DDoS सुरक्षा बजारमा के हो र को हो

"हाम्रो वेबसाइट बनाउने केटाले पहिले नै DDoS सुरक्षा सेटअप गरिसकेको छ।"
"हामीसँग DDoS सुरक्षा छ, किन साइट तल गयो?"
"Qrator कति हजार चाहन्छ?"

ग्राहक/मालिकबाट त्यस्ता प्रश्नहरूको सही जवाफ दिनको लागि, "DDoS संरक्षण" नामको पछाडि के लुकेको छ भनेर जान्न पाउँदा राम्रो हुनेछ। सुरक्षा सेवाहरू छनौट गर्नु भनेको IKEA मा टेबल छनोट गर्नु भन्दा डाक्टरबाट औषधि छनौट गर्नु जस्तै हो।

मैले 11 वर्षदेखि वेबसाइटहरूलाई समर्थन गरिरहेको छु, मैले समर्थन गर्ने सेवाहरूमा सयौं आक्रमणहरूबाट बचेको छु, र अब म तपाईंलाई सुरक्षाको भित्री कार्यहरूको बारेमा थोरै बताउँछु।

नियमित आक्रमणहरू। कुल 350k अनुरोध, 52k अनुरोध वैध

पहिलो आक्रमणहरू इन्टरनेटको साथ लगभग एकैसाथ देखा पर्यो। DDoS एक घटना को रूप मा 2000 को अन्त देखि व्यापक भएको छ (चेक आउट www.cloudflare.com/learning/ddos/famous-ddos-attacks).
लगभग 2015-2016 देखि, लगभग सबै होस्टिंग प्रदायकहरूलाई DDoS आक्रमणहरूबाट सुरक्षित गरिएको छ, जस्तै प्रतिस्पर्धी क्षेत्रहरूमा सबैभन्दा प्रमुख साइटहरू छन् (whois साइटहरूको IP द्वारा eldorado.ru, leroymerlin.ru, tilda.ws, तपाईंले नेटवर्कहरू देख्नुहुनेछ। सुरक्षा अपरेटरहरूको)।

यदि 10-20 वर्ष पहिले धेरै आक्रमणहरू सर्भरमा नै हटाउन सकिन्छ (90s देखि Lenta.ru प्रणाली प्रशासक म्याक्सिम मोशकोभको सिफारिसहरूको मूल्याङ्कन गर्नुहोस्: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10) तर अब संरक्षण कार्य झनै कठिन भएको छ ।

सुरक्षा अपरेटर छनौट गर्ने दृष्टिकोणबाट DDoS आक्रमणका प्रकारहरू

L3/L4 स्तरमा आक्रमणहरू (OSI मोडेल अनुसार)

- बोटनेटबाट UDP बाढी (धेरै अनुरोधहरू सिधै संक्रमित उपकरणहरूबाट आक्रमण गरिएको सेवामा पठाइन्छ, सर्भरहरू च्यानलसँग अवरुद्ध हुन्छन्);
— DNS/NTP/etc एम्प्लिफिकेशन (संक्रमित उपकरणहरूबाट कमजोर DNS/NTP/etc मा धेरै अनुरोधहरू पठाइन्छ, प्रेषकको ठेगाना नक्कली छ, अनुरोधहरूको जवाफ दिने प्याकेटहरूको बादलले आक्रमण भइरहेको व्यक्तिको च्यानललाई बाढी दिन्छ; यसरी सबैभन्दा बढी आधुनिक इन्टरनेटमा व्यापक आक्रमणहरू गरिन्छ);
- SYN / ACK बाढी (कनेक्सन स्थापना गर्न धेरै अनुरोधहरू आक्रमण गरिएका सर्भरहरूमा पठाइन्छ, जडान लाइन ओभरफ्लो हुन्छ);
- प्याकेट खण्डीकरण, पिंग अफ डेथ, पिंग फ्लड (गुगल यो कृपया);
- र यस्तै।

