“Orang yang membuat situs web kami telah menyiapkan perlindungan DDoS.”
“Kami memiliki perlindungan DDoS, mengapa situs tersebut tidak dapat diakses?”
“Berapa ribu yang diinginkan Qrator?”
Untuk menjawab pertanyaan pelanggan/bos seperti itu dengan benar, alangkah baiknya mengetahui apa yang tersembunyi di balik nama “perlindungan DDoS”. Memilih jasa keamanan lebih seperti memilih obat dari dokter dibandingkan memilih meja di IKEA.
Saya telah mendukung situs web selama 11 tahun, telah bertahan dari ratusan serangan terhadap layanan yang saya dukung, dan sekarang saya akan memberi tahu Anda sedikit tentang cara kerja perlindungan.
Serangan biasa. Total permintaan 350k, permintaan sah 52k
Serangan pertama muncul hampir bersamaan dengan Internet. DDoS sebagai sebuah fenomena telah menyebar luas sejak akhir tahun 2000an (lihat ).
Sejak sekitar tahun 2015-2016, hampir semua penyedia hosting telah terlindungi dari serangan DDoS, begitu pula sebagian besar situs terkemuka di area kompetitif (lakukan whois berdasarkan IP situs eldorado.ru, leroymerlin.ru, tilda.ws, Anda akan melihat jaringannya operator perlindungan).
Jika 10-20 tahun yang lalu sebagian besar serangan dapat dihalau di server itu sendiri (evaluasi rekomendasi administrator sistem Lenta.ru Maxim Moshkov dari tahun 90an: ), namun kini tugas perlindungan menjadi lebih sulit.
Jenis serangan DDoS dalam hal memilih operator perlindungan
Serangan pada level L3/L4 (menurut model OSI)
— Banjir UDP dari botnet (banyak permintaan dikirim langsung dari perangkat yang terinfeksi ke layanan yang diserang, server diblokir dengan saluran tersebut);
— Amplifikasi DNS/NTP/etc (banyak permintaan dikirim dari perangkat yang terinfeksi ke DNS/NTP/etc yang rentan, alamat pengirim dipalsukan, kumpulan paket yang merespons permintaan membanjiri saluran orang yang diserang; ini adalah cara yang paling serangan besar-besaran dilakukan di Internet modern);
— Banjir SYN / ACK (banyak permintaan untuk membuat koneksi dikirim ke server yang diserang, antrian koneksi meluap);
— serangan dengan fragmentasi paket, ping kematian, ping banjir (silahkan Google);
- dan seterusnya.
Serangan ini bertujuan untuk “menyumbat” saluran server atau “membunuh” kemampuannya untuk menerima lalu lintas baru.
Meskipun banjir dan amplifikasi SYN/ACK sangat berbeda, banyak perusahaan yang dapat mengatasi keduanya dengan sama baiknya. Masalah muncul pada serangan dari kelompok berikutnya.
Serangan pada L7 (lapisan aplikasi)
— banjir http (jika situs web atau api http diserang);
— serangan terhadap area situs yang rentan (yang tidak memiliki cache, yang memuat situs dengan sangat berat, dll.).
Tujuannya adalah membuat server "bekerja keras", memproses banyak "permintaan yang tampaknya nyata" dan dibiarkan tanpa sumber daya untuk permintaan nyata.
Meskipun ada serangan lain, serangan ini adalah yang paling umum.
Serangan serius di level L7 dibuat dengan cara unik untuk setiap proyek yang diserang.
Mengapa 2 kelompok?
Karena banyak yang tahu cara menangkis serangan dengan baik di level L3/L4, tetapi tidak mengambil perlindungan sama sekali di level aplikasi (L7), atau masih lebih lemah dari alternatif lain dalam menghadapinya.
Siapa yang ada di pasar perlindungan DDoS
(pendapat pribadi saya)
Perlindungan pada level L3/L4
Untuk menangkis serangan dengan amplifikasi (“penyumbatan” saluran server), terdapat saluran yang cukup lebar (banyak layanan perlindungan terhubung ke sebagian besar penyedia tulang punggung besar di Rusia dan memiliki saluran dengan kapasitas teoritis lebih dari 1 Tbit). Jangan lupa bahwa serangan amplifikasi yang sangat jarang terjadi lebih dari satu jam. Jika Anda adalah Spamhaus dan semua orang tidak menyukai Anda, ya, mereka mungkin mencoba menutup saluran Anda selama beberapa hari, bahkan dengan risiko penggunaan botnet global akan terus berlanjut. Jika Anda hanya memiliki toko online, meskipun itu mvideo.ru, Anda tidak akan melihat 1 Tbit dalam beberapa hari segera (saya harap).
