מה זה מה ומי זה מי בשוק הגנת DDoS

"הבחור שיצר את האתר שלנו כבר הגדיר הגנת DDoS."
"יש לנו הגנת DDoS, למה האתר נפל?"
"כמה אלפים רוצה Qrator?"

על מנת לענות בצורה נכונה על שאלות כאלו מהלקוח/הבוס, יהיה נחמד לדעת מה מסתתר מאחורי השם "הגנת DDoS". בחירת שירותי אבטחה דומה יותר לבחירת תרופה מרופא מאשר בחירת שולחן באיקאה.

אני תומך באתרים כבר 11 שנים, שרדתי מאות התקפות על השירותים שבהם אני תומך, ועכשיו אספר לכם קצת על פעולת ההגנה הפנימית.

התקפות קבועות. סה"כ 350 דרישות, 52 דרישות לגיטימיות

ההתקפות הראשונות הופיעו כמעט במקביל לאינטרנט. DDoS כתופעה הפכה לנפוצה מאז סוף שנות ה-2000 (בדוק www.cloudflare.com/learning/ddos/famous-ddos-attacks).
מאז 2015-2016 בערך, כמעט כל ספקי האחסון היו מוגנים מפני התקפות DDoS, וכך גם האתרים הבולטים באזורים תחרותיים (תעשה whois לפי IP של האתרים eldorado.ru, leroymerlin.ru, tilda.ws, תראה את הרשתות של מפעילי הגנה).

אם לפני 10-20 שנה ניתן היה להדוף את רוב ההתקפות בשרת עצמו (הערך את ההמלצות של מנהל המערכת Lenta.ru מקסים מושקוב משנות ה-90: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), אך כעת משימות ההגנה הפכו לקשות יותר.

סוגי התקפות DDoS מנקודת מבט של בחירת מפעיל הגנה

התקפות ברמת L3/L4 (לפי דגם OSI)

- הצפת UDP מרשת בוט (בקשות רבות נשלחות ישירות ממכשירים נגועים לשירות המותקף, השרתים חסומים בערוץ);
— הגברת DNS/NTP/וכו' (בקשות רבות נשלחות ממכשירים נגועים ל-DNS/NTP/וכו' פגיע, כתובת השולח מזויפת, ענן של מנות המגיבות לבקשות מציף את הערוץ של האדם המותקף; כך הכי הרבה מתקפות מסיביות מתבצעות באינטרנט המודרני);
- SYN / ACK הצפה (בקשות רבות ליצירת חיבור נשלחות לשרתים המותקפים, תור החיבור עולה על גדותיו);
- התקפות עם פיצול מנות, ping of death, ping flood (גוגל בבקשה);
- וכולי.

התקפות אלו מטרתן "לסתום" את ערוץ השרת או "להרוג" את יכולתו לקבל תעבורה חדשה.
למרות ההצפה וההגברה של SYN/ACK שונים מאוד, חברות רבות נלחמות בהם באותה מידה. מתעוררות בעיות בהתקפות מהקבוצה הבאה.

התקפות על L7 (שכבת אפליקציה)

- http flood (אם אתר אינטרנט או http API מותקף);
- התקפה על אזורים פגיעים באתר (כאלה שאין להם מטמון, שמעמיסים את האתר בכבדות וכו').

המטרה היא לגרום לשרת "לעבוד קשה", לעבד הרבה "בקשות אמיתיות לכאורה" ולהישאר ללא משאבים לבקשות אמיתיות.

למרות שישנן התקפות אחרות, אלו הן הנפוצות ביותר.

התקפות רציניות ברמת L7 נוצרות בצורה ייחודית עבור כל פרויקט שמותקף.

למה 2 קבוצות?
כי יש רבים שיודעים להדוף התקפות טוב ברמת L3/L4, אבל או שלא תופסים הגנה ברמת האפליקציה (L7) בכלל, או שעדיין חלשים יותר מחלופות בהתמודדות איתן.

מי זה מי בשוק הגנת DDoS

(דעתי האישית)

הגנה ברמת L3/L4

כדי להדוף התקפות באמצעות הגברה ("חסימה" של ערוץ השרת), יש מספיק ערוצים רחבים (רבים משירותי ההגנה מתחברים לרוב ספקי עמוד השדרה הגדולים ברוסיה ויש להם ערוצים בעלי קיבולת תיאורטית של יותר מ-1 Tbit). אל תשכח שהתקפי הגברה נדירים מאוד נמשכים יותר משעה. אם אתה Spamhaus וכולם לא אוהבים אותך, כן, הם עשויים לנסות לסגור את הערוצים שלך למספר ימים, אפילו תוך סיכון של הישרדות נוספת של רשת הבוט הגלובלית בשימוש. אם יש לך רק חנות מקוונת, גם אם היא mvideo.ru, לא תראה 1 Tbit בתוך כמה ימים בקרוב מאוד (אני מקווה).

