Gostovanje s popolno zaščito pred napadi DDoS – mit ali resničnost

V prvih dveh četrtletjih leta 2020 se je število DDoS napadov skoraj potrojilo, pri čemer je 65 % od njih predstavljalo primitivne poskuse »obremenitvenega testiranja«, ki zlahka »onesposobijo« nemočna mesta majhnih spletnih trgovin, forumov, blogov in medijskih hiš.

Kako izbrati gostovanje, zaščiteno pred DDoS? Na kaj morate biti pozorni in na kaj se morate pripraviti, da ne boste prišli v neprijetno situacijo?

(Cepljenje proti “sivemu” trženju znotraj)

Razpoložljivost in raznolikost orodij za izvajanje DDoS napadov prisili lastnike spletnih storitev, da sprejmejo ustrezne ukrepe za boj proti grožnji. O zaščiti DDoS ne bi smeli razmišljati po prvi napaki in niti ne kot del niza ukrepov za povečanje odpornosti na napake infrastrukture, temveč v fazi izbire mesta za namestitev (ponudnik gostovanja ali podatkovni center).

Napadi DDoS so glede na protokole, katerih ranljivosti se izkoriščajo, razvrščeni na nivoje modela odprtih sistemov (OSI):

• kanal (L2),
• omrežje (L3),
• transport (L4),
• uporabljen (L7).

Z vidika varnostnih sistemov jih lahko posplošimo v dve skupini: napade na ravni infrastrukture (L2-L4) in napade na ravni aplikacije (L7). To je posledica zaporedja izvajanja algoritmov za analizo prometa in računske kompleksnosti: globlje ko pogledamo v paket IP, večja je potrebna računalniška moč.

Na splošno je problem optimizacije izračunov pri obdelavi prometa v realnem času tema za ločeno serijo člankov. Zdaj pa si predstavljajmo, da obstaja nek ponudnik oblaka s pogojno neomejenimi računalniškimi viri, ki lahko zaščiti spletna mesta pred napadi na ravni aplikacije (vključno бесплатно).

3 glavna vprašanja za določitev stopnje varnosti gostovanja pred napadi DDoS

Oglejmo si pogoje storitve za zaščito pred napadi DDoS in pogodbo o ravni storitev (SLA) ponudnika gostovanja. Ali vsebujejo odgovore na naslednja vprašanja:

• kakšne tehnične omejitve navaja ponudnik storitev??
• kaj se zgodi, ko stranka preseže meje?
• Kako ponudnik gostovanja zgradi zaščito pred DDoS napadi (tehnologije, rešitve, dobavitelji)?

Če teh informacij niste našli, je to razlog, da razmislite o resnosti ponudnika storitev ali sami organizirate osnovno zaščito DDoS (L3-4). Naročite na primer fizično povezavo z omrežjem specializiranega ponudnika varnosti.

Pomembno! Nima smisla zagotavljati zaščite pred napadi na ravni aplikacije z uporabo Reverse Proxy, če vaš ponudnik gostovanja ne more zagotoviti zaščite pred napadi na ravni infrastrukture: omrežna oprema bo preobremenjena in ne bo na voljo, vključno s strežniki proxy ponudnika oblaka (slika 1).

Slika 1. Neposredni napad na omrežje ponudnika gostovanja

In ne dovolite, da vam poskušajo pripovedovati pravljice, da je pravi IP naslov strežnika skrit za oblakom ponudnika varnosti, kar pomeni, da ga je nemogoče neposredno napasti. V devetih primerih od desetih napadalcu ne bo težko najti pravega naslova IP strežnika ali vsaj omrežja ponudnika gostovanja, da bi »uničil« celoten podatkovni center.

Kako ravnajo hekerji pri iskanju pravega naslova IP

Pod spojlerji je več metod za iskanje pravega naslova IP (navedeno v informativne namene).

