In de eerste twee kwartalen van 2020 is het aantal DDoS-aanvallen bijna verdrievoudigd, waarbij 65% daarvan primitieve pogingen waren tot ‘load-tests’ die weerloze sites van kleine online winkels, forums, blogs en mediakanalen gemakkelijk ‘uitschakelen’.
Hoe kiest u voor DDoS-beveiligde hosting? Waar moet u op letten en waar moet u zich op voorbereiden om niet in een vervelende situatie terecht te komen?
(Vaccinatie tegen “grijze” marketing binnenin)
De beschikbaarheid en verscheidenheid aan tools voor het uitvoeren van DDoS-aanvallen dwingt eigenaren van onlinediensten om passende maatregelen te nemen om de dreiging het hoofd te bieden. Denk niet aan DDoS-bescherming na de eerste mislukking, en zelfs niet als onderdeel van een reeks maatregelen om de fouttolerantie van de infrastructuur te vergroten, maar in de fase van het kiezen van een locatie voor plaatsing (hostingprovider of datacenter).
DDoS-aanvallen worden geclassificeerd afhankelijk van de protocollen waarvan de kwetsbaarheden worden uitgebuit tot op de niveaus van het Open Systems Interconnection (OSI)-model:
- kanaal (L2),
- netwerk (L3),
- vervoer (L4),
- toegepast (L7).
Vanuit het oogpunt van beveiligingssystemen kunnen ze worden gegeneraliseerd in twee groepen: aanvallen op infrastructuurniveau (L2-L4) en aanvallen op applicatieniveau (L7). Dit komt door de volgorde van uitvoering van algoritmen voor verkeersanalyse en de rekencomplexiteit: hoe dieper we in het IP-pakket kijken, hoe meer rekenkracht er nodig is.
Over het algemeen is het probleem van het optimaliseren van berekeningen bij het in realtime verwerken van verkeer een onderwerp voor een aparte serie artikelen. Laten we ons nu eens voorstellen dat er een cloudprovider is met voorwaardelijk onbeperkte computerbronnen die sites kan beschermen tegen aanvallen op applicatieniveau (waaronder ).
3 hoofdvragen om de mate van hostingbeveiliging tegen DDoS-aanvallen te bepalen
Laten we eens kijken naar de servicevoorwaarden voor bescherming tegen DDoS-aanvallen en de Service Level Agreement (SLA) van de hostingprovider. Bevatten ze antwoorden op de volgende vragen:
- welke technische beperkingen worden door de dienstverlener opgegeven??
- wat gebeurt er als de klant de grenzen overschrijdt?
- Hoe bouwt een hostingprovider bescherming tegen DDoS-aanvallen (technologieën, oplossingen, leveranciers)?
Als u deze informatie niet hebt gevonden, is dit een reden om na te denken over de ernst van de dienstverlener, of om zelf basis DDoS-bescherming (L3-4) te organiseren. Bestel bijvoorbeeld een fysieke aansluiting op het netwerk van een gespecialiseerde beveiligingsaanbieder.
Belangrijk! Het heeft geen zin om bescherming te bieden tegen aanvallen op applicatieniveau met behulp van Reverse Proxy als uw hostingprovider niet in staat is bescherming te bieden tegen aanvallen op infrastructuurniveau: de netwerkapparatuur zal overbelast raken en niet meer beschikbaar zijn, ook niet voor de proxyservers van de cloudprovider (figuur 1).
Figuur 1. Directe aanval op het netwerk van de hostingprovider
En laat ze je geen sprookjes vertellen dat het echte IP-adres van de server verborgen is achter de cloud van de beveiligingsprovider, wat betekent dat het onmogelijk is om deze rechtstreeks aan te vallen. In negen van de tien gevallen zal het voor een aanvaller niet moeilijk zijn om het echte IP-adres van de server of op zijn minst het netwerk van de hostingprovider te vinden om een heel datacenter te ‘vernietigen’.
