"Lelaki yang membuat tapak web kami telah menyediakan perlindungan DDoS."
"Kami mempunyai perlindungan DDoS, mengapa tapak itu turun?"
“Berapa ribu yang Qrator mahukan?”
Untuk menjawab soalan sedemikian daripada pelanggan/bos dengan betul, adalah baik untuk mengetahui perkara yang tersembunyi di sebalik nama "perlindungan DDoS". Memilih perkhidmatan keselamatan adalah lebih seperti memilih ubat daripada doktor daripada memilih meja di IKEA.
Saya telah menyokong tapak web selama 11 tahun, telah terselamat daripada beratus-ratus serangan terhadap perkhidmatan yang saya sokong, dan sekarang saya akan memberitahu anda serba sedikit tentang cara perlindungan dalaman.
Serangan biasa. 350k req jumlah, 52k req sah
Serangan pertama muncul hampir serentak dengan Internet. DDoS sebagai fenomena telah tersebar luas sejak akhir 2000-an (lihat ).
Sejak kira-kira 2015-2016, hampir semua penyedia pengehosan telah dilindungi daripada serangan DDoS, begitu juga dengan tapak yang paling menonjol di kawasan kompetitif (lakukan whois melalui IP tapak eldorado.ru, leroymerlin.ru, tilda.ws, anda akan melihat rangkaian pengendali perlindungan).
Jika 10-20 tahun yang lalu kebanyakan serangan boleh ditangkis pada pelayan itu sendiri (nilai cadangan pentadbir sistem Lenta.ru Maxim Moshkov dari tahun 90-an: ), tetapi kini tugas perlindungan telah menjadi lebih sukar.
Jenis serangan DDoS dari sudut pandangan memilih pengendali perlindungan
Serangan pada tahap L3/L4 (mengikut model OSI)
— UDP banjir dari botnet (banyak permintaan dihantar terus dari peranti yang dijangkiti ke perkhidmatan yang diserang, pelayan disekat dengan saluran);
— Penguatan DNS/NTP/etc (banyak permintaan dihantar daripada peranti yang dijangkiti kepada DNS/NTP/etc yang terdedah, alamat pengirim dipalsukan, awan paket yang bertindak balas kepada permintaan membanjiri saluran orang yang diserang; ini adalah cara yang paling serangan besar-besaran dilakukan di Internet moden);
— Banjir SYN / ACK (banyak permintaan untuk mewujudkan sambungan dihantar ke pelayan yang diserang, baris gilir sambungan melimpah);
— serangan dengan pemecahan paket, ping kematian, ping banjir (tolong Google);
- dan sebagainya.
Serangan ini bertujuan untuk "menyumbat" saluran pelayan atau "mematikan" keupayaannya untuk menerima trafik baharu.
Walaupun banjir dan amplifikasi SYN/ACK sangat berbeza, banyak syarikat memeranginya dengan baik. Masalah timbul dengan serangan dari kumpulan seterusnya.
Serangan pada L7 (lapisan aplikasi)
— banjir http (jika tapak web atau beberapa http api diserang);
— serangan ke atas kawasan yang terdedah pada tapak (yang tidak mempunyai cache, yang memuatkan tapak dengan sangat banyak, dsb.).
Matlamatnya adalah untuk membuat pelayan "bekerja keras", memproses banyak "permintaan yang kelihatan sebenar" dan dibiarkan tanpa sumber untuk permintaan sebenar.
Walaupun terdapat serangan lain, ini adalah yang paling biasa.
Serangan serius pada tahap L7 dicipta dengan cara yang unik untuk setiap projek yang diserang.
Kenapa 2 kumpulan?
Kerana terdapat ramai yang tahu cara menangkis serangan dengan baik pada tahap L3 / L4, tetapi sama ada tidak mengambil perlindungan pada tahap aplikasi (L7) sama sekali, atau masih lebih lemah daripada alternatif dalam menanganinya.
Siapa yang berada dalam pasaran perlindungan DDoS
(pendapat peribadi saya)
Perlindungan pada tahap L3/L4
Untuk menangkis serangan dengan amplifikasi ("sekatan" saluran pelayan), terdapat saluran yang cukup luas (banyak perkhidmatan perlindungan bersambung ke kebanyakan penyedia tulang belakang besar di Rusia dan mempunyai saluran dengan kapasiti teori lebih daripada 1 Tbit). Jangan lupa bahawa serangan amplifikasi yang sangat jarang berlaku lebih lama daripada satu jam. Jika anda adalah Spamhaus dan semua orang tidak menyukai anda, ya, mereka mungkin cuba menutup saluran anda selama beberapa hari, walaupun dengan risiko botnet global masih boleh digunakan. Jika anda hanya mempunyai kedai dalam talian, walaupun ia mvideo.ru, anda tidak akan melihat 1 Tbit dalam masa beberapa hari tidak lama lagi (saya harap).
