Nei primi due trimestri del 2020, il numero di attacchi DDoS è quasi triplicato, di cui il 65% sono tentativi primitivi di “test di carico” che “disabilitano” facilmente siti indifesi di piccoli negozi online, forum, blog e organi di stampa.
Come scegliere l'hosting protetto da DDoS? A cosa dovresti prestare attenzione e a cosa dovresti prepararti per non finire in una situazione spiacevole?
(Vaccinazione contro il marketing “grigio” interno)
La disponibilità e la varietà degli strumenti per sferrare attacchi DDoS costringono i proprietari di servizi online ad adottare misure adeguate per contrastare la minaccia. Dovresti pensare alla protezione DDoS non dopo il primo fallimento, e nemmeno come parte di una serie di misure per aumentare la tolleranza agli errori dell'infrastruttura, ma nella fase di scelta del sito per il posizionamento (provider di hosting o data center).
Gli attacchi DDoS vengono classificati a seconda dei protocolli le cui vulnerabilità vengono sfruttate ai livelli del modello Open Systems Interconnection (OSI):
- canale (L2),
- rete (L3),
- trasporti (L4),
- applicato (L7).
Dal punto di vista dei sistemi di sicurezza, possono essere generalizzati in due gruppi: attacchi a livello infrastrutturale (L2-L4) e attacchi a livello applicativo (L7). Ciò è dovuto alla sequenza di esecuzione degli algoritmi di analisi del traffico e alla complessità computazionale: più approfondiamo il pacchetto IP, maggiore è la potenza di calcolo richiesta.
In generale, il problema dell'ottimizzazione dei calcoli durante l'elaborazione del traffico in tempo reale è argomento per una serie separata di articoli. Ora immaginiamo solo che esista un fornitore di servizi cloud con risorse informatiche condizionatamente illimitate in grado di proteggere i siti dagli attacchi a livello di applicazione (inclusi ).
3 domande principali per determinare il grado di sicurezza dell'hosting contro gli attacchi DDoS
Diamo un'occhiata ai termini di servizio per la protezione dagli attacchi DDoS e al Service Level Agreement (SLA) del provider di hosting. Contengono le risposte alle seguenti domande:
- quali limitazioni tecniche sono indicate dal fornitore del servizio??
- cosa succede quando il cliente va oltre i limiti?
- In che modo un provider di hosting crea protezione contro gli attacchi DDoS (tecnologie, soluzioni, fornitori)?
Se non hai trovato queste informazioni, questo è un motivo per pensare alla serietà del fornitore di servizi o per organizzare autonomamente la protezione DDoS di base (L3-4). Ordinate ad esempio una connessione fisica alla rete di un fornitore di sicurezza specializzato.
Importante! Non ha senso fornire protezione contro attacchi a livello di applicazione utilizzando Reverse Proxy se il proprio provider di hosting non è in grado di fornire protezione contro attacchi a livello di infrastruttura: le apparecchiature di rete saranno sovraccariche e diventeranno indisponibili, anche per i server proxy del provider di servizi cloud (Figura 1).
Figura 1. Attacco diretto alla rete del provider di hosting
E non lasciate che vi raccontino favole secondo cui il vero indirizzo IP del server è nascosto dietro il cloud del fornitore di sicurezza, il che significa che è impossibile attaccarlo direttamente. In nove casi su dieci non sarà difficile per un malintenzionato trovare il reale indirizzo IP del server o almeno della rete del provider di hosting per “distruggere” un intero data center.
Come agiscono gli hacker alla ricerca di un indirizzo IP reale
Sotto gli spoiler ci sono diversi metodi per trovare un indirizzo IP reale (fornito a scopo informativo).
Metodo 1: ricerca in fonti aperte
Puoi iniziare la ricerca con il servizio online: Esegue ricerche nel dark web, nelle piattaforme di condivisione di documenti, elabora dati Whois, fughe di dati pubblici e molte altre fonti.
Se, in base ad alcuni segni (intestazioni HTTP, dati Whois, ecc.), è stato possibile determinare che la protezione del sito è organizzata utilizzando Cloudflare, puoi iniziare a cercare l'IP reale da, che contiene circa 3 milioni di indirizzi IP di siti situati dietro Cloudflare.
Utilizzando un certificato e un servizio SSL puoi trovare molte informazioni utili, compreso il reale indirizzo IP del sito. Per generare una richiesta per la tua risorsa, vai alla scheda Certificati e inserisci:
_parsed.names: nomesito AND tag.raw: attendibile
Per cercare gli indirizzi IP dei server che utilizzano un certificato SSL, dovrai scorrere manualmente l'elenco a discesa con diversi strumenti (la scheda "Esplora", quindi selezionare "Host IPv4").
Metodo 2: DNS
La ricerca nella cronologia delle modifiche ai record DNS è un metodo vecchio e collaudato. Il precedente indirizzo IP del sito può chiarire su quale hosting (o data center) si trovava. Tra i servizi online in termini di semplicità di utilizzo spiccano: и .
Quando si modificano le impostazioni, il sito non utilizzerà immediatamente l'indirizzo IP del fornitore di sicurezza cloud o della CDN, ma funzionerà direttamente per un po' di tempo. In questo caso, esiste la possibilità che i servizi online per la memorizzazione della cronologia delle modifiche dell'indirizzo IP contengano informazioni sull'indirizzo di origine del sito.
