DDoS தாக்குதல்களுக்கு எதிராக முழு பாதுகாப்புடன் ஹோஸ்டிங் - கட்டுக்கதை அல்லது உண்மை

2020 ஆம் ஆண்டின் முதல் இரண்டு காலாண்டுகளில், DDoS தாக்குதல்களின் எண்ணிக்கை கிட்டத்தட்ட மூன்று மடங்காக அதிகரித்தது, அவற்றில் 65% சிறிய ஆன்லைன் கடைகள், மன்றங்கள், வலைப்பதிவுகள் மற்றும் மீடியா அவுட்லெட்களின் பாதுகாப்பற்ற தளங்களை எளிதில் "முடக்க" செய்யும் "சுமை சோதனையின்" பழமையான முயற்சிகள் ஆகும்.

DDoS-பாதுகாக்கப்பட்ட ஹோஸ்டிங்கை எவ்வாறு தேர்வு செய்வது? விரும்பத்தகாத சூழ்நிலையில் முடிவடையாமல் இருக்க நீங்கள் எதில் கவனம் செலுத்த வேண்டும், எதற்காக நீங்கள் தயாராக வேண்டும்?

("சாம்பல்" சந்தைப்படுத்தலுக்கு எதிரான தடுப்பூசி உள்ளே)

DDoS தாக்குதல்களை நடத்துவதற்கான பல்வேறு கருவிகள் கிடைப்பது மற்றும் அச்சுறுத்தலை எதிர்கொள்ள ஆன்லைன் சேவைகளின் உரிமையாளர்கள் தகுந்த நடவடிக்கைகளை எடுக்க கட்டாயப்படுத்துகிறது. DDoS பாதுகாப்பைப் பற்றி நீங்கள் சிந்திக்க வேண்டியது முதல் தோல்விக்குப் பிறகு அல்ல, மேலும் உள்கட்டமைப்பின் தவறு சகிப்புத்தன்மையை அதிகரிப்பதற்கான நடவடிக்கைகளின் தொகுப்பின் ஒரு பகுதியாக அல்ல, ஆனால் வேலை வாய்ப்புக்கான தளத்தைத் தேர்ந்தெடுக்கும் கட்டத்தில் (ஹோஸ்டிங் வழங்குநர் அல்லது தரவு மையம்).

ஓபன் சிஸ்டம்ஸ் இன்டர்கனெக்ஷன் (OSI) மாதிரியின் நிலைகளுக்குப் பயன்படுத்தப்படும் நெறிமுறைகளைப் பொறுத்து DDoS தாக்குதல்கள் வகைப்படுத்தப்படுகின்றன:

• சேனல் (L2),
• நெட்வொர்க் (L3),
• போக்குவரத்து (L4),
• பயன்படுத்தப்பட்டது (L7).

பாதுகாப்பு அமைப்புகளின் பார்வையில், அவை இரண்டு குழுக்களாகப் பொதுமைப்படுத்தப்படலாம்: உள்கட்டமைப்பு நிலை தாக்குதல்கள் (L2-L4) மற்றும் பயன்பாட்டு நிலை தாக்குதல்கள் (L7). இது ட்ராஃபிக் பகுப்பாய்வு அல்காரிதம்களின் செயல்பாட்டின் வரிசை மற்றும் கணக்கீட்டு சிக்கலானது காரணமாகும்: ஐபி பாக்கெட்டை ஆழமாகப் பார்க்கும்போது, ​​​​அதிக கணினி சக்தி தேவைப்படுகிறது.

பொதுவாக, நிகழ்நேரத்தில் போக்குவரத்தைச் செயலாக்கும்போது கணக்கீடுகளை மேம்படுத்துவதில் உள்ள சிக்கல் ஒரு தனித் தொடர் கட்டுரைகளுக்கான தலைப்பு. இப்போது சில கிளவுட் வழங்குநர்கள் நிபந்தனைக்குட்பட்ட வரம்பற்ற கம்ப்யூட்டிங் வளங்களைக் கொண்டுள்ளனர் என்று கற்பனை செய்வோம், இது பயன்பாட்டு நிலை தாக்குதல்களிலிருந்து தளங்களைப் பாதுகாக்க முடியும் (உட்பட இலவச).

