„Facet, który stworzył naszą witrynę, skonfigurował już ochronę przed atakami DDoS.”
„Mamy ochronę DDoS, dlaczego witryna przestała działać?”
„Ile tysięcy chce Qrator?”
Aby właściwie odpowiedzieć na takie pytania ze strony klienta/szefa, dobrze byłoby wiedzieć, co kryje się pod nazwą „ochrona DDoS”. Wybór usług ochrony przypomina raczej wybór leku od lekarza niż wybór stołu w IKEA.
Wspieram strony internetowe od 11 lat, przeżyłem setki ataków na obsługiwane przeze mnie usługi, a teraz opowiem Wam trochę o wewnętrznym działaniu ochrony.
Regularne ataki. Łącznie 350 tys. żądań, 52 tys. żądań uzasadnionych
Pierwsze ataki pojawiły się niemal równocześnie z Internetem. DDoS jako zjawisko stało się powszechne od końca XXI wieku (sprawdź ).
Od około 2015-2016 prawie wszyscy dostawcy usług hostingowych są chronieni przed atakami DDoS, podobnie jak większość znanych witryn na obszarach konkurencyjnych (rób whois według adresu IP witryn eldorado.ru, leroymerlin.ru, tilda.ws, zobaczysz sieci operatorów zabezpieczeń).
Jeśli 10-20 lat temu większość ataków można było odeprzeć na samym serwerze (oceń zalecenia administratora systemu Lenta.ru Maksyma Moszkowa z lat 90.: ), ale teraz zadania ochronne stały się trudniejsze.
Rodzaje ataków DDoS z punktu widzenia wyboru operatora ochrony
Ataki na poziomie L3/L4 (wg modelu OSI)
— Zalew UDP z botnetu (wiele żądań jest wysyłanych bezpośrednio z zainfekowanych urządzeń do zaatakowanej usługi, serwery są blokowane kanałem);
— wzmocnienie DNS/NTP/etc (z zainfekowanych urządzeń wysyłanych jest wiele żądań do podatnych na ataki DNS/NTP/etc, adres nadawcy zostaje sfałszowany, chmura pakietów odpowiadających na żądania zalewa kanał atakowanej osoby; w ten sposób najczęściej we współczesnym Internecie przeprowadzane są masowe ataki);
— Zalew SYN / ACK (do zaatakowanych serwerów wysyłanych jest wiele żądań nawiązania połączenia, kolejka połączeń zostaje przepełniona);
— ataki z fragmentacją pakietów, pingiem śmierci, zalewem pingów (wygoogluj, proszę);
- i tak dalej.
Ataki te mają na celu „zablokowanie” kanału serwera lub „zabicie” jego zdolności do przyjmowania nowego ruchu.
Chociaż zalewanie i wzmacnianie SYN/ACK są bardzo różne, wiele firm radzi sobie z nimi równie dobrze. Problemy pojawiają się przy atakach kolejnej grupy.
Ataki na L7 (warstwa aplikacji)
— http Flood (jeśli zaatakowana zostanie witryna internetowa lub jakieś API http);
— atak na wrażliwe obszary witryny (te, które nie mają pamięci podręcznej, które bardzo obciążają witrynę itp.).
Celem jest sprawienie, aby serwer „ciężko pracował”, przetwarzał wiele „pozornie prawdziwych żądań” i pozostawał bez zasobów na prawdziwe żądania.
Chociaż istnieją inne ataki, te są najczęstsze.
Poważne ataki na poziomie L7 tworzone są w unikalny sposób dla każdego atakowanego projektu.
Dlaczego 2 grupy?
Ponieważ jest wielu, którzy wiedzą, jak dobrze odeprzeć ataki na poziomie L3 / L4, ale albo w ogóle nie podejmują ochrony na poziomie aplikacji (L7), albo są nadal słabsi od alternatyw w radzeniu sobie z nimi.
Kto jest kim na rynku ochrony DDoS
(moja osobista opinia)
Ochrona na poziomie L3/L4
Aby odeprzeć ataki ze wzmocnieniem („blokada” kanału serwera), wystarczy szerokich kanałów (wiele usług ochrony łączy się z większością dużych dostawców szkieletu w Rosji i ma kanały o teoretycznej przepustowości większej niż 1 Tbit). Nie zapominaj, że bardzo rzadkie ataki wzmacniające trwają dłużej niż godzinę. Jeśli jesteś Spamhausem i wszyscy Cię nie lubią, tak, mogą próbować zamknąć Twoje kanały na kilka dni, nawet ryzykując dalsze przetrwanie wykorzystywanego globalnego botnetu. Jeśli masz tylko sklep internetowy, nawet jeśli jest to mvideo.ru, nie zobaczysz 1 Tbit w ciągu kilku dni (mam nadzieję).
