Katika robo mbili za kwanza za 2020, idadi ya mashambulio ya DDoS karibu mara tatu, huku 65% yao yakiwa majaribio ya awali ya "jaribio la upakiaji" ambalo "huzima" tovuti zisizo na ulinzi za maduka madogo ya mtandaoni, vikao, blogu na vyombo vya habari.
Jinsi ya kuchagua mwenyeji aliyelindwa na DDoS? Unapaswa kuzingatia nini na unapaswa kujiandaa nini ili usiishie katika hali mbaya?
(Chanjo dhidi ya uuzaji wa "kijivu" ndani)
Upatikanaji na aina mbalimbali za zana za kutekeleza mashambulizi ya DDoS huwalazimisha wamiliki wa huduma za mtandao kuchukua hatua zinazofaa ili kukabiliana na tishio. Unapaswa kufikiria juu ya ulinzi wa DDoS sio baada ya kutofaulu kwa kwanza, na sio hata kama sehemu ya seti ya hatua za kuongeza uvumilivu wa makosa ya miundombinu, lakini katika hatua ya kuchagua tovuti ya uwekaji (mtoa huduma mwenyeji au kituo cha data).
Mashambulizi ya DDoS huainishwa kulingana na itifaki ambazo udhaifu wake unatumiwa kwa viwango vya muundo wa Open Systems Interconnection (OSI):
- kituo (L2),
- mtandao (L3),
- usafiri (L4),
- kutumika (L7).
Kutoka kwa mtazamo wa mifumo ya usalama, inaweza kugawanywa katika vikundi viwili: mashambulizi ya kiwango cha miundombinu (L2-L4) na mashambulizi ya kiwango cha maombi (L7). Hii ni kutokana na mlolongo wa utekelezaji wa algorithms ya uchanganuzi wa trafiki na utata wa hesabu: tunapoangalia zaidi pakiti ya IP, nguvu zaidi ya kompyuta inahitajika.
Kwa ujumla, shida ya kuongeza mahesabu wakati wa usindikaji wa trafiki kwa wakati halisi ni mada ya safu tofauti za vifungu. Sasa hebu tufikirie kuwa kuna mtoa huduma wa wingu aliye na rasilimali za kompyuta zisizo na kikomo ambazo zinaweza kulinda tovuti dhidi ya mashambulizi ya kiwango cha programu (pamoja na ).
Maswali 3 kuu ya kubainisha kiwango cha kupangisha usalama dhidi ya mashambulizi ya DDoS
Hebu tuangalie sheria na masharti ya ulinzi dhidi ya mashambulizi ya DDoS na Makubaliano ya Kiwango cha Huduma (SLA) ya mtoa huduma mwenyeji. Je, yana majibu ya maswali yafuatayo:
- ni mapungufu gani ya kiufundi yaliyotajwa na mtoa huduma??
- nini kinatokea mteja anapovuka mipaka?
- Je, mtoa huduma mwenyeji hujenga ulinzi dhidi ya mashambulizi ya DDoS (teknolojia, suluhu, wasambazaji)?
Ikiwa haujapata habari hii, basi hii ndiyo sababu ya kufikiri juu ya uzito wa mtoa huduma, au kuandaa ulinzi wa msingi wa DDoS (L3-4) peke yako. Kwa mfano, agiza muunganisho wa kimwili kwenye mtandao wa mtoa huduma maalum wa usalama.
Muhimu! Hakuna maana ya kutoa ulinzi dhidi ya mashambulizi ya kiwango cha programu kwa kutumia Reverse Proksi ikiwa mtoa huduma wako wa kupangisha hawezi kutoa ulinzi dhidi ya mashambulizi ya kiwango cha miundombinu: vifaa vya mtandao vitapakiwa kupita kiasi na kutopatikana, ikiwa ni pamoja na kwa seva mbadala za mtoa huduma wa wingu (Kielelezo. 1).
Kielelezo 1. Shambulio la moja kwa moja kwenye mtandao wa mtoa huduma mwenyeji
Na usiwaruhusu kujaribu kukuambia hadithi za hadithi kwamba anwani halisi ya IP ya seva imefichwa nyuma ya wingu la mtoa huduma wa usalama, ambayo inamaanisha kuwa haiwezekani kuishambulia moja kwa moja. Katika matukio tisa kati ya kumi, haitakuwa vigumu kwa mshambuliaji kupata anwani halisi ya IP ya seva au angalau mtandao wa mtoa huduma mwenyeji ili "kuharibu" kituo kizima cha data.
Jinsi wadukuzi hutenda katika kutafuta anwani halisi ya IP
Chini ya waharibifu kuna njia kadhaa za kutafuta anwani halisi ya IP (iliyotolewa kwa madhumuni ya habari).