DDoS தாக்குதல்களிலிருந்து ஹோஸ்டிங் பாதுகாப்பின் அளவை தீர்மானிக்க 3 முக்கிய கேள்விகள்

DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பிற்கான சேவை விதிமுறைகள் மற்றும் ஹோஸ்டிங் வழங்குநரின் சேவை நிலை ஒப்பந்தம் (SLA) ஆகியவற்றைப் பார்ப்போம். அவை பின்வரும் கேள்விகளுக்கான பதில்களைக் கொண்டிருக்கின்றனவா:

• சேவை வழங்குநரால் என்ன தொழில்நுட்ப வரம்புகள் கூறப்படுகின்றன??
• வாடிக்கையாளர் வரம்புகளுக்கு அப்பால் செல்லும்போது என்ன நடக்கும்?
• DDoS தாக்குதல்களுக்கு (தொழில்நுட்பங்கள், தீர்வுகள், சப்ளையர்கள்) எதிராக ஹோஸ்டிங் வழங்குநர் எவ்வாறு பாதுகாப்பை உருவாக்குகிறார்?

இந்தத் தகவலை நீங்கள் கண்டுபிடிக்கவில்லை என்றால், சேவை வழங்குநரின் தீவிரத்தன்மையைப் பற்றி சிந்திக்க அல்லது அடிப்படை DDoS பாதுகாப்பை (L3-4) நீங்களே ஒழுங்கமைக்க இது ஒரு காரணம். எடுத்துக்காட்டாக, ஒரு சிறப்பு பாதுகாப்பு வழங்குநரின் நெட்வொர்க்குடன் ஒரு உடல் இணைப்பை ஆர்டர் செய்யவும்.

முக்கியம்! உள்கட்டமைப்பு அளவிலான தாக்குதல்களுக்கு எதிராக உங்கள் ஹோஸ்டிங் வழங்குநரால் பாதுகாப்பை வழங்க முடியாவிட்டால், ரிவர்ஸ் ப்ராக்ஸியைப் பயன்படுத்தி பயன்பாட்டு-நிலை தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பை வழங்குவதில் எந்தப் பயனும் இல்லை: கிளவுட் வழங்குநரின் ப்ராக்ஸி சேவையகங்கள் உட்பட பிணைய உபகரணங்கள் அதிக சுமை ஏற்றப்பட்டு கிடைக்காமல் போகும் (படம் 1)

படம் 1. ஹோஸ்டிங் வழங்குநரின் நெட்வொர்க்கில் நேரடி தாக்குதல்

சேவையகத்தின் உண்மையான ஐபி முகவரி பாதுகாப்பு வழங்குநரின் மேகத்திற்குப் பின்னால் மறைக்கப்பட்டுள்ளது என்று விசித்திரக் கதைகளைச் சொல்ல அவர்கள் முயற்சிக்க வேண்டாம், அதாவது அதை நேரடியாகத் தாக்க முடியாது. பத்தில் ஒன்பது நிகழ்வுகளில், ஒரு முழு தரவு மையத்தையும் "அழிப்பதற்கு", சர்வரின் உண்மையான ஐபி முகவரியை அல்லது குறைந்தபட்சம் ஹோஸ்டிங் வழங்குநரின் நெட்வொர்க்கைக் கண்டறிவது தாக்குபவர்களுக்கு கடினமாக இருக்காது.

உண்மையான ஐபி முகவரியைத் தேடி ஹேக்கர்கள் எவ்வாறு செயல்படுகிறார்கள்

ஸ்பாய்லர்களுக்குக் கீழே உண்மையான ஐபி முகவரியைக் கண்டுபிடிப்பதற்கான பல முறைகள் உள்ளன (தகவல் நோக்கங்களுக்காக கொடுக்கப்பட்டது).

முறை 1: திறந்த மூலங்களில் தேடவும்

ஆன்லைன் சேவை மூலம் உங்கள் தேடலைத் தொடங்கலாம் உளவுத்துறை எக்ஸ்: இது இருண்ட வலை, ஆவணப் பகிர்வு தளங்களில் தேடுகிறது, ஹூயிஸ் தரவு, பொது தரவு கசிவுகள் மற்றும் பல ஆதாரங்களை செயலாக்குகிறது.

சில அறிகுறிகளின் (HTTP தலைப்புகள், ஹூயிஸ் தரவு, முதலியன) அடிப்படையில், Cloudflare ஐப் பயன்படுத்தி தளத்தின் பாதுகாப்பு ஒழுங்கமைக்கப்பட்டுள்ளதா என்பதைத் தீர்மானிக்க முடிந்தால், நீங்கள் உண்மையான IP ஐத் தேடத் தொடங்கலாம் பட்டியல், இது Cloudflare க்கு பின்னால் அமைந்துள்ள தளங்களின் சுமார் 3 மில்லியன் IP முகவரிகளைக் கொண்டுள்ளது.

