"Deen Typ deen eis Websäit gemaach huet huet schonn den DDoS Schutz opgestallt."
"Mir hunn DDoS Schutz, firwat ass de Site erofgaang?"
"Wéi vill Dausende wëll de Qrator?"
Fir esou Froen vum Client/Chef richteg ze beäntweren, wier et flott ze wëssen, wat sech hannert dem Numm "DDoS Protection" verstoppt. Sécherheetsservicer auswielen ass méi wéi d'Auswiel vun engem Medikament vun engem Dokter wéi en Dësch bei IKEA ze wielen.
Ech hunn Websäite fir 11 Joer ënnerstëtzen, hunn Honnerte vun Attacken op d'Servicer iwwerlieft, déi ech ënnerstëtzen, an elo wäert ech Iech e bëssen iwwer d'Bannenaarbecht vum Schutz soen.
Regelméisseg Attacken. 350k req Ganzen, 52k req legitim
Déi éischt Attacke koumen bal gläichzäiteg mam Internet op. DDoS als Phänomen ass verbreet ginn zënter de spéiden 2000er (kuckt eraus ).
Zënter ongeféier 2015-2016 sinn bal all Hosting Ubidder vu DDoS Attacke geschützt, sou wéi déi meeschte prominente Site a kompetitiv Beräicher (maacht whois vun IP vun de Siten eldorado.ru, leroymerlin.ru, tilda.ws, Dir wäert d'Netzwierker gesinn vu Schutzbetreiber).
Wann virun 10-20 Joer déi meescht Attacke konnten op de Server selwer ofgeleent ginn (bewäert d'Empfehlungen vum Lenta.ru Systemadministrator Maxim Moshkov aus den 90er: ), awer elo sinn Schutzaufgaben méi schwéier ginn.
Aarte vun DDoS Attacken aus der Siicht vun der Wiel vun engem Schutzoperateur
Attacken op L3/L4 Niveau (no OSI Modell)
- UDP Iwwerschwemmung vun engem Botnet (vill Ufroe ginn direkt vun infizéierte Geräter op den attackéierten Service geschéckt, d'Servere si mam Kanal blockéiert);
- DNS/NTP/etc Verstäerkung (vill Ufroe gi vun infizéierten Apparater op vulnérabel DNS/NTP/etc geschéckt, d'Adress vum Sender ass gefälscht, eng Wollek vu Paketen, déi op Ufroe reagéieren, iwwerschwemmt de Kanal vun der ugegraff Persoun; dat ass wéi déi meescht massiv Attacke ginn um modernen Internet duerchgefouert);
- SYN / ACK Iwwerschwemmung (vill Ufroe fir eng Verbindung opzebauen ginn un déi attackéiert Server geschéckt, d'Verbindungsschlaang iwwerfléisst);
- Attacke mat Paketfragmentéierung, Ping vum Doud, Ping Iwwerschwemmung (Google et w.e.g.);
- a sou weider.
Dës Attacke zielen fir de Kanal vum Server ze "verstoppen" oder seng Fäegkeet fir nei Traffic ze akzeptéieren.
Och wann SYN / ACK Iwwerschwemmungen an Verstäerkung ganz ënnerschiddlech sinn, bekämpfen vill Firmen se gläich gutt. Probleemer entstinn mat Attacke vun der nächster Grupp.
Attacken op L7 (Applikatioun Layer)
- http Iwwerschwemmung (wann eng Websäit oder e puer http API attackéiert gëtt);
- en Attack op vulnérabel Beräicher vum Site (déi, déi keen Cache hunn, déi de Site ganz schwéier gelueden, etc.).
D'Zil ass de Server ze maachen "haart ze schaffen", vill "anscheinend richteg Ufroen" ze veraarbechten an ouni Ressourcen fir richteg Ufroen ze bleiwen.
Och wann et aner Attacke gëtt, sinn dës am meeschte verbreet.
Seriéis Attacke um Niveau L7 ginn op eng eenzegaarteg Manéier fir all Projet ugegraff.
Firwat 2 Gruppen?
Well et gi vill déi wëssen wéi Attacke gutt um Niveau L3 / L4 ofwiermen, awer entweder iwwerhaapt kee Schutz um Uwendungsniveau (L7) ophuelen, oder nach ëmmer méi schwaach sinn wéi Alternativen am Ëmgang mat hinnen.
