"எங்கள் வலைத்தளத்தை உருவாக்கியவர் ஏற்கனவே DDoS பாதுகாப்பை அமைத்துள்ளார்."
"எங்களிடம் DDoS பாதுகாப்பு உள்ளது, தளம் ஏன் செயலிழந்தது?"
"Qratorக்கு எத்தனை ஆயிரம் வேண்டும்?"
வாடிக்கையாளர்/முதலாளியின் இதுபோன்ற கேள்விகளுக்கு சரியாக பதிலளிக்க, "DDoS பாதுகாப்பு" என்ற பெயருக்கு பின்னால் என்ன மறைக்கப்பட்டுள்ளது என்பதை அறிவது நல்லது. பாதுகாப்பு சேவைகளைத் தேர்ந்தெடுப்பது, IKEA இல் டேபிளைத் தேர்ந்தெடுப்பதை விட மருத்துவரிடம் இருந்து மருந்தைத் தேர்ந்தெடுப்பது போன்றது.
நான் 11 ஆண்டுகளாக வலைத்தளங்களை ஆதரித்து வருகிறேன், நான் ஆதரிக்கும் சேவைகள் மீதான நூற்றுக்கணக்கான தாக்குதல்களைத் தப்பிப்பிழைத்தேன், இப்போது பாதுகாப்பின் உள் செயல்பாடுகளைப் பற்றி நான் உங்களுக்குச் சொல்கிறேன்.
வழக்கமான தாக்குதல்கள். மொத்தம் 350k req, 52k req முறையானது
முதல் தாக்குதல்கள் இணையத்துடன் கிட்டத்தட்ட ஒரே நேரத்தில் தோன்றின. DDoS ஒரு நிகழ்வாக 2000 களின் பிற்பகுதியிலிருந்து பரவலாகிவிட்டது (பார்க்கவும் ).
ஏறக்குறைய 2015-2016 முதல், கிட்டத்தட்ட அனைத்து ஹோஸ்டிங் வழங்குநர்களும் DDoS தாக்குதல்களிலிருந்து பாதுகாக்கப்பட்டுள்ளனர், போட்டிப் பகுதிகளில் உள்ள முக்கிய தளங்களைப் போலவே (eldorado.ru, leroymerlin.ru, tilda.ws தளங்களின் ஐபி மூலம் ஹூஇஸ் செய்யுங்கள், நீங்கள் நெட்வொர்க்குகளைப் பார்ப்பீர்கள். பாதுகாப்பு ஆபரேட்டர்கள்).
10-20 ஆண்டுகளுக்கு முன்பு, பெரும்பாலான தாக்குதல்களை சேவையகத்திலேயே தடுக்க முடியும் என்றால் (90 களில் இருந்து Lenta.ru கணினி நிர்வாகி மாக்சிம் மோஷ்கோவின் பரிந்துரைகளை மதிப்பீடு செய்யவும்: ), ஆனால் இப்போது பாதுகாப்பு பணிகள் மிகவும் கடினமாகிவிட்டன.
பாதுகாப்பு ஆபரேட்டரைத் தேர்ந்தெடுக்கும் பார்வையில் DDoS தாக்குதல்களின் வகைகள்
L3/L4 அளவில் தாக்குதல்கள் (OSI மாதிரியின் படி)
- ஒரு போட்நெட்டிலிருந்து UDP வெள்ளம் (பல கோரிக்கைகள் பாதிக்கப்பட்ட சாதனங்களிலிருந்து நேரடியாக தாக்கப்பட்ட சேவைக்கு அனுப்பப்படுகின்றன, சேனலுடன் சேவையகங்கள் தடுக்கப்படுகின்றன);
— DNS/NTP/etc பெருக்கம் (பாதிக்கப்பட்ட சாதனங்களிலிருந்து பாதிக்கப்படக்கூடிய DNS/NTP/etcக்கு பல கோரிக்கைகள் அனுப்பப்படுகின்றன, அனுப்புநரின் முகவரி போலியானது, கோரிக்கைகளுக்கு பதிலளிக்கும் பாக்கெட்டுகளின் மேகம் தாக்கப்பட்ட நபரின் சேனலை வெள்ளத்தில் மூழ்கடிக்கிறது; இப்படித்தான் அதிகம் நவீன இணையத்தில் பாரிய தாக்குதல்கள் மேற்கொள்ளப்படுகின்றன);
— SYN / ACK வெள்ளம் (இணைப்பை நிறுவுவதற்கான பல கோரிக்கைகள் தாக்கப்பட்ட சேவையகங்களுக்கு அனுப்பப்படுகின்றன, இணைப்பு வரிசை நிரம்பி வழிகிறது);
- பாக்கெட் துண்டு துண்டான தாக்குதல்கள், பிங் ஆஃப் டெத், பிங் வெள்ளம் (கூகுள் இட் ப்ளீஸ்);
- மற்றும் பல.
