W pierwszych dwóch kwartałach 2020 roku liczba ataków DDoS wzrosła niemal trzykrotnie, przy czym 65% z nich to prymitywne próby „testowania obciążenia”, które w łatwy sposób „wyłączają” bezbronne strony małych sklepów internetowych, forów, blogów i mediów.
Jak wybrać hosting chroniony DDoS? Na co zwrócić uwagę i na co się przygotować, aby nie skończyć się nieprzyjemną sytuacją?
(Szczepienia przeciwko „szaremu” marketingowi wewnątrz)
Dostępność i różnorodność narzędzi do przeprowadzania ataków DDoS zmusza właścicieli serwisów internetowych do podjęcia odpowiednich działań w celu przeciwdziałania zagrożeniu. O ochronie DDoS należy myśleć nie po pierwszej awarii, ani nawet w ramach zestawu środków zwiększających odporność infrastruktury na awarie, ale na etapie wyboru miejsca do umieszczenia (dostawca hostingu lub centrum danych).
Ataki DDoS są klasyfikowane w zależności od protokołów, których podatności są wykorzystywane do poziomów modelu Open Systems Interconnection (OSI):
- kanał (L2),
- sieć (L3),
- transport (L4),
- zastosowany (L7).
Z punktu widzenia systemów bezpieczeństwa można je uogólnić na dwie grupy: ataki na poziomie infrastruktury (L2-L4) i ataki na poziomie aplikacji (L7). Wynika to z kolejności wykonywania algorytmów analizy ruchu i złożoności obliczeniowej: im głębiej zaglądamy do pakietu IP, tym większa jest wymagana moc obliczeniowa.
Generalnie problem optymalizacji obliczeń przy przetwarzaniu ruchu w czasie rzeczywistym to temat na odrębny cykl artykułów. Teraz wyobraźmy sobie, że istnieje dostawca usług w chmurze z warunkowo nieograniczonymi zasobami obliczeniowymi, który może chronić witryny przed atakami na poziomie aplikacji (w tym ).
3 główne pytania określające stopień zabezpieczenia hostingu przed atakami DDoS
Przyjrzyjmy się warunkom świadczenia usług ochrony przed atakami DDoS i umowie dotyczącej poziomu usług (SLA) dostawcy hostingu. Czy zawierają odpowiedzi na następujące pytania:
- jakie ograniczenia techniczne podaje usługodawca??
- co się stanie, gdy klient przekroczy granice?
- W jaki sposób dostawca hostingu buduje ochronę przed atakami DDoS (technologie, rozwiązania, dostawcy)?
Jeśli nie znalazłeś tych informacji, jest to powód, aby albo pomyśleć o powadze dostawcy usługi, albo samodzielnie zorganizować podstawową ochronę DDoS (L3-4). Na przykład zamów fizyczne połączenie z siecią wyspecjalizowanego dostawcy zabezpieczeń.
Ważne! Nie ma sensu zapewniać ochrony przed atakami na poziomie aplikacji za pomocą Reverse Proxy, jeśli Twój dostawca usług hostingowych nie jest w stanie zapewnić ochrony przed atakami na poziomie infrastruktury: sprzęt sieciowy zostanie przeciążony i stanie się niedostępny, w tym dla serwerów proxy dostawcy chmury (rysunek 1).
Rysunek 1. Bezpośredni atak na sieć dostawcy usług hostingowych
I nie pozwól im wmawiać sobie bajek, że prawdziwy adres IP serwera jest ukryty za chmurą dostawcy zabezpieczeń, co oznacza, że nie można go bezpośrednio zaatakować. W dziewięciu na dziesięć przypadków atakującemu nie będzie trudno znaleźć prawdziwy adres IP serwera lub przynajmniej sieci dostawcy usług hostingowych, aby „zniszczyć” całe centrum danych.
Jak hakerzy działają w poszukiwaniu prawdziwego adresu IP
Poniżej spoilerów znajduje się kilka metod znalezienia prawdziwego adresu IP (podawanego w celach informacyjnych).
