DDoS ප්‍රහාරයන්ට එරෙහිව පූර්ණ ආරක්ෂාවක් සහිතව සත්කාරකත්වය - මිත්‍යාව හෝ යථාර්ථය

2020 පළමු කාර්තු දෙක තුළ, DDoS ප්‍රහාර සංඛ්‍යාව තුන් ගුණයකින් වැඩි වූ අතර, ඒවායින් 65%ක් කුඩා අන්තර්ජාල වෙළඳසැල්, සංසද, බ්ලොග් සහ මාධ්‍ය අලෙවිසැල් වල අනාරක්ෂිත වෙබ් අඩවි පහසුවෙන් “අක්‍රිය” කරන “බර පරීක්ෂා කිරීමේ” ප්‍රාථමික උත්සාහයන් වේ.

DDoS ආරක්ෂිත සත්කාරකත්වය තෝරා ගන්නේ කෙසේද? අප්රසන්න තත්වයකට පත් නොවීම සඳහා ඔබ අවධානය යොමු කළ යුත්තේ කුමක්ද සහ ඔබ සූදානම් විය යුත්තේ කුමක් ද?

(ඇතුළත "අළු" අලෙවිකරණයට එරෙහිව එන්නත් කිරීම)

DDoS ප්‍රහාර ක්‍රියාත්මක කිරීම සඳහා ඇති මෙවලම් සහ විවිධත්වය තර්ජනයට මුහුණ දීම සඳහා සුදුසු පියවර ගැනීමට සබැඳි සේවා හිමිකරුවන්ට බල කරයි. ඔබ DDoS ආරක්ෂාව ගැන සිතිය යුත්තේ පළමු අසාර්ථක වීමෙන් පසුව නොව, යටිතල ව්‍යුහයේ වැරදි ඉවසීම වැඩි කිරීම සඳහා වූ පියවර මාලාවක කොටසක් ලෙස නොව, ස්ථානගත කිරීම සඳහා වෙබ් අඩවියක් තෝරා ගැනීමේ අදියරේදී (සත්කාරක සපයන්නා හෝ දත්ත මධ්‍යස්ථානය) ය.

DDoS ප්‍රහාර විවෘත පද්ධති අන්තර් සම්බන්ධතා (OSI) මාදිලියේ මට්ටම්වලට භාවිතා කරන අවදානම් ප්‍රොටෝකෝල මත පදනම්ව වර්ගීකරණය කර ඇත:

• නාලිකාව (L2),
• ජාලය (L3),
• ප්රවාහනය (L4),
• යොදන ලදී (L7).

ආරක්ෂක පද්ධතිවල දෘෂ්ටි කෝණයෙන්, ඒවා කණ්ඩායම් දෙකකට සාමාන්‍යකරණය කළ හැකිය: යටිතල පහසුකම් මට්ටමේ ප්‍රහාර (L2-L4) සහ යෙදුම් මට්ටමේ ප්‍රහාර (L7). මෙයට හේතුව රථවාහන විශ්ලේෂණ ඇල්ගොරිතම ක්‍රියාත්මක කිරීමේ අනුපිළිවෙල සහ ගණනය කිරීමේ සංකීර්ණත්වයයි: අපි IP පැකට්ටුව දෙස ගැඹුරින් බලන තරමට පරිගණක බලය අවශ්‍ය වේ.

සාමාන්‍යයෙන්, තත්‍ය කාලීනව ගමනාගමනය සැකසීමේදී ගණනය කිරීම් ප්‍රශස්ත කිරීමේ ගැටලුව වෙනම ලිපි මාලාවක් සඳහා මාතෘකාවකි. යෙදුම් මට්ටමේ ප්‍රහාර වලින් අඩවි ආරක්ෂා කළ හැකි කොන්දේසි සහිත අසීමිත පරිගණක සම්පත් සහිත වලාකුළු සපයන්නෙකු සිටින බව දැන් අපි සිතමු. නිදහස්).

