"Grabben som skapade vår webbplats har redan satt upp DDoS-skydd."
"Vi har DDoS-skydd, varför försvann sajten?"
"Hur många tusen vill Qrator ha?"
För att korrekt svara på sådana frågor från kunden/chefen skulle det vara trevligt att veta vad som döljer sig bakom namnet "DDoS-skydd". Att välja säkerhetstjänster är mer som att välja ett läkemedel från en läkare än att välja ett bord på IKEA.
Jag har stöttat webbplatser i 11 år, har överlevt hundratals attacker på de tjänster jag stöder, och nu ska jag berätta lite om skyddets inre funktioner.
Regelbundna attacker. 350k req totalt, 52k req legitimt
De första attackerna inträffade nästan samtidigt med Internet. DDoS som fenomen har blivit utbrett sedan slutet av 2000-talet (kolla in ).
Sedan cirka 2015-2016 har nästan alla värdleverantörer varit skyddade från DDoS-attacker, liksom de flesta framstående sajter i konkurrensutsatta områden (gör whois av IP av sajterna eldorado.ru, leroymerlin.ru, tilda.ws, du kommer att se nätverken skyddsoperatörer).
Om för 10-20 år sedan kunde de flesta attacker avvärjas på själva servern (utvärdera rekommendationerna från Lenta.ru systemadministratör Maxim Moshkov från 90-talet: ), men nu har skyddsuppgifter blivit svårare.
Typer av DDoS-attacker ur synvinkeln att välja en skyddsoperatör
Attacker på L3/L4-nivå (enligt OSI-modell)
— UDP-flöde från ett botnät (många förfrågningar skickas direkt från infekterade enheter till den attackerade tjänsten, servrarna blockeras med kanalen);
— DNS/NTP/etc-förstärkning (många förfrågningar skickas från infekterade enheter till sårbara DNS/NTP/etc, avsändarens adress är förfalskad, ett moln av paket som svarar på förfrågningar översvämmar kanalen för den som attackeras; detta är hur det mest massiva attacker utförs på det moderna Internet);
— SYN / ACK flood (många förfrågningar om att upprätta en anslutning skickas till de attackerade servrarna, anslutningskön svämmar över);
— attacker med paketfragmentering, ping of death, ping flood (Googla det tack);
- och så vidare.
Dessa attacker syftar till att "täppa till" serverns kanal eller "döda" dess förmåga att acceptera ny trafik.
Även om SYN/ACK-översvämning och förstärkning är väldigt olika, bekämpar många företag dem lika bra. Problem uppstår med attacker från nästa grupp.
Attacker på L7 (applikationslager)
— http flood (om en webbplats eller något http-api attackeras);
— en attack mot sårbara områden på webbplatsen (de som inte har en cache, som belastar webbplatsen mycket hårt, etc.).
Målet är att få servern att "jobba hårt", bearbeta många "till synes riktiga förfrågningar" och lämnas utan resurser för riktiga förfrågningar.
Även om det finns andra attacker är dessa de vanligaste.
Allvarliga attacker på L7-nivå skapas på ett unikt sätt för varje projekt som attackeras.
Varför 2 grupper?
För det finns många som vet hur man stöter bort attacker bra på L3/L4-nivån, men som antingen inte tar upp skydd på applikationsnivån (L7) alls, eller ändå är svagare än alternativen i att hantera dem.
Vem är vem på DDoS-skyddsmarknaden
(min personliga åsikt)
Skydd på L3/L4 nivå
För att avvärja attacker med förstärkning ("blockering" av serverkanalen) finns det tillräckligt med breda kanaler (många av skyddstjänsterna ansluter till de flesta av de stora stamnätsleverantörerna i Ryssland och har kanaler med en teoretisk kapacitet på mer än 1 Tbit). Glöm inte att mycket sällsynta amplifieringsattacker varar längre än en timme. Om du är Spamhaus och alla inte gillar dig, ja, de kan försöka stänga av dina kanaler i flera dagar, även med risk för att det globala botnätet ska överleva. Om du bara har en onlinebutik, även om det är mvideo.ru, kommer du inte att se 1 Tbit inom några dagar mycket snart (hoppas jag).
För att avvärja attacker med SYN/ACK-översvämning, paketfragmentering etc. behöver du utrustning eller mjukvarusystem för att upptäcka och stoppa sådana attacker.
Många människor producerar sådan utrustning (Arbor, det finns lösningar från Cisco, Huawei, mjukvaruimplementationer från Wanguard, etc.), många stamnätsoperatörer har redan installerat det och säljer DDoS-skyddstjänster (jag vet om installationer från Rostelecom, Megafon, TTK, MTS , i själva verket gör alla större leverantörer samma sak med värdar med eget skydd a-la OVH.com, Hetzner.de, jag stötte själv på skydd på ihor.ru). Vissa företag utvecklar sina egna mjukvarulösningar (tekniker som DPDK låter dig bearbeta tiotals gigabits trafik på en fysisk x86-maskin).
Av de välkända spelarna kan alla slåss mot L3/L4 DDoS mer eller mindre effektivt. Nu kommer jag inte att säga vem som har den största maximala kanalkapaciteten (detta är insiderinformation), men vanligtvis är detta inte så viktigt, och den enda skillnaden är hur snabbt skyddet utlöses (omedelbart eller efter några minuters projektstopp, som i Hetzner).
Frågan är hur bra detta görs: en förstärkningsattack kan avvärjas genom att blockera trafik från länder med störst mängd skadlig trafik, eller så kan bara verkligt onödig trafik kasseras.
