Dalam dua kuartal pertama tahun 2020, jumlah serangan DDoS meningkat hampir tiga kali lipat, dengan 65% di antaranya merupakan upaya primitif dalam “pengujian beban” yang dengan mudah “menonaktifkan” situs-situs tak berdaya di toko online kecil, forum, blog, dan outlet media.
Bagaimana cara memilih hosting yang dilindungi DDoS? Apa saja yang harus Anda perhatikan dan apa saja yang harus Anda persiapkan agar tidak berakhir pada situasi yang tidak menyenangkan?
(Vaksinasi terhadap pemasaran “abu-abu” di dalam)
Ketersediaan dan beragam alat untuk melakukan serangan DDoS memaksa pemilik layanan online untuk mengambil tindakan yang tepat untuk melawan ancaman tersebut. Anda harus memikirkan perlindungan DDoS bukan setelah kegagalan pertama, dan bahkan bukan sebagai bagian dari serangkaian tindakan untuk meningkatkan toleransi kesalahan infrastruktur, tetapi pada tahap memilih lokasi untuk penempatan (penyedia hosting atau pusat data).
Serangan DDoS diklasifikasikan berdasarkan protokol yang kerentanannya dieksploitasi hingga tingkat model Open Systems Interconnection (OSI):
- saluran (L2),
- jaringan (L3),
- transportasi (L4),
- diterapkan (L7).
Dari sudut pandang sistem keamanan, serangan ini dapat digeneralisasi menjadi dua kelompok: serangan tingkat infrastruktur (L2-L4) dan serangan tingkat aplikasi (L7). Hal ini disebabkan oleh urutan eksekusi algoritma analisis lalu lintas dan kompleksitas komputasi: semakin dalam kita melihat paket IP, semakin besar daya komputasi yang dibutuhkan.
Secara umum, masalah pengoptimalan penghitungan saat memproses lalu lintas secara real time adalah topik untuk rangkaian artikel terpisah. Sekarang bayangkan saja ada beberapa penyedia cloud dengan sumber daya komputasi tak terbatas yang dapat melindungi situs dari serangan tingkat aplikasi (termasuk ).
3 pertanyaan utama untuk mengetahui tingkat keamanan hosting dari serangan DDoS
Mari kita lihat persyaratan layanan untuk perlindungan terhadap serangan DDoS dan Service Level Agreement (SLA) dari penyedia hosting. Apakah mereka berisi jawaban atas pertanyaan-pertanyaan berikut:
- batasan teknis apa yang dinyatakan oleh penyedia layanan??
- apa yang terjadi jika pelanggan melampaui batas?
- Bagaimana penyedia hosting membangun perlindungan terhadap serangan DDoS (teknologi, solusi, pemasok)?
Jika Anda belum menemukan informasi ini, maka ini adalah alasan untuk memikirkan keseriusan penyedia layanan, atau mengatur sendiri perlindungan DDoS dasar (L3-4). Misalnya, pesan koneksi fisik ke jaringan penyedia keamanan khusus.
Penting! Tidak ada gunanya memberikan perlindungan terhadap serangan tingkat aplikasi menggunakan Reverse Proxy jika penyedia hosting Anda tidak mampu memberikan perlindungan terhadap serangan tingkat infrastruktur: peralatan jaringan akan kelebihan beban dan menjadi tidak tersedia, termasuk untuk server proxy penyedia cloud (Gambar 1).
Gambar 1. Serangan langsung pada jaringan penyedia hosting
Dan jangan biarkan mereka mencoba menceritakan dongeng kepada Anda bahwa alamat IP server yang sebenarnya tersembunyi di balik cloud penyedia keamanan, yang berarti tidak mungkin untuk menyerangnya secara langsung. Dalam sembilan dari sepuluh kasus, tidak akan sulit bagi penyerang untuk menemukan alamat IP sebenarnya dari server atau setidaknya jaringan penyedia hosting untuk “menghancurkan” seluruh pusat data.
