2020 оны эхний хоёр улиралд DDoS халдлагын тоо бараг гурав дахин нэмэгдсэн бөгөөд үүний 65% нь жижиг онлайн дэлгүүр, форум, блог, хэвлэл мэдээллийн хэрэгслийн хамгаалалтгүй сайтуудыг амархан "идэвхгүй болгох" "ачааллын туршилт" хийх анхны оролдлого юм.
DDoS хамгаалалттай хостинг хэрхэн сонгох вэ? Тааламжгүй нөхцөл байдалд орохгүйн тулд юуг анхаарч, юунд бэлдэх ёстой вэ?
(Дотоод "саарал" маркетингийн эсрэг вакцинжуулалт)
DDoS халдлага хийх хэрэгслүүдийн бэлэн байдал, олон янз байдал нь онлайн үйлчилгээний эздийг аюул заналхийллийн эсрэг зохих арга хэмжээ авахад хүргэдэг. Та DDoS-ийн хамгаалалтыг эхний бүтэлгүйтлийн дараа биш, тэр байтугай дэд бүтцийн эвдрэлийг тэсвэрлэх чадварыг нэмэгдүүлэх цогц арга хэмжээний нэг хэсэг биш, харин байршуулах сайтыг (хостинг үйлчилгээ үзүүлэгч эсвэл мэдээллийн төв) сонгох үе шатанд бодох хэрэгтэй.
DDoS халдлагууд нь нээлттэй системийн харилцан холболтын (OSI) загварын түвшний эмзэг байдлыг ашигладаг протоколуудаас хамааран ангилдаг.
- суваг (L2),
- сүлжээ (L3),
- тээвэрлэлт (L4),
- хэрэглэсэн (L7).
Аюулгүй байдлын системийн үүднээс тэдгээрийг дэд бүтцийн түвшний халдлага (L2-L4) болон хэрэглээний түвшний халдлага (L7) гэсэн хоёр бүлэгт нэгтгэж болно. Энэ нь замын хөдөлгөөний шинжилгээний алгоритмыг гүйцэтгэх дараалал ба тооцооллын нарийн төвөгтэй байдлаас шалтгаална: бид IP пакетийг гүнзгийрүүлэх тусам илүү их тооцоолох хүч шаардагдана.
Ерөнхийдөө траффикийг бодит цаг хугацаанд боловсруулахдаа тооцооллыг оновчтой болгох асуудал бол тусдаа цуврал нийтлэлүүдийн сэдэв юм. Одоо сайтуудыг програмын түвшний халдлагаас хамгаалах нөхцөлт хязгааргүй тооцоолох нөөц бүхий үүлэн үйлчилгээ үзүүлэгч байдаг гэж төсөөлөөд үз дээ. ).
DDoS халдлагын эсрэг байршуулах аюулгүй байдлын түвшинг тодорхойлох 3 үндсэн асуулт
DDoS халдлагаас хамгаалах үйлчилгээний нөхцөл болон хостинг үйлчилгээ үзүүлэгчийн Үйлчилгээний түвшний гэрээг (SLA) харцгаая. Тэд дараах асуултын хариултыг агуулж байна уу:
- Үйлчилгээ үзүүлэгчээс ямар техникийн хязгаарлалтууд заасан байдаг вэ??
- Үйлчлүүлэгч хязгаараас хэтэрсэн тохиолдолд юу болох вэ?
- Хостинг үйлчилгээ үзүүлэгч DDoS халдлагаас (технологи, шийдэл, ханган нийлүүлэгч) хэрхэн хамгаалалтыг бий болгодог вэ?
Хэрэв та энэ мэдээллийг олж чадаагүй бол энэ нь үйлчилгээ үзүүлэгчийн ноцтой байдлын талаар бодох эсвэл үндсэн DDoS хамгаалалтыг (L3-4) бие даан зохион байгуулах шалтгаан юм. Жишээлбэл, тусгай хамгаалалтын үйлчилгээ үзүүлэгчийн сүлжээнд физик холболт захиалах.