Untuk menangkal serangan banjir SYN/ACK, fragmentasi paket, dll., Anda memerlukan peralatan atau sistem perangkat lunak untuk mendeteksi dan menghentikan serangan tersebut.
Banyak orang memproduksi peralatan seperti itu (Arbor, ada solusi dari Cisco, Huawei, implementasi perangkat lunak dari Wanguard, dll.), banyak operator backbone telah menginstalnya dan menjual layanan perlindungan DDoS (Saya tahu tentang instalasi dari Rostelecom, Megafon, TTK, MTS , pada kenyataannya, semua penyedia utama melakukan hal yang sama dengan hoster dengan perlindungan mereka sendiri ala OVH.com, Hetzner.de, saya sendiri menemukan perlindungan di ihor.ru). Beberapa perusahaan sedang mengembangkan solusi perangkat lunak mereka sendiri (teknologi seperti DPDK memungkinkan Anda memproses lalu lintas puluhan gigabit pada satu mesin fisik x86).
Dari pemain terkenal, semua orang bisa melawan DDoS L3/L4 dengan kurang lebih efektif. Sekarang saya tidak akan mengatakan siapa yang memiliki kapasitas saluran maksimum lebih besar (ini adalah informasi orang dalam), tetapi biasanya ini tidak begitu penting, dan satu-satunya perbedaan adalah seberapa cepat perlindungan dipicu (secara instan atau setelah beberapa menit waktu henti proyek, seperti di Hetzner).
Pertanyaannya adalah seberapa baik hal ini dilakukan: serangan amplifikasi dapat dihalau dengan memblokir lalu lintas dari negara-negara dengan jumlah lalu lintas berbahaya terbesar, atau hanya lalu lintas yang benar-benar tidak diperlukan yang dapat dibuang.
Namun pada saat yang sama, berdasarkan pengalaman saya, semua pelaku pasar yang serius dapat mengatasi hal ini tanpa masalah: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (sebelumnya SkyParkCDN), ServicePipe, Stormwall, Voxility, dll.
Saya belum menemukan perlindungan dari operator seperti Rostelecom, Megafon, TTK, Beeline; menurut ulasan rekan-rekan, mereka menyediakan layanan ini dengan cukup baik, namun sejauh ini kurangnya pengalaman mempengaruhi secara berkala: terkadang Anda perlu mengubah sesuatu melalui dukungan dari operator proteksi.
Beberapa operator memiliki layanan terpisah “perlindungan terhadap serangan di tingkat L3/L4”, atau “perlindungan saluran”; biayanya jauh lebih murah dibandingkan perlindungan di semua tingkat.
Mengapa penyedia backbone tidak menolak serangan ratusan Gbit, karena tidak memiliki saluran sendiri?Operator perlindungan dapat terhubung ke salah satu penyedia utama dan menangkis serangan “dengan biaya sendiri.” Anda harus membayar untuk saluran tersebut, tetapi ratusan Gbit ini tidak selalu digunakan; ada opsi untuk mengurangi biaya saluran secara signifikan dalam kasus ini, sehingga skema tersebut tetap bisa diterapkan.
Ini adalah laporan yang saya terima secara rutin dari perlindungan L3/L4 tingkat tinggi sambil mendukung sistem penyedia hosting.
Perlindungan di level L7 (level aplikasi)
Serangan pada level L7 (level aplikasi) mampu memukul mundur unit secara konsisten dan efisien.
Saya memiliki cukup banyak pengalaman nyata dengan
— Qrator.net;
— Penjaga DDoS;
- Lab G-Core;
—Kaspersky.
Mereka mengenakan biaya untuk setiap megabit lalu lintas murni, satu megabit berharga sekitar beberapa ribu rubel. Jika Anda memiliki setidaknya 100 Mbps lalu lintas murni - oh. Perlindungan akan sangat mahal. Saya dapat memberi tahu Anda di artikel berikut cara merancang aplikasi untuk menghemat banyak kapasitas saluran keamanan.
“Raja bukit” yang sebenarnya adalah Qrator.net, sisanya tertinggal di belakang mereka. Qrator sejauh ini adalah satu-satunya menurut pengalaman saya yang memberikan persentase positif palsu mendekati nol, tetapi pada saat yang sama harganya beberapa kali lebih mahal daripada pelaku pasar lainnya.