Untuk menangkis serangan dengan banjir SYN/ACK, pemecahan paket, dsb., anda memerlukan peralatan atau sistem perisian untuk mengesan dan menyekat serangan tersebut.
Ramai orang menghasilkan peralatan sedemikian (Arbor, terdapat penyelesaian dari Cisco, Huawei, pelaksanaan perisian dari Wanguard, dll.), banyak operator tulang belakang telah memasangnya dan menjual perkhidmatan perlindungan DDoS (saya tahu tentang pemasangan dari Rostelecom, Megafon, TTK, MTS , sebenarnya, semua penyedia utama melakukan perkara yang sama dengan hoster dengan perlindungan mereka sendiri a-la OVH.com, Hetzner.de, saya sendiri mengalami perlindungan di ihor.ru). Sesetengah syarikat sedang membangunkan penyelesaian perisian mereka sendiri (teknologi seperti DPDK memungkinkan untuk memproses berpuluh-puluh gigabit trafik pada satu mesin x86 fizikal).
Daripada pemain terkenal, semua orang boleh melawan L3/L4 DDoS dengan lebih kurang berkesan. Sekarang saya tidak akan mengatakan siapa yang mempunyai kapasiti saluran maksimum yang lebih besar (ini adalah maklumat orang dalam), tetapi biasanya ini tidak begitu penting, dan satu-satunya perbezaan ialah seberapa cepat perlindungan dicetuskan (sejurus atau selepas beberapa minit masa henti projek, seperti dalam Hetzner).
Persoalannya ialah sejauh mana tindakan ini dilakukan: serangan amplifikasi boleh ditangkis dengan menyekat trafik dari negara dengan jumlah trafik berbahaya terbesar, atau hanya trafik yang benar-benar tidak perlu boleh dibuang.
Tetapi pada masa yang sama, berdasarkan pengalaman saya, semua pemain pasaran yang serius menghadapi ini tanpa masalah: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (dahulunya SkyParkCDN), ServicePipe, Stormwall, Voxility, dll.
Saya tidak menemui perlindungan daripada pengendali seperti Rostelecom, Megafon, TTK, Beeline; menurut ulasan daripada rakan sekerja, mereka menyediakan perkhidmatan ini dengan cukup baik, tetapi setakat ini kekurangan pengalaman mempengaruhi secara berkala: kadang-kadang anda perlu mengubah sesuatu melalui sokongan daripada pengendali perlindungan.
Sesetengah pengendali mempunyai perkhidmatan berasingan "perlindungan terhadap serangan di peringkat L3/L4", atau "perlindungan saluran"; kosnya jauh lebih rendah daripada perlindungan di semua peringkat.
Mengapa pembekal tulang belakang tidak menangkis serangan ratusan Gbit, kerana ia tidak mempunyai saluran sendiri?Pengendali perlindungan boleh menyambung kepada mana-mana penyedia utama dan menangkis serangan "atas perbelanjaannya." Anda perlu membayar untuk saluran tersebut, tetapi kesemua beratus-ratus Gbit ini tidak akan selalu digunakan; terdapat pilihan untuk mengurangkan kos saluran dengan ketara dalam kes ini, jadi skim ini kekal boleh dilaksanakan.
Ini adalah laporan yang kerap saya terima daripada perlindungan L3/L4 peringkat lebih tinggi sambil menyokong sistem penyedia pengehosan.
Perlindungan pada tahap L7 (tahap permohonan)
Serangan pada tahap L7 (tahap aplikasi) mampu menangkis unit secara konsisten dan cekap.
Saya mempunyai banyak pengalaman sebenar dengan
— Qrator.net;
— Pengawal DDoS;
- Makmal G-Core;
- Kaspersky.
Mereka mengenakan bayaran untuk setiap megabit trafik tulen, kos megabit kira-kira beberapa ribu rubel. Jika anda mempunyai sekurang-kurangnya 100 Mbps trafik tulen - oh. Perlindungan akan menjadi sangat mahal. Saya boleh memberitahu anda dalam artikel berikut cara mereka bentuk aplikasi untuk menjimatkan banyak kapasiti saluran keselamatan.
"Raja bukit" sebenar ialah Qrator.net, selebihnya ketinggalan di belakang mereka. Qrator setakat ini adalah satu-satunya dalam pengalaman saya yang memberikan peratusan positif palsu hampir kepada sifar, tetapi pada masa yang sama ia beberapa kali lebih mahal daripada pemain pasaran lain.