SSL சான்றிதழ் மற்றும் சேவையைப் பயன்படுத்துதல் கணக்கெடுப்பு தளத்தின் உண்மையான ஐபி முகவரி உட்பட பல பயனுள்ள தகவல்களை நீங்கள் காணலாம். உங்கள் ஆதாரத்திற்கான கோரிக்கையை உருவாக்க, சான்றிதழ்கள் தாவலுக்குச் சென்று உள்ளிடவும்:

_பாகுபடுத்தப்பட்ட.பெயர்கள்: பெயர்தளம் மற்றும் குறிச்சொற்கள்.raw: நம்பகமானது

SSL சான்றிதழைப் பயன்படுத்தி சேவையகங்களின் IP முகவரிகளைத் தேட, நீங்கள் பல கருவிகளுடன் கீழ்தோன்றும் பட்டியலில் கைமுறையாகச் செல்ல வேண்டும் ("ஆராய்வு" தாவல், பின்னர் "IPv4 ஹோஸ்ட்கள்" என்பதைத் தேர்ந்தெடுக்கவும்).

முறை 2: DNS

DNS பதிவு மாற்றங்களின் வரலாற்றைத் தேடுவது பழைய, நிரூபிக்கப்பட்ட முறையாகும். தளத்தின் முந்தைய ஐபி முகவரி, எந்த ஹோஸ்டிங்கில் (அல்லது தரவு மையம்) அமைந்துள்ளது என்பதை தெளிவுபடுத்தும். பயன்பாட்டின் எளிமையின் அடிப்படையில் ஆன்லைன் சேவைகளில், பின்வருபவை தனித்து நிற்கின்றன: டிஎன்எஸ் பார்க்கவும் и பாதுகாப்பு பாதைகள்.

நீங்கள் அமைப்புகளை மாற்றும்போது, ​​தளம் உடனடியாக கிளவுட் பாதுகாப்பு வழங்குநர் அல்லது CDN இன் ஐபி முகவரியைப் பயன்படுத்தாது, ஆனால் சிறிது நேரம் நேரடியாக வேலை செய்யும். இந்த வழக்கில், ஐபி முகவரி மாற்றங்களின் வரலாற்றை சேமிப்பதற்கான ஆன்லைன் சேவைகள் தளத்தின் மூல முகவரியைப் பற்றிய தகவல்களைக் கொண்டிருக்கும் வாய்ப்பு உள்ளது.

பழைய DNS சேவையகத்தின் பெயரைத் தவிர வேறு எதுவும் இல்லை என்றால், சிறப்பு பயன்பாடுகளைப் பயன்படுத்தி (dig, host அல்லது nslookup) நீங்கள் தளத்தின் டொமைன் பெயரின் மூலம் IP முகவரியைக் கோரலாம், எடுத்துக்காட்டாக:

_dig @old_dns_server_name பெயர்தளத்தில்

முறை 3: மின்னஞ்சல்

உங்கள் மின்னஞ்சலுக்கு ஒரு கடிதத்தைப் பெறவும், குறிப்பாக "பெறப்பட்ட" புலத்தை சரிபார்க்கவும் கருத்து/பதிவு படிவத்தை (அல்லது கடிதத்தை அனுப்புவதைத் தொடங்க உங்களை அனுமதிக்கும் வேறு ஏதேனும் முறை) பயன்படுத்துவதே இந்த முறையின் யோசனை. .

மின்னஞ்சல் தலைப்பு பெரும்பாலும் MX பதிவின் உண்மையான IP முகவரியைக் கொண்டுள்ளது (மின்னஞ்சல் பரிமாற்ற சேவையகம்), இது இலக்கில் உள்ள பிற சேவையகங்களைக் கண்டறிவதற்கான தொடக்கப் புள்ளியாக இருக்கும்.

ஆட்டோமேஷன் கருவிகளைத் தேடுங்கள்

Cloudflare கவசம் பின்னால் உள்ள IP தேடல் மென்பொருள் பெரும்பாலும் மூன்று பணிகளுக்கு வேலை செய்கிறது:

• DNSDumpster.com ஐப் பயன்படுத்தி DNS தவறான உள்ளமைவை ஸ்கேன் செய்யவும்;
• Crimeflare.com தரவுத்தள ஸ்கேன்;
• அகராதி தேடல் முறையைப் பயன்படுத்தி துணை டொமைன்களைத் தேடுங்கள்.

துணை டொமைன்களைக் கண்டறிவது பெரும்பாலும் மூன்றில் மிகவும் பயனுள்ள விருப்பமாகும் - தளத்தின் உரிமையாளர் பிரதான தளத்தைப் பாதுகாக்கலாம் மற்றும் துணை டொமைன்களை நேரடியாக இயக்கலாம். சரிபார்க்க எளிதான வழி பயன்படுத்துவது CloudFail.

