"Kesê ku malpera me çêkiriye berê parastina DDoS saz kiriye."
"Me parastina DDoS heye, çima malper daket?"
"Qrator çend hezar dixwaze?"
Ji bo ku hûn bi rêkûpêk bersiv bidin pirsên weha ji xerîdar / patronê, baş e ku hûn zanibin ka li pişt navê "parastina DDoS" çi veşartî ye. Hilbijartina karûbarên ewlehiyê ji hilbijartina tabloyek li IKEA bêtir dişibe hilbijartina dermanek ji bijîşk.
Ez 11 salan piştgirî didim malperan, ji sedan êrîşan li ser karûbarên ku ez piştgirî dikim rizgar bûm, û naha ez ê ji we re hinekî li ser karên hundur ên parastinê bibêjim.
Êrîşên bi rêkûpêk. 350k req total, 52k req rewa
Êrîşên yekem hema hema di heman demê de bi Înternetê re xuya bûn. DDoS wekî fenomenek ji dawiya salên 2000-an vir ve berbelav bûye (binihêrin ).
Ji dor 2015-2016-an vir ve, hema hema hemî peydakiroxên mêvandariyê ji êrişên DDoS hatine parastin, her weha malperên herî navdar ên li deverên pêşbaziyê (ji hêla IP-ya malperan ve bikin eldorado.ru, leroymerlin.ru, tilda.ws, hûn ê toran bibînin operatorên parastinê).
Ger 10-20 sal berê pir êrîş dikarin li ser serverê bixwe werin paşve xistin (pêşniyarên rêveberê pergalê Lenta.ru Maxim Moshkov ji salên 90-an binirxînin: ), lê niha karên parastinê dijwartir bûne.
Cûreyên êrişên DDoS ji hêla hilbijartina operatorek parastinê ve
Êrîşên li ser asta L3/L4 (li gorî modela OSI)
- UDP lehiya ji botnetê (gelek daxwaz rasterast ji cîhazên vegirtî ji karûbarê êrîşê re têne şandin, server bi kanalê re têne asteng kirin);
- Zêdekirina DNS/NTP/htd (gelek daxwaz ji cîhazên vegirtî ji DNS/NTP/hwd yên xedar re têne şandin, navnîşana şanderê sexte ye, ewrek pakêtên ku bersivê didin daxwazan kanala kesê ku êrîş lê tê kirin diherike; bi vî rengî ya herî zêde êrîşên mezin li ser Înterneta nûjen têne kirin);
- SYN / ACK lehiyê (gelek daxwazên ji bo sazkirina pêwendiyê ji serverên êrîşkirî re têne şandin, rêza girêdanê zêde dibe);
- êrîşên bi perçekirina pakêtan, ping of mirinê, ping flood (ji kerema xwe re Google wê);
- wate ya vê çîye.
Armanca van êrîşan "xitimandina" kanala serverê an "kuştina" şiyana wê ya pejirandina seyrûsefera nû ye.
Her çend lehiya SYN/ACK û amplification pir cûda ne, gelek pargîdan bi heman rengî bi wan re şer dikin. Pirsgirêkên bi êrîşên koma din re derdikevin.
Êrîşên li ser L7 (qata serîlêdanê)
- http flood (heke malperek an hin http api were êrîş kirin);
- Êrîşek li ser deverên xizan ên malperê (yên ku cache tune ne, ku malperê pir giran bar dikin, hwd.).
Armanc ev e ku server "zehmet bixebite", gelek "daxwazên xuya rast" pêvajoyê bike û ji bo daxwazên rastîn bê çavkaniyan bimîne.
Her çend hêrîşên din jî hebin jî, yên herî berbelav ev in.
Êrîşên giran ên di asta L7 de ji bo her projeyek ku tê êrîş kirin bi rengek bêhempa têne afirandin.
Çima 2 kom?
Ji ber ku gelek kes hene ku dizanin di asta L3 / L4 de çawa êrîşan baş paşve bixin, lê an di asta serîlêdanê (L7) de qet parastinê nagirin, an jî di danûstandina bi wan re ji alternatîfan qelstir in.
Di bazara parastina DDoS de kî kî ye
(nerîna min a kesane)
Di asta L3/L4 de parastin
Ji bo paşvexistina êrîşên bi amplifikasyonê ("astengkirina" kanala serverê), têra kanalên fireh hene (gelek karûbarên parastinê bi piraniya peydakiroxên pişta mezin ên li Rûsyayê ve girêdidin û kanalên xwedan kapasîteya teorîkî ji 1 Tbit zêdetir in). Ji bîr nekin ku êrîşên pir kêm kêm ji saetekê zêdetir didomin. Ger hûn Spamhaus in û her kes ji we hez nake, erê, ew dikarin çend rojan hewl bidin ku kanalên we biqewirînin, tewra di xetereya mayîna zêdetir a botneta gerdûnî ya ku tê bikar anîn de. Ger we tenê firotgehek serhêl hebe, her çend ew mvideo.ru be jî, hûn ê di nav çend rojan de pir zû 1 Tbit nebînin (ez hêvî dikim).
