پرو هوسٽر > بلاگ > انتظاميه > DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

2020 جي پهرين ٻن چوٿين ۾، DDoS حملن جو تعداد تقريباً ٽي ڀيرا ٿي ويو، جن مان 65 سيڪڙو ”لوڊ ٽيسٽنگ“ تي ابتدائي ڪوششون آهن جيڪي ننڍڙن آن لائين اسٽورن، فورمن، بلاگن ۽ ميڊيا آئوٽليٽن جي بي دفاع سائيٽن کي آسانيءَ سان ”نافع“ ڪن ٿيون.

ڪيئن چونڊيو DDoS-محفوظ هوسٽنگ؟ توهان کي ڇا ڌيان ڏيڻ گهرجي ۽ توهان کي ڇا تيار ڪرڻ گهرجي ته جيئن ڪنهن ناپسنديده صورتحال ۾ ختم نه ٿئي؟

(اندر "گرين" مارڪيٽنگ جي خلاف ويڪسينيشن)

DDoS حملن کي انجام ڏيڻ لاءِ اوزارن جي دستيابي ۽ مختلف قسم آن لائن خدمتن جي مالڪن کي خطري کي منهن ڏيڻ لاءِ مناسب قدم کڻڻ تي مجبور ڪري ٿي. توهان کي سوچڻ گهرجي DDoS تحفظ جي باري ۾ نه پهرين ناڪامي کان پوءِ، ۽ نه ته بنيادي ڍانچي جي غلطي رواداري کي وڌائڻ لاءِ قدمن جي هڪ سيٽ جي حصي جي طور تي، پر جڳهه لاءِ سائيٽ چونڊڻ جي مرحلي تي (هوسٽنگ فراهم ڪندڙ يا ڊيٽا سينٽر).

DDoS حملن کي پروٽوڪول جي بنياد تي درجه بندي ڪيو ويو آهي جن جي ڪمزورين کي اوپن سسٽم انٽر ڪنيڪشن (OSI) ماڊل جي سطح تي استحصال ڪيو ويو آهي:

  • چينل (L2)
  • نيٽ ورڪ (L3)
  • ٽرانسپورٽ (L4)
  • لاڳو ٿيل (L7).

سيڪيورٽي سسٽم جي نقطي نظر کان، انهن کي ٻن گروپن ۾ عام ڪري سگهجي ٿو: انفراسٽرڪچر ليول حملن (L2-L4) ۽ ايپليڪيشن ليول حملا (L7). اهو ٽريفڪ تجزياتي الگورتھم ۽ ڪمپيوٽيشنل پيچيدگي جي عمل جي تسلسل جي ڪري آهي: اسان جي پي پي پيڪٽ ۾ جيتري گہرائي نظر ايندي آهي، اوتري وڌيڪ ڪمپيوٽنگ پاور جي ضرورت هوندي آهي.

عام طور تي، حقيقي وقت ۾ ٽرئفڪ کي پروسيس ڪرڻ دوران حسابن کي بهتر ڪرڻ جو مسئلو مضمونن جي الڳ سيريز لاء هڪ موضوع آهي. هاڻي اچو ته تصور ڪريون ته ڪي ڪلائوڊ فراهم ڪندڙ آهن شرطن سان لامحدود ڪمپيوٽنگ وسيلن سان جيڪي سائيٽن کي ايپليڪيشن ليول حملن کان بچائي سگهن ٿا (بشمول آزاد).

