"Puisis, kurŔ izveidoja mūsu vietni, jau ir iestatījis DDoS aizsardzību."
"Mums ir DDoS aizsardzÄ«ba, kÄpÄc vietne pazuda?"
"Cik tÅ«kstoÅ”us Qrator vÄlas?"
Lai pareizi atbildÄtu uz Å”Ädiem klienta/priekÅ”nieka jautÄjumiem, bÅ«tu jauki uzzinÄt, kas slÄpjas aiz nosaukuma āDDoS aizsardzÄ«baā. Apsardzes pakalpojumu izvÄle ir vairÄk kÄ zÄļu izvÄle no Ärsta, nevis galda izvÄle IKEA.
Esmu atbalstÄ«jis vietnes 11 gadus, esmu pÄrdzÄ«vojis simtiem uzbrukumu manis atbalstÄ«tajiem pakalpojumiem, un tagad es jums pastÄstÄ«Å”u nedaudz par aizsardzÄ«bas iekÅ”Äjo darbÄ«bu.
RegulÄri uzbrukumi. KopÄ 350 52 req, XNUMX XNUMX likumÄ«gi
Pirmie uzbrukumi parÄdÄ«jÄs gandrÄ«z vienlaikus ar internetu. DDoS kÄ parÄdÄ«ba ir kļuvusi plaÅ”i izplatÄ«ta kopÅ” 2000. gadu beigÄm (skatiet
Aptuveni kopÅ” 2015.ā2016. gada gandrÄ«z visi mitinÄÅ”anas pakalpojumu sniedzÄji ir aizsargÄti pret DDoS uzbrukumiem, tÄpat kÄ ievÄrojamÄkÄs vietnes konkurences apgabalos (do whois pÄc vietÅu eldorado.ru, leroymerlin.ru, tilda.ws IP ā jÅ«s redzÄsit tÄ«klus aizsardzÄ«bas operatoriem).
Ja pirms 10-20 gadiem lielÄko daļu uzbrukumu varÄja atvairÄ«t paÅ”am serverim (izvÄrtÄjiet Lenta.ru sistÄmas administratora Maksima MoÅ”kova ieteikumus no 90. gadiem:
DDoS uzbrukumu veidi no aizsardzÄ«bas operatora izvÄles viedokļa
Uzbrukumi L3/L4 lÄ«menÄ« (saskaÅÄ ar OSI modeli)
ā UDP plÅ«di no robottÄ«kla (daudzi pieprasÄ«jumi tiek nosÅ«tÄ«ti tieÅ”i no inficÄtajÄm ierÄ«cÄm uz uzbrukuma dienestu, serveri tiek bloÄ·Äti ar kanÄlu);
ā DNS/NTP/utt pastiprinÄÅ”ana (no inficÄtÄm ierÄ«cÄm tiek sÅ«tÄ«ti daudzi pieprasÄ«jumi uz ievainojamu DNS/NTP/etc, sÅ«tÄ«tÄja adrese ir viltota, pakeÅ”u mÄkonis, kas atbild uz pieprasÄ«jumiem, pÄrpludina uzbrÅ«koÅ”Äs personas kanÄlu; Å”Ädi tiek veikti masÄ«vi uzbrukumi mÅ«sdienu internetam);
ā SYN / ACK plÅ«di (uzbrÅ«koÅ”ajiem serveriem tiek nosÅ«tÄ«ti daudzi pieprasÄ«jumi izveidot savienojumu, savienojuma rinda pÄrplÅ«st);
ā uzbrukumi ar pakeÅ”u sadrumstalotÄ«bu, nÄves ping, ping flood (Google, lÅ«dzu);
- un tÄ tÄlÄk.
Å o uzbrukumu mÄrÄ·is ir āaizsprostotā servera kanÄlu vai ānogalinÄtā tÄ spÄju pieÅemt jaunu trafiku.
Lai gan SYN/ACK plÅ«di un pastiprinÄÅ”ana ir ļoti atŔķirÄ«gi, daudzi uzÅÄmumi ar tiem cÄ«nÄs vienlÄ«dz labi. ProblÄmas rodas ar nÄkamÄs grupas uzbrukumiem.
Uzbrukumi L7 (lietojumprogrammas slÄnim)
ā http plÅ«di (ja tiek uzbrukts vietnei vai kÄdai http api);
ā uzbrukums vietnes neaizsargÄtajÄm zonÄm (tÄm, kurÄm nav keÅ”atmiÅas, kuras ļoti smagi noslogo vietni utt.).
MÄrÄ·is ir likt serverim "cÄ«tÄ«gi strÄdÄt", apstrÄdÄt daudz "Ŕķietami reÄlu pieprasÄ«jumu" un palikt bez resursiem reÄliem pieprasÄ«jumiem.
