У прва два квартала 2020. број ДДоС напада се скоро утростручио, а 65% њих су примитивни покушаји „тестирања оптерећења“ који лако „онемогућавају“ беспомоћне сајтове малих онлајн продавница, форума, блогова и медија.
Како одабрати хостинг заштићен од ДДоС-а? На шта треба обратити пажњу и на шта се припремити како не бисте доспели у непријатну ситуацију?
(Вакцинација против „сивог“ маркетинга унутра)
Доступност и разноврсност алата за извођење ДДоС напада приморава власнике онлајн сервиса да предузму одговарајуће мере за сузбијање претње. О заштити од ДДоС-а треба размишљати не након првог квара, па чак ни као део скупа мера за повећање толеранције на грешке инфраструктуре, већ у фази избора локације за постављање (хостинг провајдер или дата центар).
ДДоС напади су класификовани у зависности од протокола чије су рањивости искоришћене на нивоима модела интерконекције отворених система (ОСИ):
- канал (Л2),
- мрежа (Л3),
- транспорт (Л4),
- примењен (Л7).
Са становишта безбедносних система, они се могу генерализовати у две групе: напади на нивоу инфраструктуре (Л2-Л4) и напади на нивоу апликације (Л7). Ово је због редоследа извршавања алгоритама за анализу саобраћаја и сложености рачунара: што дубље гледамо у ИП пакет, потребно је више рачунарске снаге.
Генерално, проблем оптимизације прорачуна приликом обраде саобраћаја у реалном времену је тема за посебну серију чланака. Сада само замислимо да постоји неки провајдер облака са условно неограниченим рачунарским ресурсима који могу заштитити сајтове од напада на нивоу апликације (укључујући ).
3 главна питања за одређивање степена безбедности хостинга од ДДоС напада
Хајде да погледамо услове услуге за заштиту од ДДоС напада и Уговор о нивоу услуге (СЛА) провајдера хостинга. Да ли садрже одговоре на следећа питања:
- која техничка ограничења наводи провајдер услуга??
- шта се дешава када купац пређе границе?
- Како хостинг провајдер гради заштиту од ДДоС напада (технологије, решења, добављачи)?
Ако нисте пронашли ове информације, онда је ово разлог да или размислите о озбиљности провајдера услуге, или сами организујете основну ДДоС заштиту (Л3-4). На пример, наручите физичку везу са мрежом специјализованог провајдера безбедности.
Важно! Нема смисла пружати заштиту од напада на нивоу апликације користећи Реверсе Проки ако ваш провајдер хостинга није у могућности да обезбеди заштиту од напада на нивоу инфраструктуре: мрежна опрема ће бити преоптерећена и постати недоступна, укључујући и за проки сервере добављача у облаку (слика 1).
Слика 1. Директан напад на мрежу провајдера хостинга
И не дозволите им да вам причају бајке да је права ИП адреса сервера скривена иза облака провајдера безбедности, што значи да га је немогуће директно напасти. У девет од десет случајева нападачу неће бити тешко да пронађе праву ИП адресу сервера или барем мрежу хостинг провајдера како би „уништио“ цео центар података.
Како хакери делују у потрази за правом ИП адресом
Испод спојлера је неколико метода за проналажење праве ИП адресе (дате у информативне сврхе).
Метод 1: Претрага у отвореним изворима
Можете започети претрагу са онлајн услугом: Претражује мрачни веб, платформе за дељење докумената, обрађује Вхоис податке, цурење јавних података и многе друге изворе.
Ако је на основу неких знакова (ХТТП заглавља, Вхоис подаци, итд.) било могуће утврдити да је заштита сајта организована помоћу Цлоудфларе-а, онда можете почети да тражите прави ИП од, који садржи око 3 милиона ИП адреса сајтова који се налазе иза Цлоудфларе-а.
Коришћење ССЛ сертификата и услуге можете пронаћи много корисних информација, укључујући праву ИП адресу сајта. Да бисте генерисали захтев за свој ресурс, идите на картицу Сертификати и унесите:
_парсед.намес: имесајт И ознаке.сиров: поуздан
Да бисте тражили ИП адресе сервера који користе ССЛ сертификат, мораћете ручно да прођете кроз падајућу листу са неколико алата (картица „Истражи“, а затим изаберите „ИПв4 хостови“).
Метод 2: ДНС
Претраживање историје промена ДНС записа је стара, проверена метода. Претходна ИП адреса сајта може јасно показати на ком се хостингу (или дата центру) налазила. Међу онлајн услугама у смислу једноставности коришћења, истичу се следеће: и .
Када промените подешавања, сајт неће одмах користити ИП адресу добављача безбедности у облаку или ЦДН-а, већ ће неко време радити директно. У овом случају постоји могућност да онлајн сервиси за чување историје промена ИП адресе садрже информације о изворној адреси сајта.
