"Fyren som laget nettstedet vårt har allerede satt opp DDoS-beskyttelse."
"Vi har DDoS-beskyttelse, hvorfor gikk siden ned?"
"Hvor mange tusen vil Qrator ha?"
For å kunne svare riktig på slike spørsmål fra kunden/sjefen, ville det være fint å vite hva som skjuler seg bak navnet "DDoS-beskyttelse". Å velge sikkerhetstjenester er mer som å velge en medisin fra en lege enn å velge et bord på IKEA.
Jeg har støttet nettsteder i 11 år, har overlevd hundrevis av angrep på tjenestene jeg støtter, og nå skal jeg fortelle deg litt om den indre funksjonen til beskyttelse.
Regelmessige angrep. 350k req totalt, 52k req legitim
De første angrepene dukket opp nesten samtidig med Internett. DDoS som fenomen har blitt utbredt siden slutten av 2000-tallet (sjekk ut ).
Siden ca. 2015-2016 har nesten alle vertsleverandører vært beskyttet mot DDoS-angrep, det samme har de mest fremtredende nettstedene i konkurrerende områder (gjør whois av IP av nettstedene eldorado.ru, leroymerlin.ru, tilda.ws, du vil se nettverkene av beskyttelsesoperatører).
Hvis de fleste angrep for 10-20 år siden kunne avvises på selve serveren (vurder anbefalingene fra Lenta.ru systemadministrator Maxim Moshkov fra 90-tallet: ), men nå har beskyttelsesoppgaver blitt vanskeligere.
Typer DDoS-angrep fra synspunktet om valg av beskyttelsesoperatør
Angrep på L3/L4-nivå (i henhold til OSI-modell)
— UDP-flom fra et botnett (mange forespørsler sendes direkte fra infiserte enheter til den angrepne tjenesten, serverne er blokkert med kanalen);
— DNS/NTP/etc-forsterkning (mange forespørsler sendes fra infiserte enheter til sårbare DNS/NTP/etc., avsenderens adresse er forfalsket, en sky av pakker som svarer på forespørsler oversvømmer kanalen til personen som blir angrepet; dette er hvordan de fleste massive angrep utføres på det moderne Internett);
— SYN / ACK-flom (mange forespørsler om å opprette en tilkobling sendes til de angrepne serverne, tilkoblingskøen renner over);
— angrep med pakkefragmentering, ping of death, ping-flom (Google it please);
- og så videre.
Disse angrepene tar sikte på å "tette" serverens kanal eller "drepe" dens evne til å akseptere ny trafikk.
Selv om SYN/ACK-flom og forsterkning er veldig forskjellige, bekjemper mange selskaper dem like godt. Det oppstår problemer med angrep fra neste gruppe.
Angrep på L7 (applikasjonslag)
— http flood (hvis et nettsted eller en http-api blir angrepet);
— et angrep på sårbare områder av nettstedet (de som ikke har en hurtigbuffer, som belaster nettstedet veldig tungt, etc.).
Målet er å få serveren til å «arbeide hardt», behandle mange «tilsynelatende ekte forespørsler» og stå uten ressurser for ekte forespørsler.
Selv om det finnes andre angrep, er disse de vanligste.
Alvorlige angrep på L7-nivå lages på en unik måte for hvert prosjekt som blir angrepet.
Hvorfor 2 grupper?
Fordi det er mange som vet hvordan de skal avvise angrep godt på L3/L4-nivå, men enten ikke tar opp beskyttelse på applikasjonsnivå (L7) i det hele tatt, eller fortsatt er svakere enn alternativer i å håndtere dem.
Hvem er hvem i DDoS-beskyttelsesmarkedet
(min personlige mening)
Beskyttelse på L3/L4 nivå
For å avvise angrep med forsterkning (“blokkering” av serverkanalen), er det nok brede kanaler (mange av beskyttelsestjenestene kobles til de fleste av de store ryggradsleverandørene i Russland og har kanaler med en teoretisk kapasitet på mer enn 1 Tbit). Ikke glem at svært sjeldne forsterkningsanfall varer lenger enn en time. Hvis du er Spamhaus og alle ikke liker deg, ja, de kan prøve å stenge kanalene dine i flere dager, selv med fare for at det globale botnettet skal overleve videre. Hvis du bare har en nettbutikk, selv om det er mvideo.ru, vil du ikke se 1 Tbit innen noen få dager veldig snart (håper jeg).
