2020 жылдың алғашқы екі тоқсанында DDoS шабуылдарының саны үш есеге жуық өсті, олардың 65%-ы шағын интернет-дүкендердің, форумдардың, блогтардың және бұқаралық ақпарат құралдарының қорғансыз сайттарын оңай «өшіретін» «жүктеме сынағы» қарапайым әрекеттері болды.
DDoS қорғалған хостингті қалай таңдауға болады? Жағымсыз жағдайға тап болмас үшін не нәрсеге назар аудару керек және не дайындалу керек?
(Ішінде «сұр» маркетингке қарсы вакцинация)
DDoS шабуылдарын жүзеге асыруға арналған құралдардың қолжетімділігі мен әртүрлілігі онлайн қызметтер иелерін қауіпке қарсы тұру үшін тиісті шараларды қабылдауға мәжбүр етеді. Сіз DDoS қорғауы туралы бірінші сәтсіздіктен кейін емес, тіпті инфрақұрылымның ақауларға төзімділігін арттыру бойынша шаралар кешенінің бөлігі ретінде емес, орналастыру үшін сайтты таңдау кезеңінде (хостинг провайдері немесе деректер орталығы) ойлануыңыз керек.
DDoS шабуылдары осалдықтары Open Systems Interconnection (OSI) моделінің деңгейлерінде пайдаланылатын хаттамаларға байланысты жіктеледі:
- арна (L2),
- желі (L3),
- көлік (L4),
- қолданбалы (L7).
Қауіпсіздік жүйелері тұрғысынан оларды екі топқа жалпылауға болады: инфрақұрылымдық деңгейдегі шабуылдар (L2-L4) және қолданбалы деңгейдегі шабуылдар (L7). Бұл трафикті талдау алгоритмдерінің орындалу реттілігіне және есептеу күрделілігіне байланысты: IP пакетіне неғұрлым тереңірек қарасақ, соғұрлым көп есептеу қуаты қажет.
Жалпы алғанда, трафикті нақты уақыт режимінде өңдеу кезінде есептеулерді оңтайландыру мәселесі мақалалардың жеке сериясының тақырыбы болып табылады. Енді сайттарды қолданбалы деңгейдегі шабуылдардан (соның ішінде ).
DDoS шабуылдарынан хостинг қауіпсіздігінің дәрежесін анықтауға арналған 3 негізгі сұрақ
DDoS шабуылдарынан қорғау үшін қызмет көрсету шарттарын және хостинг провайдерінің Қызмет көрсету деңгейі келісімін (SLA) қарастырайық. Оларда келесі сұрақтарға жауаптар бар ма:
- қызмет провайдері қандай техникалық шектеулерді айтады??
- тұтынушы шектен шыққанда не болады?
- Хостинг провайдері DDoS шабуылдарынан (технологиялар, шешімдер, жеткізушілер) қорғауды қалай жасайды?
Егер сіз бұл ақпаратты таппасаңыз, онда бұл қызмет провайдерінің маңыздылығы туралы ойлауға немесе негізгі DDoS қорғанысын (L3-4) өз бетіңізше ұйымдастыруға себеп болады. Мысалы, арнайы қауіпсіздік провайдерінің желісіне физикалық қосылуға тапсырыс беріңіз.
Маңызды! Егер хостинг провайдері инфрақұрылымдық деңгейдегі шабуылдардан қорғауды қамтамасыз ете алмаса, кері прокси арқылы қолданбалы деңгейдегі шабуылдардан қорғауды қамтамасыз етудің қажеті жоқ: желі жабдығы шамадан тыс жүктеледі және бұлттық провайдердің прокси серверлерін қоса, қолжетімсіз болады (сурет 1).
Сурет 1. Хостинг провайдерінің желісіне тікелей шабуыл
Және оларға сервердің нақты IP мекенжайы қауіпсіздік провайдерінің бұлтының артында жасырылғаны туралы ертегілерді айтуға тырыспаңыз, яғни оған тікелей шабуыл жасау мүмкін емес. Он жағдайдың тоғызында шабуылдаушыға бүкіл деректер орталығын «жою» үшін сервердің нақты IP мекенжайын немесе кем дегенде хостинг провайдерінің желісін табу қиын болмайды.
Хакерлер нақты IP мекенжайын іздеуде қалай әрекет етеді
Спойлерлердің астында нақты IP мекенжайын табудың бірнеше әдістері бар (ақпараттық мақсатта берілген).
