DDoS దాడుల నుండి పూర్తి రక్షణతో హోస్టింగ్ - పురాణం లేదా వాస్తవికత

2020 మొదటి రెండు త్రైమాసికాల్లో, DDoS దాడుల సంఖ్య దాదాపు మూడు రెట్లు పెరిగింది, వాటిలో 65% చిన్న ఆన్‌లైన్ స్టోర్‌లు, ఫోరమ్‌లు, బ్లాగ్‌లు మరియు మీడియా అవుట్‌లెట్‌ల రక్షణ లేని సైట్‌లను సులభంగా “డిసేబుల్” చేసే “లోడ్ టెస్టింగ్”లో ఆదిమ ప్రయత్నాలు.

DDoS-రక్షిత హోస్టింగ్‌ని ఎలా ఎంచుకోవాలి? అసహ్యకరమైన పరిస్థితిలో ముగియకుండా ఉండటానికి మీరు దేనికి శ్రద్ధ వహించాలి మరియు దేనికి సిద్ధం కావాలి?

(లోపల "గ్రే" మార్కెటింగ్‌కు వ్యతిరేకంగా టీకాలు వేయడం)

DDoS దాడులను నిర్వహించడానికి అందుబాటులో ఉన్న వివిధ సాధనాలు ఆన్‌లైన్ సేవల యజమానులను ముప్పును ఎదుర్కోవడానికి తగిన చర్యలు తీసుకోవాలని బలవంతం చేస్తాయి. మీరు DDoS రక్షణ గురించి ఆలోచించడం మొదటి వైఫల్యం తర్వాత కాదు మరియు అవస్థాపన యొక్క తప్పు సహనాన్ని పెంచే చర్యలలో భాగంగా కాకుండా, ప్లేస్‌మెంట్ కోసం సైట్‌ను ఎంచుకునే దశలో (హోస్టింగ్ ప్రొవైడర్ లేదా డేటా సెంటర్).

ఓపెన్ సిస్టమ్స్ ఇంటర్‌కనెక్షన్ (OSI) మోడల్ స్థాయిలకు దుర్బలత్వం ఉపయోగించబడే ప్రోటోకాల్‌లపై ఆధారపడి DDoS దాడులు వర్గీకరించబడతాయి:

• ఛానెల్ (L2),
• నెట్‌వర్క్ (L3),
• రవాణా (L4),
• దరఖాస్తు (L7).

భద్రతా వ్యవస్థల దృక్కోణం నుండి, వాటిని రెండు సమూహాలుగా సాధారణీకరించవచ్చు: అవస్థాపన స్థాయి దాడులు (L2-L4) మరియు అప్లికేషన్ స్థాయి దాడులు (L7). ఇది ట్రాఫిక్ విశ్లేషణ అల్గారిథమ్‌ల అమలు క్రమం మరియు గణన సంక్లిష్టత కారణంగా ఉంది: మనం IP ప్యాకెట్‌ను ఎంత లోతుగా పరిశీలిస్తే అంత ఎక్కువ కంప్యూటింగ్ శక్తి అవసరం.

సాధారణంగా, నిజ సమయంలో ట్రాఫిక్‌ను ప్రాసెస్ చేస్తున్నప్పుడు గణనలను ఆప్టిమైజ్ చేసే సమస్య ప్రత్యేక కథనాల శ్రేణికి సంబంధించిన అంశం. అప్లికేషన్-స్థాయి దాడుల నుండి (సహా ఉచిత).

DDoS దాడులకు వ్యతిరేకంగా హోస్టింగ్ భద్రత స్థాయిని నిర్ణయించడానికి 3 ప్రధాన ప్రశ్నలు

Давайте посмотрим в условия оказания услуги защиты от DDoS-атак и Соглашение об уровне сервиса (Service Level Agreement, SLA) хостинг-провайдера. Находятся ли в них ответы на следующие вопросы:

• సర్వీస్ ప్రొవైడర్ ద్వారా ఏ సాంకేతిక పరిమితులు పేర్కొనబడ్డాయి??
• что происходит, когда заказчик выходит за рамки ограничений?
• DDoS దాడుల (సాంకేతికతలు, పరిష్కారాలు, సరఫరాదారులు) నుండి హోస్టింగ్ ప్రొవైడర్ రక్షణను ఎలా నిర్మిస్తుంది?

