"Tip, ki je izdelal našo spletno stran, je že nastavil zaščito pred napadi DDoS."
"Imamo zaščito DDoS, zakaj je spletno mesto padlo?"
"Koliko tisočakov želi Qrator?"
Da bi pravilno odgovorili na takšna vprašanja stranke/šefa, bi bilo dobro vedeti, kaj se skriva za imenom “DDoS zaščita”. Izbira varnostnih storitev je bolj podobna izbiri zdravila pri zdravniku kot izbiri mize v IKEA.
Spletna mesta podpiram že 11 let, preživel sem na stotine napadov na storitve, ki jih podpiram, zdaj pa vam bom povedal nekaj o notranjem delovanju zaščite.
Redni napadi. 350k zahteva skupaj, 52k zahteva legitimno
Prvi napadi so se pojavili skoraj sočasno z internetom. DDoS kot pojav je postal zelo razširjen od poznih 2000-ih (preverite ).
Od leta 2015 do 2016 so bili skoraj vsi ponudniki gostovanja zaščiteni pred napadi DDoS, prav tako najbolj ugledna spletna mesta na konkurenčnih območjih (naredite whois po IP-ju spletnih mest eldorado.ru, leroymerlin.ru, tilda.ws, videli boste omrežja izvajalcev zaščite).
Če je bilo pred 10-20 leti večino napadov mogoče odbiti na samem strežniku (ocenite priporočila sistemskega skrbnika Lenta.ru Maxima Moshkova iz 90-ih: ), zdaj pa so naloge zaščite postale težje.
Vrste DDoS napadov z vidika izbire operaterja zaščite
Napadi na ravni L3/L4 (glede na model OSI)
— Poplava UDP iz botneta (veliko zahtev je poslanih neposredno iz okuženih naprav napadeni storitvi, strežniki so blokirani s kanalom);
— Okrepitev DNS/NTP/itd (veliko zahtev je poslanih z okuženih naprav na ranljive DNS/NTP/itd, naslov pošiljatelja je ponarejen, oblak paketov, ki se odzivajo na zahteve, preplavi kanal osebe, ki je napadena; tako je najbolj množični napadi se izvajajo na sodobnem internetu);
— poplava SYN / ACK (številne zahteve za vzpostavitev povezave so poslane napadenim strežnikom, čakalna vrsta povezave se preliva);
— napadi s fragmentacijo paketov, ping of death, ping flood (poguglajte prosim);
- in tako naprej.
Namen teh napadov je "zamašiti" kanal strežnika ali "ubiti" njegovo sposobnost sprejemanja novega prometa.
Čeprav sta poplavljanje in ojačanje SYN/ACK zelo različna, se mnoga podjetja z njimi borijo enako dobro. Težave se pojavijo pri napadih iz naslednje skupine.
Napadi na L7 (aplikacijska plast)
— http poplava (če je napadeno spletno mesto ali kakšen http api);
— napad na ranljiva področja spletnega mesta (tista, ki nimajo predpomnilnika, ki zelo obremenjujejo spletno mesto itd.).
Cilj je, da strežnik "trdo dela", obdela veliko "navidezno pravih zahtev" in ostane brez sredstev za prave zahteve.
Čeprav obstajajo tudi drugi napadi, so ti najpogostejši.
Resni napadi na ravni L7 so ustvarjeni na edinstven način za vsak napaden projekt.
Zakaj 2 skupini?
Ker je veliko takšnih, ki znajo dobro odbiti napade na nivoju L3 / L4, vendar se sploh ne lotijo zaščite na nivoju aplikacije (L7) ali pa so pri spopadanju z njimi še vedno šibkejši od alternativ.