1. način: Iskanje v odprtih virih

Iskanje lahko začnete s spletno storitvijo Inteligenca X: Išče po temnem spletu, platformah za izmenjavo dokumentov, obdeluje podatke Whois, uhajanje javnih podatkov in številne druge vire.

Če je bilo na podlagi nekaterih znakov (glave HTTP, podatki Whois itd.) mogoče ugotoviti, da je zaščita spletnega mesta organizirana s pomočjo Cloudflare, potem lahko začnete iskati pravi IP od seznam, ki vsebuje približno 3 milijone IP naslovov spletnih mest, ki se nahajajo za Cloudflare.

Uporaba SSL certifikata in storitve Censys lahko najdete veliko koristnih informacij, vključno s pravim naslovom IP spletnega mesta. Če želite ustvariti zahtevo za svoj vir, pojdite na zavihek Certifikati in vnesite:

_parsed.names: imemesto IN oznake.raw: zaupanja vredno

Če želite poiskati naslove IP strežnikov, ki uporabljajo potrdilo SSL, boste morali ročno pregledati spustni seznam z več orodji (zavihek »Razišči«, nato izberite »Gostitelji IPv4«).

2. način: DNS

Iskanje po zgodovini sprememb zapisov DNS je stara, preverjena metoda. Prejšnji naslov IP spletnega mesta lahko razjasni, na katerem gostovanju (ali podatkovnem centru) se nahaja. Med spletnimi storitvami po enostavnosti uporabe izstopajo: ViewDNS и SecurityTrails.

Ko spremenite nastavitve, stran ne bo takoj uporabila naslova IP ponudnika varnosti v oblaku ali CDN, ampak bo nekaj časa delovala neposredno. V tem primeru obstaja možnost, da spletne storitve za shranjevanje zgodovine sprememb naslovov IP vsebujejo informacije o izvornem naslovu spletnega mesta.

Če ni nič drugega kot ime starega strežnika DNS, lahko s posebnimi pripomočki (dig, host ali nslookup) zahtevate naslov IP z imenom domene spletnega mesta, na primer:

_dig @old_dns_server_name imestrani

3. način: e-pošta

Ideja metode je, da uporabite obrazec za povratne informacije/registracijo (ali katero koli drugo metodo, ki vam omogoča, da začnete pošiljanje pisma), da prejmete pismo na vaš e-poštni naslov in preverite glave, zlasti polje »Prejeto«. .

Glava e-pošte pogosto vsebuje dejanski naslov IP zapisa MX (strežnika za izmenjavo e-pošte), ki je lahko izhodišče za iskanje drugih strežnikov na cilju.

Orodja za avtomatizacijo iskanja

Programska oprema za iskanje IP-jev za ščitom Cloudflare najpogosteje deluje za tri naloge:

• Iskanje napačne konfiguracije DNS z DNSDumpster.com;
• pregled baze podatkov Crimeflare.com;
• iskanje poddomen z metodo iskanja po slovarju.

Iskanje poddomen je pogosto najučinkovitejša možnost od treh – lastnik spletnega mesta lahko zaščiti glavno spletno mesto in pusti, da poddomene delujejo neposredno. Najlažji način preverjanja je uporaba CloudFail.

Poleg tega obstajajo pripomočki, namenjeni samo iskanju po poddomenah z iskanjem po slovarju in iskanju v odprtih virih, na primer: Podseznam3r ali dnsrecon.

Kako iskanje poteka v praksi

Za primer vzemimo spletno mesto seo.com z uporabo Cloudflare, ki ga bomo našli s pomočjo znane storitve zgrajeno z (omogoča določanje tehnologij / motorjev / CMS, na katerih deluje spletno mesto, in obratno - iskanje spletnih mest po uporabljenih tehnologijah).