మీరు ఈ సమాచారాన్ని కనుగొనకుంటే, సర్వీస్ ప్రొవైడర్ యొక్క తీవ్రత గురించి ఆలోచించడానికి లేదా మీ స్వంతంగా ప్రాథమిక DDoS రక్షణ (L3-4)ని నిర్వహించడానికి ఇది ఒక కారణం. ఉదాహరణకు, ప్రత్యేక భద్రతా ప్రదాత యొక్క నెట్‌వర్క్‌కు భౌతిక కనెక్షన్‌ని ఆర్డర్ చేయండి.

ముఖ్యం! Нет смысла обеспечивать защиту от атак уровня приложений с помощью Reverse Proxy, если ваш хостинг-провайдер не способен обеспечить защиту от атак уровня инфраструктуры: сетевое оборудование будет перегружено и станет недоступным, в том числе и для проксирующих серверов облачного провайдера (рисунок 1).

మూర్తి 1. హోస్టింగ్ ప్రొవైడర్ నెట్‌వర్క్‌పై ప్రత్యక్ష దాడి

మరియు సర్వర్ యొక్క నిజమైన IP చిరునామా సెక్యూరిటీ ప్రొవైడర్ యొక్క క్లౌడ్ వెనుక దాగి ఉందని మీకు అద్భుత కథలను చెప్పడానికి వారిని అనుమతించవద్దు, అంటే దానిపై నేరుగా దాడి చేయడం అసాధ్యం. పదికి తొమ్మిది సందర్భాల్లో, మొత్తం డేటా సెంటర్‌ను "నాశనం" చేయడానికి సర్వర్ యొక్క నిజమైన IP చిరునామా లేదా కనీసం హోస్టింగ్ ప్రొవైడర్ నెట్‌వర్క్‌ను కనుగొనడం దాడి చేసేవారికి కష్టం కాదు.

నిజమైన IP చిరునామా కోసం హ్యాకర్లు ఎలా పని చేస్తారు

స్పాయిలర్‌ల క్రింద నిజమైన IP చిరునామాను కనుగొనడానికి అనేక పద్ధతులు ఉన్నాయి (సమాచార ప్రయోజనాల కోసం అందించబడింది).

విధానం 1: ఓపెన్ సోర్స్‌లలో శోధించండి

మీరు ఆన్‌లైన్ సేవతో మీ శోధనను ప్రారంభించవచ్చు ఇంటెలిజెన్స్ X: он ищет информацию в даркнете, на платформах для обмена документами, обрабатывает данные Whois, утечки общедоступных данных и многие другие источники.

కొన్ని సంకేతాల (HTTP హెడర్‌లు, హూయిస్ డేటా, మొదలైనవి) ఆధారంగా, క్లౌడ్‌ఫ్లేర్‌ని ఉపయోగించి సైట్ యొక్క రక్షణ నిర్వహించబడిందని నిర్ధారించడం సాధ్యమైతే, మీరు దీని నుండి నిజమైన IP కోసం శోధించడం ప్రారంభించవచ్చు జాబితా, ఇది క్లౌడ్‌ఫ్లేర్ వెనుక ఉన్న సైట్‌ల యొక్క సుమారు 3 మిలియన్ IP చిరునామాలను కలిగి ఉంది.

SSL ప్రమాణపత్రం మరియు సేవను ఉపయోగించడం సెన్సిస్ మీరు సైట్ యొక్క నిజమైన IP చిరునామాతో సహా చాలా ఉపయోగకరమైన సమాచారాన్ని కనుగొనవచ్చు. మీ వనరు కోసం అభ్యర్థనను రూపొందించడానికి, సర్టిఫికెట్‌ల ట్యాబ్‌కి వెళ్లి నమోదు చేయండి:

_parsed.names: పేరుసైట్ AND tags.raw: విశ్వసనీయమైనది

SSL ప్రమాణపత్రాన్ని ఉపయోగించి సర్వర్‌ల యొక్క IP చిరునామాల కోసం శోధించడానికి, మీరు అనేక సాధనాలతో డ్రాప్-డౌన్ జాబితాను మాన్యువల్‌గా చూడవలసి ఉంటుంది (“అన్వేషించు” ట్యాబ్, ఆపై “IPv4 హోస్ట్‌లు” ఎంచుకోండి).

