Dalam dua suku pertama 2020, bilangan serangan DDoS hampir meningkat tiga kali ganda, dengan 65% daripadanya adalah percubaan primitif pada "ujian beban" yang dengan mudah "melumpuhkan" tapak tanpa pertahanan kedai dalam talian kecil, forum, blog dan saluran media.
Bagaimana untuk memilih pengehosan yang dilindungi DDoS? Apakah yang perlu anda perhatikan dan apakah yang perlu anda persiapkan agar tidak berakhir dalam situasi yang tidak menyenangkan?
(Vaksinasi terhadap pemasaran "kelabu" di dalam)
Ketersediaan dan kepelbagaian alatan untuk menjalankan serangan DDoS memaksa pemilik perkhidmatan dalam talian untuk mengambil langkah yang sewajarnya untuk mengatasi ancaman tersebut. Anda harus memikirkan perlindungan DDoS bukan selepas kegagalan pertama, dan bukan sebagai sebahagian daripada satu set langkah untuk meningkatkan toleransi kesalahan infrastruktur, tetapi pada peringkat memilih tapak untuk penempatan (penyedia pengehosan atau pusat data).
Serangan DDoS diklasifikasikan bergantung pada protokol yang kelemahannya dieksploitasi ke tahap model Open Systems Interconnection (OSI):
- saluran (L2),
- rangkaian (L3),
- pengangkutan (L4),
- digunakan (L7).
Dari sudut pandangan sistem keselamatan, mereka boleh digeneralisasikan kepada dua kumpulan: serangan peringkat infrastruktur (L2-L4) dan serangan peringkat aplikasi (L7). Ini disebabkan oleh urutan pelaksanaan algoritma analisis trafik dan kerumitan pengiraan: semakin mendalam kita melihat ke dalam paket IP, semakin banyak kuasa pengkomputeran diperlukan.
Secara umum, masalah mengoptimumkan pengiraan apabila memproses trafik dalam masa nyata adalah topik untuk siri artikel yang berasingan. Sekarang mari kita bayangkan bahawa terdapat beberapa pembekal awan dengan sumber pengkomputeran tanpa had bersyarat yang boleh melindungi tapak daripada serangan peringkat aplikasi (termasuk ).
3 soalan utama untuk menentukan tahap keselamatan pengehosan terhadap serangan DDoS
Mari lihat syarat perkhidmatan untuk perlindungan terhadap serangan DDoS dan Perjanjian Tahap Perkhidmatan (SLA) penyedia pengehosan. Adakah ia mengandungi jawapan kepada soalan berikut:
- apakah had teknikal yang dinyatakan oleh pembekal perkhidmatan??
- apa yang berlaku apabila pelanggan melampaui had?
- Bagaimanakah penyedia pengehosan membina perlindungan terhadap serangan DDoS (teknologi, penyelesaian, pembekal)?
Jika anda tidak menemui maklumat ini, maka ini adalah sebab untuk sama ada memikirkan tentang keseriusan penyedia perkhidmatan, atau mengatur perlindungan DDoS asas (L3-4) sendiri. Contohnya, pesan sambungan fizikal ke rangkaian pembekal keselamatan khusus.
Penting! Tiada gunanya memberikan perlindungan terhadap serangan peringkat aplikasi menggunakan Reverse Proxy jika penyedia pengehosan anda tidak dapat memberikan perlindungan terhadap serangan peringkat infrastruktur: peralatan rangkaian akan terlebih beban dan menjadi tidak tersedia, termasuk untuk pelayan proksi pembekal awan (Rajah 1).
Rajah 1. Serangan langsung pada rangkaian penyedia pengehosan
Dan jangan biarkan mereka cuba memberitahu anda cerita dongeng bahawa alamat IP sebenar pelayan tersembunyi di sebalik awan penyedia keselamatan, yang bermaksud mustahil untuk menyerangnya secara langsung. Dalam sembilan daripada sepuluh kes, tidak sukar bagi penyerang untuk mencari alamat IP sebenar pelayan atau sekurang-kurangnya rangkaian penyedia pengehosan untuk "memusnahkan" keseluruhan pusat data.
