"Djali që krijoi faqen tonë të internetit tashmë krijoi mbrojtjen DDoS."
"Ne kemi mbrojtje DDoS, pse u rrëzua faqja?"
"Sa mijëra do Qrator?"
Për t'iu përgjigjur siç duhet pyetjeve të tilla nga klienti/shefi, do të ishte mirë të dinim se çfarë fshihet pas emrit "mbrojtja DDoS". Zgjedhja e shërbimeve të sigurisë është më shumë si zgjedhja e një ilaçi nga një mjek sesa zgjedhja e një tavoline në IKEA.
Unë kam mbështetur faqet e internetit për 11 vjet, u kam mbijetuar qindra sulmeve ndaj shërbimeve që unë mbështes dhe tani do t'ju tregoj pak për funksionimin e brendshëm të mbrojtjes.
Sulmet e rregullta. 350 mijë kërkesa totale, 52 mijë kërkesa e ligjshme
Sulmet e para u shfaqën pothuajse njëkohësisht me internetin. DDoS si fenomen është bërë i përhapur që nga fundi i viteve 2000 (shikoni ).
Që nga viti 2015-2016, pothuajse të gjithë ofruesit e pritjes kanë qenë të mbrojtur nga sulmet DDoS, si dhe faqet më të spikatura në zonat konkurruese (bëni whois me IP të faqeve eldorado.ru, leroymerlin.ru, tilda.ws, do të shihni rrjetet të operatorëve të mbrojtjes).
Nëse 10-20 vjet më parë, shumica e sulmeve mund të zmbrapseshin në vetë serverin (vlerësoni rekomandimet e administratorit të sistemit Lenta.ru Maxim Moshkov nga vitet '90: ), por tani detyrat e mbrojtjes janë bërë më të vështira.
Llojet e sulmeve DDoS nga pikëpamja e zgjedhjes së një operatori mbrojtës
Sulmet në nivelin L3/L4 (sipas modelit OSI)
— Përmbytja e UDP nga një botnet (shumë kërkesa dërgohen drejtpërdrejt nga pajisjet e infektuara në shërbimin e sulmuar, serverët janë të bllokuar me kanalin);
— Përforcim DNS/NTP/etc (shumë kërkesa dërgohen nga pajisjet e infektuara në DNS/NTP/etj vulnerabël, adresa e dërguesit është e falsifikuar, një re paketash që u përgjigjen kërkesave vërshon kanalin e personit që sulmohet; kjo është mënyra më e mirë sulme masive kryhen në internetin modern);
— SYN / ACK përmbytje (shumë kërkesa për të krijuar një lidhje dërgohen te serverët e sulmuar, radha e lidhjes tejmbushet);
— sulme me fragmentim të paketave, ping of death, ping flood (Google it lutem);
- dhe kështu me radhë.
Këto sulme synojnë të "bllokojnë" kanalin e serverit ose "të vrasin" aftësinë e tij për të pranuar trafik të ri.
Megjithëse përmbytjet dhe përforcimi i SYN/ACK janë shumë të ndryshme, shumë kompani i luftojnë ato po aq mirë. Problemet lindin me sulmet nga grupi tjetër.
Sulmet në L7 (shtresa e aplikimit)
— http flood (nëse sulmohet një faqe interneti ose ndonjë http api);
— një sulm ndaj zonave të cenueshme të sitit (ato që nuk kanë një memorie të fshehtë, që ngarkojnë shumë faqen, etj.).
Qëllimi është që serveri të “punojë fort”, të përpunojë shumë “kërkesa në dukje reale” dhe të mbetet pa burime për kërkesa reale.
Edhe pse ka sulme të tjera, këto janë më të zakonshmet.
Sulmet serioze në nivelin L7 krijohen në një mënyrë unike për çdo projekt që sulmohet.
Pse 2 grupe?
Sepse ka shumë që dinë të zmbrapsin mirë sulmet në nivelin L3 / L4, por ose nuk marrin fare mbrojtje në nivelin e aplikimit (L7), ose janë akoma më të dobët se alternativat në trajtimin e tyre.
Kush është kush në tregun e mbrojtjes DDoS
(mendimi im personal)
Mbrojtje në nivelin L3/L4
Për të zmbrapsur sulmet me përforcim ("bllokim" i kanalit të serverit), ka mjaft kanale të gjera (shumë nga shërbimet e mbrojtjes lidhen me shumicën e ofruesve të mëdhenj të shtyllës kurrizore në Rusi dhe kanë kanale me një kapacitet teorik më shumë se 1 Tbit). Mos harroni se sulmet shumë të rralla të amplifikimit zgjasin më shumë se një orë. Nëse jeni Spamhaus dhe të gjithë nuk ju pëlqejnë, po, ata mund të përpiqen të mbyllin kanalet tuaja për disa ditë, madje edhe me rrezikun e mbijetesës së mëtejshme të botnetit global që përdoret. Nëse thjesht keni një dyqan në internet, edhe nëse është mvideo.ru, nuk do të shihni 1 Tbit brenda pak ditësh shumë shpejt (shpresoj).
