"Ir-raġel li għamel il-websajt tagħna diġà waqqaf protezzjoni DDoS."
"Għandna protezzjoni DDoS, għaliex is-sit niżel?"
"Kemm eluf irid Qrator?"
Sabiex twieġeb sew mistoqsijiet bħal dawn mill-klijent/boxxla, ikun sabiħ li tkun taf x'inhu moħbi wara l-isem "protezzjoni DDoS". L-għażla tas-servizzi tas-sigurtà hija aktar bħal li tagħżel mediċina mingħand tabib milli tagħżel mejda fl-IKEA.
Ilni nappoġġja websajts għal 11-il sena, għejt għal mijiet ta 'attakki fuq is-servizzi li nappoġġja, u issa ngħidlek ftit dwar il-ħidma interna tal-protezzjoni.
Attakki regolari. 350k req totali, 52k req leġittimi
L-ewwel attakki dehru kważi simultanjament mal-Internet. DDoS bħala fenomenu infirex ħafna mill-aħħar tas-snin 2000 (iċċekkja ).
Minn madwar 2015-2016, kważi l-fornituri kollha ta 'hosting ġew protetti minn attakki DDoS, kif għamlu l-aktar siti prominenti f'żoni kompetittivi (do whois by IP tas-siti eldorado.ru, leroymerlin.ru, tilda.ws, se tara n-netwerks tal-operaturi tal-protezzjoni).
Jekk 10-20 sena ilu l-biċċa l-kbira tal-attakki jistgħu jiġu mkeċċi fuq is-server innifsu (evalwa r-rakkomandazzjonijiet tal-amministratur tas-sistema Lenta.ru Maxim Moshkov mis-snin 90: ), iżda issa l-kompiti tal-protezzjoni saru aktar diffiċli.
Tipi ta 'attakki DDoS mil-lat tal-għażla ta' operatur ta 'protezzjoni
Attakki fil-livell L3/L4 (skond il-mudell OSI)
— Għargħar UDP minn botnet (ħafna talbiet jintbagħtu direttament minn apparati infettati lis-servizz attakkat, is-servers huma mblukkati bil-kanal);
— Amplifikazzjoni DNS/NTP/eċċ (ħafna talbiet jintbagħtu minn apparati infettati lil DNS/NTP/eċċ vulnerabbli, l-indirizz tal-mittent huwa falsifikat, sħaba ta’ pakketti li jwieġbu għat-talbiet tgħarraq il-kanal tal-persuna li tkun qed tiġi attakkata; dan huwa kif l-aktar attakki massivi jitwettqu fuq l-Internet modern);
— Għargħar SYN / ACK (ħafna talbiet biex tiġi stabbilita konnessjoni jintbagħtu lis-servers attakkati, il-kju tal-konnessjoni jinfirex);
— attakki bi frammentazzjoni tal-pakketti, ping of death, ping flood (Google it please);
- u l-bqija.
Dawn l-attakki għandhom l-għan li "jingħalqu" il-kanal tas-server jew "joqtlu" l-abbiltà tiegħu li jaċċetta traffiku ġdid.
Għalkemm l-għargħar u l-amplifikazzjoni SYN/ACK huma differenti ħafna, ħafna kumpaniji jiġġielduhom tajjeb bl-istess mod. Jqumu problemi bl-attakki mill-grupp li jmiss.
Attakki fuq L7 (saff ta' applikazzjoni)
— http flood (jekk websajt jew xi http api tiġi attakkata);
— attakk fuq żoni vulnerabbli tas-sit (dawk li m'għandhomx cache, li jgħabbu s-sit ħafna, eċċ.).
L-għan huwa li s-server "jaħdem iebes", jipproċessa ħafna "talbiet li jidhru reali" u jitħalla mingħajr riżorsi għal talbiet reali.
Għalkemm hemm attakki oħra, dawn huma l-aktar komuni.
