"Il ragazzo che ha realizzato il nostro sito web ha già configurato la protezione DDoS."
"Abbiamo la protezione DDoS, perché il sito è andato giù?"
“Quante migliaia vuole Qrator?”
Per rispondere adeguatamente a queste domande del cliente/capo, sarebbe bello sapere cosa si nasconde dietro il nome “protezione DDoS”. Scegliere i servizi di sicurezza è più come scegliere una medicina da un medico che scegliere un tavolo da IKEA.
Supporto siti Web da 11 anni, sono sopravvissuto a centinaia di attacchi ai servizi che supporto e ora ti parlerò un po' del funzionamento interno della protezione.
Attacchi regolari. 350 richieste totali, 52 richieste legittime
I primi attacchi sono comparsi quasi contemporaneamente a Internet. Il fenomeno DDoS si è diffuso a partire dalla fine degli anni 2000 (vedi ).
Dal 2015-2016 circa quasi tutti i provider di hosting sono protetti dagli attacchi DDoS, così come la maggior parte dei siti importanti in aree competitive (fai whois tramite IP dei siti eldorado.ru, leroymerlin.ru, tilda.ws, vedrai le reti degli operatori della tutela).
Se 10-20 anni fa la maggior parte degli attacchi potessero essere respinti sul server stesso (valutare le raccomandazioni dell'amministratore di sistema Lenta.ru Maxim Moshkov degli anni '90: ), ma ora i compiti di protezione sono diventati più difficili.
Tipologie di attacchi DDoS dal punto di vista della scelta dell'operatore di protezione
Attacchi a livello L3/L4 (secondo il modello OSI)
— UDP Flood da una botnet (molte richieste vengono inviate direttamente dai dispositivi infetti al servizio attaccato, i server vengono bloccati con il canale);
— Amplificazione DNS/NTP/etc (molte richieste vengono inviate da dispositivi infetti a DNS/NTP/etc vulnerabili, l'indirizzo del mittente viene contraffatto, una nuvola di pacchetti in risposta alle richieste inonda il canale della persona attaccata; ecco come si verifica il più delle volte vengono effettuati attacchi massicci sulla moderna Internet);
— SYN/ACK Flood (molte richieste di stabilire una connessione vengono inviate ai server attaccati, la coda di connessione va in overflow);
— attacchi con frammentazione dei pacchetti, ping of death, ping float (cercalo su Google);
- e così via.
Questi attacchi mirano a “intasare” il canale del server o “uccidere” la sua capacità di accettare nuovo traffico.
Sebbene il riversamento e l'amplificazione SYN/ACK siano molto diversi, molte aziende li combattono ugualmente bene. I problemi sorgono con gli attacchi del gruppo successivo.
Attacchi a L7 (livello applicazione)
— http Flood (se un sito web o qualche API http viene attaccato);
— un attacco alle aree vulnerabili del sito (quelle che non dispongono di cache, che caricano molto pesantemente il sito, ecc.).
L'obiettivo è far sì che il server "lavori sodo", elabori molte "richieste apparentemente reali" e rimanga senza risorse per richieste reali.
Sebbene esistano altri attacchi, questi sono i più comuni.
Gli attacchi gravi al livello L7 vengono creati in modo unico per ciascun progetto attaccato.
Perché 2 gruppi?
Perché ci sono molti che sanno respingere bene gli attacchi a livello L3 / L4, ma non si proteggono affatto a livello di applicazione (L7) o sono ancora più deboli delle alternative nel gestirli.
Chi è chi nel mercato della protezione DDoS
(mia opinione personale)
Protezione a livello L3/L4
Per respingere gli attacchi con amplificazione (“blocco” del canale del server), esistono canali sufficientemente ampi (molti servizi di protezione si collegano alla maggior parte dei grandi fornitori di backbone in Russia e hanno canali con una capacità teorica di oltre 1 Tbit). Non dimenticare che gli attacchi di amplificazione molto rari durano più di un'ora. Se sei Spamhaus e non piaci a tutti, sì, potrebbero provare a chiudere i tuoi canali per diversi giorni, anche a rischio dell’ulteriore sopravvivenza della botnet globale utilizzata. Se hai solo un negozio online, anche se è mvideo.ru, non vedrai 1 Tbit entro pochi giorni molto presto (spero).