Ji bo vegerandina êrîşên bi lehiya SYN/ACK, perçebûna pakêtan, hwd., ji we re amûr an pergalên nermalavê hewce ne ku êrişên weha tespît bikin û rawestînin.
Pir kes amûrên weha hilberînin (Arbor, çareseriyên ji Cisco, Huawei, pêkanînên nermalavê yên ji Wanguard, hwd.), gelek operatorên piştê berê ew saz kirine û karûbarên parastina DDoS difroşin (ez ji sazkirinên Rostelecom, Megafon, TTK, MTS dizanim , bi rastî, hemî pêşkêşkerên sereke bi parastina xwe re bi mêvandar re heman yekê dikin a-la OVH.com, Hetzner.de, ez bixwe li ihor.ru rastî parastinê hatim). Hin pargîdanî çareseriyên nermalava xwe bi pêş dixin (teknolojiyên mîna DPDK dihêle hûn bi dehan gigabit trafîkê li ser yek makîneyek x86-a laşî pêvajoyê bikin).
Ji lîstikvanên naskirî, her kes dikare kêm an kêmtir bi bandor li dijî L3/L4 DDoS şer bike. Naha ez ê nebêjim kê xwedan kapasîteya kanala herî mezin e (ev agahdariya hundurîn e), lê bi gelemperî ev ne ew qas girîng e, û cûdahiya tenê ew e ku çiqas zû parastin tê dest pê kirin (di cih de an piştî çend hûrdeman domdariya projeyê, wek Hetzner).
Pirs ev e ku ev çiqas baş tê kirin: êrîşek zêdekirinê dikare bi bloka seyrûsefera ji welatên ku seyrûsefera herî zirardar e re were paşve xistin, an jî tenê seyrûsefera bi rastî nehewce dikare were avêtin.
Lê di heman demê de, li ser bingeha ezmûna min, hemî lîstikvanên cidî yên bazarê bêyî pirsgirêk bi vê yekê re mijûl dibin: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (berê SkyParkCDN), ServicePipe, Stormwall, Voxility, hwd.
Min ji operatorên wekî Rostelecom, Megafon, TTK, Beeline nedîtiye; li gorî nirxandinên hevkaran, ew van karûbaran pir baş peyda dikin, lê heya nuha kêmbûna ezmûnê bi periyodîk bandor dike: carinan hûn hewce ne ku bi piştgirîyê tiştek biguhezînin. ya operatorê parastinê.
Hin operator karûbarek cihê "parastina li dijî êrîşan di asta L3/L4 de", an "parastina kanalê" hene; ew ji parastinê di her astê de pir kêmtir lêçû.
Çima peydakerê piştê êrişên bi sedan Gbit-an red nake, ji ber ku ew ne xwediyê kanalên xwe ne?Operatorê parastinê dikare bi yek ji pêşkêşkerên sereke ve girêbide û êrîşan "li ser lêçûnên xwe" paşde bixe. Hûn ê neçar in ku ji bo kanalê bidin, lê hemî van sed Gbits dê her gav neyên bikar anîn; Vebijark hene ku di vê rewşê de lêçûna kanalan bi girîngî kêm bikin, ji ber vê yekê nexşe bikêr dimîne.
Van raporên ku min bi rêkûpêk ji parastina asta bilindtir L3/L4 distînin dema ku pergalên pêşkêşvanê mêvandariyê piştgirî dikin.
Parastina di asta L7 de (asta serîlêdanê)
Êrîşên di asta L7 de (asta serîlêdanê) dikarin yekîneyan bi domdarî û bi bandor paşde bixin.
Bi min re gelek ezmûnek rastîn heye
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Ew ji bo her megabit seyrûsefera paqij digirin, megabitek bi qasî çend hezar rubleyan lêçû. Ger we herî kêm 100 Mbps seyrûsefera paqij heye - oh. Parastin dê pir biha be. Ez dikarim di gotarên jêrîn de ji we re bibêjim ka meriv çawa serîlêdanan sêwiran dike da ku pir li ser kapasîteya kanalên ewlehiyê xilas bike.
"Padîşahê çiyê" ya rastîn Qrator.net e, yên mayî li paş wan dimînin. Qrator di ezmûna min de heya nuha yekane ne ku ji sedî pozîtîfên derewîn nêzî sifirê didin, lê di heman demê de ew çend caran ji lîstikvanên din ên bazarê bihatir in.