3 مکيه سوال DDoS حملن جي خلاف ميزباني سيڪيورٽي جي درجي کي طئي ڪرڻ لاء

اچو ته ڏسو DDoS حملن جي خلاف تحفظ لاءِ خدمت جي شرطن ۽ هوسٽنگ فراهم ڪندڙ جي سروس ليول معاهدي (SLA) کي. ڇا اھي ھيٺ ڏنل سوالن جا جواب آھن:

  • خدمت فراهم ڪندڙ طرفان ڪهڙيون ٽيڪنيڪل حدون بيان ڪيون ويون آهن؟?
  • ڇا ٿيندو جڏهن گراهڪ حدن کان ٻاهر نڪري وڃي؟
  • هڪ هوسٽنگ فراهم ڪندڙ ڪيئن ٺاهي ٿو DDoS حملن جي خلاف تحفظ (ٽيڪنالاجي، حل، سپلائرز)؟

جيڪڏهن توهان کي اها معلومات نه ملي آهي، ته پوءِ اهو هڪ سبب آهي ته يا ته خدمت فراهم ڪندڙ جي سنجيدگيءَ بابت سوچيو، يا پنهنجو پاڻ تي بنيادي DDoS تحفظ (L3-4) کي ترتيب ڏيو. مثال طور، هڪ خاص سيڪيورٽي فراهم ڪندڙ جي نيٽ ورڪ سان جسماني ڪنيڪشن جو حڪم.

اھم! Reverse Proxy استعمال ڪندي ايپليڪيشن-سطح جي حملن جي خلاف تحفظ فراهم ڪرڻ ۾ ڪو به فائدو نه آهي جيڪڏهن توهان جو هوسٽنگ فراهم ڪندڙ انفراسٽرڪچر-سطح جي حملن جي خلاف تحفظ فراهم ڪرڻ جي قابل نه آهي: نيٽ ورڪ سامان اوورلوڊ ٿي ويندو ۽ غير موجود ٿي ويندو، بشمول ڪلائوڊ فراهم ڪندڙ جي پراکسي سرورز (شڪل 1).

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

شڪل 1. ھوسٽنگ فراهم ڪندڙ جي نيٽ ورڪ تي سڌو حملو

۽ انهن کي توهان کي پراڻيون ڪهاڻيون ٻڌائڻ جي ڪوشش نه ڪرڻ ڏيو ته سرور جو اصل IP پتو سيڪيورٽي فراهم ڪندڙ جي بادل جي پويان لڪيل آهي، جنهن جو مطلب آهي ته ان تي سڌو حملو ڪرڻ ناممڪن آهي. ڏهن مان نو ڪيسن ۾، هڪ حملي ڪندڙ لاءِ سرور يا گهٽ ۾ گهٽ هوسٽنگ فراهم ڪندڙ جي نيٽ ورڪ جو اصل IP پتو ڳولڻ ڏکيو نه هوندو ته جيئن هڪ پوري ڊيٽا سينٽر کي ”تباهه“ ڪري سگهجي.

حقيقي IP پتي جي ڳولا ۾ هيڪرز ڪيئن ڪم ڪن ٿا

هيٺيون خراب ڪندڙ حقيقي IP پتو ڳولڻ جا ڪيترائي طريقا آهن (معلوماتي مقصدن لاءِ ڏنو ويو).

طريقو 1: کليل ذريعن ۾ ڳولا ڪريو

توھان پنھنجي ڳولا شروع ڪري سگھوٿا آن لائن سروس سان انٽيليجنس ايڪس: اهو ڳولهي ٿو ڳري ويب، دستاويز شيئرنگ پليٽ فارم، پروسيس Whois ڊيٽا، عوامي ڊيٽا ليڪ ۽ ٻيا ڪيترائي ذريعا.

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

جيڪڏهن، ڪجهه نشانين جي بنياد تي (HTTP هيڊر، Whois ڊيٽا، وغيره)، اهو طئي ڪرڻ ممڪن هو ته سائيٽ جو تحفظ Cloudflare استعمال ڪندي منظم ڪيو ويو آهي، ته پوء توهان اصل IP ڳولڻ شروع ڪري سگهو ٿا. فهرست، جنهن ۾ Cloudflare جي پويان واقع سائيٽن جا اٽڪل 3 ملين IP پتا شامل آهن.

