"Mtu ambaye alifanya tovuti yetu tayari kuweka ulinzi wa DDoS."
"Tuna ulinzi wa DDoS, kwa nini tovuti ilipungua?"
"Qrator anataka maelfu ngapi?"
Ili kujibu vizuri maswali kama haya kutoka kwa mteja/bosi, itakuwa nzuri kujua ni nini kimefichwa nyuma ya jina "ulinzi wa DDoS". Kuchagua huduma za usalama ni kama kuchagua dawa kutoka kwa daktari kuliko kuchagua meza kwenye IKEA.
Nimekuwa nikisaidia tovuti kwa miaka 11, nimenusurika mamia ya mashambulizi kwenye huduma ninazounga mkono, na sasa nitakuambia kidogo kuhusu kazi za ndani za ulinzi.
Mashambulizi ya mara kwa mara. 350k jumla ya req, 52k req halali
Mashambulizi ya kwanza yalionekana karibu wakati huo huo na mtandao. DDoS kama jambo limeenea tangu mwishoni mwa miaka ya 2000 (angalia ).
Tangu takriban 2015-2016, karibu watoa huduma wote wa kukaribisha wamelindwa dhidi ya mashambulizi ya DDoS, kama vile tovuti maarufu katika maeneo yenye ushindani (do whois na IP ya tovuti eldorado.ru, leroymerlin.ru, tilda.ws, utaona mitandao wa waendeshaji ulinzi).
Ikiwa miaka 10-20 iliyopita mashambulizi mengi yanaweza kuondolewa kwenye seva yenyewe (tathmini mapendekezo ya msimamizi wa mfumo wa Lenta.ru Maxim Moshkov kutoka miaka ya 90: ), lakini sasa kazi za ulinzi zimekuwa ngumu zaidi.
Aina za mashambulizi ya DDoS kutoka kwa mtazamo wa kuchagua operator wa ulinzi
Mashambulizi katika kiwango cha L3/L4 (kulingana na muundo wa OSI)
- mafuriko ya UDP kutoka kwa botnet (maombi mengi hutumwa moja kwa moja kutoka kwa vifaa vilivyoambukizwa hadi kwa huduma iliyoshambuliwa, seva zimezuiwa na chaneli);
Ukuzaji wa DNS/NTP/nk (maombi mengi hutumwa kutoka kwa vifaa vilivyoambukizwa hadi kwa DNS/NTP/n.k., anwani ya mtumaji imeghushiwa, wingu la pakiti zinazojibu maombi hufurika chaneli ya mtu anayeshambuliwa; hivi ndivyo zaidi mashambulizi makubwa yanafanywa kwenye mtandao wa kisasa);
- mafuriko ya SYN / ACK (maombi mengi ya kuanzisha muunganisho yanatumwa kwa seva zilizoshambuliwa, foleni ya uunganisho inafurika);
- mashambulizi na mgawanyiko wa pakiti, ping ya kifo, mafuriko ya ping (tafadhali Google);
- Nakadhalika.
Mashambulizi haya yanalenga "kuziba" chaneli ya seva au "kuua" uwezo wake wa kukubali trafiki mpya.
Ingawa mafuriko na ukuzaji wa SYN/ACK ni tofauti sana, kampuni nyingi hupambana nazo kwa usawa. Matatizo hutokea kwa mashambulizi kutoka kwa kundi linalofuata.
Mashambulizi kwenye L7 (safu ya maombi)
- mafuriko ya http (ikiwa tovuti au api fulani ya http inashambuliwa);
- shambulio kwenye maeneo yenye mazingira magumu ya tovuti (wale ambao hawana cache, ambayo hupakia tovuti kwa uzito sana, nk).
Kusudi ni kufanya seva "ifanye kazi kwa bidii", kusindika "maombi yanayoonekana kuwa ya kweli" na kuachwa bila rasilimali kwa maombi halisi.
Ingawa kuna mashambulizi mengine, haya ni ya kawaida zaidi.
Mashambulizi makubwa katika kiwango cha L7 huundwa kwa njia ya kipekee kwa kila mradi unaoshambuliwa.
Kwa nini vikundi 2?
Kwa sababu kuna wengi wanaojua jinsi ya kurudisha mashambulizi vizuri katika kiwango cha L3/L4, lakini ama hawachukui ulinzi katika kiwango cha maombi (L7) kabisa, au bado ni dhaifu kuliko njia mbadala katika kushughulika nao.
Nani ni nani katika soko la ulinzi la DDoS
(maoni yangu binafsi)
Ulinzi katika kiwango cha L3/L4
Ili kurudisha shambulio kwa ukuzaji ("kuziba" kwa chaneli ya seva), kuna njia pana za kutosha (huduma nyingi za ulinzi huunganishwa na watoa huduma wengi wa uti wa mgongo nchini Urusi na kuwa na chaneli zilizo na uwezo wa kinadharia wa zaidi ya 1 Tbit). Usisahau kwamba mashambulizi ya nadra sana ya kukuza hudumu zaidi ya saa moja. Ikiwa wewe ni Spamhaus na kila mtu hakupendi, ndiyo, wanaweza kujaribu kuzima chaneli zako kwa siku kadhaa, hata kwa hatari ya kuendelea kuwepo kwa botnet ya kimataifa inayotumiwa. Ikiwa una duka la mtandaoni tu, hata ikiwa ni mvideo.ru, hutaona 1 Tbit ndani ya siku chache hivi karibuni (natumaini).
