"Chlapík, ktorý vytvoril našu webovú stránku, už nastavil ochranu DDoS."
"Máme DDoS ochranu, prečo stránka spadla?"
"Koľko tisíc chce Qrator?"
Aby sme mohli správne odpovedať na takéto otázky od zákazníka/šéfa, bolo by fajn vedieť, čo sa skrýva pod názvom „DDoS ochrana“. Výber bezpečnostných služieb je viac ako výber lieku u lekára ako výber stola v IKEA.
Podporujem webové stránky už 11 rokov, prežil som stovky útokov na služby, ktoré podporujem, a teraz vám poviem niečo o vnútornom fungovaní ochrany.
Pravidelné útoky. Celková požiadavka 350 52, legitímna požiadavka XNUMX XNUMX
Prvé útoky sa objavili takmer súčasne s internetom. DDoS ako fenomén sa rozšíril od konca roku 2000 (pozri ).
Približne od roku 2015 – 2016 sú takmer všetci poskytovatelia hostingu chránení pred útokmi DDoS, rovnako ako väčšina prominentných stránok v konkurenčných oblastiach (urobte whois podľa IP stránok eldorado.ru, leroymerlin.ru, tilda.ws, uvidíte siete operátorov ochrany).
Ak pred 10-20 rokmi bolo možné väčšinu útokov odraziť na samotnom serveri (zhodnoťte odporúčania správcu systému Lenta.ru Maxima Moshkova z 90. rokov: ), ale teraz sú úlohy ochrany zložitejšie.
Typy DDoS útokov z pohľadu výberu operátora ochrany
Útoky na úrovni L3/L4 (podľa modelu OSI)
— UDP záplava z botnetu (veľa požiadaviek je odosielaných priamo z infikovaných zariadení napadnutej službe, servery sú blokované s kanálom);
— Zosilnenie DNS/NTP/atď (z infikovaných zariadení sa posiela veľa požiadaviek na zraniteľné DNS/NTP/atď., adresa odosielateľa je sfalšovaná, mrak paketov reagujúcich na požiadavky zaplavuje kanál napadnutej osoby; takto je najviac na modernom internete sa uskutočňujú masívne útoky);
— SYN / ACK záplava (na napadnuté servery sa posiela veľa žiadostí o vytvorenie spojenia, fronta spojení pretečie);
— útoky s fragmentáciou paketov, ping smrti, ping záplava (Google it please);
- a tak ďalej.
Cieľom týchto útokov je „upchať“ kanál servera alebo „zabiť“ jeho schopnosť prijímať nový prenos.
Hoci zaplavenie SYN/ACK a zosilnenie sú veľmi odlišné, mnohé spoločnosti s nimi bojujú rovnako dobre. Problémy vznikajú pri útokoch z ďalšej skupiny.
Útoky na L7 (aplikačná vrstva)
— http záplava (ak je napadnutá webová stránka alebo niektoré http api);
— útok na zraniteľné oblasti stránky (tie, ktoré nemajú vyrovnávaciu pamäť, veľmi zaťažujú stránku atď.).
Cieľom je prinútiť server "tvrdo pracovať", spracovať veľa "zdanlivo skutočných požiadaviek" a zostať bez zdrojov na skutočné požiadavky.
Hoci existujú aj iné útoky, tieto sú najčastejšie.
Vážne útoky na úrovni L7 sú vytvorené jedinečným spôsobom pre každý napadnutý projekt.
Prečo 2 skupiny?
Pretože je veľa takých, ktorí vedia dobre odrážať útoky na úrovni L3 / L4, ale buď ochranu na aplikačnej úrovni (L7) nezaberajú vôbec, alebo sú v ich riešení stále slabší ako alternatívy.
Kto je kto na trhu DDoS ochrany
(môj osobný názor)
Ochrana na úrovni L3/L4
Na odvrátenie útokov zosilnením („zablokovanie“ serverového kanála) existuje dostatok širokých kanálov (veľa ochranných služieb sa pripája k väčšine veľkých chrbticových poskytovateľov v Rusku a má kanály s teoretickou kapacitou viac ako 1 Tbit). Nezabudnite, že veľmi zriedkavé útoky zosilnenia trvajú dlhšie ako hodinu. Ak ste Spamhaus a všetci vás nemajú radi, áno, môžu sa pokúsiť vypnúť vaše kanály na niekoľko dní, dokonca aj s rizikom ďalšieho prežitia globálneho botnetu, ktorý sa používa. Ak máte iba internetový obchod, aj keď je to mvideo.ru, v priebehu niekoľkých dní veľmi skoro (dúfam) neuvidíte 1 Tbit.
