"Манай вэб сайтыг хийсэн залуу аль хэдийн DDoS хамгаалалтыг суулгасан."
"Бид DDoS хамгаалалттай, яагаад сайт унтарсан бэ?"
"Qrator хэдэн мянга авахыг хүсч байна вэ?"
Үйлчлүүлэгч/даргын ийм асуултад зөв хариулахын тулд "DDoS хамгаалалт" гэсэн нэрний ард юу нуугдаж байгааг мэдэх нь сайхан байх болно. Хамгаалалтын үйлчилгээг сонгох нь IKEA-д ширээ сонгохоос илүү эмчээс эм сонгохтой адил юм.
Би 11 жилийн турш вэб сайтуудыг дэмжсэн, өөрийн дэмждэг үйлчилгээнүүдийн олон зуун халдлагыг даван туулсан, одоо би хамгаалалтын дотоод үйл ажиллагааны талаар бага зэрэг ярих болно.
Тогтмол халдлага. Нийт 350 мянга, хууль ёсны шаардлага 52 мянга
Эхний дайралтууд интернеттэй бараг нэгэн зэрэг гарч ирэв. DDoS нь 2000-аад оны сүүлчээс өргөн тархсан үзэгдэл юм. ).
Ойролцоогоор 2015-2016 оноос хойш бараг бүх хостинг үйлчилгээ үзүүлэгчид DDoS халдлагаас хамгаалагдсан бөгөөд өрсөлдөөнт бүс дэх хамгийн алдартай сайтууд (eldorado.ru, leroymerlin.ru, tilda.ws сайтуудын IP хаягаар whois хийх, та сүлжээг харах болно. хамгаалалтын операторуудын).
Хэрэв 10-20 жилийн өмнө ихэнх халдлагуудыг сервер дээр дарж чаддаг байсан бол (90-ээд оны үеийн Lenta.ru системийн администратор Максим Мошковын зөвлөмжийг үнэлнэ үү: ), гэхдээ одоо хамгаалалтын ажил илүү хэцүү болсон.
Хамгаалалтын операторыг сонгох үүднээс DDoS халдлагын төрлүүд
L3/L4 түвшний халдлага (OSI загварын дагуу)
— Ботнетээс UDP урсгал (олон хүсэлтийг халдвар авсан төхөөрөмжүүдээс халдлагад өртсөн үйлчилгээ рүү шууд илгээдэг, серверүүд сувгаар хаагдсан);
— DNS/NTP/ гэх мэт өсгөлт (халдвартай төхөөрөмжүүдээс эмзэг DNS/NTP/ гэх мэт олон хүсэлтийг илгээдэг, илгээгчийн хаягийг хуурамчаар илгээдэг, хүсэлтэд хариу өгөх пакетуудын үүл халдлагад өртөж буй хүний сувгийг дүүргэдэг; энэ нь хамгийн их тохиолддог. орчин үеийн интернетэд асар их халдлага үйлдэгддэг);
— SYN / ACK үер (холболт үүсгэх олон хүсэлт халдлагад өртсөн серверүүд рүү илгээгддэг, холболтын дараалал хэтэрдэг);
— пакетийн хуваагдал, үхлийн ping, ping flood зэрэг халдлагууд (Google-ээс асууна уу);
- гэх мэт.
Эдгээр халдлага нь серверийн сувгийг "бөглөх" эсвэл түүний шинэ урсгалыг хүлээн авах чадварыг "үхэх" зорилготой юм.
Хэдийгээр SYN/ACK үерийн болон олшруулалт нь маш өөр боловч олон компаниуд тэдэнтэй адилхан сайн тэмцдэг. Дараагийн бүлгийн довтолгооноос болж асуудал үүсдэг.
L7 дээрх халдлага (програмын давхарга)
— http үер (хэрэв вэбсайт эсвэл зарим http api халдлагад өртсөн бол);
— сайтын эмзэг хэсгүүдэд халдах (кэшгүй, сайтыг маш их ачаалдаг гэх мэт).
Зорилго нь серверийг "шаргуу ажиллах", "бодит мэт санагдах хүсэлт" -ийг боловсруулж, бодит хүсэлтийн нөөцгүй үлдэх явдал юм.
