„Vaikinas, sukūręs mūsų svetainę, jau nustatė DDoS apsaugą.
„Mes turime DDoS apsaugą, kodėl svetainė sugedo?
"Kiek tūkstančių nori Qrator?"
Norint tinkamai atsakyti į tokius kliento/šefo klausimus, būtų malonu sužinoti, kas slepiasi po pavadinimu „DDoS protection“. Apsaugos paslaugų pasirinkimas yra labiau panašus į vaistų pasirinkimą iš gydytojo, o ne stalo pasirinkimą IKEA.
Aš palaikau svetaines 11 metų, išgyvenau šimtus atakų prieš mano palaikomas paslaugas, o dabar šiek tiek papasakosiu apie vidinį apsaugos veikimą.
Reguliarūs išpuoliai. Iš viso 350 52 reikalingų, XNUMX XNUMX teisėtų
Pirmosios atakos pasirodė beveik kartu su internetu. DDoS kaip reiškinys tapo plačiai paplitęs nuo 2000-ųjų pabaigos (žr ).
Nuo maždaug 2015–2016 m. beveik visi prieglobos paslaugų teikėjai buvo apsaugoti nuo DDoS atakų, kaip ir žinomiausios svetainės konkurencinėse srityse (padarykite whois pagal svetainių eldorado.ru, leroymerlin.ru, tilda.ws IP, matysite tinklus apsaugos operatorių).
Jei prieš 10-20 metų daugumą atakų buvo galima atremti pačiame serveryje (įvertinkite Lenta.ru sistemos administratoriaus Maksimo Moshkovo rekomendacijas nuo 90-ųjų: ), tačiau dabar apsaugos užduotys tapo sunkesnės.
DDoS atakų tipai apsaugos operatoriaus pasirinkimo požiūriu
Atakos L3/L4 lygiu (pagal OSI modelį)
— UDP potvynis iš botneto (daug užklausų siunčiama tiesiai iš užkrėstų įrenginių į užpultą paslaugą, serveriai blokuojami kanalu);
— DNS/NTP/etc sustiprinimas (daug užklausų siunčiama iš užkrėstų įrenginių į pažeidžiamą DNS/NTP/etc, siuntėjo adresas yra suklastotas, paketų debesis, atsakantis į užklausas, užlieja atakuojamo asmens kanalą; taip dažniausiai masinės atakos vykdomos šiuolaikiniame internete);
— SYN / ACK potvynis (į užpultus serverius siunčiama daug užklausų užmegzti ryšį, persipildo ryšio eilė);
— atakos su paketų suskaidymu, mirties ping, ping potvynis (Google, prašau);
- ir taip toliau.
Šiomis atakomis siekiama „užkimšti“ serverio kanalą arba „nužudyti“ jo gebėjimą priimti naują srautą.
Nors SYN/ACK užtvindymas ir stiprinimas labai skiriasi, daugelis kompanijų su jais kovoja vienodai gerai. Problemų kyla dėl kitos grupės atakų.
Atakos prieš L7 (aplikacinis sluoksnis)
— http potvynis (jei užpuolama svetainė arba kokia nors http API);
— ataka prieš pažeidžiamas svetainės sritis (tas, kurios neturi talpyklos, kurios labai apkrauna svetainę ir pan.).
Tikslas – priversti serverį „sunkiai dirbti“, apdoroti daug „iš pažiūros tikrų užklausų“ ir likti be resursų realioms užklausoms.
Nors yra ir kitų priepuolių, jie yra labiausiai paplitę.
Rimtos atakos L7 lygiu sukuriamos unikaliu būdu kiekvienam atakuojamam projektui.
Kodėl 2 grupės?
Nes yra daug tokių, kurie moka gerai atremti atakas L3 / L4 lygiu, bet arba visai nesiima apsaugos aplikacijos lygiu (L7), arba vis tiek yra silpnesni už alternatyvas su jomis susidoroti.
Kas yra kas DDoS apsaugos rinkoje
(mano asmeninė nuomonė)
Apsauga L3/L4 lygiu
Norint atremti atakas su stiprinimu (serverio kanalo „blokavimu“), yra pakankamai plačių kanalų (daugelis apsaugos tarnybų prisijungia prie daugumos didžiųjų Rusijos magistralinių tiekėjų ir turi kanalus, kurių teorinė talpa didesnė nei 1 Tbit). Nepamirškite, kad labai reti stiprinimo priepuoliai trunka ilgiau nei valandą. Jei esate „Spamhaus“ ir jūs nemėgstate visiems, taip, jie gali pabandyti kelioms dienoms uždaryti jūsų kanalus, net jei kyla pavojus, kad naudojamas pasaulinis robotų tinklas toliau išliks. Jei ką tik turite internetinę parduotuvę, net jei tai mvideo.ru, 1 Tbit per kelias dienas labai greitai nepamatysi (tikiuosi).
