"Bocah lanang sing nggawe situs web kita wis nyiyapake proteksi DDoS."
"Kita duwe proteksi DDoS, kenapa situs kasebut mudhun?"
"Pirang ewu sing dikarepake Qrator?"
Supaya bisa mangsuli pitakon kaya ngono saka pelanggan / bos, luwih becik ngerti apa sing didhelikake ing mburi jeneng "proteksi DDoS". Milih layanan keamanan luwih kaya milih obat saka dokter tinimbang milih meja ing IKEA.
Aku wis ndhukung situs web kanggo 11 taun, wis slamet atusan serangan ing layanan sing aku ndhukung, lan saiki aku bakal pitutur marang kowe sethitik bab cara internal saka pangayoman.
Serangan reguler. 350k req total, 52k req sah
Serangan pisanan muncul meh bebarengan karo Internet. DDoS minangka fenomena wis nyebar wiwit pungkasan taun 2000-an (priksa metu ).
Wiwit udakara 2015-2016, meh kabeh panyedhiya hosting wis dilindhungi saka serangan DDoS, uga situs sing paling misuwur ing wilayah kompetitif (apa whois dening IP situs eldorado.ru, leroymerlin.ru, tilda.ws, sampeyan bakal weruh jaringan operator proteksi).
Yen 10-20 taun kepungkur, akeh serangan bisa ditanggulangi ing server kasebut dhewe (evaluasi rekomendasi saka administrator sistem Lenta.ru Maxim Moshkov saka taun 90an: ), nanging saiki tugas proteksi wis dadi luwih angel.
Jinis serangan DDoS saka sudut pandang milih operator proteksi
Serangan ing tingkat L3/L4 (miturut model OSI)
- Banjir UDP saka botnet (akeh panjaluk dikirim langsung saka piranti sing kena infeksi menyang layanan sing diserang, server diblokir karo saluran kasebut);
- amplifikasi DNS/NTP/etc (akeh panjalukan dikirim saka piranti sing kena infeksi menyang DNS/NTP/etc sing rawan, alamat pangirim palsu, awan paket sing nanggapi panjaluk banjir saluran wong sing diserang; serangan massive ditindakake ing Internet modern);
- SYN / ACK banjir (akeh panjalukan kanggo nggawe sambungan dikirim menyang server sing diserang, antrian sambungan overflows);
- serangan karo fragmentasi paket, ping pati, ping banjir (Google please);
- lan liya-liyane.
Serangan kasebut ngarahake "macet" saluran server utawa "mateni" kemampuan kanggo nampa lalu lintas anyar.
Sanajan banjir lan amplifikasi SYN / ACK beda banget, akeh perusahaan sing nglawan kanthi apik. Masalah muncul karo serangan saka grup sabanjure.
Serangan ing L7 (lapisan aplikasi)
- banjir http (yen situs web utawa sawetara http api diserang);
- serangan ing wilayah sing rawan ing situs kasebut (sing ora duwe cache, sing mbukak situs kasebut akeh banget, lsp).
Tujuane kanggo nggawe server "kerja keras", ngolah akeh "panjaluk sing katon nyata" lan ditinggal tanpa sumber daya kanggo panjaluk nyata.
Sanajan ana serangan liyane, iki sing paling umum.
Serangan serius ing tingkat L7 digawe kanthi cara sing unik kanggo saben proyek sing diserang.
Kenapa 2 grup?
Amarga ana akeh sing ngerti carane ngusir serangan uga ing tingkat L3 / L4, nanging salah siji ora njupuk munggah pangayoman ing tingkat aplikasi (L7) ing kabeh, utawa isih ora pati roso saka alternatif ing dealing with wong.
Sapa sing ana ing pasar perlindungan DDoS
(pendapatku pribadi)
Proteksi ing tingkat L3 / L4
Kanggo ngusir serangan kanthi amplifikasi ("blockage" saluran server), ana saluran sing cukup amba (akeh layanan proteksi nyambungake menyang sebagian besar panyedhiya backbone gedhe ing Rusia lan duwe saluran kanthi kapasitas teoritis luwih saka 1 Tbit). Aja lali yen serangan amplifikasi sing langka banget luwih saka siji jam. Yen sampeyan Spamhaus lan kabeh wong ora seneng karo sampeyan, ya, bisa uga nyoba mateni saluran sampeyan nganti pirang-pirang dina, sanajan ana risiko kaslametan luwih saka botnet global sing digunakake. Yen sampeyan mung duwe toko online, malah yen mvideo.ru, sampeyan ora bakal weruh 1 Tbit ing sawetara dina banget rauh (Muga-muga).