Ili kuzuia mashambulizi kwa mafuriko ya SYN/ACK, kugawanyika kwa pakiti, nk., unahitaji vifaa au mifumo ya programu ili kugundua na kukomesha mashambulizi kama hayo.
Watu wengi huzalisha vifaa hivyo (Arbor, kuna ufumbuzi kutoka kwa Cisco, Huawei, utekelezaji wa programu kutoka kwa Wanguard, nk), waendeshaji wengi wa uti wa mgongo tayari wameiweka na kuuza huduma za ulinzi wa DDoS (najua kuhusu mitambo kutoka Rostelecom, Megafon, TTK, MTS , kwa kweli, watoa huduma wote wakuu hufanya sawa na wahudumu na ulinzi wao wenyewe a-la OVH.com, Hetzner.de, mimi mwenyewe nilikutana na ulinzi kwenye ihor.ru). Baadhi ya makampuni yanatengeneza suluhu zao za programu (teknolojia kama vile DPDK hufanya iwezekane kuchakata makumi ya gigabiti za trafiki kwenye mashine moja ya x86).
Kati ya wachezaji wanaojulikana, kila mtu anaweza kupigana na L3/L4 DDoS kwa ufanisi zaidi au chini. Sasa sitasema ni nani aliye na uwezo mkubwa zaidi wa chaneli (hii ni habari ya ndani), lakini kwa kawaida hii sio muhimu sana, na tofauti pekee ni jinsi ulinzi unavyoanzishwa haraka (papo hapo au baada ya dakika chache za kupunguzwa kwa mradi, kama katika Hetzner).
Swali ni jinsi hii inafanywa vizuri: shambulio la ukuzaji linaweza kuzuiwa kwa kuzuia trafiki kutoka kwa nchi zilizo na kiwango kikubwa cha trafiki hatari, au ni trafiki isiyo ya lazima tu inaweza kutupwa.
Lakini wakati huo huo, kulingana na uzoefu wangu, wachezaji wote wa soko kubwa wanakabiliana na hili bila matatizo: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (zamani SkyParkCDN), ServicePipe, Stormwall, Voxility, nk.
Sijapata ulinzi kutoka kwa waendeshaji kama vile Rostelecom, Megafon, TTK, Beeline; kulingana na hakiki kutoka kwa wenzako, hutoa huduma hizi vizuri, lakini hadi sasa ukosefu wa uzoefu unaathiri mara kwa mara: wakati mwingine unahitaji kurekebisha kitu kupitia usaidizi. ya mwendeshaji ulinzi.
Baadhi ya waendeshaji wana huduma tofauti "ulinzi dhidi ya mashambulizi katika kiwango cha L3/L4", au "ulinzi wa kituo"; inagharimu kidogo sana kuliko ulinzi katika viwango vyote.
Kwa nini mtoa huduma wa uti wa mgongo hauzuii mashambulizi ya mamia ya Gbits, kwa kuwa haina njia zake?Opereta wa ulinzi anaweza kuunganishwa na watoa huduma wowote wakuu na kuzuia mashambulizi "kwa gharama yake." Utalazimika kulipia chaneli, lakini mamia haya yote ya Gbits hayatatumika kila wakati; kuna chaguzi za kupunguza kwa kiasi kikubwa gharama ya chaneli katika kesi hii, kwa hivyo mpango unabaki kufanya kazi.
Hizi ndizo ripoti nilizopokea mara kwa mara kutoka kwa ulinzi wa kiwango cha juu cha L3/L4 huku nikisaidia mifumo ya mtoa huduma mwenyeji.
Ulinzi katika kiwango cha L7 (kiwango cha maombi)
Mashambulizi katika kiwango cha L7 (kiwango cha maombi) yanaweza kurudisha vitengo mara kwa mara na kwa ufanisi.
Nina uzoefu mwingi wa kweli na
- Qrator.net;
- DDoS-Guard;
- Maabara ya G-Core;
- Kaspersky.
Wanachaji kwa kila megabit ya trafiki safi, megabit inagharimu rubles elfu kadhaa. Ikiwa una angalau Mbps 100 za trafiki safi - oh. Ulinzi utakuwa ghali sana. Ninaweza kukuambia katika makala zifuatazo jinsi ya kuunda programu ili kuokoa mengi juu ya uwezo wa njia za usalama.
"Mfalme wa kilima" halisi ni Qrator.net, wengine wako nyuma yao. Qrator hadi sasa ndio pekee katika uzoefu wangu ambao hutoa asilimia ya chanya za uwongo karibu na sifuri, lakini wakati huo huo ni ghali mara kadhaa kuliko wachezaji wengine wa soko.