Ko kliknete zavihek »IPv4 Hosts«, bo storitev prikazala seznam gostiteljev, ki uporabljajo potrdilo. Če želite najti tistega, ki ga potrebujete, poiščite naslov IP z odprtimi vrati 443. Če preusmeri na želeno spletno mesto, je naloga končana, sicer morate dodati ime domene spletnega mesta v glavo »Gostitelj« Zahteva HTTP (na primer *curl -H "Host: site_name" *https://IP_адрес).

V našem primeru iskanje po bazi Censys ni dalo ničesar, zato gremo naprej.

Izvedli bomo DNS iskanje prek storitve https://securitytrails.com/dns-trails.

Z iskanjem po naslovih, omenjenih na seznamih DNS strežnikov s pomočjo pripomočka CloudFail, najdemo delujoče vire. Rezultat bo pripravljen v nekaj sekundah.

Samo z odprtimi podatki in preprostimi orodji smo določili pravi IP naslov spletnega strežnika. Ostalo je za napadalca stvar tehnike.

Vrnimo se k izbiri ponudnika gostovanja. Da bi ocenili korist storitve za stranko, bomo preučili možne načine zaščite pred napadi DDoS.

Kako ponudnik gostovanja gradi svojo zaščito

1. Lasten zaščitni sistem s filtrirno opremo (slika 2).
   Zahteva:
   1.1. Licence za opremo za filtriranje prometa in programsko opremo;
   1.2. Stalno zaposleni strokovnjaki za njegovo podporo in delovanje;
   1.3. kanali za dostop do interneta, ki bodo zadostovali za sprejem napadov;
   1.4. Pomembna pasovna širina predplačniškega kanala za sprejem "neželenega" prometa.
   
   Slika 2. Lastni varnostni sistem ponudnika gostovanja
   Če obravnavamo opisani sistem kot sredstvo za zaščito pred sodobnimi DDoS napadi na stotine Gbps, potem bo tak sistem stal veliko denarja. Ali ima ponudnik gostovanja takšno zaščito? Ali je pripravljen plačati za "smeti" promet? Očitno je takšen ekonomski model za ponudnika nedonosen, če tarife ne predvidevajo dodatnih plačil.
2. Reverse Proxy (samo za spletna mesta in nekatere aplikacije). Kljub številki Prednosti, dobavitelj ne jamči zaščite pred neposrednimi napadi DDoS (glej sliko 1). Ponudniki gostovanja pogosto ponudijo takšno rešitev kot zdravilo, pri čemer odgovornost preložijo na ponudnika varnosti.
3. Storitve specializiranega ponudnika oblaka (uporaba njegovega filtrirnega omrežja) za zaščito pred napadi DDoS na vseh nivojih OSI (slika 3).
   
   Slika 3. Celovita zaščita pred napadi DDoS s pomočjo specializiranega ponudnika
   odločitev predvideva globoko integracijo in visoko stopnjo tehnične usposobljenosti obeh strani. Zunanje izvajanje storitev filtriranja prometa omogoča ponudniku gostovanja znižanje cen dodatnih storitev za stranko.

Pomembno! Bolj kot so opisane tehnične lastnosti opravljene storitve, večja je možnost, da zahtevamo njihovo izvedbo ali odškodnino v primeru izpada.

Poleg treh glavnih metod obstaja veliko kombinacij in kombinacij. Pri izbiri gostovanja je pomembno, da se stranka zaveda, da bo odločitev odvisna ne le od velikosti zajamčenih blokiranih napadov in natančnosti filtriranja, temveč tudi od hitrosti odziva ter vsebine informacij (seznam blokiranih napadov, splošna statistika itd.).

Ne pozabite, da so le redki ponudniki gostovanja na svetu sposobni sami zagotoviti sprejemljivo raven zaščite, v drugih primerih pomaga sodelovanje in tehnična pismenost. Tako bo razumevanje osnovnih načel organizacije zaščite pred napadi DDoS lastniku spletnega mesta omogočilo, da ne bo padel na marketinške trike in ne bo kupil "prašiča v vreči".

Vir: www.habr.com