கூடுதலாக, ஒரு அகராதி தேடலைப் பயன்படுத்தி துணை டொமைன்களைத் தேடுவதற்கும் திறந்த மூலங்களில் தேடுவதற்கும் மட்டுமே வடிவமைக்கப்பட்ட பயன்பாடுகள் உள்ளன, எடுத்துக்காட்டாக: சப்லிஸ்ட்3ஆர் அல்லது dnsrecon.

தேடல் நடைமுறையில் எப்படி நடக்கிறது

எடுத்துக்காட்டாக, Cloudflare ஐப் பயன்படுத்தி seo.com தளத்தை எடுத்துக்கொள்வோம், இது நன்கு அறியப்பட்ட சேவையைப் பயன்படுத்துவதைக் காணலாம். கொண்டு கட்டப்பட்டது (தளம் செயல்படும் தொழில்நுட்பங்கள் / என்ஜின்கள் / CMS இரண்டையும் தீர்மானிக்க உங்களை அனுமதிக்கிறது, மற்றும் நேர்மாறாக - பயன்படுத்தப்படும் தொழில்நுட்பங்களின் மூலம் தளங்களைத் தேடுங்கள்).

"IPv4 ஹோஸ்ட்கள்" தாவலைக் கிளிக் செய்தால், சான்றிதழைப் பயன்படுத்தி ஹோஸ்ட்களின் பட்டியலை சேவை காண்பிக்கும். உங்களுக்குத் தேவையானதைக் கண்டுபிடிக்க, திறந்த போர்ட் 443 உடன் ஐபி முகவரியைத் தேடவும். அது விரும்பிய தளத்திற்குத் திருப்பிவிடப்பட்டால், பணி முடிந்தது, இல்லையெனில் நீங்கள் தளத்தின் டொமைன் பெயரை "ஹோஸ்ட்" தலைப்பில் சேர்க்க வேண்டும். HTTP கோரிக்கை (உதாரணமாக, *கர்ல் -H "ஹோஸ்ட்: site_name" *https://IP_адрес).

எங்கள் விஷயத்தில், சென்சிஸ் தரவுத்தளத்தில் ஒரு தேடல் எதையும் கொடுக்கவில்லை, எனவே நாங்கள் தொடர்கிறோம்.

சேவையின் மூலம் DNS தேடலைச் செய்வோம் https://securitytrails.com/dns-trails.

CloudFail பயன்பாட்டைப் பயன்படுத்தி DNS சேவையகங்களின் பட்டியல்களில் குறிப்பிடப்பட்டுள்ள முகவரிகளைத் தேடுவதன் மூலம், வேலை செய்யும் ஆதாரங்களைக் காண்கிறோம். முடிவு சில நொடிகளில் தயாராகிவிடும்.

திறந்த தரவு மற்றும் எளிய கருவிகளை மட்டுமே பயன்படுத்தி, இணைய சேவையகத்தின் உண்மையான ஐபி முகவரியை நாங்கள் தீர்மானித்தோம். தாக்குபவர்களுக்கு மீதமுள்ளது நுட்பத்தின் விஷயம்.

ஹோஸ்டிங் வழங்குநரைத் தேர்ந்தெடுப்பதற்குத் திரும்புவோம். வாடிக்கையாளருக்கான சேவையின் பலனை மதிப்பிடுவதற்கு, DDoS தாக்குதல்களுக்கு எதிராக சாத்தியமான பாதுகாப்பு முறைகளை நாங்கள் பரிசீலிப்போம்.

ஹோஸ்டிங் வழங்குநர் அதன் பாதுகாப்பை எவ்வாறு உருவாக்குகிறார்

1. வடிகட்டுதல் கருவிகளுடன் சொந்த பாதுகாப்பு அமைப்பு (படம் 2).
   தேவை:
   1.1. போக்குவரத்து வடிகட்டுதல் உபகரணங்கள் மற்றும் மென்பொருள் உரிமங்கள்;
   1.2 அதன் ஆதரவு மற்றும் செயல்பாட்டிற்கான முழுநேர நிபுணர்கள்;
   1.3 தாக்குதல்களைப் பெற போதுமானதாக இருக்கும் இணைய அணுகல் சேனல்கள்;
   1.4 "குப்பை" போக்குவரத்தைப் பெறுவதற்கான குறிப்பிடத்தக்க ப்ரீபெய்ட் சேனல் அலைவரிசை.
   
