"اهو ماڻهو جنهن اسان جي ويب سائيٽ ٺاهي آهي اڳ ۾ ئي DDoS تحفظ قائم ڪيو."
"اسان وٽ DDoS تحفظ آهي، سائيٽ ڇو هيٺ ٿي وئي؟"
”قراطير کي ڪيترا هزار گهرجن؟
ڪسٽمر/باس کان اهڙن سوالن جا صحيح جواب ڏيڻ لاءِ، اهو ڄاڻڻ سٺو لڳندو ته ”DDoS تحفظ“ نالي پٺيان ڇا لڪيل آهي. حفاظتي خدمتون چونڊڻ وڌيڪ آهي ڊاڪٽر کان دوا چونڊڻ جي ڀيٽ ۾ IKEA تي ٽيبل چونڊڻ جي.
مان 11 سالن کان ويب سائيٽن جي مدد ڪري رهيو آهيان، انهن خدمتن تي سوين حملن کان بچي چڪو آهيان جن کي آئون سپورٽ ڪريان ٿو، ۽ هاڻي آئون توهان کي تحفظ جي اندروني ڪم جي باري ۾ ٿورو ٻڌايان ٿو.
باقاعده حملا. 350k req ڪل، 52k req جائز
پهرين حملا تقريبا هڪ ئي وقت انٽرنيٽ سان گڏ ظاهر ٿيا. DDoS هڪ رجحان جي طور تي 2000s جي آخر کان وڏي پيماني تي ٿي چڪي آهي (ڏسو ).
2015-2016 کان وٺي، تقريبن سڀئي ميزباني فراهم ڪندڙ DDoS حملن کان محفوظ ڪيا ويا آهن، جيئن ته مقابلي واري علائقن ۾ تمام نمايان سائيٽون آهن (do whois by IP of the sites eldorado.ru, leroymerlin.ru, tilda.ws، توهان ڏسندا نيٽ ورڪ تحفظ جي آپريٽرز).
جيڪڏهن 10-20 سال اڳ اڪثر حملن کي سرور تي ئي رد ڪري سگهجي ٿو (90s کان Lenta.ru سسٽم ايڊمنسٽريٽر ميڪسم موشڪوف جي سفارشن جو جائزو وٺو: )، پر هاڻي تحفظ جا ڪم وڌيڪ مشڪل ٿي ويا آهن.
حفاظتي آپريٽر چونڊڻ جي نقطي نظر کان DDoS حملن جا قسم
L3/L4 سطح تي حملا (OSI ماڊل جي مطابق)
- botnet کان UDP سيلاب (ڪيترائي درخواستون سڌو سنئون متاثر ٿيل ڊوائيسز کان حملو ٿيل سروس ڏانهن موڪليا ويا آهن، سرورز چينل سان بند ٿيل آهن)؛
— DNS/NTP/etc amplification (ڪيتريون ئي درخواستون متاثر ٿيل ڊوائيسز کان خطرناڪ DNS/NTP/etc ڏانهن موڪليون وينديون آهن، موڪليندڙ جو پتو جعلسازي ڪيو ويندو آهي، درخواستن جو جواب ڏيڻ واري پيڪٽس جو هڪ ڪڪر حملو ڪندڙ شخص جي چينل کي سيلاب ڪندو آهي؛ هي آهي سڀ کان وڌيڪ جديد انٽرنيٽ تي وڏا حملا ڪيا ويا آهن)؛
- SYN / ACK ٻوڏ (ڪنيڪشن قائم ڪرڻ لاءِ ڪيتريون ئي درخواستون حملو ٿيل سرورز ڏانهن موڪليا ويا آهن، ڪنيڪشن جي قطار ختم ٿي ويندي آهي)؛
- حملن سان پيٽ جي ٽڪرا ٽڪرا، موت جو پنگ، پنگ سيلاب (گوگل اهو مهرباني ڪري)؛
- ۽ ايئن.
انهن حملن جو مقصد سرور جي چينل کي "ڪلاڪ" ڪرڻ يا نئين ٽرئفڪ کي قبول ڪرڻ جي صلاحيت کي "مارڻ" آهي.