यी आक्रमणहरूले सर्भरको च्यानललाई "क्लग" गर्ने वा नयाँ ट्राफिक स्वीकार गर्ने क्षमतालाई "मार" गर्ने लक्ष्य राख्छ।
यद्यपि SYN/ACK बाढी र एम्प्लीफिकेशन धेरै फरक छन्, धेरै कम्पनीहरूले उनीहरूलाई समान रूपमा लड्न सक्छन्। अर्को समूहबाट आक्रमण गर्दा समस्याहरू उत्पन्न हुन्छन्।

L7 मा आक्रमणहरू (एप्लिकेशन तह)

- http बाढी (यदि वेबसाइट वा केहि HTTP एपीआई आक्रमण भएको छ);
- साइटको कमजोर क्षेत्रहरूमा आक्रमण (जससँग क्यास छैन, जसले साइट धेरै भारी लोड गर्दछ, आदि)।

लक्ष्य भनेको सर्भरलाई "कडा परिश्रम" बनाउनु हो, धेरै "वास्तविक अनुरोधहरू" प्रशोधन गर्नुहोस् र वास्तविक अनुरोधहरूको लागि स्रोतहरू बिना नै छोड्नुहोस्।

यद्यपि त्यहाँ अन्य आक्रमणहरू छन्, यी सबैभन्दा सामान्य छन्।

L7 स्तरमा गम्भीर आक्रमणहरू प्रत्येक परियोजना आक्रमणको लागि एक अद्वितीय तरिकामा सिर्जना गरिन्छ।

किन २ समूह ?
किनभने त्यहाँ धेरै छन् जसले L3 / L4 स्तरमा आक्रमणहरू कसरी राम्रोसँग हटाउने भनेर जान्दछन्, तर या त अनुप्रयोग स्तर (L7) मा सुरक्षा लिँदैनन्, वा तिनीहरूसँग व्यवहार गर्ने विकल्पहरू भन्दा अझै कमजोर छन्।

DDoS सुरक्षा बजारमा को को छ

(मेरो व्यक्तिगत विचार)

L3/L4 स्तरमा सुरक्षा

एम्प्लीफिकेशन (सर्भर च्यानलको "ब्लकेज") को साथ आक्रमणहरू हटाउन, त्यहाँ पर्याप्त फराकिलो च्यानलहरू छन् (धेरै सुरक्षा सेवाहरू रूसका धेरै ठूला ब्याकबोन प्रदायकहरूसँग जोडिएका छन् र 1 Tbit भन्दा बढीको सैद्धान्तिक क्षमता भएका च्यानलहरू छन्)। नबिर्सनुहोस् कि धेरै दुर्लभ प्रवर्धन आक्रमणहरू एक घण्टा भन्दा लामो समयसम्म रहन्छ। यदि तपाइँ स्पामहाउस हुनुहुन्छ र सबैले तपाइँलाई मन पराउँदैनन् भने, हो, उनीहरूले तपाइँको च्यानलहरू धेरै दिनको लागि बन्द गर्ने प्रयास गर्न सक्छन्, विश्वव्यापी बोटनेटको थप अस्तित्वको जोखिममा पनि। यदि तपाईंसँग भर्खरै अनलाइन स्टोर छ भने, यो mvideo.ru भए पनि, तपाईंले चाँडै केही दिनहरूमा 1 Tbit देख्नुहुनेछैन (म आशा गर्छु)।

SYN/ACK फ्लडिङ, प्याकेट फ्र्याग्मेन्टेसन, इत्यादिका साथ आक्रमणहरू हटाउन, तपाईंलाई त्यस्ता आक्रमणहरू पत्ता लगाउन र रोक्न उपकरण वा सफ्टवेयर प्रणालीहरू चाहिन्छ।
धेरै व्यक्तिहरूले त्यस्ता उपकरणहरू उत्पादन गर्छन् (आर्बर, त्यहाँ Cisco, Huawei बाट समाधानहरू छन्, Wanguard बाट सफ्टवेयर कार्यान्वयनहरू, इत्यादि), धेरै ब्याकबोन अपरेटरहरूले यसलाई स्थापना गरिसकेका छन् र DDoS सुरक्षा सेवाहरू बेचिसकेका छन् (मलाई थाहा छ Rostelecom, Megafon, TTK, MTS बाट स्थापनाहरूको बारेमा। , वास्तवमा, सबै प्रमुख प्रदायकहरूले होस्टरहरूसँग आफ्नै सुरक्षा a-la OVH.com, Hetzner.de, मैले आफैंले ihor.ru मा सुरक्षाको सामना गरे)। केही कम्पनीहरूले आफ्नै सफ्टवेयर समाधानहरू विकास गरिरहेका छन् (डीपीडीके जस्ता प्रविधिहरूले तपाईंलाई एक भौतिक x86 मेसिनमा दशौं गिगाबिट ट्राफिक प्रक्रिया गर्न अनुमति दिन्छ)।

