"Jalma anu ngadamel halaman wéb kami parantos nyetél panyalindungan DDoS."
"Kami ngagaduhan panyalindungan DDoS, naha situsna turun?"
"Sabaraha rébu anu dipikahoyong Qrator?"
Dina raraga leres ngajawab patarosan sapertos ti customer / boss, éta bakal nice uninga naon disumputkeun tukangeun ngaran "perlindungan DDoS". Milih jasa kaamanan langkung sapertos milih ubar ti dokter tibatan milih méja di IKEA.
Kuring parantos ngadukung situs wéb salami 11 taun, parantos salamet ratusan serangan kana jasa anu kuring dukung, sareng ayeuna kuring bakal nyarios sakedik ngeunaan cara perlindungan batin.
Serangan biasa. 350k req total, 52k req sah
Serangan munggaran muncul ampir sakaligus sareng Internét. DDoS salaku fenomena geus jadi nyebar saprak ahir 2000s (pariksa kaluar ).
Kusabab ngeunaan 2015-2016, ampir kabéh panyadia hosting geus ditangtayungan tina serangan DDoS, sakumaha ogé situs pang menonjol di wewengkon kalapa (ngalakukeun whois ku IP tina situs eldorado.ru, leroymerlin.ru, tilda.ws, anjeun bakal nempo jaringan. operator panyalindungan).
Lamun 10-20 sababaraha taun ka pengker paling serangan bisa repelled on server sorangan (evaluate rekomendasi Lenta.ru sistem administrator Maxim Moshkov ti 90s: ), tapi ayeuna tugas panyalindungan geus jadi leuwih hese.
Jinis serangan DDoS tina sudut pandang milih operator panyalindungan
Serangan di tingkat L3/L4 (nurutkeun model OSI)
- UDP banjir tina botnet (seueur pamundut anu dikirim langsung tina alat anu kainféksi ka jasa anu diserang, server diblokir sareng saluran);
- DNS / NTP / jsb amplifikasi (seueur pamundut anu dikirim tina alat anu katépaan ka DNS / NTP / jsb anu rentan, alamat pangirim dipalsukan, awan pakét anu ngaréspon kana pamundut banjir saluran jalma anu diserang; ieu kumaha anu paling sering. serangan masif dilumangsungkeun dina Internet modern);
- SYN / ACK caah (loba requests pikeun nyieun sambungan dikirim ka server diserang, antrian sambungan overflows);
- serangan kalayan fragméntasi pakét, ping maot, ping banjir (Google punten);
- teras salajengna.
Serangan ieu tujuanana pikeun "macet" saluran server atanapi "maéhan" kamampuanna pikeun nampi lalu lintas énggal.
Sanajan SYN / ACK ngabahekeun sarta Gedekeun pisan béda, loba pausahaan merangan aranjeunna sarua ogé. Masalah timbul nalika serangan ti grup salajengna.
Serangan kana L7 (lapisan aplikasi)
- http banjir (lamun ramatloka atawa sababaraha http api diserang);
- serangan dina wewengkon rentan loka éta (jalma nu teu boga cache a, nu muka situs pisan beurat, jsb).
Tujuanana nyaéta pikeun ngajantenkeun server "kerja keras", ngolah seueur "permintaan anu sigana nyata" sareng ditinggalkeun tanpa sumber daya pikeun paménta nyata.
Sanajan aya serangan sejen, ieu nu paling umum.
Serangan serius dina tingkat L7 didamel ku cara anu unik pikeun unggal proyék anu diserang.
Naha 2 grup?
Kusabab aya loba anu nyaho kumaha carana ngusir serangan ogé di tingkat L3 / L4, tapi boh teu nyandak up panyalindungan dina tingkat aplikasi (L7) pisan, atawa masih leuwih lemah batan alternatif dina nungkulan aranjeunna.
Saha anu di pasar panyalindungan DDoS
(pendapat pribadi kuring)
Perlindungan dina tingkat L3 / L4
Pikeun ngusir serangan kalayan amplifikasi ("penyumbatan" saluran server), aya saluran anu cukup lega (seueur jasa panyalindungan nyambung ka kalolobaan panyadia tulang tonggong ageung di Rusia sareng gaduh saluran kalayan kapasitas téoritis langkung ti 1 Tbit). Tong hilap yén serangan amplifikasi anu jarang pisan langkung lami ti sajam. Upami anjeun Spamhaus sareng sadayana henteu resep anjeun, enya, aranjeunna tiasa nyobian mareuman saluran anjeun sababaraha dinten, bahkan dina résiko kasalametan salajengna tina botnet global anu dianggo. Lamun ngan boga hiji toko online, sanajan éta mvideo.ru, Anjeun moal ningali 1 Tbit dina sababaraha poé pisan geura-giru (Kuring miharep).
