"Бачае, ки вебсайти моро сохтааст, аллакай муҳофизати DDoS-ро насб кардааст."
"Мо муҳофизати DDoS дорем, чаро сайт хомӯш шуд?"
"Qrator чанд ҳазор мехоҳад?"
Барои дуруст ҷавоб додан ба чунин саволҳои муштарӣ/раҳбар, хуб мебуд, бидонед, ки дар паси номи "муҳофизати DDoS" чӣ пинҳон аст. Интихоби хадамоти амниятӣ бештар ба интихоби дору аз духтур монанд аст, назар ба интихоби миз дар IKEA.
Ман 11 сол боз вебсайтҳоро дастгирӣ мекунам, аз садҳо ҳамлаҳо ба хидматҳое, ки ман дастгирӣ мекунам, наҷот ёфтам ва ҳоло ман ба шумо дар бораи корҳои дохилии муҳофизат каме нақл мекунам.
Ҳамлаҳои мунтазам. Ҳамагӣ 350 ҳазор талаб, 52 ҳазор талабот қонунӣ
Аввалин ҳамлаҳо қариб дар як вақт бо Интернет пайдо шуданд. DDoS ҳамчун падида аз охири солҳои 2000-ум паҳн шудааст (санҷед ).
Тақрибан аз солҳои 2015-2016, қариб ҳама провайдерҳои хостинг аз ҳамлаҳои DDoS ҳифз шудаанд, ба монанди аксари сайтҳои машҳур дар минтақаҳои рақобатӣ (кор кунед whois аз ҷониби IP аз сайтҳои eldorado.ru, leroymerlin.ru, tilda.ws, шумо шабакаҳоро хоҳед дид. операторони муҳофизат).
Агар 10-20 сол пеш аксари ҳамлаҳо метавонистанд дар худи сервер дафъ шаванд (ба тавсияҳои администратори системаи Lenta.ru Максим Мошков аз солҳои 90-ум арзёбӣ кунед: ), вале холо вазифахои мухофизат душвортар шудаанд.
Намудҳои ҳамлаҳои DDoS аз нуқтаи назари интихоби оператори муҳофизатӣ
Ҳамлаҳо дар сатҳи L3/L4 (мувофиқи модели OSI)
— Сели UDP аз ботнет (бисёр дархостҳо мустақиман аз дастгоҳҳои сироятшуда ба хидмати ҳамла фиристода мешаванд, серверҳо бо канал баста мешаванд);
— пурқувваткунии DNS/NTP/ ва ғайра (бисёр дархостҳо аз дастгоҳҳои сироятшуда ба осебпазири DNS/NTP/ ва ғайра фиристода мешаванд, суроғаи ирсолкунанда қалбакӣ аст, абри бастаҳое, ки ба дархостҳо посух медиҳанд, канали шахси ҳамлашавандаро об мекунанд; ин аст, ки бештарин ҳамлаҳои азим дар Интернети муосир анҷом дода мешаванд);
— Обхези SYN / ACK (бисёр дархостҳо барои барқарор кардани пайвастшавӣ ба серверҳои ҳамла фиристода мешаванд, навбати пайвастшавӣ пур мешавад);
— ҳамлаҳо бо тақсимоти бастаҳо, пинги марг, сели пинг (Лутфан, Google);
- ва ғайра.
Ҳадафи ин ҳамлаҳо "банд кардани" канали сервер ё "куштани" қобилияти он барои қабули трафики нав мебошанд.
Гарчанде ки обхезӣ ва пурқувваткунии SYN/ACK хеле гуногунанд, бисёр ширкатҳо бо онҳо яксон мубориза мебаранд. Бо ҳамлаҳои гурӯҳи навбатӣ мушкилот ба миён меоянд.
Ҳамлаҳо ба L7 (қабати барнома)
— обхезии http (агар ба вебсайт ё баъзе http api ҳамла карда шавад);
— ҳамла ба минтақаҳои осебпазири сайт (онҳое, ки кэш надоранд, сайтро хеле пурбор мекунанд ва ғайра).
Ҳадаф ин аст, ки сервер "сахт кор кунад", коркарди зиёди "дархостҳои ба назар воқеӣ" ва бе захираҳо барои дархостҳои воқеӣ боқӣ монад.
