Kas ir kas un kurš ir kurš DDoS aizsardzības tirgū

"Puisis, kurš izveidoja mūsu vietni, jau ir iestatījis DDoS aizsardzību."
"Mums ir DDoS aizsardzība, kāpēc vietne pazuda?"
"Cik tūkstošus Qrator vēlas?"

Lai pareizi atbildētu uz šādiem klienta/priekšnieka jautājumiem, būtu jauki uzzināt, kas slēpjas aiz nosaukuma “DDoS aizsardzība”. Apsardzes pakalpojumu izvēle ir vairāk kā zāļu izvēle no ārsta, nevis galda izvēle IKEA.

Esmu atbalstījis vietnes 11 gadus, esmu pārdzīvojis simtiem uzbrukumu manis atbalstītajiem pakalpojumiem, un tagad es jums pastāstīšu nedaudz par aizsardzības iekšējo darbību.

Regulāri uzbrukumi. Kopā 350 52 req, XNUMX XNUMX likumīgi

Pirmie uzbrukumi parādījās gandrīz vienlaikus ar internetu. DDoS kā parādība ir kļuvusi plaši izplatīta kopš 2000. gadu beigām (skatiet www.cloudflare.com/learning/ddos/famous-ddos-attacks).
Aptuveni kopš 2015.–2016. gada gandrīz visi mitināšanas pakalpojumu sniedzēji ir aizsargāti pret DDoS uzbrukumiem, tāpat kā ievērojamākās vietnes konkurences apgabalos (do whois pēc vietņu eldorado.ru, leroymerlin.ru, tilda.ws IP — jūs redzēsit tīklus aizsardzības operatoriem).

Ja pirms 10-20 gadiem lielāko daļu uzbrukumu varēja atvairīt pašam serverim (izvērtējiet Lenta.ru sistēmas administratora Maksima Moškova ieteikumus no 90. gadiem: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), taču tagad aizsardzības uzdevumi kļuvuši grūtāki.

DDoS uzbrukumu veidi no aizsardzības operatora izvēles viedokļa

Uzbrukumi L3/L4 līmenī (saskaņā ar OSI modeli)

— UDP plūdi no robottīkla (daudzi pieprasījumi tiek nosūtīti tieši no inficētajām ierīcēm uz uzbrukuma dienestu, serveri tiek bloķēti ar kanālu);
— DNS/NTP/utt pastiprināšana (no inficētām ierīcēm tiek sūtīti daudzi pieprasījumi uz ievainojamu DNS/NTP/etc, sūtītāja adrese ir viltota, pakešu mākonis, kas atbild uz pieprasījumiem, pārpludina uzbrūkošās personas kanālu; šādi tiek veikti masīvi uzbrukumi mūsdienu internetam);
— SYN / ACK plūdi (uzbrūkošajiem serveriem tiek nosūtīti daudzi pieprasījumi izveidot savienojumu, savienojuma rinda pārplūst);
— uzbrukumi ar pakešu sadrumstalotību, nāves ping, ping flood (Google, lūdzu);
- un tā tālāk.

Šo uzbrukumu mērķis ir “aizsprostot” servera kanālu vai “nogalināt” tā spēju pieņemt jaunu trafiku.
Lai gan SYN/ACK plūdi un pastiprināšana ir ļoti atšķirīgi, daudzi uzņēmumi ar tiem cīnās vienlīdz labi. Problēmas rodas ar nākamās grupas uzbrukumiem.

Uzbrukumi L7 (lietojumprogrammas slānim)

— http plūdi (ja tiek uzbrukts vietnei vai kādai http api);
— uzbrukums vietnes neaizsargātajām zonām (tām, kurām nav kešatmiņas, kuras ļoti smagi noslogo vietni utt.).

Mērķis ir likt serverim "cītīgi strādāt", apstrādāt daudz "šķietami reālu pieprasījumu" un palikt bez resursiem reāliem pieprasījumiem.

Lai gan ir arī citi uzbrukumi, tie ir visizplatītākie.

Nopietni uzbrukumi L7 līmenī tiek izveidoti unikālā veidā katram projektam, kuram tiek uzbrukts.

Kāpēc 2 grupas?
Jo ir daudzi, kas labi prot atvairīt uzbrukumus L3/L4 līmenī, bet vai nu nemaz neaizņem aizsardzību aplikācijas līmenī (L7), vai tomēr ir vājāki par alternatīvām cīņā ar tiem.

