โปรโฮสต์ > บล็อก > การบริหาร > คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS

คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS

“คนที่สร้างเว็บไซต์ของเราได้ตั้งค่าการป้องกัน DDoS แล้ว”
“เรามีการป้องกัน DDoS ทำไมเว็บไซต์ถึงล่ม”
“Qrator ต้องการกี่พัน?”

เพื่อที่จะตอบคำถามดังกล่าวจากลูกค้า/หัวหน้าได้อย่างเหมาะสม คงจะดีถ้ารู้ว่าอะไรที่ซ่อนอยู่เบื้องหลังชื่อ “การป้องกัน DDoS” การเลือกบริการรักษาความปลอดภัยก็เหมือนกับการเลือกยาจากแพทย์มากกว่าการเลือกโต๊ะที่อิเกีย

ฉันสนับสนุนเว็บไซต์มาเป็นเวลา 11 ปี และรอดพ้นจากการโจมตีหลายร้อยครั้งในบริการที่ฉันสนับสนุน และตอนนี้ฉันจะเล่าให้คุณฟังเล็กน้อยเกี่ยวกับการทำงานภายในของการป้องกัน
คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS
การโจมตีปกติ ทั้งหมด 350 คำขอ 52 คำขอถูกต้องตามกฎหมาย

การโจมตีครั้งแรกปรากฏขึ้นเกือบจะพร้อมกันกับอินเทอร์เน็ต DDoS เป็นปรากฏการณ์ที่แพร่หลายนับตั้งแต่ช่วงปลายทศวรรษ 2000 (ลองดู www.cloudflare.com/learning/ddos/famous-ddos-attacks).
ตั้งแต่ประมาณปี 2015-2016 ผู้ให้บริการโฮสติ้งเกือบทั้งหมดได้รับการปกป้องจากการโจมตี DDoS เช่นเดียวกับไซต์ที่โดดเด่นส่วนใหญ่ในด้านการแข่งขัน (ทำ whois ด้วย IP ของไซต์ eldorado.ru, leroymerlin.ru, tilda.ws คุณจะเห็นเครือข่าย ของผู้ปฏิบัติงานคุ้มครอง)

หากเมื่อ 10-20 ปีที่แล้วการโจมตีส่วนใหญ่สามารถต่อต้านได้บนเซิร์ฟเวอร์เอง (ประเมินคำแนะนำของผู้ดูแลระบบ Lenta.ru Maxim Moshkov จากยุค 90: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10) แต่ตอนนี้งานป้องกันกลายเป็นเรื่องยากมากขึ้น

ประเภทของการโจมตี DDoS จากมุมมองของการเลือกผู้ดำเนินการป้องกัน

การโจมตีที่ระดับ L3/L4 (ตามโมเดล OSI)

— UDP ฟลัดจากบ็อตเน็ต (คำขอจำนวนมากถูกส่งโดยตรงจากอุปกรณ์ที่ติดไวรัสไปยังบริการที่ถูกโจมตี เซิร์ฟเวอร์ถูกบล็อกด้วยช่องทาง)
— การขยาย DNS/NTP/อื่นๆ (คำขอจำนวนมากถูกส่งจากอุปกรณ์ที่ติดไวรัสไปยัง DNS/NTP/อื่นๆ ที่มีช่องโหว่ ที่อยู่ของผู้ส่งถูกปลอมแปลง กลุ่มเมฆของแพ็คเก็ตที่ตอบสนองต่อคำขอท่วมช่องทางของบุคคลที่ถูกโจมตี นี่คือวิธีที่ได้ผลมากที่สุด การโจมตีครั้งใหญ่เกิดขึ้นบนอินเทอร์เน็ตสมัยใหม่)
— SYN / ACK ฟลัด (คำขอจำนวนมากเพื่อสร้างการเชื่อมต่อถูกส่งไปยังเซิร์ฟเวอร์ที่ถูกโจมตี, คิวการเชื่อมต่อล้น);
- การโจมตีด้วยการกระจายตัวของแพ็กเก็ต, ping of death, ping Flood (โปรด Google)
- และอื่น ๆ

