DDoS రక్షణ మార్కెట్‌లో ఏది మరియు ఎవరు ఎవరు

"మా వెబ్‌సైట్‌ను రూపొందించిన వ్యక్తి ఇప్పటికే DDoS రక్షణను సెటప్ చేశాడు."
"మాకు DDoS రక్షణ ఉంది, సైట్ ఎందుకు డౌన్ అయింది?"
"క్రాటర్‌కి ఎన్ని వేలు కావాలి?"

కస్టమర్/బాస్ నుండి ఇలాంటి ప్రశ్నలకు సరిగ్గా సమాధానం ఇవ్వడానికి, “DDoS ప్రొటెక్షన్” అనే పేరు వెనుక ఏమి దాగి ఉందో తెలుసుకోవడం మంచిది. భద్రతా సేవలను ఎంచుకోవడం అనేది IKEAలో టేబుల్‌ని ఎంచుకోవడం కంటే డాక్టర్ నుండి ఔషధాన్ని ఎంచుకోవడం లాంటిది.

నేను 11 సంవత్సరాలుగా వెబ్‌సైట్‌లకు మద్దతు ఇస్తున్నాను, నేను మద్దతిచ్చే సేవలపై వందలాది దాడుల నుండి బయటపడాను మరియు ఇప్పుడు రక్షణ యొక్క అంతర్గత పనితీరు గురించి నేను మీకు కొంచెం చెబుతాను.

రెగ్యులర్ దాడులు. మొత్తం 350k req, 52k req చట్టబద్ధమైనది

మొదటి దాడులు ఇంటర్నెట్‌తో దాదాపు ఏకకాలంలో కనిపించాయి. DDoS ఒక దృగ్విషయంగా 2000ల చివరి నుండి విస్తృతంగా వ్యాపించింది (చూడండి www.cloudflare.com/learning/ddos/famous-ddos-attacks).
దాదాపు 2015-2016 నుండి, దాదాపు అన్ని హోస్టింగ్ ప్రొవైడర్‌లు DDoS దాడుల నుండి రక్షించబడ్డారు, పోటీ ప్రాంతాలలో అత్యంత ప్రముఖ సైట్‌లు (eldorado.ru, leroymerlin.ru, tilda.ws సైట్‌ల IP ద్వారా హూయిస్ చేయండి, మీరు నెట్‌వర్క్‌లను చూస్తారు. రక్షణ ఆపరేటర్లు).

10-20 సంవత్సరాల క్రితం చాలా దాడులను సర్వర్‌లోనే తిప్పికొట్టగలిగితే (90ల నుండి Lenta.ru సిస్టమ్ అడ్మినిస్ట్రేటర్ మాగ్జిమ్ మోష్కోవ్ యొక్క సిఫార్సులను అంచనా వేయండి: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), కానీ ఇప్పుడు రక్షణ పనులు మరింత కష్టంగా మారాయి.

రక్షణ ఆపరేటర్‌ను ఎంచుకునే కోణం నుండి DDoS దాడుల రకాలు

L3/L4 స్థాయిలో దాడులు (OSI మోడల్ ప్రకారం)

— బోట్‌నెట్ నుండి UDP వరద (అనేక అభ్యర్థనలు సోకిన పరికరాల నుండి నేరుగా దాడి చేయబడిన సేవకు పంపబడతాయి, సర్వర్లు ఛానెల్‌తో బ్లాక్ చేయబడతాయి);
— DNS/NTP/etc యాంప్లిఫికేషన్ (అనేక అభ్యర్థనలు సోకిన పరికరాల నుండి హాని కలిగించే DNS/NTP/etcకి పంపబడతాయి, పంపినవారి చిరునామా నకిలీ చేయబడింది, అభ్యర్థనలకు ప్రతిస్పందించే ప్యాకెట్‌ల క్లౌడ్ దాడికి గురైన వ్యక్తి యొక్క ఛానెల్‌ని నింపుతుంది; ఈ విధంగా చాలా ఎక్కువ ఆధునిక ఇంటర్నెట్‌లో భారీ దాడులు జరుగుతాయి);
— SYN / ACK వరద (కనెక్షన్‌ని స్థాపించడానికి అనేక అభ్యర్థనలు దాడి చేయబడిన సర్వర్‌లకు పంపబడతాయి, కనెక్షన్ క్యూ ఓవర్‌ఫ్లోలు);
- ప్యాకెట్ ఫ్రాగ్మెంటేషన్, పింగ్ ఆఫ్ డెత్, పింగ్ ఫ్లడ్ (గూగుల్ ఇట్ ప్లీజ్)తో దాడులు;
- మరియు అందువలన న.

