V prvých dvoch štvrťrokoch 2020 sa počet DDoS útokov takmer strojnásobil, pričom 65 % z nich boli primitívne pokusy o „testovanie záťaže“, ktoré ľahko „znefunkčnili“ bezbranné stránky malých online obchodov, fór, blogov a médií.
Ako si vybrať hosting chránený DDoS? Na čo si dať pozor a na čo sa pripraviť, aby ste sa nedostali do nepríjemnej situácie?
(Očkovanie proti „šedému“ marketingu vo vnútri)
Dostupnosť a rozmanitosť nástrojov na vykonávanie DDoS útokov núti majiteľov online služieb prijať vhodné opatrenia na boj proti hrozbe. Na ochranu pred DDoS by ste mali myslieť nie po prvom zlyhaní a dokonca ani nie ako súčasť súboru opatrení na zvýšenie odolnosti infraštruktúry voči chybám, ale vo fáze výberu lokality na umiestnenie (poskytovateľ hostingu alebo dátové centrum).
Útoky DDoS sú klasifikované v závislosti od protokolov, ktorých zraniteľné miesta sa využívajú na úroveň modelu OSI (Open Systems Interconnection):
- kanál (L2),
- sieť (L3),
- doprava (L4),
- aplikované (L7).
Z hľadiska bezpečnostných systémov ich možno zovšeobecniť do dvoch skupín: útoky na úrovni infraštruktúry (L2-L4) a útoky na úrovni aplikácií (L7). Je to spôsobené postupnosťou vykonávania algoritmov analýzy prevádzky a výpočtovou zložitosťou: čím hlbšie sa pozrieme do paketu IP, tým väčší výpočtový výkon je potrebný.
Vo všeobecnosti je problém optimalizácie výpočtov pri spracovaní návštevnosti v reálnom čase témou na samostatnú sériu článkov. Teraz si predstavme, že existuje nejaký cloudový poskytovateľ s podmienečne neobmedzenými výpočtovými zdrojmi, ktorý môže chrániť stránky pred útokmi na úrovni aplikácie (vrátane ).
3 hlavné otázky na určenie stupňa zabezpečenia hostingu pred DDoS útokmi
Pozrime sa na podmienky ochrany pred DDoS útokmi a na zmluvu o úrovni služieb (SLA) poskytovateľa hostingu. Obsahujú odpovede na nasledujúce otázky:
- aké technické obmedzenia uvádza poskytovateľ služby??
- čo sa stane, keď zákazník prekročí limity?
- Ako poskytovateľ hostingu buduje ochranu pred DDoS útokmi (technológie, riešenia, dodávatelia)?
Ak ste tieto informácie nenašli, je to dôvod na zamyslenie sa buď nad serióznosťou poskytovateľa služby, alebo si zorganizovať základnú DDoS ochranu (L3-4) svojpomocne. Objednajte si napríklad fyzické pripojenie k sieti špecializovaného poskytovateľa zabezpečenia.
Dôležité! Nemá zmysel poskytovať ochranu proti útokom na úrovni aplikácie pomocou Reverse Proxy, ak váš poskytovateľ hostingu nie je schopný poskytnúť ochranu proti útokom na úrovni infraštruktúry: sieťové vybavenie bude preťažené a nebude dostupné, a to aj pre proxy servery poskytovateľa cloudu (obrázok 1).
Obrázok 1. Priamy útok na sieť poskytovateľa hostingu
A nenechajte ich, aby vám rozprávali rozprávky, že skutočná IP adresa servera je skrytá za cloudom poskytovateľa zabezpečenia, čo znamená, že nie je možné na ňu priamo zaútočiť. V deviatich prípadoch z desiatich nebude pre útočníka ťažké nájsť skutočnú IP adresu servera alebo aspoň siete poskytovateľa hostingu, aby „zničil“ celé dátové centrum.
Ako hackeri konajú pri hľadaní skutočnej IP adresy
Pod spojlermi je niekoľko metód na nájdenie skutočnej IP adresy (uvedené na informačné účely).