இந்த தாக்குதல்கள் சேவையகத்தின் சேனலை "அடைக்க" அல்லது புதிய போக்குவரத்தை ஏற்றுக்கொள்ளும் திறனை "கொல்ல" நோக்கமாகக் கொண்டுள்ளன.
SYN/ACK வெள்ளம் மற்றும் பெருக்கம் மிகவும் வேறுபட்டவை என்றாலும், பல நிறுவனங்கள் சமமாக அவற்றை எதிர்த்துப் போராடுகின்றன. அடுத்த குழுவின் தாக்குதல்களால் சிக்கல்கள் எழுகின்றன.
L7 மீதான தாக்குதல்கள் (பயன்பாட்டு அடுக்கு)
- http வெள்ளம் (ஒரு வலைத்தளம் அல்லது சில http api தாக்கப்பட்டால்);
- தளத்தின் பாதிக்கப்படக்கூடிய பகுதிகள் மீதான தாக்குதல் (கேச் இல்லாதவை, தளத்தை அதிக அளவில் ஏற்றுவது போன்றவை).
சேவையகத்தை "கடினமாக வேலை" செய்வதே குறிக்கோள், நிறைய "உண்மையான கோரிக்கைகளை" செயலாக்குதல் மற்றும் உண்மையான கோரிக்கைகளுக்கான ஆதாரங்கள் இல்லாமல் இருக்க வேண்டும்.
மற்ற தாக்குதல்கள் இருந்தாலும், இவை மிகவும் பொதுவானவை.
தாக்கப்படும் ஒவ்வொரு திட்டத்திற்கும் L7 அளவில் தீவிரமான தாக்குதல்கள் தனிப்பட்ட முறையில் உருவாக்கப்படுகின்றன.
ஏன் 2 குழுக்கள்?
ஏனெனில், L3/L4 அளவில் தாக்குதல்களை எப்படி நன்றாகத் தடுப்பது என்பதைத் தெரிந்தவர்கள் பலர் உள்ளனர், ஆனால் பயன்பாட்டு மட்டத்தில் (L7) பாதுகாப்பை மேற்கொள்ள வேண்டாம் அல்லது அவற்றைக் கையாள்வதில் மாற்று வழிகளைக் காட்டிலும் பலவீனமாக உள்ளனர்.
DDoS பாதுகாப்பு சந்தையில் யார் யார்
(எனது தனிப்பட்ட கருத்து)
L3/L4 அளவில் பாதுகாப்பு
பெருக்கத்துடன் (சர்வர் சேனலின் "தடை") தாக்குதல்களைத் தடுக்க, போதுமான பரந்த சேனல்கள் உள்ளன (பல பாதுகாப்பு சேவைகள் ரஷ்யாவில் உள்ள பெரும்பாலான பெரிய முதுகெலும்பு வழங்குநர்களுடன் இணைக்கப்பட்டுள்ளன மற்றும் 1 Tbit க்கும் அதிகமான கோட்பாட்டு திறன் கொண்ட சேனல்களைக் கொண்டுள்ளன). மிகவும் அரிதான பெருக்க தாக்குதல்கள் ஒரு மணி நேரத்திற்கும் மேலாக நீடிக்கும் என்பதை மறந்துவிடாதீர்கள். நீங்கள் Spamhaus ஆக இருந்தால் மற்றும் அனைவருக்கும் உங்களைப் பிடிக்கவில்லை என்றால், அவர்கள் உங்கள் சேனல்களை பல நாட்களுக்கு மூட முயற்சி செய்யலாம், உலகளாவிய botnet இன்னும் உயிர்வாழும் அபாயத்தில் கூட. உங்களிடம் ஆன்லைன் ஸ்டோர் இருந்தால், அது mvideo.ru ஆக இருந்தாலும் கூட, சில நாட்களுக்குள் 1 Tbitஐ மிக விரைவில் பார்க்க முடியாது (நான் நம்புகிறேன்).