Për të zmbrapsur sulmet me përmbytje SYN/ACK, fragmentimin e paketave, etj., ju nevojiten pajisje ose sisteme softuerike për të zbuluar dhe ndaluar sulme të tilla.
Shumë njerëz prodhojnë pajisje të tilla (Arbor, ka zgjidhje nga Cisco, Huawei, zbatime softuerësh nga Wanguard, etj.), Shumë operatorë shtyllë e kanë instaluar tashmë dhe shesin shërbime të mbrojtjes DDoS (Unë di për instalimet nga Rostelecom, Megafon, TTK, MTS , në fakt, të gjithë ofruesit kryesorë bëjnë të njëjtën gjë me hostet me mbrojtjen e tyre a-la OVH.com, Hetzner.de, unë vetë kam hasur në mbrojtje në ihor.ru). Disa kompani po zhvillojnë zgjidhjet e tyre softuerike (teknologjitë si DPDK ju lejojnë të përpunoni dhjetëra gigabit trafik në një makinë fizike x86).
Nga lojtarët e mirënjohur, të gjithë mund të luftojnë L3/L4 DDoS pak a shumë në mënyrë efektive. Tani nuk do të them se kush ka kapacitetin më të madh maksimal të kanalit (ky është informacion i brendshëm), por zakonisht kjo nuk është aq e rëndësishme dhe ndryshimi i vetëm është se sa shpejt aktivizohet mbrojtja (në çast ose pas disa minutash ndërprerjeje të projektit, si në Hetzner).
Pyetja është se sa mirë është bërë kjo: një sulm përforcues mund të zmbrapset duke bllokuar trafikun nga vendet me sasinë më të madhe të trafikut të dëmshëm, ose vetëm trafiku vërtet i panevojshëm mund të hidhet poshtë.
Por në të njëjtën kohë, bazuar në përvojën time, të gjithë lojtarët seriozë të tregut e përballojnë këtë pa probleme: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (ish SkyParkCDN), ServicePipe, Stormwall, Voxility, etj.
Nuk kam hasur në mbrojtje nga operatorë të tillë si Rostelecom, Megafon, TTK, Beeline; sipas rishikimeve nga kolegët, ata i ofrojnë këto shërbime mjaft mirë, por deri më tani mungesa e përvojës po ndikon periodikisht: ndonjëherë duhet të shkulni diçka përmes mbështetjes të operatorit të mbrojtjes.
Disa operatorë kanë një shërbim të veçantë "mbrojtje kundër sulmeve në nivelin L3/L4", ose "mbrojtje kanali"; kushton shumë më pak se mbrojtja në të gjitha nivelet.
Pse ofruesi i shtyllës kurrizore nuk po zmbraps sulmet e qindra Gbit, pasi nuk ka kanalet e veta?Operatori i mbrojtjes mund të lidhet me cilindo nga ofruesit kryesorë dhe të zmbrapsë sulmet "në kurriz të tij". Ju do të duhet të paguani për kanalin, por të gjitha këto qindra Gbit nuk do të përdoren gjithmonë; ka mundësi për të ulur ndjeshëm koston e kanaleve në këtë rast, kështu që skema mbetet e zbatueshme.
Këto janë raportet që kam marrë rregullisht nga mbrojtja e nivelit më të lartë L3/L4 ndërsa mbështes sistemet e ofruesit të pritjes.
Mbrojtja në nivelin L7 (niveli i aplikimit)
Sulmet në nivelin L7 (niveli i aplikimit) janë në gjendje të zmbrapsin njësitë në mënyrë të vazhdueshme dhe efikase.
Unë kam shumë përvojë reale me
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Ata paguajnë për çdo megabit trafik të pastër, një megabit kushton rreth disa mijëra rubla. Nëse keni të paktën 100 Mbps trafik të pastër - oh. Mbrojtja do të jetë shumë e shtrenjtë. Mund t'ju tregoj në artikujt e mëposhtëm se si të dizajnoni aplikacione në mënyrë që të kurseni shumë në kapacitetin e kanaleve të sigurisë.
“Mbreti i kodrës” i vërtetë është Qrator.net, pjesa tjetër mbetet pas tyre. Qrator janë deri tani të vetmit në përvojën time që japin një përqindje false pozitive afër zeros, por në të njëjtën kohë janë disa herë më të shtrenjta se aktorët e tjerë të tregut.