Per respingere gli attacchi con SYN/ACK Flooding, frammentazione dei pacchetti, ecc., sono necessari dispositivi o sistemi software per rilevare e fermare tali attacchi.
Molte persone producono tali apparecchiature (Arbor, ci sono soluzioni di Cisco, Huawei, implementazioni software di Wanguard, ecc.), molti operatori di backbone le hanno già installate e vendono servizi di protezione DDoS (so di installazioni di Rostelecom, Megafon, TTK, MTS , in effetti, tutti i principali fornitori fanno lo stesso con gli hoster con la propria protezione a-la OVH.com, Hetzner.de, io stesso ho riscontrato protezione su ihor.ru). Alcune aziende stanno sviluppando le proprie soluzioni software (tecnologie come DPDK consentono di elaborare decine di gigabit di traffico su una macchina fisica x86).
Tra i giocatori più famosi, tutti possono combattere gli attacchi DDoS L3/L4 in modo più o meno efficace. Ora non dirò chi ha la capacità massima del canale maggiore (questa è un'informazione privilegiata), ma di solito non è così importante e l'unica differenza è la rapidità con cui viene attivata la protezione (istantaneamente o dopo alcuni minuti di inattività del progetto, come in Hetzner).
La questione è quanto bene ciò venga fatto: un attacco di amplificazione può essere respinto bloccando il traffico proveniente dai paesi con la maggiore quantità di traffico dannoso, oppure si può scartare solo il traffico veramente non necessario.
Ma allo stesso tempo, in base alla mia esperienza, tutti gli attori seri del mercato affrontano questo problema senza problemi: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ex SkyParkCDN), ServicePipe, Stormwall, Voxility, ecc.
Non ho riscontrato protezione da operatori come Rostelecom, Megafon, TTK, Beeline; secondo le recensioni dei colleghi, forniscono questi servizi abbastanza bene, ma finora la mancanza di esperienza colpisce periodicamente: a volte è necessario modificare qualcosa attraverso il supporto dell'operatore della protezione.
Alcuni operatori offrono un servizio separato “protezione contro gli attacchi a livello L3/L4” o “protezione del canale”; costa molto meno della protezione a tutti i livelli.
Perché il fornitore della dorsale non respinge gli attacchi di centinaia di Gbit poiché non dispone di canali propri?L’operatore della protezione può connettersi a uno qualsiasi dei principali fornitori e respingere gli attacchi “a sue spese”. Dovrai pagare per il canale, ma non sempre tutte queste centinaia di Gbit verranno utilizzate; in questo caso ci sono opzioni per ridurre significativamente il costo dei canali, quindi lo schema rimane praticabile.
Questi sono i rapporti che ricevo regolarmente dalla protezione L3/L4 di livello superiore durante il supporto dei sistemi del provider di hosting.
Protezione a livello L7 (livello applicativo)
Gli attacchi al livello L7 (livello di applicazione) sono in grado di respingere le unità in modo coerente ed efficiente.
Ho molta esperienza reale con
— Qrator.net;
— Guardia DDoS;
- Laboratori G-Core;
— Kaspersky.
Fanno pagare per ogni megabit di traffico puro, un megabit costa circa diverse migliaia di rubli. Se hai almeno 100 Mbps di traffico puro, oh. La protezione sarà molto costosa. Posso raccontarti nei seguenti articoli come progettare applicazioni in modo da risparmiare molto sulla capacità dei canali di sicurezza.
Il vero “re della collina” è Qrator.net, gli altri restano indietro. Qrator sono finora gli unici nella mia esperienza che danno una percentuale di falsi positivi vicina allo zero, ma allo stesso tempo sono molte volte più costosi rispetto ad altri attori del mercato.