ఈ దాడులు సర్వర్ యొక్క ఛానెల్‌ని "అడ్డుకోవడం" లేదా కొత్త ట్రాఫిక్‌ని అంగీకరించే దాని సామర్థ్యాన్ని "చంపడం" లక్ష్యంగా పెట్టుకున్నాయి.
SYN/ACK వరదలు మరియు యాంప్లిఫికేషన్ చాలా భిన్నంగా ఉన్నప్పటికీ, చాలా కంపెనీలు వాటిని సమానంగా ఎదుర్కొంటాయి. తదుపరి సమూహం నుండి దాడులతో సమస్యలు తలెత్తుతాయి.

L7 (అప్లికేషన్ లేయర్)పై దాడులు

— http వరద (ఒక వెబ్‌సైట్ లేదా కొన్ని http api దాడి చేయబడితే);
— సైట్ యొక్క హాని కలిగించే ప్రాంతాలపై దాడి (కాష్ లేనివి, సైట్‌ను చాలా ఎక్కువగా లోడ్ చేసేవి మొదలైనవి).

సర్వర్‌ను "కష్టపడి పనిచేయడం", చాలా "అకారణంగా నిజమైన అభ్యర్థనలను" ప్రాసెస్ చేయడం మరియు నిజమైన అభ్యర్థనల కోసం వనరులు లేకుండా చేయడం లక్ష్యం.

ఇతర దాడులు ఉన్నప్పటికీ, ఇవి సర్వసాధారణం.

దాడి చేయబడిన ప్రతి ప్రాజెక్ట్ కోసం L7 స్థాయిలో తీవ్రమైన దాడులు ఒక ప్రత్యేక పద్ధతిలో సృష్టించబడతాయి.

ఎందుకు 2 సమూహాలు?
ఎందుకంటే L3 / L4 స్థాయిలో దాడులను ఎలా తిప్పికొట్టాలో తెలిసిన వారు చాలా మంది ఉన్నారు, కానీ అప్లికేషన్ స్థాయిలో (L7) రక్షణను అస్సలు తీసుకోరు లేదా వాటిని ఎదుర్కోవడంలో ప్రత్యామ్నాయాల కంటే బలహీనంగా ఉన్నారు.

DDoS రక్షణ మార్కెట్‌లో ఎవరు ఉన్నారు

(నా వ్యక్తిగత అభిప్రాయం)

L3/L4 స్థాయిలో రక్షణ

యాంప్లిఫికేషన్‌తో దాడులను తిప్పికొట్టడానికి (సర్వర్ ఛానెల్ యొక్క "నిరోధం"), తగినంత విస్తృత ఛానెల్‌లు ఉన్నాయి (అనేక రక్షణ సేవలు రష్యాలోని చాలా పెద్ద వెన్నెముక ప్రొవైడర్లకు కనెక్ట్ అవుతాయి మరియు 1 Tbit కంటే ఎక్కువ సైద్ధాంతిక సామర్థ్యంతో ఛానెల్‌లను కలిగి ఉంటాయి). చాలా అరుదైన యాంప్లిఫికేషన్ దాడులు ఒక గంట కంటే ఎక్కువసేపు ఉంటాయని మర్చిపోవద్దు. మీరు స్పామ్‌హాస్ అయితే మరియు ప్రతి ఒక్కరూ మిమ్మల్ని ఇష్టపడకపోతే, అవును, గ్లోబల్ బోట్‌నెట్ మరింత మనుగడ సాగించే ప్రమాదంలో కూడా వారు మీ ఛానెల్‌లను చాలా రోజుల పాటు మూసివేయడానికి ప్రయత్నించవచ్చు. మీరు కేవలం ఆన్‌లైన్ స్టోర్‌ని కలిగి ఉంటే, అది mvideo.ru అయినప్పటికీ, మీరు అతి త్వరలో 1 Tbitని కొద్ది రోజుల్లో చూడలేరు (నేను ఆశిస్తున్నాను).