Kurš ir kurš DDoS aizsardzības tirgū

(mans personīgais viedoklis)

Aizsardzība L3/L4 līmenī

Lai atvairītu uzbrukumus ar pastiprinājumu (servera kanāla “bloķēšanu”), ir pietiekami plaši kanāli (daudzi aizsardzības pakalpojumi pieslēdzas lielākajai daļai Krievijas lielo mugurkaula pakalpojumu sniedzēju un tiem ir kanāli ar teorētisko jaudu virs 1 Tbit). Neaizmirstiet, ka ļoti reti pastiprināšanas uzbrukumi ilgst vairāk nekā stundu. Ja esat Spamhaus un jūs visiem nepatīkat, jā, viņi var mēģināt slēgt jūsu kanālus uz vairākām dienām, pat riskējot ar globālā robottīkla turpmāku izdzīvošanu. Ja jums vienkārši ir tiešsaistes veikals, pat ja tas ir mvideo.ru, dažu dienu laikā jūs neredzēsit 1 Tbit ļoti drīz (es ceru).

Lai atvairītu uzbrukumus ar SYN/ACK plūdiem, pakešu sadrumstalotību utt., jums ir nepieciešams aprīkojums vai programmatūras sistēmas šādu uzbrukumu noteikšanai un bloķēšanai.
Daudzi cilvēki ražo šādu aprīkojumu (Arbor, ir risinājumi no Cisco, Huawei, programmatūras ieviešanas no Wanguard utt.), daudzi mugurkaula operatori to jau ir uzstādījuši un pārdod DDoS aizsardzības pakalpojumus (es zinu par instalācijām no Rostelecom, Megafon, TTK, MTS , patiesībā visi lielākie pakalpojumu sniedzēji dara to pašu ar mitinātājiem ar savu aizsardzību a-la OVH.com, Hetzner.de, es pats saskāros ar aizsardzību vietnē ihor.ru). Daži uzņēmumi izstrādā savus programmatūras risinājumus (tādas tehnoloģijas kā DPDK ļauj apstrādāt desmitiem gigabitu trafika vienā fiziskā x86 iekārtā).

No labi zināmajiem spēlētājiem ikviens var vairāk vai mazāk efektīvi cīnīties ar L3/L4 DDoS. Tagad es neteikšu, kuram ir lielāka maksimālā kanāla jauda (šī ir iekšējā informācija), taču parasti tas nav tik svarīgi, un vienīgā atšķirība ir tajā, cik ātri tiek iedarbināta aizsardzība (uzreiz vai pēc dažu minūšu projekta dīkstāves, kā Hecnerā).
Jautājums ir par to, cik labi tas tiek darīts: pastiprināšanas uzbrukumu var atvairīt, bloķējot satiksmi no valstīm, kurās ir vislielākais kaitīgās satiksmes apjoms, vai arī var atmest tikai patiešām nevajadzīgu trafiku.
Bet tajā pašā laikā, balstoties uz manu pieredzi, visi nopietnie tirgus spēlētāji ar to tiek galā bez problēmām: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (agrāk SkyParkCDN), ServicePipe, Stormwall, Voxility utt.
Es neesmu saskāries ar aizsardzību no tādiem operatoriem kā Rostelecom, Megafon, TTK, Beeline; saskaņā ar kolēģu atsauksmēm viņi šos pakalpojumus sniedz diezgan labi, taču līdz šim periodiski ietekmē pieredzes trūkums: dažreiz jums ir kaut kas jāpielāgo, izmantojot atbalstu. aizsardzības operatora.
Dažiem operatoriem ir atsevišķs pakalpojums “aizsardzība pret uzbrukumiem L3/L4 līmenī” vai “kanālu aizsardzība”; tas maksā daudz mazāk nekā aizsardzība visos līmeņos.

Kāpēc mugurkaula pakalpojumu sniedzējs neatvaira simtiem Gbitu uzbrukumus, jo tam nav savu kanālu?Aizsardzības operators var izveidot savienojumu ar jebkuru no lielākajiem pakalpojumu sniedzējiem un atvairīt uzbrukumus “uz sava rēķina”. Jums būs jāmaksā par kanālu, taču visi šie simti Gbitu ne vienmēr tiks izmantoti; šajā gadījumā ir iespējas ievērojami samazināt kanālu izmaksas, tāpēc shēma joprojām darbojas.

Šie ir ziņojumi, kurus es regulāri saņēmu no augstāka līmeņa L3/L4 aizsardzības, vienlaikus atbalstot mitināšanas pakalpojumu sniedzēja sistēmas.

Aizsardzība L7 līmenī (pielietojuma līmenī)

Uzbrukumi L7 līmenī (pielietojuma līmenī) spēj konsekventi un efektīvi atvairīt vienības.
Man ir diezgan liela reāla pieredze ar
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kasperskis.

Viņi iekasē maksu par katru tīras trafika megabitu, megabits maksā apmēram vairākus tūkstošus rubļu. Ja jums ir vismaz 100 Mb/s tīra trafika, ak. Aizsardzība būs ļoti dārga. Nākamajos rakstos varu pastāstīt, kā veidot lietojumprogrammas, lai ievērojami ietaupītu drošības kanālu jaudu.
Īstais “kalna karalis” ir Qrator.net, pārējie atpaliek no tiem. Qrator pagaidām ir vienīgie manā pieredzē, kas dod procentuāli tuvu nullei, bet tajā pašā laikā tie ir vairākas reizes dārgāki nekā citi tirgus spēlētāji.

