„Човекот што ја направи нашата веб-страница веќе постави DDoS заштита“.
„Имаме DDoS заштита, зошто страницата падна?
„Колку илјади сака Кратор?
Со цел правилно да одговорите на ваквите прашања од клиентот/шефот, би било убаво да се знае што се крие зад името „DDoS заштита“. Изборот на безбедносни служби е повеќе како избор на лек од лекар отколку избор на маса во ИКЕА.
Поддржувам веб-страници 11 години, преживеав стотици напади на услугите што ги поддржувам, а сега ќе ви кажам малку за внатрешната работа на заштитата.
Редовни напади. Вкупно 350 илјади барања, легитимни 52 илјади барања
Првите напади се појавија речиси истовремено со Интернет. DDoS како феномен стана широко распространет од доцните 2000-ти (проверете ).
Од околу 2015-2016 година, скоро сите провајдери на хостинг се заштитени од DDoS напади, како и повеќето истакнати сајтови во конкурентни области (направете whois со IP на страниците eldorado.ru, leroymerlin.ru, tilda.ws, ќе ги видите мрежите на операторите за заштита).
Ако пред 10-20 години повеќето напади можеа да се одбијат на самиот сервер (проценете ги препораките на системскиот администратор на Lenta.ru Максим Мошков од 90-тите: ), но сега задачите за заштита станаа потешки.
Видови DDoS напади од гледна точка на избор на оператор за заштита
Напади на ниво L3/L4 (според моделот OSI)
— UDP поплава од ботнет (многу барања се испраќаат директно од заразените уреди до нападната услуга, серверите се блокирани со каналот);
— засилување DNS/NTP/etc (многу барања се испраќаат од заразени уреди до ранливи DNS/NTP/итн, адресата на испраќачот е фалсификувана, облак пакети кои одговараат на барања го преплавуваат каналот на лицето кое е нападнато; вака најмногу се вршат масовни напади на современиот Интернет);
— SYN / ACK поплава (многу барања за воспоставување врска се испраќаат до нападнатите сервери, редот за поврзување се прелева);
— напади со фрагментација на пакети, ping of death, ping flood (Google it please);
- и така натаму.
Овие напади имаат за цел да го „затнат“ каналот на серверот или да ја „убијат“ неговата способност да прифаќа нов сообраќај.
Иако поплавите и засилувањето на SYN/ACK се многу различни, многу компании подеднакво добро се борат со нив. Проблеми се јавуваат со напади од следната група.
Напади на L7 (слој на апликација)
— http flood (ако веб-локација или некое http api е нападнато);
— напад на ранливи области на страницата (оние кои немаат кеш, кои многу силно ја вчитуваат страницата итн.).
Целта е да се натера серверот да „работи напорно“, да обработи многу „навидум вистински барања“ и да остане без ресурси за вистински барања.
Иако има и други напади, овие се најчестите.
Сериозните напади на ниво L7 се создаваат на единствен начин за секој проект што е нападнат.
Зошто 2 групи?
Бидејќи има многу кои знаат добро да ги одбијат нападите на ниво L3 / L4, но или воопшто не преземаат заштита на ниво на апликација (L7), или се уште се послаби од алтернативите во справувањето со нив.
Кој е кој на пазарот за заштита на DDoS
(мое лично мислење)
Заштита на ниво L3/L4
За да се одвратат нападите со засилување („блокирање“ на каналот на серверот), има доволно широки канали (многу од заштитните услуги се поврзуваат со повеќето од големите провајдери на 'рбетот во Русија и имаат канали со теоретски капацитет од повеќе од 1 Tbit). Не заборавајте дека многу ретки напади на засилување траат подолго од еден час. Ако сте Spamhaus и на сите не им се допаѓате, да, тие може да се обидат да ги затворат вашите канали неколку дена, дури и со ризик од понатамошен опстанок на глобалниот ботнет што се користи. Ако имате само онлајн продавница, дури и ако тоа е mvideo.ru, нема да видите 1 Tbit во рок од неколку дена многу наскоро (се надевам).
За да одбиете напади со поплави SYN/ACK, фрагментација на пакети итн., потребна ви е опрема или софтверски системи за откривање и запирање на таквите напади.
Многу луѓе произведуваат таква опрема (Arbor, има решенија од Cisco, Huawei, софтверски имплементации од Wanguard итн.), многу оператори на 'рбетот веќе ја имаат инсталирано и продаваат услуги за заштита на DDoS (знам за инсталации од Rostelecom, Megafon, TTK, MTS , всушност, сите големи провајдери го прават истото со хостери со своја заштита a-la OVH.com, Hetzner.de, јас самиот наидов на заштита на ihor.ru). Некои компании развиваат сопствени софтверски решенија (технологиите како DPDK ви дозволуваат да обработите десетици гигабити сообраќај на една физичка машина x86).
Од добро познатите играчи, секој може повеќе или помалку ефикасно да се бори против L3/L4 DDoS. Сега нема да кажам кој има поголем максимален капацитет на каналот (ова се инсајдерски информации), но обично ова не е толку важно, а единствената разлика е колку брзо се активира заштитата (инстантно или по неколку минути прекин на проектот, како во Хецнер).
Прашањето е колку добро е направено ова: нападот за засилување може да се одбие со блокирање на сообраќајот од земјите со најголема количина на штетен сообраќај, или може да се отфрли само навистина непотребниот сообраќај.
Но, во исто време, врз основа на моето искуство, сите сериозни играчи на пазарот се справуваат со ова без проблеми: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (порано SkyParkCDN), ServicePipe, Stormwall, Voxility итн.
