«Біздің веб-сайтты жасаған жігіт DDoS қорғауын орнатқан.»
«Бізде DDoS қорғанысы бар, сайт неге істен шықты?»
«Qrator қанша мыңды қалайды?»
Тұтынушының/басшының осындай сұрақтарына дұрыс жауап беру үшін «DDoS қорғау» атауының артында не жасырылғанын білу жақсы болар еді. Қауіпсіздік қызметтерін таңдау IKEA-да үстел таңдаудан гөрі дәрігерден дәрі таңдау сияқты.
Мен 11 жыл бойы веб-сайттарды қолдадым, қолдайтын қызметтерге жүздеген шабуылдардан аман қалдым, енді мен сізге қорғаныстың ішкі жұмысы туралы аздап айтып беремін.
Тұрақты шабуылдар. Барлығы 350 мың талап, 52 мың талап заңды
Алғашқы шабуылдар Интернетпен бір мезгілде дерлік пайда болды. DDoS құбылыс ретінде 2000-шы жылдардың аяғынан бастап кең тарады (тексеріңіз. ).
Шамамен 2015-2016 жылдардан бастап хостинг-провайдерлердің барлығы дерлік DDoS шабуылдарынан қорғалған, сондай-ақ бәсекеге қабілетті аймақтардағы ең көрнекті сайттар (eldorado.ru, leroymerlin.ru, tilda.ws сайттарының IP арқылы whois жасаңыз, сіз желілерді көресіз. қорғау операторларының).
Егер 10-20 жыл бұрын шабуылдардың көпшілігі сервердің өзінде тойтарыс алса (90-жылдардағы Lenta.ru жүйелік әкімшісі Максим Мошковтың ұсыныстарын бағалаңыз: ), бірақ қазір қорғау тапсырмалары қиындай түсті.
Қорғау операторын таңдау тұрғысынан DDoS шабуылдарының түрлері
L3/L4 деңгейіндегі шабуылдар (OSI үлгісіне сәйкес)
— ботнеттен UDP тасқыны (көптеген сұраулар тікелей зақымдалған құрылғылардан шабуылға ұшыраған сервиске жіберіледі, серверлер арнамен бұғатталған);
— DNS/NTP/т.б күшейту (көптеген сұраулар жұқтырған құрылғылардан осал DNS/NTP/т.б.-қа жіберіледі, жіберушінің мекенжайы жалған, сұрауларға жауап беретін пакеттер бұлты шабуылға ұшыраған адамның арнасын толтырады; осылайша ең заманауи Интернетте жаппай шабуылдар жасалады);
— SYN / ACK тасқыны (байланыс орнатуға көптеген сұраулар шабуыл жасалған серверлерге жіберіледі, қосылу кезегі толып кетеді);
— пакеттік фрагментациямен шабуылдар, өлім пингі, ping тасқыны (Google оны өтінемін);
- және т.б.
Бұл шабуылдар сервер арнасын «жабуға» немесе оның жаңа трафикті қабылдау қабілетін «өлтіруге» бағытталған.
SYN/ACK тасқыны мен күшейту әр түрлі болғанымен, көптеген компаниялар олармен бірдей жақсы күреседі. Келесі топтың шабуылдарымен проблемалар туындайды.
L7 шабуылдары (қолданбалы деңгей)
— http flood (егер веб-сайтқа немесе кейбір http api шабуылына ұшыраса);
— сайттың осал жерлеріне шабуыл (кэші жоқ, сайтты өте ауыр жүктейтіндер және т.б.).
Мақсат - серверді «қатты жұмыс істеу», көптеген «нақты болып көрінетін сұрауларды» өңдеу және нақты сұраулар үшін ресурстарсыз қалу.
Басқа шабуылдар болғанымен, бұл ең жиі кездеседі.
L7 деңгейіндегі елеулі шабуылдар шабуылға ұшыраған әрбір жоба үшін бірегей түрде жасалады.
Неліктен 2 топ?
Өйткені L3 / L4 деңгейінде шабуылдарды қалай тойтаруды жақсы білетіндер көп, бірақ қолданба деңгейінде (L7) қорғанысты мүлдем қабылдамайды немесе олармен күресуде баламалардан әлсіз.
DDoS қорғау нарығында кім кім
(менің жеке пікірім)
L3/L4 деңгейінде қорғаныс
Шабуылдарды күшейтумен («сервер арнасының бұғатталуы») тойтару үшін жеткілікті кең арналар бар (көптеген қорғаныс қызметтері Ресейдегі ірі магистральдық провайдерлердің көпшілігіне қосылады және теориялық сыйымдылығы 1 Тбит-тен асатын арналарға ие). Өте сирек кездесетін күшейту шабуылдары бір сағаттан астам уақытқа созылатынын ұмытпаңыз. Егер сіз Спамхаус болсаңыз және сізді бәрі ұнатпайтын болса, иә, олар сіздің арналарыңызды бірнеше күн бойы жабуға тырысуы мүмкін, тіпті жаһандық ботнеттің одан әрі өмір сүру қаупі бар. Егер сізде жай ғана интернет-дүкен болса, тіпті ол mvideo.ru болса да, сіз бірнеше күн ішінде 1 Тбит көре алмайсыз (мен үміттенемін).
