"අපගේ වෙබ් අඩවිය සෑදූ පුද්ගලයා දැනටමත් DDoS ආරක්ෂාව පිහිටුවා ඇත."
"අපට DDoS ආරක්ෂාව ඇත, වෙබ් අඩවිය පහත වැටුනේ ඇයි?"
"Qrator ට කී දාහක් ඕනද?"
පාරිභෝගිකයාගේ/ලොක්කාගෙන් එවැනි ප්රශ්නවලට නිසි පිළිතුරු සැපයීම සඳහා, "DDoS ආරක්ෂණය" යන නම පිටුපස සැඟවී ඇත්තේ කුමක්දැයි දැන ගැනීම සතුටක් වනු ඇත. ආරක්ෂක සේවා තෝරාගැනීම IKEA හි මේසයක් තෝරා ගැනීමට වඩා වෛද්යවරයෙකුගෙන් ඖෂධයක් තෝරා ගැනීම වැනි ය.
මම වසර 11 ක් තිස්සේ වෙබ් අඩවි වලට සහය වී සිටිමි, මම සහාය දක්වන සේවාවන්ට එල්ල වූ ප්රහාර සිය ගණනකින් බේරී ඇත, දැන් මම ඔබට ආරක්ෂාව පිළිබඳ අභ්යන්තර ක්රියාකාරිත්වය ගැන ටිකක් කියන්නම්.
නිතිපතා ප්රහාර. 350k req මුළු, 52k req නීත්යානුකූලයි
පළමු ප්රහාරයන් අන්තර්ජාලය සමග එකවරම පාහේ දර්ශනය විය. DDoS සංසිද්ධියක් ලෙස 2000 ගණන්වල අග භාගයේ සිට පුලුල්ව පැතිර ඇත (පරීක්ෂා කරන්න ).
2015-2016 පමණ සිට, සියලුම සත්කාරක සපයන්නන් පාහේ DDoS ප්රහාරවලින් ආරක්ෂා වී ඇත, තරඟකාරී ප්රදේශවල බොහෝ ප්රමුඛ අඩවි (eldorado.ru, leroymerlin.ru, tilda.ws යන වෙබ් අඩවි වල IP මගින් whois කරන්න, ඔබ ජාල දකිනු ඇත. ආරක්ෂණ ක්රියාකරුවන්ගේ).
මීට වසර 10-20 කට පෙර බොහෝ ප්රහාර සේවාදායකයෙන්ම පලවා හැරිය හැකි නම් (90 දශකයේ සිට Lenta.ru පද්ධති පරිපාලක මැක්සිම් මොෂ්කොව්ගේ නිර්දේශ ඇගයීම: ), නමුත් දැන් ආරක්ෂණ කාර්යයන් වඩාත් දුෂ්කර වී ඇත.
ආරක්ෂණ ක්රියාකරුවෙකු තෝරා ගැනීමේ දෘෂ්ටි කෝණයෙන් DDoS ප්රහාර වර්ග
L3/L4 මට්ටමේ ප්රහාර (OSI ආකෘතියට අනුව)
- botnet එකකින් UDP ගංවතුර (බොහෝ ඉල්ලීම් ආසාදිත උපාංගවලින් සෘජුවම පහර දුන් සේවාව වෙත යවනු ලැබේ, සේවාදායකයන් නාලිකාව සමඟ අවහිර කර ඇත);
— DNS/NTP/etc විස්තාරණය (බොහෝ ඉල්ලීම් ආසාදිත උපාංගවලින් අවදානමට ලක්විය හැකි DNS/NTP/etc වෙත යවනු ලැබේ, යවන්නාගේ ලිපිනය ව්යාජ ය, ඉල්ලීම්වලට ප්රතිචාර දක්වන පැකට් වලාකුළක් ප්රහාරයට ලක් වූ පුද්ගලයාගේ නාලිකාව ගංවතුරට පත් කරයි; වඩාත්ම මෙයයි. නූතන අන්තර්ජාලය මත දැවැන්ත ප්රහාර සිදු කරනු ලැබේ);
- SYN / ACK ගංවතුර (සම්බන්ධතාවයක් ස්ථාපිත කිරීම සඳහා බොහෝ ඉල්ලීම් පහර දුන් සේවාදායකයන් වෙත යවනු ලැබේ, සම්බන්ධතා පෝලිම පිටාර ගැලීම);
- පැකට් ඛණ්ඩනය සමඟ ප්රහාර, මරණයේ පිං, පිං ගංවතුර (ගූගල් එය කරුණාකර);
- සහ යනාදි.
