„Gaurinn sem gerði vefsíðuna okkar hefur þegar sett upp DDoS vernd.
„Við erum með DDoS vernd, hvers vegna fór síðan niður?
"Hversu mörg þúsund vill Qrator?"
Til þess að svara slíkum spurningum viðskiptavina/yfirmanns almennilega væri gaman að vita hvað leynist á bak við nafnið „DDoS vernd“. Að velja öryggisþjónustu er meira eins og að velja lyf frá lækni en að velja borð í IKEA.
Ég hef stutt vefsíður í 11 ár, hef lifað af hundruð árása á þá þjónustu sem ég styð og nú skal ég segja þér aðeins frá innri virkni verndar.
Reglulegar árásir. 350 kr samtals, 52 kr lögmæt
Fyrstu árásirnar birtust nánast samtímis internetinu. DDoS sem fyrirbæri hefur orðið útbreitt síðan seint á 2000 (skoðaðu ).
Síðan um 2015-2016 hafa næstum allir hýsingaraðilar verið verndaðir fyrir DDoS árásum, eins og flestar áberandi síður á samkeppnissvæðum (gerðu whois eftir IP af síðunum eldorado.ru, leroymerlin.ru, tilda.ws, þú munt sjá netkerfin rekstraraðila verndar).
Ef fyrir 10-20 árum var hægt að hrinda flestum árásum á netþjóninn sjálfan (metið ráðleggingar Lenta.ru kerfisstjórans Maxim Moshkov frá tíunda áratugnum: ), en nú eru verndarverkefni orðin erfiðari.
Tegundir DDoS árása frá því sjónarhorni að velja verndaraðila
Árásir á L3/L4 stigi (samkvæmt OSI líkani)
- UDP flóð frá botneti (margar beiðnir eru sendar beint frá sýktum tækjum til þjónustunnar sem ráðist er á, netþjónarnir eru lokaðir með rásinni);
— DNS/NTP/etc mögnun (margar beiðnir eru sendar frá sýktum tækjum í viðkvæmt DNS/NTP/etc, heimilisfang sendanda er falsað, ský af pökkum sem bregðast við beiðnum flæða yfir rás þess sem ráðist er á; svona er mest gríðarlegar árásir eru gerðar á nútíma internetinu);
— SYN / ACK flóð (margar beiðnir um að koma á tengingu eru sendar til netþjónanna sem ráðist var á, tengingarröðin flæðir yfir);
— árásir með pakka sundrungu, ping dauðans, ping flóð (Google það vinsamlegast);
- og svo framvegis.
Þessar árásir miða að því að „stífla“ rás netþjónsins eða „drepa“ getu hans til að samþykkja nýja umferð.
Þrátt fyrir að SYN/ACK flóð og mögnun séu mjög mismunandi, berjast mörg fyrirtæki jafn vel gegn þeim. Vandamál koma upp við árásir frá næsta hópi.
Árásir á L7 (forritslag)
— http flóð (ef ráðist er á vefsíðu eða eitthvað http API);
— árás á viðkvæm svæði á síðunni (þau sem eru ekki með skyndiminni, sem hlaða síðuna mjög mikið osfrv.).
Markmiðið er að láta þjóninn „vinna hörðum höndum“, vinna úr mörgum „að því er virðist raunverulegum beiðnum“ og sitja eftir án fjármagns fyrir raunverulegar beiðnir.
Þó að það séu aðrar árásir eru þær þær algengustu.
Alvarlegar árásir á L7 stigi eru búnar til á einstakan hátt fyrir hvert verkefni sem ráðist er á.
Af hverju 2 hópar?
Vegna þess að það eru margir sem vita hvernig á að hrinda árásum vel á L3 / L4 stigi, en annað hvort taka alls ekki upp vernd á umsóknarstigi (L7) eða eru enn veikari en aðrir í að takast á við þær.
Hver er hver á DDoS verndarmarkaði
(mín persónulega skoðun)
Vörn á L3/L4 stigi
Til að hrinda árásum með mögnun („stíflu“ á miðlararásinni) eru nægar breiðar rásir (margar af verndarþjónustunum tengjast flestum stóru burðarrásarveitendum í Rússlandi og hafa rásir með fræðilega getu meira en 1 Tbit). Ekki gleyma því að mjög sjaldgæf mögnunarköst standa lengur en í klukkutíma. Ef þú ert Spamhaus og öllum líkar ekki við þig, já, þeir gætu reynt að loka rásunum þínum í nokkra daga, jafnvel í hættu á að hnattræna botnetið lifi frekar af. Ef þú ert bara með netverslun, jafnvel þótt það sé mvideo.ru, muntu ekki sjá 1 Tbit innan nokkurra daga mjög fljótlega (vona ég).