For å avvise angrep med SYN/ACK-flom, pakkefragmentering osv. trenger du utstyr eller programvaresystemer for å oppdage og stoppe slike angrep.
Mange produserer slikt utstyr (Arbor, det finnes løsninger fra Cisco, Huawei, programvareimplementeringer fra Wanguard osv.), mange ryggradsoperatører har allerede installert det og selger DDoS-beskyttelsestjenester (jeg vet om installasjoner fra Rostelecom, Megafon, TTK, MTS , faktisk gjør alle større leverandører det samme med hostere med egen beskyttelse a-la OVH.com, Hetzner.de, jeg har selv møtt beskyttelse på ihor.ru). Noen selskaper utvikler sine egne programvareløsninger (teknologier som DPDK lar deg behandle titalls gigabits trafikk på én fysisk x86-maskin).
Av de kjente spillerne kan alle kjempe mot L3/L4 DDoS mer eller mindre effektivt. Nå vil jeg ikke si hvem som har den største maksimale kanalkapasiteten (dette er innsideinformasjon), men vanligvis er ikke dette så viktig, og den eneste forskjellen er hvor raskt beskyttelsen utløses (umiddelbart eller etter noen minutter med nedetid i prosjektet, som i Hetzner).
Spørsmålet er hvor godt dette er gjort: et forsterkerangrep kan avvises ved å blokkere trafikk fra land med størst mengde skadelig trafikk, eller bare virkelig unødvendig trafikk kan forkastes.
Men samtidig, basert på min erfaring, takler alle seriøse markedsaktører dette uten problemer: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (tidligere SkyParkCDN), ServicePipe, Stormwall, Voxility osv.
Jeg har ikke møtt beskyttelse fra operatører som Rostelecom, Megafon, TTK, Beeline; ifølge anmeldelser fra kolleger tilbyr de disse tjenestene ganske bra, men så langt påvirker mangelen på erfaring med jevne mellomrom: noen ganger må du justere noe gjennom støtten av beskyttelsesoperatøren.
Noen operatører har en egen tjeneste "beskyttelse mot angrep på L3/L4-nivå", eller "kanalbeskyttelse", det koster mye mindre enn beskyttelse på alle nivåer.
Hvorfor avviser ikke ryggradsleverandøren angrep på hundrevis av Gbits, siden den ikke har egne kanaler?Beskyttelsesoperatøren kan koble seg til alle de store leverandørene og avvise angrep "på egen bekostning." Du må betale for kanalen, men alle disse hundrevis av Gbit vil ikke alltid bli utnyttet; det er muligheter for å redusere kostnadene for kanaler betydelig i dette tilfellet, så ordningen forblir gjennomførbar.
Dette er rapportene jeg regelmessig mottok fra høyere nivå L3/L4-beskyttelse mens jeg støttet vertsleverandørens systemer.
Beskyttelse på L7-nivå (applikasjonsnivå)
Angrep på L7-nivå (applikasjonsnivå) er i stand til å avvise enheter konsekvent og effektivt.
Jeg har ganske mye reell erfaring med
— Qrator.net;
— DDoS-vakt;
- G-Core Labs;
– Kaspersky.
De tar betalt for hver megabit ren trafikk, en megabit koster omtrent flere tusen rubler. Hvis du har minst 100 Mbps ren trafikk - oh. Beskyttelse vil være svært kostbart. Jeg kan fortelle deg i de følgende artiklene hvordan du designer applikasjoner for å spare mye på kapasiteten til sikkerhetskanaler.
Den virkelige "kongen på bakken" er Qrator.net, resten ligger etter dem. Qrator er så langt de eneste etter min erfaring som gir en prosentandel falske positiver nær null, men samtidig er de flere ganger dyrere enn andre markedsaktører.
