“O cara que criou nosso site já configurou a proteção DDoS.”
“Temos proteção DDoS, por que o site caiu?”
“Quantos milhares o Qrator quer?”
Para responder adequadamente a essas perguntas do cliente/chefe, seria bom saber o que está escondido por trás do nome “proteção DDoS”. Escolher serviços de segurança é mais como escolher um medicamento de um médico do que escolher uma mesa na IKEA.
Dou suporte a sites há 11 anos, sobrevivi a centenas de ataques aos serviços que apoio e agora vou contar um pouco sobre o funcionamento interno da proteção.
Ataques regulares. 350 mil requisitos totais, 52 mil requisitos legítimos
Os primeiros ataques surgiram quase simultaneamente com a Internet. O fenômeno DDoS se tornou generalizado desde o final dos anos 2000 (confira ).
Desde cerca de 2015-2016, quase todos os provedores de hospedagem foram protegidos contra ataques DDoS, assim como os sites mais proeminentes em áreas competitivas (faça whois por IP dos sites eldorado.ru, leroymerlin.ru, tilda.ws, você verá as redes dos operadores de proteção).
Se há 10-20 anos a maioria dos ataques pudesse ser repelida no próprio servidor (avalie as recomendações do administrador do sistema Lenta.ru, Maxim Moshkov, dos anos 90: ), mas agora as tarefas de proteção tornaram-se mais difíceis.
Tipos de ataques DDoS em termos de escolha de um operador de proteção
Ataques no nível L3/L4 (de acordo com o modelo OSI)
— Inundação UDP de uma botnet (muitas solicitações são enviadas diretamente dos dispositivos infectados para o serviço atacado, os servidores são bloqueados com o canal);
— Amplificação de DNS/NTP/etc (muitas solicitações são enviadas de dispositivos infectados para DNS/NTP/etc vulneráveis, o endereço do remetente é forjado, uma nuvem de pacotes respondendo a solicitações inunda o canal da pessoa que está sendo atacada; é assim que a maioria ataques massivos são realizados na Internet moderna);
— Inundação SYN/ACK (muitas solicitações para estabelecer conexão são enviadas aos servidores atacados, a fila de conexão transborda);
— ataques com fragmentação de pacotes, ping of death, ping Flood (Google, por favor);
- e assim por diante.
Esses ataques visam “obstruir” o canal do servidor ou “matar” sua capacidade de aceitar novo tráfego.
Embora a inundação e a amplificação de SYN/ACK sejam muito diferentes, muitas empresas as combatem igualmente bem. Surgem problemas com ataques do próximo grupo.
Ataques em L7 (camada de aplicação)
— inundação http (se um site ou alguma API http for atacada);
— um ataque a áreas vulneráveis do site (aquelas que não possuem cache, que carregam muito o site, etc.).
O objetivo é fazer com que o servidor “trabalhe duro”, processe muitas “solicitações aparentemente reais” e fique sem recursos para solicitações reais.
Embora existam outros ataques, estes são os mais comuns.
Ataques sérios no nível L7 são criados de forma única para cada projeto atacado.
Por que 2 grupos?
Porque há muitos que sabem repelir bem os ataques no nível L3/L4, mas ou não assumem nenhuma proteção no nível do aplicativo (L7), ou ainda são mais fracos do que as alternativas para lidar com eles.
Quem é quem no mercado de proteção DDoS
(minha opinião pessoal)
Proteção no nível L3/L4
Para repelir ataques com amplificação (“bloqueio” do canal do servidor), existem canais amplos suficientes (muitos dos serviços de proteção se conectam à maioria dos grandes provedores de backbone na Rússia e possuem canais com capacidade teórica superior a 1 Tbit). Não se esqueça que ataques de amplificação muito raros duram mais de uma hora. Se você é Spamhaus e todo mundo não gosta de você, sim, eles podem tentar fechar seus canais por vários dias, mesmo correndo o risco de sobrevivência da botnet global que está sendo usada. Se você tiver apenas uma loja online, mesmo que seja mvideo.ru, não verá 1 Tbit em poucos dias (espero).
Para repelir ataques com inundação SYN/ACK, fragmentação de pacotes, etc., você precisa de equipamentos ou sistemas de software para detectar e impedir tais ataques.
Muitas pessoas produzem esses equipamentos (Arbor, existem soluções da Cisco, Huawei, implementações de software da Wanguard, etc.), muitas operadoras de backbone já os instalaram e vendem serviços de proteção DDoS (conheço instalações da Rostelecom, Megafon, TTK, MTS , na verdade, todos os principais provedores fazem o mesmo com hosters com sua própria proteção (como OVH.com, Hetzner.de, eu mesmo encontrei proteção em ihor.ru). Algumas empresas estão desenvolvendo suas próprias soluções de software (tecnologias como DPDK permitem processar dezenas de gigabits de tráfego em uma máquina física x86).
Dos jogadores mais conhecidos, todos podem combater DDoS L3/L4 de forma mais ou menos eficaz. Agora não vou dizer quem tem a maior capacidade máxima de canal (isso é informação privilegiada), mas geralmente isso não é tão importante, e a única diferença é a rapidez com que a proteção é acionada (instantaneamente ou após alguns minutos de inatividade do projeto, como em Hetzner).
A questão é quão bem isto é feito: um ataque de amplificação pode ser repelido bloqueando o tráfego de países com a maior quantidade de tráfego prejudicial, ou apenas o tráfego verdadeiramente desnecessário pode ser descartado.