Гарчанде ки ҳамлаҳои дигар вуҷуд доранд, инҳо бештар маъмуланд.
Ҳамлаҳои ҷиддӣ дар сатҳи L7 барои ҳар як лоиҳаи ҳамла ба таври беназир сохта мешаванд.
Чаро 2 гурӯҳ?
Зеро бисёриҳо ҳастанд, ки чӣ гуна ҳамлаҳоро дар сатҳи L3 / L4 хуб дафъ карданро медонанд, аммо ё умуман дар сатҳи барнома (L7) муҳофизат намегиранд ё ҳанӯз аз алтернативаҳои мубориза бо онҳо заифтаранд.
Дар бозори ҳифзи DDoS кист
(фикри шахсии ман)
Муҳофизат дар сатҳи L3/L4
Барои дафъ кардани ҳамлаҳо бо тақвият ("банд кардани" канали сервер) каналҳои васеъ мавҷуданд (бисёре аз хадамоти муҳофизатӣ ба аксари провайдерҳои бузурги магистралии Русия пайваст мешаванд ва дорои каналҳои дорои иқтидори назариявии зиёда аз 1 Тбит мебошанд). Фаромӯш накунед, ки ҳамлаҳои хеле камёб аз як соат зиёдтар давом мекунанд. Агар шумо Spamhaus бошед ва ҳама ба шумо маъқул набошанд, бале, онҳо метавонанд кӯшиш кунанд, ки каналҳои шуморо барои чанд рӯз қатъ кунанд, ҳатто бо хатари истифодаи минбаъдаи ботнети ҷаҳонӣ. Агар шумо танҳо як мағозаи онлайн дошта бошед, ҳатто агар он mvideo.ru бошад, шумо 1 Tbit-ро дар тӯли чанд рӯз нахоҳед дид (умедворам).
Барои дафъ кардани ҳамлаҳо бо обхезии SYN/ACK, тақсимоти пакетҳо ва ғайра, ба шумо таҷҳизот ё системаҳои нармафзор лозим аст, ки чунин ҳамлаҳоро ошкор ва қатъ кунанд.
Бисёр одамон чунин таҷҳизот истеҳсол мекунанд (Arbor, қарорҳо аз Cisco, Huawei, татбиқи нармафзор аз Wanguard ва ғайра), бисёр операторони магистралӣ аллакай онро насб кардаанд ва хидматҳои муҳофизати DDoS-ро мефурӯшанд (ман дар бораи насбҳо аз Ростелеком, Мегафон, ТТК, МТС медонам. , дар асл, ҳама провайдерҳои асосӣ бо хостерҳо бо муҳофизати худашон ҳамин тавр мекунанд a-la OVH.com, Hetzner.de, ман худам бо муҳофизат дар ihor.ru дучор шудам). Баъзе ширкатҳо қарорҳои нармафзори худро таҳия мекунанд (технологияҳо ба монанди DPDK ба шумо имкон медиҳанд, ки даҳҳо гигабит трафикро дар як мошини физикии x86 коркард кунед).
Аз бозигарони маъруф ҳама метавонанд бо L3/L4 DDoS кам ё самаранок мубориза баранд. Ҳоло ман намегӯям, ки иқтидори максималии канал кӣ бештар аст (ин маълумоти инсайдерӣ аст), аммо одатан ин он қадар муҳим нест ва ягона фарқият дар он аст, ки муҳофизат то чӣ андоза зуд ба кор андохта мешавад (дарҳол ё пас аз чанд дақиқаи бекористии лоиҳа, чунон ки дар Хетцнер).
Савол ин аст, ки ин кор то чӣ андоза хуб иҷро шудааст: ҳамлаи тақвиятро тавассути бастани трафик аз кишварҳое, ки миқдори зиёди трафики зараровар доранд, дафъ кардан мумкин аст ё танҳо трафики воқеан нолозимро партофтан мумкин аст.
Аммо дар айни замон, дар асоси таҷрибаи ман, ҳама бозигарони ҷиддии бозор бо ин бе мушкилот мубориза мебаранд: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (собиқ SkyParkCDN), ServicePipe, Stormwall, Voxility ва ғайра.