Cara penggodam bertindak mencari alamat IP sebenar
Di bawah spoiler terdapat beberapa kaedah untuk mencari alamat IP sebenar (diberikan untuk tujuan maklumat).
Kaedah 1: Cari dalam sumber terbuka
Anda boleh memulakan carian anda dengan perkhidmatan dalam talian: Ia mencari web gelap, platform perkongsian dokumen, memproses data Whois, kebocoran data awam dan banyak sumber lain.
Jika, berdasarkan beberapa tanda (pengepala HTTP, data Whois, dll.), adalah mungkin untuk menentukan bahawa perlindungan tapak diatur menggunakan Cloudflare, maka anda boleh mula mencari IP sebenar daripada, yang mengandungi kira-kira 3 juta alamat IP tapak yang terletak di belakang Cloudflare.
Menggunakan sijil dan perkhidmatan SSL anda boleh menemui banyak maklumat berguna, termasuk alamat IP sebenar tapak. Untuk menjana permintaan untuk sumber anda, pergi ke tab Sijil dan masukkan:
_parsed.name: namatapak DAN tags.raw: dipercayai
Untuk mencari alamat IP pelayan menggunakan sijil SSL, anda perlu melalui senarai juntai bawah secara manual dengan beberapa alat (tab "Teroka", kemudian pilih "Hos IPv4").
Kaedah 2: DNS
Mencari sejarah perubahan rekod DNS ialah kaedah lama yang terbukti. Alamat IP tapak sebelumnya boleh menjelaskan dengan jelas tempat pengehosan (atau pusat data) itu berada. Antara perkhidmatan dalam talian dari segi kemudahan penggunaan, yang berikut menonjol: ΠΈ .
Apabila anda menukar tetapan, tapak tersebut tidak akan menggunakan alamat IP pembekal keselamatan awan atau CDN dengan serta-merta, tetapi akan berfungsi secara langsung untuk beberapa waktu. Dalam kes ini, terdapat kemungkinan bahawa perkhidmatan dalam talian untuk menyimpan sejarah perubahan alamat IP mengandungi maklumat tentang alamat sumber tapak.
Jika tiada apa-apa selain nama pelayan DNS lama, kemudian menggunakan utiliti khas (gali, hos atau nslookup) anda boleh meminta alamat IP mengikut nama domain tapak, contohnya:
_gali nama @old_dns_server_namelaman web ini
Kaedah 3: e-mel
Idea kaedah ini adalah menggunakan borang maklum balas/pendaftaran (atau mana-mana kaedah lain yang membolehkan anda memulakan penghantaran surat) untuk menerima surat ke e-mel anda dan menyemak pengepala, khususnya medan "Diterima". .
Pengepala e-mel selalunya mengandungi alamat IP sebenar rekod MX (pelayan pertukaran e-mel), yang boleh menjadi titik permulaan untuk mencari pelayan lain pada sasaran.
Alat Automasi Carian
Perisian carian IP di belakang perisai Cloudflare paling kerap berfungsi untuk tiga tugas:
- Imbas untuk salah konfigurasi DNS menggunakan DNSDumpster.com;
- Imbasan pangkalan data Crimeflare.com;
- cari subdomain menggunakan kaedah carian kamus.
Mencari subdomain selalunya merupakan pilihan yang paling berkesan daripada ketiga-tiga - pemilik tapak boleh melindungi tapak utama dan membiarkan subdomain berjalan terus. Cara paling mudah untuk menyemak ialah menggunakan .
Selain itu, terdapat utiliti yang direka hanya untuk mencari subdomain menggunakan carian kamus dan mencari dalam sumber terbuka, contohnya: atau .
Bagaimana carian berlaku dalam amalan
Sebagai contoh, mari kita ambil tapak seo.com menggunakan Cloudflare, yang akan kita temui menggunakan perkhidmatan yang terkenal (membolehkan anda menentukan kedua-dua teknologi / enjin / CMS di mana tapak tersebut beroperasi, dan sebaliknya - cari tapak mengikut teknologi yang digunakan).
