„Tipul care a creat site-ul nostru web a configurat deja protecția DDoS.”
„Avem protecție DDoS, de ce a căzut site-ul?”
„Câte mii vrea Qrator?”
Pentru a răspunde corect la astfel de întrebări din partea clientului/șefului, ar fi bine să știm ce se ascunde în spatele numelui „protecție DDoS”. Alegerea serviciilor de securitate este mai mult ca a alege un medicament de la un medic decât a alege o masă la IKEA.
Susțin site-uri web de 11 ani, am supraviețuit sutelor de atacuri asupra serviciilor pe care le susțin și acum vă voi spune puțin despre funcționarea interioară a protecției.
Atacurile regulate. 350 solicitate în total, 52k solicitate legitime
Primele atacuri au apărut aproape simultan cu Internetul. DDoS ca fenomen a devenit larg răspândit de la sfârșitul anilor 2000 (vezi ).
Din aproximativ 2015-2016, aproape toți furnizorii de găzduire au fost protejați de atacurile DDoS, la fel ca și cele mai importante site-uri din zonele competitive (do whois by IP a site-urilor eldorado.ru, leroymerlin.ru, tilda.ws, veți vedea rețelele). a operatorilor de protecţie).
Dacă acum 10-20 de ani majoritatea atacurilor puteau fi respinse pe serverul însuși (evaluați recomandările administratorului de sistem Lenta.ru Maxim Moshkov din anii 90: ), dar acum sarcinile de protecție au devenit mai dificile.
Tipuri de atacuri DDoS din punctul de vedere al alegerii unui operator de protecție
Atacuri la nivel L3/L4 (conform modelului OSI)
— UDP flood dintr-un botnet (multe solicitări sunt trimise direct de pe dispozitivele infectate către serviciul atacat, serverele sunt blocate cu canalul);
— Amplificare DNS/NTP/etc (multe solicitări sunt trimise de la dispozitive infectate către DNS/NTP/etc vulnerabile, adresa expeditorului este falsificată, un nor de pachete care răspund solicitărilor inundă canalul persoanei atacate; așa se face cel mai mult atacuri masive sunt efectuate pe internetul modern);
— SYN / ACK flood (multe solicitări de stabilire a conexiunii sunt trimise către serverele atacate, coada de conexiuni depășește);
— atacuri cu fragmentare de pachete, ping of death, ping flood (Google it please);
- și așa mai departe.
Aceste atacuri urmăresc „înfundarea” canalului serverului sau „uciderea” abilitatea acestuia de a accepta trafic nou.
Deși inundațiile și amplificarea SYN/ACK sunt foarte diferite, multe companii le combat la fel de bine. Problemele apar cu atacurile din grupul următor.
Atacurile asupra L7 (stratul de aplicație)
— http flood (dacă este atacată un site web sau un API http);
— un atac asupra zonelor vulnerabile ale site-ului (cele care nu au cache, care încarcă foarte greu site-ul etc.).
Scopul este ca serverul să „lucreze din greu”, să proceseze o mulțime de „cereri aparent reale” și să rămână fără resurse pentru cereri reale.
Deși există și alte atacuri, acestea sunt cele mai frecvente.
Atacurile serioase la nivelul L7 sunt create într-un mod unic pentru fiecare proiect atacat.
De ce 2 grupuri?
Pentru că sunt mulți care știu să respingă bine atacurile la nivelul L3 / L4, dar fie nu își iau deloc protecție la nivelul aplicației (L7), fie sunt încă mai slabi în a le face față decât alternativele.
Cine este cine pe piața protecției DDoS
(parerea mea personala)
Protecție la nivel L3/L4
Pentru a respinge atacurile cu amplificare („blocarea” canalului serverului), există suficiente canale largi (multe dintre serviciile de protecție se conectează la majoritatea furnizorilor mari de backbone din Rusia și au canale cu o capacitate teoretică mai mare de 1 Tbit). Nu uitați că atacurile de amplificare foarte rare durează mai mult de o oră. Dacă sunteți Spamhaus și nu vă place toată lumea, da, ei pot încerca să vă închidă canalele timp de câteva zile, chiar și cu riscul de a supraviețui în continuare rețeaua botnet globală. Dacă aveți doar un magazin online, chiar dacă este mvideo.ru, nu veți vedea 1 Tbit în câteva zile foarte curând (sper).