SYN/ACK тасқыны, пакеттердің фрагментациясы және т.б. көмегімен шабуылдарды тойтару үшін сізге осындай шабуылдарды анықтау және тоқтату үшін жабдық немесе бағдарламалық жүйелер қажет.
Көптеген адамдар мұндай жабдықты шығарады (Arbor, Cisco, Huawei шешімдері бар, Wanguard бағдарламалық жасақтамасын енгізу және т. , шын мәнінде, барлық негізгі провайдерлер a-la OVH.com, Hetzner.de өз қорғанысы бар хостерлермен солай жасайды, мен өзім ihor.ru сайтында қорғанысқа тап болдым). Кейбір компаниялар өздерінің бағдарламалық шешімдерін әзірлеуде (DPDK сияқты технологиялар бір физикалық x86 құрылғысында ондаған гигабит трафикті өңдеуге мүмкіндік береді).
Танымал ойыншылардың барлығы L3/L4 DDoS-пен азды-көпті тиімді күресе алады. Енді мен кімнің арнаның максималды сыйымдылығы бар екенін айтпаймын (бұл инсайдерлік ақпарат), бірақ әдетте бұл соншалықты маңызды емес, және жалғыз айырмашылық - қорғаныс қаншалықты тез іске қосылады (бірден немесе бірнеше минуттық жобаның тоқтап қалуынан кейін, Hetzner сияқты).
Мәселе мынада: бұл қаншалықты жақсы орындалды: күшейту шабуылын зиянды трафиктің ең көп мөлшері бар елдерден келетін трафикті блоктау арқылы тойтаруға болады немесе тек шынымен қажет емес трафикті жоюға болады.
Бірақ сонымен бірге, менің тәжірибеме сүйене отырып, нарықтың барлық маңызды ойыншылары мұны қиындықсыз жеңеді: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (бұрынғы SkyParkCDN), ServicePipe, Stormwall, Voxility және т.б.
Мен Rostelecom, Megafon, TTK, Beeline сияқты операторлардан қорғанысты кездестірген жоқпын; әріптестердің пікірлері бойынша, олар бұл қызметтерді өте жақсы қамтамасыз етеді, бірақ әзірге тәжірибенің болмауы мезгіл-мезгіл әсер етеді: кейде қолдау арқылы бірдеңені өзгерту керек. қорғау операторының.
Кейбір операторлардың «L3/L4 деңгейіндегі шабуылдардан қорғау» немесе «арналарды қорғау» жеке қызметі бар; ол барлық деңгейлердегі қорғаудан әлдеқайда аз тұрады.
Неліктен оның өз арналары болмағандықтан, жүздеген Гбиттік шабуылдарға тойтарыс беретін магистральдық провайдер емес?Қорғаныс операторы кез келген негізгі провайдерлерге қосыла алады және шабуылдарды «оның есебінен» тойтарады. Арна үшін ақы төлеуге тура келеді, бірақ бұл жүздеген Гбиттердің барлығы әрқашан пайдаланыла бермейді; бұл жағдайда арналардың құнын айтарлықтай төмендетуге мүмкіндік беретін опциялар бар, сондықтан схема жұмыс істейтін болып қалады.
Бұл хостинг провайдерінің жүйелеріне қолдау көрсету кезінде жоғары деңгейлі L3/L4 қорғанысынан үнемі алатын есептер.
L7 деңгейінде қорғаныс (қолданбалы деңгей)
L7 деңгейіндегі шабуылдар (қолданбалы деңгей) бірліктерді дәйекті және тиімді түрде тойтаруға қабілетті.
Менде өте көп нақты тәжірибе бар
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Касперский.
Олар таза трафиктің әрбір мегабиті үшін ақы алады, бір мегабит шамамен бірнеше мың рубльді құрайды. Егер сізде кем дегенде 100 Мбит/с таза трафик болса - oh. Қорғау өте қымбат болады. Қауіпсіздік арналарының сыйымдылығын үнемдеу үшін қосымшаларды қалай құрастыру керектігін келесі мақалаларда айта аламын.
Нағыз «төбенің патшасы» - Qrator.net, қалғандары олардан артта қалады. Qrator менің тәжірибемде нөлге жақын жалған позитивтердің пайызын беретін жалғыз ғана, бірақ сонымен бірге олар нарықтың басқа ойыншыларына қарағанда бірнеше есе қымбат.