Kdo je kdo na trgu zaščite DDoS
(moje osebno mnenje)
Zaščita na ravni L3/L4
Za odvračanje napadov z ojačanjem (»blokada« strežniškega kanala) je dovolj širokih kanalov (številne zaščitne storitve se povezujejo z večino velikih hrbteničnih ponudnikov v Rusiji in imajo kanale s teoretično zmogljivostjo več kot 1 Tbit). Ne pozabite, da zelo redki napadi ojačanja trajajo dlje kot eno uro. Če ste Spamhaus in vas vsi ne marajo, da, morda bodo poskušali zapreti vaše kanale za nekaj dni, tudi ob nevarnosti nadaljnjega preživetja uporabljenega globalnega botneta. Če imate samo spletno trgovino, tudi če je mvideo.ru, 1 Tbit ne boste videli v nekaj dneh zelo kmalu (upam).
Za odganjanje napadov s preplavljanjem SYN/ACK, fragmentacijo paketov itd. potrebujete opremo ali programske sisteme za zaznavanje in zaustavitev takšnih napadov.
Veliko ljudi proizvaja takšno opremo (Arbor, obstajajo rešitve Cisco, Huawei, implementacije programske opreme Wanguard itd.), mnogi hrbtenični operaterji so jo že namestili in prodajajo storitve zaščite DDoS (vem za namestitve Rostelecoma, Megafona, TTK, MTS , pravzaprav vsi večji ponudniki delajo enako z hosterji z lastno zaščito a-la OVH.com, Hetzner.de, sam sem naletel na zaščito pri ihor.ru). Nekatera podjetja razvijajo lastne programske rešitve (tehnologije, kot je DPDK, omogočajo obdelavo več deset gigabitov prometa na enem fizičnem stroju x86).
Od znanih igralcev se lahko vsi bolj ali manj učinkovito borijo proti L3/L4 DDoS. Zdaj ne bom rekel, kdo ima večjo maksimalno kapaciteto kanala (to je notranja informacija), vendar običajno to ni tako pomembno, razlika je le v tem, kako hitro se zaščita sproži (v trenutku ali po nekaj minutah izpada projekta, kot pri Hetznerju).
Vprašanje je, kako dobro je to narejeno: napad ojačanja je mogoče odbiti z blokiranjem prometa iz držav z največjo količino škodljivega prometa ali pa se lahko zavrže samo resnično nepotreben promet.
Toda hkrati se po mojih izkušnjah s tem brez težav spopadajo vsi resni akterji na trgu: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (prej SkyParkCDN), ServicePipe, Stormwall, Voxility itd.
Nisem naletel na zaščito pri operaterjih, kot so Rostelecom, Megafon, TTK, Beeline; po ocenah kolegov te storitve zagotavljajo precej dobro, vendar zaenkrat pomanjkanje izkušenj občasno vpliva: včasih morate nekaj prilagoditi prek podpore izvajalca zaščite.
Nekateri operaterji imajo ločeno storitev »zaščita pred napadi na ravni L3/L4« ali »zaščita kanala«, ki stane veliko manj kot zaščita na vseh ravneh.
Zakaj hrbtenični ponudnik ne odbija napadov na stotine Gbitov, saj nima svojih kanalov?Operater zaščite se lahko poveže s katerim koli večjim ponudnikom in odbije napade »na njegove stroške«. Za kanal boste morali plačati, vendar vseh teh sto Gbitov ne bo vedno izkoriščenih, v tem primeru obstajajo možnosti za znatno znižanje stroškov kanalov, tako da shema ostane delujoča.
To so poročila, ki sem jih redno prejemal od višje ravni zaščite L3/L4 ob podpori sistemov ponudnika gostovanja.
Zaščita na ravni L7 (aplikacijska raven)
Napadi na ravni L7 (aplikacijska raven) lahko dosledno in učinkovito odbijajo enote.
Imam kar nekaj resničnih izkušenj z
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Zaračunavajo vsak megabit čistega prometa, megabit stane približno nekaj tisoč rubljev. Če imaš vsaj 100 Mbps čistega prometa - oh. Zaščita bo zelo draga. V naslednjih člankih vam lahko povem, kako oblikovati aplikacije, da boste veliko prihranili pri zmogljivosti varnostnih kanalov.
Pravi »kralj hriba« je Qrator.net, ostali zaostajajo za njimi. Qrator so zaenkrat edini po mojih izkušnjah, ki dajejo odstotek lažno pozitivnih blizu ničle, hkrati pa so nekajkrat dražji od ostalih igralcev na trgu.
