Në dy tremujorët e parë të vitit 2020, numri i sulmeve DDoS pothuajse u trefishua, me 65% të tyre që janë përpjekje primitive për "testimin e ngarkesës" që "çaktivizojnë" lehtësisht faqet e pambrojtura të dyqaneve të vogla online, forumeve, blogjeve dhe mediave.
Si të zgjidhni hostin e mbrojtur nga DDoS? Çfarë duhet t'i kushtoni vëmendje dhe për çfarë duhet të përgatiteni për të mos përfunduar në një situatë të pakëndshme?
(Vaksinimi kundër marketingut "gri" brenda)
Disponueshmëria dhe shumëllojshmëria e mjeteve për kryerjen e sulmeve DDoS i detyron pronarët e shërbimeve online të marrin masat e duhura për të kundërshtuar kërcënimin. Ju duhet të mendoni për mbrojtjen DDoS jo pas dështimit të parë, dhe as si pjesë e një sërë masash për të rritur tolerancën e gabimeve të infrastrukturës, por në fazën e zgjedhjes së një siti për vendosje (ofruesi i pritjes ose qendra e të dhënave).
Sulmet DDoS klasifikohen në varësi të protokolleve, dobësitë e të cilëve shfrytëzohen në nivelet e modelit të Ndërlidhjes së Sistemeve të Hapura (OSI):
- kanali (L2),
- rrjeti (L3),
- transporti (L4),
- aplikuar (L7).
Nga pikëpamja e sistemeve të sigurisë, ato mund të përgjithësohen në dy grupe: sulme të nivelit të infrastrukturës (L2-L4) dhe sulme të nivelit të aplikacionit (L7). Kjo është për shkak të sekuencës së ekzekutimit të algoritmeve të analizës së trafikut dhe kompleksitetit llogaritës: sa më thellë të shikojmë në paketën IP, aq më shumë fuqi llogaritëse kërkohet.
Në përgjithësi, problemi i optimizimit të llogaritjeve gjatë përpunimit të trafikut në kohë reale është një temë për një seri të veçantë artikujsh. Tani le të imagjinojmë se ka ndonjë ofrues cloud me burime llogaritëse të pakufizuara me kusht që mund të mbrojë faqet nga sulmet e nivelit të aplikacionit (përfshirë ).
3 pyetje kryesore për të përcaktuar shkallën e sigurisë së pritjes kundër sulmeve DDoS
Le të shohim kushtet e shërbimit për mbrojtjen kundër sulmeve DDoS dhe Marrëveshjen e Nivelit të Shërbimit (SLA) të ofruesit të pritjes. A përmbajnë ato përgjigje për pyetjet e mëposhtme:
- çfarë kufizimesh teknike deklarohen nga ofruesi i shërbimit??
- çfarë ndodh kur klienti shkon përtej kufijve?
- Si e ndërton një ofrues pritës mbrojtje kundër sulmeve DDoS (teknologji, zgjidhje, furnitorë)?
Nëse nuk e keni gjetur këtë informacion, atëherë kjo është një arsye që ose të mendoni për seriozitetin e ofruesit të shërbimit, ose të organizoni mbrojtjen bazë DDoS (L3-4) vetë. Për shembull, porositni një lidhje fizike me rrjetin e një ofruesi të specializuar sigurie.
Rëndësishme! Nuk ka kuptim të sigurohet mbrojtje kundër sulmeve të nivelit të aplikacionit duke përdorur Reverse Proxy nëse ofruesi juaj i pritjes nuk është në gjendje të sigurojë mbrojtje kundër sulmeve të nivelit të infrastrukturës: pajisjet e rrjetit do të mbingarkohen dhe do të bëhen të padisponueshme, duke përfshirë edhe për serverët proxy të ofruesit të cloud (Figura 1).
Figura 1. Sulmi i drejtpërdrejtë në rrjetin e ofruesit të pritjes
Dhe mos lejoni që ata të përpiqen t'ju tregojnë përralla se adresa e vërtetë IP e serverit fshihet pas resë së ofruesit të sigurisë, që do të thotë se është e pamundur ta sulmoni atë drejtpërdrejt. Në nëntë raste nga dhjetë, nuk do të jetë e vështirë për një sulmues të gjejë adresën e vërtetë IP të serverit ose të paktën rrjetin e ofruesit të pritjes në mënyrë që të "shkatërrojë" një qendër të tërë të dhënash.