Apabila anda mengklik pada tab "Hos IPv4", perkhidmatan akan menunjukkan senarai hos menggunakan sijil. Untuk mencari yang anda perlukan, cari alamat IP dengan port terbuka 443. Jika ia mengubah hala ke tapak yang dikehendaki, maka tugas itu selesai, jika tidak, anda perlu menambah nama domain tapak tersebut pada pengepala "Host" Permintaan HTTP (contohnya, *curl -H "Host: site_name" *).
Dalam kes kami, carian dalam pangkalan data Censys tidak memberikan apa-apa, jadi kami meneruskan.
Kami akan melakukan carian DNS melalui perkhidmatan tersebut.
Dengan mencari melalui alamat yang disebut dalam senarai pelayan DNS menggunakan utiliti CloudFail, kami mendapati sumber yang berfungsi. Hasilnya akan siap dalam beberapa saat.
Dengan hanya menggunakan data terbuka dan alatan mudah, kami menentukan alamat IP sebenar pelayan web. Selebihnya untuk penyerang adalah soal teknik.
Mari kembali kepada memilih penyedia pengehosan. Untuk menilai manfaat perkhidmatan untuk pelanggan, kami akan mempertimbangkan kaedah perlindungan yang mungkin terhadap serangan DDoS.
Bagaimana penyedia pengehosan membina perlindungannya
- Sistem perlindungan sendiri dengan peralatan penapisan (Rajah 2).
Memerlukan:
1.1. Peralatan penapisan lalu lintas dan lesen perisian;
1.2. Pakar sepenuh masa untuk sokongan dan operasinya;
1.3. Saluran akses Internet yang mencukupi untuk menerima serangan;
1.4. Jalur lebar saluran prabayar yang ketara untuk menerima trafik "sampah".
Rajah 2. Sistem keselamatan penyedia hosting sendiri
Jika kita menganggap sistem yang diterangkan sebagai cara perlindungan terhadap serangan DDoS moden dengan ratusan Gbps, maka sistem sedemikian akan menelan belanja yang banyak. Adakah penyedia pengehosan mempunyai perlindungan sedemikian? Adakah dia bersedia untuk membayar trafik "sampah"? Jelas sekali, model ekonomi sedemikian tidak menguntungkan penyedia jika tarif tidak menyediakan pembayaran tambahan. - Reverse Proxy (untuk tapak web dan beberapa aplikasi sahaja). Walaupun bilangan , pembekal tidak menjamin perlindungan terhadap serangan DDoS langsung (lihat Rajah 1). Penyedia pengehosan sering menawarkan penyelesaian sedemikian sebagai ubat penawar, mengalihkan tanggungjawab kepada penyedia keselamatan.
- Perkhidmatan pembekal awan khusus (penggunaan rangkaian penapisannya) untuk melindungi daripada serangan DDoS di semua peringkat OSI (Rajah 3).
Rajah 3. Perlindungan menyeluruh terhadap serangan DDoS menggunakan pembekal khusus
menganggap integrasi yang mendalam dan tahap kecekapan teknikal yang tinggi bagi kedua-dua pihak. Perkhidmatan penapisan trafik penyumberan luar membolehkan penyedia pengehosan mengurangkan harga perkhidmatan tambahan untuk pelanggan.
Penting! Lebih terperinci ciri teknikal perkhidmatan yang disediakan diterangkan, lebih besar peluang untuk menuntut pelaksanaan atau pampasan mereka sekiranya berlaku masa henti.
Sebagai tambahan kepada tiga kaedah utama, terdapat banyak kombinasi dan gabungan. Apabila memilih pengehosan, adalah penting untuk pelanggan ingat bahawa keputusan akan bergantung bukan sahaja pada saiz serangan disekat yang dijamin dan ketepatan penapisan, tetapi juga pada kelajuan tindak balas, serta kandungan maklumat (senarai serangan yang disekat, statistik am, dsb.).
Ingat bahawa hanya beberapa penyedia pengehosan di dunia yang dapat memberikan tahap perlindungan yang boleh diterima sendiri; dalam kes lain, kerjasama dan celik teknikal membantu. Oleh itu, memahami prinsip asas mengatur perlindungan terhadap serangan DDoS akan membolehkan pemilik tapak tidak terpengaruh dengan helah pemasaran dan tidak membeli "babi di cucuk".
Sumber: www.habr.com