Njia ya 1: Tafuta katika vyanzo wazi
Unaweza kuanza utafutaji wako na huduma ya mtandaoni: Hutafuta wavuti giza, majukwaa ya kushiriki hati, kuchakata data ya Whois, uvujaji wa data ya umma na vyanzo vingine vingi.
Ikiwa, kwa kuzingatia baadhi ya ishara (vichwa vya HTTP, data ya Whois, n.k.), iliwezekana kuamua kuwa ulinzi wa tovuti umepangwa kwa kutumia Cloudflare, basi unaweza kuanza kutafuta IP halisi kutoka., ambayo ina anwani za IP zipatazo milioni 3 za tovuti zilizo nyuma ya Cloudflare.
Kwa kutumia cheti cha SSL na huduma unaweza kupata taarifa nyingi muhimu, ikiwa ni pamoja na anwani halisi ya IP ya tovuti. Ili kutoa ombi la rasilimali yako, nenda kwenye kichupo cha Vyeti na uweke:
_majina.yamechanganuliwa: jinatovuti NA tags.raw: kuaminiwa
Ili kutafuta anwani za IP za seva kwa kutumia cheti cha SSL, itabidi upitie mwenyewe orodha kunjuzi ukitumia zana kadhaa (kichupo cha "Gundua", kisha uchague "Wapangishi wa IPv4").
Njia ya 2: DNS
Kutafuta historia ya mabadiliko ya rekodi ya DNS ni njia ya zamani, iliyothibitishwa. Anwani ya awali ya IP ya tovuti inaweza kuifanya iwe wazi ni mwenyeji gani (au kituo cha data) ilikuwa iko. Miongoni mwa huduma za mtandaoni katika suala la urahisi wa matumizi, zifuatazo zinajulikana: ΠΈ .
Unapobadilisha mipangilio, tovuti haitatumia mara moja anwani ya IP ya mtoa huduma wa usalama wa wingu au CDN, lakini itafanya kazi moja kwa moja kwa muda fulani. Katika kesi hii, kuna uwezekano kwamba huduma za mtandaoni za kuhifadhi historia ya mabadiliko ya anwani ya IP zina habari kuhusu anwani ya chanzo cha tovuti.
Ikiwa hakuna chochote isipokuwa jina la seva ya zamani ya DNS, kisha ukitumia huduma maalum (chimba, mwenyeji au nslookup) unaweza kuomba anwani ya IP kwa jina la kikoa la tovuti, kwa mfano:
_dig @old_dns_server_nametovuti
Njia ya 3: barua pepe
Wazo la njia ni kutumia maoni/fomu ya usajili (au njia nyingine yoyote inayokuruhusu kuanzisha kutuma barua) kupokea barua kwa barua pepe yako na kuangalia vichwa, haswa sehemu ya "Iliyopokelewa". .
Kichwa cha barua pepe mara nyingi huwa na anwani halisi ya IP ya rekodi ya MX (seva ya kubadilishana barua pepe), ambayo inaweza kuwa mahali pa kuanzia kutafuta seva zingine kwenye lengo.
Tafuta Zana za Uendeshaji
Programu ya utaftaji wa IP nyuma ya ngao ya Cloudflare mara nyingi hufanya kazi kwa kazi tatu:
- Changanua kwa usanidi usiofaa wa DNS kwa kutumia DNSDumpster.com;
- Scan database ya Crimeflare.com;
- tafuta vikoa vidogo kwa kutumia mbinu ya utafutaji wa kamusi.
Kupata vikoa vidogo mara nyingi ndio chaguo bora zaidi kati ya hizo tatu - mmiliki wa tovuti anaweza kulinda tovuti kuu na kuacha vikoa vidogo vikiendelea moja kwa moja. Njia rahisi ya kuangalia ni kutumia .
Kwa kuongeza, kuna huduma zilizoundwa tu kwa ajili ya kutafuta vikoa vidogo kwa kutumia utafutaji wa kamusi na utafutaji katika vyanzo wazi, kwa mfano: au .
Jinsi utafutaji unavyofanyika katika mazoezi
Kwa mfano, hebu tuchukue tovuti seo.com kwa kutumia Cloudflare, ambayo tutapata kwa kutumia huduma inayojulikana (inakuruhusu kuamua teknolojia / injini / CMS ambayo tovuti inafanya kazi, na kinyume chake - tafuta tovuti na teknolojia zinazotumiwa).
