"మా వెబ్సైట్ను రూపొందించిన వ్యక్తి ఇప్పటికే DDoS రక్షణను సెటప్ చేశాడు."
"మాకు DDoS రక్షణ ఉంది, సైట్ ఎందుకు డౌన్ అయింది?"
"క్రాటర్కి ఎన్ని వేలు కావాలి?"
కస్టమర్/బాస్ నుండి ఇలాంటి ప్రశ్నలకు సరిగ్గా సమాధానం ఇవ్వడానికి, “DDoS ప్రొటెక్షన్” అనే పేరు వెనుక ఏమి దాగి ఉందో తెలుసుకోవడం మంచిది. భద్రతా సేవలను ఎంచుకోవడం అనేది IKEAలో టేబుల్ని ఎంచుకోవడం కంటే డాక్టర్ నుండి ఔషధాన్ని ఎంచుకోవడం లాంటిది.
నేను 11 సంవత్సరాలుగా వెబ్సైట్లకు మద్దతు ఇస్తున్నాను, నేను మద్దతిచ్చే సేవలపై వందలాది దాడుల నుండి బయటపడాను మరియు ఇప్పుడు రక్షణ యొక్క అంతర్గత పనితీరు గురించి నేను మీకు కొంచెం చెబుతాను.
రెగ్యులర్ దాడులు. మొత్తం 350k req, 52k req చట్టబద్ధమైనది
మొదటి దాడులు ఇంటర్నెట్తో దాదాపు ఏకకాలంలో కనిపించాయి. DDoS ఒక దృగ్విషయంగా 2000ల చివరి నుండి విస్తృతంగా వ్యాపించింది (చూడండి
దాదాపు 2015-2016 నుండి, దాదాపు అన్ని హోస్టింగ్ ప్రొవైడర్లు DDoS దాడుల నుండి రక్షించబడ్డారు, పోటీ ప్రాంతాలలో అత్యంత ప్రముఖ సైట్లు (eldorado.ru, leroymerlin.ru, tilda.ws సైట్ల IP ద్వారా హూయిస్ చేయండి, మీరు నెట్వర్క్లను చూస్తారు. రక్షణ ఆపరేటర్లు).
10-20 సంవత్సరాల క్రితం చాలా దాడులను సర్వర్లోనే తిప్పికొట్టగలిగితే (90ల నుండి Lenta.ru సిస్టమ్ అడ్మినిస్ట్రేటర్ మాగ్జిమ్ మోష్కోవ్ యొక్క సిఫార్సులను అంచనా వేయండి:
రక్షణ ఆపరేటర్ను ఎంచుకునే కోణం నుండి DDoS దాడుల రకాలు
L3/L4 స్థాయిలో దాడులు (OSI మోడల్ ప్రకారం)
— బోట్నెట్ నుండి UDP వరద (అనేక అభ్యర్థనలు సోకిన పరికరాల నుండి నేరుగా దాడి చేయబడిన సేవకు పంపబడతాయి, సర్వర్లు ఛానెల్తో బ్లాక్ చేయబడతాయి);
— DNS/NTP/etc యాంప్లిఫికేషన్ (అనేక అభ్యర్థనలు సోకిన పరికరాల నుండి హాని కలిగించే DNS/NTP/etcకి పంపబడతాయి, పంపినవారి చిరునామా నకిలీ చేయబడింది, అభ్యర్థనలకు ప్రతిస్పందించే ప్యాకెట్ల క్లౌడ్ దాడికి గురైన వ్యక్తి యొక్క ఛానెల్ని నింపుతుంది; ఈ విధంగా చాలా ఎక్కువ ఆధునిక ఇంటర్నెట్లో భారీ దాడులు జరుగుతాయి);
— SYN / ACK వరద (కనెక్షన్ని స్థాపించడానికి అనేక అభ్యర్థనలు దాడి చేయబడిన సర్వర్లకు పంపబడతాయి, కనెక్షన్ క్యూ ఓవర్ఫ్లోలు);
- ప్యాకెట్ ఫ్రాగ్మెంటేషన్, పింగ్ ఆఫ్ డెత్, పింగ్ ఫ్లడ్ (గూగుల్ ఇట్ ప్లీజ్)తో దాడులు;
- మరియు అందువలన న.
ఈ దాడులు సర్వర్ యొక్క ఛానెల్ని "అడ్డుకోవడం" లేదా కొత్త ట్రాఫిక్ని అంగీకరించే దాని సామర్థ్యాన్ని "చంపడం" లక్ష్యంగా పెట్టుకున్నాయి.