प्रसिद्ध खेलाडीहरू मध्ये, सबैले L3/L4 DDoS लाई कम वा कम प्रभावकारी रूपमा लड्न सक्छन्। अब म भन्दिन कि कससँग ठूलो अधिकतम च्यानल क्षमता छ (यो भित्री जानकारी हो), तर सामान्यतया यो त्यति महत्त्वपूर्ण हुँदैन, र फरक यति मात्र हो कि सुरक्षा कति चाँडो ट्रिगर हुन्छ (तत्काल वा परियोजना डाउनटाइमको केही मिनेट पछि, जस्तै Hetzner मा)।
यो कत्तिको राम्रोसँग गरिएको छ भन्ने प्रश्न यो छ: हानिकारक ट्राफिकको सबैभन्दा ठूलो मात्रा भएका देशहरूबाट ट्राफिक अवरुद्ध गरेर एम्प्लीफिकेशन आक्रमणलाई हटाउन सकिन्छ, वा केवल साँच्चै अनावश्यक ट्राफिक खारेज गर्न सकिन्छ।
तर एकै समयमा, मेरो अनुभवको आधारमा, सबै गम्भीर बजार खेलाडीहरूले समस्या बिना नै यसको सामना गर्छन्: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (पहिले SkyParkCDN), ServicePipe, Stormwall, Voxility, आदि।
मैले Rostelecom, Megafon, TTK, Beeline जस्ता अपरेटरहरूबाट सुरक्षाको सामना गरेको छैन; सहकर्मीहरूको समीक्षा अनुसार, तिनीहरूले यी सेवाहरू राम्रोसँग प्रदान गर्छन्, तर अहिलेसम्म अनुभवको अभावले आवधिक रूपमा असर गरिरहेको छ: कहिलेकाहीँ तपाईंले समर्थन मार्फत केहि ट्वीक गर्न आवश्यक छ। सुरक्षा अपरेटर को।
केही अपरेटरहरूसँग छुट्टै सेवा "L3/L4 स्तरमा आक्रमणहरू विरुद्ध सुरक्षा", वा "च्यानल सुरक्षा" छ; यसको लागत सबै स्तरहरूमा सुरक्षा भन्दा धेरै कम छ।

किन ब्याकबोन प्रदायकले सयौं Gbits को हमलाहरू भगाउँदैन, किनकि यसको आफ्नै च्यानलहरू छैनन्?सुरक्षा अपरेटरले कुनै पनि प्रमुख प्रदायकहरूसँग जडान गर्न सक्छ र आक्रमणहरूलाई "यसको खर्चमा" हटाउन सक्छ। तपाईंले च्यानलको लागि भुक्तान गर्नुपर्नेछ, तर यी सबै सयौं Gbits सधैं प्रयोग गरिने छैन; यस अवस्थामा च्यानलहरूको लागतलाई उल्लेखनीय रूपमा घटाउने विकल्पहरू छन्, त्यसैले योजना कार्ययोग्य रहन्छ।

होस्टिङ प्रदायकको प्रणालीहरूलाई समर्थन गर्दा मैले उच्च-स्तर L3/L4 सुरक्षाबाट नियमित रूपमा प्राप्त गरेको रिपोर्टहरू यी हुन्।

