אירוח עם הגנה מלאה מפני התקפות DDoS - מיתוס או מציאות

בשני הרבעונים הראשונים של 2020, מספר התקפות ה-DDoS כמעט גדל פי שלושה, כאשר 65% מהן היו ניסיונות פרימיטיביים של "בדיקות עומס" ה"משביתות" בקלות אתרים חסרי הגנה של חנויות מקוונות קטנות, פורומים, בלוגים ואמצעי תקשורת.

כיצד לבחור אירוח מוגן DDoS? למה כדאי לשים לב ולמה כדאי להתכונן כדי לא להגיע למצב לא נעים?

(חיסון נגד שיווק "אפור" בפנים)

הזמינות והמגוון של הכלים לביצוע התקפות DDoS מאלצת בעלי שירותים מקוונים לנקוט באמצעים מתאימים כדי להתמודד עם האיום. כדאי לחשוב על הגנת DDoS לא לאחר הכשל הראשון, ואפילו לא כחלק ממכלול של אמצעים להגברת סבילות התקלות של התשתית, אלא בשלב בחירת אתר למיקום (ספק אחסון או מרכז נתונים).

התקפות DDoS מסווגות בהתאם לפרוטוקולים שפגיעויותיהם מנוצלות לרמות של מודל ה-Open Systems Interconnection (OSI):

• ערוץ (L2),
• רשת (L3),
• הובלה (L4),
• מיושם (L7).

מנקודת מבט של מערכות אבטחה, ניתן להכליל אותן לשתי קבוצות: התקפות ברמת התשתית (L2-L4) והתקפות ברמת האפליקציה (L7). זה נובע מרצף הביצוע של אלגוריתמי ניתוח תעבורה ומורכבות חישובית: ככל שנסתכל עמוק יותר לתוך חבילת ה-IP, כך נדרש כוח מחשוב רב יותר.

באופן כללי, הבעיה של אופטימיזציה של חישובים בעת עיבוד תעבורה בזמן אמת היא נושא לסדרת מאמרים נפרדת. עכשיו בואו רק נדמיין שיש איזה ספק ענן עם משאבי מחשוב בלתי מוגבלים על תנאי שיכול להגן על אתרים מפני התקפות ברמת האפליקציה (כולל бесплатно).

3 שאלות עיקריות לקביעת מידת אבטחת האירוח מפני התקפות DDoS

בואו נסתכל על תנאי השירות להגנה מפני התקפות DDoS ואת הסכם רמת השירות (SLA) של ספק האירוח. האם הם מכילים תשובות לשאלות הבאות:

• אילו מגבלות טכניות מציינות על ידי ספק השירות??
• מה קורה כשהלקוח חורג מהגבולות?
• כיצד בונה ספק אירוח הגנה מפני התקפות DDoS (טכנולוגיות, פתרונות, ספקים)?

אם לא מצאת מידע זה, זו סיבה לחשוב על רצינותו של ספק השירות, או לארגן הגנת DDoS בסיסית (L3-4) בעצמך. לדוגמה, הזמינו חיבור פיזי לרשת של ספק אבטחה מיוחד.

חשוב! אין טעם לספק הגנה מפני התקפות ברמת האפליקציה באמצעות Reverse Proxy אם ספק האירוח שלך אינו מסוגל לספק הגנה מפני התקפות ברמת התשתית: ציוד הרשת יועמס יתר על המידה ויהפוך ללא זמין, כולל עבור שרתי ה-proxy של ספק הענן (איור 1).

איור 1. התקפה ישירה על הרשת של ספק האירוח

ואל תתנו להם לנסות לספר לכם אגדות שכתובת ה-IP האמיתית של השרת מסתתרת מאחורי הענן של ספק האבטחה, מה שאומר שאי אפשר לתקוף אותו ישירות. בתשעה מקרים מתוך עשרה, לא יהיה קשה לתוקף למצוא את כתובת ה-IP האמיתית של השרת או לפחות של הרשת של ספק האירוח כדי "להרוס" מרכז נתונים שלם.

כיצד פועלים האקרים בחיפוש אחר כתובת IP אמיתית

מתחת לספוילרים ישנן מספר שיטות למציאת כתובת IP אמיתית (ניתנת למטרות מידע).