Til að hrinda árásum með SYN/ACK flóði, pakka sundrungu o.s.frv., þarftu búnað eða hugbúnaðarkerfi til að greina og stöðva slíkar árásir.
Margir framleiða slíkan búnað (Arbor, það eru til lausnir frá Cisco, Huawei, hugbúnaðarútfærslur frá Wanguard o.s.frv.), margir burðarásaraðilar hafa þegar sett hann upp og selja DDoS verndarþjónustu (ég veit um uppsetningar frá Rostelecom, Megafon, TTK, MTS , reyndar gera allir helstu þjónustuaðilar það sama við hýsingaraðila með sína eigin vernd a-la OVH.com, Hetzner.de, sjálfur lenti ég í vernd á ihor.ru). Sum fyrirtæki eru að þróa sínar eigin hugbúnaðarlausnir (tækni eins og DPDK gerir það mögulegt að vinna tugi gígabita af umferð á einni líkamlegri x86 vél).
Af þekktum spilurum geta allir barist við L3/L4 DDoS meira og minna á áhrifaríkan hátt. Nú mun ég ekki segja hver hefur meiri hámarksrásargetu (þetta eru innherjaupplýsingar), en venjulega er þetta ekki svo mikilvægt, og eini munurinn er hversu hratt vörnin er virkjuð (samstundis eða eftir nokkrar mínútur af verkefnatíma, eins og í Hetzner).
Spurningin er hversu vel þetta er gert: Hægt er að hrekja mögnunarárásina frá með því að loka fyrir umferð frá löndum með mesta skaðlega umferð, eða aðeins er hægt að henda raunverulegri óþarfa umferð.
En á sama tíma, miðað við mína reynslu, taka allir alvarlegir markaðsaðilar þetta án vandræða: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (áður SkyParkCDN), ServicePipe, Stormwall, Voxility o.s.frv.
Ég hef ekki kynnst vernd frá rekstraraðilum eins og Rostelecom, Megafon, TTK, Beeline; samkvæmt umsögnum frá samstarfsmönnum veita þeir þessa þjónustu nokkuð vel, en hingað til hefur skortur á reynslu reglulega haft áhrif: stundum þarftu að fínstilla eitthvað í gegnum stuðninginn rekstraraðila verndar.
Sumir rekstraraðilar hafa sérstaka þjónustu „vörn gegn árásum á L3/L4 stigi“ eða „rásavörn“; hún kostar mun minna en vernd á öllum stigum.
Af hverju er burðarásveitan ekki að hrinda árásum upp á hundruð Gbita, þar sem hann hefur ekki sínar eigin rásir?Rekstraraðili verndar getur tengst öllum helstu veitendum og hrekjað árásir „á hans kostnað“. Þú verður að borga fyrir rásina, en öll þessi hundruð Gbita verða ekki alltaf nýtt; það eru möguleikar til að draga verulega úr kostnaði við rásir í þessu tilfelli, svo kerfið er áfram framkvæmanlegt.
Þetta eru skýrslurnar sem ég fékk reglulega frá L3/L4 vernd á hærra stigi á meðan ég styddi kerfi hýsingaraðilans.
Vörn á L7 stigi (umsóknarstigi)
Árásir á L7 stigi (beitingarstig) geta hrekjað einingar á stöðugan og skilvirkan hátt.
Ég hef alveg mikla reynslu af
— Qrator.net;
— DDoS-vörður;
- G-Core Labs;
— Kaspersky.
Þeir rukka fyrir hvert megabit af hreinni umferð, megabit kostar um nokkur þúsund rúblur. Ef þú ert með að minnsta kosti 100 Mbps af hreinni umferð - ó. Verndun verður mjög dýr. Ég get sagt þér í eftirfarandi greinum hvernig á að hanna forrit til að spara mikið á getu öryggisrása.
Hinn raunverulegi „konungur hæðarinnar“ er Qrator.net, restin er á eftir þeim. Qrator eru enn sem komið er þeir einu samkvæmt minni reynslu sem gefa hlutfall af fölskum jákvæðum nálægt núlli, en á sama tíma eru þeir margfalt dýrari en aðrir markaðsaðilar.
