և շատ այլ աղբյուրներ:
Եթե որոշ նշանների հիման վրա (HTTP վերնագրեր, Whois տվյալներ և այլն), հնարավոր եղավ որոշել, որ կայքի պաշտպանությունը կազմակերպված է Cloudflare-ի միջոցով, ապա կարող եք սկսել իրական IP-ի որոնումը., որը պարունակում է Cloudflare-ի հետևում գտնվող կայքերի մոտ 3 միլիոն IP հասցեներ։
Օգտագործելով SSL վկայագիր և ծառայություն դուք կարող եք գտնել շատ օգտակար տեղեկատվություն, այդ թվում՝ կայքի իրական IP հասցեն: Ձեր ռեսուրսի համար հարցում ստեղծելու համար անցեք Վկայականներ ներդիր և մուտքագրեք.
_parsed.names՝ անունsite AND tags.raw: վստահելի
SSL վկայական օգտագործող սերվերների IP հասցեներ որոնելու համար դուք պետք է ձեռքով անցնեք բացվող ցուցակը մի քանի գործիքներով («Ուսումնասիրել» ներդիրը, այնուհետև ընտրել «IPv4 Hosts»):
Մեթոդ 2. DNS
DNS գրառումների փոփոխությունների պատմության որոնումը հին, ապացուցված մեթոդ է: Կայքի նախորդ IP հասցեն կարող է պարզաբանել, թե որ հոսթինգում (կամ տվյալների կենտրոնի) վրա է գտնվում: Օնլայն ծառայությունների թվում օգտագործման հարմարավետության առումով առանձնանում են հետևյալը. и .
Երբ դուք փոխում եք կարգավորումները, կայքը անմիջապես չի օգտագործի ամպային անվտանգության մատակարարի IP հասցեն կամ CDN-ն, այլ անմիջապես կաշխատի որոշ ժամանակ։ Այս դեպքում կա հավանականություն, որ IP հասցեների փոփոխությունների պատմությունը պահելու առցանց ծառայությունները պարունակում են տեղեկատվություն կայքի սկզբնաղբյուր հասցեի մասին։
Եթե հին DNS սերվերի անունից բացի ոչինչ չկա, ապա օգտագործելով հատուկ կոմունալ ծառայություններ (dig, host կամ nslookup) կարող եք IP հասցե խնդրել կայքի տիրույթի անունով, օրինակ.
_փորել @old_dns_server_name անունըсайта
Մեթոդ 3. էլ
Մեթոդի գաղափարն է օգտագործել հետադարձ կապի/գրանցման ձևը (կամ ցանկացած այլ մեթոդ, որը թույլ է տալիս նախաձեռնել նամակ ուղարկելը)՝ նամակ ստանալու համար ձեր էլ. .
Էլփոստի վերնագիրը հաճախ պարունակում է MX գրառման (էլփոստի փոխանակման սերվեր) իրական IP հասցեն, որը կարող է մեկնարկային կետ լինել թիրախում այլ սերվերներ գտնելու համար:
Որոնման ավտոմատացման գործիքներ
IP որոնման ծրագրակազմը Cloudflare վահանի հետևում ամենից հաճախ աշխատում է երեք առաջադրանքների համար.
- Սկանավորեք DNS-ի սխալ կազմաձևում՝ օգտագործելով DNSDumpster.com;
- Crimeflare.com տվյալների բազայի սկանավորում;
- որոնել ենթադոմեյններ՝ օգտագործելով բառարանի որոնման մեթոդը:
Ենթադոմեյններ գտնելը հաճախ երեքից ամենաարդյունավետ տարբերակն է. կայքի սեփականատերը կարող է պաշտպանել հիմնական կայքը և թողնել ենթադոմեյնները ուղղակիորեն գործարկվող: Ստուգելու ամենահեշտ ձևը օգտագործելն է .
Բացի այդ, կան կոմունալ ծառայություններ, որոնք նախատեսված են միայն ենթադոմեյնների որոնման համար, օգտագործելով բառարանի որոնումը և որոնումը բաց աղբյուրներում, օրինակ. կամ .
Ինչպես է որոնումը տեղի ունենում գործնականում
Օրինակ՝ վերցնենք seo.com կայքը՝ օգտագործելով Cloudflare, որը մենք կգտնենք՝ օգտագործելով հայտնի ծառայությունը: (թույլ է տալիս և՛ որոշել տեխնոլոգիաները / շարժիչները / CMS-ը, որոնց վրա գործում է կայքը, և հակառակը՝ կայքեր որոնել օգտագործված տեխնոլոգիաներով):
Երբ սեղմում եք «IPv4 Hosts» ներդիրը, ծառայությունը ցույց կտա սերտիֆիկատն օգտագործող հոսթինգների ցանկը: Ձեզ անհրաժեշտը գտնելու համար փնտրեք IP հասցե բաց պորտով 443: Եթե այն վերահղվում է դեպի ցանկալի կայք, ապա առաջադրանքն ավարտված է, հակառակ դեպքում պետք է ավելացնել կայքի տիրույթի անունը «Host» վերնագրի մեջ: HTTP հարցում (օրինակ՝ *curl -H «Host: site_name» *).