SYN/ACK వరదలు మరియు యాంప్లిఫికేషన్ చాలా భిన్నంగా ఉన్నప్పటికీ, చాలా కంపెనీలు వాటిని సమానంగా ఎదుర్కొంటాయి. తదుపరి సమూహం నుండి దాడులతో సమస్యలు తలెత్తుతాయి.
L7 (అప్లికేషన్ లేయర్)పై దాడులు
— http వరద (ఒక వెబ్సైట్ లేదా కొన్ని http api దాడి చేయబడితే);
— సైట్ యొక్క హాని కలిగించే ప్రాంతాలపై దాడి (కాష్ లేనివి, సైట్ను చాలా ఎక్కువగా లోడ్ చేసేవి మొదలైనవి).
సర్వర్ను "కష్టపడి పనిచేయడం", చాలా "అకారణంగా నిజమైన అభ్యర్థనలను" ప్రాసెస్ చేయడం మరియు నిజమైన అభ్యర్థనల కోసం వనరులు లేకుండా చేయడం లక్ష్యం.
ఇతర దాడులు ఉన్నప్పటికీ, ఇవి సర్వసాధారణం.
దాడి చేయబడిన ప్రతి ప్రాజెక్ట్ కోసం L7 స్థాయిలో తీవ్రమైన దాడులు ఒక ప్రత్యేక పద్ధతిలో సృష్టించబడతాయి.
ఎందుకు 2 సమూహాలు?
ఎందుకంటే L3 / L4 స్థాయిలో దాడులను ఎలా తిప్పికొట్టాలో తెలిసిన వారు చాలా మంది ఉన్నారు, కానీ అప్లికేషన్ స్థాయిలో (L7) రక్షణను అస్సలు తీసుకోరు లేదా వాటిని ఎదుర్కోవడంలో ప్రత్యామ్నాయాల కంటే బలహీనంగా ఉన్నారు.
DDoS రక్షణ మార్కెట్లో ఎవరు ఉన్నారు
(నా వ్యక్తిగత అభిప్రాయం)
L3/L4 స్థాయిలో రక్షణ
యాంప్లిఫికేషన్తో దాడులను తిప్పికొట్టడానికి (సర్వర్ ఛానెల్ యొక్క "నిరోధం"), తగినంత విస్తృత ఛానెల్లు ఉన్నాయి (అనేక రక్షణ సేవలు రష్యాలోని చాలా పెద్ద వెన్నెముక ప్రొవైడర్లకు కనెక్ట్ అవుతాయి మరియు 1 Tbit కంటే ఎక్కువ సైద్ధాంతిక సామర్థ్యంతో ఛానెల్లను కలిగి ఉంటాయి). చాలా అరుదైన యాంప్లిఫికేషన్ దాడులు ఒక గంట కంటే ఎక్కువసేపు ఉంటాయని మర్చిపోవద్దు. మీరు స్పామ్హాస్ అయితే మరియు ప్రతి ఒక్కరూ మిమ్మల్ని ఇష్టపడకపోతే, అవును, గ్లోబల్ బోట్నెట్ మరింత మనుగడ సాగించే ప్రమాదంలో కూడా వారు మీ ఛానెల్లను చాలా రోజుల పాటు మూసివేయడానికి ప్రయత్నించవచ్చు. మీరు కేవలం ఆన్లైన్ స్టోర్ని కలిగి ఉంటే, అది mvideo.ru అయినప్పటికీ, మీరు అతి త్వరలో 1 Tbitని కొద్ది రోజుల్లో చూడలేరు (నేను ఆశిస్తున్నాను).
SYN/ACK వరదలు, ప్యాకెట్ ఫ్రాగ్మెంటేషన్ మొదలైన వాటితో దాడులను తిప్పికొట్టడానికి, అటువంటి దాడులను గుర్తించి ఆపడానికి మీకు పరికరాలు లేదా సాఫ్ట్వేర్ సిస్టమ్లు అవసరం.