මෙම ප්රහාර මගින් සේවාදායකයේ නාලිකාව "අවහිර කිරීම" හෝ නව ගමනාගමනය පිළිගැනීමට ඇති හැකියාව "මරා දැමීම" අරමුණු කරයි.
SYN/ACK ගංවතුර සහ විස්තාරණය බෙහෙවින් වෙනස් වුවද, බොහෝ සමාගම් ඒවාට සමානව සටන් කරයි. ඊළඟ කණ්ඩායමෙන් ප්රහාරයන් සමඟ ගැටළු මතු වේ.
L7 (යෙදුම් ස්ථරය) මත ප්රහාර
- http ගංවතුර (වෙබ් අඩවියක් හෝ සමහර http api පහර දෙන්නේ නම්);
- වෙබ් අඩවියේ අවදානමට ලක්විය හැකි ප්රදේශවලට ප්රහාරයක් (හැඹිලියක් නොමැති ඒවා, වෙබ් අඩවිය අධික ලෙස පටවන, ආදිය).
ඉලක්කය වන්නේ සේවාදායකය "වෙහෙස මහන්සි වී වැඩ කිරීම", "පෙනෙන සැබෑ ඉල්ලීම්" ගොඩක් සැකසීම සහ සැබෑ ඉල්ලීම් සඳහා සම්පත් නොමැතිව ඉතිරි කිරීමයි.
වෙනත් පහරදීම් තිබුණද, මේවා වඩාත් සුලභ වේ.
L7 මට්ටමේ බරපතල ප්රහාරයන් ප්රහාරයට ලක්වන සෑම ව්යාපෘතියක් සඳහාම අනන්ය ආකාරයකින් නිර්මාණය කර ඇත.
කණ්ඩායම් 2 ක් ඇයි?
මක්නිසාද යත්, L3 / L4 මට්ටමින් ප්රහාර හොඳින් විකර්ෂණය කරන්නේ කෙසේදැයි දන්නා බොහෝ දෙනෙක් සිටින නමුත්, එක්කෝ යෙදුම් මට්ටමේ (L7) ආරක්ෂාව කිසිසේත් නොසලකති, නැතහොත් ඒවා සමඟ ගනුදෙනු කිරීමේදී විකල්පවලට වඩා දුර්වල ය.
DDoS ආරක්ෂණ වෙළඳපොලේ කවුද?
(මගේ පෞද්ගලික අදහස)
L3/L4 මට්ටමේ ආරක්ෂාව
විස්තාරණය (සේවාදායක නාලිකාවේ "අවහිර කිරීම") සමඟ ප්රහාර මැඩපැවැත්වීම සඳහා, ප්රමාණවත් තරම් පුළුල් නාලිකා ඇත (බොහෝ ආරක්ෂණ සේවාවන් රුසියාවේ විශාල කොඳු නාරටිය සපයන්නන් වෙත සම්බන්ධ වන අතර 1 Tbit ට වඩා වැඩි න්යායාත්මක ධාරිතාවක් සහිත නාලිකා ඇත). ඉතා දුර්ලභ වර්ධක ප්රහාර පැයකට වඩා වැඩි කාලයක් පවතින බව අමතක නොකරන්න. ඔබ Spamhaus නම් සහ සියලු දෙනාම ඔබට අකමැති නම්, ඔව්, ගෝලීය botnet භාවිතයේ තවදුරටත් පැවැත්මේ අවදානමක් තිබියදී පවා, ඔවුන් දින කිහිපයක් ඔබේ නාලිකා වසා දැමීමට උත්සාහ කළ හැකිය. ඔබට අන්තර්ජාල වෙළඳසැලක් තිබේ නම්, එය mvideo.ru වුවද, ඔබට ඉතා ඉක්මනින් දින කිහිපයක් ඇතුළත 1 Tbit නොපෙනේ (මම බලාපොරොත්තු වෙමි).