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

هڪ SSL سرٽيفڪيٽ ۽ خدمت استعمال ڪندي سينسس توھان تمام گھڻي مفيد معلومات ڳولي سگھو ٿا، بشمول سائيٽ جو حقيقي IP پتو. توهان جي وسيلن لاء هڪ درخواست پيدا ڪرڻ لاء، ڏانهن وڃو سرٽيفڪيٽ ٽيب ۽ داخل ڪريو:

_parsed.names: نالوسائيٽ ۽ tags.raw: قابل اعتماد

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

SSL سرٽيفڪيٽ استعمال ڪندي سرور جي IP پتي کي ڳولڻ لاء، توهان کي دستي طور تي ڪيترن ئي اوزارن سان ڊراپ-ڊائون لسٽ ذريعي وڃڻو پوندو ("ايڪسپلور" ٽيب، پوء چونڊيو "IPv4 ميزبان").

طريقو 2: DNS

DNS رڪارڊ تبديلين جي تاريخ ڳولهڻ هڪ پراڻو، ثابت طريقو آهي. سائيٽ جو پوئين IP پتو اهو واضح ڪري سگھي ٿو ته ڪهڙي ميزباني (يا ڊيٽا سينٽر) تي واقع هئي. استعمال جي آسانيءَ جي لحاظ کان آن لائن خدمتن مان، ھيٺيون بيٺا آھن: ڏسوDNS и سيڪيورٽي پيچرا.

جڏهن توهان سيٽنگون تبديل ڪندا، سائيٽ فوري طور تي ڪلائوڊ سيڪيورٽي فراهم ڪندڙ يا CDN جو IP پتو استعمال نه ڪندي، پر ڪجهه وقت لاءِ سڌو ڪم ڪندي. انهي صورت ۾، اهو امڪان آهي ته IP پتي جي تبديلين جي تاريخ کي محفوظ ڪرڻ لاء آن لائن خدمتون سائيٽ جي ماخذ پتي بابت معلومات شامل آهن.

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

جيڪڏهن پراڻي DNS سرور جي نالي کان سواءِ ٻيو ڪجهه به ناهي، ته پوءِ خاص يوٽيلٽيز استعمال ڪندي (Dig, host يا nslookup) توهان سائيٽ جي ڊومين جي نالي سان IP پتي جي درخواست ڪري سگهو ٿا، مثال طور:

_dig @old_dns_server_name جو نالوسائٽ

طريقو 3: اي ميل

طريقي جو خيال استعمال ڪرڻ آهي راء/رجسٽريشن فارم (يا ڪو ٻيو طريقو جيڪو توهان کي خط موڪلڻ شروع ڪرڻ جي اجازت ڏئي ٿو) توهان جي اي ميل ڏانهن خط وصول ڪرڻ ۽ هيڊر چيڪ ڪرڻ لاءِ، خاص طور تي ”وصول ٿيل“ فيلڊ .

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

اي ميل هيڊر اڪثر ڪري MX رڪارڊ (اي ميل ايڪسچينج سرور) جي اصل IP پتي تي مشتمل هوندو آهي، جيڪو ٽارگيٽ تي ٻين سرورن کي ڳولڻ لاءِ شروعاتي نقطو ٿي سگهي ٿو.

ڳولا آٽوميشن اوزار

Cloudflare شيلڊ جي پويان IP ڳولا سافٽ ويئر اڪثر ڪري ٽن ڪمن لاء ڪم ڪري ٿو:

  • DNSDumpster.com استعمال ڪندي DNS غلط ترتيب لاءِ اسڪين ڪريو؛
  • Crimeflare.com ڊيٽابيس اسڪين؛
  • ڊڪشنري ڳولا جو طريقو استعمال ڪندي ذيلي ڊومين جي ڳولا ڪريو.

ذيلي ڊومينز ڳولڻ اڪثر ڪري ٽن مان تمام مؤثر اختيار آهي - سائيٽ جو مالڪ مکيه سائيٽ جي حفاظت ڪري سگهي ٿو ۽ ذيلي ڊومينز کي سڌو هلائي ڇڏيندو. چيڪ ڪرڻ جو آسان طريقو استعمال ڪرڻ آهي CloudFail.

