"Биздин веб-сайтты түзгөн жигит DDoS коргоосун орноткон."
"Бизде DDoS коргоосу бар, эмне үчүн сайт иштебей калды?"
"Qrator канча миңди каалайт?"
Кардардын/жетекчинин мындай суроолоруна туура жооп берүү үчүн, "DDoS коргоо" деген аталыштын артында эмне жашырылганын билсеңиз жакшы болмок. Коопсуздук кызматтарын тандоо IKEAдагы үстөлдү тандоого караганда, дарыгерден дары тандоо сыяктуу.
Мен 11 жылдан бери веб-сайттарды колдоп келем, мен колдогон кызматтарга жүздөгөн чабуулдардан аман калдым, эми мен сизге коргоонун ички иштери жөнүндө бир аз айтып берем.
Кадимки чабуулдар. Жалпысынан 350 миң талап, 52 миң талап мыйзамдуу
Биринчи чабуулдар Интернет менен дээрлик бир убакта пайда болгон. DDoS феномен катары 2000-жылдардын аягында кеңири таралган ).
Болжол менен 2015-2016-жылдардан бери дээрлик бардык хостинг провайдерлери DDoS чабуулдарынан корголгон, ошондой эле атаандаштык чөйрөсүндөгү эң көрүнүктүү сайттар (eldorado.ru, leroymerlin.ru, tilda.ws сайттарынын IP аркылуу whois жасасаңыз, сиз тармактарды көрөсүз. коргоо операторлорунун).
Эгерде 10-20 жыл мурун көпчүлүк чабуулдар сервердин өзүнөн кайтарылса (Lenta.ru системалык администратору Максим Мошковдун 90-жылдардагы сунуштарына баа бериңиз: ), бирок азыр коргоо милдеттери кыйын болуп калды.
Коргоо операторун тандоо көз карашынан алганда DDoS чабуулдарынын түрлөрү
L3/L4 деңгээлиндеги чабуулдар (OSI моделине ылайык)
— ботнеттен UDP сели (көп сурамдар вирус жуккан түзмөктөрдөн түздөн-түз чабуулга кабылган сервиске жөнөтүлөт, серверлер канал менен бөгөттөлгөн);
— DNS/NTP/ж.б. күчөтүү (көптөгөн суроо-талаптар жуккан түзмөктөрдөн аялуу DNS/NTP/ж.б. жөнөтүлөт, жөнөтүүчүнүн дареги жасалма, суроо-талаптарга жооп берген пакеттердин булуту чабуулга дуушар болгон адамдын каналын каптайт; бул эң көп массалык чабуулдар заманбап Интернетте жүзөгө ашырылат);
— SYN / ACK ташкыны (байланыш түзүү боюнча көптөгөн суроо-талаптар чабуулга кабылган серверлерге жөнөтүлөт, туташуу кезеги толуп кетет);
— пакеттик фрагментация менен чабуулдар, өлүмдүн пинги, пинг суусу (Google'дан сураныч);
- жана башка.
Бул чабуулдар сервердин каналын "жабууга" же анын жаңы трафикти кабыл алуу жөндөмүн "өлтүрүүгө" багытталган.
SYN/ACK суу ташкыны жана күчөтүү абдан ар түрдүү болсо да, көптөгөн компаниялар алар менен бирдей жакшы күрөшөт. Кийинки топтун чабуулдары менен көйгөйлөр пайда болот.
L7ге кол салуулар (колдонмо катмары)
— http сел (эгер веб-сайтка же кээ бир http api чабуулга кабылса);
— сайттын аялуу жерлерине чабуул (кэши жок, сайтты өтө оор жүктөгөндөр ж.б.).
Максат - серверди "татыктуу иштөөгө", көптөгөн "чыныгы көрүнгөн суроо-талаптарды" иштеп чыгуу жана чыныгы суроо-талаптар үчүн ресурстарсыз калуу.
Башка кол салуулар бар болсо да, булар эң көп кездешет.
L7 деңгээлиндеги олуттуу чабуулдар ар бир чабуулга кабылган долбоор үчүн уникалдуу түрдө түзүлөт.
Эмне үчүн 2 топ?
Анткени L3 / L4 деңгээлинде чабуулдарды кантип кайтарууну жакшы билгендер көп, бирок же колдонмо деңгээлинде (L7) коргоону такыр колдонушпайт, же алар менен күрөшүүдө альтернативаларга караганда алсызыраак.