Aby odeprzeć ataki polegające na zalewaniu SYN/ACK, fragmentacji pakietów itp., potrzebny jest sprzęt lub systemy oprogramowania do wykrywania i powstrzymywania takich ataków.
Wiele osób produkuje taki sprzęt (Arbor, są rozwiązania od Cisco, Huawei, wdrożenia oprogramowania od Wanguard itp.), wielu operatorów szkieletowych już go zainstalowało i sprzedaje usługi ochrony DDoS (wiem o instalacjach Rostelecom, Megafon, TTK, MTS w rzeczywistości wszyscy główni dostawcy robią to samo z hostingerami z własną ochroną a-la OVH.com, Hetzner.de, sam spotkałem się z ochroną na ihor.ru). Niektóre firmy opracowują własne rozwiązania programowe (technologie takie jak DPDK pozwalają przetwarzać dziesiątki gigabitów ruchu na jednej fizycznej maszynie x86).
Spośród znanych graczy każdy może mniej lub bardziej skutecznie walczyć z DDoS L3/L4. Nie będę teraz mówił, kto ma większą maksymalną przepustowość kanału (to informacja poufna), ale zwykle nie jest to tak ważne, a jedyną różnicą jest to, jak szybko zadziała zabezpieczenie (natychmiast lub po kilku minutach przestoju projektu, jak u Hetznera).
Pytanie brzmi, jak dobrze to zrobiono: atak wzmacniający można odeprzeć, blokując ruch z krajów o największej liczbie szkodliwego ruchu, lub można odrzucić tylko naprawdę niepotrzebny ruch.
Ale jednocześnie, z mojego doświadczenia, wynika, że wszyscy poważni gracze rynkowi radzą sobie z tym bez problemów: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (dawniej SkyParkCDN), ServicePipe, Stormwall, Voxility itp.
Nie spotkałem się z ochroną ze strony operatorów takich jak Rostelecom, Megafon, TTK, Beeline; według opinii kolegów świadczą te usługi całkiem dobrze, ale jak dotąd brak doświadczenia okresowo wpływa na: czasami trzeba coś poprawić poprzez wsparcie operatora zabezpieczenia.
Niektórzy operatorzy mają odrębną usługę „ochrona przed atakami na poziomie L3/L4” lub „ochrona kanału”, która kosztuje znacznie mniej niż ochrona na wszystkich poziomach.
Dlaczego dostawca szkieletu nie odpiera ataków o przepustowości setek Gb, skoro nie ma własnych kanałów?Operator ochrony może połączyć się z dowolnym głównym dostawcą i odeprzeć ataki „na swój koszt”. Będziesz musiał zapłacić za kanał, ale wszystkie te setki Gbitów nie zawsze zostaną wykorzystane; w tym przypadku istnieją opcje znacznego obniżenia kosztów kanałów, więc schemat pozostaje wykonalny.
Oto raporty, które regularnie otrzymywałem od wyższego poziomu ochrony L3/L4 podczas wspierania systemów dostawcy hostingu.
Ochrona na poziomie L7 (poziom aplikacji)
Ataki na poziomie L7 (poziom aplikacji) są w stanie konsekwentnie i skutecznie odpierać jednostki.
Mam naprawdę duże doświadczenie
— Qrator.net;
— DDoS-Guard;
- Laboratoria G-Core;
— Kaspersky.
Pobierają opłatę za każdy megabit czystego ruchu, megabit kosztuje około kilku tysięcy rubli. Jeśli masz przynajmniej 100 Mbps czystego ruchu – och. Ochrona będzie bardzo kosztowna. W kolejnych artykułach mogę powiedzieć, jak projektować aplikacje, aby dużo zaoszczędzić na przepustowości kanałów bezpieczeństwa.
Prawdziwym „królem wzgórza” jest Qrator.net, reszta pozostaje w tyle. Z mojego doświadczenia wynika, że Qrator jako jedyny daje odsetek fałszywych alarmów bliski zeru, ale jednocześnie jest kilkukrotnie droższy od innych graczy rynkowych.