Kanggo ngusir serangan kanthi banjir SYN / ACK, fragmentasi paket, lsp, sampeyan butuh peralatan utawa sistem piranti lunak kanggo ndeteksi lan mungkasi serangan kasebut.
Akeh wong sing ngasilake peralatan kasebut (Arbor, ana solusi saka Cisco, Huawei, implementasi piranti lunak saka Wanguard, lan liya-liyane), akeh operator backbone wis nginstal lan ngedol layanan perlindungan DDoS (Aku ngerti babagan instalasi saka Rostelecom, Megafon, TTK, MTS , nyatane, kabeh panyedhiya utama nindakake padha karo hosters karo pangayoman dhewe a-la OVH.com, Hetzner.de, Aku dhewe pinanggih pangayoman ing ihor.ru). Sawetara perusahaan ngembangake solusi piranti lunak dhewe (teknologi kaya DPDK ngidini sampeyan ngolah lalu lintas puluhan gigabit ing siji mesin x86 fisik).
Saka pemain sing kondhang, kabeh wong bisa nglawan L3/L4 DDoS kanthi luwih efektif. Saiki aku ora bakal ngomong sing duwe kapasitas saluran maksimum luwih gedhe (iki informasi njero), nanging biasane iki ora dadi penting, lan mung prabédan iku carane cepet pangayoman micu (langsung utawa sawise sawetara menit saka downtime project. kaya ing Hetzner).
Pitakonan yaiku kepiye carane bisa ditindakake: serangan amplifikasi bisa ditanggulangi kanthi ngalangi lalu lintas saka negara kanthi jumlah lalu lintas sing mbebayani, utawa mung lalu lintas sing ora perlu sing bisa dibuwang.
Nanging ing wektu sing padha, adhedhasar pengalaman, kabeh pemain pasar sing serius bisa ngatasi iki tanpa masalah: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (sadurunge SkyParkCDN), ServicePipe, Stormwall, Voxility, lsp.
Aku durung nemoni proteksi saka operator kayata Rostelecom, Megafon, TTK, Beeline; miturut review saka kolega, dheweke nyedhiyakake layanan kasebut kanthi apik, nanging nganti saiki kekurangan pengalaman sacara periodik mengaruhi: kadhangkala sampeyan kudu ngapiki soko liwat dhukungan. saka operator proteksi.
Sawetara operator duwe layanan sing kapisah "proteksi marang serangan ing tingkat L3/L4", utawa "proteksi saluran"; regane luwih murah tinimbang proteksi ing kabeh level.
Napa panyedhiya backbone ora ngusir serangan atusan Gbit, amarga ora duwe saluran dhewe?Operator proteksi bisa nyambung menyang salah sawijining panyedhiya utama lan ngusir serangan "kanthi biaya." Sampeyan kudu mbayar saluran kasebut, nanging kabeh atusan Gbit iki ora bakal digunakake; ana pilihan kanggo nyuda biaya saluran kanthi signifikan ing kasus iki, supaya skema kasebut tetep bisa ditindakake.
Iki minangka laporan sing ajeg ditampa saka proteksi L3/L4 sing luwih dhuwur nalika ndhukung sistem panyedhiya hosting.
Proteksi ing tingkat L7 (tingkat aplikasi)
Serangan ing tingkat L7 (tingkat aplikasi) bisa ngusir unit kanthi konsisten lan efisien.
Aku duwe cukup akèh pengalaman nyata karo
— Qrator.net;
- DDoS-Guard;
- Lab G-Inti;
- Kaspersky.
Padha ngisi saben megabit lalu lintas murni, biaya megabit babagan sawetara ewu rubel. Yen sampeyan duwe paling 100 Mbps lalu lintas murni - oh. Proteksi bakal larang banget. Aku bisa menehi pitutur marang kowe ing artikel ing ngisor iki carane ngrancang aplikasi supaya bisa ngirit akeh ing kapasitas saluran keamanan.