DDoS ප්‍රහාරවලට එරෙහිව සත්කාරක ආරක්‍ෂාවේ මට්ටම තීරණය කිරීමට ප්‍රධාන ප්‍රශ්න 3ක්

DDoS ප්‍රහාරවලින් ආරක්ෂාව සඳහා සේවා නියමයන් සහ සත්කාරක සපයන්නාගේ සේවා මට්ටමේ ගිවිසුම (SLA) දෙස බලමු. පහත ප්‍රශ්නවලට පිළිතුරු ඒවායේ අඩංගුද:

• සේවා සපයන්නා විසින් ප්‍රකාශ කර ඇති තාක්ෂණික සීමාවන් මොනවාද??
• පාරිභෝගිකයා සීමාවෙන් ඔබ්බට ගිය විට කුමක් සිදුවේද?
• සත්කාරක සපයන්නෙකු DDoS ප්‍රහාර (තාක්ෂණ, විසඳුම්, සැපයුම්කරුවන්) වලට එරෙහිව ආරක්ෂාව ගොඩනගා ගන්නේ කෙසේද?

ඔබ මෙම තොරතුරු සොයාගෙන නොමැති නම්, සේවා සපයන්නාගේ බරපතලකම ගැන සිතීමට හෝ මූලික DDoS ආරක්ෂාව (L3-4) ඔබ විසින්ම සංවිධානය කිරීමට මෙය හේතුවක් වේ. උදාහරණයක් ලෙස, විශේෂිත ආරක්ෂක සැපයුම්කරුවෙකුගේ ජාලයට භෞතික සම්බන්ධතාවයක් ඇණවුම් කරන්න.

වැදගත්! ඔබගේ සත්කාරක සපයන්නාට යටිතල පහසුකම් මට්ටමේ ප්‍රහාර වලින් ආරක්ෂාව සැපයීමට නොහැකි නම් ප්‍රතිලෝම ප්‍රොක්සි භාවිතයෙන් යෙදුම් මට්ටමේ ප්‍රහාර වලින් ආරක්ෂාව සැපයීමේ තේරුමක් නැත: වලාකුළු සපයන්නාගේ ප්‍රොක්සි සේවාදායකයන් ඇතුළුව ජාල උපකරණ අධික ලෙස පටවනු ලබන අතර ලබා ගත නොහැකි වනු ඇත (රූපය 1)

රූපය 1. සත්කාරක සපයන්නාගේ ජාලයට සෘජු ප්‍රහාරයක්

සේවාදායකයේ සැබෑ IP ලිපිනය ආරක්ෂක සැපයුම්කරුගේ වලාකුළ පිටුපස සැඟවී ඇති බවට සුරංගනා කතා ඔබට පැවසීමට ඔවුන්ට ඉඩ නොදෙන්න, එයින් අදහස් කරන්නේ එයට කෙලින්ම පහර දිය නොහැකි බවයි. අවස්ථා දහයෙන් නවයක දී, සම්පූර්ණ දත්ත මධ්‍යස්ථානයක් "විනාශ කිරීම" සඳහා ප්‍රහාරකයෙකුට සේවාදායකයේ සැබෑ IP ලිපිනය හෝ අවම වශයෙන් සත්කාරක සැපයුම්කරුගේ ජාලය සොයා ගැනීම අපහසු නොවනු ඇත.

සැබෑ IP ලිපිනයක් සෙවීමේදී හැකර්වරුන් ක්‍රියා කරන ආකාරය

ස්පොයිලර් වලට පහළින් සැබෑ IP ලිපිනයක් සොයා ගැනීමට ක්‍රම කිහිපයක් ඇත (තොරතුරු අරමුණු සඳහා ලබා දී ඇත).

ක්රමය 1: විවෘත මූලාශ්රවල සොයන්න

ඔබට සබැඳි සේවාව සමඟ ඔබේ සෙවීම ආරම්භ කළ හැකිය බුද්ධි X: එය අඳුරු වෙබ්, ලේඛන බෙදාගැනීමේ වේදිකා, Whois දත්ත, පොදු දත්ත කාන්දුවීම් සහ වෙනත් බොහෝ මූලාශ්‍ර සෙවුම් කරයි.

සමහර සලකුණු (HTTP ශීර්ෂයන්, Whois දත්ත, ආදිය) මත පදනම්ව, Cloudflare භාවිතයෙන් වෙබ් අඩවියේ ආරක්ෂාව සංවිධානය කර ඇති බව තීරණය කළ හැකි නම්, ඔබට සැබෑ IP සෙවීම ආරම්භ කළ හැකිය ලැයිස්තුව, Cloudflare පිටුපස ඇති අඩවි වල IP ලිපින මිලියන 3ක් පමණ අඩංගු වේ.