Attakki serji fil-livell L7 huma maħluqa b'mod uniku għal kull proġett li jiġi attakkat.
Għaliex 2 gruppi?
Minħabba li hemm ħafna li jafu kif iwarrbu tajjeb l-attakki fil-livell L3 / L4, iżda jew ma jieħdux protezzjoni fil-livell tal-applikazzjoni (L7) xejn, jew għadhom aktar dgħajfa minn alternattivi biex jittrattawhom.
Min hu min fis-suq tal-protezzjoni DDoS
(l-opinjoni personali tiegħi)
Protezzjoni fil-livell L3/L4
Biex tirrepeli l-attakki bl-amplifikazzjoni ("imblukkar" tal-kanal tas-server), hemm biżżejjed kanali wiesgħa (ħafna mis-servizzi ta 'protezzjoni jgħaqqdu l-biċċa l-kbira tal-fornituri tas-sinsla kbar fir-Russja u għandhom kanali b'kapaċità teoretika ta' aktar minn 1 Tbit). Tinsiex li l-attakki ta' amplifikazzjoni rari ħafna jdumu aktar minn siegħa. Jekk inti Spamhaus u kulħadd ma jogħġobkx, iva, jistgħu jippruvaw jagħlqu l-kanali tiegħek għal diversi jiem, anke bir-riskju li l-botnet globali tkun qed tintuża aktar. Jekk għandek biss ħanut online, anki jekk huwa mvideo.ru, ma tarax 1 Tbit fi żmien ftit jiem dalwaqt (nittama).
Biex tirrepeli l-attakki b'għargħar SYN/ACK, frammentazzjoni tal-pakketti, eċċ., għandek bżonn tagħmir jew sistemi ta' softwer biex tiskopri u twaqqaf attakki bħal dawn.
Ħafna nies jipproduċu tali tagħmir (Arbor, hemm soluzzjonijiet minn Cisco, Huawei, implimentazzjonijiet ta’ softwer minn Wanguard, eċċ.), Bosta operaturi tas-sinsla diġà stallawh u jbigħu servizzi ta’ protezzjoni DDoS (naf dwar installazzjonijiet minn Rostelecom, Megafon, TTK, MTS , fil-fatt, il-fornituri ewlenin kollha jagħmlu l-istess ma 'hosters bil-protezzjoni tagħhom stess a-la OVH.com, Hetzner.de, jien stess iltqajt ma' protezzjoni fuq ihor.ru). Xi kumpaniji qed jiżviluppaw is-soluzzjonijiet tas-softwer tagħhom stess (teknoloġiji bħal DPDK jippermettulek tipproċessa għexieren ta 'gigabits ta' traffiku fuq magna fiżika x86 waħda).
Mill-plejers magħrufa, kulħadd jista 'jiġġieled kontra L3/L4 DDoS b'mod aktar jew inqas effettiv. Issa mhux se ngħid min għandu l-akbar kapaċità massima tal-kanal (din hija informazzjoni minn ġewwa), iżda ġeneralment dan mhux daqshekk importanti, u l-unika differenza hija kemm malajr tiġi attivata l-protezzjoni (istantanjament jew wara ftit minuti ta 'waqfien tal-proġett, bħal f’Hetzner).
Il-mistoqsija hija kemm dan isir tajjeb: attakk ta 'amplifikazzjoni jista' jiġi mħassar billi jiġi mblukkat it-traffiku minn pajjiżi bl-akbar ammont ta 'traffiku ta' ħsara, jew traffiku verament mhux meħtieġ biss jista 'jintrema.
Iżda fl-istess ħin, abbażi tal-esperjenza tiegħi, l-atturi serji kollha tas-suq ilaħħqu ma 'dan mingħajr problemi: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (qabel SkyParkCDN), ServicePipe, Stormwall, Voxility, eċċ.
