DDoS防御市場では何が何で、誰が誰なのか

「私たちのウェブサイトを作った人は、すでに DDoS 防御を設定しています。」
「当社には DDoS 保護機能があるのに、なぜサイトがダウンしたのですか?」
「クレーターさんは何千枚欲しいですか？」

顧客や上司からのこのような質問に適切に答えるためには、「DDoS 保護」という名前の裏に何が隠されているのかを知っておくとよいでしょう。 セキュリティ サービスを選択することは、IKEA でテーブルを選ぶというよりも、医師から薬を選ぶ​​ことに似ています。

私は 11 年間 Web サイトをサポートしており、サポートしているサービスに対する何百もの攻撃を乗り越えてきました。ここで、保護の内部構造について少し説明します。

通常攻撃。 合計 350 要求、正規の 52 要求

最初の攻撃はインターネットとほぼ同時に出現しました。 現象としての DDoS は 2000 年代後半から広まりました (チェックしてください) www.cloudflare.com/learning/ddos/popular-ddos-attachs).
2015 年から 2016 年頃以来、ほとんどすべてのホスティング プロバイダーが DDoS 攻撃から保護されてきました。また、競合分野の最も有名なサイトも同様です (サイト eldorado.ru、leroymerlin.ru、tilda.ws の IP で Whois を実行すると、ネットワークが表示されます)保護演算子の数）。

10 ～ 20 年前であれば、ほとんどの攻撃はサーバー自体で撃退できたでしょう (90 年代の Lenta.ru システム管理者 Maxim Moshkov の推奨事項を評価してください。 lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10）、しかし今では保護タスクはより困難になっています。

保護オペレーターの選択の観点から見た DDoS 攻撃の種類

L3/L4 レベルでの攻撃 (OSI モデルによる)

— ボットネットからの UDP フラッド (多くのリクエストは感染したデバイスから攻撃されたサービスに直接送信され、サーバーはチャネルでブロックされます)。
— DNS/NTP/etc の増幅 (感染したデバイスから脆弱な DNS/NTP/etc に多くのリクエストが送信され、送信者のアドレスが偽造され、リクエストに応答する大量のパケットが攻撃対象者のチャネルに溢れます。これが最も多くの攻撃の方法です。現代のインターネット上では大規模な攻撃が行われています）。
— SYN / ACK フラッド (接続を確立するための多くのリクエストが攻撃されたサーバーに送信され、接続キューがオーバーフローします)。
— パケットの断片化、ping of death、ping フラッドによる攻撃 (Google で調べてください)。
- 等々。

これらの攻撃は、サーバーのチャネルを「詰まらせる」か、新しいトラフィックを受け入れる能力を「殺す」ことを目的としています。
SYN/ACK フラッディングと増幅は大きく異なりますが、多くの企業は同様にそれらにうまく対処しています。 次のグループからの攻撃で問題が発生します。

L7（アプリケーション層）への攻撃

— http フラッド (Web サイトまたは一部の http API が攻撃された場合)。
— サイトの脆弱な領域（キャッシュがない領域、サイトの負荷が非常に高い領域など）に対する攻撃。

目標は、サーバーを「一生懸命働かせ」、多くの「一見本物のリクエスト」を処理し、実際のリクエストのためのリソースがなくなるようにすることです。

他にも攻撃はありますが、最も一般的なのはこれらです。

L7 レベルでの深刻な攻撃は、攻撃対象のプロジェクトごとに独自の方法で作成されます。

なぜ2グループなのか？
それは、L3 / L4 レベルで攻撃をうまく撃退する方法を知っている人がたくさんいるためですが、アプリケーション レベル (L7) での保護をまったく講じていないか、攻撃への対処が代替手段よりもまだ弱いためです。

DDoS防御市場の誰が誰なのか

(私の個人的な意見)