Pengendali lain juga menyediakan perlindungan berkualiti tinggi dan stabil. Banyak perkhidmatan yang disokong oleh kami (termasuk yang sangat terkenal di negara ini!) dilindungi daripada DDoS-Guard, G-Core Labs, dan agak berpuas hati dengan keputusan yang diperolehi.
Serangan ditangkis oleh Qrator
Saya juga mempunyai pengalaman dengan pengendali keselamatan kecil seperti cloud-shield.ru, ddosa.net, beribu-ribu daripada mereka. Saya pasti tidak akan mengesyorkannya, kerana... Saya tidak mempunyai banyak pengalaman, tetapi saya akan memberitahu anda tentang prinsip kerja mereka. Kos perlindungan mereka selalunya 1-2 pesanan magnitud lebih rendah daripada pemain utama. Sebagai peraturan, mereka membeli perkhidmatan perlindungan separa (L3/L4) daripada salah satu pemain yang lebih besar + melakukan perlindungan mereka sendiri terhadap serangan pada tahap yang lebih tinggi. Ini boleh menjadi agak berkesan + anda boleh mendapatkan perkhidmatan yang baik pada harga yang lebih murah, tetapi ini masih syarikat kecil dengan kakitangan yang kecil, sila ingat perkara itu.
Apakah kesukaran untuk menangkis serangan pada tahap L7?
Semua aplikasi adalah unik, dan anda perlu membenarkan lalu lintas yang berguna untuk mereka dan menyekat yang berbahaya. Ia tidak selalu mungkin untuk menghapuskan bot dengan jelas, jadi anda perlu menggunakan banyak, benar-benar BANYAK tahap pembersihan trafik.
Pada suatu masa dahulu, modul nginx-testcookie sudah cukup (), dan ia masih cukup untuk menangkis sejumlah besar serangan. Apabila saya bekerja dalam industri pengehosan, perlindungan L7 adalah berdasarkan nginx-testcookie.
Malangnya, serangan telah menjadi lebih sukar. testcookie menggunakan semakan bot berasaskan JS, dan banyak bot moden boleh berjaya melepasinya.
Botnet serangan juga unik, dan ciri-ciri setiap botnet besar mesti diambil kira.
Penguatan, banjir terus dari botnet, menapis trafik dari negara yang berbeza (penapisan berbeza untuk negara yang berbeza), banjir SYN/ACK, pemecahan paket, ICMP, banjir http, manakala pada peringkat aplikasi/http anda boleh menghasilkan bilangan yang tidak terhad serangan yang berbeza.
Secara keseluruhan, pada tahap perlindungan saluran, peralatan khusus untuk mengosongkan trafik, perisian khas, tetapan penapisan tambahan untuk setiap pelanggan boleh terdapat puluhan dan ratusan tahap penapisan.
Untuk mengurus ini dengan betul dan menala tetapan penapisan dengan betul untuk pengguna yang berbeza, anda memerlukan banyak pengalaman dan kakitangan yang berkelayakan. Malah pengendali besar yang telah memutuskan untuk menyediakan perkhidmatan perlindungan tidak boleh "bodoh membuang wang pada masalah": pengalaman perlu diperoleh daripada laman web pembohongan dan positif palsu pada trafik yang sah.
Tiada butang "menolak DDoS" untuk pengendali keselamatan; terdapat sejumlah besar alat, dan anda perlu tahu cara menggunakannya.
Dan satu lagi contoh bonus.
Pelayan yang tidak dilindungi telah disekat oleh hoster semasa serangan dengan kapasiti 600 Mbit
(“Kehilangan” trafik tidak ketara, kerana hanya 1 tapak diserang, ia telah dialih keluar buat sementara waktu daripada pelayan dan sekatan telah ditarik balik dalam masa sejam).
Pelayan yang sama dilindungi. Penyerang "menyerah diri" selepas seharian serangan dipatahkan. Serangan itu sendiri bukanlah yang paling kuat.
Serangan dan pertahanan L3/L4 adalah lebih remeh; mereka bergantung terutamanya pada ketebalan saluran, algoritma pengesanan dan penapisan untuk serangan.
Serangan L7 adalah lebih kompleks dan asli; ia bergantung pada aplikasi yang diserang, keupayaan dan imaginasi penyerang. Perlindungan terhadap mereka memerlukan banyak pengetahuan dan pengalaman, dan hasilnya mungkin tidak serta-merta dan tidak seratus peratus. Sehingga Google menghasilkan rangkaian saraf lain untuk perlindungan.
Sumber: www.habr.com