جيتوڻيڪ SYN/ACK ٻوڏ ۽ واڌ ويجهه تمام مختلف آهن، ڪيتريون ئي ڪمپنيون انهن کي هڪجهڙائي سان وڙهنديون آهن. ايندڙ گروپ جي حملن سان مسئلا پيدا ٿين ٿا.
L7 تي حملا (ايپليڪيشن پرت)
- http سيلاب (جيڪڏهن هڪ ويب سائيٽ يا ڪجهه http api حملو ڪيو ويو آهي)؛
- سائيٽ جي خطرناڪ علائقن تي حملو (جن وٽ ڪيش نه آهي، جيڪي سائيٽ کي تمام گهڻو لوڊ ڪن ٿا، وغيره).
مقصد اهو آهي ته سرور کي "مشڪل ڪم" ڪرڻ، تمام گهڻيون "بظاهر حقيقي درخواستون" تي عمل ڪرڻ ۽ حقيقي درخواستن لاء وسيلن کان سواء ڇڏي وڃي.
جيتوڻيڪ ٻيا حملا آهن، اهي سڀ کان وڌيڪ عام آهن.
L7 سطح تي سنگين حملا هڪ منفرد انداز ۾ ٺاهيا ويا آهن هر منصوبي تي حملو ڪيو پيو وڃي.
ڇو 2 گروپ؟
ڇاڪاڻ ته اهڙا ڪيترائي آهن جيڪي ڄاڻن ٿا ته حملن کي ڪيئن ڀڃي L3/L4 سطح تي چڱيءَ طرح، پر يا ته اهي ايپليڪيشن ليول (L7) تي بلڪل به تحفظ نه ٿا ڪن، يا وري به انهن کي منهن ڏيڻ ۾ متبادل کان ڪمزور آهن.
ڪير ڪير آهي DDoS تحفظ واري مارڪيٽ ۾
(منهنجو ذاتي خيال)
L3/L4 سطح تي تحفظ
حملن کي وڌائڻ لاءِ (سرور چينل جي ”بلاڪيج“)، ڪافي وسيع چينل آھن (ڪيترائي حفاظتي خدمتون روس جي اڪثر وڏي ريبون فراهم ڪندڙن سان ڳنڍينديون آھن ۽ چينل آھن جن جي نظرياتي صلاحيت 1 Tbit کان وڌيڪ آھي). اهو نه وساريو ته تمام ناياب ايمپليفڪيشن حملن هڪ ڪلاڪ کان وڌيڪ ڊگهو آهي. جيڪڏهن توهان اسپاماؤس آهيو ۽ هرڪو توهان کي پسند نٿو ڪري، ها، اهي شايد توهان جي چينلن کي ڪيترن ئي ڏينهن تائين بند ڪرڻ جي ڪوشش ڪندا، جيتوڻيڪ عالمي botnet استعمال ٿيڻ جي وڌيڪ بقا جي خطري تي. جيڪڏهن توهان وٽ صرف هڪ آنلائن اسٽور آهي، جيتوڻيڪ اهو mvideo.ru آهي، توهان نه ڏسندا 1 Tbit ڪجهه ڏينهن اندر تمام جلد (مون کي اميد آهي).
SYN/ACK ٻوڏ سان حملن کي رد ڪرڻ لاءِ، پيڪيٽ فريگمينٽيشن وغيره، توهان کي اهڙين حملن کي ڳولڻ ۽ روڪڻ لاءِ سامان يا سافٽ ويئر سسٽم جي ضرورت آهي.