SYN/ACK ගංවතුර, පැකට් ඛණ්ඩනය යනාදී ප්රහාර මැඩලීමට, එවැනි ප්රහාර හඳුනාගෙන නැවැත්වීමට ඔබට උපකරණ හෝ මෘදුකාංග පද්ධති අවශ්ය වේ.
බොහෝ අය එවැනි උපකරණ නිෂ්පාදනය කරයි (Arbor, Cisco, Huawei වෙතින් විසඳුම්, Wanguard වෙතින් මෘදුකාංග ක්රියාත්මක කිරීම් ආදිය), බොහෝ කොඳු නාරටිය ක්රියාකරුවන් දැනටමත් එය ස්ථාපනය කර DDoS ආරක්ෂණ සේවා අලෙවි කර ඇත (Rostelecom, Megafon, TTK, MTS වෙතින් ස්ථාපනයන් ගැන මම දනිමි. , ඇත්ත වශයෙන්ම, සියලුම ප්රධාන සැපයුම්කරුවන් තමන්ගේම ආරක්ෂාවක් සහිත සත්කාරක සමාගමක් සමඟ එකම දේ කරයි a-la OVH.com, Hetzner.de, Ihor.ru හි ආරක්ෂාව මටම හමු විය). සමහර සමාගම් තමන්ගේම මෘදුකාංග විසඳුම් සංවර්ධනය කරමින් සිටී (DPDK වැනි තාක්ෂණයන් ඔබට එක් භෞතික x86 යන්ත්රයක ගිගාබිට් දස ගණන් ගමනාගමනය සැකසීමට ඉඩ සලසයි).
සුප්රසිද්ධ ක්රීඩකයන්ගෙන්, සෑම කෙනෙකුටම L3/L4 DDoS සමඟ අඩු වැඩි වශයෙන් ඵලදායී ලෙස සටන් කළ හැකිය. විශාල උපරිම නාලිකා ධාරිතාව ඇත්තේ කාටදැයි මම දැන් නොකියමි (මෙය අභ්යන්තර තොරතුරු වේ), නමුත් සාමාන්යයෙන් මෙය එතරම් වැදගත් නොවේ, සහ එකම වෙනස වන්නේ ආරක්ෂාව කෙතරම් ඉක්මනින් ක්රියාත්මක වන්නේද යන්නයි (ක්ෂණිකව හෝ ව්යාපෘති අක්රිය වීමෙන් මිනිත්තු කිහිපයකට පසු, Hetzner හි මෙන්).
ප්රශ්නය වන්නේ මෙය කෙතරම් හොඳින් සිදු කරන්නේද යන්නයි: විශාලතම හානිකර ගමනාගමනය ඇති රටවලින් ගමනාගමනය අවහිර කිරීමෙන් විස්තාරණ ප්රහාරයක් විකර්ෂණය කළ හැකිය, නැතහොත් සැබවින්ම අනවශ්ය ගමනාගමනය පමණක් ඉවත දැමිය හැකිය.
නමුත් ඒ සමඟම, මගේ අත්දැකීම් මත පදනම්ව, සියලුම බරපතල වෙළඳපල ක්රීඩකයින් ගැටළු නොමැතිව මෙය සමඟ කටයුතු කරයි: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (කලින් SkyParkCDN), ServicePipe, Stormwall, Voxility, ආදිය.