Lai gan ir arÄ« citi uzbrukumi, tie ir visizplatÄ«tÄkie.
Nopietni uzbrukumi L7 lÄ«menÄ« tiek izveidoti unikÄlÄ veidÄ katram projektam, kuram tiek uzbrukts.
KÄpÄc 2 grupas?
Jo ir daudzi, kas labi prot atvairÄ«t uzbrukumus L3/L4 lÄ«menÄ«, bet vai nu nemaz neaizÅem aizsardzÄ«bu aplikÄcijas lÄ«menÄ« (L7), vai tomÄr ir vÄjÄki par alternatÄ«vÄm cÄ«ÅÄ ar tiem.
KurŔ ir kurŔ DDoS aizsardzības tirgū
(mans personīgais viedoklis)
Aizsardzība L3/L4 līmenī
Lai atvairÄ«tu uzbrukumus ar pastiprinÄjumu (servera kanÄla ābloÄ·ÄÅ”anuā), ir pietiekami plaÅ”i kanÄli (daudzi aizsardzÄ«bas pakalpojumi pieslÄdzas lielÄkajai daļai Krievijas lielo mugurkaula pakalpojumu sniedzÄju un tiem ir kanÄli ar teorÄtisko jaudu virs 1 Tbit). Neaizmirstiet, ka ļoti reti pastiprinÄÅ”anas uzbrukumi ilgst vairÄk nekÄ stundu. Ja esat Spamhaus un jÅ«s visiem nepatÄ«kat, jÄ, viÅi var mÄÄ£inÄt slÄgt jÅ«su kanÄlus uz vairÄkÄm dienÄm, pat riskÄjot ar globÄlÄ robottÄ«kla turpmÄku izdzÄ«voÅ”anu. Ja jums vienkÄrÅ”i ir tieÅ”saistes veikals, pat ja tas ir mvideo.ru, dažu dienu laikÄ jÅ«s neredzÄsit 1 Tbit ļoti drÄ«z (es ceru).
Lai atvairÄ«tu uzbrukumus ar SYN/ACK plÅ«diem, pakeÅ”u sadrumstalotÄ«bu utt., jums ir nepiecieÅ”ams aprÄ«kojums vai programmatÅ«ras sistÄmas Å”Ädu uzbrukumu noteikÅ”anai un bloÄ·ÄÅ”anai.
Daudzi cilvÄki ražo Å”Ädu aprÄ«kojumu (Arbor, ir risinÄjumi no Cisco, Huawei, programmatÅ«ras ievieÅ”anas no Wanguard utt.), daudzi mugurkaula operatori to jau ir uzstÄdÄ«juÅ”i un pÄrdod DDoS aizsardzÄ«bas pakalpojumus (es zinu par instalÄcijÄm no Rostelecom, Megafon, TTK, MTS , patiesÄ«bÄ visi lielÄkie pakalpojumu sniedzÄji dara to paÅ”u ar mitinÄtÄjiem ar savu aizsardzÄ«bu a-la OVH.com, Hetzner.de, es pats saskÄros ar aizsardzÄ«bu vietnÄ ihor.ru). Daži uzÅÄmumi izstrÄdÄ savus programmatÅ«ras risinÄjumus (tÄdas tehnoloÄ£ijas kÄ DPDK ļauj apstrÄdÄt desmitiem gigabitu trafika vienÄ fiziskÄ x86 iekÄrtÄ).
No labi zinÄmajiem spÄlÄtÄjiem ikviens var vairÄk vai mazÄk efektÄ«vi cÄ«nÄ«ties ar L3/L4 DDoS. Tagad es neteikÅ”u, kuram ir lielÄka maksimÄlÄ kanÄla jauda (Ŕī ir iekÅ”ÄjÄ informÄcija), taÄu parasti tas nav tik svarÄ«gi, un vienÄ«gÄ atŔķirÄ«ba ir tajÄ, cik Ätri tiek iedarbinÄta aizsardzÄ«ba (uzreiz vai pÄc dažu minÅ«Å”u projekta dÄ«kstÄves, kÄ HecnerÄ).
JautÄjums ir par to, cik labi tas tiek darÄ«ts: pastiprinÄÅ”anas uzbrukumu var atvairÄ«t, bloÄ·Äjot satiksmi no valstÄ«m, kurÄs ir vislielÄkais kaitÄ«gÄs satiksmes apjoms, vai arÄ« var atmest tikai patieÅ”Äm nevajadzÄ«gu trafiku.