L3/L4レベルでの保護

増幅（サーバー チャネルの「遮断」）による攻撃を撃退するには、十分な広さのチャネルが必要です（保護サービスの多くは、ロシアの大規模なバックボーン プロバイダーのほとんどに接続しており、理論上の容量が 1 Tbit を超えるチャネルを備えています）。 非常にまれな増幅攻撃が 1 時間以上続くことを忘れないでください。 あなたがスパムハウスで、誰もがあなたを嫌っている場合、はい、使用されているグローバルボットネットがさらに存続する危険を冒してでも、彼らはあなたのチャンネルを数日間シャットダウンしようとするかもしれません。 オンライン ストアを持っているだけの場合、それが mvideo.ru であっても、数日以内に XNUMX Tbit が表示されることはすぐにはありません (そう願っています)。

SYN/ACK フラッディングやパケットの断片化などによる攻撃を撃退するには、そのような攻撃を検出して阻止するための機器またはソフトウェア システムが必要です。
多くの人がそのような機器を製造しており (Arbor、Cisco、Huawei のソリューション、Wanguard のソフトウェア実装など)、多くのバックボーン事業者がすでにそれを導入し、DDoS 防御サービスを販売しています (Rostelecom、Megafon、TTK、MTS の導入については知っています)。 、実際、すべての主要なプロバイダーは、OVH.com、Hetzner.de などの独自の保護機能を備えてホスターに対して同様のことを行っています。私自身、ihor.ru で保護機能に遭遇しました）。 独自のソフトウェア ソリューションを開発している企業もあります (DPDK のようなテクノロジを使用すると、86 台の物理 xXNUMX マシンで数十ギガビットのトラフィックを処理できます)。

有名なプレーヤーであれば、誰もが多かれ少なかれ効果的に L3/L4 DDoS と戦うことができます。 ここで、どちらの最大チャネル容量が大きいかは言いませんが (これは内部情報です)、通常、これはそれほど重要ではありません。唯一の違いは、保護がどれだけ早くトリガーされるか (即時か、プロジェクトの数分間のダウンタイム後か) です。ヘッツナーの場合のように）。
問題は、これがどの程度うまく行われるかということです。有害なトラフィックが最も多い国からのトラフィックをブロックすることで増幅攻撃を撃退したり、本当に不要なトラフィックのみを破棄したりすることができます。
しかし同時に、私の経験に基づくと、Qrator、DDoS-Guard、Kaspersky、G-Core Labs (旧 SkyParkCDN)、ServicePipe、Stormwall、Voxility など、本格的な市場関係者はすべて問題なくこれに対処しています。
Rostelecom、Megafon、TTK、Beeline などの通信事業者からの保護に遭遇したことはありません。同僚のレビューによると、これらのサービスは非常によく提供されていますが、これまでのところ経験不足が定期的に影響を及ぼしています。サポートを通じて何かを調整する必要がある場合があります。保護オペレータの。
一部の通信事業者は、「L3/L4 レベルでの攻撃に対する保護」または「チャネル保護」という別のサービスを提供しており、すべてのレベルでの保護よりもコストが大幅に低くなります。

バックボーンプロバイダーは独自のチャネルを持たないのに、なぜ数百ギガビットの攻撃を撃退しないのでしょうか?保護オペレーターは、主要なプロバイダーのいずれかに接続し、「費用をかけて」攻撃を撃退できます。 チャネルの料金を支払う必要がありますが、これらの数百ギガビットすべてが常に利用されるわけではありません。この場合、チャネルのコストを大幅に削減するオプションがあるため、このスキームは引き続き実行可能です。

これらは、ホスティング プロバイダーのシステムをサポートしているときに、上位レベルの L3/L4 保護から定期的に受け取ったレポートです。

L7レベル（アプリケーションレベル）での保護

L7 レベル (アプリケーション レベル) での攻撃は、ユニットを一貫して効率的に撃退することができます。
私はかなり多くの実体験を持っています
— Qrator.net;
— DDoS ガード;
- Gコアラボ;
— カスペルスキー。

純粋なトラフィックのメガビットごとに料金がかかり、100 メガビットの費用は約数千ルーブルです。 少なくとも XNUMX Mbps の純粋なトラフィックがある場合 - ああ。 保護には非常に費用がかかります。 次の記事では、セキュリティ チャネルの容量を大幅に節約するためにアプリケーションを設計する方法について説明します。
本当の「丘の王」は Qrator.net であり、残りはそれに遅れをとっています。 私の経験上、これまでのところ誤検知率がゼロに近いのは Qrator だけですが、同時に他の市場参加者よりも数倍高価です。