SSL සහතිකයක් සහ සේවාවක් භාවිතා කිරීම සංගණනය වෙබ් අඩවියේ සැබෑ IP ලිපිනය ඇතුළුව ඔබට බොහෝ ප්‍රයෝජනවත් තොරතුරු සොයාගත හැකිය. ඔබේ සම්පත සඳහා ඉල්ලීමක් උත්පාදනය කිරීමට, සහතික පටිත්ත වෙත ගොස් ඇතුළු කරන්න:

_parsed.names: නමsite AND tags.raw: විශ්වාසයි

SSL සහතිකයක් භාවිතයෙන් සේවාදායකයන්ගේ IP ලිපින සෙවීමට, ඔබට මෙවලම් කිහිපයක් සමඟින් පතන ලැයිස්තුව හරහා අතින් යා යුතුය ("ගවේෂණය" ටැබය, ඉන්පසු "IPv4 සත්කාරක" තෝරන්න).

ක්රමය 2: DNS

DNS වාර්තා වෙනස්කම් වල ඉතිහාසය සෙවීම පැරණි, ඔප්පු කරන ලද ක්රමයකි. වෙබ් අඩවියේ පෙර IP ලිපිනය එය පිහිටා ඇත්තේ කුමන සත්කාරක (හෝ දත්ත මධ්යස්ථානය) දැයි පැහැදිලි කළ හැක. භාවිතයේ පහසුව අනුව සබැඳි සේවාවන් අතර, පහත සඳහන් දෑ කැපී පෙනේ: බලන්නDNS и ආරක්ෂක මංපෙත්.

ඔබ සැකසුම් වෙනස් කරන විට, වෙබ් අඩවිය වහාම ක්ලවුඩ් ආරක්ෂණ සැපයුම්කරුගේ හෝ CDN හි IP ලිපිනය භාවිතා නොකරනු ඇත, නමුත් යම් කාලයක් සඳහා සෘජුවම ක්රියා කරනු ඇත. මෙම අවස්ථාවෙහිදී, IP ලිපින වෙනස්කම් වල ඉතිහාසය ගබඩා කිරීම සඳහා සබැඳි සේවාවන් වෙබ් අඩවියේ මූලාශ්ර ලිපිනය පිළිබඳ තොරතුරු අඩංගු වීමේ හැකියාවක් පවතී.

පැරණි DNS සේවාදායකයේ නම හැර අන් කිසිවක් නොමැති නම්, විශේෂ උපයෝගිතා (dig, host හෝ nslookup) භාවිතා කරමින් ඔබට වෙබ් අඩවියේ වසම් නාමයෙන් IP ලිපිනයක් ඉල්ලා සිටිය හැක, උදාහරණයක් ලෙස:

_dig @old_dns_server_name නමඅඩවිය

ක්රමය 3: ඊමේල්

ක්‍රමයේ අදහස නම් ඔබේ විද්‍යුත් තැපෑලට ලිපියක් ලැබීමට සහ ශීර්ෂයන් පරීක්ෂා කිරීමට ප්‍රතිපෝෂණ/ලියාපදිංච් පෝරමය (හෝ ලිපියක් යැවීම ආරම්භ කිරීමට ඔබට ඉඩ සලසන වෙනත් ක්‍රමයක්) භාවිතා කිරීමයි, විශේෂයෙන් “ලැබුණු” ක්ෂේත්‍රය. .

ඊමේල් ශීර්ෂයේ බොහෝ විට MX වාර්තාවේ (ඊමේල් හුවමාරු සේවාදායකය) සත්‍ය IP ලිපිනය අඩංගු වේ, එය ඉලක්කයේ ඇති අනෙකුත් සේවාදායකයන් සොයා ගැනීමට ආරම්භක ලක්ෂ්‍යයක් විය හැකිය.

ස්වයංක්‍රීයකරණ මෙවලම් සොයන්න

Cloudflare පලිහ පිටුපස ඇති IP සෙවුම් මෘදුකාංගය බොහෝ විට කාර්යයන් තුනක් සඳහා ක්‍රියා කරයි:

• DNSDumpster.com භාවිතයෙන් DNS වැරදි වින්‍යාසය සඳහා පරිලෝකනය කරන්න;
• Crimeflare.com දත්ත සමුදා ස්කෑන්;
• ශබ්ද කෝෂ සෙවුම් ක්‍රමයක් භාවිතයෙන් උප වසම් සොයන්න.

උප ඩොමේන් සොයා ගැනීම බොහෝ විට මෙම තුනෙන් වඩාත්ම ඵලදායී විකල්පය වේ - අඩවි හිමිකරුට ප්‍රධාන වෙබ් අඩවිය ආරක්ෂා කර උප ඩොමේන් සෘජුවම ක්‍රියාත්මක වීමට ඉඩ දිය හැකිය. පරීක්ෂා කිරීමට පහසුම ක්රමය භාවිතා කිරීමයි CloudFail.

