Hosting kanthi proteksi lengkap marang serangan DDoS - mitos utawa kasunyatan
Ing rong kuartal pisanan taun 2020, jumlah serangan DDoS meh tikel kaping telu, kanthi 65% minangka upaya primitif ing "uji beban" sing gampang "mateni" situs tanpa pertahanan toko online cilik, forum, blog, lan toko media.
Kepiye milih hosting sing dilindhungi DDoS? Apa sing kudu digatekake lan apa sing kudu disiapake supaya ora ngalami kahanan sing ora nyenengake?
Serangan DDoS diklasifikasikake gumantung saka protokol sing kerentanane dieksploitasi menyang level model Open Systems Interconnection (OSI):
saluran (L2),
jaringan (L3),
transportasi (L4),
ditrapake (L7).
Saka sudut pandang sistem keamanan, bisa digeneralisasi dadi rong klompok: serangan level infrastruktur (L2-L4) lan serangan level aplikasi (L7). Iki amarga urutan eksekusi algoritma analisis lalu lintas lan kerumitan komputasi: luwih jero kita ndeleng paket IP, luwih akeh daya komputasi dibutuhake.
3 pitakonan utama kanggo nemtokake tingkat keamanan hosting saka serangan DDoS
Ayo goleki syarat layanan kanggo pangayoman marang serangan DDoS lan Service Level Agreement (SLA) saka panyedhiya hosting. Apa padha ngemot jawaban kanggo pitakonan ing ngisor iki:
watesan teknis apa sing diwenehake dening panyedhiya layanan??
apa mengkono nalika customer ngluwihi watesan?
Kepiye panyedhiya hosting mbangun perlindungan marang serangan DDoS (teknologi, solusi, pemasok)?
Yen sampeyan durung nemokake informasi kasebut, mula iki minangka alesan kanggo mikir babagan keseriusan panyedhiya layanan, utawa ngatur proteksi DDoS dhasar (L3-4) dhewe. Contone, pesen sambungan fisik menyang jaringan panyedhiya keamanan khusus.
Penting! Ora ana gunane kanggo menehi perlindungan marang serangan tingkat aplikasi nggunakake Reverse Proxy yen panyedhiya hosting sampeyan ora bisa menehi perlindungan marang serangan tingkat infrastruktur: peralatan jaringan bakal kakehan lan ora kasedhiya, kalebu kanggo server proxy panyedhiya awan (Gambar 1).
Gambar 1. Serangan langsung ing jaringan panyedhiya hosting
Lan aja nganti dheweke nyoba ngandhani dongeng yen alamat IP nyata server didhelikake ing mburi awan panyedhiya keamanan, tegese ora bisa nyerang langsung. Ing sangang kasus saka sepuluh, ora bakal angel kanggo panyerang nemokake alamat IP nyata saka server utawa paling ora jaringan panyedhiya hosting supaya bisa "ngrusak" kabeh pusat data.
Carane peretas tumindak kanggo nggoleki alamat IP nyata
Ing ngisor spoiler ana sawetara cara kanggo nemokake alamat IP nyata (diwenehake kanggo tujuan informasi).
Cara 1: Telusuri ing sumber terbuka
Sampeyan bisa miwiti panelusuran kanthi layanan online Intelijen X: Iki nggoleki web peteng, platform enggo bareng dokumen, ngolah data Whois, bocor data umum lan akeh sumber liyane.
Yen, adhedhasar sawetara pratandha (header HTTP, data Whois, lan liya-liyane), sampeyan bisa nemtokake manawa proteksi situs kasebut diatur nggunakake Cloudflare, mula sampeyan bisa miwiti nggoleki IP nyata saka dhaptar, sing ngemot kira-kira 3 yuta alamat IP situs sing ana ing mburi Cloudflare.
Nggunakake sertifikat lan layanan SSL Censis sampeyan bisa nemokake akeh informasi migunani, kalebu alamat IP nyata situs. Kanggo nggawe panjalukan kanggo sumber daya sampeyan, pindhah menyang tab Sertifikat banjur ketik:
_parsed.name: jenengsitus LAN tags.raw: dipercaya
Kanggo nggoleki alamat IP server nggunakake sertifikat SSL, sampeyan kudu kanthi manual mbukak dhaptar gulung mudhun kanthi sawetara alat (tab "Jelajahi", banjur pilih "Host IPv4").
Cara 2: DNS
Nggoleki riwayat owah-owahan cathetan DNS minangka cara lawas sing wis kabukten. Alamat IP sadurunge situs kasebut bisa njlentrehake hosting (utawa pusat data) ing ngendi. Antarane layanan online babagan gampang digunakake, ing ngisor iki katon: ViewDNS ΠΈ tilase keamanan.
Yen sampeyan ngganti setelan kasebut, situs kasebut ora bakal langsung nggunakake alamat IP panyedhiya keamanan maya utawa CDN, nanging bakal bisa langsung kanggo sawetara wektu. Ing kasus iki, ana kemungkinan layanan online kanggo nyimpen riwayat owah-owahan alamat IP ngemot informasi babagan alamat sumber situs.
Yen ora ana apa-apa kajaba jeneng server DNS lawas, banjur nggunakake utilitas khusus (dig, host utawa nslookup) sampeyan bisa njaluk alamat IP kanthi jeneng domain situs kasebut, contone:
_dig @old_dns_server_name jenengsitus
Cara 3: email
Gagasan metode kasebut yaiku nggunakake formulir umpan balik / registrasi (utawa cara liya sing ngidini sampeyan miwiti ngirim layang) kanggo nampa layang menyang email lan mriksa header, utamane kolom "Ditampa". .