చాలా మంది వ్యక్తులు అటువంటి పరికరాలను ఉత్పత్తి చేస్తారు (అర్బోర్, సిస్కో, హువావే, వాన్గార్డ్ నుండి సాఫ్ట్వేర్ అమలులు మొదలైన వాటి నుండి పరిష్కారాలు ఉన్నాయి), చాలా మంది వెన్నెముక ఆపరేటర్లు ఇప్పటికే దీన్ని ఇన్స్టాల్ చేసారు మరియు DDoS రక్షణ సేవలను విక్రయిస్తున్నారు (రోస్టెలెకామ్, మెగాఫోన్, TTK, MTS నుండి ఇన్స్టాలేషన్ల గురించి నాకు తెలుసు. , నిజానికి, అన్ని ప్రధాన ప్రొవైడర్లు తమ స్వంత రక్షణతో హోస్టర్లతో అదే విధంగా చేస్తారు a-la OVH.com, Hetzner.de, నేను ihor.ru వద్ద రక్షణను ఎదుర్కొన్నాను). కొన్ని కంపెనీలు తమ స్వంత సాఫ్ట్వేర్ పరిష్కారాలను అభివృద్ధి చేస్తున్నాయి (DPDK వంటి సాంకేతికతలు ఒక భౌతిక x86 మెషీన్లో పదుల గిగాబిట్ల ట్రాఫిక్ను ప్రాసెస్ చేయడానికి మిమ్మల్ని అనుమతిస్తాయి).
ప్రసిద్ధ ఆటగాళ్లలో, ప్రతి ఒక్కరూ L3/L4 DDoSతో ఎక్కువ లేదా తక్కువ ప్రభావవంతంగా పోరాడగలరు. ఇప్పుడు ఎవరు ఎక్కువ గరిష్ట ఛానెల్ సామర్థ్యాన్ని కలిగి ఉన్నారో నేను చెప్పను (ఇది అంతర్గత సమాచారం), కానీ సాధారణంగా ఇది అంత ముఖ్యమైనది కాదు మరియు రక్షణ ఎంత త్వరగా ప్రేరేపించబడుతుందనేది మాత్రమే తేడా (తక్షణమే లేదా ప్రాజెక్ట్ పనికిరాని కొన్ని నిమిషాల తర్వాత, హెట్జ్నర్ వలె).
ఇది ఎంత బాగా జరుగుతుంది అనేది ప్రశ్న: అత్యధిక మొత్తంలో హానికరమైన ట్రాఫిక్ ఉన్న దేశాల నుండి ట్రాఫిక్ను నిరోధించడం ద్వారా యాంప్లిఫికేషన్ దాడిని తిప్పికొట్టవచ్చు లేదా నిజంగా అనవసరమైన ట్రాఫిక్ను మాత్రమే విస్మరించవచ్చు.
అదే సమయంలో, నా అనుభవం ఆధారంగా, అన్ని తీవ్రమైన మార్కెట్ ప్లేయర్లు సమస్యలు లేకుండా దీనిని ఎదుర్కొంటారు: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (గతంలో SkyParkCDN), సర్వీస్పైప్, స్టార్మ్వాల్, వోక్సిలిటీ మొదలైనవి.
Rostelecom, Megafon, TTK, Beeline వంటి ఆపరేటర్ల నుండి నేను రక్షణను ఎదుర్కోలేదు; సహోద్యోగుల సమీక్షల ప్రకారం, వారు ఈ సేవలను బాగా అందిస్తారు, కానీ ఇప్పటివరకు అనుభవం లేకపోవడం క్రమానుగతంగా ప్రభావితం చేస్తుంది: కొన్నిసార్లు మీరు మద్దతు ద్వారా ఏదైనా సర్దుబాటు చేయాలి. రక్షణ ఆపరేటర్ యొక్క.
కొంతమంది ఆపరేటర్లు "L3/L4 స్థాయిలో దాడుల నుండి రక్షణ" లేదా "ఛానల్ రక్షణ" అనే ప్రత్యేక సేవను కలిగి ఉన్నారు; ఇది అన్ని స్థాయిలలో రక్షణ కంటే చాలా తక్కువ ఖర్చవుతుంది.
వెన్నెముక ప్రొవైడర్ దాని స్వంత ఛానెల్లను కలిగి లేనందున, వందల Gbitల దాడులను ఎందుకు తిప్పికొట్టడం లేదు?ప్రొటెక్షన్ ఆపరేటర్ ఏదైనా ప్రధాన ప్రొవైడర్లతో కనెక్ట్ అవ్వవచ్చు మరియు "దాని ఖర్చుతో" దాడులను తిప్పికొట్టవచ్చు. మీరు ఛానెల్ కోసం చెల్లించవలసి ఉంటుంది, కానీ ఈ వందల Gbitలు ఎల్లప్పుడూ ఉపయోగించబడవు; ఈ సందర్భంలో ఛానెల్ల ధరను గణనీయంగా తగ్గించడానికి ఎంపికలు ఉన్నాయి, కాబట్టి పథకం పని చేయగలదు.