මීට අමතරව, ශබ්දකෝෂ සෙවුමක් භාවිතයෙන් උප ඩොමේන් සෙවීම සහ විවෘත මූලාශ්‍රවල සෙවීම සඳහා පමණක් නිර්මාණය කර ඇති උපයෝගිතා තිබේ, උදාහරණයක් ලෙස: උප ලැයිස්තුව3r හෝ dnsrecon.

සෙවීම ප්‍රායෝගිකව සිදුවන ආකාරය

උදාහරණයක් ලෙස, අපි සුප්‍රසිද්ධ සේවාවක් භාවිතා කරමින් සොයා ගන්නා Cloudflare භාවිතා කරමින් seo.com වෙබ් අඩවිය ගනිමු. සමඟ ඉදි කර ඇත (වෙබ් අඩවිය ක්‍රියාත්මක වන තාක්ෂණයන් / එන්ජින් / CMS යන දෙකම තීරණය කිරීමට ඔබට ඉඩ සලසයි, සහ අනෙක් අතට - භාවිතා කරන තාක්ෂණයන් අනුව අඩවි සෙවීම).

ඔබ "IPv4 සත්කාරක" ටැබය මත ක්ලික් කළ විට, සේවාව සහතිකය භාවිතා කරන සත්කාරක ලැයිස්තුවක් පෙන්වයි. ඔබට අවශ්‍ය එක සොයා ගැනීමට, විවෘත port 443 සහිත IP ලිපිනයක් සොයන්න. එය අවශ්‍ය අඩවියට හරවා යවන්නේ නම්, කාර්යය සම්පූර්ණ වේ, එසේ නොමැතිනම් ඔබ වෙබ් අඩවියේ ඩොමේන් නාමය “Host” ශීර්ෂයට එක් කළ යුතුය. HTTP ඉල්ලීම (උදාහරණයක් ලෙස, * curl -H "Host: site_name" *https://IP_адрес).

අපගේ නඩුවේදී, Censys දත්ත ගබඩාවේ සෙවීමක් කිසිවක් ලබා දුන්නේ නැත, එබැවින් අපි ඉදිරියට යමු.

අපි සේවාව හරහා DNS සෙවුමක් කරන්නෙමු https://securitytrails.com/dns-trails.

CloudFail උපයෝගීතාව භාවිතා කරමින් DNS සේවාදායක ලැයිස්තුවේ සඳහන් ලිපින හරහා සෙවීමෙන්, අපි වැඩ කරන සම්පත් සොයා ගනිමු. ප්රතිඵලය තත්පර කිහිපයකින් සූදානම් වනු ඇත.

විවෘත දත්ත සහ සරල මෙවලම් පමණක් භාවිතා කරමින්, අපි වෙබ් සේවාදායකයේ සැබෑ IP ලිපිනය තීරණය කළෙමු. ප්රහාරකයා සඳහා ඉතිරිය තාක්ෂණික කාරණයකි.

අපි නැවත සත්කාරක සපයන්නෙකු තේරීමට යමු. පාරිභෝගිකයා සඳහා වන සේවාවේ ප්‍රතිලාභ ඇගයීම සඳහා, DDoS ප්‍රහාරවලින් ආරක්ෂා වීමට හැකි ක්‍රම අපි සලකා බලමු.

සත්කාරක සපයන්නා එහි ආරක්ෂාව ගොඩනඟන ආකාරය

1. පෙරහන උපකරණ සහිත තමන්ගේම ආරක්ෂණ පද්ධතිය (රූපය 2).
   අවශ්ය:
   1.1 රථවාහන පෙරහන උපකරණ සහ මෘදුකාංග බලපත්ර;
   1.2 එහි සහාය සහ ක්‍රියාකාරිත්වය සඳහා පූර්ණ කාලීන විශේෂඥයින්;
   1.3 ප්රහාර ලබා ගැනීමට ප්රමාණවත් වනු ඇති අන්තර්ජාල ප්රවේශ නාලිකා;
   1.4 "කුණු" ගමනාගමනය ලබා ගැනීම සඳහා සැලකිය යුතු පෙරගෙවුම් නාලිකා කලාප පළලක්.
   