Ман аз операторҳо ба монанди Ростелеком, Мегафон, ТТК, Билайн ба муҳофизат дучор нашудаам; тибқи баррасиҳои ҳамкорон, онҳо ин хидматҳоро хеле хуб пешкаш мекунанд, аммо то ба ҳол набудани таҷриба давра ба давра таъсир мерасонад: баъзан шумо бояд тавассути дастгирӣ чизеро тағир диҳед. оператори муҳофизат.
Баъзе операторҳо хидмати алоҳидаи "ҳимоя аз ҳамлаҳо дар сатҳи L3/L4" ё "ҳимояи канал" доранд; арзиши он нисбат ба муҳофизат дар ҳама сатҳҳо хеле камтар аст.
Чаро провайдери магистралӣ ҳамлаҳои садҳо Гбитро дафъ намекунад, зеро он каналҳои худро надорад?Оператори муҳофизат метавонад ба ҳама гуна провайдерҳои асосӣ пайваст шавад ва ҳамлаҳоро "аз ҳисоби худ" дафъ кунад. Шумо бояд барои канал пардохт кунед, аммо ҳамаи ин садҳо Гбит на ҳамеша истифода мешаванд; дар ин ҳолат имконот барои ба таври назаррас коҳиш додани арзиши каналҳо мавҷуданд, аз ин рӯ схема корношоям боқӣ мемонад.
Инҳо гузоришҳое мебошанд, ки ман мунтазам аз муҳофизати сатҳи баландтари L3/L4 ҳангоми дастгирии системаҳои провайдери хостинг мегирам.
Муҳофизат дар сатҳи L7 (сатҳи барнома)
Ҳамлаҳо дар сатҳи L7 (сатҳи барнома) қодиранд, ки воҳидҳоро пайваста ва муассир дафъ кунанд.
Ман таҷрибаи воқеии зиёде дорам
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Касперский.
Онҳо барои ҳар як мегабит трафики соф пул мегиранд, як мегабит тақрибан чанд ҳазор рубл арзиш дорад. Агар шумо ҳадди аққал 100 Мбит / с трафики пок дошта бошед - oh. Муҳофизат хеле гарон хоҳад буд. Ман дар мақолаҳои зерин ба шумо гуфта метавонам, ки чӣ гуна барномаҳоро тарҳрезӣ кунед, то қобилияти каналҳои амниятро сарфа кунед.
"Шоҳи теппа"-и ҳақиқӣ Qrator.net аст, дигарон аз онҳо ақиб мондаанд. Qrator то ҳол дар таҷрибаи ман ягонаест, ки фоизи мусбати бардурӯғро ба сифр наздик медиҳанд, аммо дар айни замон онҳо нисбат ба дигар бозигарони бозор чанд маротиба гаронтаранд.
Дигар операторҳо низ муҳофизати баландсифат ва устуворро таъмин мекунанд. Бисёре аз хидматҳое, ки аз ҷониби мо дастгирӣ мешаванд (аз ҷумла хидматҳои хеле маъруф дар кишвар!) аз DDoS-Guard, G-Core Labs ҳифз шудаанд ва аз натиҷаҳои бадастомада қаноатманданд.
Ҳамлаҳо аз ҷониби Qrator дафъ карда шуданд
Ман инчунин бо операторони хурди амниятӣ ба монанди cloud-shield.ru, ddosa.net, ҳазорон нафари онҳо таҷриба дорам. Ман бешубҳа онро тавсия намедиҳам, зеро ... Ман таҷрибаи зиёд надорам, аммо ман ба шумо дар бораи принсипҳои кори онҳо нақл мекунам. Арзиши муҳофизати онҳо аксар вақт аз арзиши бозигарони асосӣ 1-2 дараҷа пасттар аст. Чун қоида, онҳо аз яке аз бозигарони калонтар хидмати муҳофизати қисман (L3/L4) мехаранд + муҳофизати худро аз ҳамлаҳо дар сатҳҳои баландтар анҷом медиҳанд. Ин метавонад хеле муассир бошад + шумо метавонед бо пули камтар хидмати хуб гиред, аммо инҳо ҳоло ҳам ширкатҳои хурд бо кормандони кам ҳастанд, лутфан инро дар хотир нигоҳ доред.