ڪيترائي ماڻهو اهڙا سامان ٺاهيندا آهن (آربر، سسڪو، هوواي، وانگارڊ، وغيره کان سافٽ ويئر لاڳو ڪرڻ جا حل آهن)، ڪيترائي پس منظر آپريٽرز اڳ ۾ ئي ان کي نصب ڪري چڪا آهن ۽ DDoS تحفظ واريون خدمتون وڪڻندا آهن (مان Rostelecom، Megafon، TTK، MTS جي تنصيب بابت ڄاڻان ٿو. , حقيقت ۾، سڀ وڏا مهيا ڪندڙ ميزبانن سان گڏ انهن جي پنهنجي حفاظت سان ڪندا آهن a-la OVH.com، Hetzner.de، مون پاڻ کي ihor.ru تي تحفظ جو سامنا ڪيو). ڪجهه ڪمپنيون پنهنجون سافٽ ويئر حل ٺاهي رهيا آهن (ٽيڪنالاجيون جهڙوڪ DPDK توهان کي هڪ فزيڪل x86 مشين تي ڏهه گيگا بائيٽ ٽرئفڪ جي پروسيس ڪرڻ جي اجازت ڏين ٿا).
مشهور رانديگرن مان، هرڪو L3 / L4 DDoS کي گهٽ يا گهٽ مؤثر طريقي سان وڙهندو. هاڻي مان اهو نه چوندس ته چينل جي وڌ ۾ وڌ گنجائش ڪنهن وٽ آهي (هي اندروني معلومات آهي)، پر عام طور تي اهو ايترو اهم نه هوندو آهي، ۽ فرق صرف اهو آهي ته تحفظ ڪيتري جلدي شروع ٿئي ٿو (فوري طور تي يا ڪجهه منٽن کان پوءِ پروجيڪٽ جي دير سان، جيئن هٽزنر ۾).
سوال اهو آهي ته اهو ڪيترو سٺو ڪيو ويو آهي: هڪ ايمپليفڪيشن حملي کي رد ڪري سگهجي ٿو ٽريفڪ کي بلاڪ ڪندي انهن ملڪن کان جن جي تمام گهڻي مقدار ۾ نقصانڪار ٽرئفڪ آهي، يا صرف واقعي غير ضروري ٽرئفڪ کي رد ڪري سگهجي ٿو.
پر ساڳئي وقت، منهنجي تجربي جي بنياد تي، تمام سنگين مارڪيٽ رانديگرن بغير ڪنهن مسئلن سان مقابلو ڪن ٿا: Qrator، DDoS-Guard، Kaspersky، G-Core Labs (اڳوڻي SkyParkCDN)، ServicePipe، Stormwall، Voxility، وغيره.
مون کي آپريٽرز کان تحفظ نه مليو آهي جهڙوڪ Rostelecom، Megafon، TTK، Beeline؛ ساٿين جي نظرثانين جي مطابق، اهي اهي خدمتون مهيا ڪن ٿا ڪافي سٺي، پر اڃا تائين تجربو جي کوٽ وقتي طور تي اثر انداز ٿي رهي آهي: ڪڏهن ڪڏهن توهان کي سپورٽ ذريعي ڪجهه ٽوڪ ڪرڻ جي ضرورت آهي. تحفظ آپريٽر جي.
ڪجهه آپريٽرز وٽ هڪ الڳ خدمت آهي "L3/L4 سطح تي حملن جي خلاف تحفظ"، يا "چينل تحفظ"؛ ان جي قيمت هر سطح تي تحفظ کان تمام گهٽ آهي.
ڇو نه پٺاڻ فراهم ڪندڙ سوين گبٽس جي حملن کي رد ڪري رهيو آهي، ڇو ته ان جا پنهنجا چينل نه آهن؟تحفظ آپريٽر ڪنهن به وڏي فراهم ڪندڙ سان ڳنڍي سگهي ٿو ۽ حملن کي رد ڪري سگهي ٿو "پنهنجي خرچ تي." توهان کي چينل جي قيمت ادا ڪرڻي پوندي، پر اهي سڀئي سوين Gbits هميشه استعمال نه ڪيا ويندا؛ هن معاملي ۾ چينلن جي قيمت کي خاص طور تي گهٽائڻ جا اختيار موجود آهن، تنهنڪري اسڪيم قابل عمل رهي ٿي.
اهي رپورٽون آهن جيڪي مون باقاعده حاصل ڪيون آهن اعلي سطحي L3/L4 تحفظ کان جڏهن هوسٽنگ فراهم ڪندڙ جي سسٽم کي سپورٽ ڪندي.