SYN/ACK வெள்ளம், பாக்கெட் துண்டாடுதல் போன்றவற்றின் மூலம் தாக்குதல்களைத் தடுக்க, அத்தகைய தாக்குதல்களைக் கண்டறிந்து நிறுத்த உங்களுக்கு உபகரணங்கள் அல்லது மென்பொருள் அமைப்புகள் தேவை.
பலர் அத்தகைய உபகரணங்களை உற்பத்தி செய்கிறார்கள் (ஆர்பர், சிஸ்கோ, ஹவாய், வான்கார்டில் இருந்து மென்பொருள் செயலாக்கங்கள், முதலியன), பல முதுகெலும்பு ஆபரேட்டர்கள் ஏற்கனவே அதை நிறுவி DDoS பாதுகாப்பு சேவைகளை விற்கிறார்கள் (Rostelecom, Megafon, TTK, MTS இன் நிறுவல்கள் பற்றி எனக்குத் தெரியும். , உண்மையில், அனைத்து முக்கிய வழங்குநர்களும் தங்கள் சொந்த பாதுகாப்பு a-la OVH.com, Hetzner.de உடன் ஹோஸ்டர்களுடன் இதைச் செய்கிறார்கள், ihor.ru இல் நானே பாதுகாப்பை எதிர்கொண்டேன்). சில நிறுவனங்கள் தங்களுடைய சொந்த மென்பொருள் தீர்வுகளை உருவாக்கி வருகின்றன (DPDK போன்ற தொழில்நுட்பங்கள், ஒரு இயற்பியல் x86 இயந்திரத்தில் பல்லாயிரக்கணக்கான கிகாபிட் போக்குவரத்தை செயலாக்க உங்களை அனுமதிக்கின்றன).
நன்கு அறியப்பட்ட வீரர்களில், அனைவரும் அதிகமாகவோ அல்லது குறைவாகவோ L3/L4 DDoS-ஐ எதிர்த்துப் போராட முடியும். யாரிடம் அதிக அதிகபட்ச சேனல் திறன் உள்ளது என்று இப்போது நான் கூறமாட்டேன் (இது உள் தகவல்), ஆனால் பொதுவாக இது அவ்வளவு முக்கியமல்ல, பாதுகாப்பு எவ்வளவு விரைவாகத் தூண்டப்படுகிறது என்பதுதான் ஒரே வித்தியாசம் (உடனடியாக அல்லது சில நிமிட வேலையில்லா நேரத்துக்குப் பிறகு, ஹெட்ஸ்னரைப் போல).
இது எவ்வளவு சிறப்பாகச் செய்யப்படுகிறது என்பது கேள்வி: அதிக அளவு தீங்கு விளைவிக்கும் போக்குவரத்தைக் கொண்ட நாடுகளின் போக்குவரத்தைத் தடுப்பதன் மூலம் பெருக்கத் தாக்குதலைத் தடுக்கலாம் அல்லது உண்மையிலேயே தேவையற்ற போக்குவரத்தை மட்டுமே நிராகரிக்க முடியும்.
ஆனால் அதே நேரத்தில், எனது அனுபவத்தின் அடிப்படையில், அனைத்து தீவிர சந்தை வீரர்களும் இதை சிக்கல்கள் இல்லாமல் சமாளிக்கிறார்கள்: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (முன்னர் SkyParkCDN), ServicePipe, Stormwall, Voxility போன்றவை.