L7 स्तर (अनुप्रयोग स्तर) मा सुरक्षा

L7 स्तर (एप्लिकेशन स्तर) मा आक्रमणहरू एकाइहरूलाई निरन्तर र कुशलतापूर्वक हटाउन सक्षम छन्।
मसँग धेरै वास्तविक अनुभव छ
- Qrator.net;
- DDoS-गार्ड;
- जी-कोर ल्याबहरू;
- क्यास्परस्की।

तिनीहरू शुद्ध ट्राफिकको प्रत्येक मेगाबिटको लागि चार्ज गर्छन्, एक मेगाबिटको लागत धेरै हजार रूबलको बारेमा। यदि तपाइँसँग कम्तिमा 100 Mbps शुद्ध ट्राफिक छ - ओह। संरक्षण धेरै महँगो हुनेछ। सुरक्षा च्यानलहरूको क्षमतामा धेरै बचत गर्न अनुप्रयोगहरू कसरी डिजाइन गर्ने भनेर निम्न लेखहरूमा म तपाईंलाई बताउन सक्छु।
वास्तविक "पहाडको राजा" Qrator.net हो, बाँकीहरू तिनीहरूबाट पछाडि छन्। मेरो अनुभवमा क्यूरेटरहरू मात्र हुन् जसले झूटा सकारात्मकको प्रतिशत शून्यको नजिक दिन्छन्, तर एकै समयमा तिनीहरू अन्य बजार खेलाडीहरू भन्दा धेरै गुणा महँगो छन्।

अन्य अपरेटरहरूले पनि उच्च गुणस्तर र स्थिर सुरक्षा प्रदान गर्दछ। हामी द्वारा समर्थित धेरै सेवाहरू (देशमा धेरै प्रसिद्ध सेवाहरू सहित!) DDoS-Guard, G-Core Labs बाट सुरक्षित छन्, र प्राप्त परिणामहरूसँग धेरै सन्तुष्ट छन्।

Qrator द्वारा आक्रमणहरू प्रतिबन्ध

मसँग साना सुरक्षा अपरेटरहरू जस्तै cloud-shield.ru, ddosa.net, हजारौंको अनुभव छ। म निश्चित रूपमा यो सिफारिस गर्दिन, किनभने ... मसँग धेरै अनुभव छैन, तर म तपाईंलाई तिनीहरूको कामका सिद्धान्तहरूको बारेमा बताउनेछु। तिनीहरूको सुरक्षाको लागत प्रायः प्रमुख खेलाडीहरूको तुलनामा 1-2 परिमाणको अर्डर कम हुन्छ। नियमको रूपमा, तिनीहरूले ठूला खेलाडीहरू मध्ये एकबाट आंशिक सुरक्षा सेवा (L3/L4) किन्छन् + उच्च स्तरहरूमा आक्रमणहरू विरुद्ध आफ्नै सुरक्षा गर्छन्। यो एकदम प्रभावकारी हुन सक्छ + तपाईले कम पैसामा राम्रो सेवा प्राप्त गर्न सक्नुहुन्छ, तर यी अझै पनि सानो कर्मचारी भएका साना कम्पनीहरू हुन्, कृपया यो दिमागमा राख्नुहोस्।

L7 स्तरमा आक्रमणहरू हटाउन कठिनाई के हो?

सबै अनुप्रयोगहरू अद्वितीय छन्, र तपाईंले तिनीहरूका लागि उपयोगी हुने ट्राफिकलाई अनुमति दिनुपर्छ र हानिकारकहरूलाई रोक्नुहोस्। यो सँधै सम्भव छैन बटहरू बाहिर निकाल्न, त्यसैले तपाईंले ट्राफिक शुद्धीकरणको धेरै, साँच्चै धेरै डिग्री प्रयोग गर्नुपर्छ।

एक पटक, nginx-testcookie मोड्युल पर्याप्त थियो (https://github.com/kyprizel/testcookie-nginx-module), र यो अझै पनि ठूलो संख्यामा आक्रमणहरू हटाउन पर्याप्त छ। जब मैले होस्टिङ उद्योगमा काम गरें, L7 सुरक्षा nginx-testcookie मा आधारित थियो।
दुर्भाग्यवश, आक्रमणहरू अझ कठिन भएका छन्। testcookie ले JS-आधारित बोट जाँचहरू प्रयोग गर्दछ, र धेरै आधुनिक बटहरूले तिनीहरूलाई सफलतापूर्वक पास गर्न सक्छन्।