Мушкилоти рафъи ҳамлаҳо дар сатҳи L7 чист?
Ҳама барномаҳо беназиранд ва шумо бояд трафики барои онҳо муфидро иҷозат диҳед ва барномаҳои зарароварро маҳкам кунед. Ботҳоро бечунучаро нест кардан на ҳамеша имконпазир аст, аз ин рӯ шумо бояд бисёр ва воқеан БИСЁР дараҷаҳои тозакунии трафикро истифода баред.
Боре, модули nginx-testcookie кифоя буд (), ва барои дафъ кардани шумораи зиёди ҳамлаҳо кофӣ аст. Вақте ки ман дар соҳаи хостинг кор мекардам, муҳофизати L7 ба nginx-testcookie асос ёфтааст.
Мутаассифона, ҳамлаҳо душвортар шуданд. testcookie санҷишҳои ботҳои JS-ро истифода мебарад ва бисёре аз ботҳои муосир метавонанд онҳоро бомуваффақият гузаранд.
Ботнетҳои ҳамла низ беназиранд ва хусусиятҳои ҳар як ботнети калон бояд ба назар гирифта шаванд.
Амплификация, обхезии мустақим аз ботнет, филтр кардани трафик аз кишварҳои гуногун (филтркунии гуногун барои кишварҳои гуногун), обхезии SYN/ACK, тақсимоти бастаҳо, ICMP, обхезии http, дар ҳоле ки дар сатҳи барнома/http шумо метавонед шумораи номаҳдуди ҳамлаҳои гуногун.
Дар маҷмӯъ, дар сатҳи ҳифзи канал, таҷҳизоти махсус барои тоза кардани трафик, нармафзори махсус, танзимоти иловагии филтр барои ҳар як муштарӣ метавонад даҳҳо ва садҳо сатҳҳои филтркунӣ бошад.
Барои дуруст идора кардани ин ва дуруст танзим кардани танзимоти филтр барои корбарони гуногун, ба шумо таҷрибаи зиёд ва кормандони соҳибихтисос лозим аст. Ҳатто як оператори бузурге, ки тасмим гирифтааст, ки хидматҳои муҳофизатиро пешниҳод кунад, наметавонад "беақлона ба мушкилот пул партояд": таҷриба бояд аз сайтҳои дурӯғ ва мусбатҳои бардурӯғ дар трафики қонунӣ ба даст оварда шавад.
Барои оператори амният тугмаи "дафъ кардани DDoS" вуҷуд надорад; шумораи зиёди асбобҳо мавҷуданд ва шумо бояд чӣ гуна истифода бурдани онҳоро донед.
Ва боз як мисоли бонус.
Ҳангоми ҳамла бо иқтидори 600 Мбит сервери муҳофизатнашуда аз ҷониби hoster масдуд карда шуд
(«Галаф» трафик ба назар намерасад, зеро танҳо ба 1 сайт ҳамла карда шуд, он муваққатан аз сервер хориҷ карда шуд ва дар давоми як соат масдудкунӣ бардошта шуд).
Худи ҳамон сервер муҳофизат карда шудааст. Ҳамлагарон пас аз як рӯзи ҳамлаҳои задашуда "таслим шуданд". Худи ҳамла аз ҳама қавӣ набуд.
Ҳамла ва дифои L3/L4 ночизтаранд; онҳо асосан аз ғафсии каналҳо, алгоритмҳои ошкор ва филтркунии ҳамлаҳо вобастаанд.
Ҳамлаҳои L7 мураккабтар ва аслӣ мебошанд; онҳо аз барномае, ки мавриди ҳамла қарор мегиранд, қобилиятҳо ва тасаввуроти ҳамлагарон вобастаанд. Муҳофизат аз онҳо дониш ва таҷрибаи зиёдро талаб мекунад ва натиҷааш метавонад дарҳол ва сад дарсад набошад. То он даме, ки Google барои муҳофизат як шабакаи нейронии дигар пайдо кард.
Манбаъ: will.com