Wien ass wien um DDoS Schutzmaart
(meng perséinlech Meenung)
Schutz um Niveau L3/L4
Fir Attacke mat Verstäerkung ze repetéieren ("Blockéierung" vum Serverkanal) ginn et genuch breet Kanäl (vill vun de Schutzservicer verbannen mat de meeschte grousse Backbone-Ubidder a Russland an hunn Kanäl mat enger theoretesch Kapazitéit vu méi wéi 1 Tbit). Vergiesst net datt ganz rar Verstäerkungsattacke méi laang wéi eng Stonn daueren. Wann Dir Spamhaus sidd a jidderee dech net gär huet, jo, si kënne probéieren Är Kanäl fir e puer Deeg auszeschalten, och am Risiko fir weider Iwwerliewe vum globalen Botnet ze benotzen. Wann Dir just en online Buttek hunn, och wann et mvideo.ru ass, Dir wäert net gesinn 1 Tbit bannent e puer Deeg ganz geschwënn (ech hoffen).
Fir Attacke mat SYN / ACK Iwwerschwemmungen, Paketfragmentatioun, etc.
Vill Leit produzéieren esou Ausrüstung (Arbor, et gi Léisunge vu Cisco, Huawei, Software-Implementatiounen vu Wanguard, asw.), vill Backbonebetreiber hunn et schonn installéiert a verkafen DDoS Schutzservicer (ech weess iwwer Installatiounen vu Rostelecom, Megafon, TTK, MTS , Tatsächlech, all gréisser Ubidder maachen déi selwecht mat Hoster mat hiren eegene Schutz a-la OVH.com, Hetzner.de, Ech selwer begéint Schutz op ihor.ru). E puer Firmen entwéckelen hir eege Softwareléisungen (Technologien wéi DPDK erlaben Iech Zénger vu Gigabit Traffic op enger kierperlecher x86 Maschinn ze veraarbecht).
Vun de bekannte Spiller kann jidderee méi oder manner effektiv géint L3/L4 DDoS kämpfen. Elo wäert ech net soen wien déi méi grouss maximal Kanalkapazitéit huet (dëst ass Insiderinformatioun), awer normalerweis ass dëst net sou wichteg, an deen eenzegen Ënnerscheed ass wéi séier de Schutz ausgeléist gëtt (direkt oder no e puer Minutte vum Projet Ausbroch, wéi an Hetzner).
D'Fro ass wéi gutt dat gemaach gëtt: en Verstäerkungsattack kann ofgestouss ginn andeems de Traffic aus Länner mat de gréisste Betrag u schiedleche Verkéier blockéiert, oder nëmme wierklech onnéideg Verkéier ka verworf ginn.
Awer gläichzäiteg, baséiert op menger Erfahrung, këmmeren all seriöse Maartspiller dëst ouni Probleemer: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (fréier SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Ech hu kee Schutz vu Betreiber wéi Rostelecom, Megafon, TTK, Beeline begéint; no Bewäertunge vu Kollegen, si bidden dës Servicer ganz gutt, awer bis elo ass de Mangel un Erfahrung periodesch beaflosst: heiansdo musst Dir eppes duerch d'Ënnerstëtzung tweaken vum Schutzbetreiber.
E puer Betreiber hunn e separaten Service "Schutz géint Attacken um L3 / L4 Niveau", oder "Kanalschutz"; et kascht vill manner wéi de Schutz op allen Niveauen.
Firwat repelléiert de Backbone-Provider Attacke vun Honnerte vu Gbits net, well et keng eege Kanäl huet?De Schutzbetreiber kann mat engem vun de grousse Provider verbannen an Attacken "op seng Käschte" ofsetzen. Dir musst fir de Kanal bezuelen, awer all dës Honnerte vu Gbits ginn net ëmmer benotzt; et gi Méiglechkeeten fir d'Käschte vun de Kanäl an dësem Fall wesentlech ze reduzéieren, sou datt de Schema funktionnéiert bleift.
Dëst sinn d'Rapporte, déi ech regelméisseg vum méi héije L3 / L4-Schutz kritt hunn, wärend d'Systemer vum Hosting Provider ënnerstëtzen.
Schutz um Niveau L7 (Uwendungsniveau)
Attacke um Niveau L7 (Applikatiounsniveau) kënnen d'Eenheeten konsequent an effizient repetéieren.
Ech hu ganz vill vun real Erfahrung mat
- Qrator.net;
- DDoS-Guard;
- G-Core Laboe;
- Kaspersky.
Si bezuelen fir all Megabit pure Verkéier, e Megabit kascht ongeféier e puer dausend Rubel. Wann Dir op d'mannst 100 Mbps vu pure Verkéier hutt - oh. Schutz wäert ganz deier ginn. Ech kann Iech an den folgenden Artikelen soen wéi Dir Uwendungen designt fir vill op d'Kapazitéit vu Sécherheetskanäl ze spueren.
De richtege "Kinnek vum Hiwwel" ass Qrator.net, de Rescht lag hannert hinnen. Qrator sinn sou wäit déi eenzeg a menger Erfahrung, déi e Prozentsaz vu falschen Positiven no bei Null ginn, awer gläichzäiteg sinn se e puer Mol méi deier wéi aner Maartspiller.
