DDoS 攻撃に対する完全な保護を備えたホスティング - 神話か現実か

2020 年の最初の 65 四半期で、DDoS 攻撃の数はほぼ XNUMX 倍に増加しました。そのうちの XNUMX% は、小規模なオンライン ストア、フォーラム、ブログ、メディアの無防備なサイトを簡単に「無効化」する「負荷テスト」の原始的な試みでした。

DDoS から保護されたホスティングを選択するにはどうすればよいですか? 不快な事態に陥らないためには、何に注意し、何を準備すればよいのでしょうか？

(内部の「グレー」マーケティングに対するワクチン接種)

DDoS 攻撃を実行するためのツールが利用可能であり、さまざまなツールがあるため、オンライン サービスの所有者は脅威に対抗するための適切な措置を講じることが求められます。 DDoS 保護については、最初の障害が発生した後ではなく、インフラストラクチャのフォールト トレランスを高めるための一連の対策の一部としてでもなく、配置するサイト (ホスティング プロバイダーまたはデータ センター) を選択する段階で検討する必要があります。

DDoS 攻撃は、その脆弱性が Open Systems Interconnection (OSI) モデルのレベルに悪用されるプロトコルに応じて分類されます。

• チャンネル(L2)、
• ネットワーク(L3)、
• トランスポート (L4)、
• 適用されます (L7)。

セキュリティ システムの観点からは、インフラストラクチャ レベルの攻撃 (L2 ～ L4) とアプリケーション レベルの攻撃 (L7) の XNUMX つのグループに一般化できます。 これは、トラフィック分析アルゴリズムの実行順序と計算の複雑さによるものです。IP パケットを深く調べるほど、より多くの計算能力が必要になります。

一般に、リアルタイムでトラフィックを処理する際の計算の最適化の問題は、別の一連の記事のトピックです。 ここで、条件付きで無制限のコンピューティング リソースを備え、アプリケーション レベルの攻撃 (含む) からサイトを保護できるクラウド プロバイダーがあると想像してみましょう。 無料で).

DDoS 攻撃に対するホスティングのセキュリティの程度を判断するための 3 つの主な質問

DDoS 攻撃に対する保護に関する利用規約と、ホスティング プロバイダーのサービス レベル アグリーメント (SLA) を見てみましょう。 それらには次の質問に対する答えが含まれていますか?

• サービスプロバイダーはどのような技術的制限を明記していますか??
• 顧客が限界を超えたらどうなるでしょうか?
• ホスティングプロバイダーは、DDoS 攻撃に対する保護をどのように構築しますか (テクノロジー、ソリューション、サプライヤー)?

この情報が見つからない場合は、サービス プロバイダーの真剣度について考えるか、基本的な DDoS 防御 (L3 ～ 4) を独自に組織する必要があります。 たとえば、専門のセキュリティ プロバイダーのネットワークへの物理接続を注文します。

重要！ ホスティング プロバイダーがインフラストラクチャ レベルの攻撃に対する保護を提供できない場合、リバース プロキシを使用してアプリケーション レベルの攻撃に対する保護を提供しても意味がありません。ネットワーク機器は過負荷になり、クラウド プロバイダーのプロキシ サーバーも含めて使用できなくなります (図) 1)。

図 1. ホスティング プロバイダーのネットワークに対する直接攻撃

また、サーバーの実際の IP アドレスはセキュリティ プロバイダーのクラウドの背後に隠されており、直接攻撃することは不可能であるというおとぎ話を話させないでください。 十中八九、攻撃者がサーバー全体の実際の IP アドレス、または少なくともホスティング プロバイダーのネットワークを見つけて、データ センター全体を「破壊」することは難しくありません。

ハッカーが実際の IP アドレスを求めてどのように行動するか

スポイラーの下には、実際の IP アドレスを見つけるためのいくつかの方法があります (情報提供を目的として記載されています)。

方法 1: オープンソースで検索する

オンラインサービスで検索を開始できます インテリジェンスX：ダークウェブ、ドキュメント共有プラットフォームを検索し、Whois データ、公的データ漏洩、その他多くのソースを処理します。

いくつかの兆候 (HTTP ヘッダー、Whois データなど) に基づいて、サイトの保護が Cloudflare を使用して組織されていると判断できた場合は、次から実際の IP の検索を開始できます。 リスト、Cloudflareの背後にあるサイトの約3万のIPアドレスが含まれています。

SSL証明書とSSLサービスの使用 センシス サイトの実際の IP アドレスなど、多くの役立つ情報を見つけることができます。 リソースのリクエストを生成するには、「証明書」タブに移動して次のように入力します。

_parsed.names: 名前サイトとタグ.raw: 信頼できる

SSL 証明書を使用してサーバーの IP アドレスを検索するには、いくつかのツールを使用してドロップダウン リストを手動で実行する必要があります ([探索] タブで [IPv4 ホスト] を選択します)。

方法 2: DNS

DNS レコードの変更履歴の検索は、古くから実績のある方法です。 サイトの以前の IP アドレスにより、そのサイトがどのホスティング (またはデータ センター) に位置していたのかが明確になります。 使いやすさの点でオンライン サービスの中で際立っているのは次のとおりです。 ViewDNS и セキュリティトレイル.