Хэдийгээр бусад халдлага байдаг ч эдгээр нь хамгийн түгээмэл байдаг.
L7 түвшний ноцтой халдлагууд нь халдлагад өртөж буй төсөл бүрт өвөрмөц байдлаар бүтээгддэг.
Яагаад 2 бүлэг гэж?
Учир нь L3 / L4 түвшинд халдлагыг хэрхэн няцаахыг мэддэг боловч хэрэглээний түвшинд (L7) огт хамгаалалт авдаггүй, эсвэл тэдэнтэй харьцах өөр хувилбаруудаас сул хэвээр байгаа хүмүүс олон байдаг.
DDoS хамгаалалтын зах зээлд хэн хэн бэ
(миний хувийн бодол)
L3/L4 түвшний хамгаалалт
Олшруулах замаар халдлагыг няцаахын тулд ("серверийн сувгийн бөглөрөл") хангалттай өргөн сувгууд байдаг (олон хамгаалалтын үйлчилгээ нь Оросын ихэнх томоохон сүлжээний үйлчилгээ үзүүлэгчтэй холбогддог бөгөөд онолын хүчин чадал нь 1 Тбит-ээс дээш сувагтай байдаг). Маш ховор олшруулалтын халдлага нэг цагаас илүү үргэлжилдэг гэдгийг бүү мартаарай. Хэрэв та Спамхаус бөгөөд хүн бүр танд дургүй бол дэлхийн ботнетийг цаашид ашиглах эрсдэлтэй байсан ч тэд таны сувгийг хэдэн өдрийн турш хаахыг оролдож магадгүй юм. Хэрэв танд зүгээр л онлайн дэлгүүр байгаа бол, тэр нь mvideo.ru байсан ч, та хэдхэн хоногийн дотор 1 Tbit-ийг харахгүй байх болно (би найдаж байна).
SYN/ACK үерлэх, пакет хуваагдал гэх мэт халдлагуудыг няцаахын тулд танд ийм халдлагыг илрүүлэх, зогсоох төхөөрөмж эсвэл програм хангамжийн систем хэрэгтэй.
Олон хүмүүс ийм тоног төхөөрөмжийг үйлдвэрлэдэг (Arbor, Cisco, Huawei-ийн шийдлүүд, Wanguard-ийн програм хангамжийн хэрэгжилт гэх мэт), олон үндсэн операторууд үүнийг суулгаж, DDoS хамгаалалтын үйлчилгээг зардаг (Би Ростелеком, Мегафон, TTK, MTS-ийн суурилуулалтыг мэддэг. , үнэн хэрэгтээ бүх томоохон үйлчилгээ үзүүлэгчид a-la OVH.com, Hetzner.de хамгаалалттай хостеруудтай ижил зүйлийг хийдэг, би өөрөө ihor.ru дээр хамгаалалттай тулгарсан). Зарим компаниуд өөрсдийн програм хангамжийн шийдлүүдийг боловсруулж байна (DPDK гэх мэт технологи нь нэг физик x86 машин дээр хэдэн арван гигабит траффик боловсруулах боломжийг олгодог).
Алдартай тоглогчдоос хүн бүр L3/L4 DDoS-тэй их бага үр дүнтэй тэмцэж чадна. Одоо би хэн хамгийн их сувгийн багтаамжтай болохыг хэлэхгүй (энэ бол дотоод мэдээлэл), гэхдээ энэ нь ихэвчлэн тийм ч чухал биш бөгөөд цорын ганц ялгаа нь хамгаалалт хэр хурдан идэвхждэг (тэр даруй эсвэл хэдэн минутын дараа төсөл зогссоны дараа, Hetzner шиг).
Асуулт нь үүнийг хэр сайн хийж байна вэ: өсгөлтийн дайралтыг хамгийн их хортой урсгалтай орнуудын урсгалыг хааснаар няцаах эсвэл зөвхөн үнэхээр шаардлагагүй урсгалыг устгах боломжтой.
Гэсэн хэдий ч миний туршлага дээр үндэслэн зах зээлийн бүх ноцтой тоглогчид үүнийг ямар ч асуудалгүйгээр даван туулж байна: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (хуучин SkyParkCDN), ServicePipe, Stormwall, Voxility гэх мэт.