హోస్టింగ్ ప్రొవైడర్ సిస్టమ్లకు మద్దతు ఇస్తూ ఉన్నత-స్థాయి L3/L4 రక్షణ నుండి నేను క్రమం తప్పకుండా స్వీకరించే నివేదికలు ఇవి.
L7 స్థాయిలో రక్షణ (అప్లికేషన్ స్థాయి)
L7 స్థాయి (అప్లికేషన్ స్థాయి) వద్ద దాడులు స్థిరంగా మరియు సమర్ధవంతంగా యూనిట్లను తిప్పికొట్టగలవు.
నాకు చాలా నిజమైన అనుభవం ఉంది
— Qrator.net;
- DDoS-గార్డ్;
- జి-కోర్ ల్యాబ్స్;
- కాస్పెర్స్కీ.
వారు స్వచ్ఛమైన ట్రాఫిక్ యొక్క ప్రతి మెగాబిట్ కోసం వసూలు చేస్తారు, ఒక మెగాబిట్ అనేక వేల రూబిళ్లు ఖర్చు అవుతుంది. మీకు కనీసం 100 Mbps స్వచ్ఛమైన ట్రాఫిక్ ఉంటే - ఓహ్. రక్షణ చాలా ఖరీదైనది. భద్రతా ఛానెల్ల సామర్థ్యాన్ని చాలా వరకు ఆదా చేయడానికి అప్లికేషన్లను ఎలా రూపొందించాలో నేను క్రింది కథనాలలో మీకు చెప్పగలను.
నిజమైన "కింగ్ ఆఫ్ ది కొండ" Qrator.net, మిగిలిన వారు వారి వెనుకబడి ఉన్నారు. నా అనుభవంలో ఇప్పటివరకు సున్నాకి దగ్గరగా ఉన్న తప్పుడు పాజిటివ్ల శాతాన్ని Qrator మాత్రమే ఇస్తున్నారు, అయితే అదే సమయంలో అవి ఇతర మార్కెట్ ప్లేయర్ల కంటే చాలా రెట్లు ఎక్కువ ఖరీదైనవి.
ఇతర ఆపరేటర్లు కూడా అధిక-నాణ్యత మరియు స్థిరమైన రక్షణను అందిస్తారు. మా ద్వారా మద్దతిచ్చే అనేక సేవలు (దేశంలో బాగా తెలిసిన వాటితో సహా!) DDoS-Guard, G-Core ల్యాబ్ల నుండి రక్షించబడ్డాయి మరియు పొందిన ఫలితాలతో చాలా సంతృప్తి చెందాయి.
Qrator ద్వారా దాడులు తిప్పికొట్టబడ్డాయి
నాకు cloud-shield.ru, ddosa.net వంటి చిన్న భద్రతా ఆపరేటర్లతో పాటు వేలాది మందితో అనుభవం ఉంది. నేను ఖచ్చితంగా దీన్ని సిఫార్సు చేయను, ఎందుకంటే ... నాకు చాలా అనుభవం లేదు, కానీ వారి పని సూత్రాల గురించి నేను మీకు చెప్తాను. వారి రక్షణ ఖర్చు తరచుగా ప్రధాన ఆటగాళ్ల కంటే 1-2 ఆర్డర్ల పరిమాణం తక్కువగా ఉంటుంది. నియమం ప్రకారం, వారు పెద్ద ఆటగాళ్లలో ఒకరి నుండి పాక్షిక రక్షణ సేవను (L3/L4) కొనుగోలు చేస్తారు + అధిక స్థాయిలలో దాడుల నుండి వారి స్వంత రక్షణను చేస్తారు. ఇది చాలా ప్రభావవంతంగా ఉంటుంది + మీరు తక్కువ డబ్బుతో మంచి సేవను పొందవచ్చు, కానీ ఇవి ఇప్పటికీ చిన్న సిబ్బందితో చిన్న కంపెనీలు, దయచేసి గుర్తుంచుకోండి.
L7 స్థాయిలో దాడులను తిప్పికొట్టడంలో ఇబ్బంది ఏమిటి?
అన్ని అప్లికేషన్లు ప్రత్యేకమైనవి మరియు మీరు వాటికి ఉపయోగపడే ట్రాఫిక్ను అనుమతించాలి మరియు హానికరమైన వాటిని బ్లాక్ చేయాలి. బాట్లను నిర్ద్వంద్వంగా తొలగించడం ఎల్లప్పుడూ సాధ్యం కాదు, కాబట్టి మీరు చాలా ఎక్కువ ట్రాఫిక్ శుద్దీకరణను ఉపయోగించాలి.