設定を変更すると、サイトはクラウド セキュリティ プロバイダーまたは CDN の IP アドレスをすぐには使用しませんが、しばらくの間は直接動作します。 この場合、IP アドレスの変更履歴を保存するオンライン サービスに、サイトの送信元アドレスに関する情報が含まれている可能性があります。

古い DNS サーバーの名前しかない場合は、特別なユーティリティ (dig、host、または nslookup) を使用して、サイトのドメイン名によって IP アドレスを要求できます。次に例を示します。

_dig @old_dns_server_name 名前сайта

方法 3: 電子メールで送信する

この方法の考え方は、フィードバック/登録フォーム (またはレターの送信を開始できるその他の方法) を使用して、メールへのレターを受信し、ヘッダー、特に「受信済み」フィールドを確認することです。 。

多くの場合、電子メール ヘッダーには MX レコード (電子メール交換サーバー) の実際の IP アドレスが含まれており、これはターゲット上の他のサーバーを見つけるための開始点となります。

検索自動化ツール

Cloudflare シールドの背後にある IP 検索ソフトウェアは、ほとんどの場合、次の XNUMX つのタスクで機能します。

• DNSDumpster.com を使用して DNS の設定ミスをスキャンします。
• Crimeflare.com データベース スキャン。
• 辞書検索方法を使用してサブドメインを検索します。

多くの場合、サブドメインを見つけることが XNUMX つのオプションの中で最も効果的です。サイト所有者はメイン サイトを保護し、サブドメインを直接実行し続けることができます。 チェックする最も簡単な方法は、 クラウドフェイル.

さらに、辞書検索を使用してサブドメインを検索したり、オープン ソースで検索したりするためだけに設計されたユーティリティもあります。次に例を示します。 サブリスト3r または dnsrecon.

実際に検索がどのように行われるか

たとえば、Cloudflare を使用してサイト seo.com を考えてみましょう。このサイトは、よく知られたサービスを使用して検索します。 内蔵 (サイトが動作するテクノロジー/エンジン/CMS の両方を決定で​​き、またその逆 - 使用されているテクノロジーによってサイトを検索できます)。

「IPv4 ホスト」タブをクリックすると、証明書を使用しているホストのリストがサービスに表示されます。 必要なアドレスを見つけるには、ポート 443 が開いている IP アドレスを探します。目的のサイトにリダイレクトされる場合は、タスクは完了です。それ以外の場合は、サイトのドメイン名を「ホスト」ヘッダーに追加する必要があります。 HTTP リクエスト (例: *curl -H "Host: site_name" *https://IP_адрес).

私たちの場合、Censys データベースを検索しても何も表示されなかったので、次に進みます。

サービスを通じてDNS検索を実行します https://securitytrails.com/dns-trails.

CloudFail ユーティリティを使用して、DNS サーバーのリストに記載されているアドレスを検索すると、動作中のリソースが見つかります。 結果は数秒以内に表示されます。

オープン データとシンプルなツールのみを使用して、Web サーバーの実際の IP アドレスを特定しました。 攻撃側の残りは技術の問題です。

ホスティングプロバイダーの選択に戻りましょう。 お客様にとってのサービスの利点を評価するために、DDoS 攻撃に対する可能な保護方法を検討します。

ホスティングプロバイダーが保護を構築する方法

1. フィルタ装置を備えた独自の保護システム (図 2)。
   必要：
   1.1. トラフィックフィルタリング機器およびソフトウェアライセンス。
   1.2. サポートと運用を担当するフルタイムの専門家。
   1.3. 攻撃を受けるのに十分なインターネット アクセス チャネル。
   1.4. 「ジャンク」トラフィックを受信するためのかなりのプリペイド チャネル帯域幅。
   
   図 2. ホスティングプロバイダー独自のセキュリティシステム
   ここで説明したシステムを、数百 Gbps の最新の DDoS 攻撃に対する保護手段として考えると、そのようなシステムには多額の費用がかかります。 ホスティングプロバイダーにはそのような保護がありますか? 彼は「ジャンク」トラフィックの料金を支払う準備ができていますか? 料金に追加の支払いが規定されていない場合、このような経済モデルはプロバイダーにとって採算が合わないことは明らかです。
2. リバース プロキシ (Web サイトおよび一部のアプリケーションのみ)。 数字があるにもかかわらず メリット、サプラ​​イヤーは直接的な DDoS 攻撃に対する保護を保証しません (図 1 を参照)。 ホスティング プロバイダーは、セキュリティ プロバイダーに責任を移して、万能薬のようなソリューションを提供することがよくあります。
3. あらゆる OSI レベルでの DDoS 攻撃から保護するための、専門のクラウド プロバイダーのサービス (そのフィルタリング ネットワークの使用) (図 3)。
   
   図 3. 専門プロバイダーを使用した DDoS 攻撃に対する包括的な保護
   ソリューション 双方の深い統合と高いレベルの技術的能力が前提となります。 トラフィック フィルタリング サービスをアウトソーシングすると、ホスティング プロバイダーは顧客の追加サービスの価格を削減できます。

重要！ 提供されるサービスの技術的特徴が詳細に記述されているほど、その実装やダウンタイムの場合の補償を要求される可能性が高くなります。

主要な XNUMX つの方法以外にも、さまざまな組み合わせや組み合わせがあります。 ホスティングを選択する際、顧客は、その決定が、ブロックされる攻撃の保証規模やフィルタリングの精度だけでなく、応答速度や情報内容 (ブロックされた攻撃のリスト、一般的な統計など）。

許容可能なレベルの保護を独自に提供できるホスティング プロバイダーは世界中でほんのわずかであることを覚えておいてください。場合によっては、協力と技術的リテラシーが役立つこともあります。 したがって、DDoS 攻撃に対する保護を組織するための基本原則を理解すれば、サイト所有者はマーケティング手法に騙されたり、「豚をつつく」ことを避けることができます。

出所： habr.com