1-әдіс: Ашық көздерден іздеу
Іздеуді онлайн қызметтен бастауға болады: Ол қараңғы желіні, құжат алмасу платформаларын іздейді, Whois деректерін өңдейді, жалпыға ортақ деректердің ағып кетуін және көптеген басқа көздерді іздейді.
Егер кейбір белгілердің негізінде (HTTP тақырыптары, Whois деректері және т., онда Cloudflare артында орналасқан сайттардың 3 миллионға жуық IP мекенжайлары бар.
SSL сертификатын және қызметін пайдалану Сіз көптеген пайдалы ақпаратты, соның ішінде сайттың нақты IP мекенжайын таба аласыз. Ресурсқа сұрау жасау үшін Сертификаттар қойындысына өтіп, келесіні енгізіңіз:
_parsed.names: атаусайт ЖӘНЕ tags.raw: сенімді
SSL сертификатын пайдаланып серверлердің IP мекенжайларын іздеу үшін бірнеше құралдардың көмегімен ашылмалы тізімнен қолмен өту керек («Зерттеу» қойындысы, содан кейін «IPv4 хосттары» тармағын таңдаңыз).
2-әдіс: DNS
DNS жазбасының өзгерістер тарихын іздеу ескі, дәлелденген әдіс болып табылады. Сайттың алдыңғы IP мекенжайы оның қай хостингте (немесе деректер орталығында) орналасқанын анық көрсете алады. Пайдаланудың қарапайымдылығы бойынша онлайн қызметтер арасында келесілер ерекшеленеді: и .
Параметрлерді өзгерткен кезде сайт бұлттық қауіпсіздік провайдерінің немесе CDN IP мекенжайын бірден пайдаланбайды, бірақ біраз уақыт тікелей жұмыс істейді. Бұл жағдайда IP мекенжайын өзгерту тарихын сақтауға арналған онлайн қызметтерде сайттың бастапқы мекенжайы туралы ақпарат болуы мүмкін.
Ескі DNS серверінің атауынан басқа ештеңе болмаса, арнайы утилиталарды (dig, host немесе nslookup) пайдаланып сайттың домендік атауы бойынша IP мекенжайын сұрауға болады, мысалы:
_dig @old_dns_server_name атауысайт
3-әдіс: электрондық пошта
Әдістің идеясы - кері байланыс/тіркеу формасын (немесе хат жіберуді бастауға мүмкіндік беретін кез келген басқа әдісті) электрондық поштаңызға хат алу және тақырыптарды, атап айтқанда «Алынған» өрісін тексеру үшін пайдалану. .
Электрондық пошта тақырыбы көбінесе MX жазбасының (электрондық пошта алмасу сервері) нақты IP мекенжайын қамтиды, ол мақсаттағы басқа серверлерді табудың бастапқы нүктесі болуы мүмкін.
Іздеу автоматтандыру құралдары
Cloudflare қалқанының артындағы IP іздеу бағдарламалық құралы көбінесе үш тапсырма үшін жұмыс істейді:
- DNSDumpster.com арқылы DNS қате конфигурациясын іздеңіз;
- Crimeflare.com дерекқорын сканерлеу;
- сөздік іздеу әдісі арқылы ішкі домендерді іздеу.
Ішкі домендерді табу көбінесе үшеуінің ең тиімді нұсқасы болып табылады - сайт иесі негізгі сайтты қорғай алады және ішкі домендерді тікелей жұмыс істейтін етіп қалдыра алады. Тексерудің ең оңай жолы - пайдалану .
Сонымен қатар, сөздік іздеу және ашық көздерден іздеу арқылы ішкі домендерді іздеуге арналған утилиталар бар, мысалы: немесе .
Тәжірибеде іздеу қалай жүреді
Мысалы, Cloudflare көмегімен seo.com сайтын алайық, біз оны белгілі сервис арқылы табамыз. (сайт жұмыс істейтін технологияларды / қозғалтқыштарды / CMS-ті анықтауға мүмкіндік береді және керісінше - пайдаланылған технологиялар бойынша сайттарды іздеу).
«IPv4 хосттары» қойындысын басқан кезде, қызмет сертификатты пайдаланатын хосттардың тізімін көрсетеді. Қажеттісін табу үшін 443 порты ашық IP мекенжайын іздеңіз. Егер ол қажетті сайтқа қайта бағытталса, тапсырма орындалады, әйтпесе сайттың домендік атауын веб-сайттың «Хост» тақырыбына қосу керек. HTTP сұрауы (мысалы, *curl -H «Хост: сайт_аты» *).