Unapobofya kichupo cha "Wapangishi wa IPv4", huduma itaonyesha orodha ya wapangishi wanaotumia cheti. Ili kupata unayohitaji, tafuta anwani ya IP na bandari ya wazi 443. Ikiwa inaelekeza kwenye tovuti inayotakiwa, basi kazi imekamilika, vinginevyo unahitaji kuongeza jina la kikoa la tovuti kwenye kichwa cha "Host" cha Ombi la HTTP (kwa mfano, *curl -H "Host: site_name" *).
Kwa upande wetu, utafutaji katika hifadhidata ya Censys haukutoa chochote, kwa hiyo tunaendelea.
Tutafanya utafutaji wa DNS kupitia huduma.
Kwa kutafuta kupitia anwani zilizotajwa katika orodha za seva za DNS kwa kutumia shirika la CloudFail, tunapata rasilimali za kazi. Matokeo yatakuwa tayari katika sekunde chache.
Kwa kutumia data wazi pekee na zana rahisi, tuliamua anwani halisi ya IP ya seva ya wavuti. Mengine kwa mshambuliaji ni suala la mbinu.
Hebu turudi kwenye kuchagua mtoaji mwenyeji. Ili kutathmini manufaa ya huduma kwa mteja, tutazingatia mbinu zinazowezekana za ulinzi dhidi ya mashambulizi ya DDoS.
Jinsi mtoa huduma mwenyeji hujenga ulinzi wake
- Mfumo wa ulinzi mwenyewe na vifaa vya kuchuja (Mchoro 2).
Inahitaji:
1.1. Vifaa vya kuchuja trafiki na leseni za programu;
1.2. Wataalam wa wakati wote kwa msaada na uendeshaji wake;
1.3. Njia za kufikia mtandao ambazo zitatosha kupokea mashambulizi;
1.4. Kipimo data muhimu cha kulipia kabla cha kupokea trafiki "takataka".
Kielelezo 2. Mfumo wa usalama wa mtoa huduma mwenyeji
Ikiwa tunazingatia mfumo ulioelezewa kama njia ya ulinzi dhidi ya mashambulizi ya kisasa ya DDoS ya mamia ya Gbps, basi mfumo huo utagharimu pesa nyingi. Je, mtoa huduma mwenyeji ana ulinzi kama huo? Je, yuko tayari kulipa trafiki ya "junk"? Kwa wazi, mfano huo wa kiuchumi hauna faida kwa mtoa huduma ikiwa ushuru hautoi malipo ya ziada. - Reverse Proksi (kwa tovuti na baadhi ya programu tu). Licha ya idadi , mtoa huduma haihakikishii ulinzi dhidi ya mashambulizi ya moja kwa moja ya DDoS (ona Mchoro 1). Watoa huduma wa upangishaji mara nyingi hutoa suluhisho kama tiba, kuhamisha jukumu kwa mtoa huduma wa usalama.
- Huduma za mtoa huduma wa wingu maalumu (matumizi ya mtandao wake wa kuchuja) ili kulinda dhidi ya mashambulizi ya DDoS katika viwango vyote vya OSI (Mchoro 3).
Mchoro 3. Ulinzi wa kina dhidi ya mashambulizi ya DDoS kwa kutumia mtoa huduma maalumu
inachukua ushirikiano wa kina na kiwango cha juu cha uwezo wa kiufundi wa pande zote mbili. Utoaji huduma za uchujaji wa trafiki huruhusu mtoa huduma mwenyeji kupunguza bei ya huduma za ziada kwa mteja.
Muhimu! Kadiri sifa za kiufundi za huduma zinazotolewa zinavyoelezewa, ndivyo nafasi kubwa ya kudai utekelezaji wao au fidia ikiwa kuna wakati wa kupumzika.
Mbali na njia tatu kuu, kuna mchanganyiko na mchanganyiko wengi. Wakati wa kuchagua mwenyeji, ni muhimu kwa mteja kukumbuka kuwa uamuzi hautategemea tu ukubwa wa mashambulizi yaliyozuiliwa na usahihi wa kuchuja, lakini pia juu ya kasi ya majibu, pamoja na maudhui ya habari (orodha ya mashambulizi yaliyozuiwa, na pia kwa kasi ya majibu, pamoja na maudhui ya habari). takwimu za jumla, nk).
Kumbuka kwamba ni watoa huduma wachache tu duniani wanaoweza kutoa kiwango kinachokubalika cha ulinzi wao wenyewe; katika hali nyingine, ushirikiano na ujuzi wa kiufundi husaidia. Kwa hivyo, kuelewa kanuni za msingi za kuandaa ulinzi dhidi ya mashambulizi ya DDoS itamruhusu mmiliki wa tovuti asianguke kwa hila za uuzaji na asinunue "nguruwe kwenye poke."
Chanzo: mapenzi.com