שיטה 1: חפש במקורות פתוחים

אתה יכול להתחיל את החיפוש שלך עם השירות המקוון אינטליגנציה X: הוא מחפש באינטרנט האפל, פלטפורמות שיתוף מסמכים, מעבד נתוני Whois, דליפות נתונים ציבוריים ומקורות רבים אחרים.

אם בהתבסס על סימנים מסוימים (כותרות HTTP, נתוני Whois וכו'), ניתן היה לקבוע שההגנה על האתר מאורגנת באמצעות Cloudflare, אז אתה יכול להתחיל לחפש את ה-IP האמיתי מ- רשימה, המכיל כ-3 מיליון כתובות IP של אתרים הממוקמים מאחורי Cloudflare.

שימוש בתעודת SSL ושירות Censys אתה יכול למצוא הרבה מידע שימושי, כולל כתובת ה-IP האמיתית של האתר. כדי ליצור בקשה עבור המשאב שלך, עבור לכרטיסייה אישורים והזן:

_parsed.names: שםsite AND tags.raw: מהימן

כדי לחפש כתובות IP של שרתים באמצעות אישור SSL, תצטרך לעבור באופן ידני על הרשימה הנפתחת עם מספר כלים (הלשונית "חקר", ולאחר מכן בחר "מארחי IPv4").

שיטה 2: DNS

חיפוש בהיסטוריה של שינויים ברשומות DNS הוא שיטה ישנה ומוכחת. כתובת ה-IP הקודמת של האתר יכולה להבהיר באיזה אירוח (או מרכז נתונים) הוא היה ממוקם. בין השירותים המקוונים מבחינת נוחות השימוש, בולטים הבאים: ViewDNS и מסלולי אבטחה.

כאשר תשנה את ההגדרות, האתר לא ישתמש באופן מיידי בכתובת ה-IP של ספק אבטחת הענן או CDN, אלא יפעל ישירות למשך זמן מה. במקרה זה, קיימת אפשרות ששירותים מקוונים לאחסון היסטוריית השינויים בכתובות IP מכילים מידע על כתובת המקור של האתר.

אם אין שום דבר מלבד השם של שרת ה-DNS הישן, אז באמצעות כלי עזר מיוחדים (dig, host או nslookup) אתה יכול לבקש כתובת IP לפי שם הדומיין של האתר, למשל:

_dig @old_dns_server_name nameсайта

שיטה 3: אימייל

הרעיון של השיטה הוא להשתמש בטופס המשוב/הרשמה (או כל שיטה אחרת המאפשרת לך ליזום שליחת מכתב) כדי לקבל מכתב למייל ולבדוק את הכותרות, בפרט בשדה "התקבל" .

כותרת הדוא"ל מכילה לעתים קרובות את כתובת ה-IP האמיתית של רשומת ה-MX (שרת חילופי דוא"ל), שיכולה להיות נקודת התחלה למציאת שרתים אחרים ביעד.

כלי אוטומציה לחיפוש

תוכנת חיפוש IP מאחורי מגן Cloudflare עובדת לרוב עבור שלוש משימות:

• סרוק לאיתור תצורת DNS שגויה באמצעות DNSDumpster.com;
• סריקת מסד הנתונים של Crimeflare.com;
• חפש תת-דומיינים באמצעות שיטת חיפוש מילון.

מציאת תת-דומיינים היא לרוב האפשרות היעילה ביותר מבין השלושה - בעל האתר יכול להגן על האתר הראשי ולהשאיר את תת-הדומיינים פועלים ישירות. הדרך הקלה ביותר לבדוק היא להשתמש CloudFail.

בנוסף, ישנם כלי עזר המיועדים רק לחיפוש תת-דומיינים באמצעות חיפוש מילון וחיפוש במקורות פתוחים, למשל: רשימת משנה3r או dnsrecon.

איך החיפוש מתרחש בפועל

לדוגמא, ניקח את האתר seo.com באמצעות Cloudflare, אותו נמצא באמצעות שירות ידוע. בנוי עם (מאפשר לך הן לקבוע את הטכנולוגיות / המנועים / CMS עליהם פועל האתר, והן להיפך - חיפוש אתרים לפי הטכנולוגיות בהן נעשה שימוש).