Waendeshaji wengine pia hutoa ulinzi wa hali ya juu na thabiti. Huduma nyingi zinazoungwa mkono na sisi (ikiwa ni pamoja na zinazojulikana sana nchini!) zinalindwa dhidi ya DDoS-Guard, G-Core Labs, na zimeridhika kabisa na matokeo yaliyopatikana.
Mashambulizi yaliyozuiwa na Qrator
Pia nina uzoefu na waendeshaji usalama wadogo kama cloud-shield.ru, ddosa.net, maelfu yao. Hakika sitaipendekeza, kwa sababu ... Sina uzoefu mwingi, lakini nitakuambia kuhusu kanuni za kazi zao. Gharama yao ya ulinzi mara nyingi ni amri 1-2 za ukubwa wa chini kuliko ile ya wachezaji wakuu. Kama sheria, wananunua huduma ya ulinzi wa sehemu (L3/L4) kutoka kwa mmoja wa wachezaji wakubwa + hufanya ulinzi wao wenyewe dhidi ya mashambulizi katika viwango vya juu. Hii inaweza kuwa na ufanisi kabisa + unaweza kupata huduma nzuri kwa pesa kidogo, lakini hizi bado ni kampuni ndogo zilizo na wafanyikazi wadogo, tafadhali kumbuka hilo.
Kuna ugumu gani wa kurudisha mashambulizi katika kiwango cha L7?
Programu zote ni za kipekee, na unahitaji kuruhusu trafiki ambayo ni muhimu kwao na kuzuia hatari. Si mara zote inawezekana kupalilia roboti bila usawa, kwa hivyo lazima utumie digrii NYINGI za utakaso wa trafiki.
Hapo zamani, moduli ya nginx-testcookie ilikuwa ya kutosha (), na bado inatosha kurudisha idadi kubwa ya mashambulio. Nilipofanya kazi katika tasnia ya ukaribishaji, ulinzi wa L7 ulitokana na nginx-testcookie.
Kwa bahati mbaya, mashambulizi yamekuwa magumu zaidi. testcookie hutumia ukaguzi wa roboti unaotegemea JS, na roboti nyingi za kisasa zinaweza kuzipitisha kwa mafanikio.
Botnets ya mashambulizi pia ni ya pekee, na sifa za kila botnet kubwa lazima zizingatiwe.
Kukuza, mafuriko ya moja kwa moja kutoka kwa botnet, kuchuja trafiki kutoka nchi tofauti (kuchuja tofauti kwa nchi tofauti), mafuriko ya SYN/ACK, mgawanyiko wa pakiti, ICMP, mafuriko ya http, wakati katika kiwango cha maombi/http unaweza kupata idadi isiyo na kikomo ya mashambulizi tofauti.
Kwa jumla, katika kiwango cha ulinzi wa kituo, vifaa maalum vya kusafisha trafiki, programu maalum, mipangilio ya ziada ya kuchuja kwa kila mteja kunaweza kuwa na makumi na mamia ya viwango vya kuchuja.
Ili kudhibiti hili vizuri na kuweka mipangilio ya uchujaji kwa watumiaji tofauti kwa usahihi, unahitaji uzoefu mwingi na wafanyikazi waliohitimu. Hata mwendeshaji mkubwa ambaye ameamua kutoa huduma za ulinzi hawezi "kutupa pesa kwa ujinga": uzoefu utalazimika kupatikana kutoka kwa tovuti za uwongo na chanya za uwongo kwenye trafiki halali.
Hakuna kitufe cha "ondoa DDoS" kwa mwendeshaji usalama; kuna idadi kubwa ya zana, na unahitaji kujua jinsi ya kuzitumia.
Na mfano mmoja zaidi wa bonasi.
Seva isiyolindwa ilizuiwa na mpangishaji wakati wa shambulio lenye uwezo wa 600 Mbit
("Hasara" ya trafiki haionekani, kwa sababu tovuti 1 pekee ndiyo iliyoshambuliwa, iliondolewa kwa muda kutoka kwa seva na kizuizi kiliondolewa ndani ya saa moja).
Seva hiyo hiyo inalindwa. Washambuliaji "walijisalimisha" baada ya siku ya mashambulizi yaliyorudishwa nyuma. Shambulio lenyewe halikuwa na nguvu zaidi.
Mashambulizi na ulinzi wa L3/L4 ni mdogo zaidi; hutegemea sana unene wa chaneli, kugundua na kuchuja algoriti kwa shambulio.
Mashambulizi ya L7 ni magumu zaidi na asilia; yanategemea programu inayoshambuliwa, uwezo na mawazo ya washambuliaji. Ulinzi dhidi yao unahitaji ujuzi na uzoefu mwingi, na matokeo hayawezi kuwa ya haraka na si asilimia mia moja. Hadi Google ilipokuja na mtandao mwingine wa neva kwa ajili ya ulinzi.
Chanzo: mapenzi.com