Pentru a respinge atacurile cu inundații SYN/ACK, fragmentare de pachete etc., aveți nevoie de echipamente sau sisteme software pentru a detecta și opri astfel de atacuri.
Mulți oameni produc astfel de echipamente (Arbor, există soluții de la Cisco, Huawei, implementări software de la Wanguard etc.), mulți operatori de backbone le-au instalat deja și vând servicii de protecție DDoS (știu despre instalații de la Rostelecom, Megafon, TTK, MTS). , de fapt, toți furnizorii majori fac același lucru cu hosterii cu protecție proprie a-la OVH.com, Hetzner.de, eu însumi am întâlnit protecție la ihor.ru). Unele companii își dezvoltă propriile soluții software (tehnologii precum DPDK vă permit să procesați zeci de gigabiți de trafic pe o singură mașină fizică x86).
Dintre jucătorii cunoscuți, toată lumea poate lupta împotriva DDoS L3/L4 mai mult sau mai puțin eficient. Acum nu voi spune cine are capacitatea maximă mai mare a canalului (aceasta este o informație privilegiată), dar de obicei acest lucru nu este atât de important și singura diferență este cât de repede este declanșată protecția (instantaneu sau după câteva minute de oprire a proiectului, ca la Hetzner).
Întrebarea este cât de bine se face acest lucru: un atac de amplificare poate fi respins prin blocarea traficului din țările cu cea mai mare cantitate de trafic dăunător, sau numai traficul cu adevărat inutil poate fi eliminat.
Dar, în același timp, pe baza experienței mele, toți jucătorii serioși de pe piață fac față fără probleme: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (fost SkyParkCDN), ServicePipe, Stormwall, Voxility etc.
Nu am întâlnit protecție de la operatori precum Rostelecom, Megafon, TTK, Beeline; conform recenziilor colegilor, aceștia oferă aceste servicii destul de bine, dar până acum lipsa experienței afectează periodic: uneori trebuie să modifici ceva prin suport. a operatorului de protecţie.
Unii operatori au un serviciu separat „protecție împotriva atacurilor la nivel L3/L4” sau „protecție a canalului”; costă mult mai puțin decât protecția la toate nivelurile.
De ce nu este furnizorul de coloană vertebrală care respinge atacurile de sute de Gbit, deoarece nu are propriile canale?Operatorul de protecție se poate conecta la oricare dintre furnizorii majori și respinge atacurile „pe cheltuiala sa”. Va trebui să plătiți pentru canal, dar toate aceste sute de Gbit nu vor fi întotdeauna utilizați; există opțiuni pentru a reduce semnificativ costul canalelor în acest caz, astfel încât schema rămâne viabilă.
Acestea sunt rapoartele pe care le-am primit în mod regulat de la protecția de nivel superior L3/L4 în timp ce susțin sistemele furnizorului de găzduire.
Protecție la nivelul L7 (nivel de aplicație)
Atacurile la nivelul L7 (nivel de aplicație) sunt capabile să respingă unitățile în mod constant și eficient.
Am destul de multă experiență reală cu
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Ei taxează pentru fiecare megabit de trafic pur, un megabit costă aproximativ câteva mii de ruble. Dacă aveți cel puțin 100 Mbps de trafic pur - oh. Protecția va fi foarte costisitoare. Vă pot spune în următoarele articole cum să proiectați aplicații pentru a economisi mult pe capacitatea canalelor de securitate.
Adevăratul „rege al dealului” este Qrator.net, restul rămânând în urma lor. Qrator sunt până acum singurii din experiența mea care dau un procent de fals pozitive aproape de zero, dar în același timp sunt de câteva ori mai scumpe decât alți jucători de pe piață.