Би Rostelecom, Megafon, TTK, Beeline зэрэг операторуудаас хамгаалалттай тулгараагүй; хамтран ажиллагсдын үзэж байгаагаар эдгээр үйлчилгээг маш сайн үзүүлдэг боловч туршлага дутмаг нь үе үе нөлөөлж байна: заримдаа та дэмжлэгээр дамжуулан ямар нэг зүйлийг өөрчлөх хэрэгтэй болдог. хамгаалалтын операторын .
Зарим операторууд "L3/L4 түвшний халдлагаас хамгаалах" эсвэл "сувгийн хамгаалалт" гэсэн тусдаа үйлчилгээтэй байдаг бөгөөд энэ нь бүх түвшний хамгаалалтаас хамаагүй бага зардалтай байдаг.
Суурь холболтын үйлчилгээ үзүүлэгч өөрийн суваггүй тул яагаад хэдэн зуун Гбитийн халдлагыг няцаахгүй байна вэ?Хамгаалалтын оператор нь аль ч томоохон үйлчилгээ үзүүлэгчтэй холбогдож, халдлагыг "зардлаар нь" няцаах боломжтой. Та сувгийн төлбөрийг төлөх шаардлагатай болно, гэхдээ эдгээр олон зуун Гбитийг үргэлж ашиглахгүй, энэ тохиолдолд сувгийн зардлыг мэдэгдэхүйц бууруулах сонголтууд байдаг тул схем ажиллах боломжтой хэвээр байна.
Эдгээр нь хостинг үйлчилгээ үзүүлэгчийн системийг дэмжихийн зэрэгцээ дээд түвшний L3/L4 хамгаалалтаас миний тогтмол хүлээн авдаг тайлангууд юм.
L7 түвшний хамгаалалт (програмын түвшин)
L7 түвшний довтолгоонууд (хэрэглээний түвшин) нэгжүүдийг тууштай, үр дүнтэй няцаах чадвартай.
Надад маш их бодит туршлага бий
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Касперский.
Тэд цэвэр урсгалын мегабит тутамд төлбөр авдаг, нэг мегабит нь хэдэн мянган рублийн үнэтэй байдаг. Хэрэв та дор хаяж 100 Mbps цэвэр урсгалтай бол - өө. Хамгаалалт нь маш үнэтэй байх болно. Аюулгүй байдлын сувгуудын хүчин чадлыг их хэмжээгээр хэмнэхийн тулд програмуудыг хэрхэн зохион бүтээх талаар би дараах нийтлэлүүдэд хэлж чадна.
Жинхэнэ "толгодын хаан" бол Qrator.net, бусад нь тэдний ард хоцордог. Qrator бол миний туршлагаас харахад XNUMX-тэй ойролцоо хуурамч эерэг үр дүнг өгдөг цорын ганц хүмүүс боловч зах зээлийн бусад тоглогчдоос хэд дахин илүү үнэтэй байдаг.
Бусад операторууд ч өндөр чанартай, тогтвортой хамгаалалтаар хангадаг. Бидний дэмждэг олон үйлчилгээ (түүний дотор улсдаа алдартай үйлчилгээнүүд!) DDoS-Guard, G-Core Labs-аас хамгаалагдсан бөгөөд үр дүнд нь сэтгэл хангалуун байна.
Qrator няцаав
Би бас cloud-shield.ru, ddosa.net гэх мэт олон мянган хамгаалалтын операторуудтай ажиллаж байсан туршлагатай. Би үүнийг мэдээж зөвлөхгүй, учир нь ... Надад тийм ч их туршлага байхгүй, гэхдээ би тэдний ажлын зарчмуудын талаар танд хэлэх болно. Тэдний хамгаалалтын зардал нь гол тоглогчдынхоос 1-2 дахин бага байдаг. Дүрмээр бол тэд илүү том тоглогчдоос хэсэгчилсэн хамгаалалтын үйлчилгээг (L3/L4) худалдаж авдаг + дээд түвшний халдлагаас өөрсдөө хамгаалалт хийдэг. Энэ нь нэлээд үр дүнтэй байж болох юм + та бага мөнгөөр сайн үйлчилгээ авах боломжтой, гэхдээ эдгээр нь цөөн ажилтантай жижиг компаниуд хэвээр байгаа тул үүнийг санаарай.