   රූපය 2. සත්කාරක සපයන්නාගේම ආරක්ෂක පද්ධතිය
   විස්තර කරන ලද පද්ධතිය Gbps සිය ගණනක නවීන DDoS ප්‍රහාර වලින් ආරක්ෂා වීමේ මාධ්‍යයක් ලෙස අපි සලකන්නේ නම්, එවැනි පද්ධතියකට විශාල මුදලක් වැය වේ. සත්කාරක සපයන්නාට එවැනි ආරක්ෂාවක් තිබේද? "කුණු" ගමනාගමනය සඳහා ගෙවීමට ඔහු සූදානම්ද? නිසැකවම, අතිරේක ගෙවීම් සඳහා ගාස්තු ලබා නොදෙන්නේ නම්, එවැනි ආර්ථික ආකෘතියක් සපයන්නාට ලාභ නොලබයි.
2. ප්‍රතිලෝම ප්‍රොක්සි (වෙබ් අඩවි සහ සමහර යෙදුම් සඳහා පමණි). අංකයක් තිබියදීත් වාසි, සැපයුම්කරු සෘජු DDoS ප්‍රහාර වලින් ආරක්ෂාව සහතික නොකරයි (රූපය 1 බලන්න). සත්කාරක සපයන්නන් බොහෝ විට කෝකටත් තෛලයක් ලෙස එවැනි විසඳුමක් ලබා දෙයි, වගකීම ආරක්ෂක සැපයුම්කරු වෙත මාරු කරයි.
3. සියලුම OSI මට්ටම්වල DDoS ප්‍රහාරවලින් ආරක්ෂා වීමට විශේෂිත වලාකුළු සපයන්නෙකුගේ (එහි පෙරීමේ ජාලය භාවිතා කිරීම) සේවාවන් (රූපය 3).
   
   Figure 3. විශේෂිත සැපයුම්කරුවෙකු භාවිතා කරමින් DDoS ප්‍රහාර වලට එරෙහිව විස්තීර්ණ ආරක්ෂාව
   තීරණය දෙපාර්ශවයේම ගැඹුරු ඒකාබද්ධතාවයක් සහ ඉහළ මට්ටමේ තාක්ෂණික නිපුණතාවයක් උපකල්පනය කරයි. රථවාහන පෙරහන සේවා බාහිරින් ලබා ගැනීම සත්කාරක සපයන්නාට පාරිභෝගිකයා සඳහා අමතර සේවාවන්හි මිල අඩු කිරීමට ඉඩ සලසයි.

වැදගත්! සපයනු ලබන සේවාවේ තාක්ෂණික ලක්ෂණ වඩාත් විස්තරාත්මකව විස්තර කර ඇති අතර, ඒවා ක්‍රියාත්මක කිරීම හෝ අක්‍රිය වූ විට වන්දි ඉල්ලා සිටීමේ අවස්ථාව වැඩි වේ.

ප්රධාන ක්රම තුනට අමතරව, බොහෝ සංයෝජන සහ සංයෝජන ඇත. සත්කාරකයක් තෝරාගැනීමේදී, තීරණය රඳා පවතින්නේ සහතික කළ අවහිර කළ ප්‍රහාරවල ප්‍රමාණය සහ පෙරීමේ නිරවද්‍යතාවය මත පමණක් නොව, ප්‍රතිචාරයේ වේගය මෙන්ම තොරතුරු අන්තර්ගතය (අවහිර කළ ප්‍රහාර ලැයිස්තුව,) මත බව පාරිභෝගිකයා මතක තබා ගැනීම වැදගත්ය. සාමාන්ය සංඛ්යා ලේඛන, ආදිය).

තමන් විසින්ම පිළිගත හැකි මට්ටමේ ආරක්ෂාවක් සැපයිය හැක්කේ ලෝකයේ සත්කාරක සපයන්නන් කිහිප දෙනෙකුට පමණක් බව මතක තබා ගන්න; වෙනත් අවස්ථාවල දී, සහයෝගීතාවය සහ තාක්ෂණික සාක්ෂරතාවය උපකාරී වේ. මේ අනුව, DDoS ප්‍රහාරයන්ට එරෙහිව ආරක්ෂාව සංවිධානය කිරීමේ මූලික මූලධර්ම අවබෝධ කර ගැනීමෙන් වෙබ් අඩවියේ හිමිකරුට අලෙවිකරණ උපක්‍රමවලට නොවැටීමට සහ "පිග් එකක්" මිලදී නොගැනීමට ඉඩ සලසයි.

මූලාශ්රය: www.habr.com