כאשר תלחץ על הכרטיסייה "מארחים IPv4", השירות יציג רשימה של מארחים המשתמשים באישור. כדי למצוא את זה שאתה צריך, חפש כתובת IP עם יציאה פתוחה 443. אם היא מפנה לאתר הרצוי, המשימה הושלמה, אחרת אתה צריך להוסיף את שם הדומיין של האתר לכותרת "מארח" של בקשת HTTP (לדוגמה, *curl -H "Host: site_name" *https://IP_адрес).

במקרה שלנו, חיפוש במאגר Censys לא נתן דבר, אז נמשיך הלאה.

אנו נבצע חיפוש DNS דרך השירות https://securitytrails.com/dns-trails.

על ידי חיפוש בכתובות המוזכרות ברשימות של שרתי DNS באמצעות כלי השירות CloudFail, אנו מוצאים משאבי עבודה. התוצאה תהיה מוכנה תוך מספר שניות.

באמצעות נתונים פתוחים וכלים פשוטים בלבד, קבענו את כתובת ה-IP האמיתית של שרת האינטרנט. השאר עבור התוקף זה עניין של טכניקה.

נחזור לבחירת ספק אירוח. כדי להעריך את התועלת של השירות עבור הלקוח, נשקול שיטות אפשריות להגנה מפני התקפות DDoS.

כיצד ספק אירוח בונה את ההגנה שלו

1. מערכת הגנה משלו עם ציוד סינון (איור 2).
   דורש:
   1.1. ציוד לסינון תנועה ורישיונות תוכנה;
   1.2. מומחים במשרה מלאה על תמיכתו ותפעולו;
   1.3. ערוצי גישה לאינטרנט שיספיקו לקליטת התקפות;
   1.4. רוחב פס משמעותי של ערוץ בתשלום מראש עבור קבלת תעבורת "זבל".
   
   איור 2. מערכת האבטחה של ספק האירוח עצמו
   אם ניקח בחשבון את המערכת המתוארת כאמצעי הגנה מפני התקפות DDoS מודרניות של מאות Gbps, אז מערכת כזו תעלה הרבה כסף. האם לספק האירוח יש הגנה כזו? האם הוא מוכן לשלם עבור תעבורת "זבל"? ברור שמודל כלכלי כזה אינו משתלם לספק אם התעריפים אינם מספקים תשלומים נוספים.
2. Proxy הפוך (עבור אתרי אינטרנט ויישומים מסוימים בלבד). למרות מספר יתרונות, הספק אינו מבטיח הגנה מפני התקפות DDoS ישירות (ראה איור 1). ספקי אירוח מציעים לעתים קרובות פתרון כמו תרופת פלא, ומעבירים את האחריות לספק האבטחה.
3. שירותים של ספק ענן מיוחד (שימוש ברשת הסינון שלו) להגנה מפני התקפות DDoS בכל רמות OSI (איור 3).
   
   איור 3. הגנה מקיפה מפני התקפות DDoS באמצעות ספק מיוחד
   החלטה מניח אינטגרציה עמוקה ורמה גבוהה של כשירות טכנית של שני הצדדים. מיקור חוץ של שירותי סינון תעבורה מאפשר לספק האירוח להוזיל את המחיר של שירותים נוספים עבור הלקוח.

חשוב! ככל שהמאפיינים הטכניים של השירות הניתן יתוארו מפורטים יותר, כך גדל הסיכוי לדרוש את יישומם או פיצוי במקרה של השבתה.

בנוסף לשלוש השיטות העיקריות, ישנם שילובים ושילובים רבים. בבחירת אירוח, חשוב שהלקוח יזכור שההחלטה תהיה תלויה לא רק בגודל התקפות חסומות מובטחות ודיוק הסינון, אלא גם במהירות התגובה, כמו גם בתוכן המידע (רשימת התקפות חסומות, סטטיסטיקה כללית וכו').

זכור שרק ספקי אירוח בודדים בעולם מסוגלים לספק רמת הגנה מקובלת בעצמם; במקרים אחרים, שיתוף פעולה ואוריינות טכנית עוזרים. לפיכך, הבנת העקרונות הבסיסיים של ארגון הגנה מפני התקפות DDoS תאפשר לבעל האתר לא ליפול לתחבולות שיווקיות ולא לקנות "חזיר בדחיפה".

מקור: www.habr.com