Si veprojnë hakerat në kërkim të një adrese IP të vërtetë
Më poshtë spoilerët janë disa metoda për të gjetur një adresë IP të vërtetë (të dhëna për qëllime informative).
Metoda 1: Kërkoni në burime të hapura
Ju mund të filloni kërkimin tuaj me shërbimin online: Kërkon në uebfaqen e errët, platformat e ndarjes së dokumenteve, përpunon të dhënat Whois, rrjedhjet e të dhënave publike dhe shumë burime të tjera.
Nëse, bazuar në disa shenja (titujt HTTP, të dhënat Whois, etj.), ishte e mundur të përcaktohet se mbrojtja e faqes është organizuar duke përdorur Cloudflare, atëherë mund të filloni të kërkoni për IP-në e vërtetë nga, i cili përmban rreth 3 milion adresa IP të faqeve të vendosura pas Cloudflare.
Përdorimi i një certifikate dhe shërbimi SSL mund të gjeni shumë informacione të dobishme, duke përfshirë adresën e vërtetë IP të faqes. Për të gjeneruar një kërkesë për burimin tuaj, shkoni te skeda Certifikatat dhe shkruani:
_parsed.emrat: emrisajti DHE etiketat.raw: i besuar
Për të kërkuar adresat IP të serverëve duke përdorur një certifikatë SSL, do t'ju duhet të kaloni manualisht në listën rënëse me disa mjete (skedën "Eksploro", më pas zgjidhni "Hostet IPv4").
Metoda 2: DNS
Kërkimi i historisë së ndryshimeve të regjistrimeve DNS është një metodë e vjetër dhe e provuar. Adresa e mëparshme IP e faqes mund të bëjë të qartë se në cilin host (ose qendër të dhënash) ndodhej. Ndër shërbimet online për sa i përket lehtësisë së përdorimit, dallohen këto: и .
Kur ndryshoni cilësimet, faqja nuk do të përdorë menjëherë adresën IP të ofruesit të sigurisë së cloud ose CDN, por do të funksionojë drejtpërdrejt për ca kohë. Në këtë rast, ekziston mundësia që shërbimet në internet për ruajtjen e historisë së ndryshimeve të adresës IP të përmbajnë informacion në lidhje me adresën burimore të faqes.
Nëse nuk ka asgjë tjetër përveç emrit të serverit të vjetër DNS, atëherë duke përdorur shërbime speciale (gërmimi, hosti ose nslookup) mund të kërkoni një adresë IP me emrin e domenit të faqes, për shembull:
_dig @old_dns_server_namefaqe
Metoda 3: email
Ideja e metodës është të përdorni formularin e komenteve/regjistrimit (ose çdo metodë tjetër që ju lejon të filloni dërgimin e një letre) për të marrë një letër në emailin tuaj dhe për të kontrolluar titujt, në veçanti fushën "Marrë". .
Kreu i postës elektronike shpesh përmban adresën aktuale IP të rekordit MX (serveri i shkëmbimit të postës elektronike), i cili mund të jetë një pikënisje për gjetjen e serverëve të tjerë në objektiv.
Mjetet e automatizimit të kërkimit
Softueri i kërkimit IP pas mburojës Cloudflare më shpesh funksionon për tre detyra:
- Skanoni për konfigurim të gabuar DNS duke përdorur DNSDumpster.com;
- Skanimi i bazës së të dhënave Crimeflare.com;
- kërkoni për nënfushat duke përdorur një metodë kërkimi fjalori.
Gjetja e nëndimenave është shpesh opsioni më efektiv nga të tre - pronari i faqes mund të mbrojë faqen kryesore dhe t'i lërë nëndimenet të funksionojnë drejtpërdrejt. Mënyra më e lehtë për të kontrolluar është përdorimi .
Për më tepër, ka shërbime të dizajnuara vetëm për kërkimin e nëndimeneve duke përdorur një kërkim fjalori dhe kërkimin në burime të hapura, për shembull: ose .
Si ndodh kërkimi në praktikë
Për shembull, le të marrim sitin seo.com duke përdorur Cloudflare, të cilin do ta gjejmë duke përdorur një shërbim të mirënjohur (ju lejon të përcaktoni teknologjitë / motorët / CMS në të cilat funksionon faqja, dhe anasjelltas - kërkoni faqe sipas teknologjive të përdorura).
