"Fyren som laget nettstedet vÄrt har allerede satt opp DDoS-beskyttelse."
"Vi har DDoS-beskyttelse, hvorfor gikk siden ned?"
"Hvor mange tusen vil Qrator ha?"
For Ä kunne svare riktig pÄ slike spÞrsmÄl fra kunden/sjefen, ville det vÊre fint Ä vite hva som skjuler seg bak navnet "DDoS-beskyttelse". à velge sikkerhetstjenester er mer som Ä velge en medisin fra en lege enn Ä velge et bord pÄ IKEA.
Jeg har stÞttet nettsteder i 11 Är, har overlevd hundrevis av angrep pÄ tjenestene jeg stÞtter, og nÄ skal jeg fortelle deg litt om den indre funksjonen til beskyttelse.
Regelmessige angrep. 350k req totalt, 52k req legitim
De fĂžrste angrepene dukket opp nesten samtidig med Internett. DDoS som fenomen har blitt utbredt siden slutten av 2000-tallet (sjekk ut ).
Siden ca. 2015-2016 har nesten alle vertsleverandÞrer vÊrt beskyttet mot DDoS-angrep, det samme har de mest fremtredende nettstedene i konkurrerende omrÄder (gjÞr whois av IP av nettstedene eldorado.ru, leroymerlin.ru, tilda.ws, du vil se nettverkene av beskyttelsesoperatÞrer).
Hvis de fleste angrep for 10-20 Är siden kunne avvises pÄ selve serveren (vurder anbefalingene fra Lenta.ru systemadministrator Maxim Moshkov fra 90-tallet: ), men nÄ har beskyttelsesoppgaver blitt vanskeligere.
Typer DDoS-angrep fra synspunktet om valg av beskyttelsesoperatĂžr
Angrep pÄ L3/L4-nivÄ (i henhold til OSI-modell)
â UDP-flom fra et botnett (mange forespĂžrsler sendes direkte fra infiserte enheter til den angrepne tjenesten, serverne er blokkert med kanalen);
â DNS/NTP/etc-forsterkning (mange forespĂžrsler sendes fra infiserte enheter til sĂ„rbare DNS/NTP/etc., avsenderens adresse er forfalsket, en sky av pakker som svarer pĂ„ forespĂžrsler oversvĂžmmer kanalen til personen som blir angrepet; dette er hvordan de fleste massive angrep utfĂžres pĂ„ det moderne Internett);
â SYN / ACK-flom (mange forespĂžrsler om Ă„ opprette en tilkobling sendes til de angrepne serverne, tilkoblingskĂžen renner over);
â angrep med pakkefragmentering, ping of death, ping-flom (Google it please);
- og sÄ videre.
Disse angrepene tar sikte pÄ Ä "tette" serverens kanal eller "drepe" dens evne til Ä akseptere ny trafikk.
Selv om SYN/ACK-flom og forsterkning er veldig forskjellige, bekjemper mange selskaper dem like godt. Det oppstÄr problemer med angrep fra neste gruppe.
Angrep pÄ L7 (applikasjonslag)
â http flood (hvis et nettsted eller en http-api blir angrepet);
â et angrep pĂ„ sĂ„rbare omrĂ„der av nettstedet (de som ikke har en hurtigbuffer, som belaster nettstedet veldig tungt, etc.).
MÄlet er Ä fÄ serveren til Ä «arbeide hardt», behandle mange «tilsynelatende ekte forespÞrsler» og stÄ uten ressurser for ekte forespÞrsler.
Selv om det finnes andre angrep, er disse de vanligste.
Alvorlige angrep pÄ L7-nivÄ lages pÄ en unik mÄte for hvert prosjekt som blir angrepet.
Hvorfor 2 grupper?
Fordi det er mange som vet hvordan de skal avvise angrep godt pÄ L3/L4-nivÄ, men enten ikke tar opp beskyttelse pÄ applikasjonsnivÄ (L7) i det hele tatt, eller fortsatt er svakere enn alternativer i Ä hÄndtere dem.
