I de to første kvartalene av 2020 ble antallet DDoS-angrep nesten tredoblet, med 65 % av dem som primitive forsøk på «belastningstesting» som enkelt «deaktiverer» forsvarsløse nettsteder til små nettbutikker, fora, blogger og medier.
Hvordan velge DDoS-beskyttet hosting? Hva bør du være oppmerksom på og hva bør du forberede deg på for ikke å havne i en ubehagelig situasjon?
(Vaksinasjon mot "grå" markedsføring på innsiden)
Tilgjengeligheten og variasjonen av verktøy for å utføre DDoS-angrep tvinger eiere av nettjenester til å iverksette passende tiltak for å motvirke trusselen. Du bør tenke på DDoS-beskyttelse ikke etter den første feilen, og ikke engang som en del av et sett med tiltak for å øke feiltoleransen til infrastrukturen, men på stadiet for å velge et sted for plassering (vertsleverandør eller datasenter).
DDoS-angrep klassifiseres avhengig av protokollene hvis sårbarheter utnyttes til nivåene til Open Systems Interconnection (OSI)-modellen:
- kanal (L2),
- nettverk (L3),
- transport (L4),
- påført (L7).
Fra sikkerhetssystemers synspunkt kan de generaliseres i to grupper: angrep på infrastrukturnivå (L2-L4) og angrep på applikasjonsnivå (L7). Dette skyldes sekvensen av utførelse av trafikkanalysealgoritmer og beregningskompleksitet: Jo dypere vi ser inn i IP-pakken, desto mer datakraft kreves det.
Generelt er problemet med å optimalisere beregninger ved behandling av trafikk i sanntid et tema for en egen artikkelserie. La oss nå bare forestille oss at det er en nettskyleverandør med betinget ubegrensede dataressurser som kan beskytte nettsteder mot angrep på applikasjonsnivå (inkludert ).
3 hovedspørsmål for å bestemme graden av vertssikkerhet mot DDoS-angrep
La oss se på tjenestevilkårene for beskyttelse mot DDoS-angrep og tjenestenivåavtalen (SLA) til vertsleverandøren. Inneholder de svar på følgende spørsmål:
- hvilke tekniske begrensninger er oppgitt av tjenesteleverandøren??
- hva skjer når kunden går over grensene?
- Hvordan bygger en vertsleverandør beskyttelse mot DDoS-angrep (teknologier, løsninger, leverandører)?
Hvis du ikke har funnet denne informasjonen, er dette en grunn til å enten tenke på seriøsiteten til tjenesteleverandøren, eller organisere grunnleggende DDoS-beskyttelse (L3-4) på egen hånd. Bestill for eksempel en fysisk tilkobling til nettverket til en spesialisert sikkerhetsleverandør.
Viktig! Det er ingen vits i å gi beskyttelse mot angrep på applikasjonsnivå ved å bruke omvendt proxy hvis vertsleverandøren din ikke er i stand til å gi beskyttelse mot angrep på infrastrukturnivå: nettverksutstyret vil bli overbelastet og bli utilgjengelig, inkludert for skyleverandørens proxy-servere (figur 1).
Figur 1. Direkte angrep på vertsleverandørens nettverk
Og ikke la dem prøve å fortelle deg eventyr om at den virkelige IP-adressen til serveren er skjult bak skyen til sikkerhetsleverandøren, noe som betyr at det er umulig å angripe den direkte. I ni av ti tilfeller vil det ikke være vanskelig for en angriper å finne den virkelige IP-adressen til serveren eller i det minste vertsleverandørens nettverk for å "ødelegge" et helt datasenter.
Hvordan hackere opptrer på jakt etter en ekte IP-adresse
Under spoilerne er det flere metoder for å finne en ekte IP-adresse (gitt for informasjonsformål).
Metode 1: Søk i åpne kilder
Du kan starte søket med netttjenesten: Den søker på det mørke nettet, dokumentdelingsplattformer, behandler Whois-data, offentlige datalekkasjer og mange andre kilder.
Hvis det, basert på noen tegn (HTTP-overskrifter, Whois-data, osv.), var mulig å fastslå at nettstedets beskyttelse er organisert ved hjelp av Cloudflare, kan du begynne å søke etter den virkelige IP-en fra, som inneholder rundt 3 millioner IP-adresser til nettsteder som ligger bak Cloudflare.
Bruke et SSL-sertifikat og tjeneste du kan finne mye nyttig informasjon, inkludert den virkelige IP-adressen til nettstedet. For å generere en forespørsel om ressursen din, gå til Sertifikater-fanen og skriv inn:
_parsed.names: navnnettsted OG tags.raw: klarert
For å søke etter IP-adresser til servere som bruker et SSL-sertifikat, må du manuelt gå gjennom rullegardinlisten med flere verktøy (fanen "Utforsk", velg deretter "IPv4-verter").
Metode 2: DNS
Å søke i historien til endringer i DNS-poster er en gammel, velprøvd metode. Den forrige IP-adressen til nettstedet kan gjøre det klart hvilken hosting (eller datasenter) den var plassert på. Blant de elektroniske tjenestene når det gjelder brukervennlighet, skiller følgende seg ut: и .
Når du endrer innstillingene, vil nettstedet ikke umiddelbart bruke IP-adressen til skysikkerhetsleverandøren eller CDN, men vil fungere direkte i noen tid. I dette tilfellet er det en mulighet for at nettjenester for lagring av historikk for IP-adresseendringer inneholder informasjon om kildeadressen til nettstedet.