SYN/ACK వరదలు, ప్యాకెట్ ఫ్రాగ్మెంటేషన్ మొదలైన వాటితో దాడులను తిప్పికొట్టడానికి, అటువంటి దాడులను గుర్తించి ఆపడానికి మీకు పరికరాలు లేదా సాఫ్ట్‌వేర్ సిస్టమ్‌లు అవసరం.
చాలా మంది వ్యక్తులు అటువంటి పరికరాలను ఉత్పత్తి చేస్తారు (అర్బోర్, సిస్కో, హువావే, వాన్‌గార్డ్ నుండి సాఫ్ట్‌వేర్ అమలులు మొదలైన వాటి నుండి పరిష్కారాలు ఉన్నాయి), చాలా మంది వెన్నెముక ఆపరేటర్లు ఇప్పటికే దీన్ని ఇన్‌స్టాల్ చేసారు మరియు DDoS రక్షణ సేవలను విక్రయిస్తున్నారు (రోస్టెలెకామ్, మెగాఫోన్, TTK, MTS నుండి ఇన్‌స్టాలేషన్‌ల గురించి నాకు తెలుసు. , నిజానికి, అన్ని ప్రధాన ప్రొవైడర్లు తమ స్వంత రక్షణతో హోస్టర్‌లతో అదే విధంగా చేస్తారు a-la OVH.com, Hetzner.de, నేను ihor.ru వద్ద రక్షణను ఎదుర్కొన్నాను). కొన్ని కంపెనీలు తమ స్వంత సాఫ్ట్‌వేర్ పరిష్కారాలను అభివృద్ధి చేస్తున్నాయి (DPDK వంటి సాంకేతికతలు ఒక భౌతిక x86 మెషీన్‌లో పదుల గిగాబిట్ల ట్రాఫిక్‌ను ప్రాసెస్ చేయడానికి మిమ్మల్ని అనుమతిస్తాయి).

ప్రసిద్ధ ఆటగాళ్లలో, ప్రతి ఒక్కరూ L3/L4 DDoSతో ఎక్కువ లేదా తక్కువ ప్రభావవంతంగా పోరాడగలరు. ఇప్పుడు ఎవరు ఎక్కువ గరిష్ట ఛానెల్ సామర్థ్యాన్ని కలిగి ఉన్నారో నేను చెప్పను (ఇది అంతర్గత సమాచారం), కానీ సాధారణంగా ఇది అంత ముఖ్యమైనది కాదు మరియు రక్షణ ఎంత త్వరగా ప్రేరేపించబడుతుందనేది మాత్రమే తేడా (తక్షణమే లేదా ప్రాజెక్ట్ పనికిరాని కొన్ని నిమిషాల తర్వాత, హెట్జ్నర్ వలె).
ఇది ఎంత బాగా జరుగుతుంది అనేది ప్రశ్న: అత్యధిక మొత్తంలో హానికరమైన ట్రాఫిక్ ఉన్న దేశాల నుండి ట్రాఫిక్‌ను నిరోధించడం ద్వారా యాంప్లిఫికేషన్ దాడిని తిప్పికొట్టవచ్చు లేదా నిజంగా అనవసరమైన ట్రాఫిక్‌ను మాత్రమే విస్మరించవచ్చు.
అదే సమయంలో, నా అనుభవం ఆధారంగా, అన్ని తీవ్రమైన మార్కెట్ ప్లేయర్‌లు సమస్యలు లేకుండా దీనిని ఎదుర్కొంటారు: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (గతంలో SkyParkCDN), సర్వీస్‌పైప్, స్టార్మ్‌వాల్, వోక్సిలిటీ మొదలైనవి.
Rostelecom, Megafon, TTK, Beeline వంటి ఆపరేటర్ల నుండి నేను రక్షణను ఎదుర్కోలేదు; సహోద్యోగుల సమీక్షల ప్రకారం, వారు ఈ సేవలను బాగా అందిస్తారు, కానీ ఇప్పటివరకు అనుభవం లేకపోవడం క్రమానుగతంగా ప్రభావితం చేస్తుంది: కొన్నిసార్లు మీరు మద్దతు ద్వారా ఏదైనా సర్దుబాటు చేయాలి. రక్షణ ఆపరేటర్ యొక్క.
కొంతమంది ఆపరేటర్లు "L3/L4 స్థాయిలో దాడుల నుండి రక్షణ" లేదా "ఛానల్ రక్షణ" అనే ప్రత్యేక సేవను కలిగి ఉన్నారు; ఇది అన్ని స్థాయిలలో రక్షణ కంటే చాలా తక్కువ ఖర్చవుతుంది.