Біздің жағдайда Censys дерекқорындағы іздеу ештеңе бермеді, сондықтан біз жалғастырамыз.
Қызмет арқылы DNS іздеуін орындаймыз.
CloudFail утилитасын пайдаланып DNS серверлерінің тізімдерінде көрсетілген мекенжайларды іздеу арқылы біз жұмыс ресурстарын табамыз. Нәтиже бірнеше секундта дайын болады.
Тек ашық деректерді және қарапайым құралдарды пайдалана отырып, біз веб-сервердің нақты IP мекенжайын анықтадық. Шабуылшы үшін қалғаны техника мәселесі.
Хостинг провайдерін таңдауға оралайық. Тұтынушы үшін қызметтің пайдасын бағалау үшін DDoS шабуылдарынан қорғаудың ықтимал әдістерін қарастырамыз.
Хостинг провайдері өз қорғанысын қалай жасайды
- Сүзгі жабдығы бар меншікті қорғаныс жүйесі (2-сурет).
Талап етеді:
1.1. Трафикті сүзуге арналған жабдық және бағдарламалық қамтамасыз ету лицензиялары;
1.2. Оны қолдау және пайдалану үшін штаттық мамандар;
1.3. Шабуылдарды қабылдау үшін жеткілікті болатын Интернетке кіру арналары;
1.4. «Қауіпсіз» трафикті алу үшін алдын ала төленген маңызды арна өткізу қабілеттілігі.
Сурет 2. Хостинг провайдерінің жеке қауіпсіздік жүйесі
Егер сипатталған жүйені жүздеген Гбит/с-қа дейінгі заманауи DDoS шабуылдарынан қорғау құралы ретінде қарастырсақ, онда мұндай жүйе көп ақшаны қажет етеді. Хостинг провайдерінде мұндай қорғаныс бар ма? Ол «қоқыс» трафикті төлеуге дайын ба? Тарифтерде қосымша төлемдер қарастырылмаса, мұндай экономикалық модель провайдер үшін тиімсіз екені анық. - Кері прокси (тек веб-сайттар мен кейбір қолданбалар үшін). Санға қарамастан , жеткізуші тікелей DDoS шабуылдарынан қорғауға кепілдік бермейді (1-суретті қараңыз). Хостинг провайдерлері жауапкершілікті қауіпсіздік провайдеріне ауыстырып, панацея сияқты шешімді жиі ұсынады.
- Барлық OSI деңгейлерінде DDoS шабуылдарынан қорғау үшін мамандандырылған бұлттық провайдердің қызметтері (оны сүзгілеу желісін пайдалану) (3-сурет).
Сурет 3. Мамандандырылған провайдердің көмегімен DDoS шабуылдарынан кешенді қорғаныс
терең интеграцияны және екі тараптың техникалық құзыреттілігінің жоғары деңгейін болжайды. Аутсорсинг трафикті сүзу қызметтері хостинг провайдеріне тұтынушы үшін қосымша қызметтердің бағасын төмендетуге мүмкіндік береді.
Маңызды! Ұсынылатын қызметтің техникалық сипаттамалары неғұрлым егжей-тегжейлі сипатталған болса, олардың орындалуын талап ету немесе тоқтап қалған жағдайда өтемақы алу мүмкіндігі соғұрлым жоғары болады.
Үш негізгі әдіске қосымша көптеген комбинациялар мен комбинациялар бар. Хостингті таңдаған кезде тұтынушы шешім кепілдендірілген блокталған шабуылдардың көлеміне және сүзгілеу дәлдігіне ғана емес, сонымен қатар жауап беру жылдамдығына, сондай-ақ ақпараттық мазмұнға (блокталған шабуылдар тізімі, жалпы статистика және т.б.).
Есіңізде болсын, әлемде тек бірнеше хостинг провайдерлері өздері қолайлы қорғау деңгейін қамтамасыз ете алады; басқа жағдайларда ынтымақтастық пен техникалық сауаттылық көмектеседі. Осылайша, DDoS шабуылдарынан қорғауды ұйымдастырудың негізгі принциптерін түсіну сайт иесіне маркетингтік трюктерге түсіп қалмауға және «шошқа» сатып алмауға мүмкіндік береді.
Ақпарат көзі: www.habr.com