ان کان علاوه، اتي موجود افاديتون صرف ڊڪشنري جي ڳولا استعمال ڪندي ذيلي ڊومينز ڳولڻ ۽ کليل ذريعن ۾ ڳولڻ لاء ٺهيل آهن، مثال طور: Sublist3r يا dnsrecon.

ڪيئن ڳولا عمل ۾ ٿئي ٿي

مثال طور، اچو ته Cloudflare استعمال ڪندي سائيٽ seo.com وٺون، جيڪا اسان هڪ مشهور سروس استعمال ڪندي ڳوليندا سين. سان ٺهيل (توهان کي اجازت ڏئي ٿي ٻنهي کي طئي ڪرڻ جي ٽيڪنالاجيز / انجڻين / سي ايم ايس جنهن تي سائيٽ هلندي آهي، ۽ ان جي برعڪس - استعمال ٿيل ٽيڪنالاجيز ذريعي سائيٽن جي ڳولا ڪريو).

جڏهن توهان "IPv4 Hosts" ٽئب تي ڪلڪ ڪندا، خدمت سرٽيفڪيشن استعمال ڪندي ميزبان جي هڪ فهرست ڏيکاريندي. جيڪو توهان کي گهربل آهي اهو ڳولڻ لاءِ، اوپن پورٽ 443 سان هڪ IP پتو ڳوليو. جيڪڏهن اهو گهربل سائيٽ ڏانهن ريڊائريڪٽ ٿئي ٿو، ته پوءِ ڪم مڪمل ٿي ويو آهي، ٻي صورت ۾ توهان کي سائيٽ جي ڊومين جو نالو شامل ڪرڻ جي ضرورت آهي "ميزبان" هيڊر ۾. HTTP درخواست (مثال طور، * curl -H "ميزبان: site_name" *https://IP_адрес).

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

اسان جي صورت ۾، Censys ڊيٽابيس ۾ هڪ ڳولها ڪجھ به نه ڏنو، تنهنڪري اسان اڳتي وڌو.

اسان خدمت ذريعي DNS ڳولا ڪنداسين https://securitytrails.com/dns-trails.

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

CloudFail افاديت استعمال ڪندي DNS سرورز جي فهرستن ۾ ذڪر ڪيل پتي جي ڳولا ڪندي، اسان ڪم ڪندڙ وسيلن کي ڳوليندا آهيون. نتيجو چند سيڪنڊن ۾ تيار ٿي ويندو.

DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت

صرف کليل ڊيٽا ۽ سادي اوزار استعمال ڪندي، اسان ويب سرور جي حقيقي IP پتي کي طئي ڪيو. حملي آور لاءِ باقي ٽيڪنڪ جو معاملو آهي.

اچو ته ھوسٽنگ فراهم ڪندڙ چونڊڻ ڏانھن موٽون. ڪسٽمر لاءِ خدمت جي فائدي جو جائزو وٺڻ لاءِ، اسان DDoS حملن جي خلاف تحفظ جي ممڪن طريقن تي غور ڪنداسين.