Rostelecom, Megafon, TTK, Beeline போன்ற ஆபரேட்டர்களிடமிருந்து நான் பாதுகாப்பை சந்திக்கவில்லை; சக ஊழியர்களின் மதிப்புரைகளின்படி, அவர்கள் இந்த சேவைகளை நன்றாக வழங்குகிறார்கள், ஆனால் இதுவரை அனுபவமின்மை அவ்வப்போது பாதிக்கிறது: சில நேரங்களில் நீங்கள் ஆதரவின் மூலம் ஏதாவது மாற்ற வேண்டும். பாதுகாப்பு இயக்குனரின்.
சில ஆபரேட்டர்கள் "L3/L4 மட்டத்தில் தாக்குதல்களுக்கு எதிரான பாதுகாப்பு" அல்லது "சேனல் பாதுகாப்பு" என்ற தனி சேவையைக் கொண்டுள்ளனர்; இது அனைத்து மட்டங்களிலும் பாதுகாப்பை விட மிகக் குறைவான செலவாகும்.
முதுகெலும்பு வழங்குநர் நூற்றுக்கணக்கான ஜிபிட்களின் தாக்குதல்களை ஏன் தடுக்கவில்லை, ஏனெனில் அதற்கு சொந்த சேனல்கள் இல்லை?பாதுகாப்பு ஆபரேட்டர் எந்தவொரு முக்கிய வழங்குநர்களுடனும் இணைக்க முடியும் மற்றும் தாக்குதல்களை "அதன் செலவில்" தடுக்க முடியும். சேனலுக்கு நீங்கள் பணம் செலுத்த வேண்டும், ஆனால் இந்த நூற்றுக்கணக்கான ஜிபிட்கள் எப்போதும் பயன்படுத்தப்படாது; இந்த விஷயத்தில் சேனல்களின் விலையை கணிசமாகக் குறைக்க விருப்பங்கள் உள்ளன, எனவே திட்டம் செயல்படக்கூடியதாகவே உள்ளது.
ஹோஸ்டிங் வழங்குநரின் அமைப்புகளை ஆதரிக்கும் போது, உயர்நிலை L3/L4 பாதுகாப்பிலிருந்து நான் தொடர்ந்து பெறும் அறிக்கைகள் இவை.
L7 அளவில் பாதுகாப்பு (பயன்பாட்டு நிலை)
L7 மட்டத்தில் (பயன்பாட்டு நிலை) தாக்குதல்கள் அலகுகளை தொடர்ந்து மற்றும் திறமையாக விரட்ட முடியும்.
எனக்கு நிறைய உண்மையான அனுபவம் உள்ளது
- Qrator.net;
- DDoS-காவலர்;
- ஜி-கோர் ஆய்வகங்கள்;
- காஸ்பர்ஸ்கி.
ஒவ்வொரு மெகாபிட் தூய போக்குவரத்திற்கும் அவர்கள் கட்டணம் வசூலிக்கிறார்கள், ஒரு மெகாபிட் பல ஆயிரம் ரூபிள் செலவாகும். உங்களிடம் குறைந்தபட்சம் 100 Mbps சுத்தமான போக்குவரத்து இருந்தால் - ஓ. பாதுகாப்பு மிகவும் விலை உயர்ந்ததாக இருக்கும். செக்யூரிட்டி சேனல்களின் திறனில் நிறையச் சேமிப்பதற்காக அப்ளிகேஷன்களை எப்படி வடிவமைப்பது என்பதை பின்வரும் கட்டுரைகளில் நான் உங்களுக்குச் சொல்ல முடியும்.
உண்மையான "மலையின் ராஜா" Qrator.net ஆகும், மீதமுள்ளவை அவர்களுக்குப் பின்னால் உள்ளன. Qrator இதுவரை எனது அனுபவத்தில் பூஜ்ஜியத்திற்கு அருகில் தவறான நேர்மறைகளின் சதவீதத்தை வழங்குபவர்கள் மட்டுமே, ஆனால் அதே நேரத்தில் அவை மற்ற சந்தை வீரர்களை விட பல மடங்கு விலை அதிகம்.