Se non c'è altro che il nome del vecchio server DNS, utilizzando utilità speciali (dig, host o nslookup) puoi richiedere un indirizzo IP tramite il nome di dominio del sito, ad esempio:
_dig @old_dns_server_name nomeLuogo
Metodo 3: e-mail
L'idea del metodo è quella di utilizzare il modulo di feedback/registrazione (o qualsiasi altro metodo che ti consenta di avviare l'invio di una lettera) per ricevere una lettera sulla tua email e controllare le intestazioni, in particolare il campo "Ricevuto" .
L'intestazione dell'e-mail spesso contiene l'effettivo indirizzo IP del record MX (server di scambio e-mail), che può essere un punto di partenza per trovare altri server sulla destinazione.
Cerca strumenti di automazione
Il software di ricerca IP dietro lo scudo Cloudflare funziona molto spesso per tre attività:
- Cerca errori di configurazione DNS utilizzando DNSDumpster.com;
- Scansione del database Crimeflare.com;
- cercare sottodomini utilizzando un metodo di ricerca del dizionario.
Trovare sottodomini è spesso l'opzione più efficace delle tre: il proprietario del sito potrebbe proteggere il sito principale e lasciare i sottodomini in esecuzione direttamente. Il modo più semplice per verificare è utilizzare .
Inoltre, esistono utilità progettate solo per la ricerca di sottodomini utilizzando la ricerca nel dizionario e la ricerca in fonti aperte, ad esempio: o .
Come avviene la ricerca nella pratica
Prendiamo ad esempio il sito seo.com che utilizza Cloudflare, che troveremo utilizzando un noto servizio (consente sia di determinare le tecnologie / motori / CMS su cui opera il sito, sia viceversa - cercare siti in base alle tecnologie utilizzate).
Quando fai clic sulla scheda "Host IPv4", il servizio mostrerà un elenco di host che utilizzano il certificato. Per trovare quello che ti serve cerca un indirizzo IP con porta 443 aperta. Se reindirizza al sito desiderato allora l'operazione è completata, altrimenti devi aggiungere il nome di dominio del sito nell'intestazione "Host" del Richiesta HTTP (ad esempio, *curl -H "Host: nome_sito" *).
Nel nostro caso la ricerca nel database Censys non ha dato nulla, quindi andiamo avanti.
Effettueremo una ricerca DNS tramite il servizio.
Cercando tra gli indirizzi menzionati negli elenchi dei server DNS utilizzando l'utilità CloudFail, troviamo risorse funzionanti. Il risultato sarà pronto in pochi secondi.
Utilizzando solo dati aperti e strumenti semplici, abbiamo determinato il vero indirizzo IP del server web. Il resto per l'attaccante è questione di tecnica.
Torniamo alla scelta di un provider di hosting. Per valutare il vantaggio del servizio per il cliente, valuteremo le possibili modalità di protezione contro gli attacchi DDoS.
Come un provider di hosting costruisce la propria protezione
- Sistema di protezione proprio con apparecchiature di filtraggio (Figura 2).
Richiede:
1.1. Apparecchiature per il filtraggio del traffico e licenze software;
1.2. Specialisti a tempo pieno per il suo supporto e funzionamento;
1.3. Canali di accesso a Internet sufficienti a ricevere attacchi;
1.4. Significativa larghezza di banda del canale prepagato per la ricezione del traffico "spazzatura".
Figura 2. Sistema di sicurezza del provider di hosting
Se consideriamo il sistema descritto come un mezzo di protezione contro i moderni attacchi DDoS di centinaia di Gbps, un tale sistema costerà un sacco di soldi. Il fornitore di hosting dispone di tale protezione? È pronto a pagare per il traffico “spazzatura”? Ovviamente un simile modello economico non è redditizio per il fornitore se le tariffe non prevedono pagamenti aggiuntivi. - Proxy inverso (solo per siti Web e alcune applicazioni). Nonostante un numero , il fornitore non garantisce la protezione contro gli attacchi DDoS diretti (vedi Figura 1). I fornitori di hosting spesso offrono tale soluzione come una panacea, trasferendo la responsabilità al fornitore di sicurezza.
- Servizi di un fornitore di servizi cloud specializzato (utilizzo della sua rete di filtraggio) per la protezione contro gli attacchi DDoS a tutti i livelli OSI (Figura 3).
Figura 3. Protezione completa contro gli attacchi DDoS tramite un provider specializzato
presuppone una profonda integrazione e un alto livello di competenza tecnica di entrambe le parti. L'outsourcing dei servizi di filtraggio del traffico consente al fornitore di hosting di ridurre il prezzo dei servizi aggiuntivi per il cliente.
Importante! Quanto più dettagliate sono descritte le caratteristiche tecniche del servizio fornito, tanto maggiore è la possibilità di richiederne l'implementazione o il risarcimento in caso di interruzione.
Oltre ai tre metodi principali, esistono molte combinazioni e combinazioni. Quando si sceglie un hosting, è importante che il cliente ricordi che la decisione dipenderà non solo dalla dimensione degli attacchi bloccati garantiti e dall'accuratezza del filtraggio, ma anche dalla velocità di risposta, nonché dal contenuto delle informazioni (elenco degli attacchi bloccati, statistiche generali, ecc.).
Ricorda che solo pochi hosting provider al mondo sono in grado di fornire da soli un livello di protezione accettabile; in altri casi, la cooperazione e l’alfabetizzazione tecnica aiutano. Pertanto, comprendere i principi di base dell'organizzazione della protezione contro gli attacchi DDoS consentirà al proprietario del sito di non cadere nei trucchi del marketing e di non comprare un "maiale in un colpo".
Fonte: habr.com