Bagaimana tindakan peretas dalam mencari alamat IP asli
Di bawah spoiler terdapat beberapa metode untuk menemukan alamat IP asli (diberikan untuk tujuan informasi).
Metode 1: Cari di sumber terbuka
Anda dapat memulai pencarian Anda dengan layanan online: Ia mencari web gelap, platform berbagi dokumen, memproses data Whois, kebocoran data publik, dan banyak sumber lainnya.
Jika, berdasarkan beberapa tanda (header HTTP, data Whois, dll.), dimungkinkan untuk menentukan bahwa perlindungan situs diatur menggunakan Cloudflare, maka Anda dapat mulai mencari IP asli dari, yang berisi sekitar 3 juta alamat IP situs yang terletak di belakang Cloudflare.
Menggunakan sertifikat dan layanan SSL Anda dapat menemukan banyak informasi berguna, termasuk alamat IP asli situs tersebut. Untuk membuat permintaan sumber daya Anda, buka tab Sertifikat dan masukkan:
_parsed.names: namasitus DAN tag.raw: tepercaya
Untuk mencari alamat IP server menggunakan sertifikat SSL, Anda harus membuka daftar drop-down secara manual dengan beberapa alat (tab “Jelajahi”, lalu pilih “Host IPv4”).
Metode 2: DNS
Mencari riwayat perubahan data DNS adalah metode lama yang sudah terbukti. Alamat IP situs sebelumnya dapat memperjelas di hosting (atau pusat data) mana situs tersebut berada. Di antara layanan online dalam hal kemudahan penggunaan, berikut ini yang menonjol: и .
Saat Anda mengubah pengaturan, situs tidak akan langsung menggunakan alamat IP penyedia keamanan cloud atau CDN, tetapi akan langsung berfungsi selama beberapa waktu. Dalam hal ini, ada kemungkinan layanan online untuk menyimpan riwayat perubahan alamat IP berisi informasi tentang alamat sumber situs.
Jika tidak ada apa pun selain nama server DNS lama, maka menggunakan utilitas khusus (dig, host atau nslookup) Anda dapat meminta alamat IP dengan nama domain situs, misalnya:
_dig nama @old_dns_server_namesitus
Metode 3: email
Ide dari metode ini adalah dengan menggunakan formulir umpan balik/pendaftaran (atau metode lain apa pun yang memungkinkan Anda memulai pengiriman surat) untuk menerima surat ke email Anda dan memeriksa header, khususnya bidang “Diterima”. .
Header email sering kali berisi alamat IP sebenarnya dari data MX (server pertukaran email), yang dapat menjadi titik awal untuk menemukan server lain pada target.
Alat Otomatisasi Pencarian
Perangkat lunak pencarian IP di balik perisai Cloudflare paling sering berfungsi untuk tiga tugas:
- Pindai kesalahan konfigurasi DNS menggunakan DNSDumpster.com;
- Pemindaian basis data Crimeflare.com;
- mencari subdomain menggunakan metode pencarian kamus.
Menemukan subdomain seringkali merupakan pilihan paling efektif dari ketiganya - pemilik situs dapat melindungi situs utama dan membiarkan subdomain tetap berjalan. Cara termudah untuk memeriksanya adalah dengan menggunakan .
Selain itu, ada utilitas yang dirancang hanya untuk mencari subdomain menggunakan pencarian kamus dan pencarian sumber terbuka, misalnya: или .
Bagaimana pencarian terjadi dalam praktiknya
Misalnya saja situs seo.com menggunakan Cloudflare, yang akan kita temukan menggunakan layanan terkenal (memungkinkan Anda menentukan teknologi/mesin/CMS tempat situs beroperasi, dan sebaliknya - mencari situs berdasarkan teknologi yang digunakan).
Saat Anda mengklik tab “IPv4 Hosts”, layanan akan menampilkan daftar host yang menggunakan sertifikat. Untuk menemukan yang Anda perlukan, cari alamat IP dengan port terbuka 443. Jika dialihkan ke situs yang diinginkan, maka tugas selesai, jika tidak, Anda perlu menambahkan nama domain situs tersebut ke header "Host" dari Permintaan HTTP (misalnya, *curl -H "Host: nama_situs" *).