Чухал! Хэрэв таны хостинг үйлчилгээ үзүүлэгч дэд бүтцийн түвшний халдлагаас хамгаалах боломжгүй бол урвуу прокси ашиглан хэрэглээний түвшний халдлагаас хамгаалах нь утгагүй юм: сүлжээний тоног төхөөрөмж хэт ачаалалд орж, үүлэн үйлчилгээ үзүүлэгчийн прокси серверүүд ажиллах боломжгүй болно (Зураг 1). XNUMX).
Зураг 1. Хостинг үйлчилгээ үзүүлэгчийн сүлжээнд шууд халдлага
Серверийн жинхэнэ IP хаяг нь аюулгүй байдлын үйлчилгээ үзүүлэгчийн үүлний ард нуугдаж байгаа тул шууд халдах боломжгүй гэсэн үлгэр ярихыг тэдэнд бүү зөвшөөр. Арван тохиолдлын есөн тохиолдолд халдагчид бүхэл мэдээллийн төвийг "устгахын тулд" серверийн жинхэнэ IP хаяг эсвэл дор хаяж хост үйлчилгээ үзүүлэгчийн сүлжээг олоход хэцүү биш байх болно.
Жинхэнэ IP хаяг хайхын тулд хакерууд хэрхэн ажилладаг
Спойлеруудын доор жинхэнэ IP хаягийг олох хэд хэдэн арга байдаг (мэдээллийн зорилгоор өгсөн).
Арга 1: Нээлттэй эх сурвалжаас хайх
Та онлайн үйлчилгээг ашиглан хайлтаа эхлүүлж болно: Энэ нь харанхуй вэб, баримт бичиг хуваалцах платформ, Whois мэдээлэл, олон нийтийн мэдээллийн алдагдлыг боловсруулах болон бусад олон эх сурвалжийг хайдаг.
Хэрэв зарим шинж тэмдгүүд дээр үндэслэн (HTTP толгой, Whois өгөгдөл гэх мэт) сайтын хамгаалалтыг Cloudflare ашиглан зохион байгуулж байгааг тодорхойлох боломжтой байсан бол та жинхэнэ IP хаягийг хайж эхлэх боломжтой.Cloudflare-ийн ард байрлах сайтуудын 3 сая орчим IP хаягийг агуулсан.
SSL сертификат болон үйлчилгээг ашиглах Та сайтын жинхэнэ IP хаяг зэрэг олон хэрэгтэй мэдээллийг олж авах боломжтой. Өөрийн нөөцөд хүсэлт гаргахын тулд Сертификат таб руу орж дараахыг оруулна уу:
_parsed.names: нэрsite AND tags.raw: итгэмжлэгдсэн
SSL сертификат ашиглан серверүүдийн IP хаягийг хайхын тулд та хэд хэдэн хэрэгслээр унадаг жагсаалтаас гараар орох шаардлагатай болно ("Судлах" таб, дараа нь "IPv4 хостууд" -ыг сонгоно уу).
Арга 2: DNS
DNS бичлэгийн өөрчлөлтийн түүхийг хайх нь хуучин, батлагдсан арга юм. Сайтын өмнөх IP хаяг нь аль хостинг (эсвэл дата төв) дээр байрлаж байсныг тодорхой болгож чадна. Ашиглахад хялбар байдлын хувьд онлайн үйлчилгээнүүдийн дунд дараахь зүйлийг ялгаж үздэг. и .
Тохиргоог өөрчлөх үед сайт нь үүлэн аюулгүй байдлын үйлчилгээ үзүүлэгч эсвэл CDN-ийн IP хаягийг шууд ашиглахгүй, харин хэсэг хугацаанд шууд ажиллах болно. Энэ тохиолдолд IP хаягийн өөрчлөлтийн түүхийг хадгалах онлайн үйлчилгээ нь сайтын эх хаягийн талаархи мэдээллийг агуулсан байх магадлалтай.