Pikeun ngusir serangan kalayan SYN / ACK ngabahekeun, fragméntasi pakét, jeung sajabana, anjeun peryogi alat-alat atanapi sistem software pikeun ngadeteksi sareng ngeureunkeun serangan sapertos kitu.
Seueur jalma anu ngahasilkeun alat-alat sapertos kitu (Arbor, aya solusi ti Cisco, Huawei, palaksanaan parangkat lunak ti Wanguard, sareng sajabana), seueur operator tulang tonggong parantos dipasang sareng ngajual jasa panyalindungan DDoS (Kuring terang ngeunaan pamasangan ti Rostelecom, Megafon, TTK, MTS. , Kanyataanna, sakabeh panyadia utama lakonan hal nu sarua jeung hosters kalawan panyalindungan sorangan a-la OVH.com, Hetzner.de, Kuring sorangan encountered panyalindungan di ihor.ru). Sababaraha pausahaan anu ngembangkeun solusi software sorangan (téhnologi kawas DPDK ngidinan Anjeun pikeun ngolah puluhan gigabits lalulintas dina hiji mesin x86 fisik).
Tina pamaén anu kasohor, sadayana tiasa ngalawan L3 / L4 DDoS langkung atanapi kirang efektif. Ayeuna kuring moal nyebutkeun saha nu boga kapasitas channel maksimum nu leuwih gede (ieu informasi insider), tapi biasana ieu teu jadi penting, jeung hijina bédana nyaéta kumaha gancang panyalindungan dipicu (instan atawa sanggeus sababaraha menit downtime proyék. sakumaha dina Hetzner).
Patarosanna nyaéta kumaha hadéna ieu dilakukeun: serangan amplifikasi tiasa diusir ku ngahalangan lalu lintas ti nagara-nagara anu jumlah lalu lintas ngabahayakeun pangageungna, atanapi ngan ukur lalu lintas anu teu perlu tiasa dipiceun.
Tapi dina waktos anu sami, dumasar kana pangalaman kuring, sadaya pamaén pasar anu serius tiasa ngatasi ieu tanpa masalah: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (baheulana SkyParkCDN), ServicePipe, Stormwall, Voxility, jsb.
Kuring henteu acan mendakan panangtayungan ti operator sapertos Rostelecom, Megafon, TTK, Beeline; numutkeun ulasan ti kolega, aranjeunna nyayogikeun jasa ieu kalayan saé, tapi dugi ka ayeuna kurangna pangalaman sacara périodik mangaruhan: sakapeung anjeun kedah ngarobih hiji hal ngaliwatan dukungan. tina operator panyalindungan.
Sababaraha operator ngagaduhan jasa anu misah "perlindungan ngalawan serangan di tingkat L3/L4", atanapi "perlindungan saluran"; hargana langkung murah tibatan panyalindungan dina sadaya tingkatan.
Naha panyadia tulang tonggong henteu ngusir serangan ratusan Gbit, sabab éta henteu gaduh saluran sorangan?Operator panyalindungan tiasa nyambung ka salah sahiji panyadia utama sareng ngusir serangan "dina biayana." Anjeun kedah mayar saluran, tapi sadaya ratusan Gbit ieu moal salawasna dianggo; aya pilihan pikeun ngirangan biaya saluran dina hal ieu, ku kituna skéma tetep tiasa dianggo.
Ieu mangrupikeun laporan anu rutin kuring tampi tina panyalindungan L3 / L4 tingkat luhur nalika ngadukung sistem panyadia hosting.
Perlindungan dina tingkat L7 (tingkat aplikasi)
Serangan dina tingkat L7 (tingkat aplikasi) tiasa ngusir unit sacara konsistén sareng éfisién.
Kuring boga cukup loba pangalaman nyata jeung
— Qrator.net;
- DDoS-Pangawal;
- G-Core Labs;
- Kaspersky.
Aranjeunna ngecas pikeun tiap megabit lalulintas murni, megabit waragad ngeunaan sababaraha sarébu rubles. Upami Anjeun gaduh sahanteuna 100 Mbps lalulintas murni - oh. Perlindungan bakal mahal pisan. Abdi tiasa nyarioskeun ka anjeun dina tulisan di handap ieu kumaha mendesain aplikasi pikeun ngahémat pisan kana kapasitas saluran kaamanan.