Operatorët e tjerë gjithashtu ofrojnë mbrojtje me cilësi të lartë dhe të qëndrueshme. Shumë shërbime të mbështetura nga ne (përfshirë ato shumë të njohura në vend!) janë të mbrojtura nga DDoS-Guard, G-Core Labs dhe janë mjaft të kënaqur me rezultatet e marra.
Sulmet e zmbrapsura nga Qratori
Unë gjithashtu kam përvojë me operatorë të vegjël sigurie si cloud-shield.ru, ddosa.net, mijëra prej tyre. Unë definitivisht nuk do ta rekomandoj, sepse ... Nuk kam shumë përvojë, por do t'ju tregoj për parimet e punës së tyre. Kostoja e tyre e mbrojtjes është shpesh 1-2 rend magnitudë më e ulët se ajo e lojtarëve kryesorë. Si rregull, ata blejnë një shërbim mbrojtjeje të pjesshme (L3/L4) nga një prej lojtarëve më të mëdhenj + bëjnë mbrojtjen e tyre kundër sulmeve në nivele më të larta. Kjo mund të jetë mjaft efektive + ju mund të merrni shërbim të mirë për më pak para, por këto janë ende kompani të vogla me një staf të vogël, ju lutemi mbani në mend këtë.
Cila është vështirësia e zmbrapsjes së sulmeve në nivelin L7?
Të gjitha aplikacionet janë unike dhe ju duhet të lejoni trafikun që është i dobishëm për ta dhe të bllokoni ato të dëmshme. Nuk është gjithmonë e mundur që të eliminohen pa mëdyshje robotët, kështu që duhet të përdorni shumë, vërtet SHUMË shkallë të pastrimit të trafikut.
Njëherë e një kohë, moduli nginx-testcookie ishte i mjaftueshëm (), dhe është ende e mjaftueshme për të zmbrapsur një numër të madh sulmesh. Kur punoja në industrinë e pritjes, mbrojtja L7 bazohej në nginx-testcookie.
Fatkeqësisht, sulmet janë bërë më të vështira. testcookie përdor kontrolle të boteve të bazuara në JS dhe shumë robotë modernë mund t'i kalojnë ato me sukses.
Botnet-et e sulmit janë gjithashtu unikë dhe duhet të merren parasysh karakteristikat e secilit botnet të madh.
Amplifikimi, vërshimi i drejtpërdrejtë nga një botnet, filtrimi i trafikut nga vende të ndryshme (filtrim të ndryshëm për vende të ndryshme), përmbytja SYN/ACK, fragmentimi i paketave, ICMP, http flooding, ndërsa në nivelin e aplikacionit/http mund të dilni me një numër të pakufizuar të sulme të ndryshme.
Në total, në nivelin e mbrojtjes së kanalit, pajisje të specializuara për pastrimin e trafikut, softuer special, cilësime shtesë të filtrimit për çdo klient mund të ketë dhjetëra e qindra nivele filtrimi.
Për të menaxhuar siç duhet këtë dhe për të rregulluar saktë cilësimet e filtrimit për përdorues të ndryshëm, keni nevojë për shumë përvojë dhe personel të kualifikuar. Edhe një operator i madh që ka vendosur të ofrojë shërbime mbrojtëse nuk mund të "hedhë marrëzi para problemit": do të duhet të fitohet përvoja nga faqet e gënjeshtra dhe pozitivet e rreme në trafikun legjitim.
Nuk ka asnjë buton "repel DDoS" për operatorin e sigurisë; ka një numër të madh mjetesh dhe ju duhet të dini se si t'i përdorni ato.
Dhe një shembull tjetër bonus.
Një server i pambrojtur u bllokua nga hosti gjatë një sulmi me një kapacitet prej 600 Mbit
(“Humbja” e trafikut nuk është e dukshme, sepse vetëm 1 sajt u sulmua, u hoq përkohësisht nga serveri dhe bllokimi u hoq brenda një ore).
I njëjti server është i mbrojtur. Sulmuesit "u dorëzuan" pas një dite sulmesh të zmbrapsura. Sulmi në vetvete nuk ishte më i forti.
Sulmi dhe mbrojtja e L3/L4 janë më të parëndësishme; ato varen kryesisht nga trashësia e kanaleve, algoritmet e zbulimit dhe filtrimit të sulmeve.
Sulmet L7 janë më komplekse dhe origjinale; ato varen nga aplikacioni që sulmohet, aftësitë dhe imagjinata e sulmuesve. Mbrojtja ndaj tyre kërkon shumë njohuri dhe përvojë, dhe rezultati mund të mos jetë i menjëhershëm dhe jo qind për qind. Derisa Google doli me një rrjet tjetër nervor për mbrojtje.
Burimi: www.habr.com