Inni operatorzy również zapewniają wysoką jakość i stabilną ochronę. Wiele obsługiwanych przez nas usług (w tym bardzo znanych w kraju!) jest chronionych przed DDoS-Guard, G-Core Labs i są w miarę zadowoleni z uzyskanych wyników.
Ataki odparte przez Qratora
Mam również doświadczenie z małymi operatorami bezpieczeństwa, takimi jak cloud-shield.ru, ddosa.net, tysiącami z nich. Zdecydowanie nie polecam, bo... Nie mam dużego doświadczenia, ale opowiem o zasadach ich pracy. Koszt ich ochrony jest często o 1-2 rzędy wielkości niższy niż w przypadku głównych graczy. Z reguły wykupują usługę częściowej ochrony (L3/L4) od jednego z większych graczy + wykonują własną ochronę przed atakami na wyższych poziomach. Może to być całkiem skuteczne + można uzyskać dobrą obsługę za mniejsze pieniądze, ale są to nadal małe firmy z niewielką liczbą pracowników, proszę o tym pamiętać.
Jaka jest trudność odparcia ataków na poziomie L7?
Wszystkie aplikacje są unikalne i należy zezwolić na przydatny dla nich ruch, a zablokować szkodliwy. Nie zawsze da się jednoznacznie wyeliminować boty, dlatego trzeba zastosować wiele, naprawdę WIELE stopni oczyszczania ruchu.
Dawno, dawno temu wystarczył moduł nginx-testcookie (), a to wciąż wystarczy, aby odeprzeć dużą liczbę ataków. Kiedy pracowałem w branży hostingowej, ochrona L7 opierała się na nginx-testcookie.
Niestety ataki stały się trudniejsze. testcookie korzysta z kontroli botów opartych na JS i wiele nowoczesnych botów może je pomyślnie przejść.
Botnety atakujące są również wyjątkowe i należy wziąć pod uwagę charakterystykę każdego dużego botnetu.
Wzmacnianie, bezpośrednie zalewanie z botnetu, filtrowanie ruchu z różnych krajów (różne filtrowanie dla różnych krajów), zalewanie SYN/ACK, fragmentacja pakietów, ICMP, zalewanie http, natomiast na poziomie aplikacji/http możesz wymyślić nieograniczoną liczbę różne ataki.
W sumie na poziomie ochrony kanału, specjalistycznego sprzętu do rozliczania ruchu, specjalnego oprogramowania, dodatkowych ustawień filtrowania dla każdego klienta można wyróżnić dziesiątki i setki poziomów filtrowania.
Aby właściwie tym zarządzać i odpowiednio dostroić ustawienia filtrowania dla różnych użytkowników, potrzebujesz dużego doświadczenia i wykwalifikowanego personelu. Nawet duży operator, który zdecydował się świadczyć usługi ochrony, nie może „głupio rzucać pieniędzy na problem”: trzeba będzie zdobyć doświadczenie w przypadku kłamliwych witryn i fałszywych alarmów w legalnym ruchu.
Operator bezpieczeństwa nie ma przycisku „odeprzyj DDoS”, istnieje duża liczba narzędzi i trzeba wiedzieć, jak z nich korzystać.
I jeszcze jeden bonusowy przykład.
Niezabezpieczony serwer został zablokowany przez hostera podczas ataku o przepustowości 600 Mbit
(„Utrata” ruchu nie jest zauważalna, ponieważ zaatakowana została tylko 1 witryna, została ona tymczasowo usunięta z serwera, a blokada została zniesiona w ciągu godziny).
Ten sam serwer jest chroniony. Napastnicy „poddali się” po całym dniu odpartych ataków. Sam atak nie był najpotężniejszy.
Atak i obrona L3/L4 są bardziej trywialne, zależą głównie od grubości kanałów, algorytmów wykrywania i filtrowania ataków.
Ataki L7 są bardziej złożone i oryginalne, zależą od atakowanej aplikacji, możliwości i wyobraźni atakującego. Ochrona przed nimi wymaga dużej wiedzy i doświadczenia, a efekt może nie być natychmiastowy i nie stuprocentowy. Dopóki Google nie wymyśliło innej sieci neuronowej do ochrony.
Źródło: www.habr.com