Hvis det ikke er noe annet enn navnet på den gamle DNS-serveren, kan du ved hjelp av spesielle verktøy (dig, vert eller nslookup) be om en IP-adresse etter domenenavnet til nettstedet, for eksempel:
_dig @old_dns_server_name navnсайта
Metode 3: e-post
Ideen med metoden er å bruke tilbakemeldings-/registreringsskjemaet (eller en annen metode som lar deg starte sendingen av et brev) for å motta et brev til e-posten din og sjekke overskriftene, spesielt feltet "Mottatt" .
E-posthodet inneholder ofte den faktiske IP-adressen til MX-posten (e-postutvekslingsserver), som kan være et utgangspunkt for å finne andre servere på målet.
Søkeautomatiseringsverktøy
IP-søkeprogramvare bak Cloudflare-skjoldet fungerer oftest for tre oppgaver:
- Skann etter DNS-feilkonfigurasjon ved å bruke DNSDumpster.com;
- Crimeflare.com databaseskanning;
- søk etter underdomener ved hjelp av en ordboksøkemetode.
Å finne underdomener er ofte det mest effektive alternativet av de tre - nettstedeieren kan beskytte hovedsiden og la underdomenene kjøre direkte. Den enkleste måten å sjekke er å bruke .
I tillegg er det verktøy som kun er utviklet for å søke underdomener ved hjelp av et ordboksøk og søk i åpne kilder, for eksempel: eller .
Hvordan søk skjer i praksis
La oss for eksempel ta nettstedet seo.com ved hjelp av Cloudflare, som vi finner ved hjelp av en velkjent tjeneste (lar deg både bestemme teknologiene / motorene / CMS som nettstedet opererer på, og vice versa - søke etter nettsteder ved hjelp av teknologiene som brukes).
Når du klikker på "IPv4 Hosts"-fanen, vil tjenesten vise en liste over verter som bruker sertifikatet. For å finne den du trenger, se etter en IP-adresse med åpen port 443. Hvis den omdirigerer til ønsket nettsted, er oppgaven fullført, ellers må du legge til domenenavnet til nettstedet til "Host"-overskriften til HTTP-forespørsel (for eksempel *curl -H "Vert: nettstedsnavn" *).
I vårt tilfelle ga ikke et søk i Censys-databasen noe, så vi går videre.
Vi vil utføre et DNS-søk gjennom tjenesten.
Ved å søke gjennom adressene nevnt i listene over DNS-servere som bruker CloudFail-verktøyet, finner vi arbeidsressurser. Resultatet vil være klart om noen sekunder.
Ved å bruke bare åpne data og enkle verktøy, bestemte vi den virkelige IP-adressen til webserveren. Resten for angriperen er et spørsmål om teknikk.
La oss gå tilbake til å velge en vertsleverandør. For å vurdere nytten av tjenesten for kunden, vil vi vurdere mulige metoder for beskyttelse mot DDoS-angrep.
Hvordan en vertsleverandør bygger sin beskyttelse
- Eget beskyttelsessystem med filtreringsutstyr (Figur 2).
Krever:
1.1. Trafikkfiltreringsutstyr og programvarelisenser;
1.2. Heltidsspesialister for støtte og drift;
1.3. Internett-tilgangskanaler som vil være tilstrekkelige til å motta angrep;
1.4. Betydelig forhåndsbetalt kanalbåndbredde for mottak av "søppel" trafikk.
Figur 2. Hostingleverandørs eget sikkerhetssystem
Hvis vi anser det beskrevne systemet som et middel for beskyttelse mot moderne DDoS-angrep på hundrevis av Gbps, så vil et slikt system koste mye penger. Har vertsleverandøren slik beskyttelse? Er han klar til å betale for "søppel" trafikk? Åpenbart er en slik økonomisk modell ulønnsom for leverandøren dersom tariffene ikke gir ytterligere betalinger. - Omvendt proxy (kun for nettsteder og enkelte applikasjoner). Til tross for et tall , garanterer ikke leverandøren beskyttelse mot direkte DDoS-angrep (se figur 1). Hostingleverandører tilbyr ofte en slik løsning som et universalmiddel, og flytter ansvaret til sikkerhetsleverandøren.
- Tjenester fra en spesialisert skyleverandør (bruk av filtreringsnettverket) for å beskytte mot DDoS-angrep på alle OSI-nivåer (Figur 3).
Figur 3. Omfattende beskyttelse mot DDoS-angrep ved hjelp av en spesialisert leverandør
forutsetter dyp integrasjon og høy teknisk kompetanse hos begge parter. Outsourcing av trafikkfiltreringstjenester gjør at vertsleverandøren kan redusere prisen på tilleggstjenester for kunden.
Viktig! Jo mer detaljert de tekniske egenskapene til tjenesten som tilbys er beskrevet, desto større er sjansen for å kreve implementering eller kompensasjon i tilfelle nedetid.
I tillegg til de tre hovedmetodene er det mange kombinasjoner og kombinasjoner. Når du velger en hosting, er det viktig for kunden å huske at beslutningen ikke bare vil avhenge av størrelsen på garanterte blokkerte angrep og filtreringsnøyaktighet, men også av responshastigheten, samt informasjonsinnhold (liste over blokkerte angrep, generell statistikk osv.).
Husk at bare noen få vertsleverandører i verden er i stand til å gi et akseptabelt beskyttelsesnivå på egen hånd; i andre tilfeller hjelper samarbeid og teknisk kompetanse. Forståelse av de grunnleggende prinsippene for organisering av beskyttelse mot DDoS-angrep vil derfor tillate nettstedeieren ikke å falle for markedsføringstriks og ikke kjøpe en "gris i en poke."
Kilde: www.habr.com