DDoS коргоо рыногунда ким ким
(менин жеке пикирим)
L3/L4 деңгээлинде коргоо
Күчөтүү менен чабуулдардын мизин кайтаруу үчүн («сервер каналынын бөгөттөлүшү») жетиштүү кенен каналдар бар (көп коргоо кызматтары Россиянын көпчүлүк ири магистралдык провайдерлерине туташат жана теориялык кубаттуулугу 1 Тбиттен ашкан каналдарга ээ). Абдан сейрек кездешүүчү күчөтүү чабуулдары бир сааттан көпкө созуларын унутпаңыз. Эгер сиз Спамхаус болсоңуз жана сизди бардыгына жакпаса, ооба, алар глобалдык ботнеттин андан ары жашап кетүү коркунучу алдында, каналдарыңызды бир нече күнгө жабууга аракет кылышы мүмкүн. Эгер сиз жөн гана онлайн дүкөнүңүз болсо, анда ал mvideo.ru болсо да, бир нече күндүн ичинде 1 Тбитти көрө албайсыз (мен үмүттөнөм).
SYN/ACK суу ташкыны, пакеттик фрагментация ж.б. менен чабуулдарды кайтаруу үчүн, мындай чабуулдарды аныктоо жана токтотуу үчүн жабдуулар же программалык системалар керек.
Мындай жабдууларды көп адамдар чыгарышат (Arbor, Cisco, Huawei чечимдери бар, Wanguard программалык камсыздоосун ишке ашыруу ж. , чындыгында, бардык негизги провайдерлер өз коргоосу a-la OVH.com, Hetzner.de менен хостерлер менен ушундай кылышат, мен өзүм ihor.ru сайтында коргоого туш болдум). Кээ бир компаниялар өздөрүнүн программалык чечимдерин иштеп чыгууда (DPDK сыяктуу технологиялар бир физикалык x86 машинасында ондогон гигабит трафикти иштетүүгө мүмкүндүк берет).
Белгилүү оюнчулардын баары L3/L4 DDoS менен аздыр-көптүр натыйжалуу күрөшө алышат. Эми мен кимде каналдын максималдуу кубаттуулугу бар экенин айтпай эле коёюн (бул инсайдердик маалымат), бирок, адатта, бул анчалык деле маанилүү эмес жана бир гана айырма - коргоо канчалык тез ишке ашат (дар замат же бир нече мүнөттөн кийин долбоор токтоп калгандан кийин, Hetzner сыяктуу).
Бул канчалык деңгээлде жакшы жасалган деген суроо туулат: эң көп зыяндуу трафики бар өлкөлөрдөн келген трафикти бөгөттөө аркылуу күчөтүү чабуулун кайтарууга болот же чындап эле керексиз трафикти гана жокко чыгарууга болот.
Бирок, ошол эле учурда, менин тажрыйбамдын негизинде, рыноктун бардык олуттуу оюнчулары муну көйгөйсүз чечишет: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (мурдагы SkyParkCDN), ServicePipe, Stormwall, Voxility ж.
Мен Rostelecom, Megafon, TTK, Beeline сыяктуу операторлордон коргоого туш болгон жокмун; кесиптештердин пикири боюнча, алар бул кызматтарды жакшы көрсөтүшөт, бирок азырынча тажрыйбанын жоктугу мезгил-мезгили менен таасир этет: кээде колдоо аркылуу бир нерсени өзгөртүү керек. коргоо операторунун.
Кээ бир операторлордо "L3/L4 деңгээлиндеги чабуулдардан коргоо" же "каналдарды коргоо" өзүнчө кызматы бар, ал бардык деңгээлдеги коргоого караганда алда канча арзан турат.
Эмне үчүн магистралдык провайдер жүздөгөн Гбиттик чабуулдарды токтото албайт, анткени анын өз каналдары жок?Коргоо оператору каалаган негизги провайдерлерге туташып, чабуулдарды "өз эсебинен" кайтара алат. Канал үчүн төлөшүңүз керек болот, бирок бул жүздөгөн Гбиттин баары дайыма эле колдонула бербейт, бул учурда каналдардын баасын бир топ төмөндөтүүчү варианттар бар, ошондуктан схема иштей берет.
Булар мен хостинг провайдеринин тутумдарын колдоп, жогорку деңгээлдеги L3/L4 коргоосунан дайыма алып турган отчеттор.
L7 деңгээлинде коргоо (колдонмо деңгээли)
L7 деңгээлиндеги кол салуулар (колдонмо деңгээли) бирдиктерди ырааттуу жана натыйжалуу кайтарууга жөндөмдүү.
Менде чыныгы тажрыйба көп
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Касперский.
Алар таза трафиктин ар бир мегабити үчүн акы алышат, бир мегабит бир нече миң рублга жакын турат. Эгер сизде жок дегенде 100 Мбит / с таза трафик болсо - оо. Коргоо абдан кымбат болот. Мен сизге кийинки макалаларда коопсуздук каналдарынын кубаттуулугун үнөмдөө үчүн тиркемелерди кантип иштеп чыгуу керектигин айта алам.
Чыныгы "дөбөнүн падышасы" - Qrator.net, калгандары алардан артта калышат. Qrator азырынча менин тажрыйбамда нөлгө жакын жалган позитивдердин пайызын берген жалгыз адамдар, бирок ошол эле учурда алар рыноктун башка оюнчуларына караганда бир нече эсе кымбат.