他の事業者も高品質で安定した保護を提供しています。 当社がサポートする多くのサービス (国内で非常に有名なサービスも含まれます!) は DDoS-Guard、G-Core Labs から保護されており、得られた結果に非常に満足しています。

Qrator によって攻撃が撃退される

また、cloud-shield.ru、ddosa.net など、数千もの小規模なセキュリティ オペレーターとの経験もあります。 絶対にお勧めしません、なぜなら… あまり経験はありませんが、彼らの仕事の原理についてお話します。 彼らの保護コストは、多くの場合、大手企業のコストよりも 1 ～ 2 桁低いです。 原則として、彼らは大手プレーヤーの 3 つから部分的な保護サービス (L4/LXNUMX) を購入し、より高いレベルでの攻撃に対して独自の保護を行います。 これは非常に効果的であり、より少ない金額で良いサービスを受けることができますが、これらはまだスタッフが少ない小さな会社であることを念頭に置いてください。

L7レベルで攻撃を撃退するのはどのくらい難しいですか？

すべてのアプリケーションは固有であるため、アプリケーションにとって有益なトラフィックを許可し、有害なトラフィックをブロックする必要があります。 ボットを明確に排除することが常に可能であるとは限らないため、非常に多くの段階でトラフィックを浄化する必要があります。

かつては、nginx-testcookie モジュールで十分でした (https://github.com/kyprizel/testcookie-nginx-module）、それでも多数の攻撃を撃退するには十分です。 私がホスティング業界で働いていたとき、L7 保護は nginx-testcookie に基づいていました。
残念ながら、攻撃はさらに難しくなりました。 testcookie は JS ベースのボット チェックを使用しており、多くの最新のボットはそれらを正常に通過できます。

攻撃ボットネットも独特であるため、大規模なボットネットごとの特性を考慮する必要があります。
増幅、ボットネットからの直接フラッディング、さまざまな国からのトラフィックのフィルタリング (国ごとに異なるフィルタリング)、SYN/ACK フラッディング、パケット断片化、ICMP、http フラッディング、アプリケーション/http レベルでは無制限の数を思いつくことができます。さまざまな攻撃。
合計すると、チャネル保護のレベル、トラフィックをクリアするための特殊な機器、特殊なソフトウェア、各クライアントの追加のフィルタリング設定など、数十、数百のフィルタリング レベルが存在する可能性があります。
これを適切に管理し、さまざまなユーザーに合わせてフィルタリング設定を正しく調整するには、多くの経験と資格のある担当者が必要です。 保護サービスの提供を決定した大規模な事業者であっても、「問題に愚かに資金を投じる」ことはできません。嘘をついたサイトや正規のトラフィックでの誤検知から経験を積む必要があります。
セキュリティ オペレータ用の「DDoS を撃退する」ボタンはありません。ツールは多数あり、それらの使用方法を知る必要があります。

そして、もう XNUMX つのボーナスの例です。

保護されていないサーバーは、容量 600 Mbit の攻撃中にホスティング業者によってブロックされました
(トラフィックの「損失」は目立ちません。攻撃されたのは 1 つのサイトのみで、そのサイトは一時的にサーバーから削除され、ブロックは XNUMX 時間以内に解除されました。)

同じサーバーが保護されます。 攻撃者らはXNUMX日攻撃を撃退した後、「降伏」した。 攻撃自体はそれほど強力ではありませんでした。

L3/L4 の攻撃と防御はより些細なものであり、主にチャネルの厚さ、攻撃の検出およびフィルタリング アルゴリズムに依存します。
L7 攻撃はより複雑かつ独創的であり、攻撃対象のアプリケーション、攻撃者の能力および想像力に依存します。 それらから保護するには多くの知識と経験が必要ですが、結果はすぐには得られず、XNUMX%ではない可能性があります。 Google が保護のための別のニューラル ネットワークを考案するまでは。

出所： habr.com