Metóda 1: Vyhľadávanie v otvorených zdrojoch
Svoje vyhľadávanie môžete začať pomocou služby online: Prehľadáva temný web, platformy na zdieľanie dokumentov, spracováva údaje Whois, úniky verejných údajov a mnoho ďalších zdrojov.
Ak bolo na základe niektorých znakov (hlavičky HTTP, údaje Whois atď.) možné určiť, že ochrana stránky je organizovaná pomocou Cloudflare, môžete začať hľadať skutočnú IP z, ktorá obsahuje približne 3 milióny IP adries stránok nachádzajúcich sa za Cloudflare.
Používanie SSL certifikátu a služby môžete nájsť veľa užitočných informácií, vrátane skutočnej IP adresy stránky. Ak chcete vygenerovať žiadosť o svoj zdroj, prejdite na kartu Certifikáty a zadajte:
_parsed.names: menosite AND tags.raw: dôveryhodné
Ak chcete vyhľadať adresy IP serverov pomocou certifikátu SSL, budete musieť manuálne prejsť rozbaľovacím zoznamom pomocou niekoľkých nástrojov (karta „Preskúmať“ a potom vybrať „Hostitelia IPv4“).
Metóda 2: DNS
Vyhľadávanie v histórii zmien DNS záznamov je stará osvedčená metóda. Z predchádzajúcej IP adresy stránky môže byť jasné, na ktorom hostingu (alebo dátovom centre) bola umiestnená. Medzi online službami z hľadiska jednoduchosti používania vynikajú tieto: и .
Keď zmeníte nastavenia, stránka nebude okamžite používať IP adresu poskytovateľa cloudového zabezpečenia alebo CDN, ale bude nejaký čas priamo fungovať. V tomto prípade existuje možnosť, že online služby na ukladanie histórie zmien IP adries obsahujú informácie o zdrojovej adrese stránky.
Ak neexistuje nič iné ako názov starého servera DNS, potom pomocou špeciálnych nástrojov (dig, host alebo nslookup) môžete požiadať o IP adresu podľa názvu domény stránky, napríklad:
_dig názov @old_dns_server_namesite
Metóda 3: e-mail
Myšlienkou metódy je použiť formulár spätnej väzby/registrácie (alebo akýkoľvek iný spôsob, ktorý vám umožní iniciovať odoslanie listu) na prijatie listu na váš e-mail a kontrolu hlavičiek, najmä poľa „Prijaté“ .
Hlavička e-mailu často obsahuje skutočnú IP adresu záznamu MX (server na výmenu e-mailov), ktorý môže byť východiskovým bodom pri hľadaní ďalších serverov v cieli.
Search Automation Tools
Softvér na vyhľadávanie IP za štítom Cloudflare najčastejšie funguje pre tri úlohy:
- Vyhľadajte nesprávnu konfiguráciu DNS pomocou DNSDumpster.com;
- skenovanie databázy Crimeflare.com;
- hľadať subdomény pomocou metódy vyhľadávania v slovníku.
Hľadanie subdomén je často najefektívnejšou možnosťou zo všetkých troch – vlastník stránky by mohol chrániť hlavnú stránku a nechať subdomény spustené priamo. Najjednoduchší spôsob kontroly je použiť .
Okrem toho existujú nástroje určené len na vyhľadávanie subdomén pomocou vyhľadávania v slovníku a vyhľadávanie v otvorených zdrojoch, napríklad: alebo .
Ako prebieha vyhľadávanie v praxi
Vezmime si napríklad stránku seo.com pomocou Cloudflare, ktorú nájdeme pomocou známej služby (umožňuje určiť technológie / motory / CMS, na ktorých stránka funguje, a naopak - vyhľadávať stránky podľa použitých technológií).