כדי להדוף התקפות עם הצפה SYN/ACK, פיצול מנות וכו', אתה צריך ציוד או מערכות תוכנה כדי לזהות ולעצור התקפות כאלה.
אנשים רבים מייצרים ציוד כזה (ארבור, יש פתרונות של סיסקו, Huawei, הטמעות תוכנה של Wanguard וכו'), מפעילי עמוד שדרה רבים כבר התקינו אותו ומוכרים שירותי הגנת DDoS (אני יודע על התקנות של Rostelecom, Megafon, TTK, MTS , למעשה, כל הספקים הגדולים עושים את אותו הדבר עם מארחים עם הגנה משלהם a-la OVH.com, Hetzner.de, אני עצמי נתקלתי בהגנה ב-ihor.ru). חלק מהחברות מפתחות פתרונות תוכנה משלהן (טכנולוגיות כמו DPDK מאפשרות לך לעבד עשרות גיגה-ביט של תעבורה על מחשב x86 פיזי אחד).

מבין השחקנים המוכרים, כולם יכולים להילחם ב-L3/L4 DDoS בצורה יעילה פחות או יותר. עכשיו אני לא אגיד למי יש את קיבולת הערוץ המקסימלית הגדולה יותר (זהו מידע פנימי), אבל בדרך כלל זה לא כל כך חשוב, וההבדל היחיד הוא באיזו מהירות ההגנה מופעלת (מיידית או אחרי כמה דקות של השבתה של הפרויקט, כמו בהצנר).
השאלה היא עד כמה זה נעשה: מתקפת הגברה יכולה להדוף על ידי חסימת תעבורה ממדינות עם כמות התעבורה המזיקה הגדולה ביותר, או שרק תעבורה מיותרת באמת יכולה להיפטר.
אבל יחד עם זאת, על סמך הניסיון שלי, כל שחקני השוק הרציניים מתמודדים עם זה ללא בעיות: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (לשעבר SkyParkCDN), ServicePipe, Stormwall, Voxility וכו'.
לא נתקלתי בהגנה מפני מפעילים כמו Rostelecom, Megafon, TTK, Beeline; לפי ביקורות של עמיתים, הם מספקים את השירותים האלה די טוב, אבל עד כה חוסר הניסיון משפיע מעת לעת: לפעמים אתה צריך לצבוט משהו דרך התמיכה של מפעיל המיגון.
לחלק מהמפעילים יש שירות נפרד "הגנה מפני התקפות ברמת L3/L4", או "הגנה על ערוץ"; זה עולה הרבה פחות מהגנה בכל הרמות.

מדוע ספק עמוד השדרה אינו דוחה התקפות של מאות Gbits, מכיוון שאין לה ערוצים משלה?מפעיל ההגנה יכול להתחבר לכל אחד מהספקים הגדולים ולהדוף התקפות "על חשבונו". תצטרך לשלם עבור הערוץ, אבל כל מאות ה-Gbits האלה לא תמיד ינוצלו; יש אפשרויות להוזיל משמעותית את עלות הערוצים במקרה זה, כך שהתוכנית נשארת בר-ביצוע.

אלו הדיווחים שקיבלתי באופן קבוע מהגנה ברמה גבוהה יותר של L3/L4 תוך תמיכה במערכות של ספק האירוח.

הגנה ברמת L7 (רמת אפליקציה)

התקפות ברמת L7 (רמת יישום) מסוגלות להדוף יחידות באופן עקבי ויעיל.
יש לי די הרבה ניסיון אמיתי עם
- Qrator.net;
- DDoS-Guard;
- מעבדות G-Core;
- קספרסקי.

הם גובים עבור כל מגה-ביט של תעבורה טהורה, מגה-ביט עולה בערך כמה אלפי רובל. אם יש לך לפחות 100 Mbps של תעבורה טהורה - הו. הגנה יקרה מאוד. אני יכול לספר לכם במאמרים הבאים כיצד לעצב אפליקציות על מנת לחסוך הרבה בקיבולת של ערוצי אבטחה.
"מלך הגבעה" האמיתי הוא Qrator.net, השאר מפגרים מאחוריהם. Qrator הם עד כה היחידים מניסיוני שנותנים אחוז חיובי כוזב קרוב לאפס, אך יחד עם זאת הם יקרים פי כמה משאר השחקנים בשוק.