Anche altri operatori forniscono una protezione stabile e di alta qualità. Molti servizi da noi supportati (compresi quelli molto conosciuti nel paese!) sono protetti da DDoS-Guard, G-Core Labs e sono abbastanza soddisfatti dei risultati ottenuti.
Attacchi respinti da Qrator
Ho anche esperienza con piccoli operatori di sicurezza come cloud-shield.ru, ddosa.net, migliaia di loro. Sicuramente non lo consiglio perché... Non ho molta esperienza, ma ti parlerò dei principi del loro lavoro. Il loro costo di protezione è spesso inferiore di 1-2 ordini di grandezza rispetto a quello dei principali attori. Di norma acquistano un servizio di protezione parziale (L3/L4) da uno dei player più grandi + si proteggono autonomamente dagli attacchi ai livelli più alti. Questo può essere abbastanza efficace + puoi ottenere un buon servizio per meno soldi, ma queste sono ancora piccole aziende con un personale ridotto, tienilo a mente.
Qual è la difficoltà di respingere gli attacchi al livello L7?
Tutte le applicazioni sono uniche ed è necessario consentire il traffico utile per loro e bloccare quello dannoso. Non è sempre possibile eliminare inequivocabilmente i bot, quindi è necessario utilizzare molti, davvero MOLTI gradi di purificazione del traffico.
Una volta bastava il modulo nginx-testcookie (), ed è ancora sufficiente per respingere un gran numero di attacchi. Quando lavoravo nel settore dell'hosting, la protezione L7 era basata su nginx-testcookie.
Sfortunatamente, gli attacchi sono diventati più difficili. testcookie utilizza controlli bot basati su JS e molti bot moderni possono superarli con successo.
Anche le botnet di attacco sono uniche e occorre tenere conto delle caratteristiche di ciascuna botnet di grandi dimensioni.
Amplificazione, inondazione diretta da una botnet, filtraggio del traffico proveniente da paesi diversi (filtraggi diversi per paesi diversi), SYN/ACK Flooding, frammentazione dei pacchetti, ICMP, HTTP Flooding, mentre a livello di applicazione/http è possibile ottenere un numero illimitato di attacchi diversi.
In totale, a livello di protezione del canale, apparecchiature specializzate per la cancellazione del traffico, software speciale, impostazioni di filtraggio aggiuntive per ciascun cliente possono esserci decine e centinaia di livelli di filtraggio.
Per gestire correttamente questo aspetto e ottimizzare correttamente le impostazioni di filtraggio per i diversi utenti, è necessaria molta esperienza e personale qualificato. Anche un grande operatore che ha deciso di fornire servizi di protezione non può “buttare stupidamente soldi sul problema”: bisognerà fare esperienza sui siti menzogneri e sui falsi positivi sul traffico legittimo.
Non esiste un pulsante “respingi DDoS” per l’operatore della sicurezza; esistono numerosi strumenti ed è necessario sapere come utilizzarli.
E un altro esempio bonus.
Un server non protetto è stato bloccato dall'hoster durante un attacco con una capacità di 600 Mbit
("La perdita" di traffico non è evidente, perché solo 1 sito è stato attaccato, è stato temporaneamente rimosso dal server e il blocco è stato revocato entro un'ora).
Lo stesso server è protetto. Gli aggressori si sono “arresi” dopo una giornata di attacchi respinti. L'attacco in sé non è stato dei più forti.
L'attacco e la difesa di L3/L4 sono più banali; dipendono principalmente dallo spessore dei canali e dagli algoritmi di rilevamento e filtraggio degli attacchi.
Gli attacchi L7 sono più complessi e originali e dipendono dall'applicazione attaccata, dalle capacità e dall'immaginazione degli aggressori. La protezione contro di essi richiede molta conoscenza ed esperienza e il risultato potrebbe non essere immediato e non al cento per cento. Fino a quando Google non ha inventato un'altra rete neurale per la protezione.
Fonte: habr.com