వెన్నెముక ప్రొవైడర్ దాని స్వంత ఛానెల్‌లను కలిగి లేనందున, వందల Gbitల దాడులను ఎందుకు తిప్పికొట్టడం లేదు?ప్రొటెక్షన్ ఆపరేటర్ ఏదైనా ప్రధాన ప్రొవైడర్‌లతో కనెక్ట్ అవ్వవచ్చు మరియు "దాని ఖర్చుతో" దాడులను తిప్పికొట్టవచ్చు. మీరు ఛానెల్ కోసం చెల్లించవలసి ఉంటుంది, కానీ ఈ వందల Gbitలు ఎల్లప్పుడూ ఉపయోగించబడవు; ఈ సందర్భంలో ఛానెల్‌ల ధరను గణనీయంగా తగ్గించడానికి ఎంపికలు ఉన్నాయి, కాబట్టి పథకం పని చేయగలదు.

హోస్టింగ్ ప్రొవైడర్ సిస్టమ్‌లకు మద్దతు ఇస్తూ ఉన్నత-స్థాయి L3/L4 రక్షణ నుండి నేను క్రమం తప్పకుండా స్వీకరించే నివేదికలు ఇవి.

L7 స్థాయిలో రక్షణ (అప్లికేషన్ స్థాయి)

L7 స్థాయి (అప్లికేషన్ స్థాయి) వద్ద దాడులు స్థిరంగా మరియు సమర్ధవంతంగా యూనిట్లను తిప్పికొట్టగలవు.
నాకు చాలా నిజమైన అనుభవం ఉంది
— Qrator.net;
- DDoS-గార్డ్;
- జి-కోర్ ల్యాబ్స్;
- కాస్పెర్స్కీ.

వారు స్వచ్ఛమైన ట్రాఫిక్ యొక్క ప్రతి మెగాబిట్ కోసం వసూలు చేస్తారు, ఒక మెగాబిట్ అనేక వేల రూబిళ్లు ఖర్చు అవుతుంది. మీకు కనీసం 100 Mbps స్వచ్ఛమైన ట్రాఫిక్ ఉంటే - ఓహ్. రక్షణ చాలా ఖరీదైనది. భద్రతా ఛానెల్‌ల సామర్థ్యాన్ని చాలా వరకు ఆదా చేయడానికి అప్లికేషన్‌లను ఎలా రూపొందించాలో నేను క్రింది కథనాలలో మీకు చెప్పగలను.
నిజమైన "కింగ్ ఆఫ్ ది కొండ" Qrator.net, మిగిలిన వారు వారి వెనుకబడి ఉన్నారు. నా అనుభవంలో ఇప్పటివరకు సున్నాకి దగ్గరగా ఉన్న తప్పుడు పాజిటివ్‌ల శాతాన్ని Qrator మాత్రమే ఇస్తున్నారు, అయితే అదే సమయంలో అవి ఇతర మార్కెట్ ప్లేయర్‌ల కంటే చాలా రెట్లు ఎక్కువ ఖరీదైనవి.