மற்ற ஆபரேட்டர்களும் உயர்தர மற்றும் நிலையான பாதுகாப்பை வழங்குகிறார்கள். எங்களால் ஆதரிக்கப்படும் பல சேவைகள் (நாட்டில் மிகவும் நன்கு அறியப்பட்டவை உட்பட!) DDoS-Guard, G-Core Labs ஆகியவற்றிலிருந்து பாதுகாக்கப்படுகின்றன, மேலும் பெறப்பட்ட முடிவுகளில் திருப்திகரமாக உள்ளன.
Qrator மூலம் தாக்குதல்கள் முறியடிக்கப்பட்டன
Cloud-shield.ru, ddosa.net போன்ற சிறிய பாதுகாப்பு ஆபரேட்டர்களுடன் எனக்கு அனுபவம் உள்ளது, அவற்றில் ஆயிரக்கணக்கானவை. நான் நிச்சயமாக அதை பரிந்துரைக்க மாட்டேன், ஏனெனில் ... எனக்கு அதிக அனுபவம் இல்லை, ஆனால் அவர்களின் பணியின் கொள்கைகளைப் பற்றி நான் உங்களுக்கு சொல்கிறேன். அவர்களின் பாதுகாப்புச் செலவு பெரும்பாலும் பெரிய வீரர்களை விட 1-2 ஆர்டர்கள் குறைவாக இருக்கும். ஒரு விதியாக, அவர்கள் பெரிய வீரர்களில் ஒருவரிடமிருந்து ஒரு பகுதி பாதுகாப்பு சேவையை (L3/L4) வாங்குகிறார்கள் + உயர் மட்டங்களில் தாக்குதல்களுக்கு எதிராக தங்கள் சொந்த பாதுகாப்பை செய்கிறார்கள். இது மிகவும் பயனுள்ளதாக இருக்கும் + நீங்கள் குறைந்த பணத்தில் நல்ல சேவையைப் பெறலாம், ஆனால் இவை இன்னும் சிறிய ஊழியர்களைக் கொண்ட சிறிய நிறுவனங்கள், தயவுசெய்து அதை நினைவில் கொள்ளுங்கள்.
L7 மட்டத்தில் தாக்குதல்களைத் தடுப்பதில் உள்ள சிரமம் என்ன?
எல்லா பயன்பாடுகளும் தனித்தன்மை வாய்ந்தவை, மேலும் அவர்களுக்கு பயனுள்ள போக்குவரத்தை நீங்கள் அனுமதிக்க வேண்டும் மற்றும் தீங்கு விளைவிக்கும்வற்றைத் தடுக்க வேண்டும். சந்தேகத்திற்கு இடமின்றி போட்களை அகற்றுவது எப்போதும் சாத்தியமில்லை, எனவே நீங்கள் பல, உண்மையில் பல டிகிரி போக்குவரத்து சுத்திகரிப்புகளைப் பயன்படுத்த வேண்டும்.
ஒரு காலத்தில், nginx-testcookie தொகுதி போதுமானதாக இருந்தது (), மற்றும் அதிக எண்ணிக்கையிலான தாக்குதல்களைத் தடுக்க இது இன்னும் போதுமானது. நான் ஹோஸ்டிங் துறையில் பணிபுரிந்தபோது, L7 பாதுகாப்பு nginx-testcookie ஐ அடிப்படையாகக் கொண்டது.
துரதிர்ஷ்டவசமாக, தாக்குதல்கள் மிகவும் கடினமாகிவிட்டன. testcookie JS-அடிப்படையிலான போட் காசோலைகளைப் பயன்படுத்துகிறது, மேலும் பல நவீன போட்கள் அவற்றை வெற்றிகரமாக அனுப்ப முடியும்.
அட்டாக் போட்நெட்களும் தனித்தன்மை வாய்ந்தவை, மேலும் ஒவ்வொரு பெரிய போட்நெட்டின் சிறப்பியல்புகளும் கணக்கில் எடுத்துக்கொள்ளப்பட வேண்டும்.