Metoda 1: Szukaj w otwartych źródłach
Możesz rozpocząć wyszukiwanie za pomocą usługi online: Przeszukuje ciemną sieć, platformy udostępniania dokumentów, przetwarza dane Whois, wycieki danych publicznych i wiele innych źródeł.
Jeżeli na podstawie pewnych znaków (nagłówki HTTP, dane Whois itp.) udało się ustalić, że ochrona witryny zorganizowana jest przy użyciu Cloudflare, to możesz rozpocząć wyszukiwanie prawdziwego adresu IP od, który zawiera około 3 miliony adresów IP witryn znajdujących się za Cloudflare.
Korzystanie z certyfikatu i usługi SSL możesz znaleźć wiele przydatnych informacji, w tym prawdziwy adres IP witryny. Aby wygenerować zapytanie na swój zasób przejdź do zakładki Certyfikaty i wpisz:
_parsed.names: nazwawitryna ORAZ tagi.raw: zaufane
Aby wyszukać adresy IP serwerów korzystających z certyfikatu SSL, będziesz musiał ręcznie przejrzeć listę rozwijaną z kilkoma narzędziami (zakładka „Eksploruj”, a następnie wybierz „Hosty IPv4”).
Metoda 2: DNS
Przeszukiwanie historii zmian rekordów DNS to stara, sprawdzona metoda. Poprzedni adres IP witryny może jasno wskazywać, na jakim hostingu (lub centrum danych) się ona znajdowała. Wśród usług online pod względem łatwości obsługi wyróżniają się: и .
Gdy zmienisz ustawienia, witryna nie będzie od razu korzystać z adresu IP dostawcy zabezpieczeń w chmurze lub CDN, ale przez jakiś czas będzie działać bezpośrednio. W takim przypadku istnieje możliwość, że usługi internetowe służące do przechowywania historii zmian adresów IP zawierają informację o adresie źródłowym witryny.
Jeśli nie ma nic poza nazwą starego serwera DNS, za pomocą specjalnych narzędzi (dig, Host lub nslookup) możesz zażądać adresu IP według nazwy domeny witryny, na przykład:
_dig @old_dns_server_name nazwaсайта
Metoda 3: e-mail
Ideą metody jest skorzystanie z formularza opinii/rejestracji (lub innej metody umożliwiającej zainicjowanie wysyłki listu) w celu otrzymania listu na swój adres e-mail i sprawdzenia nagłówków, w szczególności pola „Otrzymano” .
Nagłówek wiadomości e-mail często zawiera rzeczywisty adres IP rekordu MX (serwera wymiany poczty e-mail), który może być punktem wyjścia do znalezienia innych serwerów w miejscu docelowym.
Wyszukaj narzędzia do automatyzacji
Oprogramowanie do wyszukiwania adresów IP za osłoną Cloudflare najczęściej działa w trzech zadaniach:
- Skanuj w poszukiwaniu błędnej konfiguracji DNS za pomocą DNSDumpster.com;
- Skanowanie bazy danych Crimeflare.com;
- szukaj subdomen za pomocą metody wyszukiwania słownikowego.
Znalezienie subdomen jest często najskuteczniejszą opcją z trzech - właściciel witryny może chronić witrynę główną i pozostawić subdomeny działające bezpośrednio. Najprostszym sposobem sprawdzenia jest użycie .
Ponadto istnieją narzędzia przeznaczone wyłącznie do wyszukiwania subdomen za pomocą wyszukiwania słownikowego i wyszukiwania w otwartych źródłach, na przykład: lub .
Jak wyszukiwanie przebiega w praktyce
Weźmy za przykład witrynę seo.com korzystającą z Cloudflare, którą znajdziemy za pomocą znanej usługi (pozwala zarówno określić na jakich technologiach/silnikach/CMS-ie działa strona, jak i odwrotnie - wyszukiwać strony po zastosowanych technologiach).