Башка операторлор да жогорку сапаттагы жана туруктуу коргоону камсыз кылат. Биз колдогон көптөгөн кызматтар (анын ичинде өлкөдө абдан белгилүү!) DDoS-Guard, G-Core Labs тарабынан корголгон жана алынган натыйжаларга абдан ыраазы.
Кол салуулар Qrator тарабынан кайтарылды
Мен ошондой эле Cloud-shield.ru, ddosa.net сыяктуу кичинекей коопсуздук операторлору менен тажрыйбам бар, алардын миңдегени. Мен аны сөзсүз сунуш кылбайм, анткени ... Менде көп тажрыйба жок, бирок мен алардын ишинин принциптери жөнүндө айтып берем. Алардын коргоо баасы көбүнчө негизги оюнчуларга караганда 1-2 эсеге төмөн. Эреже катары, алар чоңураак оюнчулардын биринен жарым-жартылай коргоо кызматын (L3/L4) сатып алышат + жогорку деңгээлдеги чабуулдардан коргонууну өздөрү аткарышат. Бул абдан натыйжалуу болушу мүмкүн + сиз азыраак акчага жакшы кызматты ала аласыз, бирок булар дагы эле кичинекей кызматкерлери бар чакан компаниялар, муну эстен чыгарбаңыз.
L7 деңгээлинде чабуулдарды кайтаруунун кыйынчылыгы кандай?
Бардык тиркемелер уникалдуу жана алар үчүн пайдалуу трафикке уруксат берип, зыяндууларын бөгөттөшүңүз керек. Ботторду жок кылуу дайыма эле мүмкүн боло бербейт, андыктан сиз трафикти тазалоонун көп, чынында КӨП даражасын колдонушуңуз керек.
Бир жолу nginx-testcookie модулу жетиштүү болчу (), жана дагы эле көп сандагы чабуулдарды кайтаруу үчүн жетиштүү. Мен хостинг тармагында иштегенде, L7 коргоо nginx-testcookie'ге негизделген.
Тилекке каршы, чабуулдар кыйындап калды. testcookie JS негизиндеги бот текшерүүлөрүн колдонот жана көптөгөн заманбап боттор аларды ийгиликтүү өткөрө алышат.
Чабуул ботнеттери да уникалдуу болуп саналат жана ар бир чоң ботнеттин өзгөчөлүктөрүн эске алуу керек.
Күчөтүү, ботнеттен түз суу каптоо, ар кайсы өлкөлөрдөн келген трафикти чыпкалоо (ар кандай өлкөлөр үчүн ар кандай чыпкалоо), SYN/ACK суу каптоо, пакеттик фрагментация, ICMP, http суу каптоо, ал эми тиркеме/http деңгээлинде чексиз санды таба аласыз. ар кандай чабуулдар.
Бардыгы болуп каналды коргоо деңгээлинде, трафикти тазалоо үчүн атайын жабдуулар, атайын программалык камсыздоо, ар бир кардар үчүн кошумча чыпкалоо орнотуулары ондогон жана жүздөгөн чыпкалоо деңгээли болушу мүмкүн.
Муну туура башкаруу жана ар кандай колдонуучулар үчүн чыпкалоо жөндөөлөрүн туура тууралоо үчүн сизге көп тажрыйба жана квалификациялуу кызматкерлер керек. Коргоо кызматтарын көрсөтүүнү чечкен ири оператор да "көйгөйгө акчаны келесоолук менен ыргыта албайт": тажрыйбаны калп сайттардан жана мыйзамдуу трафик боюнча жалган позитивтерден алуу керек.
Коопсуздук оператору үчүн "DDoS-ти кайтаруу" баскычы жок, көптөгөн куралдар бар жана сиз аларды кантип колдонууну билишиңиз керек.
Жана дагы бир бонустук мисал.
Корголбогон сервер 600 Мбит сыйымдуулуктагы чабуул учурунда хосттер тарабынан блоктолгон
(«Трафиктин жоголушу» байкалбайт, анткени 1 гана сайтка чабуул жасалган, ал серверден убактылуу алынып салынган жана бир сааттын ичинде блокировка алынган).
Ошол эле сервер корголгон. Кол салгандар бир суткадан кийин мизин кайтарган чабуулдардан кийин "багынышты". Кол салуунун өзү эң күчтүү болгон эмес.
L3/L4 чабуулу жана коргонуусу анча маанилүү эмес; алар негизинен каналдардын калыңдыгынан, чабуулдарды аныктоо жана чыпкалоо алгоритмдеринен көз каранды.
L7 чабуулдары кыйла татаал жана оригиналдуу болуп саналат; алар чабуулга алынган колдонмого, чабуулчулардын мүмкүнчүлүктөрүнө жана фантазиясына жараша болот. Алардан коргоо көп билимди жана тажрыйбаны талап кылат, натыйжасы дароо эмес жана жүз пайыз эмес. Google коргоо үчүн башка нейрон тармагын ойлоп тапканга чейин.
Source: www.habr.com