Mas, ao mesmo tempo, com base na minha experiência, todos os participantes sérios do mercado lidam com isso sem problemas: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (anteriormente SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Não encontrei proteção de operadoras como Rostelecom, Megafon, TTK, Beeline, segundo avaliações de colegas, eles prestam muito bem esses serviços, mas até agora a falta de experiência afeta periodicamente: às vezes é preciso ajustar alguma coisa através do suporte do operador de proteção.
Algumas operadoras possuem um serviço separado de “proteção contra ataques no nível L3/L4” ou “proteção de canal”; custa muito menos que a proteção em todos os níveis.
Por que o provedor de backbone não está repelindo ataques de centenas de Gbits, já que não possui canais próprios?O operador de proteção pode conectar-se a qualquer um dos principais provedores e repelir ataques “às suas custas”. Você terá que pagar pelo canal, mas nem sempre todas essas centenas de Gbits serão utilizadas; existem opções para reduzir significativamente o custo dos canais neste caso, para que o esquema continue viável.
Estes são os relatórios que recebo regularmente da proteção L3/L4 de nível superior, ao mesmo tempo em que oferece suporte aos sistemas do provedor de hospedagem.
Proteção no nível L7 (nível de aplicação)
Os ataques no nível L7 (nível de aplicação) são capazes de repelir unidades de forma consistente e eficiente.
Tenho muita experiência real com
—Qrator.net;
— Guarda DDoS;
- Laboratórios G-Core;
-Kaspersky.
Eles cobram por cada megabit de tráfego puro, um megabit custa cerca de vários milhares de rublos. Se você tiver pelo menos 100 Mbps de tráfego puro - ah. A proteção será muito cara. Posso contar nos artigos a seguir como projetar aplicações de forma a economizar muito na capacidade dos canais de segurança.
O verdadeiro “rei da colina” é o Qrator.net, o resto fica para trás. Até agora, os Qrator são os únicos na minha experiência que apresentam uma porcentagem de falsos positivos próxima de zero, mas ao mesmo tempo são várias vezes mais caros do que outros participantes do mercado.
Outros operadores também fornecem proteção estável e de alta qualidade. Muitos serviços por nós apoiados (incluindo alguns muito conhecidos no país!) estão protegidos contra DDoS-Guard, G-Core Labs, e estão bastante satisfeitos com os resultados obtidos.
Ataques repelidos por Qrator
Também tenho experiência com pequenos operadores de segurança como cloud-shield.ru, ddosa.net, milhares deles. Definitivamente não vou recomendar, porque... Não tenho muita experiência, mas vou falar sobre os princípios de seu trabalho. O seu custo de proteção é frequentemente 1 a 2 ordens de grandeza inferior ao dos principais intervenientes. Via de regra, eles compram um serviço de proteção parcial (L3/L4) de um dos maiores players + fazem sua própria proteção contra ataques de níveis superiores. Isso pode ser bastante eficaz + você pode obter um bom serviço por menos dinheiro, mas ainda são pequenas empresas com uma equipe pequena, lembre-se disso.
Qual é a dificuldade de repelir ataques no nível L7?
Todos os aplicativos são únicos e você precisa permitir o tráfego que seja útil para eles e bloquear os prejudiciais. Nem sempre é possível eliminar bots de forma inequívoca, então você tem que usar muitos, MUITOS graus de purificação de tráfego.
Era uma vez, o módulo nginx-testcookie era suficiente (), e ainda é suficiente para repelir um grande número de ataques. Quando trabalhei na indústria de hospedagem, a proteção L7 era baseada no nginx-testcookie.
Infelizmente, os ataques tornaram-se mais difíceis. testcookie usa verificações de bot baseadas em JS, e muitos bots modernos podem passá-las com sucesso.
As botnets de ataque também são únicas e as características de cada grande botnet devem ser levadas em consideração.
Amplificação, inundação direta de uma botnet, filtragem de tráfego de diferentes países (filtragem diferente para países diferentes), inundação SYN/ACK, fragmentação de pacotes, ICMP, inundação http, enquanto no nível de aplicação/http você pode criar um número ilimitado de ataques diferentes.
No total, ao nível da proteção do canal, equipamentos especializados para limpeza de tráfego, software especial, configurações de filtragem adicionais para cada cliente podem haver dezenas e centenas de níveis de filtragem.
Para gerenciar isso adequadamente e ajustar corretamente as configurações de filtragem para diferentes usuários, você precisa de muita experiência e pessoal qualificado. Mesmo um grande operador que decidiu fornecer serviços de protecção não pode “estupidamente atirar dinheiro para o problema”: terá de ser adquirida experiência com sites mentirosos e falsos positivos sobre tráfego legítimo.
Não existe um botão “repelir DDoS” para o operador de segurança; há um grande número de ferramentas e você precisa saber como usá-las.
E mais um exemplo bônus.
Um servidor desprotegido foi bloqueado pelo hoster durante um ataque com capacidade de 600 Mbit
(“A perda” de tráfego não é perceptível, pois apenas 1 site foi atacado, foi temporariamente removido do servidor e o bloqueio foi suspenso em uma hora).
O mesmo servidor está protegido. Os agressores “se renderam” após um dia de ataques repelidos. O ataque em si não foi o mais forte.
O ataque e a defesa de L3/L4 são mais triviais; dependem principalmente da espessura dos canais, algoritmos de detecção e filtragem de ataques.
Os ataques L7 são mais complexos e originais; dependem da aplicação atacada, das capacidades e da imaginação dos atacantes. A proteção contra eles requer muito conhecimento e experiência, e o resultado pode não ser imediato e nem cem por cento. Até que o Google surgiu com outra rede neural para proteção.
Fonte: habr.com