Bet tajÄ paÅ”Ä laikÄ, balstoties uz manu pieredzi, visi nopietnie tirgus spÄlÄtÄji ar to tiek galÄ bez problÄmÄm: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (agrÄk SkyParkCDN), ServicePipe, Stormwall, Voxility utt.
Es neesmu saskÄries ar aizsardzÄ«bu no tÄdiem operatoriem kÄ Rostelecom, Megafon, TTK, Beeline; saskaÅÄ ar kolÄÄ£u atsauksmÄm viÅi Å”os pakalpojumus sniedz diezgan labi, taÄu lÄ«dz Å”im periodiski ietekmÄ pieredzes trÅ«kums: dažreiz jums ir kaut kas jÄpielÄgo, izmantojot atbalstu. aizsardzÄ«bas operatora.
Dažiem operatoriem ir atseviŔķs pakalpojums āaizsardzÄ«ba pret uzbrukumiem L3/L4 lÄ«menÄ«ā vai ākanÄlu aizsardzÄ«baā; tas maksÄ daudz mazÄk nekÄ aizsardzÄ«ba visos lÄ«meÅos.
KÄpÄc mugurkaula pakalpojumu sniedzÄjs neatvaira simtiem Gbitu uzbrukumus, jo tam nav savu kanÄlu?AizsardzÄ«bas operators var izveidot savienojumu ar jebkuru no lielÄkajiem pakalpojumu sniedzÄjiem un atvairÄ«t uzbrukumus āuz sava rÄÄ·inaā. Jums bÅ«s jÄmaksÄ par kanÄlu, taÄu visi Å”ie simti Gbitu ne vienmÄr tiks izmantoti; Å”ajÄ gadÄ«jumÄ ir iespÄjas ievÄrojami samazinÄt kanÄlu izmaksas, tÄpÄc shÄma joprojÄm darbojas.
Å ie ir ziÅojumi, kurus es regulÄri saÅÄmu no augstÄka lÄ«meÅa L3/L4 aizsardzÄ«bas, vienlaikus atbalstot mitinÄÅ”anas pakalpojumu sniedzÄja sistÄmas.
Aizsardzība L7 līmenī (pielietojuma līmenī)
Uzbrukumi L7 lÄ«menÄ« (pielietojuma lÄ«menÄ«) spÄj konsekventi un efektÄ«vi atvairÄ«t vienÄ«bas.
Man ir diezgan liela reÄla pieredze ar
ā Qrator.net;
ā DDoS-Guard;
- G-Core Labs;
- Kasperskis.
ViÅi iekasÄ maksu par katru tÄ«ras trafika megabitu, megabits maksÄ apmÄram vairÄkus tÅ«kstoÅ”us rubļu. Ja jums ir vismaz 100 Mb/s tÄ«ra trafika, ak. AizsardzÄ«ba bÅ«s ļoti dÄrga. NÄkamajos rakstos varu pastÄstÄ«t, kÄ veidot lietojumprogrammas, lai ievÄrojami ietaupÄ«tu droŔības kanÄlu jaudu.
ÄŖstais ākalna karalisā ir Qrator.net, pÄrÄjie atpaliek no tiem. Qrator pagaidÄm ir vienÄ«gie manÄ pieredzÄ, kas dod procentuÄli tuvu nullei, bet tajÄ paÅ”Ä laikÄ tie ir vairÄkas reizes dÄrgÄki nekÄ citi tirgus spÄlÄtÄji.
ArÄ« citi operatori nodroÅ”ina augstas kvalitÄtes un stabilu aizsardzÄ«bu. Daudzi mÅ«su atbalstÄ«tie servisi (tostarp ļoti labi zinÄmie valstÄ«!) ir aizsargÄti no DDoS-Guard, G-Core Labs un ir diezgan apmierinÄti ar iegÅ«tajiem rezultÄtiem.
Qrator atvairīti uzbrukumi
Man ir arÄ« pieredze ar maziem droŔības operatoriem, piemÄram, cloud-shield.ru, ddosa.net, tÅ«kstoÅ”iem. Noteikti neieteikÅ”u, jo... Man nav lielas pieredzes, bet es jums pastÄstÄ«Å”u par viÅu darba principiem. To aizsardzÄ«bas izmaksas bieži vien ir par 1-2 kÄrtÄm zemÄkas nekÄ lielÄkajiem spÄlÄtÄjiem. Parasti viÅi pÄrk daļÄjas aizsardzÄ«bas pakalpojumu (L3/L4) no kÄda no lielÄkajiem spÄlÄtÄjiem + paÅ”i veic aizsardzÄ«bu pret uzbrukumiem augstÄkos lÄ«meÅos. Tas var bÅ«t diezgan efektÄ«vi + jÅ«s varat saÅemt labu servisu par mazÄku naudu, taÄu tie joprojÄm ir mazi uzÅÄmumi ar nelielu darbinieku skaitu, lÅ«dzu, paturiet to prÄtÄ.