Men samtidigt, baserat på min erfarenhet, klarar alla seriösa marknadsaktörer detta utan problem: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (tidigare SkyParkCDN), ServicePipe, Stormwall, Voxility osv.
Jag har inte stött på skydd från operatörer som Rostelecom, Megafon, TTK, Beeline; enligt recensioner från kollegor tillhandahåller de dessa tjänster ganska bra, men hittills påverkar bristen på erfarenhet periodvis: ibland måste du justera något genom supporten skyddsoperatören.
Vissa operatörer har en separat tjänst "skydd mot attacker på L3/L4-nivå" eller "kanalskydd"; det kostar mycket mindre än skydd på alla nivåer.
Varför avvisar inte ryggradsleverantören attacker på hundratals Gbits, eftersom den inte har sina egna kanaler?Skyddsoperatören kan ansluta till vilken som helst av de stora leverantörerna och avvärja attacker "på dess bekostnad." Du kommer att behöva betala för kanalen, men alla dessa hundratals Gbit kommer inte alltid att användas; det finns alternativ för att avsevärt minska kostnaden för kanaler i det här fallet, så systemet förblir fungerande.
Det här är rapporterna jag regelbundet fick från L3/L4-skydd på högre nivå samtidigt som jag stödde värdleverantörens system.
Skydd på L7-nivå (applikationsnivå)
Attacker på L7-nivå (applikationsnivå) kan stöta bort enheter konsekvent och effektivt.
Jag har ganska mycket verklig erfarenhet av
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
– Kaspersky.
De tar betalt för varje megabit ren trafik, en megabit kostar ungefär flera tusen rubel. Om du har minst 100 Mbps ren trafik - åh. Skydd kommer att bli mycket dyrt. Jag kan berätta i följande artiklar hur man designar applikationer för att spara mycket på kapaciteten hos säkerhetskanaler.
Den verkliga "kungen av kullen" är Qrator.net, resten ligger efter dem. Qrator är än så länge de enda enligt min erfarenhet som ger en procentandel av falska positiva nära noll, men samtidigt är de flera gånger dyrare än andra marknadsaktörer.
Andra operatörer ger också högkvalitativt och stabilt skydd. Många tjänster som stöds av oss (inklusive mycket välkända i landet!) är skyddade från DDoS-Guard, G-Core Labs och är ganska nöjda med de erhållna resultaten.
Attacker stött bort av Qrator
Jag har också erfarenhet av små säkerhetsoperatörer som cloud-shield.ru, ddosa.net, tusentals av dem. Jag kommer definitivt inte att rekommendera det, eftersom... Jag har inte mycket erfarenhet, men jag ska berätta om principerna för deras arbete. Deras kostnad för skydd är ofta 1-2 storleksordningar lägre än för stora aktörer. Som regel köper de en partiell skyddstjänst (L3/L4) från någon av de större spelarna + gör ett eget skydd mot attacker på högre nivåer. Detta kan vara ganska effektivt + du kan få bra service för mindre pengar, men det här är fortfarande små företag med en liten personalstyrka, tänk på det.
Vad är svårigheten att avvärja attacker på L7-nivå?
Alla applikationer är unika och du måste tillåta trafik som är användbar för dem och blockera skadliga. Det är inte alltid möjligt att definitivt sålla bort bots, så du måste använda många, riktigt MÅNGA grader av trafikrening.
En gång i tiden räckte modulen nginx-testcookie (), och det räcker fortfarande för att avvärja ett stort antal attacker. När jag arbetade i värdbranschen var L7-skyddet baserat på nginx-testcookie.
Tyvärr har attackerna blivit svårare. testcookie använder JS-baserade botkontroller, och många moderna bots kan klara dem.
Attackbotnät är också unika, och varje stort botnäts egenskaper måste beaktas.
Amplifiering, direkt översvämning från ett botnät, filtrering av trafik från olika länder (olika filtrering för olika länder), SYN/ACK flooding, paketfragmentering, ICMP, http flooding, medan du på applikations-/http-nivå kan komma upp med ett obegränsat antal olika attacker.
Totalt, på nivån för kanalskydd, specialiserad utrustning för att rensa trafik, speciell programvara, ytterligare filtreringsinställningar för varje klient kan det finnas tiotals och hundratals filtreringsnivåer.
För att korrekt hantera detta och korrekt ställa in filtreringsinställningarna för olika användare behöver du mycket erfarenhet och kvalificerad personal. Även en stor operatör som har bestämt sig för att tillhandahålla skyddstjänster kan inte "dumma kasta pengar på problemet": erfarenhet kommer att behöva vinnas från lögnsajter och falska positiva resultat om legitim trafik.
Det finns ingen "repel DDoS"-knapp för säkerhetsoperatören; det finns ett stort antal verktyg och du måste veta hur du använder dem.
Och ytterligare ett bonusexempel.
En oskyddad server blockerades av värden under en attack med en kapacitet på 600 Mbit
("Förlusten" av trafik är inte märkbar, eftersom endast 1 webbplats attackerades, den togs tillfälligt bort från servern och blockeringen hävdes inom en timme).
Samma server är skyddad. Angriparna "kapitulerade" efter en dag av avvisade attacker. Attacken i sig var inte den starkaste.
Attack och försvar av L3/L4 är mer triviala, de beror främst på tjockleken på kanalerna, detekterings- och filtreringsalgoritmer för attacker.
L7-attacker är mer komplexa och originella, de beror på applikationen som attackeras, angriparnas kapacitet och fantasi. Skydd mot dem kräver mycket kunskap och erfarenhet, och resultatet kanske inte blir omedelbart och inte hundra procent. Tills Google kom med ett annat neuralt nätverk för skydd.
Källa: will.com