Ma ltqajtx ma' protezzjoni minn operaturi bħal Rostelecom, Megafon, TTK, Beeline; skont reviżjonijiet mill-kollegi, dawn jipprovdu dawn is-servizzi pjuttost tajjeb, iżda s'issa n-nuqqas ta 'esperjenza qed jaffettwa perjodikament: xi drabi għandek bżonn ttejjeb xi ħaġa permezz tal-appoġġ. tal-operatur tal-protezzjoni.
Xi operaturi għandhom servizz separat "protezzjoni kontra attakki fil-livell L3/L4", jew "protezzjoni tal-kanal"; jiswa ħafna inqas mill-protezzjoni fil-livelli kollha.
Għaliex il-fornitur tas-sinsla mhux qed iwarrab attakki ta 'mijiet ta' Gbits, peress li m'għandux il-kanali tiegħu stess?L-operatur tal-protezzjoni jista 'jgħaqqad ma' kwalunkwe fornitur ewlieni u jneħħi l-attakki "bi spejjeż tiegħu." Int ser ikollok tħallas għall-kanal, iżda dawn il-mijiet ta 'Gbits kollha mhux dejjem se jiġu utilizzati; hemm għażliet biex titnaqqas b'mod sinifikanti l-ispiża tal-kanali f'dan il-każ, għalhekk l-iskema tibqa' prattikabbli.
Dawn huma r-rapporti li rċevejt regolarment minn protezzjoni L3/L4 ta’ livell ogħla waqt li nappoġġa s-sistemi tal-fornitur tal-hosting.
Protezzjoni fil-livell L7 (livell ta' applikazzjoni)
L-attakki fil-livell L7 (livell ta 'applikazzjoni) huma kapaċi jirripellaw l-unitajiet b'mod konsistenti u effiċjenti.
Għandi ħafna esperjenza reali magħhom
— Qrator.net;
— DDoS-Gwardja;
- G-Core Labs;
— Kaspersky.
Huma jitolbu ħlas għal kull megabit ta 'traffiku pur, megabit jiswa madwar diversi eluf ta' rublu. Jekk għandek mill-inqas 100 Mbps ta 'traffiku pur - oh. Il-protezzjoni se tkun għalja ħafna. Nista 'ngħidlek fl-artikoli li ġejjin kif tfassal applikazzjonijiet sabiex tiffranka ħafna fuq il-kapaċità tal-kanali tas-sigurtà.
Il-veru "king of the hill" huwa Qrator.net, il-bqija għadhom lura. Qrator s'issa huma l-uniċi fl-esperjenza tiegħi li jagħtu persentaġġ ta' pożittivi foloz qrib iż-żero, iżda fl-istess ħin huma bosta drabi aktar għaljin minn atturi oħra tas-suq.
Operaturi oħra jipprovdu wkoll protezzjoni ta 'kwalità għolja u stabbli. Ħafna servizzi appoġġjati minna (inklużi dawk magħrufa ħafna fil-pajjiż!) huma protetti minn DDoS-Guard, G-Core Labs, u huma pjuttost sodisfatti bir-riżultati miksuba.
Attakki imwarrba minn Qrator
Għandi wkoll esperjenza ma' operaturi żgħar tas-sigurtà bħal cloud-shield.ru, ddosa.net, eluf minnhom. Żgur li mhux se nirrakkomandaha, għax... M'għandix ħafna esperjenza, imma ngħidlek dwar il-prinċipji tax-xogħol tagħhom. L-ispiża tal-protezzjoni tagħhom ħafna drabi hija 1-2 ordnijiet ta 'kobor inqas minn dik ta' atturi ewlenin. Bħala regola, huma jixtru servizz ta 'protezzjoni parzjali (L3/L4) minn wieħed mill-atturi akbar + jagħmlu l-protezzjoni tagħhom stess kontra attakki f'livelli ogħla. Dan jista 'jkun pjuttost effettiv + tista' tikseb servizz tajjeb għal inqas flus, iżda dawn għadhom kumpaniji żgħar b'persunal żgħir, jekk jogħġbok żomm dan f'moħħok.