பெருக்கம், பாட்நெட்டிலிருந்து நேரடி வெள்ளம், வெவ்வேறு நாடுகளின் போக்குவரத்தை வடிகட்டுதல் (வெவ்வேறு நாடுகளுக்கு வெவ்வேறு வடிகட்டுதல்), SYN/ACK வெள்ளம், பாக்கெட் துண்டு துண்டாக, ICMP, http வெள்ளம், பயன்பாடு/http மட்டத்தில் நீங்கள் வரம்பற்ற எண்ணிக்கையில் வரலாம் வெவ்வேறு தாக்குதல்கள்.
மொத்தத்தில், சேனல் பாதுகாப்பு மட்டத்தில், போக்குவரத்தை அகற்றுவதற்கான சிறப்பு உபகரணங்கள், சிறப்பு மென்பொருள், ஒவ்வொரு வாடிக்கையாளருக்கும் கூடுதல் வடிகட்டுதல் அமைப்புகள் பத்து மற்றும் நூற்றுக்கணக்கான வடிகட்டுதல் நிலைகள் இருக்கலாம்.
இதை சரியாக நிர்வகிக்க மற்றும் வெவ்வேறு பயனர்களுக்கான வடிகட்டுதல் அமைப்புகளை சரியாக டியூன் செய்ய, உங்களுக்கு நிறைய அனுபவமும் தகுதியான பணியாளர்களும் தேவை. பாதுகாப்பு சேவைகளை வழங்க முடிவு செய்த ஒரு பெரிய ஆபரேட்டர் கூட "முட்டாள்தனமாக சிக்கலில் பணத்தை வீச முடியாது": பொய்யான தளங்கள் மற்றும் முறையான போக்குவரத்தில் தவறான நேர்மறைகளிலிருந்து அனுபவத்தைப் பெற வேண்டும்.
பாதுகாப்பு ஆபரேட்டருக்கு "டிடிஓஎஸ் விரட்டு" பொத்தான் இல்லை; ஏராளமான கருவிகள் உள்ளன, அவற்றை எவ்வாறு பயன்படுத்துவது என்பதை நீங்கள் அறிந்து கொள்ள வேண்டும்.
மேலும் ஒரு போனஸ் உதாரணம்.
600 Mbit திறன் கொண்ட தாக்குதலின் போது பாதுகாப்பற்ற சர்வர் ஹோஸ்டரால் தடுக்கப்பட்டது
(போக்குவரத்தின் "இழப்பு" கவனிக்கப்படவில்லை, ஏனெனில் 1 தளம் மட்டுமே தாக்கப்பட்டது, அது சேவையகத்திலிருந்து தற்காலிகமாக அகற்றப்பட்டது மற்றும் ஒரு மணி நேரத்திற்குள் தடுப்பு நீக்கப்பட்டது).
அதே சர்வர் பாதுகாக்கப்படுகிறது. தாக்குபவர்கள் ஒரு நாள் முறியடிக்கப்பட்ட தாக்குதல்களுக்குப் பிறகு "சரணடைந்தனர்". தாக்குதலே வலிமையானது அல்ல.
L3/L4 இன் தாக்குதல் மற்றும் பாதுகாப்பு மிகவும் அற்பமானது; அவை முக்கியமாக சேனல்களின் தடிமன், தாக்குதல்களுக்கான கண்டறிதல் மற்றும் வடிகட்டுதல் வழிமுறைகளைப் பொறுத்தது.
L7 தாக்குதல்கள் மிகவும் சிக்கலானவை மற்றும் அசல்; அவை தாக்கப்படும் பயன்பாடு, தாக்குபவர்களின் திறன்கள் மற்றும் கற்பனையைப் பொறுத்தது. அவர்களுக்கு எதிரான பாதுகாப்பிற்கு நிறைய அறிவு மற்றும் அனுபவம் தேவை, இதன் விளைவாக உடனடியாக இருக்காது மற்றும் நூறு சதவிகிதம் அல்ல. கூகிள் பாதுகாப்பிற்காக மற்றொரு நரம்பியல் நெட்வொர்க்கைக் கொண்டு வரும் வரை.
ஆதாரம்: www.habr.com