Басқа операторлар да жоғары сапалы және тұрақты қорғанысты қамтамасыз етеді. Біз қолдайтын көптеген қызметтер (соның ішінде елде өте танымал!) DDoS-Guard, G-Core Labs-тан қорғалған және алынған нәтижелерге қанағаттанарлық.
Qrator арқылы қайтарылған шабуылдар
Менде cloud-shield.ru, ddosa.net сияқты мыңдаған қауіпсіздік операторларымен тәжірибем бар. Мен оны міндетті түрде ұсынбаймын, өйткені ... Менің тәжірибем аз, бірақ мен сізге олардың жұмысының принциптері туралы айтып беремін. Олардың қорғаныс құны көбінесе негізгі ойыншыларға қарағанда 1-2 рет төмен. Әдетте, олар үлкен ойыншылардың бірінен ішінара қорғаныс қызметін (L3/L4) сатып алады + жоғары деңгейдегі шабуылдардан өз қорғанысын жасайды. Бұл өте тиімді болуы мүмкін + сіз аз ақшаға жақсы қызмет ала аласыз, бірақ бұл әлі де шағын ұжымы бар шағын компаниялар, мұны есте сақтаңыз.
L7 деңгейінде шабуылдарды тойтару қиындығы қандай?
Барлық қолданбалар бірегей және сіз олар үшін пайдалы трафикке рұқсат беріп, зияндыларын блоктауыңыз керек. Боттарды міндетті түрде жою әрқашан мүмкін емес, сондықтан сіз трафикті тазартудың көптеген, шын мәнінде КӨП дәрежесін пайдалануыңыз керек.
Бір кездері nginx-testcookie модулі жеткілікті болды (), және бұл әлі де көптеген шабуылдарды тойтару үшін жеткілікті. Мен хостинг индустриясында жұмыс істеген кезде L7 қорғанысы nginx-testcookie-ге негізделген.
Өкінішке орай, шабуылдар қиындап кетті. testcookie JS негізіндегі бот тексерулерін пайдаланады және көптеген заманауи боттар оларды сәтті өткізе алады.
Шабуыл ботнеттері де бірегей және әрбір үлкен ботнеттің сипаттамаларын ескеру қажет.
Күшейту, ботнеттен тікелей су тасу, әртүрлі елдерден келетін трафикті сүзу (әртүрлі елдер үшін әртүрлі сүзгілеу), SYN/ACK тасқыны, пакеттердің фрагментациясы, ICMP, http тасқыны, ал қолданба/http деңгейінде сіз шектеусіз санды таба аласыз. әртүрлі шабуылдар.
Барлығы арнаны қорғау деңгейінде трафикті тазартуға арналған мамандандырылған жабдық, арнайы бағдарламалық қамтамасыз ету, әрбір клиент үшін қосымша сүзгілеу параметрлері ондаған және жүздеген сүзгілеу деңгейлері болуы мүмкін.
Мұны дұрыс басқару және әртүрлі пайдаланушылар үшін сүзу параметрлерін дұрыс баптау үшін сізге көп тәжірибе мен білікті персонал қажет. Тіпті қорғаныс қызметтерін ұсынуға шешім қабылдаған ірі оператор да «мәселеге ақымақтықпен ақша лақтыра алмайды»: өтірік сайттардан және заңды трафиктегі жалған позитивтерден тәжірибе алу керек.
Қауіпсіздік операторы үшін «DDoS қайтару» түймесі жоқ, көптеген құралдар бар және сіз оларды қалай пайдалану керектігін білуіңіз керек.
Және тағы бір бонустық мысал.
600 Мбит сыйымдылығы бар шабуыл кезінде қорғалмаған серверді хосттер бұғаттады
(«Трафиктің жоғалуы» байқалмайды, себебі тек 1 сайтқа шабуыл жасалды, ол серверден уақытша жойылды және бір сағат ішінде блоктау алынып тасталды).
Дәл сол сервер қорғалған. Шабуылшылар бір күндік тойтарыс берген шабуылдардан кейін «берілді». Шабуылдың өзі ең күшті болған жоқ.
L3/L4 шабуылы мен қорғанысы тривиальдырақ, олар негізінен арналардың қалыңдығына, шабуылдарды анықтау және сүзу алгоритмдеріне байланысты.
L7 шабуылдары күрделірек және түпнұсқа; олар шабуылдаушы қолданбаға, шабуылдаушылардың мүмкіндіктері мен қиялына байланысты. Олардан қорғау үлкен білім мен тәжірибені талап етеді, ал нәтиже бірден емес және жүз пайыз болмауы мүмкін. Google қорғаныс үшін басқа нейрондық желіні ойлап тапқанға дейін.
Ақпарат көзі: www.habr.com