X'inhi d-diffikultà biex tirrepeli l-attakki fil-livell L7?
L-applikazzjonijiet kollha huma uniċi, u trid tħalli traffiku li huwa utli għalihom u timblokka dawk li jagħmlu l-ħsara. Mhux dejjem ikun possibbli li jitneħħew il-bots b'mod inekwivoku, għalhekk għandek tuża ħafna, tassew ĦAFNA gradi ta 'purifikazzjoni tat-traffiku.
Darba, il-modulu nginx-testcookie kien biżżejjed (), u għadu biżżejjed biex iwarrab numru kbir ta 'attakki. Meta ħdimt fl-industrija tal-hosting, il-protezzjoni L7 kienet ibbażata fuq nginx-testcookie.
Sfortunatament, l-attakki saru aktar diffiċli. testcookie juża kontrolli tal-bot ibbażati fuq JS, u ħafna bots moderni jistgħu jgħadduhom b'suċċess.
Il-botnets tal-attakk huma wkoll uniċi, u l-karatteristiċi ta 'kull botnet kbir għandhom jitqiesu.
Amplifikazzjoni, għargħar dirett minn botnet, iffiltrar tat-traffiku minn pajjiżi differenti (filtrazzjoni differenti għal pajjiżi differenti), għargħar SYN/ACK, frammentazzjoni tal-pakketti, ICMP, għargħar http, filwaqt li fil-livell tal-applikazzjoni/http tista’ toħroġ b’numru illimitat ta’ attakki differenti.
B'kollox, fil-livell ta 'protezzjoni tal-kanal, tagħmir speċjalizzat għall-ikklerjar tat-traffiku, softwer speċjali, settings addizzjonali ta' filtrazzjoni għal kull klijent jista 'jkun hemm għexieren u mijiet ta' livelli ta 'filtrazzjoni.
Biex timmaniġġja dan sew u tissettja b'mod korrett is-settings tal-filtrazzjoni għal utenti differenti, għandek bżonn ħafna esperjenza u persunal kwalifikat. Anke operatur kbir li ddeċieda li jipprovdi servizzi ta 'protezzjoni ma jistax "jitfa' l-flus b'mod stupidu fil-problema": l-esperjenza se jkollha tinkiseb minn siti gideb u pożittivi foloz fuq traffiku leġittimu.
M'hemm l-ebda buttuna "repel DDoS" għall-operatur tas-sigurtà; hemm numru kbir ta 'għodod, u trid tkun taf kif tużahom.
U eżempju bonus ieħor.
Server mhux protett ġie mblukkat mill-hoster waqt attakk b'kapaċità ta '600 Mbit
("It-telf" tat-traffiku mhuwiex notevoli, minħabba li sit 1 biss ġie attakkat, tneħħa temporanjament mis-server u l-imblukkar tneħħa fi żmien siegħa).
L-istess server huwa protett. L-attakkanti "ċedew" wara ġurnata ta 'attakki respinti. L-attakk innifsu ma kienx l-aktar qawwi.
L-attakk u d-difiża ta 'L3/L4 huma aktar trivjali; jiddependu prinċipalment fuq il-ħxuna tal-kanali, algoritmi ta' skoperta u filtrazzjoni għall-attakki.
L-attakki L7 huma aktar kumplessi u oriġinali; jiddependu fuq l-applikazzjoni li tkun qed tiġi attakkata, il-kapaċitajiet u l-immaġinazzjoni tal-attakkanti. Il-protezzjoni kontrihom teħtieġ ħafna għarfien u esperjenza, u r-riżultat jista 'ma jkunx immedjat u mhux mija fil-mija. Sakemm Google ħareġ b'netwerk newrali ieħor għall-protezzjoni.
Sors: www.habr.com