Norėdami atremti atakas su SYN/ACK užtvindymu, paketų suskaidymu ir pan., jums reikia įrangos arba programinės įrangos sistemų, kurios aptiktų ir sustabdytų tokias atakas.
Daugelis žmonių gamina tokią įrangą (Arbor, yra Cisco, Huawei sprendimai, Wanguard programinės įrangos diegimai ir kt.), daugelis magistralinių operatorių jau yra įdiegę ir parduoda DDoS apsaugos paslaugas (žinau apie instaliacijas iš Rostelecom, Megafon, TTK, MTS Tiesą sakant, visi pagrindiniai paslaugų teikėjai tą patį daro su prieglobos serveriais su savo apsauga a-la OVH.com, Hetzner.de, aš pats susidūriau su apsauga adresu ihor.ru). Kai kurios įmonės kuria savo programinės įrangos sprendimus (tokios technologijos kaip DPDK leidžia apdoroti dešimtis gigabitų srauto viename fiziniame x86 įrenginyje).
Iš gerai žinomų žaidėjų visi gali daugiau ar mažiau efektyviai kovoti su L3/L4 DDoS. Dabar nesakysiu, kas turi didesnę maksimalią kanalo talpą (tai yra viešai neatskleista informacija), bet dažniausiai tai nėra taip svarbu, o skiriasi tik kaip greitai suveikia apsauga (akimirksniu ar po kelių minučių projekto prastovos, kaip Hetzner).
Kyla klausimas, kaip gerai tai daroma: sustiprinimo ataką galima atremti blokuojant srautą iš šalių, kuriose yra didžiausias žalingo srauto kiekis, arba atmesti tik tikrai nereikalingą srautą.
Tačiau tuo pat metu, remiantis mano patirtimi, visi rimti rinkos žaidėjai su tuo susidoroja be problemų: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (anksčiau SkyParkCDN), ServicePipe, Stormwall, Voxility ir kt.
Aš nesu susidūręs su apsauga iš operatorių, tokių kaip Rostelecom, Megafon, TTK, Beeline; pagal kolegų atsiliepimus jie šias paslaugas teikia gana gerai, tačiau iki šiol periodiškai nukenčia patirties trūkumas: kartais reikia ką nors pakoreguoti per palaikymą. apsaugos operatoriaus.
Kai kurie operatoriai turi atskirą paslaugą „apsauga nuo atakų L3/L4 lygiu“ arba „kanalo apsauga“; tai kainuoja daug pigiau nei apsauga visais lygiais.
Kodėl šimtų Gbitų atakas atmuša ne pagrindinis tiekėjas, nes jis neturi savo kanalų?Apsaugos operatorius gali prisijungti prie bet kurio iš pagrindinių tiekėjų ir atremti atakas „savo sąskaita“. Turėsite mokėti už kanalą, tačiau visi šie šimtai Gbitų ne visada bus panaudoti; šiuo atveju yra galimybių žymiai sumažinti kanalų kainą, todėl schema išlieka veiksminga.
Tai yra ataskaitos, kurias reguliariai gaudavau iš aukštesnio lygio L3 / L4 apsaugos, palaikydamas prieglobos teikėjo sistemas.
Apsauga L7 lygiu (taikymo lygiu)
Atakos L7 lygiu (aplikacijos lygiu) sugeba nuosekliai ir efektyviai atremti vienetus.
Turiu nemažai realios patirties
- Qrator.net;
- DDoS apsauga;
- G-Core Labs;
– Kasperskis.
Jie ima mokestį už kiekvieną gryno srauto megabitą, megabitas kainuoja apie kelis tūkstančius rublių. Jei turite bent 100 Mbps gryno srauto – oh. Apsauga bus labai brangi. Tolesniuose straipsniuose galiu pasakyti, kaip kurti programas, kad būtų sutaupyta daug saugos kanalų talpos.
Tikrasis „kalno karalius“ yra Qrator.net, likusieji atsilieka nuo jų. „Qrator“ kol kas vieninteliai iš mano patirties pateikia klaidingų teigiamų rezultatų procentą artimą nuliui, tačiau tuo pačiu yra kelis kartus brangesni nei kiti rinkos žaidėjai.