Tudi drugi operaterji zagotavljajo kakovostno in stabilno zaščito. Številne storitve, ki jih podpiramo (vključno z zelo znanimi v državi!), so zaščitene pred DDoS-Guard, G-Core Labs in so zelo zadovoljni z doseženimi rezultati.
Qrator je odbil napade
Imam tudi izkušnje z majhnimi varnostnimi operaterji, kot so cloud-shield.ru, ddosa.net, na tisoče njih. Definitivno ne priporočam, ker... Nimam veliko izkušenj, vendar vam bom povedal o načelih njihovega dela. Njihovi stroški zaščite so pogosto 1-2 reda velikosti nižji od stroškov večjih igralcev. Praviloma kupijo storitev delne zaščite (L3/L4) od enega od večjih igralcev + naredijo lastno zaščito pred napadi na višjih nivojih. To je lahko zelo učinkovito + lahko dobite dobro storitev za manj denarja, vendar so to še vedno majhna podjetja z majhnim številom zaposlenih, imejte to v mislih.
Kakšna je težava pri odbijanju napadov na ravni L7?
Vse aplikacije so edinstvene in morate dovoliti promet, ki je koristen zanje, in blokirati škodljivega. Botov ni vedno mogoče nedvoumno izločiti, zato morate uporabiti veliko, res VELIKO stopenj čiščenja prometa.
Nekoč je bil dovolj modul nginx-testcookie (), in je še vedno dovolj za odbijanje velikega števila napadov. Ko sem delal v industriji gostovanja, je zaščita L7 temeljila na nginx-testcookie.
Na žalost so napadi postali težji. testcookie uporablja preverjanja botov, ki temeljijo na JS, in številni sodobni roboti jih lahko uspešno opravijo.
Tudi napadalni botneti so edinstveni, zato je treba upoštevati značilnosti vsakega velikega botneta.
Ojačitev, neposredno poplavljanje iz botneta, filtriranje prometa iz različnih držav (različno filtriranje za različne države), poplavljanje SYN/ACK, fragmentacija paketov, ICMP, http poplavljanje, medtem ko lahko na ravni aplikacije/http pridete do neomejenega števila različne napade.
Skupno lahko na ravni zaščite kanala, specializirane opreme za čiščenje prometa, posebne programske opreme, dodatnih nastavitev filtriranja za vsako stranko obstaja na desetine in stotine stopenj filtriranja.
Za pravilno upravljanje s tem in pravilno nastavitev filtrirnih nastavitev za različne uporabnike potrebujete veliko izkušenj in usposobljeno osebje. Tudi velik operater, ki se je odločil za zagotavljanje zaščitnih storitev, ne more "neumno metati denarja v problem": izkušnje bo treba pridobiti na lažnivih mestih in lažnih pozitivnih rezultatih na zakonitem prometu.
Za varnostnega operaterja ni gumba »repel DDoS«, orodij je veliko in morate jih znati uporabljati.
In še en bonus primer.
Gostitelj je med napadom s kapaciteto 600 Mbit blokiral nezaščiten strežnik
(“Izguba” prometa ni opazna, ker je bilo napadeno samo 1 mesto, ki je bilo začasno odstranjeno s strežnika in blokada je bila odpravljena v eni uri).
Isti strežnik je zaščiten. Napadalci so se "predali" po dnevu odbitih napadov. Sam napad ni bil najmočnejši.
Napad in obramba L3/L4 sta bolj trivialna, odvisna sta predvsem od debeline kanalov, algoritmov zaznavanja in filtriranja napadov.
Napadi L7 so bolj kompleksni in izvirni, odvisni so od napadene aplikacije, zmožnosti in domišljije napadalcev. Zaščita pred njimi zahteva veliko znanja in izkušenj, rezultat pa morda ne bo takojšen in ne stoodstoten. Dokler se Google ni domislil še ene nevronske mreže za zaščito.
Vir: www.habr.com