Не наидов на заштита од оператори како Rostelecom, Megafon, TTK, Beeline; според прегледите од колегите, тие ги обезбедуваат овие услуги доста добро, но досега недостатокот на искуство периодично влијае: понекогаш треба да промените нешто преку поддршката на операторот за заштита.
Некои оператори имаат посебна услуга „заштита од напади на ниво L3/L4“ или „заштита на каналот“; чини многу помалку од заштитата на сите нивоа.
Зошто провајдерот на 'рбетот не одбива напади од стотици Gbits, бидејќи нема свои канали?Операторот за заштита може да се поврзе со кој било од главните провајдери и да одбие напади „на негова сметка“. Ќе треба да платите за каналот, но сите овие стотици Gbits нема секогаш да се користат; постојат опции за значително намалување на цената на каналите во овој случај, така што шемата останува функционална.
Ова се извештаите што редовно ги добивав од заштитата на повисоко ниво L3/L4 додека ги поддржувам системите на давателот на хостинг.
Заштита на ниво L7 (ниво на апликација)
Нападите на ниво L7 (ниво на апликација) се способни да ги одбиваат единиците доследно и ефикасно.
Имам доста реално искуство со
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Касперски.
Тие наплаќаат за секој мегабит чист сообраќај, мегабит чини околу неколку илјади рубли. Ако имате најмалку 100 Mbps чист сообраќај - ох. Заштитата ќе биде многу скапа. Во следните статии можам да ви кажам како да дизајнирате апликации за да заштедите многу на капацитетот на безбедносните канали.
Вистинскиот „крал на ридот“ е Qrator.net, останатите заостануваат зад нив. Qrator се досега единствените според моето искуство кои даваат процент на лажни позитиви блиску до нула, но во исто време тие се неколку пати поскапи од другите играчи на пазарот.
Другите оператори исто така обезбедуваат висококвалитетна и стабилна заштита. Многу услуги поддржани од нас (вклучувајќи ги и многу познатите во земјата!) се заштитени од DDoS-Guard, G-Core Labs и се сосема задоволни од добиените резултати.
Нападите одбиени од Кратор
Имам искуство и со мали безбедносни оператори како cloud-shield.ru, ddosa.net, илјадници од нив. Дефинитивно нема да го препорачам, бидејќи... Немам многу искуство, но ќе ви кажам за принципите на нивната работа. Нивната цена на заштита е често 1-2 реда пониска од онаа на главните играчи. Како по правило, тие купуваат услуга за делумна заштита (L3/L4) од еден од поголемите играчи + прават сопствена заштита од напади на повисоки нивоа. Ова може да биде доста ефективно + може да добиете добра услуга за помалку пари, но сепак ова се мали компании со мал персонал, ве молиме имајте го тоа на ум.
Која е тешкотијата за одбивање напади на ниво L7?
Сите апликации се единствени и треба да дозволите сообраќај кој е корисен за нив и да ги блокирате штетните. Не е секогаш можно недвосмислено да се исчистат ботови, така што мора да користите многу, навистина МНОГУ степени на прочистување на сообраќајот.
Некогаш, модулот nginx-testcookie беше доволен (), а сепак е доволно да се одбие голем број напади. Кога работев во хостинг индустријата, заштитата на L7 се базираше на nginx-testcookie.
За жал, нападите станаа потешки. testcookie користи бот проверки базирани на JS и многу модерни ботови можат успешно да ги поминат.
Нападните ботнети се исто така уникатни и мора да се земат предвид карактеристиките на секој голем ботнет.
Засилување, директно поплавување од ботнет, филтрирање сообраќај од различни земји (различно филтрирање за различни земји), поплавување SYN/ACK, фрагментација на пакети, ICMP, http flooding, додека на ниво на апликација/http можете да дојдете до неограничен број на различни напади.
Севкупно, на ниво на заштита на каналот, специјализирана опрема за расчистување на сообраќајот, специјален софтвер, дополнителни поставки за филтрирање за секој клиент може да има десетици и стотици нивоа на филтрирање.
За правилно управување со ова и правилно прилагодување на поставките за филтрирање за различни корисници, ви треба многу искуство и квалификуван персонал. Дури и голем оператор кој одлучил да обезбедува услуги за заштита не може „глупаво да фрла пари на проблемот“: искуството ќе треба да се стекне од лажни локации и лажни позитиви за легитимниот сообраќај.
Нема копче „одврати DDoS“ за безбедносниот оператор; има голем број алатки и треба да знаете како да ги користите.
И уште еден бонус пример.
Незаштитен сервер беше блокиран од хостерот при напад со капацитет од 600 Mbit
(„Губењето“ на сообраќајот не е забележливо, бидејќи само 1 страница беше нападната, привремено беше отстранета од серверот и блокирањето беше отстрането во рок од еден час).
Истиот сервер е заштитен. Напаѓачите „се предале“ по еден ден одбиени напади. Самиот напад не беше најсилен.
Нападот и одбраната на L3/L4 се повеќе тривијални; тие главно зависат од дебелината на каналите, алгоритмите за откривање и филтрирање за напади.
L7 нападите се покомплексни и оригинални; тие зависат од апликацијата што е нападната, можностите и имагинацијата на напаѓачите. Заштитата од нив бара многу знаење и искуство, а резултатот можеби не е моментален и не е стопроцентен. Се додека Google не излезе со друга невронска мрежа за заштита.
Извор: www.habr.com