Alți operatori oferă, de asemenea, protecție de înaltă calitate și stabilă. Multe servicii susținute de noi (inclusiv cele foarte cunoscute în țară!) sunt protejate de DDoS-Guard, G-Core Labs, și sunt destul de mulțumite de rezultatele obținute.
Atacurile respinse de Qrator
De asemenea, am experiență cu mici operatori de securitate precum cloud-shield.ru, ddosa.net, mii dintre ei. Cu siguranță nu o voi recomanda, pentru că... Nu am prea multă experiență, dar vă voi spune despre principiile muncii lor. Costul lor de protecție este adesea cu 1-2 ordine de mărime mai mic decât cel al jucătorilor majori. De regulă, ei cumpără un serviciu de protecție parțială (L3/L4) de la unul dintre jucătorii mai mari + își fac propria protecție împotriva atacurilor la niveluri superioare. Acest lucru poate fi destul de eficient + puteți obține servicii bune pentru mai puțini bani, dar acestea sunt totuși companii mici cu un personal mic, vă rugăm să țineți cont de asta.
Care este dificultatea de a respinge atacurile la nivelul L7?
Toate aplicațiile sunt unice și trebuie să permiteți traficul care le este util și să le blocați pe cele dăunătoare. Nu este întotdeauna posibil să eliminați fără echivoc boții, așa că trebuie să utilizați multe, cu adevărat MULTE grade de purificare a traficului.
Cândva, modulul nginx-testcookie era suficient (), și este încă suficient pentru a respinge un număr mare de atacuri. Când lucram în industria de găzduire, protecția L7 se baza pe nginx-testcookie.
Din păcate, atacurile au devenit mai dificile. testcookie folosește verificări de bot bazate pe JS, iar mulți roboți moderni le pot trece cu succes.
Rețelele botnet de atac sunt, de asemenea, unice, iar caracteristicile fiecărei rețele botne mari trebuie luate în considerare.
Amplificare, inundare directă dintr-o rețea bot, filtrare a traficului din diferite țări (filtrare diferită pentru diferite țări), inundare SYN/ACK, fragmentare de pachete, ICMP, inundare http, în timp ce la nivel de aplicație/http puteți veni cu un număr nelimitat de diferite atacuri.
În total, la nivelul protecției canalelor, echipamente specializate pentru curățarea traficului, software special, setări suplimentare de filtrare pentru fiecare client pot exista zeci și sute de niveluri de filtrare.
Pentru a gestiona corect acest lucru și pentru a regla corect setările de filtrare pentru diferiți utilizatori, aveți nevoie de multă experiență și personal calificat. Chiar și un mare operator care a decis să ofere servicii de protecție nu poate „să arunce cu bani prostesc în problemă”: va trebui să se câștige experiență din site-uri mincinoase și fals pozitive privind traficul legitim.
Nu există un buton „Repel DDoS” pentru operatorul de securitate; există un număr mare de instrumente și trebuie să știți cum să le utilizați.
Și încă un exemplu bonus.
Un server neprotejat a fost blocat de hoster în timpul unui atac cu o capacitate de 600 Mbit
(„Pierderea” de trafic nu este vizibilă, deoarece doar 1 site a fost atacat, a fost eliminat temporar de pe server și blocarea a fost ridicată în decurs de o oră).
Același server este protejat. Atacatorii „s-au predat” după o zi de atacuri respinse. Atacul în sine nu a fost cel mai puternic.
Atacul și apărarea L3/L4 sunt mai banale; ele depind în principal de grosimea canalelor, algoritmii de detectare și filtrare pentru atacuri.
Atacurile L7 sunt mai complexe și mai originale; depind de aplicația atacată, de capacitățile și imaginația atacatorilor. Protecția împotriva lor necesită multe cunoștințe și experiență, iar rezultatul poate să nu fie imediat și nici sută la sută. Până când Google a venit cu o altă rețea neuronală pentru protecție.
Sursa: www.habr.com