Մեր դեպքում Censys-ի տվյալների բազայում որոնումը ոչինչ չտվեց, ուստի մենք անցնում ենք առաջ:
Ծառայության միջոցով մենք կկատարենք DNS որոնում.
Փնտրելով CloudFail կոմունալ ծրագրի միջոցով DNS սերվերների ցուցակներում նշված հասցեները՝ մենք գտնում ենք աշխատանքային ռեսուրսներ։ Արդյունքը պատրաստ կլինի մի քանի վայրկյանից։
Օգտագործելով միայն բաց տվյալներ և պարզ գործիքներ՝ մենք որոշեցինք վեբ սերվերի իրական IP հասցեն։ Հարձակվողի համար մնացածը տեխնիկայի հարց է։
Եկեք վերադառնանք հոսթինգ մատակարարի ընտրությանը: Հաճախորդի համար ծառայության օգուտը գնահատելու համար մենք կքննարկենք DDoS հարձակումներից պաշտպանվելու հնարավոր մեթոդները:
Ինչպես է հոսթինգ մատակարարը կառուցում իր պաշտպանությունը
- Սեփական պաշտպանության համակարգ զտիչ սարքավորումներով (Նկար 2):
Պահանջվում է.
1.1. Երթևեկության զտիչ սարքավորումներ և ծրագրային ապահովման լիցենզիաներ;
1.2. Լիաժամկետ մասնագետներ դրա աջակցության և շահագործման համար;
1.3. Ինտերնետ հասանելիության ալիքներ, որոնք բավարար կլինեն հարձակումներ ստանալու համար.
1.4. Կանխավճարային ալիքի զգալի թողունակություն «անպետք» տրաֆիկ ստանալու համար:
Նկար 2. Հոսթինգ մատակարարի սեփական անվտանգության համակարգը
Եթե նկարագրված համակարգը դիտարկենք որպես հարյուրավոր Գբիտ/վրկ ժամանակակից DDoS հարձակումներից պաշտպանվելու միջոց, ապա նման համակարգը մեծ գումար կարժենա։ Արդյո՞ք հոսթինգ մատակարարն ունի նման պաշտպանություն: Պատրա՞ստ է նա վճարել «անպետք» տրաֆիկի համար: Ակնհայտ է, որ նման տնտեսական մոդելը անշահավետ է մատակարարի համար, եթե սակագները լրացուցիչ վճարումներ չեն նախատեսում։ - Reverse Proxy (միայն կայքերի և որոշ հավելվածների համար): Չնայած մի շարք , մատակարարը չի երաշխավորում պաշտպանություն ուղղակի DDoS հարձակումներից (տես Նկար 1): Հոսթինգ պրովայդերները հաճախ առաջարկում են նման լուծում՝ որպես համադարման՝ պատասխանատվությունը փոխանցելով անվտանգության մատակարարին:
- Մասնագիտացված ամպային մատակարարի ծառայություններ (իր զտիչ ցանցի օգտագործումը)՝ պաշտպանելու DDoS հարձակումներից բոլոր OSI մակարդակներում (Նկար 3):
Նկար 3. Համապարփակ պաշտպանություն DDoS հարձակումներից՝ օգտագործելով մասնագիտացված մատակարար
ենթադրում է երկու կողմերի խորը ինտեգրում և տեխնիկական իրավասության բարձր մակարդակ: Երթևեկության զտման ծառայությունների աութսորսինգը հոսթինգ մատակարարին թույլ է տալիս նվազեցնել հաճախորդի համար հավելյալ ծառայությունների գինը:
Կարեւոր! Որքան մանրամասն նկարագրված են մատուցվող ծառայության տեխնիկական բնութագրերը, այնքան մեծ է դրանց իրականացման կամ փոխհատուցման պահանջի հնարավորությունը պարապուրդի դեպքում:
Բացի երեք հիմնական մեթոդներից, կան բազմաթիվ համակցություններ և համակցություններ: Հոսթինգ ընտրելիս հաճախորդի համար կարևոր է հիշել, որ որոշումը կախված կլինի ոչ միայն երաշխավորված արգելափակված գրոհների չափից և զտման ճշգրտությունից, այլև արձագանքման արագությունից, ինչպես նաև տեղեկատվական բովանդակությունից (արգելափակված հարձակումների ցանկը, ընդհանուր վիճակագրություն և այլն):
Հիշեք, որ աշխարհում միայն մի քանի հոսթինգ պրովայդերներ են կարողանում ինքնուրույն ապահովել պաշտպանության ընդունելի մակարդակ, այլ դեպքերում համագործակցությունը և տեխնիկական գրագիտությունը օգնում են: Այսպիսով, DDoS հարձակումներից պաշտպանվելու կազմակերպման հիմնական սկզբունքները հասկանալը թույլ կտա կայքի սեփականատիրոջը չընկնել մարքեթինգային հնարքների վրա և չգնել «խոզուկը ծակում»:
Source: www.habr.com