Andre operatører gir også høy kvalitet og stabil beskyttelse. Mange tjenester som støttes av oss (inkludert svært kjente i landet!) er beskyttet mot DDoS-Guard, G-Core Labs, og er ganske fornøyd med resultatene som er oppnådd.
Angrep frastøtt av Qrator
Jeg har også erfaring med små sikkerhetsoperatører som cloud-shield.ru, ddosa.net, tusenvis av dem. Jeg vil definitivt ikke anbefale det, fordi... Jeg har ikke mye erfaring, men jeg skal fortelle deg om prinsippene for arbeidet deres. Deres kostnad for beskyttelse er ofte 1-2 størrelsesordener lavere enn for store aktører. Som regel kjøper de en delvis beskyttelsestjeneste (L3/L4) fra en av de større spillerne + gjør sin egen beskyttelse mot angrep på høyere nivåer. Dette kan være ganske effektivt + du kan få god service for mindre penger, men dette er fortsatt små selskaper med en liten stab, vær så snill å ha det i bakhodet.
Hva er vanskeligheten med å avvise angrep på L7-nivå?
Alle applikasjoner er unike, og du må tillate trafikk som er nyttig for dem og blokkere skadelige. Det er ikke alltid mulig å entydig luke ut roboter, så du må bruke mange, virkelig MANGE grader av trafikkrensing.
En gang i tiden var nginx-testcookie-modulen nok (), og det er fortsatt nok til å avvise et stort antall angrep. Da jeg jobbet i hostingbransjen, var L7-beskyttelse basert på nginx-testcookie.
Dessverre har angrep blitt vanskeligere. testcookie bruker JS-baserte bot-sjekker, og mange moderne roboter kan bestå dem.
Angrepsbotnett er også unike, og egenskapene til hvert store botnett må tas i betraktning.
Amplifikasjon, direkte oversvømmelse fra et botnett, filtrering av trafikk fra forskjellige land (forskjellig filtrering for forskjellige land), SYN/ACK-flom, pakkefragmentering, ICMP, http-flooding, mens du på applikasjons-/http-nivå kan komme opp med et ubegrenset antall forskjellige angrep.
Totalt, på nivået for kanalbeskyttelse, spesialisert utstyr for fjerning av trafikk, spesiell programvare, ekstra filtreringsinnstillinger for hver klient kan det være titalls og hundrevis av filtreringsnivåer.
For å administrere dette og justere filtreringsinnstillingene riktig for forskjellige brukere, trenger du mye erfaring og kvalifisert personell. Selv en stor operatør som har bestemt seg for å tilby beskyttelsestjenester kan ikke "dummet kaste penger på problemet": erfaring vil måtte hentes fra løgnaktige sider og falske positiver på legitim trafikk.
Det er ingen "frastøt DDoS"-knapp for sikkerhetsoperatøren; det er et stort antall verktøy, og du må vite hvordan du bruker dem.
Og enda et bonuseksempel.
En ubeskyttet server ble blokkert av verten under et angrep med en kapasitet på 600 Mbit
("Tapet" av trafikk er ikke merkbart, fordi bare 1 nettsted ble angrepet, det ble midlertidig fjernet fra serveren og blokkeringen ble opphevet innen en time).
Den samme serveren er beskyttet. Angriperne "overga seg" etter en dag med tilbakeviste angrep. Selve angrepet var ikke det sterkeste.
Angrep og forsvar av L3/L4 er mer trivielle; de avhenger hovedsakelig av tykkelsen på kanalene, deteksjons- og filtreringsalgoritmer for angrep.
L7-angrep er mer komplekse og originale; de avhenger av applikasjonen som blir angrepet, evnene og fantasien til angriperne. Beskyttelse mot dem krever mye kunnskap og erfaring, og resultatet er kanskje ikke umiddelbart og ikke hundre prosent. Helt til Google kom opp med et annet nevralt nettverk for beskyttelse.
Kilde: www.habr.com