आक्रमण बोटनेटहरू पनि अद्वितीय छन्, र प्रत्येक ठूलो बोटनेटका विशेषताहरूलाई ध्यानमा राख्नुपर्छ।
एम्प्लीफिकेशन, बोटनेटबाट प्रत्यक्ष बाढी, विभिन्न देशहरूबाट ट्राफिक फिल्टर गर्ने (विभिन्न देशहरूको लागि फरक फिल्टरिंग), SYN/ACK फ्लडिङ, प्याकेट खण्डीकरण, ICMP, http फ्लडिङ, जबकि अनुप्रयोग/http स्तरमा तपाईं असीमित संख्यामा आउन सक्नुहुन्छ। विभिन्न आक्रमणहरू।
कुलमा, च्यानल सुरक्षाको स्तरमा, ट्राफिक खाली गर्नको लागि विशेष उपकरण, विशेष सफ्टवेयर, प्रत्येक ग्राहकको लागि अतिरिक्त फिल्टरिंग सेटिङहरू दसौं र सयौं फिल्टरिङ स्तरहरू हुन सक्छन्।
यसलाई ठीकसँग व्यवस्थापन गर्न र विभिन्न प्रयोगकर्ताहरूको लागि फिल्टरिङ सेटिङहरू सही रूपमा ट्युन गर्न, तपाईंलाई धेरै अनुभव र योग्य कर्मचारीहरू चाहिन्छ। सुरक्षा सेवाहरू प्रदान गर्ने निर्णय गरेको ठूलो अपरेटरले पनि "समस्यामा मूर्खतापूर्वक पैसा फाल्न" सक्दैन: झूटो साइटहरू र वैध ट्राफिकमा झूटा सकारात्मकहरूबाट अनुभव प्राप्त गर्नुपर्दछ।
त्यहाँ सुरक्षा अपरेटरको लागि कुनै "रिपेल DDoS" बटन छैन; त्यहाँ धेरै संख्यामा उपकरणहरू छन्, र तपाईंले तिनीहरूलाई कसरी प्रयोग गर्ने भनेर जान्न आवश्यक छ।

र एक थप बोनस उदाहरण।

एक असुरक्षित सर्भर 600 Mbit को क्षमता संग आक्रमण को समयमा होस्टर द्वारा अवरुद्ध गरिएको थियो
(ट्राफिकको "हानि" ध्यान दिन सकिँदैन, किनभने केवल 1 साइटमा आक्रमण भएको थियो, यसलाई अस्थायी रूपमा सर्भरबाट हटाइयो र एक घण्टा भित्र अवरुद्ध हटाइयो)।

एउटै सर्भर सुरक्षित छ। आक्रमणकारीहरूले एक दिनको प्रतिकार्य आक्रमण पछि "आत्मसमर्पण" गरे। आक्रमण आफैमा सबैभन्दा बलियो थिएन।

L3/L4 को आक्रमण र रक्षा अधिक मामूली छन्; तिनीहरू मुख्यतया च्यानलहरूको मोटाईमा निर्भर हुन्छन्, आक्रमणहरूको लागि पत्ता लगाउने र फिल्टर गर्ने एल्गोरिदमहरू।
L7 आक्रमणहरू अधिक जटिल र मौलिक हुन्छन्; तिनीहरू आक्रमण गर्ने अनुप्रयोग, क्षमता र आक्रमणकारीहरूको कल्पनामा निर्भर हुन्छन्। तिनीहरू विरुद्ध सुरक्षा धेरै ज्ञान र अनुभव चाहिन्छ, र परिणाम तत्काल र एक सय प्रतिशत नहुन सक्छ। गुगलले सुरक्षाको लागि अर्को न्यूरल नेटवर्क नआएसम्म।

स्रोत: www.habr.com