Kiti operatoriai taip pat užtikrina kokybišką ir stabilią apsaugą. Daugelis mūsų palaikomų paslaugų (tarp jų ir labai gerai žinomų šalyje!) yra apsaugotos nuo DDoS-Guard, G-Core Labs ir yra gana patenkintos gautais rezultatais.
Atakas atremtas Qrator
Taip pat turiu patirties su mažais apsaugos operatoriais, tokiais kaip cloud-shield.ru, ddosa.net, tūkstančiai jų. Tikrai nerekomenduosiu, nes... Patirties neturiu daug, bet papasakosiu apie jų darbo principus. Jų apsaugos kaina dažnai yra 1–2 eilėmis mažesnė nei pagrindinių žaidėjų. Paprastai jie perka dalinės apsaugos paslaugą (L3/L4) iš vieno iš didesnių žaidėjų + patys apsisaugo nuo atakų aukštesniuose lygiuose. Tai gali būti gana efektyvu + jūs galite gauti gerą aptarnavimą už mažesnius pinigus, tačiau tai vis tiek yra mažos įmonės, kuriose dirba nedidelis darbuotojų skaičius, atminkite tai.
Koks yra sunkumas atremti atakas L7 lygiu?
Visos programos yra unikalios, todėl reikia leisti joms naudingą srautą ir blokuoti kenksmingas. Ne visada įmanoma vienareikšmiškai išnaikinti robotus, todėl jūs turite naudoti daug, tikrai DAUG eismo valymo laipsnių.
Kadaise pakako nginx-testcookie modulio (), ir to vis tiek pakanka, kad atremtų daugybę atakų. Kai dirbau prieglobos pramonėje, L7 apsauga buvo pagrįsta nginx-testcookie.
Deja, atakos tapo sunkesnės. „testcookie“ naudoja JS pagrįstus robotų patikrinimus, ir daugelis šiuolaikinių robotų gali juos sėkmingai išlaikyti.
Atakos robotų tinklai taip pat yra unikalūs, todėl reikia atsižvelgti į kiekvieno didelio botneto ypatybes.
Stiprinimas, tiesioginis užtvindymas iš botneto, srauto iš skirtingų šalių filtravimas (skirtingas filtravimas skirtingose šalyse), SYN/ACK užtvindymas, paketų suskaidymas, ICMP, http užtvindymas, o programos/http lygiu galite sugalvoti neribotą skaičių įvairių išpuolių.
Iš viso kanalo apsaugos, specializuotos srauto valymo įrangos, specialios programinės įrangos, papildomų filtravimo nustatymų kiekvienam klientui lygiu gali būti dešimtys ir šimtai filtravimo lygių.
Norint tinkamai tai valdyti ir tinkamai sureguliuoti filtravimo nustatymus skirtingiems vartotojams, reikia daug patirties ir kvalifikuoto personalo. Net stambus operatorius, nusprendęs teikti apsaugos paslaugas, negali „kvailai išmesti pinigų į problemą“: teks pasisemti patirties iš melagingų svetainių ir klaidingų teigiamų duomenų apie teisėtą srautą.
Apsaugos operatoriui nėra mygtuko „atstumti DDoS“, yra daugybė įrankių, ir jūs turite žinoti, kaip juos naudoti.
Ir dar vienas premijos pavyzdys.
600 Mbit atakos metu prieglobos serveris užblokavo neapsaugotą serverį
(Srauto „praradimas“ nepastebimas, nes buvo užpulta tik 1 svetainė, ji laikinai pašalinta iš serverio ir blokavimas panaikintas per valandą).
Tas pats serveris yra apsaugotas. Užpuolikai „pasidavė“ po dienos atremtų išpuolių. Pats puolimas nebuvo pats stipriausias.
L3/L4 puolimas ir gynyba yra labiau nereikšmingi, jie daugiausia priklauso nuo kanalų storio, atakų aptikimo ir filtravimo algoritmų.
L7 atakos yra sudėtingesnės ir originalesnės; jos priklauso nuo atakuojamos programos, užpuolikų galimybių ir vaizduotės. Apsaugai nuo jų reikia daug žinių ir patirties, o rezultatas gali būti ne iš karto ir ne šimtaprocentinis. Kol Google nesugalvojo kito neuroninio tinklo apsaugai.
Šaltinis: www.habr.com