Operatorên din jî parastina kalîteya bilind û domdar peyda dikin. Gelek karûbarên ku ji hêla me ve têne piştgirî kirin (di nav de yên li welêt pir naskirî hene!) Ji DDoS-Guard, G-Core Labs têne parastin, û ji encamên ku hatine bidestxistin pir razî ne.
Êrîşên Qrator hatin şikandin
Di heman demê de ezmûna min bi operatorên ewlehiyê yên piçûk ên mîna cloud-shield.ru, ddosa.net, bi hezaran ji wan re jî heye. Ez ê bê guman wê pêşniyar nekim, ji ber ku ... Ez pir tecrûbeya min tune, lê ez ê ji we re behsa prensîbên xebata wan bikim. Mesrefa parastina wan bi gelemperî 1-2 rêzikên mezinbûnê ji ya lîstikvanên sereke kêmtir e. Wekî qaîdeyek, ew karûbarek parastinê ya qismî (L3/L4) ji yek ji lîstikvanên mezin bikirin + parastina xwe li hember êrişên di astên bilind de dikin. Ev dikare pir bandorker be + hûn dikarin bi drav kêmtir karûbarê baş bistînin, lê ew hîn jî pargîdaniyên piçûk ên bi karmendek piçûk in, ji kerema xwe vê yekê ji bîr nekin.
Zehmetiya paşvexistina êrîşan di asta L7 de çi ye?
Hemî serîlêdan bêhempa ne, û hûn hewce ne ku rê bidin seyrûsefera ku ji bo wan bikêr e û yên zirardar asteng bikin. Ne her gav ne gengaz e ku meriv botan bi yekdengî ji holê rake, ji ber vê yekê hûn neçar in ku pir, bi rastî GELEK dereceyên paqijkirina trafîkê bikar bînin.
Carekê, modula nginx-testcookie bes bû (), û hîn jî bes e ku meriv hejmareke mezin ji êrîşan paşde bixe. Dema ku ez di pîşesaziya mêvandariyê de dixebitim, parastina L7 li ser bingeha nginx-testcookie bû.
Mixabin êrîş dijwartir bûne. testcookie kontrolên botê yên JS-ê bikar tîne, û gelek botên nûjen dikarin bi serfirazî wan derbas bikin.
Botnetên êrîşê jî bêhempa ne, û taybetmendiyên her botnetek mezin divê bêne hesibandin.
Amplification, lehiya rasterast ji botnetê, fîlterkirina seyrûsefera ji welatên cihê (ji bo welatên cihê fîlterkirinên cihêreng), lehiya SYN/ACK, perçebûna pakêtê, ICMP, lehiya http, dema ku di asta serîlêdanê/http-ê de hûn dikarin hejmareke bêsînor derxînin holê. êrîşên cuda.
Bi tevahî, di asta parastina kanalê de, alavên pispor ên ji bo paqijkirina seyrûseferê, nermalava taybetî, mîhengên fîlterkirina zêde ji bo her xerîdar dikare bi dehan û bi sedan astên fîlterkirinê hebin.
Ji bo ku hûn vê bi rêkûpêk rêve bibin û mîhengên fîlterkirinê ji bo bikarhênerên cihêreng rast bikin, hûn hewceyê gelek ezmûn û personelên jêhatî ne. Tewra operatorek mezin a ku biryar daye ku karûbarên parastinê peyda bike, nikare "bi ehmeqî drav bavêje pirsgirêkê": pêdivî ye ku ezmûn ji malperên derewîn û erênîyên derewîn li ser seyrûsefera rewa were bidestxistin.
Ji bo operatorê ewlehiyê bişkoka "repel DDoS" tune; hejmareke mezin alav hene, û hûn hewce ne ku hûn zanibin ka meriv wan çawa bikar tîne.
Û mînakek bonusek din.
Di dema êrîşek bi kapasîteya 600 Mbit de serverek neparastî ji hêla mêvandar ve hate asteng kirin
("Winda" seyrûseferê ne diyar e, ji ber ku tenê 1 malper hate êrîş kirin, ew bi demkî ji serverê hate rakirin û di nav saetekê de astengî hate rakirin).
Heman server tê parastin. Êrîşkar piştî rojekê ji êrîşan "teslîm bûn". Ji xwe êrîş ne ya herî xurt bû.
Êrîş û berevaniya L3/L4 piçûktir e; ew bi giranî bi qelewbûna kanalan, algorîtmayên tespîtkirin û fîlterkirina êrîşan ve girêdayî ne.
Êrîşên L7 tevlihevtir û orîjînal in; ew bi sepana ku tê êrîş kirin, jêhatîbûn û xeyala êrîşkaran ve girêdayî ye. Ji bo parastina li hember wan gelek zanîn û azmûn lazim e û dibe ku encam ne zû û ne ji sedî sed be. Heya ku Google ji bo parastinê torek neuralî ya din peyda kir.
Source: www.habr.com