Rostelecom, Megafon, TTK, Beeline වැනි ක්රියාකරුවන්ගෙන් මට ආරක්ෂාවක් හමු වී නැත; සගයන්ගේ සමාලෝචන වලට අනුව, ඔවුන් මෙම සේවාවන් හොඳින් සපයයි, නමුත් මෙතෙක් අත්දැකීම් නොමැතිකම වරින් වර බලපායි: සමහර විට ඔබට සහාය හරහා යමක් වෙනස් කිරීමට අවශ්ය වේ. ආරක්ෂණ ක්රියාකරුගේ.
සමහර ක්රියාකරුවන්ට "L3/L4 මට්ටමේ ප්රහාර වලින් ආරක්ෂා වීම" හෝ "නාලිකා ආරක්ෂණය" වෙනම සේවාවක් ඇත; එය සියලු මට්ටම්වල ආරක්ෂාවට වඩා බෙහෙවින් අඩු පිරිවැයක් දරයි.
තමන්ගේම නාලිකා නොමැති බැවින්, කොඳු නාරටිය සපයන්නාට Gbits සිය ගණනක ප්රහාර විකර්ෂණය නොකරන්නේ ඇයි?ආරක්ෂණ ක්රියාකරුට ඕනෑම ප්රධාන සැපයුම්කරුවෙකු හා සම්බන්ධ විය හැකි අතර “එහි වියදමින්” ප්රහාර මැඩපැවැත්විය හැකිය. ඔබට නාලිකාව සඳහා ගෙවීමට සිදුවනු ඇත, නමුත් මෙම Gbits සිය ගණනක් සෑම විටම භාවිතා නොවනු ඇත; මෙම නඩුවේ නාලිකා වල පිරිවැය සැලකිය යුතු ලෙස අඩු කිරීමට විකල්ප ඇත, එබැවින් යෝජනා ක්රමය ක්රියාත්මක වේ.
මේවා සත්කාරක සපයන්නාගේ පද්ධති සඳහා සහය දක්වන අතරතුර ඉහළ මට්ටමේ L3/L4 ආරක්ෂණයෙන් මට නිතිපතා ලැබුණු වාර්තා වේ.
L7 මට්ටමේ ආරක්ෂාව (යෙදුම් මට්ටම)
L7 මට්ටමේ (යෙදුම් මට්ටම) ප්රහාර මගින් ඒකක ස්ථිරව හා කාර්යක්ෂමව විකර්ෂණය කිරීමට හැකි වේ.
මට ගොඩක් ඇත්ත අත්දැකීම් තියෙනවා
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- කැස්පර්ස්කි.
පිරිසිදු ගමනාගමනයේ එක් එක් මෙගාබිට් සඳහා ඔවුන් අය කරනු ලැබේ, මෙගාබිට් එකක මිල රුබල් දහස් ගණනක් පමණ වේ. ඔබට අවම වශයෙන් 100 Mbps පිරිසිදු ගමනාගමනයක් තිබේ නම් - ඔහ්. ආරක්ෂාව ඉතා මිල අධික වනු ඇත. ආරක්ෂක නාලිකාවල ධාරිතාව මත බොහෝ දේ ඉතිරි කර ගැනීම සඳහා යෙදුම් සැලසුම් කරන්නේ කෙසේද යන්න පහත ලිපි වලින් ඔබට පැවසිය හැකිය.
සැබෑ "කඳුකරයේ රජු" Qrator.net වේ, ඉතිරි ඒවායින් පසුගාමී වේ. Qrator මෙතෙක් මගේ අත්දැකීම් අනුව බිංදුවට ආසන්න ව්යාජ ධනාත්මක ප්රතිශතයක් ලබා දෙන එකම අය වේ, නමුත් ඒ සමඟම ඒවා අනෙකුත් වෙළඳපල ක්රීඩකයින්ට වඩා කිහිප ගුණයකින් මිල අධිකය.