KÄdas ir grÅ«tÄ«bas atvairÄ«t uzbrukumus L7 lÄ«menÄ«?
Visas lietojumprogrammas ir unikÄlas, un jums ir jÄatļauj tÄm noderÄ«ga trafika un jÄbloÄ·Ä kaitÄ«gÄs. Ne vienmÄr ir iespÄjams viennozÄ«mÄ«gi atsijÄt robotprogrammatÅ«ras, tÄpÄc jums ir jÄizmanto daudzas, patieÅ”Äm DAUDZAS satiksmes attÄ«rÄ«Å”anas pakÄpes.
KÄdreiz pietika ar nginx-testcookie moduli (
DiemžÄl uzbrukumi ir kļuvuÅ”i grÅ«tÄki. testcookie izmanto uz JS balstÄ«tas robotu pÄrbaudes, un daudzi mÅ«sdienu robotprogrammatÅ«ras var tÄs veiksmÄ«gi izturÄt.
ArÄ« uzbrukuma robottÄ«kli ir unikÄli, un ir jÄÅem vÄrÄ katra lielÄ robottÄ«kla Ä«paŔības.
PastiprinÄÅ”ana, tieÅ”a plÅ«dinÄÅ”ana no robottÄ«kla, trafika filtrÄÅ”ana no dažÄdÄm valstÄ«m (dažÄdÄm valstÄ«m atŔķirÄ«ga filtrÄÅ”ana), SYN/ACK plÅ«di, pakeÅ”u sadrumstalotÄ«ba, ICMP, http plÅ«di, savukÄrt lietojumprogrammas/http lÄ«menÄ« jÅ«s varat izdomÄt neierobežotu skaitu dažÄdi uzbrukumi.
KopumÄ kanÄlu aizsardzÄ«bas lÄ«menÄ«, specializÄta tehnika trafika noskaidroÅ”anai, Ä«paÅ”a programmatÅ«ra, papildu filtrÄÅ”anas iestatÄ«jumi katram klientam var bÅ«t desmitiem un simtiem filtrÄÅ”anas lÄ«meÅu.
Lai to pareizi pÄrvaldÄ«tu un pareizi pielÄgotu filtrÄÅ”anas iestatÄ«jumus dažÄdiem lietotÄjiem, ir nepiecieÅ”ama liela pieredze un kvalificÄts personÄls. Pat liels operators, kas nolÄmis sniegt aizsardzÄ«bas pakalpojumus, nevar āstulbi mest naudu problÄmas risinÄÅ”anaiā: bÅ«s jÄiegÅ«st pieredze no melÄ«gÄm vietnÄm un viltus pozitÄ«viem datiem par likumÄ«gu trafiku.
Apsardzes operatoram nav pogas āatvairÄ«t DDoSā, ir liels skaits rÄ«ku, un jums ir jÄzina, kÄ tos izmantot.
Un vÄl viens bonusa piemÄrs.
Uzbrukuma laikÄ ar jaudu 600 Mbit saimnieks bloÄ·Äja neaizsargÄtu serveri
(Trafika āzaudÄjumsā nav manÄms, jo tika uzbrukts tikai 1 vietnei, kura uz laiku tika noÅemta no servera un stundas laikÄ bloÄ·ÄÅ”ana tika atcelta).
Tas pats serveris ir aizsargÄts. UzbrucÄji āpadevÄsā pÄc atvairÄ«tu uzbrukumu dienas. Pats uzbrukums nebija no spÄcÄ«gÄkajiem.
L3/L4 uzbrukums un aizsardzÄ«ba ir triviÄlÄki, tie galvenokÄrt ir atkarÄ«gi no kanÄlu biezuma, uzbrukumu noteikÅ”anas un filtrÄÅ”anas algoritmiem.
L7 uzbrukumi ir sarežģītÄki un oriÄ£inÄlÄki; tie ir atkarÄ«gi no lietojumprogrammas, kurai uzbrÅ«k, uzbrucÄju iespÄjÄm un iztÄles. AizsardzÄ«ba pret tiem prasa daudz zinÄÅ”anu un pieredzes, un rezultÄts var nebÅ«t tÅ«lÄ«tÄjs un ne simtprocentÄ«gs. LÄ«dz brÄ«dim, kad Google nÄca klajÄ ar citu neironu tÄ«klu aizsardzÄ«bai.
Avots: www.habr.com