Хэрэв хуучин DNS серверийн нэрнээс өөр зүйл байхгүй бол тусгай хэрэгслүүдийг (ухах, хост эсвэл nslookup) ашиглан сайтын домэйн нэрээр IP хаягийг хүсч болно, жишээлбэл:
_dig @old_dns_server_name нэрсайт
Арга 3: имэйл
Аргын санаа нь санал хүсэлт/бүртгэлийн маягтыг (эсвэл захидал илгээж эхлэх боломжийг олгодог бусад аргыг) ашиглан өөрийн имэйл рүү захидал хүлээн авч, толгой хэсгийг, ялангуяа "Хүлээн авсан" талбарыг шалгах явдал юм. .
Имэйлийн толгой хэсэгт MX бичлэгийн (имэйлийн солилцооны сервер) бодит IP хаяг ихэвчлэн агуулагддаг бөгөөд энэ нь зорилтот дээрх бусад серверүүдийг олох эхлэлийн цэг болдог.
Хайлтын автоматжуулалтын хэрэгслүүд
Cloudflare бамбайны ард байгаа IP хайлтын програм хангамж нь ихэвчлэн гурван даалгаварт ажилладаг:
- DNSDumpster.com ашиглан DNS-ийн буруу тохиргоог хайх;
- Crimeflare.com мэдээллийн санг сканнердах;
- толь бичгийн хайлтын аргыг ашиглан дэд домайн хайх.
Дэд домайныг олох нь ихэвчлэн гурвын хамгийн үр дүнтэй сонголт байдаг - сайтын эзэн үндсэн сайтыг хамгаалж, дэд домайныг шууд ажиллуулах боломжтой. Шалгах хамгийн хялбар арга бол ашиглах явдал юм .
Нэмж дурдахад зөвхөн толь бичиг ашиглан дэд домайн хайх, нээлттэй эх сурвалжаас хайх зориулалттай хэрэгслүүд байдаг, жишээлбэл: буюу .
Практикт хайлт хэрхэн явагддаг
Жишээлбэл, Cloudflare ашиглан seo.com сайтыг авч үзье, бид үүнийг сайн мэддэг үйлчилгээг ашиглан олох болно. (энэ нь тухайн сайтын ажиллаж буй технологи / хөдөлгүүр / CMS-ийг тодорхойлох боломжийг олгодог, мөн эсрэгээр - ашигласан технологиор сайт хайх).
"IPv4 Hosts" таб дээр дарахад үйлчилгээ нь гэрчилгээг ашиглаж буй хостуудын жагсаалтыг харуулах болно. Танд хэрэгтэй нэгийг нь олохын тулд 443-р нээлттэй порттой IP хаягийг хайж олоорой. Хэрэв энэ нь хүссэн сайт руу чиглүүлбэл даалгавар дууссан болно, үгүй бол та сайтын домэйн нэрийг "Хост" толгой хэсэгт нэмэх хэрэгтэй. HTTP хүсэлт (жишээ нь, *curl -H "Хост: сайтын нэр" *).
Манай тохиолдолд Censys мэдээллийн сангаас хайлт хийхэд юу ч өгөөгүй тул бид цаашаа явлаа.
Бид үйлчилгээгээр дамжуулан DNS хайлт хийх болно.
CloudFail хэрэглүүрийг ашиглан DNS серверүүдийн жагсаалтад дурдсан хаягуудыг хайж олсноор бид ажлын нөөцийг олдог. Үр дүн нь хэдхэн секундын дотор бэлэн болно.
Зөвхөн нээлттэй өгөгдөл, энгийн хэрэгслүүдийг ашиглан бид вэб серверийн жинхэнэ IP хаягийг тодорхойлсон. Довтлогчийн хувьд үлдсэн хэсэг нь техникийн асуудал юм.
Хостинг үйлчилгээ үзүүлэгчийг сонгохдоо буцаж орцгооё. Үйлчилгээний үйлчлүүлэгчдэд үзүүлэх ашиг тусыг үнэлэхийн тулд DDoS халдлагаас хамгаалах боломжит аргуудыг авч үзэх болно.
