Nos dois primeiros trimestres de 2020, o número de ataques DDoS quase triplicou, sendo 65% deles tentativas primitivas de “testes de carga” que facilmente “desativam” sites indefesos de pequenas lojas online, fóruns, blogs e meios de comunicação.
Como escolher uma hospedagem protegida contra DDoS? No que você deve prestar atenção e para o que deve se preparar para não se encontrar em uma situação desagradável?
(Vacinação contra o marketing “cinza” interno)
A disponibilidade e variedade de ferramentas para a realização de ataques DDoS obriga os proprietários de serviços online a tomar medidas adequadas para combater a ameaça. Você deve pensar na proteção DDoS não após a primeira falha, e nem mesmo como parte de um conjunto de medidas para aumentar a tolerância a falhas da infraestrutura, mas na fase de escolha de um site para colocação (provedor de hospedagem ou data center).
Os ataques DDoS são classificados dependendo dos protocolos cujas vulnerabilidades são exploradas nos níveis do modelo Open Systems Interconnection (OSI):
- canal (L2),
- rede (L3),
- transporte (L4),
- aplicado (L7).
Do ponto de vista dos sistemas de segurança, eles podem ser generalizados em dois grupos: ataques ao nível da infraestrutura (L2-L4) e ataques ao nível da aplicação (L7). Isso se deve à sequência de execução dos algoritmos de análise de tráfego e à complexidade computacional: quanto mais profundamente olhamos para o pacote IP, mais poder computacional é necessário.
Em geral, o problema de otimização de cálculos no processamento de tráfego em tempo real é tema para uma série separada de artigos. Agora vamos imaginar que existe algum provedor de nuvem com recursos de computação condicionalmente ilimitados que podem proteger sites contra ataques em nível de aplicativo (incluindo ).
3 questões principais para determinar o grau de segurança da hospedagem contra ataques DDoS
Vejamos os termos de serviço para proteção contra ataques DDoS e o Acordo de Nível de Serviço (SLA) do provedor de hospedagem. Eles contêm respostas para as seguintes perguntas:
- quais limitações técnicas são declaradas pelo provedor de serviços??
- o que acontece quando o cliente ultrapassa os limites?
- Como um provedor de hospedagem cria proteção contra ataques DDoS (tecnologias, soluções, fornecedores)?
Se você não encontrou essas informações, esse é um motivo para pensar na seriedade do provedor de serviços ou organizar você mesmo a proteção básica contra DDoS (L3-4). Por exemplo, solicite uma conexão física à rede de um provedor de segurança especializado.
Importante! Não faz sentido fornecer proteção contra ataques em nível de aplicativo usando proxy reverso se o seu provedor de hospedagem não for capaz de fornecer proteção contra ataques em nível de infraestrutura: o equipamento de rede ficará sobrecarregado e ficará indisponível, inclusive para os servidores proxy do provedor de nuvem (Figura 1).
Figura 1. Ataque direto à rede do provedor de hospedagem
E não deixe que eles tentem contar histórias de que o endereço IP real do servidor está escondido atrás da nuvem do provedor de segurança, o que significa que é impossível atacá-lo diretamente. Em nove entre dez casos, não será difícil para um invasor encontrar o endereço IP real do servidor ou pelo menos da rede do provedor de hospedagem para “destruir” um data center inteiro.
Como os hackers agem em busca de um endereço IP real
Abaixo dos spoilers estão vários métodos para encontrar um endereço IP real (fornecidos para fins informativos).
Método 1: Pesquise em fontes abertas
Você pode iniciar sua pesquisa com o serviço online: pesquisa na dark web, plataformas de compartilhamento de documentos, processa dados Whois, vazamentos de dados públicos e muitas outras fontes.
Se, com base em alguns sinais (cabeçalhos HTTP, dados Whois, etc.), foi possível determinar que a proteção do site está organizada usando Cloudflare, então você pode começar a pesquisar o IP real de, que contém cerca de 3 milhões de endereços IP de sites localizados atrás da Cloudflare.
Usando um certificado e serviço SSL você pode encontrar muitas informações úteis, incluindo o endereço IP real do site. Para gerar uma solicitação para seu recurso, acesse a aba Certificados e digite:
_parsed.names: nomesite E tags.raw: confiável
Para pesquisar endereços IP de servidores usando um certificado SSL, você terá que percorrer manualmente a lista suspensa com várias ferramentas (a guia “Explorar” e selecionar “Hosts IPv4”).
Método 2: DNS
Pesquisar o histórico de alterações nos registros DNS é um método antigo e comprovado. O endereço IP anterior do site pode deixar claro em qual hospedagem (ou data center) ele estava localizado. Dentre os serviços online em termos de facilidade de uso, destacam-se: и .
Ao alterar as configurações, o site não usará imediatamente o endereço IP do provedor de segurança em nuvem ou CDN, mas funcionará diretamente por algum tempo. Neste caso, existe a possibilidade de que os serviços online de armazenamento do histórico de alterações de endereço IP contenham informações sobre o endereço de origem do site.