Hoe hackers handelen op zoek naar een echt IP-adres
Onder de spoilers staan verschillende methoden om een echt IP-adres te vinden (aangegeven voor informatieve doeleinden).
Methode 1: Zoeken in open bronnen
U kunt uw zoektocht starten met de online service: Het doorzoekt het dark web, platforms voor het delen van documenten, verwerkt Whois-gegevens, openbare datalekken en vele andere bronnen.
Als het op basis van bepaalde tekens (HTTP-headers, Whois-gegevens, enz.) mogelijk was om vast te stellen dat de bescherming van de site is georganiseerd met behulp van Cloudflare, dan kunt u beginnen met zoeken naar het echte IP-adres vanaf, dat ongeveer 3 miljoen IP-adressen bevat van sites die zich achter Cloudflare bevinden.
Met behulp van een SSL-certificaat en -service u kunt veel nuttige informatie vinden, waaronder het echte IP-adres van de site. Om een aanvraag voor uw bron te genereren, gaat u naar het tabblad Certificaten en voert u het volgende in:
_parsed.names: naamsite EN tags.raw: vertrouwd
Om te zoeken naar IP-adressen van servers die een SSL-certificaat gebruiken, moet u handmatig de vervolgkeuzelijst doorlopen met verschillende hulpmiddelen (het tabblad “Verkennen” en vervolgens “IPv4 Hosts” selecteren).
Methode 2: DNS
Het doorzoeken van de geschiedenis van DNS-recordwijzigingen is een oude, beproefde methode. Het vorige IP-adres van de site kan duidelijk maken op welke hosting (of datacenter) deze zich bevond. Onder de online diensten vallen qua gebruiksgemak de volgende op: и .
Wanneer je de instellingen wijzigt, zal de site niet direct het IP-adres van de cloud security provider of CDN gebruiken, maar enige tijd direct blijven werken. In dit geval bestaat de mogelijkheid dat onlinediensten voor het opslaan van de geschiedenis van IP-adreswijzigingen informatie bevatten over het bronadres van de site.
Als er niets anders is dan de naam van de oude DNS-server, kunt u met behulp van speciale hulpprogramma's (dig, host of nslookup) een IP-adres aanvragen op basis van de domeinnaam van de site, bijvoorbeeld:
_dig @oude_dns_servernaam naamсайта
Methode 3: e-mail
Het idee van de methode is om het feedback-/registratieformulier (of een andere methode waarmee u het verzenden van een brief kunt starten) te gebruiken om een brief in uw e-mail te ontvangen en de kopteksten te controleren, met name het veld ‘Ontvangen’ .
De e-mailheader bevat vaak het daadwerkelijke IP-adres van het MX-record (e-mailuitwisselingsserver), wat een startpunt kan zijn voor het vinden van andere servers op het doel.
Automatiseringstools voor zoeken
IP-zoeksoftware achter het Cloudflare-schild werkt meestal voor drie taken:
- Scannen op verkeerde DNS-configuratie met DNSDumpster.com;
- Databasescan van Crimeflare.com;
- zoek naar subdomeinen met behulp van een woordenboekzoekmethode.
Het vinden van subdomeinen is vaak de meest effectieve optie van de drie: de site-eigenaar kan de hoofdsite beschermen en de subdomeinen direct actief laten. De eenvoudigste manier om dit te controleren is door te gebruiken .
Daarnaast zijn er hulpprogramma's die alleen zijn ontworpen voor het doorzoeken van subdomeinen met behulp van een woordenboekzoekopdracht en zoeken in open bronnen, bijvoorbeeld: of .
Hoe zoeken in de praktijk gebeurt
Laten we bijvoorbeeld de site seo.com nemen met behulp van Cloudflare, die we zullen vinden met behulp van een bekende service (hiermee kunt u zowel de technologieën/engines/CMS bepalen waarop de site werkt, als omgekeerd: sites zoeken op basis van de gebruikte technologieën).