ఇతర ఆపరేటర్లు కూడా అధిక-నాణ్యత మరియు స్థిరమైన రక్షణను అందిస్తారు. మా ద్వారా మద్దతిచ్చే అనేక సేవలు (దేశంలో బాగా తెలిసిన వాటితో సహా!) DDoS-Guard, G-Core ల్యాబ్‌ల నుండి రక్షించబడ్డాయి మరియు పొందిన ఫలితాలతో చాలా సంతృప్తి చెందాయి.

Qrator ద్వారా దాడులు తిప్పికొట్టబడ్డాయి

నాకు cloud-shield.ru, ddosa.net వంటి చిన్న భద్రతా ఆపరేటర్‌లతో పాటు వేలాది మందితో అనుభవం ఉంది. నేను ఖచ్చితంగా దీన్ని సిఫార్సు చేయను, ఎందుకంటే ... నాకు చాలా అనుభవం లేదు, కానీ వారి పని సూత్రాల గురించి నేను మీకు చెప్తాను. వారి రక్షణ ఖర్చు తరచుగా ప్రధాన ఆటగాళ్ల కంటే 1-2 ఆర్డర్‌ల పరిమాణం తక్కువగా ఉంటుంది. నియమం ప్రకారం, వారు పెద్ద ఆటగాళ్లలో ఒకరి నుండి పాక్షిక రక్షణ సేవను (L3/L4) కొనుగోలు చేస్తారు + అధిక స్థాయిలలో దాడుల నుండి వారి స్వంత రక్షణను చేస్తారు. ఇది చాలా ప్రభావవంతంగా ఉంటుంది + మీరు తక్కువ డబ్బుతో మంచి సేవను పొందవచ్చు, కానీ ఇవి ఇప్పటికీ చిన్న సిబ్బందితో చిన్న కంపెనీలు, దయచేసి గుర్తుంచుకోండి.

L7 స్థాయిలో దాడులను తిప్పికొట్టడంలో ఇబ్బంది ఏమిటి?

అన్ని అప్లికేషన్‌లు ప్రత్యేకమైనవి మరియు మీరు వాటికి ఉపయోగపడే ట్రాఫిక్‌ను అనుమతించాలి మరియు హానికరమైన వాటిని బ్లాక్ చేయాలి. బాట్‌లను నిర్ద్వంద్వంగా తొలగించడం ఎల్లప్పుడూ సాధ్యం కాదు, కాబట్టి మీరు చాలా ఎక్కువ ట్రాఫిక్ శుద్దీకరణను ఉపయోగించాలి.

ఒకప్పుడు, nginx-testcookie మాడ్యూల్ సరిపోయేది (https://github.com/kyprizel/testcookie-nginx-module), మరియు పెద్ద సంఖ్యలో దాడులను తిప్పికొట్టడానికి ఇది ఇప్పటికీ సరిపోతుంది. నేను హోస్టింగ్ పరిశ్రమలో పని చేసినప్పుడు, L7 రక్షణ nginx-testcookieపై ఆధారపడింది.
దురదృష్టవశాత్తు, దాడులు మరింత క్లిష్టంగా మారాయి. testcookie JS-ఆధారిత బోట్ తనిఖీలను ఉపయోగిస్తుంది మరియు అనేక ఆధునిక బాట్‌లు వాటిని విజయవంతంగా పాస్ చేయగలవు.