Se não houver nada além do nome do servidor DNS antigo, usando utilitários especiais (dig, host ou nslookup), você poderá solicitar um endereço IP pelo nome de domínio do site, por exemplo:
_dig @old_dns_server_name nomeсайта
Método 3: e-mail
A ideia do método é utilizar o formulário de feedback/cadastro (ou qualquer outro método que permita iniciar o envio de uma carta) para receber uma carta em seu e-mail e verificar os cabeçalhos, em especial o campo “Recebido”. .
O cabeçalho do email geralmente contém o endereço IP real do registro MX (servidor de troca de email), que pode ser um ponto de partida para encontrar outros servidores no destino.
Ferramentas de automação de pesquisa
O software de pesquisa de IP por trás do escudo Cloudflare geralmente funciona para três tarefas:
- Verifique se há configuração incorreta de DNS usando DNSDumpster.com;
- Verificação do banco de dados Crimeflare.com;
- pesquise subdomínios usando um método de pesquisa de dicionário.
Encontrar subdomínios costuma ser a opção mais eficaz das três – o proprietário do site pode proteger o site principal e deixar os subdomínios funcionando diretamente. A maneira mais fácil de verificar é usar .
Além disso, existem utilitários projetados apenas para pesquisar subdomínios usando pesquisa de dicionário e pesquisa em fontes abertas, por exemplo: ou .
Como a pesquisa acontece na prática
Por exemplo, vamos pegar o site seo.com usando Cloudflare, que encontraremos usando um serviço conhecido (permite determinar as tecnologias/motores/CMS em que o site opera, e vice-versa - pesquisar sites pelas tecnologias utilizadas).
Ao clicar na aba “Hosts IPv4”, o serviço mostrará uma lista de hosts que utilizam o certificado. Para encontrar o que você precisa, procure um endereço IP com porta aberta 443. Se redirecionar para o site desejado, a tarefa está concluída, caso contrário, você precisará adicionar o nome de domínio do site ao cabeçalho “Host” do Solicitação HTTP (por exemplo, *curl -H "Host: site_name" *).
No nosso caso, uma pesquisa na base de dados Censys não deu nada, então seguimos em frente.
Faremos uma busca de DNS através do serviço.
Ao pesquisar os endereços mencionados nas listas de servidores DNS usando o utilitário CloudFail, encontramos recursos funcionais. O resultado estará pronto em alguns segundos.
Usando apenas dados abertos e ferramentas simples, determinamos o endereço IP real do servidor web. O resto para o atacante é uma questão de técnica.
Voltemos à escolha de um provedor de hospedagem. Para avaliar os benefícios do serviço para o cliente, consideraremos possíveis métodos de proteção contra ataques DDoS.
Como um provedor de hospedagem constrói sua proteção
- Sistema de proteção próprio com equipamento de filtragem (Figura 2).
Requer:
1.1. Equipamentos de filtragem de tráfego e licenças de software;
1.2. Especialistas em tempo integral para seu suporte e operação;
1.3. Canais de acesso à Internet que serão suficientes para receber ataques;
1.4. Largura de banda significativa do canal pré-pago para receber tráfego “lixo”.
Figura 2. Sistema de segurança próprio do provedor de hospedagem
Se considerarmos o sistema descrito como um meio de proteção contra ataques DDoS modernos de centenas de Gbps, então tal sistema custará muito dinheiro. O provedor de hospedagem tem essa proteção? Ele está pronto para pagar pelo tráfego “lixo”? Obviamente, tal modelo económico não é lucrativo para o fornecedor se as tarifas não previrem pagamentos adicionais. - Proxy reverso (somente para sites e alguns aplicativos). Apesar de um número , o fornecedor não garante proteção contra ataques DDoS diretos (ver Figura 1). Os provedores de hospedagem geralmente oferecem essa solução como uma panacéia, transferindo a responsabilidade para o provedor de segurança.
- Serviços de um provedor de nuvem especializado (uso de sua rede de filtragem) para proteção contra ataques DDoS em todos os níveis de OSI (Figura 3).
Figura 3. Proteção abrangente contra ataques DDoS usando um provedor especializado
pressupõe profunda integração e alto nível de competência técnica de ambas as partes. A terceirização de serviços de filtragem de tráfego permite que o provedor de hospedagem reduza o preço de serviços adicionais para o cliente.
Importante! Quanto mais detalhadas forem descritas as características técnicas do serviço prestado, maiores serão as hipóteses de exigir a sua implementação ou compensação em caso de indisponibilidade.
Além dos três métodos principais, existem muitas combinações e combinações. Ao escolher uma hospedagem, é importante que o cliente lembre que a decisão dependerá não apenas do tamanho dos ataques bloqueados garantidos e da precisão da filtragem, mas também da velocidade de resposta, bem como do conteúdo da informação (lista de ataques bloqueados, estatísticas gerais, etc.).
Lembre-se de que apenas alguns provedores de hospedagem no mundo são capazes de fornecer um nível aceitável de proteção por conta própria; em outros casos, a cooperação e o conhecimento técnico ajudam. Assim, compreender os princípios básicos de organização da proteção contra ataques DDoS permitirá que o proprietário do site não caia em truques de marketing e não compre um “porco na armadilha”.
Fonte: habr.com