Operator lain juga memberikan perlindungan berkualitas tinggi dan stabil. Banyak layanan yang kami dukung (termasuk yang sangat terkenal di tanah air!) dilindungi dari DDoS-Guard, G-Core Labs, dan cukup puas dengan hasil yang diperoleh.
Serangan ditolak oleh Qrator
Saya juga memiliki pengalaman dengan operator keamanan kecil seperti cloud-shield.ru, ddosa.net, ribuan di antaranya. Saya pasti tidak akan merekomendasikannya, karena... Saya tidak punya banyak pengalaman, tapi saya akan bercerita tentang prinsip-prinsip pekerjaan mereka. Biaya perlindungan mereka seringkali 1-2 kali lipat lebih rendah dibandingkan biaya perlindungan pemain besar. Biasanya, mereka membeli layanan perlindungan parsial (L3/L4) dari salah satu pemain yang lebih besar + melakukan perlindungan sendiri terhadap serangan di level yang lebih tinggi. Ini bisa sangat efektif + Anda bisa mendapatkan layanan yang baik dengan biaya lebih sedikit, tetapi ini masih merupakan perusahaan kecil dengan staf yang sedikit, harap diingat.
Apa susahnya menangkis serangan di level L7?
Semua aplikasi itu unik, dan Anda harus mengizinkan lalu lintas yang berguna bagi aplikasi tersebut dan memblokir lalu lintas yang berbahaya. Tidak selalu mungkin untuk menyingkirkan bot secara pasti, jadi Anda harus menggunakan banyak, BANYAK tingkat pemurnian lalu lintas.
Sekali waktu, modul nginx-testcookie sudah cukup (), dan itu masih cukup untuk menangkis sejumlah besar serangan. Ketika saya bekerja di industri hosting, perlindungan L7 didasarkan pada nginx-testcookie.
Sayangnya, serangan menjadi lebih sulit. testcookie menggunakan pemeriksaan bot berbasis JS, dan banyak bot modern yang berhasil melewatinya.
Botnet serangan juga unik, dan karakteristik setiap botnet besar harus diperhitungkan.
Amplifikasi, banjir langsung dari botnet, pemfilteran lalu lintas dari berbagai negara (penyaringan berbeda untuk negara berbeda), banjir SYN/ACK, fragmentasi paket, ICMP, banjir http, sedangkan pada tingkat aplikasi/http Anda dapat menghasilkan jumlah yang tidak terbatas serangan yang berbeda.
Secara total, pada tingkat perlindungan saluran, peralatan khusus untuk membersihkan lalu lintas, perangkat lunak khusus, pengaturan pemfilteran tambahan untuk setiap klien, mungkin terdapat puluhan dan ratusan tingkat pemfilteran.
Untuk mengelola ini dengan benar dan menyetel pengaturan pemfilteran dengan benar untuk pengguna yang berbeda, Anda memerlukan banyak pengalaman dan personel yang berkualifikasi. Bahkan operator besar yang telah memutuskan untuk menyediakan layanan perlindungan tidak dapat “dengan bodohnya membuang-buang uang untuk mengatasi masalah ini”: pengalaman harus diperoleh dari situs-situs palsu dan hasil positif palsu pada lalu lintas yang sah.
Tidak ada tombol “tolak DDoS” untuk operator keamanan; ada banyak alat, dan Anda perlu tahu cara menggunakannya.
Dan satu lagi contoh bonus.
Server yang tidak terlindungi diblokir oleh hoster selama serangan dengan kapasitas 600 Mbit
(“Hilangnya” lalu lintas tidak terlihat, karena hanya 1 situs yang diserang, situs tersebut dihapus sementara dari server dan pemblokiran dicabut dalam waktu satu jam).
Server yang sama dilindungi. Para penyerang “menyerah” setelah seharian melakukan serangan yang berhasil digagalkan. Serangannya sendiri bukanlah yang terkuat.
Serangan dan pertahanan L3/L4 lebih sepele; mereka terutama bergantung pada ketebalan saluran, algoritma pendeteksian dan penyaringan untuk serangan.
Serangan L7 lebih kompleks dan orisinal; bergantung pada aplikasi yang diserang, kemampuan dan imajinasi penyerang. Perlindungan terhadap mereka memerlukan banyak pengetahuan dan pengalaman, dan hasilnya mungkin tidak langsung atau seratus persen. Hingga Google menemukan jaringan saraf lain untuk perlindungan.
Sumber: www.habr.com