Nyata "raja pasir" nyaeta Qrator.net, sésana lag balik aranjeunna. Qrator anu jadi jauh hijina leuwih dina pangalaman kuring anu masihan perséntase positip palsu deukeut enol, tapi di waktu nu sami aranjeunna sababaraha kali leuwih mahal ti pamaén pasar séjén.
Operator sanésna ogé nyayogikeun panyalindungan anu stabil sareng kualitas luhur. Seueur jasa anu dirojong ku kami (kaasup anu kasohor pisan di nagara éta!) Ditangtayungan tina DDoS-Guard, G-Core Labs, sareng cukup puas ku hasil anu diala.
Serangan diusir ku Qrator
Kuring ogé gaduh pangalaman sareng operator kaamanan leutik sapertos cloud-shield.ru, ddoso.net, rébuan di antarana. Kuring pasti moal nyarankeun éta, sabab ... Kuring teu boga loba pangalaman, tapi kuring bakal ngabejaan Anjeun tentang prinsip karya maranéhanana. Biaya panyalindungan maranéhanana mindeng 1-2 urutan gedena leuwih handap ti pamaén utama. Sakumaha aturan, aranjeunna meuli jasa panyalindungan parsial (L3 / L4) ti salah sahiji pamaén gedé + ngalakukeun panyalindungan sorangan ngalawan serangan dina tingkat nu leuwih luhur. Ieu tiasa rada mujarab + anjeun tiasa nampi jasa anu saé pikeun artos anu kirang, tapi ieu masih perusahaan alit sareng staf alit, punten émut.
Naon kasusah pikeun ngusir serangan dina tingkat L7?
Sadaya aplikasi unik, sareng anjeun kedah ngijinkeun lalu lintas anu mangpaat pikeun aranjeunna sareng meungpeuk anu ngabahayakeun. Teu salawasna mungkin mun unequivocally nalungtik kaluar bot, jadi Anjeun kudu make loba, bener MANY derajat purifikasi lalulintas.
Sakali waktos, modul nginx-testcookie cekap (), sarta masih cukup pikeun ngusir sajumlah badag serangan. Nalika kuring digawé di industri hosting, panyalindungan L7 ieu dumasar kana nginx-testcookie.
Hanjakal, serangan geus jadi leuwih hese. testcookie ngagunakeun cék bot basis JS, sarta loba bot modern bisa hasil lulus aranjeunna.
Serangan botnets oge unik, sarta ciri unggal botnet badag kudu dibawa kana rekening.
Ngagedékeun, banjir langsung tina botnet a, nyaring lalulintas ti nagara béda (nyaring béda pikeun nagara béda), SYN / ACK ngabahekeun, fragméntasi pakét, ICMP, http ngabahekeun, bari di tingkat aplikasi / http anjeun bisa datang nepi ka hiji angka taya serangan béda.
Dina total, dina tingkat panyalindungan saluran, alat-alat husus pikeun clearing lalulintas, software husus, setélan nyaring tambahan pikeun tiap klien tiasa puluhan sarta ratusan tingkat nyaring.
Pikeun leres ngatur ieu sareng leres nyetél setélan panyaring pikeun pangguna anu béda, anjeun peryogi seueur pangalaman sareng tanaga anu mumpuni. Malah hiji operator badag nu geus mutuskeun pikeun nyadiakeun ladenan panyalindungan teu bisa "stupidly buang duit dina masalah": pangalaman kudu meunang ti situs bohong jeung positip palsu on lalulintas sah.
Henteu aya tombol "ngusir DDoS" pikeun operator kaamanan; aya sajumlah ageung alat, sareng anjeun kedah terang kumaha ngagunakeunana.
Jeung hiji deui conto bonus.
Server anu teu dijagi diblokir ku hoster nalika serangan kalayan kapasitas 600 Mbit
("The leungitna" lalulintas teu noticeable, sabab ngan 1 situs diserang, éta samentara dihapus tina server na blocking ieu diangkat dina sajam).
server sarua ditangtayungan. Para panyerang "pasrah" saatos sadinten serangan anu ditolak. Serangan sorangan sanés anu paling kuat.
Serangan sareng pertahanan L3/L4 langkung sepele; aranjeunna gumantung utamina kana ketebalan saluran, algoritma deteksi sareng nyaring pikeun serangan.
Serangan L7 langkung rumit sareng asli; aranjeunna gumantung kana aplikasi anu diserang, kamampuan sareng imajinasi panyerang. Perlindungan ngalawan aranjeunna merlukeun loba pangaweruh jeung pangalaman, sarta hasilna bisa jadi teu langsung teu saratus persen. Nepi ka Google datang nepi ka jaringan saraf sejen pikeun panyalindungan.
sumber: www.habr.com