Aðrir rekstraraðilar veita einnig hágæða og stöðuga vernd. Margar þjónustur sem studdar eru af okkur (þar á meðal mjög þekktar hér á landi!) eru verndaðar fyrir DDoS-Guard, G-Core Labs og eru nokkuð ánægðar með niðurstöðurnar.
Árásum hrundið af Qrator
Ég hef líka reynslu af litlum öryggisfyrirtækjum eins og cloud-shield.ru, ddosa.net, þúsundum þeirra. Ég mun örugglega ekki mæla með því, því... Ég hef ekki mikla reynslu, en ég skal segja þér frá meginreglum vinnu þeirra. Verndarkostnaður þeirra er oft 1-2 stærðargráðum lægri en hjá helstu leikmönnum. Að jafnaði kaupa þeir hlutaverndarþjónustu (L3/L4) frá einum af stærri spilurunum + gera sína eigin vörn gegn árásum á hærri stigum. Þetta getur verið nokkuð áhrifaríkt + þú getur fengið góða þjónustu fyrir minni pening, en þetta eru samt lítil fyrirtæki með lítið starfsfólk, vinsamlegast hafðu það í huga.
Hver er erfiðleikinn við að hrinda árásum á L7 stigi?
Öll forrit eru einstök og þú þarft að leyfa umferð sem er gagnleg fyrir þau og loka fyrir skaðleg. Það er ekki alltaf hægt að eyða vélmennum ótvírætt, svo þú verður að nota margar, virkilega MARGAR gráður af umferðarhreinsun.
Einu sinni var nginx-testcookie einingin nóg (), og það er enn nóg til að hrinda miklum fjölda árása. Þegar ég vann í hýsingariðnaðinum var L7 verndun byggð á nginx-testcookie.
Því miður hafa árásir orðið erfiðari. testcookie notar JS-undirstaða botathugun og margir nútíma vélmenni geta staðist þær með góðum árangri.
Árásarbotnanet eru líka einstök og þarf að taka tillit til eiginleika hvers stórs botnets.
Mögnun, bein flóð frá botneti, síun á umferð frá mismunandi löndum (mismunandi síun fyrir mismunandi lönd), SYN/ACK flóð, pakkabrot, ICMP, http flóð, á meðan á forritinu/http stigi geturðu fundið upp ótakmarkaðan fjölda af mismunandi árásir.
Alls á rásverndarstigi, sérhæfður búnaður til að hreinsa umferð, sérstakur hugbúnaður, viðbótarsíustillingar fyrir hvern viðskiptavin geta verið tugir og hundruðir síunarstiga.
Til að stjórna þessu almennilega og stilla síunarstillingar rétt fyrir mismunandi notendur þarftu mikla reynslu og hæft starfsfólk. Jafnvel stór rekstraraðili sem hefur ákveðið að veita verndarþjónustu getur ekki „heimskulega kastað peningum á vandamálið“: Reynsla verður að fá af lygasíðum og fölskum jákvæðum á lögmætri umferð.
Það er enginn „hrinda DDoS“ hnappur fyrir öryggisstjórann; það er mikill fjöldi verkfæra og þú þarft að vita hvernig á að nota þau.
Og enn eitt bónusdæmið.
Óvarinn netþjónn var lokaður af hýsingaraðilanum meðan á árás stóð með afkastagetu upp á 600 Mbit
("Tapið" á umferð er ekki áberandi, vegna þess að aðeins 1 síða var ráðist, hún var fjarlægð tímabundið af þjóninum og lokuninni var aflétt innan klukkustundar).
Sami þjónninn er varinn. Árásarmennirnir „gáfust upp“ eftir dag af hreinni árás. Árásin sjálf var ekki sú sterkasta.
Árás og vörn L3/L4 eru léttvægari; þau eru aðallega háð þykkt rásanna, uppgötvun og síunaralgrím fyrir árásir.
L7 árásir eru flóknari og frumlegri; þær ráðast af forritinu sem ráðist er á, getu og hugmyndaflugi árásarmannanna. Vörn gegn þeim krefst mikillar þekkingar og reynslu og niðurstaðan er kannski ekki strax og ekki hundrað prósent. Þangað til Google kom með annað taugakerfi til verndar.
Heimild: www.habr.com