ఒకప్పుడు, nginx-testcookie మాడ్యూల్ సరిపోయేది (
దురదృష్టవశాత్తు, దాడులు మరింత క్లిష్టంగా మారాయి. testcookie JS-ఆధారిత బోట్ తనిఖీలను ఉపయోగిస్తుంది మరియు అనేక ఆధునిక బాట్లు వాటిని విజయవంతంగా పాస్ చేయగలవు.
అటాక్ బోట్నెట్లు కూడా ప్రత్యేకమైనవి మరియు ప్రతి పెద్ద బోట్నెట్ యొక్క లక్షణాలను తప్పనిసరిగా పరిగణనలోకి తీసుకోవాలి.
యాంప్లిఫికేషన్, బోట్నెట్ నుండి ప్రత్యక్ష వరదలు, వివిధ దేశాల నుండి ట్రాఫిక్ను ఫిల్టర్ చేయడం (వివిధ దేశాలకు వేర్వేరు ఫిల్టరింగ్), SYN/ACK వరదలు, ప్యాకెట్ ఫ్రాగ్మెంటేషన్, ICMP, http వరదలు, అయితే అప్లికేషన్/http స్థాయిలో మీరు అపరిమిత సంఖ్యలో రావచ్చు వివిధ దాడులు.
మొత్తంగా, ఛానెల్ రక్షణ స్థాయిలో, ట్రాఫిక్ క్లియర్ చేయడానికి ప్రత్యేక పరికరాలు, ప్రత్యేక సాఫ్ట్వేర్, ప్రతి క్లయింట్కు అదనపు ఫిల్టరింగ్ సెట్టింగ్లు పదుల మరియు వందల ఫిల్టరింగ్ స్థాయిలు ఉండవచ్చు.
దీన్ని సరిగ్గా నిర్వహించడానికి మరియు వేర్వేరు వినియోగదారుల కోసం ఫిల్టరింగ్ సెట్టింగ్లను సరిగ్గా ట్యూన్ చేయడానికి, మీకు చాలా అనుభవం మరియు అర్హత కలిగిన సిబ్బంది అవసరం. రక్షణ సేవలను అందించాలని నిర్ణయించుకున్న పెద్ద ఆపరేటర్ కూడా "సమస్యపై తెలివితక్కువగా డబ్బును విసిరేయలేరు": అబద్ధాల సైట్లు మరియు చట్టబద్ధమైన ట్రాఫిక్పై తప్పుడు పాజిటివ్ల నుండి అనుభవాన్ని పొందవలసి ఉంటుంది.
భద్రతా ఆపరేటర్ కోసం "DDoSని తిప్పికొట్టండి" బటన్ లేదు; పెద్ద సంఖ్యలో సాధనాలు ఉన్నాయి మరియు వాటిని ఎలా ఉపయోగించాలో మీరు తెలుసుకోవాలి.
మరియు మరొక బోనస్ ఉదాహరణ.
600 Mbit సామర్థ్యంతో దాడి చేస్తున్నప్పుడు ఒక అసురక్షిత సర్వర్ని హోస్టర్ బ్లాక్ చేసారు
(ట్రాఫిక్ యొక్క "నష్టం" గమనించదగినది కాదు, ఎందుకంటే 1 సైట్ మాత్రమే దాడి చేయబడింది, ఇది సర్వర్ నుండి తాత్కాలికంగా తీసివేయబడింది మరియు ఒక గంటలో నిరోధించడం ఎత్తివేయబడింది).
అదే సర్వర్ రక్షించబడింది. దాడి చేసినవారు ఒక రోజు తిప్పికొట్టిన దాడుల తర్వాత "లొంగిపోయారు". దాడి కూడా బలమైనది కాదు.
L3/L4 యొక్క దాడి మరియు రక్షణ చాలా చిన్నవిషయం; అవి ప్రధానంగా ఛానెల్ల మందం, దాడుల కోసం గుర్తించడం మరియు వడపోత అల్గారిథమ్లపై ఆధారపడి ఉంటాయి.
L7 దాడులు మరింత సంక్లిష్టమైనవి మరియు అసలైనవి; అవి దాడి చేయబడిన అప్లికేషన్, దాడి చేసేవారి సామర్థ్యాలు మరియు ఊహపై ఆధారపడి ఉంటాయి. వారికి వ్యతిరేకంగా రక్షణకు చాలా జ్ఞానం మరియు అనుభవం అవసరం, మరియు ఫలితం తక్షణమే కాదు మరియు వంద శాతం కాదు. Google రక్షణ కోసం మరొక న్యూరల్ నెట్వర్క్తో వచ్చే వరకు.
మూలం: www.habr.com