విధానం 2: DNS

Поиск по истории изменения DNS-записей — старый, проверенный способ. Предыдущий IP-адрес сайта может дать понять, на каком хостинге (или в каком дата-центре) он располагался. Среди онлайн-сервисов по удобству использования выделяются చూడండిDNS и సెక్యూరిటీ ట్రైల్స్.

మీరు సెట్టింగ్‌లను మార్చినప్పుడు, సైట్ క్లౌడ్ సెక్యూరిటీ ప్రొవైడర్ లేదా CDN యొక్క IP చిరునామాను వెంటనే ఉపయోగించదు, కానీ కొంత సమయం వరకు నేరుగా పని చేస్తుంది. ఈ సందర్భంలో, IP చిరునామా మార్పుల చరిత్రను నిల్వ చేయడానికి ఆన్‌లైన్ సేవలు సైట్ యొక్క మూల చిరునామా గురించి సమాచారాన్ని కలిగి ఉండే అవకాశం ఉంది.

Если ничего, кроме имени старого DNS-сервера нет, то с помощью специальных утилит (dig, host или nslookup) можно запросить IP-адрес по доменному имени сайта, например:

_dig @old_dns_server_name పేరువెబ్సైట్

విధానం 3: ఇమెయిల్

మీ ఇమెయిల్‌కు లేఖను స్వీకరించడానికి మరియు శీర్షికలను తనిఖీ చేయడానికి అభిప్రాయాన్ని/నమోదు ఫారమ్‌ను (లేదా లేఖ పంపడాన్ని ప్రారంభించడానికి మిమ్మల్ని అనుమతించే ఏదైనా ఇతర పద్ధతి) ఉపయోగించడం పద్ధతి యొక్క ఆలోచన, ముఖ్యంగా “అందుకుంది” ఫీల్డ్. .

ఇమెయిల్ హెడర్ తరచుగా MX రికార్డ్ (ఇమెయిల్ ఎక్స్ఛేంజ్ సర్వర్) యొక్క వాస్తవ IP చిరునామాను కలిగి ఉంటుంది, ఇది లక్ష్యంలో ఇతర సర్వర్‌లను కనుగొనడానికి ఒక ప్రారంభ స్థానం కావచ్చు.

ఆటోమేషన్ సాధనాలను శోధించండి

క్లౌడ్‌ఫ్లేర్ షీల్డ్ వెనుక ఉన్న IP శోధన సాఫ్ట్‌వేర్ చాలా తరచుగా మూడు పనుల కోసం పనిచేస్తుంది:

• DNSDumpster.comని ఉపయోగించి DNS తప్పు కాన్ఫిగరేషన్ కోసం స్కాన్ చేయండి;
• Crimeflare.com డేటాబేస్ స్కాన్;
• నిఘంటువు శోధన పద్ధతిని ఉపయోగించి సబ్‌డొమైన్‌ల కోసం శోధించండి.

సబ్‌డొమైన్‌లను కనుగొనడం అనేది తరచుగా మూడింటిలో అత్యంత ప్రభావవంతమైన ఎంపిక - సైట్ యజమాని ప్రధాన సైట్‌ను రక్షించవచ్చు మరియు సబ్‌డొమైన్‌లను నేరుగా అమలులో ఉంచవచ్చు. తనిఖీ చేయడానికి సులభమైన మార్గం ఉపయోగించడం CloudFail.