Po kliknięciu w zakładkę „Hosty IPv4” usługa wyświetli listę hostów korzystających z certyfikatu. Aby znaleźć ten, którego potrzebujesz, poszukaj adresu IP z otwartym portem 443. Jeśli przekierowuje do żądanej witryny, zadanie jest zakończone, w przeciwnym razie musisz dodać nazwę domeny witryny do nagłówka „Host” Żądanie HTTP (na przykład *curl -H „Host: nazwa_witryny” *).
W naszym przypadku poszukiwania w bazie Censys nic nie dały, więc jedziemy dalej.
Przeprowadzimy wyszukiwanie DNS za pośrednictwem usługi.
Przeszukując adresy wymienione na listach serwerów DNS za pomocą narzędzia CloudFail, znajdujemy działające zasoby. Wynik będzie gotowy za kilka sekund.
Korzystając wyłącznie z otwartych danych i prostych narzędzi, ustaliliśmy prawdziwy adres IP serwera WWW. Reszta atakującego to kwestia techniki.
Wróćmy do wyboru dostawcy hostingu. Aby ocenić korzyści płynące z usługi dla klienta, rozważymy możliwe metody ochrony przed atakami DDoS.
Jak dostawca usług hostingowych buduje swoją ochronę
- Własny system ochrony wraz z urządzeniami filtrującymi (rys. 2).
Wymaga:
1.1. Sprzęt do filtrowania ruchu i licencje na oprogramowanie;
1.2. Pełnoetatowi specjaliści ds. wsparcia i obsługi;
1.3. Kanały dostępu do Internetu, które będą wystarczające do przyjmowania ataków;
1.4. Znaczna przepustowość kanału przedpłaconego do odbioru ruchu „śmieciowego”.
Rysunek 2. Własny system bezpieczeństwa dostawcy hostingu
Jeśli uznamy opisywany system za sposób na ochronę przed nowoczesnymi atakami DDoS o prędkości setek Gb/s, to taki system będzie kosztował mnóstwo pieniędzy. Czy dostawca usług hostingowych posiada taką ochronę? Czy jest gotowy płacić za ruch „śmieciowy”? Oczywiście taki model ekonomiczny jest nieopłacalny dla dostawcy, jeśli taryfy nie przewidują dodatkowych opłat. - Reverse Proxy (tylko dla stron internetowych i niektórych aplikacji). Pomimo liczby , dostawca nie gwarantuje ochrony przed bezpośrednimi atakami DDoS (patrz rysunek 1). Dostawcy hostingu często oferują takie rozwiązanie jako panaceum, przerzucając odpowiedzialność na dostawcę bezpieczeństwa.
- Usługi wyspecjalizowanego dostawcy chmury (wykorzystanie jego sieci filtrującej) w celu ochrony przed atakami DDoS na wszystkich poziomach OSI (Rysunek 3).
Rysunek 3. Kompleksowa ochrona przed atakami DDoS z wykorzystaniem wyspecjalizowanego dostawcy
zakłada głęboką integrację i wysoki poziom kompetencji technicznych obu stron. Outsourcing usług filtrowania ruchu pozwala dostawcy hostingu obniżyć cenę usług dodatkowych dla klienta.
Ważne! Im bardziej szczegółowo opisano parametry techniczne świadczonej usługi, tym większa szansa na żądanie ich realizacji lub rekompensaty w przypadku przestoju.
Oprócz trzech głównych metod istnieje wiele kombinacji i kombinacji. Wybierając hosting, ważne jest, aby Klient pamiętał, że decyzja będzie zależała nie tylko od wielkości gwarantowanych zablokowanych ataków i dokładności filtrowania, ale także od szybkości reakcji, a także zawartości informacyjnej (lista zablokowanych ataków, statystyki ogólne itp.).
Pamiętaj, że tylko nieliczni dostawcy usług hostingowych na świecie są w stanie samodzielnie zapewnić akceptowalny poziom ochrony, w pozostałych przypadkach pomaga współpraca i znajomość zagadnień technicznych. Tym samym zrozumienie podstawowych zasad organizacji ochrony przed atakami DDoS pozwoli właścicielowi serwisu nie dać się nabrać na chwyty marketingowe i nie kupić „świni w worku”.
Źródło: www.habr.com