גם מפעילים אחרים מספקים הגנה איכותית ויציבה. שירותים רבים הנתמכים על ידינו (כולל מוכרים מאוד בארץ!) מוגנים מפני DDoS-Guard, G-Core Labs, ודי מרוצים מהתוצאות שהתקבלו.

התקפות נהדפו על ידי Qrator

יש לי גם ניסיון עם מפעילי אבטחה קטנים כמו cloud-shield.ru, ddosa.net, אלפים מהם. אני בהחלט לא אמליץ עליו, כי... אין לי הרבה ניסיון, אבל אני אספר לכם על עקרונות העבודה שלהם. עלות ההגנה שלהם נמוכה ב-1-2 סדרי גודל מזו של השחקנים הגדולים. ככלל, הם קונים שירות הגנה חלקית (L3/L4) מאחד השחקנים הגדולים + עושים הגנה משלהם מפני התקפות ברמות גבוהות יותר. זה יכול להיות די יעיל + ניתן לקבל שירות טוב בפחות כסף, אבל עדיין מדובר בחברות קטנות עם צוות קטן, אנא קחו זאת בחשבון.

מה הקושי להדוף התקפות ברמת L7?

כל האפליקציות הן ייחודיות, ואתה צריך לאפשר תעבורה שימושית עבורן ולחסום מזיקים. לא תמיד ניתן לנכות בוטים באופן חד משמעי, אז אתה צריך להשתמש בהרבה מאוד דרגות של טיהור תנועה.

פעם, מודול nginx-testcookie הספיק (https://github.com/kyprizel/testcookie-nginx-module), וזה עדיין מספיק כדי להדוף מספר רב של התקפות. כשעבדתי בתעשיית האירוח, הגנת L7 התבססה על nginx-testcookie.
למרבה הצער, התקפות הפכו לקשות יותר. testcookie משתמש בבדיקות בוטים מבוססות JS, ובוטים מודרניים רבים יכולים לעבור אותם בהצלחה.

רשתות תקיפה הן גם ייחודיות, ויש לקחת בחשבון את המאפיינים של כל בוטנט גדול.
הגברה, הצפה ישירה מבוטנט, סינון תעבורה ממדינות שונות (סינון שונה למדינות שונות), הצפה SYN/ACK, פיצול מנות, ICMP, הצפה http, כאשר ברמת האפליקציה/http ניתן להגיע למספר בלתי מוגבל של התקפות שונות.
בסך הכל, ברמת הגנת ערוצים, ציוד ייעודי לניקוי תעבורה, תוכנה מיוחדת, הגדרות סינון נוספות לכל לקוח יכולות להיות עשרות ומאות רמות סינון.
כדי לנהל את זה כראוי ולכוון נכון את הגדרות הסינון עבור משתמשים שונים, אתה צריך ניסיון רב וצוות מוסמך. אפילו מפעיל גדול שהחליט לספק שירותי הגנה לא יכול "לזרוק כסף בטיפשות על הבעיה": יהיה צורך לצבור ניסיון מאתרים שקרים ותוצאות כוזבות על תנועה לגיטימית.
אין כפתור "דחי DDoS" למפעיל האבטחה; יש מספר רב של כלים, ואתה צריך לדעת איך להשתמש בהם.

ועוד דוגמא נוספת לבונוס.

שרת לא מוגן נחסם על ידי המארח במהלך התקפה בקיבולת של 600 Mbit
("אובדן" התנועה אינו מורגש, כי רק אתר אחד הותקף, הוא הוסר זמנית מהשרת והחסימה הוסרה תוך שעה).

אותו שרת מוגן. התוקפים "נכנעו" לאחר יום של פיגועים נהדפים. ההתקפה עצמה לא הייתה החזקה ביותר.

ההתקפה וההגנה של L3/L4 הן טריוויאליות יותר; הן תלויות בעיקר בעובי הערוצים, באלגוריתמי זיהוי וסינון להתקפות.
התקפות L7 מורכבות ומקוריות יותר; הן תלויות באפליקציה המותקפת, ביכולות ובדמיון של התוקפים. הגנה מפניהם דורשת ידע וניסיון רב, וייתכן שהתוצאה לא תהיה מיידית ולא מאה אחוז. עד שגוגל העלתה רשת עצבית נוספת להגנה.

מקור: www.habr.com