Ако не постоји ништа осим имена старог ДНС сервера, онда помоћу посебних услужних програма (диг, хост или нслоокуп) можете затражити ИП адресу по имену домена сајта, на пример:
_диг @олд_днс_сервер_наме намесаита
Метод 3: е-пошта
Идеја методе је да користите образац за повратне информације/регистрацију (или било који други метод који вам омогућава да започнете слање писма) да бисте примили писмо на своју е-пошту и проверили заглавља, посебно поље „Примљено“ .
Заглавље е-поште често садржи стварну ИП адресу МКС записа (сервер за размену е-поште), што може бити полазна тачка за проналажење других сервера на мети.
Сеарцх Аутоматион Тоолс
Софтвер за ИП претрагу иза Цлоудфларе штита најчешће ради за три задатка:
- Скенирајте погрешну конфигурацију ДНС-а помоћу ДНСДумпстер.цом;
- Цримефларе.цом скенирање базе података;
- претражите поддомене користећи метод претраживања речника.
Проналажење поддомена је често најефикаснија опција од три – власник сајта може да заштити главни сајт и остави поддомене да раде директно. Најлакши начин за проверу је коришћење .
Поред тога, постоје услужни програми дизајнирани само за претрагу поддомена користећи претрагу речника и претрагу у отвореним изворима, на пример: или .
Како се претрага дешава у пракси
На пример, узмимо сајт сео.цом користећи Цлоудфларе, који ћемо пронаћи помоћу добро познатог сервиса (омогућава вам и да одредите технологије / моторе / ЦМС на којима сајт ради, и обрнуто - претражујете сајтове према технологијама које се користе).
Када кликнете на картицу „ИПв4 Хостови“, услуга ће приказати листу хостова који користе сертификат. Да бисте пронашли ону која вам је потребна, потражите ИП адресу са отвореним портом 443. Ако преусмери на жељени сајт, задатак је завршен, у супротном морате додати име домена сајта у заглавље „Хост“ ХТТП захтев (на пример, *цурл -Х "Хост: име_сајта" *).
У нашем случају претрага у бази података Ценсис није дала ништа, па идемо даље.
Извршићемо ДНС претрагу преко сервиса.
Претрагом адреса наведених у листама ДНС сервера користећи услужни програм ЦлоудФаил, налазимо радне ресурсе. Резултат ће бити спреман за неколико секунди.
Користећи само отворене податке и једноставне алате, одредили смо праву ИП адресу веб сервера. Остало за нападача је ствар технике.
Вратимо се на избор хостинг провајдера. Да бисмо проценили корист услуге за корисника, размотрићемо могуће методе заштите од ДДоС напада.
Како хостинг провајдер гради своју заштиту
- Сопствени систем заштите са опремом за филтрирање (слика 2).
Захтева:
1.1. Опрема за филтрирање саобраћаја и софтверске лиценце;
1.2. Стручњаци са пуним радним временом за његову подршку и рад;
1.3. Канали за приступ Интернету који ће бити довољни за примање напада;
1.4. Значајан пропусни опсег препаид канала за пријем „смећег“ саобраћаја.
Слика 2. Сопствени безбедносни систем провајдера хостинга
Ако посматрамо описани систем као средство заштите од савремених ДДоС напада стотина Гбпс, онда ће такав систем коштати много новца. Да ли хостинг провајдер има такву заштиту? Да ли је спреман да плати за „смеће“ саобраћај? Очигледно, такав економски модел је непрофитабилан за провајдера ако тарифе не предвиђају додатна плаћања. - Обрнути прокси (само за веб локације и неке апликације). Упркос броју , добављач не гарантује заштиту од директних ДДоС напада (види слику 1). Провајдери хостинга често нуде такво решење као лек, пребацујући одговорност на провајдера безбедности.
- Услуге специјализованог провајдера у облаку (коришћење његове мреже за филтрирање) за заштиту од ДДоС напада на свим нивоима ОСИ (Слика 3).
Слика 3. Свеобухватна заштита од ДДоС напада коришћењем специјализованог провајдера
претпоставља дубоку интеграцију и висок ниво техничке компетенције обе стране. Оутсоурцинг услуга филтрирања саобраћаја омогућава хостинг провајдеру да смањи цену додатних услуга за купца.
Важно! Што се детаљније описују техничке карактеристике пружене услуге, већа је шанса да се захтева њихова имплементација или надокнада у случају застоја.
Поред три главне методе, постоји много комбинација и комбинација. Приликом одабира хостинга, важно је да купац има на уму да одлука неће зависити само од величине загарантованих блокираних напада и тачности филтрирања, већ и од брзине одговора, као и садржаја информација (листа блокираних напада, општа статистика итд.).
Имајте на уму да је само неколико хостинг провајдера у свету у стању да сами обезбеди прихватљив ниво заштите; у другим случајевима помажу сарадња и техничка писменост. Дакле, разумевање основних принципа организовања заштите од ДДоС напада омогућиће власнику сајта да не наседа на маркетиншке трикове и не купи „свињу у џепу“.
Извор: ввв.хабр.цом