   படம் 2. ஹோஸ்டிங் வழங்குநரின் சொந்த பாதுகாப்பு அமைப்பு
   நூற்றுக்கணக்கான ஜிபிபிஎஸ் நவீன DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு வழிமுறையாக விவரிக்கப்பட்ட அமைப்பைக் கருதினால், அத்தகைய அமைப்புக்கு நிறைய பணம் செலவாகும். ஹோஸ்டிங் வழங்குநருக்கு அத்தகைய பாதுகாப்பு உள்ளதா? "குப்பை" போக்குவரத்திற்கு பணம் செலுத்த அவர் தயாரா? வெளிப்படையாக, கூடுதல் கொடுப்பனவுகளுக்கு கட்டணங்கள் வழங்கப்படாவிட்டால், அத்தகைய பொருளாதார மாதிரி வழங்குநருக்கு லாபமற்றது.
2. ரிவர்ஸ் ப்ராக்ஸி (இணையதளங்கள் மற்றும் சில பயன்பாடுகளுக்கு மட்டும்). ஒரு எண் இருந்தாலும் நன்மைகள், சப்ளையர் நேரடி DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பிற்கு உத்தரவாதம் அளிக்கவில்லை (படம் 1 ஐப் பார்க்கவும்). ஹோஸ்டிங் வழங்குநர்கள் பெரும்பாலும் ஒரு சஞ்சீவி போன்ற ஒரு தீர்வை வழங்குகிறார்கள், பொறுப்பை பாதுகாப்பு வழங்குநருக்கு மாற்றுகிறார்கள்.
3. அனைத்து OSI நிலைகளிலும் DDoS தாக்குதல்களுக்கு எதிராக பாதுகாக்க சிறப்பு கிளவுட் வழங்குநரின் (அதன் வடிகட்டி நெட்வொர்க்கைப் பயன்படுத்துதல்) சேவைகள் (படம் 3).
   
   படம் 3. சிறப்பு வழங்குநரைப் பயன்படுத்தி DDoS தாக்குதல்களுக்கு எதிரான விரிவான பாதுகாப்பு
   முடிவு இரு தரப்பினரின் ஆழமான ஒருங்கிணைப்பு மற்றும் உயர் மட்ட தொழில்நுட்ப திறன் ஆகியவற்றைக் கருதுகிறது. அவுட்சோர்சிங் போக்குவரத்து வடிகட்டுதல் சேவைகள் வாடிக்கையாளர்களுக்கான கூடுதல் சேவைகளின் விலையைக் குறைக்க ஹோஸ்டிங் வழங்குநரை அனுமதிக்கிறது.

முக்கியம்! வழங்கப்பட்ட சேவையின் தொழில்நுட்ப பண்புகள் இன்னும் விரிவாக விவரிக்கப்பட்டுள்ளன, வேலையில்லா நேரத்தின் போது அவற்றை செயல்படுத்த அல்லது இழப்பீடு கோருவதற்கான வாய்ப்பு அதிகம்.

மூன்று முக்கிய முறைகள் கூடுதலாக, பல சேர்க்கைகள் மற்றும் சேர்க்கைகள் உள்ளன. ஹோஸ்டிங்கைத் தேர்ந்தெடுக்கும்போது, ​​உறுதியளிக்கப்பட்ட தடுக்கப்பட்ட தாக்குதல்களின் அளவு மற்றும் வடிகட்டுதல் துல்லியத்தின் அளவு மட்டுமல்ல, பதிலின் வேகம் மற்றும் தகவல் உள்ளடக்கம் (தடுக்கப்பட்ட தாக்குதல்களின் பட்டியல், பொதுவான புள்ளிவிவரங்கள், முதலியன).

உலகில் உள்ள ஒரு சில ஹோஸ்டிங் வழங்குநர்கள் மட்டுமே ஏற்றுக்கொள்ளக்கூடிய அளவிலான பாதுகாப்பை வழங்க முடியும் என்பதை நினைவில் கொள்ளுங்கள்; மற்ற சந்தர்ப்பங்களில், ஒத்துழைப்பு மற்றும் தொழில்நுட்ப கல்வியறிவு உதவுகின்றன. எனவே, DDoS தாக்குதல்களுக்கு எதிராக பாதுகாப்பை ஒழுங்கமைப்பதற்கான அடிப்படைக் கொள்கைகளைப் புரிந்துகொள்வது, தளத்தின் உரிமையாளரை சந்தைப்படுத்தல் தந்திரங்களுக்கு ஆளாகாமல் இருக்க அனுமதிக்கும் மற்றும் "பன்றி ஒரு குத்து" வாங்க முடியாது.

ஆதாரம்: www.habr.com