ڪيئن هڪ هوسٽنگ فراهم ڪرڻ وارو پنهنجو تحفظ ٺاهي ٿو

  1. فلٽرنگ سامان سان پنهنجو تحفظ وارو نظام (شڪل 2).
    جي ضرورت آهي:
    1.1. ٽرئفڪ فلٽرنگ سامان ۽ سافٽ ويئر لائسنس؛
    1.2. ان جي حمايت ۽ آپريشن لاء مڪمل وقت جي ماهرن؛
    1.3. انٽرنيٽ جي رسائي چينل جيڪي حملا حاصل ڪرڻ لاء ڪافي هوندا؛
    1.4. اهم پريپيڊ چينل بينڊوڊٿ حاصل ڪرڻ لاءِ ”فضول“ ٽرئفڪ.
    DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت
    شڪل 2. ھوسٽنگ فراهم ڪندڙ جو پنھنجو سيڪيورٽي سسٽم
    جيڪڏهن اسان بيان ڪيل نظام کي سوين Gbps جي جديد DDoS حملن جي خلاف تحفظ جو هڪ وسيلو سمجهون ٿا، ته پوءِ اهڙي نظام کي تمام گهڻو خرچ ڪرڻو پوندو. ڇا هوسٽنگ فراهم ڪندڙ کي اهڙو تحفظ آهي؟ ڇا هو ”فضول“ ٽرئفڪ لاءِ ادا ڪرڻ لاءِ تيار آهي؟ ظاهر آهي، اهڙي معاشي نموني فراهم ڪندڙ لاء غير منافع بخش آهي جيڪڏهن ٽريف اضافي ادائيگي لاء مهيا نه ڪن.
  2. Reverse Proxy (صرف ويب سائيٽن ۽ ڪجھ ايپليڪيشنن لاءِ). تعداد جي باوجود فائدا، فراهم ڪندڙ سڌو DDoS حملن جي خلاف تحفظ جي ضمانت نٿو ڏئي (ڏسو شڪل 1). ھوسٽنگ فراهم ڪندڙ اڪثر ڪري پيش ڪن ٿا ھڪڙو حل جيئن ھڪڙو علاج، سيڪيورٽي فراهم ڪندڙ کي ذميواري منتقل ڪرڻ.
  3. هڪ خاص ڪلائوڊ فراهم ڪندڙ جون خدمتون (ان جي فلٽرنگ نيٽ ورڪ جو استعمال) سڀني OSI سطحن تي DDoS حملن کان بچاءُ لاءِ (شڪل 3).
    DDoS حملن جي خلاف مڪمل تحفظ سان ميزباني - افسانو يا حقيقت
    شڪل 3. خاص فراهم ڪندڙ استعمال ڪندي DDoS حملن جي خلاف جامع تحفظ
    فيصلو گہرے انضمام ۽ ٻنهي ڌرين جي اعليٰ سطحي فني صلاحيت کي فرض ڪري ٿو. آئوٽ سورسنگ ٽريفڪ فلٽرنگ سروسز هوسٽنگ فراهم ڪندڙ کي اجازت ڏئي ٿي ته صارف لاءِ اضافي خدمتن جي قيمت گھٽائي.

اھم! مهيا ڪيل خدمت جي ٽيڪنيڪل خاصيتن کي وڌيڪ تفصيل سان بيان ڪيو ويو آهي، انهن جي عمل درآمد يا معاوضي جي طلب ڪرڻ جو وڌيڪ موقعو ختم ٿيڻ جي صورت ۾.

ٽنهي مکيه طريقن کان علاوه، ڪيترائي مجموعا ۽ مجموعا آهن. جڏهن هڪ ميزباني کي چونڊيو، اهو ضروري آهي ته گراهڪ لاء ياد رکڻ گهرجي ته فيصلو نه رڳو گارنٽي ٿيل بلاڪ حملن جي ماپ ۽ فلٽرنگ جي درستگي تي منحصر هوندو، پر جواب جي رفتار تي پڻ، معلوماتي مواد (بلاڪ ٿيل حملن جي فهرست، عام شماريات وغيره).

ياد رهي ته دنيا ۾ صرف چند هوسٽنگ فراهم ڪندڙ پنهنجي طور تي هڪ قابل قبول سطح جي تحفظ فراهم ڪرڻ جي قابل آهن؛ ٻين حالتن ۾، تعاون ۽ ٽيڪنيڪل خواندگي مدد ڪري ٿي. اهڙيء طرح، DDoS حملن جي خلاف تحفظ کي منظم ڪرڻ جي بنيادي اصولن کي سمجهڻ، سائيٽ جي مالڪ کي اجازت ڏيندو ته مارڪيٽنگ جي چالن لاء نه گرڻ ۽ نه خريد ڪرڻ لاء "پگ ۾ سور."

جو ذريعو: www.habr.com

تبصرو شامل ڪريو