Header email asring ngemot alamat IP nyata saka rekaman MX (server exchange email), sing bisa dadi titik wiwitan kanggo nemokake server liyane ing target.
Alat Otomasi Panelusuran
Piranti lunak telusuran IP ing mburi tameng Cloudflare paling asring digunakake kanggo telung tugas:
Pindai kesalahan konfigurasi DNS nggunakake DNSDumpster.com;
Pindai basis data Crimeflare.com;
nelusuri subdomain nggunakake metode telusuran kamus.
Nemokake subdomain asring dadi pilihan sing paling efektif saka telu - pemilik situs bisa nglindhungi situs utama lan ninggalake subdomain kanthi langsung. Cara paling gampang kanggo mriksa yaiku nggunakake CloudFail.
Kajaba iku, ana utilitas sing dirancang mung kanggo nggoleki subdomain nggunakake telusuran kamus lan nggoleki ing sumber terbuka, contone: Sublist3r utawa dnsrecon.
Carane nggoleki kedadeyan ing laku
Contone, ayo njupuk situs seo.com nggunakake Cloudflare, sing bakal ditemokake nggunakake layanan sing kondhang. dibangun kanthi (ngidini sampeyan nemtokake teknologi / mesin / CMS ing situs kasebut, lan kosok balene - nelusuri situs kanthi teknologi sing digunakake).
Nalika sampeyan ngeklik tab "Host IPv4", layanan kasebut bakal nuduhake dhaptar host nggunakake sertifikat kasebut. Kanggo nemokake sing sampeyan butuhake, goleki alamat IP kanthi port mbukak 443. Yen pangalihan menyang situs sing dikarepake, tugas wis rampung, yen ora, sampeyan kudu nambah jeneng domain situs kasebut menyang header "Host" saka Panjaluk HTTP (contone, *curl -H "Host: site_name" *https://IP_Π°Π΄ΡΠ΅Ρ).
Ing kasus kita, panelusuran ing database Censys ora menehi apa-apa, mula kita nerusake.
Kanthi nggoleki alamat sing kasebut ing dhaptar server DNS nggunakake sarana CloudFail, kita nemokake sumber daya sing bisa digunakake. Asil bakal siap ing sawetara detik.
Nggunakake mung data mbukak lan alat prasaja, kita nemtokake alamat IP nyata saka server web. Sisane kanggo penyerang yaiku babagan teknik.
Ayo bali menyang milih panyedhiya hosting. Kanggo ngevaluasi keuntungan layanan kanggo pelanggan, kita bakal nimbang cara pangayoman marang serangan DDoS.
Kepiye panyedhiya hosting mbangun perlindungan
Sistem proteksi dhewe kanthi peralatan nyaring (Gambar 2).
mbutuhake:
1.1. Lisensi peralatan nyaring lalu lintas lan piranti lunak;
1.2. Spesialis full-time kanggo dhukungan lan operasi;
1.3. Saluran akses Internet sing bakal cukup kanggo nampa serangan;
1.4. Bandwidth saluran prabayar sing penting kanggo nampa lalu lintas "sampah".
Gambar 2. Sistem keamanan panyedhiya hosting dhewe
Yen kita nganggep sistem sing diterangake minangka sarana proteksi marang serangan DDoS modern kanthi atusan Gbps, mula sistem kasebut bakal entuk dhuwit akeh. Apa panyedhiya hosting duwe proteksi kasebut? Apa dheweke siap mbayar lalu lintas "sampah"? Temenan, model ekonomi kasebut ora nguntungake kanggo panyedhiya yen tarif ora nyedhiyakake pembayaran tambahan.
Reverse Proxy (mung kanggo situs web lan sawetara aplikasi). Senadyan nomer kaluwihan, supplier ora njamin pangayoman marang serangan DDoS langsung (ndeleng Figure 1). Panyedhiya hosting asring menehi solusi kaya panacea, mindhah tanggung jawab menyang panyedhiya keamanan.
Layanan panyedhiya maya khusus (nggunakake jaringan panyaring) kanggo nglindhungi serangan DDoS ing kabeh level OSI (Gambar 3).
Gambar 3. Perlindhungan komprehensif marang serangan DDoS nggunakake panyedhiya khusus kaputusan nganggep integrasi jero lan tingkat kompetensi teknis sing dhuwur saka loro pihak. Layanan nyaring lalu lintas outsourcing ngidini panyedhiya hosting nyuda rega layanan tambahan kanggo pelanggan.
Penting! Karakteristik teknis sing luwih rinci babagan layanan sing diwenehake, luwih gedhe kemungkinan nuntut implementasine utawa ganti rugi yen ana downtime.
Saliyane telung cara utama, ana akeh kombinasi lan kombinasi. Nalika milih hosting, penting kanggo pelanggan ngelingi manawa keputusan kasebut ora mung gumantung saka ukuran serangan sing diblokir lan akurasi nyaring, nanging uga kecepatan respon, uga isi informasi (dhaptar serangan sing diblokir, statistik umum, lsp).
Elinga yen mung sawetara panyedhiya hosting ing donya sing bisa nyedhiyakake tingkat proteksi dhewe; ing kasus liyane, kerjasama lan literasi teknis mbantu. Mangkono, pangerten prinsip dhasar ngatur proteksi marang serangan DDoS bakal ngidini pemilik situs ora tiba kanggo trik marketing lan ora tuku "babi ing poke."