L7 سطح تي تحفظ (ايپليڪيشن ليول)
L7 سطح تي حملا (ايپليڪيشن سطح) يونٽن کي مسلسل ۽ موثر طور تي رد ڪرڻ جي قابل آهن.
مون وٽ تمام گهڻو حقيقي تجربو آهي
- Qrator.net؛
- DDoS-گارڊ؛
- جي-ڪور ليبز؛
- ڪاسپرسڪي.
اهي خالص ٽرئفڪ جي هر ميگاابٽ لاء چارج ڪن ٿا، هڪ ميگاابٽ جي قيمت ڪيترن ئي هزار روبل بابت آهي. جيڪڏهن توهان وٽ خالص ٽرئفڪ جو گهٽ ۾ گهٽ 100 Mbps آهي - اوه. تحفظ تمام مهانگو ٿيندو. آئون توهان کي هيٺين مضمونن ۾ ٻڌائي سگهان ٿو ته ايپليڪيشنن کي ڪيئن ڊزائين ڪرڻ لاءِ حفاظتي چينلز جي گنجائش تي تمام گهڻو بچائڻ لاءِ.
اصل ”جبل جو بادشاهه“ آهي Qrator.net، باقي انهن جي پويان آهي. Qrator اڃا تائين منهنجي تجربي ۾ صرف اهي آهن جيڪي صفر جي ويجهو غلط مثبت جو سيڪڙو ڏين ٿا، پر ساڳئي وقت اهي مارڪيٽ جي ٻين رانديگرن کان ڪيترائي ڀيرا وڌيڪ قيمتي آهن.
ٻيا آپريٽرز پڻ اعلي معيار ۽ مستحڪم تحفظ فراهم ڪن ٿا. اسان جي مدد سان ڪيتريون ئي خدمتون (جنهن ۾ ملڪ ۾ تمام مشهور خدمتون شامل آهن!) DDoS-Guard، G-Core Labs کان محفوظ آهن، ۽ حاصل ڪيل نتيجن کان بلڪل مطمئن آهن.
حملن کي رد ڪيو ويو قارٽر طرفان
مون وٽ پڻ تجربو آهي ننڍن سيڪيورٽي آپريٽرز جهڙوڪ cloud-shield.ru, ddosa.net، انهن مان هزارين. مان ضرور ان جي سفارش نه ڪندس، ڇاڪاڻ ته ... مون کي گهڻو تجربو نه آهي، پر مان توهان کي انهن جي ڪم جي اصولن بابت ٻڌائيندس. انهن جي حفاظت جي قيمت اڪثر ڪري وڏين رانديگرن جي ڀيٽ ۾ 1-2 آرڊر جي شدت کان گهٽ آهي. ضابطي جي طور تي، اهي هڪ جزوي تحفظ جي خدمت (L3/L4) خريد ڪندا آهن هڪ وڏي رانديگرن مان + انهن جي پنهنجي حفاظت کي اعلي سطح تي حملن جي خلاف. اهو ڪافي اثرائتو ٿي سگهي ٿو + توهان گهٽ پئسن ۾ سٺي خدمت حاصل ڪري سگهو ٿا، پر اهي اڃا به ننڍيون ڪمپنيون آهن جن ۾ هڪ ننڍڙو عملو آهي، مهرباني ڪري ذهن ۾ رکو.
L7 سطح تي حملن کي رد ڪرڻ ۾ مشڪل ڇا آهي؟
سڀئي ايپليڪيشنون منفرد آهن، ۽ توهان کي ٽرئفڪ جي اجازت ڏيڻ جي ضرورت آهي جيڪا انهن لاء ڪارائتو آهي ۽ نقصانڪار ماڻهن کي بلاڪ ڪريو. اهو هميشه ممڪن ناهي ته غير واضح طور تي بوٽن کي ختم ڪيو وڃي، تنهنڪري توهان کي استعمال ڪرڻو پوندو، واقعي ڪيترائي درجا ٽرئفڪ صاف ڪرڻ جا.
هڪ ڀيري، nginx-testcookie ماڊل ڪافي هو ()، ۽ اهو اڃا تائين ڪافي آهي ته حملن جي وڏي تعداد کي رد ڪرڻ لاء. جڏهن مون هوسٽنگ انڊسٽري ۾ ڪم ڪيو، L7 تحفظ nginx-testcookie تي ٻڌل هو.
