„Човек који је направио нашу веб страницу је већ поставио ДДоС заштиту.“
„Имамо ДДоС заштиту, зашто је сајт пао?“
„Колико хиљада Кратор жели?“
Да бисте правилно одговорили на оваква питања од стране купца/шефа, било би лепо знати шта се крије иза назива „ДДоС заштита“. Избор безбедносних услуга је више као избор лека од лекара него избор стола у ИКЕА-и.
Подржавам веб странице 11 година, преживео сам стотине напада на услуге које подржавам, а сада ћу вам рећи нешто о унутрашњем функционисању заштите.
Редовни напади. Укупно 350 хиљада захтева, легитимно 52 хиљада захтева
Први напади су се појавили готово истовремено са Интернетом. ДДоС као феномен је постао широко распрострањен од касних 2000-их (погледајте ).
Отприлике од 2015-2016, скоро сви провајдери хостинга су заштићени од ДДоС напада, као и већина истакнутих сајтова у конкурентским областима (урадите вхоис путем ИП-а сајтова елдорадо.ру, лероимерлин.ру, тилда.вс, видећете мреже оператера заштите).
Ако је пре 10-20 година већина напада могла да се одбије на самом серверу (процените препоруке системског администратора Лента.ру Максима Мошкова из 90-их: ), али сада су задаци заштите постали тежи.
Врсте ДДоС напада са становишта избора оператера заштите
Напади на нивоу Л3/Л4 (према ОСИ моделу)
— УДП флоод са ботнета (многи захтеви се шаљу директно са заражених уређаја на нападнуту услугу, сервери су блокирани каналом);
— ДНС/НТП/итд појачање (многи захтеви се шаљу са заражених уређаја на рањиви ДНС/НТП/итд, адреса пошиљаоца је фалсификована, облак пакета који одговарају на захтеве преплављује канал особе која је нападнута; тако је највише врше се масовни напади на савремени интернет);
— СИН / АЦК флоод (многи захтеви за успостављање везе се шаљу нападнутим серверима, ред за повезивање се препуњава);
— напади са фрагментацијом пакета, пинг оф деатх, пинг флоод (прогуглајте, молим);
- и тако даље.
Ови напади имају за циљ да „зачепе“ канал сервера или „убију“ његову способност да прихвати нови саобраћај.
Иако су СИН/АЦК флоодинг и појачање веома различити, многе компаније се боре против њих подједнако добро. Проблеми настају са нападима из следеће групе.
Напади на Л7 (слој апликације)
— хттп флоод (ако је нападнут веб-сајт или неки хттп АПИ);
— напад на рањиве области сајта (оне које немају кеш меморију, које веома оптерећују сајт, итд.).
Циљ је да се сервер натера да се „наради“, да обради много „наизглед стварних захтева“ и да остане без ресурса за стварне захтеве.
Иако постоје и други напади, ови су најчешћи.
Озбиљни напади на нивоу Л7 креирају се на јединствен начин за сваки нападнут пројекат.
Зашто 2 групе?
Јер има много оних који знају како да добро одбију нападе на нивоу Л3/Л4, али или уопште не преузимају заштиту на нивоу апликације (Л7) или су и даље слабији од алтернатива у суочавању са њима.
Ко је ко на тржишту ДДоС заштите
(моје лично мишљење)
Заштита на нивоу Л3/Л4
Да би се напади одбили појачавањем („блокада“ канала сервера), постоји довољно широких канала (многи од заштитних сервиса се повезују са већином великих провајдера кичме у Русији и имају канале са теоријским капацитетом већим од 1 Тбит). Не заборавите да врло ретки напади појачања трају дуже од сат времена. Ако сте Спамхаус и сви вас не воле, да, можда ће покушати да угасе ваше канале на неколико дана, чак и уз ризик даљег опстанка глобалног ботнета који се користи. Ако само имате онлајн продавницу, чак и ако је мвидео.ру, нећете видети 1 Тбит у року од неколико дана врло брзо (надам се).
Да бисте одбили нападе са СИН/АЦК поплавама, фрагментацијом пакета итд., потребна вам је опрема или софтверски системи за откривање и заустављање таквих напада.
Многи људи производе такву опрему (Арбор, постоје решења од Цисцо-а, Хуавеја, софтверске имплементације од Вангуард-а итд.), многи кичмени оператери су је већ инсталирали и продају услуге ДДоС заштите (знам за инсталације од Ростелецома, Мегафона, ТТК, МТС-а , заправо, сви већи провајдери раде исто са хостерима са сопственом заштитом а-ла ОВХ.цом, Хетзнер.де, и сам сам наишао на заштиту на ихор.ру). Неке компаније развијају сопствена софтверска решења (технологије попут ДПДК вам омогућавају да обрађујете десетине гигабита саобраћаја на једној физичкој к86 машини).
Од познатих играча, свако може више или мање ефикасно да се бори против Л3/Л4 ДДоС-а. Сада нећу да говорим ко има већи максимални капацитет канала (ово је инсајдерска информација), али то обично није толико важно, а једина разлика је у томе колико се брзо активира заштита (тренутно или након неколико минута застоја пројекта, као код Хецнера).
Питање је колико је то добро урађено: напад појачања се може одбити блокирањем саобраћаја из земаља са највећом количином штетног саобраћаја, или се може одбацити само заиста непотребан саобраћај.
Али у исто време, на основу мог искуства, сви озбиљни играчи на тржишту се носе са овим без проблема: Кратор, ДДоС-Гуард, Касперски, Г-Цоре Лабс (раније СкиПаркЦДН), СервицеПипе, Стормвалл, Вокилити, итд.