Na odrazenie útokov so zahltením SYN/ACK, fragmentáciou paketov atď. potrebujete vybavenie alebo softvérové systémy na detekciu a zastavenie takýchto útokov.
Veľa ľudí takéto zariadenia vyrába (Arbor, existujú riešenia od Cisco, Huawei, implementácie softvéru od Wanguard atď.), veľa chrbticových operátorov si to už nainštalovalo a predáva služby ochrany DDoS (viem o inštaláciách od Rostelecom, Megafon, TTK, MTS , v skutočnosti všetci hlavní poskytovatelia robia to isté s hostiteľmi s vlastnou ochranou a-la OVH.com, Hetzner.de, sám som sa stretol s ochranou na ihor.ru). Niektoré spoločnosti vyvíjajú vlastné softvérové riešenia (technológie ako DPDK umožňujú spracovať desiatky gigabitov prevádzky na jednom fyzickom x86 stroji).
Spomedzi známych hráčov dokáže každý viac či menej efektívne bojovať proti L3/L4 DDoS. Teraz nepoviem, kto má väčšiu maximálnu kapacitu kanála (toto sú interné informácie), ale zvyčajne to nie je také dôležité a jediný rozdiel je v tom, ako rýchlo sa ochrana spustí (okamžite alebo po niekoľkých minútach výpadku projektu, ako u Hetznera).
Otázkou je, ako dobre sa to robí: zosilňovací útok možno odraziť zablokovaním návštevnosti z krajín s najväčším množstvom škodlivej návštevnosti alebo možno zahodiť len skutočne nepotrebnú návštevnosť.
Ale zároveň, na základe mojich skúseností, sa s tým bez problémov vyrovnávajú všetci seriózni hráči na trhu: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (predtým SkyParkCDN), ServicePipe, Stormwall, Voxility atď.
Nestretol som sa s ochranou od operátorov, ako sú Rostelecom, Megafon, TTK, Beeline; podľa recenzií od kolegov tieto služby poskytujú celkom dobre, ale nedostatok skúseností zatiaľ pravidelne ovplyvňuje: niekedy musíte niečo vyladiť prostredníctvom podpory operátora ochrany.
Niektorí operátori majú samostatnú službu „ochrana pred útokmi na úrovni L3/L4“ alebo „ochrana kanálov“, ktorá stojí oveľa menej ako ochrana na všetkých úrovniach.
Prečo to nie je poskytovateľ chrbticovej siete, ktorý odráža útoky stoviek Gbitov, keďže nemá svoje vlastné kanály?Operátor ochrany sa môže pripojiť k akémukoľvek z hlavných poskytovateľov a odraziť útoky „na svoje náklady“. Za kanál budete musieť zaplatiť, ale nie vždy sa využijú všetky tieto stovky Gbitov; v tomto prípade existujú možnosti, ako výrazne znížiť náklady na kanály, takže schéma zostane funkčná.
Toto sú správy, ktoré pravidelne dostávam od ochrany vyššej úrovne L3/L4 pri podpore systémov poskytovateľa hostingu.
Ochrana na úrovni L7 (úroveň aplikácie)
Útoky na úrovni L7 (úroveň aplikácie) sú schopné konzistentne a efektívne odraziť jednotky.
Reálnych skúseností mám pomerne dosť
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Účtujú si každý megabit čistej prevádzky, megabit stojí asi niekoľko tisíc rubľov. Ak máte aspoň 100 Mbps čistej prevádzky - oh. Ochrana bude veľmi drahá. V nasledujúcich článkoch vám poviem, ako navrhovať aplikácie, aby ste veľa ušetrili na kapacite bezpečnostných kanálov.