Hvem er hvem i DDoS-beskyttelsesmarkedet
(min personlige mening)
Beskyttelse pÄ L3/L4 nivÄ
For Ă„ avvise angrep med forsterkning (âblokkeringâ av serverkanalen), er det nok brede kanaler (mange av beskyttelsestjenestene kobles til de fleste av de store ryggradsleverandĂžrene i Russland og har kanaler med en teoretisk kapasitet pĂ„ mer enn 1 Tbit). Ikke glem at svĂŠrt sjeldne forsterkningsanfall varer lenger enn en time. Hvis du er Spamhaus og alle ikke liker deg, ja, de kan prĂžve Ă„ stenge kanalene dine i flere dager, selv med fare for at det globale botnettet skal overleve videre. Hvis du bare har en nettbutikk, selv om det er mvideo.ru, vil du ikke se 1 Tbit innen noen fĂ„ dager veldig snart (hĂ„per jeg).
For Ă„ avvise angrep med SYN/ACK-flom, pakkefragmentering osv. trenger du utstyr eller programvaresystemer for Ă„ oppdage og stoppe slike angrep.
Mange produserer slikt utstyr (Arbor, det finnes lÞsninger fra Cisco, Huawei, programvareimplementeringer fra Wanguard osv.), mange ryggradsoperatÞrer har allerede installert det og selger DDoS-beskyttelsestjenester (jeg vet om installasjoner fra Rostelecom, Megafon, TTK, MTS , faktisk gjÞr alle stÞrre leverandÞrer det samme med hostere med egen beskyttelse a-la OVH.com, Hetzner.de, jeg har selv mÞtt beskyttelse pÄ ihor.ru). Noen selskaper utvikler sine egne programvarelÞsninger (teknologier som DPDK lar deg behandle titalls gigabits trafikk pÄ én fysisk x86-maskin).
Av de kjente spillerne kan alle kjempe mot L3/L4 DDoS mer eller mindre effektivt. NÄ vil jeg ikke si hvem som har den stÞrste maksimale kanalkapasiteten (dette er innsideinformasjon), men vanligvis er ikke dette sÄ viktig, og den eneste forskjellen er hvor raskt beskyttelsen utlÞses (umiddelbart eller etter noen minutter med nedetid i prosjektet, som i Hetzner).
SpÞrsmÄlet er hvor godt dette er gjort: et forsterkerangrep kan avvises ved Ä blokkere trafikk fra land med stÞrst mengde skadelig trafikk, eller bare virkelig unÞdvendig trafikk kan forkastes.
Men samtidig, basert pÄ min erfaring, takler alle seriÞse markedsaktÞrer dette uten problemer: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (tidligere SkyParkCDN), ServicePipe, Stormwall, Voxility osv.
Jeg har ikke mÞtt beskyttelse fra operatÞrer som Rostelecom, Megafon, TTK, Beeline; ifÞlge anmeldelser fra kolleger tilbyr de disse tjenestene ganske bra, men sÄ langt pÄvirker mangelen pÄ erfaring med jevne mellomrom: noen ganger mÄ du justere noe gjennom stÞtten av beskyttelsesoperatÞren.
Noen operatÞrer har en egen tjeneste "beskyttelse mot angrep pÄ L3/L4-nivÄ", eller "kanalbeskyttelse", det koster mye mindre enn beskyttelse pÄ alle nivÄer.
Hvorfor avviser ikke ryggradsleverandÞren angrep pÄ hundrevis av Gbits, siden den ikke har egne kanaler?BeskyttelsesoperatÞren kan koble seg til alle de store leverandÞrene og avvise angrep "pÄ egen bekostning." Du mÄ betale for kanalen, men alle disse hundrevis av Gbit vil ikke alltid bli utnyttet; det er muligheter for Ä redusere kostnadene for kanaler betydelig i dette tilfellet, sÄ ordningen forblir gjennomfÞrbar.
Dette er rapportene jeg regelmessig mottok fra hÞyere nivÄ L3/L4-beskyttelse mens jeg stÞttet vertsleverandÞrens systemer.
Beskyttelse pÄ L7-nivÄ (applikasjonsnivÄ)
Angrep pÄ L7-nivÄ (applikasjonsnivÄ) er i stand til Ä avvise enheter konsekvent og effektivt.
Jeg har ganske mye reell erfaring med
â Qrator.net;
â DDoS-vakt;
- G-Core Labs;
â Kaspersky.
De tar betalt for hver megabit ren trafikk, en megabit koster omtrent flere tusen rubler. Hvis du har minst 100 Mbps ren trafikk - oh. Beskyttelse vil vÊre svÊrt kostbart. Jeg kan fortelle deg i de fÞlgende artiklene hvordan du designer applikasjoner for Ä spare mye pÄ kapasiteten til sikkerhetskanaler.