Keď kliknete na záložku „IPv4 Hosts“, služba zobrazí zoznam hostiteľov používajúcich certifikát. Ak chcete nájsť tú, ktorú potrebujete, vyhľadajte IP adresu s otvoreným portom 443. Ak presmeruje na požadovanú stránku, úloha je dokončená, v opačnom prípade musíte pridať názov domény lokality do hlavičky „Hosť“ HTTP požiadavka (napríklad *curl -H "Hostiteľ: názov_stránky" *).
V našom prípade vyhľadávanie v databáze Censys nič nedalo, takže ideme ďalej.
Cez službu vykonáme vyhľadávanie DNS.
Vyhľadaním adries uvedených v zoznamoch serverov DNS pomocou utility CloudFail nájdeme pracovné zdroje. Výsledok bude hotový za pár sekúnd.
Iba pomocou otvorených dát a jednoduchých nástrojov sme určili skutočnú IP adresu web servera. Zvyšok pre útočníka je vecou techniky.
Vráťme sa k výberu poskytovateľa hostingu. Pre vyhodnotenie prínosu služby pre zákazníka zvážime možné spôsoby ochrany pred DDoS útokmi.
Ako poskytovateľ hostingu buduje svoju ochranu
- Vlastný ochranný systém s filtračným zariadením (obrázok 2).
Vyžaduje sa:
1.1. Zariadenia na filtrovanie dopravy a softvérové licencie;
1.2. Špecialisti na plný úväzok za jeho podporu a prevádzku;
1.3. Kanály prístupu na internet, ktoré budú dostatočné na prijímanie útokov;
1.4. Značná šírka pásma predplateného kanála na príjem „nevyžiadanej“ prevádzky.
Obrázok 2. Vlastný bezpečnostný systém poskytovateľa hostingu
Ak popísaný systém považujeme za prostriedok ochrany pred modernými DDoS útokmi v stovkách Gbps, potom takýto systém bude stáť veľa peňazí. Má poskytovateľ hostingu takúto ochranu? Je pripravený zaplatiť za „nevyžiadanú“ návštevnosť? Je zrejmé, že takýto ekonomický model je pre poskytovateľa nerentabilný, ak tarify neposkytujú dodatočné platby. - Reverzný proxy (len pre webové stránky a niektoré aplikácie). Napriek číslu , dodávateľ negarantuje ochranu pred priamymi DDoS útokmi (pozri obrázok 1). Poskytovatelia hostingu často ponúkajú takéto riešenie ako všeliek, pričom zodpovednosť presúvajú na poskytovateľa zabezpečenia.
- Služby špecializovaného poskytovateľa cloudu (využívanie jeho filtračnej siete) na ochranu pred DDoS útokmi na všetkých úrovniach OSI (obrázok 3).
Obrázok 3. Komplexná ochrana pred DDoS útokmi pomocou špecializovaného poskytovateľa
predpokladá hlbokú integráciu a vysokú úroveň technickej kompetencie oboch strán. Outsourcing služieb filtrovania návštevnosti umožňuje poskytovateľovi hostingu znížiť cenu doplnkových služieb pre zákazníka.
Dôležité! Čím podrobnejšie sú popísané technické charakteristiky poskytovanej služby, tým väčšia je šanca na vyžiadanie si ich implementácie alebo kompenzácie v prípade výpadku.
Okrem troch hlavných metód existuje veľa kombinácií a kombinácií. Pri výbere hostingu je dôležité, aby si zákazník zapamätal, že rozhodnutie bude závisieť nielen od veľkosti garantovaných blokovaných útokov a presnosti filtrovania, ale aj od rýchlosti odozvy, ako aj informačného obsahu (zoznam blokovaných útokov, všeobecné štatistiky atď.).
Pamätajte, že len málo poskytovateľov hostingu na svete je schopných samostatne poskytnúť prijateľnú úroveň ochrany, v iných prípadoch pomáha spolupráca a technická gramotnosť. Pochopenie základných princípov organizácie ochrany pred DDoS útokmi teda umožní majiteľovi stránky nepodľahnúť marketingovým trikom a nekúpiť si „prasa v žite“.
Zdroj: hab.com