Skutočným „kráľom kopca“ je Qrator.net, zvyšok za nimi zaostáva. Qrator sú podľa mojich skúseností zatiaľ jediní, ktorí udávajú percento falošných poplachov blízko nule, no zároveň sú niekoľkonásobne drahšie ako ostatní hráči na trhu.
Kvalitnú a stabilnú ochranu poskytujú aj ďalšie operátory. Mnohé nami podporované služby (vrátane veľmi známych v krajine!) sú chránené pred DDoS-Guard, G-Core Labs a sú celkom spokojné s dosiahnutými výsledkami.
Útoky odrazené Qratorom
Mám skúsenosti aj s malými bezpečnostnými operátormi ako cloud-shield.ru, ddosa.net, tisíce z nich. Určite neodporúčam, pretože... Nemám veľa skúseností, ale poviem vám o princípoch ich práce. Ich náklady na ochranu sú často o 1-2 rády nižšie ako u veľkých hráčov. Spravidla si kupujú službu čiastočnej ochrany (L3/L4) od niektorého z väčších hráčov + robia si vlastnú ochranu pred útokmi na vyšších úrovniach. To môže byť celkom efektívne + môžete získať dobré služby za menej peňazí, ale stále sú to malé spoločnosti s malým počtom zamestnancov, pamätajte na to.
Aká je náročnosť odrážania útokov na úrovni L7?
Všetky aplikácie sú jedinečné a musíte povoliť návštevnosť, ktorá je pre ne užitočná, a blokovať tie škodlivé. Nie je vždy možné definitívne vyradiť botov, takže musíte použiť veľa, naozaj MNOHO stupňov čistenia premávky.
Kedysi stačil modul nginx-testcookie (), a stále to stačí na odrazenie veľkého množstva útokov. Keď som pracoval v hostingovom priemysle, ochrana L7 bola založená na nginx-testcookie.
Bohužiaľ, útoky sa stali zložitejšími. testcookie používa kontroly botov na báze JS a mnohé moderné roboty nimi môžu úspešne prejsť.
Útočné botnety sú tiež jedinečné a treba brať do úvahy vlastnosti každého veľkého botnetu.
Amplifikácia, priame zahltenie z botnetu, filtrovanie prevádzky z rôznych krajín (rôzne filtrovanie pre rôzne krajiny), zaplavenie SYN/ACK, fragmentácia paketov, zahltenie ICMP, http, pričom na úrovni aplikácie/http si môžete vymyslieť neobmedzený počet rôzne útoky.
Celkovo na úrovni ochrany kanála, špecializovaného vybavenia na čistenie prevádzky, špeciálneho softvéru, ďalších nastavení filtrovania pre každého klienta môžu byť desiatky a stovky úrovní filtrovania.
Aby ste to správne spravovali a správne vyladili nastavenia filtrovania pre rôznych používateľov, potrebujete veľa skúseností a kvalifikovaný personál. Ani veľký operátor, ktorý sa rozhodol poskytovať ochranné služby, nemôže „hlúpo hádzať peniaze do problému“: skúsenosti budú musieť získať z klamlivých stránok a falošne pozitívnych údajov o legitímnej návštevnosti.
Pre bezpečnostného operátora neexistuje tlačidlo „odraziť DDoS“, existuje veľké množstvo nástrojov a musíte ich vedieť používať.
A ešte jeden bonusový príklad.
Nechránený server bol zablokovaný hostiteľom počas útoku s kapacitou 600 Mbit
(„Strata“ prevádzky nie je badateľná, pretože napadnutá bola iba 1 stránka, ktorá bola dočasne odstránená zo servera a blokovanie bolo do hodiny zrušené).
Ten istý server je chránený. Útočníci sa „vzdali“ po dni odrazených útokov. Samotný útok nebol najsilnejší.
Útok a obrana L3/L4 sú triviálnejšie, závisia hlavne od hrúbky kanálov, detekčných a filtračných algoritmov pre útoky.
Útoky L7 sú komplexnejšie a originálnejšie, závisia od napadnutej aplikácie, schopností a predstavivosti útočníkov. Ochrana pred nimi si vyžaduje veľa vedomostí a skúseností a výsledok nemusí byť okamžitý a nie stopercentný. Až kým Google neprišiel s ďalšou neurónovou sieťou na ochranu.
Zdroj: hab.com