Wanneer u op het tabblad “IPv4 Hosts” klikt, toont de service een lijst met hosts die het certificaat gebruiken. Om het adres te vinden dat u nodig heeft, zoekt u naar een IP-adres met open poort 443. Als het doorverwijst naar de gewenste site, is de taak voltooid, anders moet u de domeinnaam van de site toevoegen aan de kop 'Host' van de HTTP-verzoek (bijvoorbeeld *curl -H "Host: sitenaam" *).
In ons geval leverde een zoekopdracht in de Censys-database niets op, dus we gaan verder.
We zullen een DNS-zoekopdracht uitvoeren via de service.
Door met behulp van het hulpprogramma CloudFail de adressen te doorzoeken die worden vermeld in de lijsten met DNS-servers, vinden we werkende bronnen. Het resultaat is binnen enkele seconden klaar.
Met behulp van alleen open data en eenvoudige tools hebben we het echte IP-adres van de webserver bepaald. De rest voor de aanvaller is een kwestie van techniek.
Laten we terugkeren naar het kiezen van een hostingprovider. Om het voordeel van de service voor de klant te evalueren, zullen we mogelijke beschermingsmethoden tegen DDoS-aanvallen overwegen.
Hoe een hostingprovider zijn bescherming opbouwt
- Eigen beveiligingssysteem met filterapparatuur (Figuur 2).
Vereist:
1.1. Verkeersfilterapparatuur en softwarelicenties;
1.2. Fulltime specialisten voor de ondersteuning en werking ervan;
1.3. Internettoegangskanalen die voldoende zijn om aanvallen te ontvangen;
1.4. Aanzienlijke prepaid-kanaalbandbreedte voor het ontvangen van ‘junk’-verkeer.
Figuur 2. Eigen beveiligingssysteem van de hostingprovider
Als we het beschreven systeem beschouwen als beschermingsmiddel tegen moderne DDoS-aanvallen van honderden Gbps, dan gaat zo’n systeem veel geld kosten. Heeft de hostingprovider een dergelijke bescherming? Is hij bereid te betalen voor ‘ongewenst’ verkeer? Het is duidelijk dat een dergelijk economisch model voor de aanbieder niet rendabel is als de tarieven niet in aanvullende vergoedingen voorzien. - Reverse Proxy (alleen voor websites en sommige applicaties). Ondanks een aantal garandeert de leverancier geen bescherming tegen directe DDoS-aanvallen (zie figuur 1). Hostingproviders bieden een dergelijke oplossing vaak aan als wondermiddel, waarbij de verantwoordelijkheid wordt verlegd naar de beveiligingsprovider.
- Diensten van een gespecialiseerde cloudprovider (gebruik van zijn filternetwerk) ter bescherming tegen DDoS-aanvallen op alle OSI-niveaus (Figuur 3).
Figuur 3. Uitgebreide bescherming tegen DDoS-aanvallen via een gespecialiseerde provider
veronderstelt een diepe integratie en een hoog niveau van technische competentie van beide partijen. Door verkeersfilterdiensten uit te besteden, kan de hostingprovider de prijs van aanvullende diensten voor de klant verlagen.
Belangrijk! Hoe gedetailleerder de technische kenmerken van de geleverde dienst worden beschreven, hoe groter de kans dat de implementatie ervan of compensatie wordt geëist in geval van downtime.
Naast de drie hoofdmethoden zijn er veel combinaties en combinaties. Bij het kiezen van een hosting is het belangrijk dat de klant onthoudt dat de beslissing niet alleen afhangt van de omvang van de gegarandeerde geblokkeerde aanvallen en de filternauwkeurigheid, maar ook van de reactiesnelheid en de informatie-inhoud (lijst met geblokkeerde aanvallen, algemene statistieken, enz.).
Bedenk dat slechts een paar hostingproviders in de wereld op eigen kracht een acceptabel beschermingsniveau kunnen bieden; in andere gevallen helpen samenwerking en technische kennis. Door de basisprincipes van het organiseren van bescherming tegen DDoS-aanvallen te begrijpen, zal de site-eigenaar dus niet in marketingtrucs trappen en geen ‘varken in de zak’ kopen.
Bron: www.habr.com