L7 түвшинд халдлагыг няцаахад ямар хүндрэл гардаг вэ?
Бүх програмууд нь өвөрмөц бөгөөд та тэдэнд ашигтай урсгалыг зөвшөөрч, хортой програмуудыг хаах хэрэгтэй. Ботуудыг тодорхой хэмжээгээр устгах нь үргэлж боломжгүй байдаг тул та замын хөдөлгөөнийг маш олон, үнэхээр ОЛОН градусаар цэвэрлэх хэрэгтэй.
Нэгэн цагт nginx-testcookie модуль хангалттай байсан (), олон тооны дайралтыг няцаахад хангалттай хэвээр байна. Намайг хостингын салбарт ажиллаж байх үед L7 хамгаалалт нь nginx-testcookie дээр суурилсан байсан.
Харамсалтай нь довтолгоонууд улам хэцүү болсон. testcookie нь JS-д суурилсан ботын шалгалтыг ашигладаг бөгөөд орчин үеийн олон роботууд үүнийг амжилттай давж чаддаг.
Attack botnets нь бас өвөрмөц бөгөөд том ботнет бүрийн шинж чанарыг харгалзан үзэх ёстой.
Олшруулах, ботнетээс шууд үерлэх, янз бүрийн улс орнуудын траффикийг шүүх (янз бүрийн улс орнуудад өөр өөр шүүлтүүр), SYN/ACK үерлэх, пакет хуваагдал, ICMP, http үерлэх, харин программ/http түвшинд та хязгааргүй тооны мэдээллийг гаргаж авах боломжтой. янз бүрийн дайралт.
Нийтдээ сувгийн хамгаалалтын түвшинд замын хөдөлгөөнийг цэвэрлэх тусгай төхөөрөмж, тусгай програм хангамж, үйлчлүүлэгч бүрийн шүүлтүүрийн нэмэлт тохиргоо нь хэдэн арван, хэдэн зуун шүүлтүүрийн түвшин байж болно.
Үүнийг зөв удирдаж, янз бүрийн хэрэглэгчдэд шүүлтүүрийн тохиргоог зөв тохируулахын тулд танд маш их туршлага, мэргэшсэн боловсон хүчин хэрэгтэй. Хамгаалалтын үйлчилгээ үзүүлэхээр шийдсэн томоохон оператор ч гэсэн "асуудал руу тэнэг мөнгө хаяж чадахгүй": хууль ёсны траффик дээр худал мэдээлэл, худал мэдээллүүдээс туршлага хуримтлуулах шаардлагатай болно.
Хамгаалалтын операторын хувьд "DDoS-ийг няцаах" товчлуур байхгүй, олон тооны хэрэгсэл байдаг бөгөөд та тэдгээрийг хэрхэн ашиглахаа мэдэх хэрэгтэй.
Бас нэг урамшууллын жишээ.
Хамгаалалтгүй серверийг 600 Мбит багтаамжтай халдлагын үеэр хост блоклосон
("Трафик алдагдсан" нь мэдэгдэхүйц биш, учир нь зөвхөн 1 сайт халдлагад өртөж, серверээс түр хасагдсан бөгөөд нэг цагийн дотор блокыг цуцалсан).
Ижил сервер хамгаалагдсан. Халдлага үйлдэгчид нэг өдрийн турш няцаасан дайралтын дараа “бууж өгсөн”. Довтолгоо өөрөө хамгийн хүчтэй байсангүй.
L3/L4-ийн довтолгоо, хамгаалалт нь илүү энгийн бөгөөд тэдгээр нь голчлон сувгийн зузаан, халдлагыг илрүүлэх, шүүх алгоритмаас хамаардаг.
L7 довтолгоонууд нь илүү төвөгтэй бөгөөд анхных бөгөөд тэдгээр нь халдлагад өртөж буй програм, халдагчдын чадвар, төсөөллөөс хамаардаг. Тэднээс хамгаалах нь маш их мэдлэг, туршлага шаарддаг бөгөөд үр дүн нь шууд биш, зуун хувь биш байж магадгүй юм. Google хамгаалалтын өөр мэдрэлийн сүлжээг гаргаж ирэх хүртэл.
Эх сурвалж: www.habr.com