Dalam kasus kami, pencarian di database Censys tidak menghasilkan apa-apa, jadi kami melanjutkan.
Kami akan melakukan pencarian DNS melalui layanan.
Dengan mencari alamat yang disebutkan dalam daftar server DNS menggunakan utilitas CloudFail, kami menemukan sumber daya yang berfungsi. Hasilnya akan siap dalam beberapa detik.
Hanya dengan menggunakan data terbuka dan alat sederhana, kami menentukan alamat IP sebenarnya dari server web. Selebihnya bagi penyerang adalah soal teknik.
Mari kita kembali memilih penyedia hosting. Untuk menilai manfaat layanan bagi pelanggan, kami akan mempertimbangkan kemungkinan metode perlindungan terhadap serangan DDoS.
Bagaimana penyedia hosting membangun perlindungannya
- Sistem proteksi sendiri dengan peralatan penyaringan (Gambar 2).
Memerlukan:
1.1. Lisensi peralatan penyaringan lalu lintas dan perangkat lunak;
1.2. Spesialis penuh waktu untuk dukungan dan pengoperasiannya;
1.3. Saluran akses internet yang cukup untuk menerima serangan;
1.4. Bandwidth saluran prabayar yang signifikan untuk menerima lalu lintas “sampah”.
Gambar 2. Sistem keamanan penyedia hosting sendiri
Jika kita menganggap sistem yang dijelaskan sebagai sarana perlindungan terhadap serangan DDoS modern dengan kecepatan ratusan Gbps, maka sistem seperti itu akan menghabiskan banyak uang. Apakah penyedia hosting memiliki perlindungan seperti itu? Apakah dia siap membayar untuk lalu lintas “sampah”? Jelasnya, model ekonomi seperti itu tidak menguntungkan bagi penyedia jika tarif tidak menyediakan pembayaran tambahan. - Reverse Proxy (hanya untuk website dan beberapa aplikasi). Meskipun jumlahnya banyak , pemasok tidak menjamin perlindungan terhadap serangan DDoS langsung (lihat Gambar 1). Penyedia hosting sering kali menawarkan solusi seperti obat mujarab, sehingga mengalihkan tanggung jawab ke penyedia keamanan.
- Layanan penyedia cloud khusus (penggunaan jaringan penyaringannya) untuk melindungi terhadap serangan DDoS di semua tingkat OSI (Gambar 3).
Gambar 3. Perlindungan komprehensif terhadap serangan DDoS menggunakan penyedia khusus
mengasumsikan integrasi yang mendalam dan kompetensi teknis tingkat tinggi dari kedua belah pihak. Layanan penyaringan lalu lintas outsourcing memungkinkan penyedia hosting untuk mengurangi harga layanan tambahan bagi pelanggan.
Penting! Semakin rinci karakteristik teknis dari layanan yang diberikan dijelaskan, semakin besar kemungkinan menuntut implementasi atau kompensasi jika terjadi downtime.
Selain ketiga metode utama tersebut, ada banyak kombinasi dan kombinasi. Saat memilih hosting, penting bagi pelanggan untuk mengingat bahwa keputusan tidak hanya bergantung pada besarnya jaminan serangan yang diblokir dan keakuratan pemfilteran, tetapi juga pada kecepatan respons, serta konten informasi (daftar serangan yang diblokir, statistik umum, dll.).
Ingatlah bahwa hanya sedikit penyedia hosting di dunia yang mampu memberikan tingkat perlindungan yang dapat diterima; dalam kasus lain, kerja sama dan pengetahuan teknis akan membantu. Oleh karena itu, memahami prinsip dasar pengorganisasian perlindungan terhadap serangan DDoS akan memungkinkan pemilik situs untuk tidak tertipu trik pemasaran dan tidak membeli “pig in a poke”.
Sumber: www.habr.com