Arī citi operatori nodrošina augstas kvalitātes un stabilu aizsardzību. Daudzi mūsu atbalstītie servisi (tostarp ļoti labi zināmie valstī!) ir aizsargāti no DDoS-Guard, G-Core Labs un ir diezgan apmierināti ar iegūtajiem rezultātiem.

Qrator atvairīti uzbrukumi

Man ir arī pieredze ar maziem drošības operatoriem, piemēram, cloud-shield.ru, ddosa.net, tūkstošiem. Noteikti neieteikšu, jo... Man nav lielas pieredzes, bet es jums pastāstīšu par viņu darba principiem. To aizsardzības izmaksas bieži vien ir par 1-2 kārtām zemākas nekā lielākajiem spēlētājiem. Parasti viņi pērk daļējas aizsardzības pakalpojumu (L3/L4) no kāda no lielākajiem spēlētājiem + paši veic aizsardzību pret uzbrukumiem augstākos līmeņos. Tas var būt diezgan efektīvi + jūs varat saņemt labu servisu par mazāku naudu, taču tie joprojām ir mazi uzņēmumi ar nelielu darbinieku skaitu, lūdzu, paturiet to prātā.

Kādas ir grūtības atvairīt uzbrukumus L7 līmenī?

Visas lietojumprogrammas ir unikālas, un jums ir jāatļauj tām noderīga trafika un jābloķē kaitīgās. Ne vienmēr ir iespējams viennozīmīgi atsijāt robotprogrammatūras, tāpēc jums ir jāizmanto daudzas, patiešām DAUDZAS satiksmes attīrīšanas pakāpes.

Kādreiz pietika ar nginx-testcookie moduli (https://github.com/kyprizel/testcookie-nginx-module), un tas joprojām ir pietiekami, lai atvairītu lielu skaitu uzbrukumu. Kad strādāju mitināšanas nozarē, L7 aizsardzība balstījās uz nginx-testcookie.
Diemžēl uzbrukumi ir kļuvuši grūtāki. testcookie izmanto uz JS balstītas robotu pārbaudes, un daudzi mūsdienu robotprogrammatūras var tās veiksmīgi izturēt.

Arī uzbrukuma robottīkli ir unikāli, un ir jāņem vērā katra lielā robottīkla īpašības.
Pastiprināšana, tieša plūdināšana no robottīkla, trafika filtrēšana no dažādām valstīm (dažādām valstīm atšķirīga filtrēšana), SYN/ACK plūdi, pakešu sadrumstalotība, ICMP, http plūdi, savukārt lietojumprogrammas/http līmenī jūs varat izdomāt neierobežotu skaitu dažādi uzbrukumi.
Kopumā kanālu aizsardzības līmenī, specializēta tehnika trafika noskaidrošanai, īpaša programmatūra, papildu filtrēšanas iestatījumi katram klientam var būt desmitiem un simtiem filtrēšanas līmeņu.
Lai to pareizi pārvaldītu un pareizi pielāgotu filtrēšanas iestatījumus dažādiem lietotājiem, ir nepieciešama liela pieredze un kvalificēts personāls. Pat liels operators, kas nolēmis sniegt aizsardzības pakalpojumus, nevar “stulbi mest naudu problēmas risināšanai”: būs jāiegūst pieredze no melīgām vietnēm un viltus pozitīviem datiem par likumīgu trafiku.
Apsardzes operatoram nav pogas “atvairīt DDoS”, ir liels skaits rīku, un jums ir jāzina, kā tos izmantot.

Un vēl viens bonusa piemērs.

Uzbrukuma laikā ar jaudu 600 Mbit saimnieks bloķēja neaizsargātu serveri
(Trafika “zaudējums” nav manāms, jo tika uzbrukts tikai 1 vietnei, kura uz laiku tika noņemta no servera un stundas laikā bloķēšana tika atcelta).

Tas pats serveris ir aizsargāts. Uzbrucēji “padevās” pēc atvairītu uzbrukumu dienas. Pats uzbrukums nebija no spēcīgākajiem.

L3/L4 uzbrukums un aizsardzība ir triviālāki, tie galvenokārt ir atkarīgi no kanālu biezuma, uzbrukumu noteikšanas un filtrēšanas algoritmiem.
L7 uzbrukumi ir sarežģītāki un oriģinālāki; tie ir atkarīgi no lietojumprogrammas, kurai uzbrūk, uzbrucēju iespējām un iztēles. Aizsardzība pret tiem prasa daudz zināšanu un pieredzes, un rezultāts var nebūt tūlītējs un ne simtprocentīgs. Līdz brīdim, kad Google nāca klajā ar citu neironu tīklu aizsardzībai.

Avots: www.habr.com