"Raja gunung" sing nyata yaiku Qrator.net, sing liyane ketinggalan. Qrator dadi adoh mung siji ing pengalaman sing menehi persentasi saka positif palsu cedhak nul, nanging ing wektu sing padha kaping pirang-pirang luwih larang saka pemain pasar liyane.
Operator liyane uga nyedhiyakake proteksi sing berkualitas lan stabil. Akeh layanan sing didhukung dening kita (kalebu banget kondhang ing negara!) dilindhungi saka DDoS-Guard, G-Core Labs, lan cukup wareg karo asil sing dipikolehi.
Serangan ditangkis dening Qrator
Aku uga duwe pengalaman karo operator keamanan cilik kaya cloud-shield.ru, ddusa.net, ewu wong. Aku mesthi ora nyaranake, amarga ... Aku ora duwe pengalaman akeh, nanging aku bakal pitutur marang kowe bab prinsip karya. Biaya perlindungan asring 1-2 pesenan luwih murah tinimbang pemain utama. Minangka aturan, padha tuku layanan pangayoman sebagean (L3 / L4) saka salah siji pemain luwih gedhe + nindakake pangayoman dhewe marang serangan ing tingkat sing luwih dhuwur. Iki bisa dadi cukup efektif + sampeyan bisa njaluk layanan apik kanggo kurang dhuwit, nanging iki isih perusahaan cilik karo Staff cilik, please elinga.
Apa kangelan ngusir serangan ing tingkat L7?
Kabeh aplikasi unik, lan sampeyan kudu ngidini lalu lintas sing migunani kanggo dheweke lan ngalangi sing mbebayani. Ora mesthi bisa ngilangi bot kanthi jelas, dadi sampeyan kudu nggunakake akeh, pancen MANY derajat pemurnian lalu lintas.
Biyen, modul nginx-testcookie wis cukup (), lan isih cukup kanggo ngusir akeh serangan. Nalika aku kerja ing industri hosting, proteksi L7 adhedhasar nginx-testcookie.
Sayange, serangan wis dadi luwih angel. testcookie nggunakake pamriksa bot basis JS, lan akeh bot modern bisa kasil ngliwati.
Botnet serangan uga unik, lan karakteristik saben botnet gedhe kudu dianggep.
Amplifikasi, banjir langsung saka botnet, nyaring lalu lintas saka negara sing beda-beda (nyaring beda kanggo negara sing beda-beda), banjir SYN / ACK, fragmentasi paket, ICMP, banjir http, nalika ing tingkat aplikasi / http sampeyan bisa entuk nomer tanpa wates. serangan beda.
Secara total, ing tingkat proteksi saluran, peralatan khusus kanggo ngresiki lalu lintas, piranti lunak khusus, setelan nyaring tambahan kanggo saben klien bisa uga ana puluhan lan atusan tingkat nyaring.
Kanggo ngatur kanthi bener lan nyetel setelan nyaring kanggo macem-macem pangguna, sampeyan butuh akeh pengalaman lan personel sing mumpuni. Malah operator gedhe sing wis mutusake kanggo nyedhiyakake layanan proteksi ora bisa "bodho mbuwang dhuwit ing masalah": pengalaman kudu diduweni saka situs ngapusi lan positif palsu ing lalu lintas sing sah.
Ora ana tombol "ngusir DDoS" kanggo operator keamanan; ana akeh alat, lan sampeyan kudu ngerti carane nggunakake.
Lan siji liyane conto bonus.
Server sing ora dilindhungi diblokir dening hoster sajrone serangan kanthi kapasitas 600 Mbit
("Mundhut" lalu lintas ora katon, amarga mung 1 situs sing diserang, sementara dibusak saka server lan pamblokiran kasebut diangkat sajrone jam).
Server sing padha dilindhungi. Para panyerang "nyerah" sawise dina serangan repulsed. Serangan kasebut dudu sing paling kuat.
Serangan lan pertahanan L3/L4 luwih sepele; utamane gumantung saka ketebalan saluran, algoritma deteksi lan nyaring kanggo serangan.
Serangan L7 luwih rumit lan asli; padha gumantung ing aplikasi sing diserang, kemampuan lan imajinasi para panyerang. Perlindhungan marang wong-wong mau mbutuhake akeh kawruh lan pengalaman, lan asil bisa uga ora langsung lan ora satus persen. Nganti Google teka karo jaringan saraf liyane kanggo pangayoman.
Source: www.habr.com