Den virkelige "kongen pÄ bakken" er Qrator.net, resten ligger etter dem. Qrator er sÄ langt de eneste etter min erfaring som gir en prosentandel falske positiver nÊr null, men samtidig er de flere ganger dyrere enn andre markedsaktÞrer.
Andre operatÞrer gir ogsÄ hÞy kvalitet og stabil beskyttelse. Mange tjenester som stÞttes av oss (inkludert svÊrt kjente i landet!) er beskyttet mot DDoS-Guard, G-Core Labs, og er ganske fornÞyd med resultatene som er oppnÄdd.
Angrep frastĂžtt av Qrator
Jeg har ogsÄ erfaring med smÄ sikkerhetsoperatÞrer som cloud-shield.ru, ddosa.net, tusenvis av dem. Jeg vil definitivt ikke anbefale det, fordi... Jeg har ikke mye erfaring, men jeg skal fortelle deg om prinsippene for arbeidet deres. Deres kostnad for beskyttelse er ofte 1-2 stÞrrelsesordener lavere enn for store aktÞrer. Som regel kjÞper de en delvis beskyttelsestjeneste (L3/L4) fra en av de stÞrre spillerne + gjÞr sin egen beskyttelse mot angrep pÄ hÞyere nivÄer. Dette kan vÊre ganske effektivt + du kan fÄ god service for mindre penger, men dette er fortsatt smÄ selskaper med en liten stab, vÊr sÄ snill Ä ha det i bakhodet.
Hva er vanskeligheten med Ä avvise angrep pÄ L7-nivÄ?
Alle applikasjoner er unike, og du mÄ tillate trafikk som er nyttig for dem og blokkere skadelige. Det er ikke alltid mulig Ä entydig luke ut roboter, sÄ du mÄ bruke mange, virkelig MANGE grader av trafikkrensing.
En gang i tiden var nginx-testcookie-modulen nok (), og det er fortsatt nok til Ä avvise et stort antall angrep. Da jeg jobbet i hostingbransjen, var L7-beskyttelse basert pÄ nginx-testcookie.
Dessverre har angrep blitt vanskeligere. testcookie bruker JS-baserte bot-sjekker, og mange moderne roboter kan bestÄ dem.
Angrepsbotnett er ogsÄ unike, og egenskapene til hvert store botnett mÄ tas i betraktning.
Amplifikasjon, direkte oversvÞmmelse fra et botnett, filtrering av trafikk fra forskjellige land (forskjellig filtrering for forskjellige land), SYN/ACK-flom, pakkefragmentering, ICMP, http-flooding, mens du pÄ applikasjons-/http-nivÄ kan komme opp med et ubegrenset antall forskjellige angrep.
Totalt, pÄ nivÄet for kanalbeskyttelse, spesialisert utstyr for fjerning av trafikk, spesiell programvare, ekstra filtreringsinnstillinger for hver klient kan det vÊre titalls og hundrevis av filtreringsnivÄer.
For Ä administrere dette og justere filtreringsinnstillingene riktig for forskjellige brukere, trenger du mye erfaring og kvalifisert personell. Selv en stor operatÞr som har bestemt seg for Ä tilby beskyttelsestjenester kan ikke "dummet kaste penger pÄ problemet": erfaring vil mÄtte hentes fra lÞgnaktige sider og falske positiver pÄ legitim trafikk.
Det er ingen "frastÞt DDoS"-knapp for sikkerhetsoperatÞren; det er et stort antall verktÞy, og du mÄ vite hvordan du bruker dem.
Og enda et bonuseksempel.
En ubeskyttet server ble blokkert av verten under et angrep med en kapasitet pÄ 600 Mbit
("Tapet" av trafikk er ikke merkbart, fordi bare 1 nettsted ble angrepet, det ble midlertidig fjernet fra serveren og blokkeringen ble opphevet innen en time).
Den samme serveren er beskyttet. Angriperne "overga seg" etter en dag med tilbakeviste angrep. Selve angrepet var ikke det sterkeste.
Angrep og forsvar av L3/L4 er mer trivielle; de ââavhenger hovedsakelig av tykkelsen pĂ„ kanalene, deteksjons- og filtreringsalgoritmer for angrep.
L7-angrep er mer komplekse og originale; de ââavhenger av applikasjonen som blir angrepet, evnene og fantasien til angriperne. Beskyttelse mot dem krever mye kunnskap og erfaring, og resultatet er kanskje ikke umiddelbart og ikke hundre prosent. Helt til Google kom opp med et annet nevralt nettverk for beskyttelse.
Kilde: www.habr.com