Aner Betreiber bidden och qualitativ héichwäerteg a stabile Schutz. Vill Servicer, déi vun eis ënnerstëtzt ginn (och ganz gutt-bekannt am Land!) Si geschützt vun DDoS-Guard, G-Core Labs, a si ganz zefridden mat de Resultater kritt.
Attacke repelléiert vum Qrator
Ech hunn och Erfahrung mat klenge Sécherheetsbetreiber wéi Cloud-shield.ru, ddosa.net, Dausende vun hinnen. Ech wäert et definitiv net recommandéieren, well ... Ech hunn net vill Erfahrung, mee ech soen Iech iwwer d'Prinzipien vun hirer Aarbecht. Hir Käschte vum Schutz sinn dacks 1-2 Uerderen vun der Gréisst manner wéi déi vu grousse Spiller. Als Regel, kafen se eng partiell Schutz Service (L3 / L4) vun engem vun de gréissere Spiller + maachen hiren eegene Schutz géint Attacken op méi héich Niveauen. Dëst kann zimmlech effektiv sinn + Dir kënnt e gudde Service fir manner Sue kréien, awer dëst sinn nach ëmmer kleng Firmen mat engem klenge Personal, behalen dat am Kapp.
Wat ass d'Schwieregkeet fir Attacken um L7 Niveau ze repelléieren?
All Uwendungen sinn eenzegaarteg, an Dir musst Traffic erlaben, datt fir si nëtzlech ass a blockéieren schiedlech. Et ass net ëmmer méiglech Bots eendeiteg erauszekréien, also musst Dir vill, wierklech MÉI Grad vu Verkéierreinigung benotzen.
Eemol war den nginx-testcookie Modul genuch (), an et ass nach ëmmer genuch fir eng grouss Zuel vun Attacken ofzewieren. Wann ech an der Hostingindustrie geschafft hunn, war L7 Schutz baséiert op nginx-testcookie.
Leider sinn Attacke méi schwéier ginn. testcookie benotzt JS-baséiert Bot Kontrollen, a vill modern Bots kënnen se erfollegräich passéieren.
Attack Botnets sinn och eenzegaarteg, an d'Charakteristike vun all grousse Botnet musse berücksichtegt ginn.
Amplifikatioun, direkt Iwwerschwemmung vun engem Botnet, Filteren vum Traffic aus verschiddene Länner (verschidde Filteren fir verschidde Länner), SYN / ACK Iwwerschwemmung, Paketfragmentatioun, ICMP, http Iwwerschwemmung, wärend op der Applikatioun / http Niveau kënnt Dir mat enger onlimitéierter Unzuel vun verschidden Attacken.
Am Ganzen, um Niveau vum Kanalschutz, spezialiséiert Ausrüstung fir de Verkéier ze läschen, speziell Software, zousätzlech Filterastellunge fir all Client kënnen Zénger an Honnerte vu Filterniveauen sinn.
Fir dëst richteg ze verwalten an d'Filterinstellunge fir verschidde Benotzer korrekt ofzestëmmen, brauch Dir vill Erfahrung a qualifizéiert Personal. Och e grousse Bedreiwer, deen decidéiert huet Schutzservicer ze bidden, kann net "domm Suen op de Problem werfen": Erfarung musse vu Ligenplazen a falschen Positiven op de legitimen Traffic gewonnen ginn.
Et gëtt kee "Repel DDoS" Knäppchen fir de Sécherheetsbedreiwer; et gëtt eng grouss Zuel vun Tools, an Dir musst wëssen, wéi se se benotzen.
An ee méi Bonus Beispill.
En ongeschützte Server gouf vum Hoster während engem Attack mat enger Kapazitéit vu 600 Mbit blockéiert
("De Verloscht" vum Traffic ass net merkbar, well nëmmen 1 Site attackéiert gouf, et gouf temporär vum Server geläscht an d'Blockéierung gouf bannent enger Stonn opgehuewen).
Dee selwechte Server ass geschützt. D'Ugräifer hunn sech no engem Dag vun ofgeroden Attacken "erginn". D'Attack selwer war net de stäerkste.
Attack a Verteidegung vu L3 / L4 si méi trivial; si hänken haaptsächlech vun der Dicke vun de Kanäl, Detektioun a Filteralgorithmen fir Attacken of.
L7 Attacke si méi komplex an originell; si ofhängeg vun der Applikatioun déi attackéiert gëtt, d'Fäegkeeten an d'Imaginatioun vun den Ugräifer. Schutz géint si erfuerdert vill Wëssen an Erfahrung, an d'Resultat kann net direkt sinn an net honnert Prozent. Bis Google mat engem aneren neurale Netzwierk fir de Schutz koum.
Source: will.com