بدقسمتي سان، حملا وڌيڪ ڏکيو ٿي چڪا آهن. testcookie استعمال ڪري ٿو JS-based bot چيڪ، ۽ ڪيترائي جديد بوٽ ڪاميابيءَ سان انھن کي پاس ڪري سگھن ٿا.
حملو botnets پڻ منفرد آهن، ۽ هر وڏي botnet جي خاصيتن کي حساب ۾ ورتو وڃي.
ايمپليفڪيشن، هڪ botnet کان سڌو سيلاب، مختلف ملڪن کان ٽرئفڪ کي فلٽر ڪرڻ (مختلف ملڪن لاء مختلف فلٽرنگ)، SYN/ACK سيلاب، پيڪيٽ فريگمينٽيشن، ICMP، http سيلاب، جڏهن ته ايپليڪيشن/http سطح تي توهان لامحدود تعداد سان گڏ اچي سگهو ٿا. مختلف حملا.
مجموعي طور تي، چينل جي تحفظ جي سطح تي، ٽرئفڪ کي صاف ڪرڻ لاء خاص سامان، خاص سافٽ ويئر، هر ڪلائنٽ لاء اضافي فلٽرنگ سيٽنگون، اتي ڏهه ۽ سوين فلٽرنگ سطحون ٿي سگهن ٿيون.
هن کي صحيح طريقي سان منظم ڪرڻ ۽ مختلف استعمال ڪندڙن لاءِ فلٽرنگ سيٽنگون درست ڪرڻ لاءِ، توهان کي تمام گهڻو تجربو ۽ قابل عملدار جي ضرورت آهي. ايستائين جو هڪ وڏو آپريٽر جنهن حفاظتي خدمتون مهيا ڪرڻ جو فيصلو ڪيو آهي ”بيوقوفيءَ سان مسئلي تي پئسا نه اڇلائي“: تجربو حاصل ڪرڻو پوندو ڪوڙي سائيٽن مان ۽ جائز ٽرئفڪ تي غلط مثبت.
سيڪيورٽي آپريٽر لاءِ ڪو به ”ٻيهر DDoS“ بٽڻ نه آهي؛ اتي وڏي تعداد ۾ اوزار آهن، ۽ توهان کي ڄاڻڻ جي ضرورت آهي ته انهن کي ڪيئن استعمال ڪجي.
۽ هڪ وڌيڪ بونس مثال.
600 Mbit جي گنجائش سان حملي دوران ميزبان طرفان هڪ غير محفوظ سرور بلاڪ ڪيو ويو
(ٽريفڪ جو "نقصان" قابل ذڪر نه آهي، ڇاڪاڻ ته صرف 1 سائيٽ تي حملو ڪيو ويو، اهو عارضي طور تي سرور تان هٽايو ويو ۽ بلاڪنگ هڪ ڪلاڪ اندر هٽايو ويو).
ساڳيو سرور محفوظ آهي. حملي آورن "هٿياربندي ڪئي" هڪ ڏينهن جي حملي کان پوءِ. حملو پاڻ ئي مضبوط نه هو.
L3/L4 جو حملو ۽ دفاع وڌيڪ معمولي آهن؛ اهي خاص طور تي چينلن جي ٿلهي تي منحصر آهن، حملن جي ڳولا ۽ فلٽرنگ الگورتھم.
L7 حملا وڌيڪ پيچيده ۽ اصل آهن؛ اهي حملا ٿيڻ واري ايپليڪيشن تي منحصر آهن، حملي ڪندڙن جي صلاحيتن ۽ تخيل تي. انهن جي خلاف تحفظ لاء تمام گهڻو علم ۽ تجربو جي ضرورت آهي، ۽ نتيجو فوري طور تي نه ٿي سگهي ٿو ۽ نه سئو سيڪڙو. جيستائين گوگل تحفظ لاءِ هڪ ٻيو نيورل نيٽ ورڪ کڻي آيو.
جو ذريعو: www.habr.com