అదనంగా, డిక్షనరీ శోధనను ఉపయోగించి సబ్‌డొమైన్‌లను శోధించడం మరియు ఓపెన్ సోర్స్‌లలో శోధించడం కోసం మాత్రమే రూపొందించబడిన యుటిలిటీలు ఉన్నాయి, ఉదాహరణకు: సబ్‌లిస్ట్3ఆర్ లేదా dnsrecon.

Как поиск происходит на практике

ఉదాహరణకు, క్లౌడ్‌ఫ్లేర్‌ని ఉపయోగించి seo.com సైట్‌ని తీసుకుందాం, ఇది మనకు తెలిసిన సేవను ఉపయోగిస్తుంది. తో నిర్మించబడింది (సైట్ ఆపరేట్ చేసే సాంకేతికతలు / ఇంజిన్‌లు / CMS రెండింటినీ నిర్ణయించడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు వైస్ వెర్సా - ఉపయోగించిన టెక్నాలజీల ద్వారా సైట్‌ల కోసం శోధించండి).

మీరు “IPv4 హోస్ట్‌లు” ట్యాబ్‌పై క్లిక్ చేసినప్పుడు, సేవ ప్రమాణపత్రాన్ని ఉపయోగించి హోస్ట్‌ల జాబితాను చూపుతుంది. మీకు అవసరమైన దాన్ని కనుగొనడానికి, ఓపెన్ పోర్ట్ 443తో IP చిరునామా కోసం వెతకండి. అది కోరుకున్న సైట్‌కి దారి మళ్లిస్తే, పని పూర్తవుతుంది, లేకపోతే మీరు సైట్ యొక్క డొమైన్ పేరును "హోస్ట్" హెడర్‌కి జోడించాలి. HTTP అభ్యర్థన (ఉదాహరణకు, * curl -H "హోస్ట్: site_name" *https://IP_адрес).

మా విషయంలో, Censys డేటాబేస్లో శోధన ఏమీ ఇవ్వలేదు, కాబట్టి మేము కొనసాగుతాము.

మేము సేవ ద్వారా DNS శోధనను నిర్వహిస్తాము https://securitytrails.com/dns-trails.

CloudFail యుటిలిటీని ఉపయోగించి DNS సర్వర్‌ల జాబితాలలో పేర్కొన్న చిరునామాల ద్వారా శోధించడం ద్వారా, మేము పని వనరులను కనుగొంటాము. ఫలితం కొన్ని సెకన్లలో సిద్ధంగా ఉంటుంది.

Используя только открытые данные и простые инструменты, мы определили реальный IP адрес веб-сервера. Остальное для атакующего — дело техники.

హోస్టింగ్ ప్రొవైడర్‌ని ఎంచుకోవడానికి తిరిగి వెళ్దాం. కస్టమర్ కోసం సేవ యొక్క ప్రయోజనాన్ని అంచనా వేయడానికి, మేము DDoS దాడుల నుండి రక్షణ కోసం సాధ్యమయ్యే పద్ధతులను పరిశీలిస్తాము.

హోస్టింగ్ ప్రొవైడర్ దాని రక్షణను ఎలా నిర్మిస్తుంది

1. వడపోత పరికరాలతో సొంత రక్షణ వ్యవస్థ (మూర్తి 2).
   అవసరం:
   1.1 ట్రాఫిక్ ఫిల్టరింగ్ పరికరాలు మరియు సాఫ్ట్‌వేర్ లైసెన్స్‌లు;
   1.2 దాని మద్దతు మరియు ఆపరేషన్ కోసం పూర్తి సమయం నిపుణులు;
   1.3 దాడులను స్వీకరించడానికి సరిపోయే ఇంటర్నెట్ యాక్సెస్ ఛానెల్‌లు;
   1.4 "జంక్" ట్రాఫిక్‌ను స్వీకరించడానికి ముఖ్యమైన ప్రీపెయిడ్ ఛానెల్ బ్యాండ్‌విడ్త్.
   