Нисам наишао на заштиту од оператера као што су Ростелецом, Мегафон, ТТК, Беелине; према рецензијама колега, они пружају ове услуге прилично добро, али до сада недостатак искуства периодично утиче: понекад морате нешто подесити кроз подршку оператера заштите.
Неки оператери имају посебну услугу „заштита од напада на нивоу Л3/Л4“ или „заштита канала“; кошта много мање од заштите на свим нивоима.
Зашто провајдер окоснице не одбија нападе стотина Гбита, пошто нема сопствене канале?Оператер заштите може да се повеже са било којим од главних провајдера и одбије нападе „о свом трошку“. Мораћете да платите за канал, али све ове стотине Гбита неће увек бити искоришћене; постоје опције за значајно смањење трошкова канала у овом случају, тако да шема остаје функционална.
Ово су извештаји које сам редовно добијао од заштите вишег нивоа Л3/Л4 док сам подржавао системе провајдера хостинга.
Заштита на нивоу Л7 (ниво апликације)
Напади на нивоу Л7 (ниво апликације) су у стању да одбију јединице доследно и ефикасно.
Имам доста стварног искуства са
— Кратор.нет;
— ДДоС-Гуард;
- Г-Цоре Лабс;
— Касперски.
Они наплаћују сваки мегабит чистог саобраћаја, мегабит кошта око неколико хиљада рубаља. Ако имате најмање 100 Мбпс чистог саобраћаја - ох. Заштита ће бити веома скупа. У следећим чланцима могу да вам кажем како да дизајнирате апликације да бисте много уштедели на капацитету безбедносних канала.
Прави „краљ брда“ је Кратор.нет, остали заостају за њима. Кратор су до сада једини по мом искуству који дају проценат лажних позитивних резултата близу нуле, али су у исто време неколико пута скупљи од осталих учесника на тржишту.
Остали оператери такође пружају квалитетну и стабилну заштиту. Многи сервиси које подржавамо (укључујући и оне веома познате у земљи!) заштићени су од ДДоС-Гуард-а, Г-Цоре Лабс-а и веома смо задовољни добијеним резултатима.
Напади које одбија Кратор
Такође имам искуства са малим безбедносним оператерима попут цлоуд-схиелд.ру, ддоса.нет, хиљадама њих. Дефинитивно га нећу препоручити, јер... Немам много искуства, али ћу вам рећи о принципима њиховог рада. Њихови трошкови заштите су често 1-2 реда величине нижи од трошкова главних играча. По правилу купују услугу делимичне заштите (Л3/Л4) од неког од већих играча + сами раде заштиту од напада на вишим нивоима. Ово може бити прилично ефикасно + можете добити добру услугу за мање новца, али ово су и даље мале компаније са малим бројем запослених, имајте то на уму.
Која је потешкоћа у одбијању напада на нивоу Л7?
Све апликације су јединствене и потребно је да дозволите саобраћај који им је користан и да блокирате штетне. Није увек могуће недвосмислено избацити ботове, тако да морате да користите много, заиста МНОГО степена пречишћавања саобраћаја.
Некада је нгинк-тестцоокие модул био довољан (), а још увек је довољно да одбије велики број напада. Када сам радио у индустрији хостинга, Л7 заштита је била заснована на нгинк-тестцоокие-у.
Нажалост, напади су постали тежи. тестцоокие користи провере ботова засноване на ЈС-у и многи модерни ботови могу успешно да их прођу.
Нападни ботнети су такође јединствени, а карактеристике сваког великог ботнета се морају узети у обзир.
Појачавање, директно флоодинг са ботнета, филтрирање саобраћаја из различитих земаља (различито филтрирање за различите земље), СИН/АЦК флоодинг, фрагментација пакета, ИЦМП, хттп флоодинг, док на нивоу апликације/хттп можете смислити неограничен број различити напади.
Укупно, на нивоу заштите канала, специјализоване опреме за чишћење саобраћаја, специјалног софтвера, додатних подешавања филтрирања за сваког клијента може постојати десетине и стотине нивоа филтрирања.
Да бисте правилно управљали овим и правилно подесили подешавања филтрирања за различите кориснике, потребно вам је много искуства и квалификовано особље. Чак и велики оператер који је одлучио да пружи услуге заштите не може „глупо бацати новац на проблем“: искуство ће морати да се стекне на лажним сајтовима и лажним позитивним резултатима на легитимном саобраћају.
Не постоји дугме „одбијање ДДоС-а“ за оператера безбедности; постоји велики број алата и морате знати како да их користите.
И још један бонус пример.
Незаштићени сервер је блокиран од стране хостера током напада капацитета 600 Мбит
(„Губитак“ саобраћаја није приметан, јер је нападнут само 1 сајт, привремено је уклоњен са сервера и блокада је укинута у року од сат времена).
Исти сервер је заштићен. Нападачи су се „предали” након једног дана одбијања напада. Сам напад није био најјачи.
Напад и одбрана Л3/Л4 су тривијалнији, углавном зависе од дебљине канала, алгоритама детекције и филтрирања напада.
Л7 напади су сложенији и оригиналнији; зависе од апликације која се напада, могућности и маште нападача. Заштита од њих захтева много знања и искуства, а резултат можда неће бити тренутан и не сто посто. Све док Гугл није смислио још једну неуронску мрежу за заштиту.
Извор: ввв.хабр.цом