అటాక్ బోట్‌నెట్‌లు కూడా ప్రత్యేకమైనవి మరియు ప్రతి పెద్ద బోట్‌నెట్ యొక్క లక్షణాలను తప్పనిసరిగా పరిగణనలోకి తీసుకోవాలి.
యాంప్లిఫికేషన్, బోట్‌నెట్ నుండి ప్రత్యక్ష వరదలు, వివిధ దేశాల నుండి ట్రాఫిక్‌ను ఫిల్టర్ చేయడం (వివిధ దేశాలకు వేర్వేరు ఫిల్టరింగ్), SYN/ACK వరదలు, ప్యాకెట్ ఫ్రాగ్మెంటేషన్, ICMP, http వరదలు, అయితే అప్లికేషన్/http స్థాయిలో మీరు అపరిమిత సంఖ్యలో రావచ్చు వివిధ దాడులు.
మొత్తంగా, ఛానెల్ రక్షణ స్థాయిలో, ట్రాఫిక్ క్లియర్ చేయడానికి ప్రత్యేక పరికరాలు, ప్రత్యేక సాఫ్ట్‌వేర్, ప్రతి క్లయింట్‌కు అదనపు ఫిల్టరింగ్ సెట్టింగ్‌లు పదుల మరియు వందల ఫిల్టరింగ్ స్థాయిలు ఉండవచ్చు.
దీన్ని సరిగ్గా నిర్వహించడానికి మరియు వేర్వేరు వినియోగదారుల కోసం ఫిల్టరింగ్ సెట్టింగ్‌లను సరిగ్గా ట్యూన్ చేయడానికి, మీకు చాలా అనుభవం మరియు అర్హత కలిగిన సిబ్బంది అవసరం. రక్షణ సేవలను అందించాలని నిర్ణయించుకున్న పెద్ద ఆపరేటర్ కూడా "సమస్యపై తెలివితక్కువగా డబ్బును విసిరేయలేరు": అబద్ధాల సైట్‌లు మరియు చట్టబద్ధమైన ట్రాఫిక్‌పై తప్పుడు పాజిటివ్‌ల నుండి అనుభవాన్ని పొందవలసి ఉంటుంది.
భద్రతా ఆపరేటర్ కోసం "DDoSని తిప్పికొట్టండి" బటన్ లేదు; పెద్ద సంఖ్యలో సాధనాలు ఉన్నాయి మరియు వాటిని ఎలా ఉపయోగించాలో మీరు తెలుసుకోవాలి.

మరియు మరొక బోనస్ ఉదాహరణ.

600 Mbit సామర్థ్యంతో దాడి చేస్తున్నప్పుడు ఒక అసురక్షిత సర్వర్‌ని హోస్టర్ బ్లాక్ చేసారు
(ట్రాఫిక్ యొక్క "నష్టం" గమనించదగినది కాదు, ఎందుకంటే 1 సైట్ మాత్రమే దాడి చేయబడింది, ఇది సర్వర్ నుండి తాత్కాలికంగా తీసివేయబడింది మరియు ఒక గంటలో నిరోధించడం ఎత్తివేయబడింది).

అదే సర్వర్ రక్షించబడింది. దాడి చేసినవారు ఒక రోజు తిప్పికొట్టిన దాడుల తర్వాత "లొంగిపోయారు". దాడి కూడా బలమైనది కాదు.

L3/L4 యొక్క దాడి మరియు రక్షణ చాలా చిన్నవిషయం; అవి ప్రధానంగా ఛానెల్‌ల మందం, దాడుల కోసం గుర్తించడం మరియు వడపోత అల్గారిథమ్‌లపై ఆధారపడి ఉంటాయి.
L7 దాడులు మరింత సంక్లిష్టమైనవి మరియు అసలైనవి; అవి దాడి చేయబడిన అప్లికేషన్, దాడి చేసేవారి సామర్థ్యాలు మరియు ఊహపై ఆధారపడి ఉంటాయి. వారికి వ్యతిరేకంగా రక్షణకు చాలా జ్ఞానం మరియు అనుభవం అవసరం, మరియు ఫలితం తక్షణమే కాదు మరియు వంద శాతం కాదు. Google రక్షణ కోసం మరొక న్యూరల్ నెట్‌వర్క్‌తో వచ్చే వరకు.

మూలం: www.habr.com