අනෙකුත් ක්රියාකරුවන් ද උසස් තත්ත්වයේ සහ ස්ථාවර ආරක්ෂාවක් සපයයි. අප විසින් සහාය දක්වන බොහෝ සේවාවන් (රටේ ඉතා ප්රසිද්ධ ඒවා ඇතුළුව!) DDoS-Guard, G-Core Labs වෙතින් ආරක්ෂා වී ඇති අතර, ලබාගත් ප්රතිඵල පිළිබඳව සෑහීමකට පත්වේ.
Qrator විසින් ප්රහාර පලවා හරින ලදී
මට cloud-shield.ru, ddosa.net වැනි කුඩා ආරක්ෂක ක්රියාකරුවන් සමඟ ද අත්දැකීම් තිබේ, ඒවා දහස් ගණනක්. මම අනිවාර්යයෙන්ම එය නිර්දේශ නොකරමි, මන්ද ... මට බොහෝ අත්දැකීම් නොමැත, නමුත් ඔවුන්ගේ කාර්යයේ මූලධර්ම ගැන මම ඔබට කියමි. ඔවුන්ගේ ආරක්ෂණ පිරිවැය බොහෝ විට ප්රධාන ක්රීඩකයින්ට වඩා විශාලත්වයේ 1-2 ඇණවුම් අඩුය. රීතියක් ලෙස, ඔවුන් විශාල ක්රීඩකයෙකුගෙන් අර්ධ ආරක්ෂණ සේවාවක් (L3/L4) මිලදී ගනී + ඉහළ මට්ටම්වල ප්රහාරවලට එරෙහිව ඔවුන්ගේම ආරක්ෂාව සපයයි. මෙය බෙහෙවින් ඵලදායී විය හැක + ඔබට අඩු මුදලකට හොඳ සේවාවක් ලබා ගත හැක, නමුත් මේවා තවමත් කුඩා කාර්ය මණ්ඩලයක් සිටින කුඩා සමාගම් වේ, කරුණාකර එය මතක තබා ගන්න.
L7 මට්ටමේ ප්රහාර විකර්ෂණය කිරීමේ දුෂ්කරතාවය කුමක්ද?
සියලුම යෙදුම් අද්විතීය වන අතර, ඔබ ඒවාට ප්රයෝජනවත් වන ගමනාගමනයට ඉඩ දී හානිකර ඒවා අවහිර කළ යුතුය. බොට්ස් නිසැකව ඉවත් කිරීම සැමවිටම කළ නොහැක, එබැවින් ඔබට රථවාහන පිරිසිදු කිරීමේ අංශක ගණනාවක් භාවිතා කළ යුතුය.
වරක්, nginx-testcookie මොඩියුලය ප්රමාණවත් විය (), සහ ප්රහාර විශාල සංඛ්යාවක් විකර්ෂණය කිරීමට එය තවමත් ප්රමාණවත් වේ. මම සත්කාරක කර්මාන්තයේ වැඩ කරන විට, L7 ආරක්ෂාව nginx-testcookie මත පදනම් විය.
අවාසනාවකට, ප්රහාරයන් වඩාත් දුෂ්කර වී ඇත. testcookie JS මත පදනම් වූ bot චෙක්පත් භාවිතා කරන අතර බොහෝ නවීන bots හට ඒවා සාර්ථකව සමත් විය හැක.
Attack botnets ද අද්විතීය වන අතර, එක් එක් විශාල botnet වල ලක්ෂණ සැලකිල්ලට ගත යුතුය.