Kur klikoni në skedën "IPv4 Hosts", shërbimi do të shfaqë një listë të hosteve që përdorin certifikatën. Për të gjetur atë që ju nevojitet, kërkoni një adresë IP me portën e hapur 443. Nëse ajo ridrejtohet në sitin e dëshiruar, atëherë detyra përfundon, përndryshe duhet të shtoni emrin e domenit të faqes në kokën "Host" të Kërkesa HTTP (për shembull, *curl -H "Host: emri_site" *).
Në rastin tonë, një kërkim në bazën e të dhënave Censys nuk dha asgjë, kështu që ne vazhdojmë.
Ne do të kryejmë një kërkim DNS përmes shërbimit.
Duke kërkuar nëpër adresat e përmendura në listat e serverëve DNS duke përdorur mjetin CloudFail, gjejmë burime pune. Rezultati do të jetë gati për disa sekonda.
Duke përdorur vetëm të dhëna të hapura dhe mjete të thjeshta, ne përcaktuam adresën e vërtetë IP të serverit në internet. Pjesa tjetër për sulmuesin është çështje teknike.
Le të kthehemi te zgjedhja e një ofruesi pritës. Për të vlerësuar përfitimin e shërbimit për klientin, ne do të shqyrtojmë metodat e mundshme të mbrojtjes kundër sulmeve DDoS.
Si një ofrues pritës ndërton mbrojtjen e tij
- Sistemi vetanak i mbrojtjes me pajisje filtruese (Figura 2).
Kërkon:
1.1. Pajisjet e filtrimit të trafikut dhe licencat e softuerit;
1.2. Specialistë me kohë të plotë për mbështetjen dhe funksionimin e tij;
1.3. Kanalet e aksesit në internet që do të jenë të mjaftueshme për të marrë sulme;
1.4. Gjerësia e konsiderueshme e brezit të kanalit të parapaguar për marrjen e trafikut "junk".
Figura 2. Sistemi i sigurisë së vetë ofruesit të pritjes
Nëse e konsiderojmë sistemin e përshkruar si një mjet mbrojtjeje kundër sulmeve moderne DDoS prej qindra Gbps, atëherë një sistem i tillë do të kushtojë shumë para. A ka ofruesi i pritjes një mbrojtje të tillë? A është ai gati të paguajë për trafikun "junk"? Natyrisht, një model i tillë ekonomik është i padobishëm për ofruesin nëse tarifat nuk parashikojnë pagesa shtesë. - Reverse Proxy (vetëm për faqet e internetit dhe disa aplikacione). Pavarësisht një numri , furnizuesi nuk garanton mbrojtje kundër sulmeve të drejtpërdrejta DDoS (shih Figurën 1). Ofruesit e pritjes shpesh ofrojnë një zgjidhje të tillë si ilaç, duke e zhvendosur përgjegjësinë te ofruesi i sigurisë.
- Shërbimet e një ofruesi të specializuar cloud (përdorimi i rrjetit të tij filtrues) për të mbrojtur kundër sulmeve DDoS në të gjitha nivelet OSI (Figura 3).
Figura 3. Mbrojtje gjithëpërfshirëse kundër sulmeve DDoS duke përdorur një ofrues të specializuar
supozon një integrim të thellë dhe një nivel të lartë të kompetencës teknike të të dyja palëve. Transferimi i shërbimeve të filtrimit të trafikut lejon ofruesin e pritjes të ulë çmimin e shërbimeve shtesë për klientin.
Rëndësishme! Sa më të detajuara të përshkruhen karakteristikat teknike të shërbimit të ofruar, aq më e madhe është mundësia për të kërkuar zbatimin ose kompensimin e tyre në rast ndërprerjeje.
Përveç tre metodave kryesore, ka shumë kombinime dhe kombinime. Kur zgjedh një host, është e rëndësishme që klienti të kujtojë se vendimi do të varet jo vetëm nga madhësia e sulmeve të garantuara të bllokuara dhe saktësia e filtrimit, por edhe nga shpejtësia e përgjigjes, si dhe nga përmbajtja e informacionit (lista e sulmeve të bllokuara, statistika të përgjithshme, etj.).
Mos harroni se vetëm disa ofrues pritës në botë janë në gjendje të ofrojnë vetë një nivel të pranueshëm mbrojtjeje; në raste të tjera, bashkëpunimi dhe njohuritë teknike ndihmojnë. Kështu, të kuptuarit e parimeve bazë të organizimit të mbrojtjes kundër sulmeve DDoS do t'i lejojë pronarit të faqes të mos bie në truket e marketingut dhe të mos blejë një "derr në thes".
Burimi: www.habr.com