Хостинг үйлчилгээ үзүүлэгч хамгаалалтаа хэрхэн бий болгодог
- Шүүгч төхөөрөмж бүхий өөрийн хамгаалалтын систем (Зураг 2).
Шаардлагатай:
1.1. Замын хөдөлгөөний шүүлтүүр төхөөрөмж, програм хангамжийн лиценз;
1.2. Бүрэн цагийн мэргэжилтнүүдийг дэмжих, ажиллуулах;
1.3. Халдлага хүлээн авахад хангалттай байх интернетийн сувгууд;
1.4. Урьдчилсан төлбөрт сувгийн зурвасын өргөн нь "хогийн" урсгалыг хүлээн авах боломжтой.
Зураг 2. Хостинг үйлчилгээ үзүүлэгчийн өөрийн хамгаалалтын систем
Хэрэв бид тайлбарласан системийг хэдэн зуун Гбит / с хурдтай орчин үеийн DDoS халдлагаас хамгаалах хэрэгсэл гэж үзвэл ийм систем нь маш их мөнгө шаарддаг. Хостинг үйлчилгээ үзүүлэгч ийм хамгаалалттай юу? Тэр "хогийн" замын хөдөлгөөнийг төлөхөд бэлэн үү? Хэрэв тариф нь нэмэлт төлбөр тооцоогүй бол эдийн засгийн ийм загвар нь үйлчилгээ үзүүлэгчийн хувьд ашиггүй нь ойлгомжтой. - Урвуу прокси (зөвхөн вэбсайт болон зарим програмуудад зориулагдсан). Хэд хэдэн тоог үл харгалзан , ханган нийлүүлэгч нь шууд DDoS халдлагаас хамгаалах баталгаа өгөхгүй (Зураг 1-ийг үз). Хостинг үйлчилгээ үзүүлэгчид хариуцлагыг аюулгүй байдлын үйлчилгээ үзүүлэгч рүү шилжүүлж, ийм шийдлийг санал болгодог.
- OSI-ийн бүх түвшинд DDoS халдлагаас хамгаалах тусгай үүлэн үйлчилгээ үзүүлэгчийн үйлчилгээ (түүний шүүлтүүрийн сүлжээг ашиглах) (Зураг 3).
Зураг 3. Тусгай үйлчилгээ үзүүлэгч ашиглан DDoS халдлагаас хамгаалах цогц хамгаалалт
гүн гүнзгий интеграци, хоёр талын техникийн өндөр түвшний ур чадвар гэж үздэг. Замын хөдөлгөөний шүүлтүүрийн үйлчилгээг аутсорсинг хийх нь хостинг үйлчилгээ үзүүлэгч нь үйлчлүүлэгчдэд зориулсан нэмэлт үйлчилгээний үнийг бууруулах боломжийг олгодог.
Чухал! Үйлчилгээний техникийн шинж чанарыг илүү нарийвчлан тайлбарлах тусам тэдгээрийн хэрэгжилтийг шаардах, сул зогссон тохиолдолд нөхөн олговор авах магадлал өндөр болно.
Гурван үндсэн аргаас гадна олон төрлийн хослол, хослолууд байдаг. Хостинг сонгохдоо шийдвэр нь зөвхөн баталгаатай хаагдсан халдлагын хэмжээ, шүүлтүүрийн нарийвчлалаас гадна хариу өгөх хурд, мэдээллийн агуулгаас (хаагдсан халдлагын жагсаалт, ерөнхий статистик гэх мэт).
Дэлхий дээрх цөөн тооны хостинг үйлчилгээ үзүүлэгч нь хүлээн зөвшөөрөгдсөн түвшний хамгаалалтыг бие даан хангаж чаддаг гэдгийг санаарай; бусад тохиолдолд хамтын ажиллагаа, техникийн мэдлэг нь тусалдаг. Тиймээс DDoS халдлагаас хамгаалах зохион байгуулалтын үндсэн зарчмуудыг ойлгох нь сайтын эзэнд маркетингийн заль мэхэнд автахгүй, "гахайн гахай" худалдаж авахгүй байх боломжийг олгоно.
Эх сурвалж: www.habr.com