විස්තාරණය කිරීම, බොට්නෙට් එකකින් සෘජු ගංවතුර, විවිධ රටවලින් ගමනාගමනය පෙරීම (විවිධ රටවල් සඳහා විවිධ පෙරහන), SYN/ACK ගංවතුර, පැකට් ඛණ්ඩනය, ICMP, http ගංවතුර, යෙදුම/http මට්ටමේදී ඔබට අසීමිත සංඛ්යාවක් ඉදිරිපත් කළ හැකිය. විවිධ ප්රහාර.
සමස්තයක් වශයෙන්, නාලිකා ආරක්ෂණ මට්ටමින්, ගමනාගමනය ඉවත් කිරීම සඳහා විශේෂිත උපකරණ, විශේෂ මෘදුකාංග, එක් එක් සේවාදායකයා සඳහා අතිරේක පෙරහන් සැකසුම් දස දහස් ගණනක් සහ පෙරීමේ මට්ටම් සිය ගණනක් විය හැකිය.
මෙය නිසි ලෙස කළමනාකරණය කිරීමට සහ විවිධ පරිශීලකයින් සඳහා පෙරහන් සැකසුම් නිවැරදිව සුසර කිරීමට, ඔබට අත්දැකීම් සහ සුදුසුකම් ලත් පුද්ගලයින් විශාල ප්රමාණයක් අවශ්ය වේ. ආරක්ෂණ සේවා සැපයීමට තීරණය කර ඇති විශාල ක්රියාකරු පවා "මෝඩ ලෙස ගැටලුවට මුදල් විසි කිරීමට" නොහැකිය: නීත්යානුකූල ගමනාගමනය පිළිබඳ බොරු වෙබ් අඩවි සහ ව්යාජ ධනාත්මක අත්දැකීම් ලබා ගැනීමට සිදු වනු ඇත.
ආරක්ෂක ක්රියාකරු සඳහා "DDoS විකර්ෂක" බොත්තමක් නොමැත; මෙවලම් විශාල ප්රමාණයක් ඇත, ඒවා භාවිතා කරන්නේ කෙසේදැයි ඔබ දැනගත යුතුය.
සහ තවත් එක් ප්රසාද උදාහරණයක්.
600 Mbit ධාරිතාවක් සහිත ප්රහාරයකදී සත්කාරක සමාගම විසින් අනාරක්ෂිත සේවාදායකයක් අවහිර කරන ලදී.
(ගමන ගමනාගමනයේ "අලාභය" සැලකිය යුතු නොවේ, මන්ද 1 වෙබ් අඩවියකට පමණක් පහර දුන් නිසා, එය සේවාදායකයෙන් තාවකාලිකව ඉවත් කර පැයක් ඇතුළත අවහිර කිරීම ඉවත් කරන ලදී).
එකම සේවාදායකය ආරක්ෂා කර ඇත. ප්රහාරකයින් ප්රතික්ෂේප කළ ප්රහාරවලින් දිනකට පසු " යටත් විය". ප්රහාරයම ශක්තිමත්ම නොවේ.
L3/L4 හි ප්රහාරය සහ ආරක්ෂාව වඩාත් සුළු දෙයකි; ඒවා ප්රධාන වශයෙන් රඳා පවතින්නේ නාලිකාවල ඝණකම, ප්රහාර සඳහා හඳුනාගැනීම සහ පෙරීමේ ඇල්ගොරිතම මත ය.
L7 ප්රහාර වඩාත් සංකීර්ණ සහ මුල් ය; ඒවා ප්රහාරයට ලක්වන යෙදුම, ප්රහාරකයන්ගේ හැකියාවන් සහ පරිකල්පනය මත රඳා පවතී. ඔවුන්ට එරෙහිව ආරක්ෂාව සඳහා විශාල දැනුමක් සහ අත්දැකීම් අවශ්ය වන අතර, ප්රතිඵලය ක්ෂණිකව හා සියයට සියයක් නොවිය හැක. ආරක්ෂාව සඳහා Google වෙනත් ස්නායු ජාලයක් ඉදිරිපත් කරන තුරු.
මූලාශ්රය: www.habr.com