   మూర్తి 2. హోస్టింగ్ ప్రొవైడర్ యొక్క స్వంత భద్రతా వ్యవస్థ
   వందల Gbps యొక్క ఆధునిక DDoS దాడుల నుండి రక్షణ సాధనంగా మేము వివరించిన వ్యవస్థను పరిగణించినట్లయితే, అటువంటి వ్యవస్థకు చాలా డబ్బు ఖర్చు అవుతుంది. హోస్టింగ్ ప్రొవైడర్‌కు అలాంటి రక్షణ ఉందా? అతను "జంక్" ట్రాఫిక్ కోసం చెల్లించడానికి సిద్ధంగా ఉన్నారా? సహజంగానే, అదనపు చెల్లింపుల కోసం సుంకాలు అందించకపోతే అటువంటి ఆర్థిక నమూనా ప్రొవైడర్‌కు లాభదాయకం కాదు.
2. రివర్స్ ప్రాక్సీ (వెబ్‌సైట్‌లు మరియు కొన్ని అప్లికేషన్‌లకు మాత్రమే). సంఖ్య ఉన్నప్పటికీ ప్రయోజనాలు, సరఫరాదారు ప్రత్యక్ష DDoS దాడుల నుండి రక్షణకు హామీ ఇవ్వడు (మూర్తి 1 చూడండి). హోస్టింగ్ ప్రొవైడర్లు తరచూ అటువంటి పరిష్కారాన్ని సర్వరోగ నివారిణిగా అందిస్తారు, బాధ్యతను సెక్యూరిటీ ప్రొవైడర్‌కు బదిలీ చేస్తారు.
3. అన్ని OSI స్థాయిలలో DDoS దాడుల నుండి రక్షించడానికి ప్రత్యేక క్లౌడ్ ప్రొవైడర్ (దాని ఫిల్టరింగ్ నెట్‌వర్క్ యొక్క ఉపయోగం) సేవలు (మూర్తి 3).
   
   మూర్తి 3. ప్రత్యేక ప్రొవైడర్‌ని ఉపయోగించి DDoS దాడులకు వ్యతిరేకంగా సమగ్ర రక్షణ
   నిర్ణయం రెండు పార్టీల యొక్క లోతైన ఏకీకరణ మరియు ఉన్నత స్థాయి సాంకేతిక సామర్థ్యాన్ని ఊహిస్తుంది. అవుట్‌సోర్సింగ్ ట్రాఫిక్ ఫిల్టరింగ్ సేవలు కస్టమర్ కోసం అదనపు సేవల ధరను తగ్గించడానికి హోస్టింగ్ ప్రొవైడర్‌ను అనుమతిస్తుంది.

ముఖ్యం! Чем подробнее будут описаны технические характеристики предоставляемой услуги, тем будет больше шансов потребовать их исполнения или компенсации в случае простоя.

మూడు ప్రధాన పద్ధతులతో పాటు, అనేక కలయికలు మరియు కలయికలు ఉన్నాయి. హోస్టింగ్‌ను ఎన్నుకునేటప్పుడు, నిర్ణయం హామీ ఇవ్వబడిన బ్లాక్ చేయబడిన దాడుల పరిమాణం మరియు ఫిల్టరింగ్ ఖచ్చితత్వంపై మాత్రమే కాకుండా, ప్రతిస్పందన వేగం, అలాగే సమాచార కంటెంట్ (నిరోధిత దాడుల జాబితా, సాధారణ గణాంకాలు మొదలైనవి).

ప్రపంచంలోని కొంతమంది హోస్టింగ్ ప్రొవైడర్లు మాత్రమే ఆమోదయోగ్యమైన స్థాయి రక్షణను వారి స్వంతంగా అందించగలరని గుర్తుంచుకోండి; ఇతర సందర్భాల్లో, సహకారం మరియు సాంకేతిక అక్షరాస్యత సహాయపడతాయి. అందువల్ల, DDoS దాడులకు వ్యతిరేకంగా రక్షణను నిర్వహించడం యొక్క ప్రాథమిక సూత్రాలను అర్థం చేసుకోవడం సైట్ యజమాని మార్కెటింగ్ ట్రిక్స్‌లో పడకుండా మరియు "పిగ్ ఇన్ ఎ పొక్" కొనకుండా అనుమతిస్తుంది.

మూలం: www.habr.com