การโจมตีเหล่านี้มีจุดมุ่งหมายเพื่อ "อุดตัน" ช่องทางของเซิร์ฟเวอร์หรือ "ปิด" ความสามารถในการยอมรับการรับส่งข้อมูลใหม่
แม้ว่าการกระจายและการขยายสัญญาณของ SYN/ACK จะแตกต่างกันมาก แต่หลายบริษัทก็ต่อสู้กับพวกมันได้ดีพอๆ กัน เกิดปัญหากับการโจมตีจากกลุ่มต่อไป

การโจมตี L7 (เลเยอร์แอปพลิเคชัน)

— http ฟลัด (หากเว็บไซต์หรือ http api บางตัวถูกโจมตี)
— การโจมตีในพื้นที่ที่มีช่องโหว่ของไซต์ (พื้นที่ที่ไม่มีแคช ที่โหลดไซต์อย่างหนัก ฯลฯ)

เป้าหมายคือการทำให้เซิร์ฟเวอร์ "ทำงานหนัก" ประมวลผล "คำขอที่ดูเหมือนจริง" จำนวนมาก และปล่อยให้ไม่มีทรัพยากรสำหรับคำขอจริง

แม้ว่าจะมีการโจมตีอื่นๆ แต่การโจมตีเหล่านี้เป็นเรื่องปกติมากที่สุด

การโจมตีร้ายแรงในระดับ L7 ถูกสร้างขึ้นในลักษณะเฉพาะสำหรับแต่ละโครงการที่ถูกโจมตี

ทำไมต้อง 2 กลุ่ม?
เนื่องจากมีหลายคนที่รู้วิธีขับไล่การโจมตีได้ดีในระดับ L3 / L4 แต่ไม่ได้รับการป้องกันในระดับแอปพลิเคชัน (L7) เลย หรือยังอ่อนแอกว่าทางเลือกอื่นในการจัดการกับพวกมัน

ใครเป็นใครในตลาดการป้องกัน DDoS

(ความคิดเห็นส่วนตัวของผม)

การป้องกันที่ระดับ L3/L4

ในการขับไล่การโจมตีด้วยการขยาย (“การปิดกั้น” ของช่องสัญญาณเซิร์ฟเวอร์) มีช่องสัญญาณที่กว้างเพียงพอ (บริการป้องกันจำนวนมากเชื่อมต่อกับผู้ให้บริการแกนหลักรายใหญ่ส่วนใหญ่ในรัสเซียและมีช่องสัญญาณที่มีความจุทางทฤษฎีมากกว่า 1 Tbit) อย่าลืมว่าการโจมตีด้วยการขยายเสียงที่หายากมากนั้นใช้เวลานานกว่าหนึ่งชั่วโมง หากคุณเป็น Spamhaus และทุกคนไม่ชอบคุณ ใช่แล้ว พวกเขาอาจพยายามปิดช่องของคุณเป็นเวลาหลายวัน แม้ว่าจะเสี่ยงต่อการอยู่รอดของบอตเน็ตทั่วโลกก็ตาม หากคุณเพิ่งมีร้านค้าออนไลน์ แม้ว่าจะเป็น mvideo.ru คุณจะไม่เห็น 1 Tbit ภายในไม่กี่วันเร็วๆ นี้ (ฉันหวังว่า)

หากต้องการป้องกันการโจมตีด้วยการฟลัด SYN/ACK การกระจายตัวของแพ็กเก็ต ฯลฯ คุณต้องมีอุปกรณ์หรือระบบซอฟต์แวร์เพื่อตรวจจับและหยุดการโจมตีดังกล่าว
หลายคนผลิตอุปกรณ์ดังกล่าว (Arbor มีโซลูชันจาก Cisco, Huawei, การใช้งานซอฟต์แวร์จาก Wanguard เป็นต้น) ผู้ให้บริการแบ็คโบนจำนวนมากได้ติดตั้งแล้วและขายบริการป้องกัน DDoS (ฉันรู้เกี่ยวกับการติดตั้งจาก Rostelecom, Megafon, TTK, MTS ในความเป็นจริง ผู้ให้บริการรายใหญ่ทุกรายทำเช่นเดียวกันกับผู้ให้บริการโฮสต์ที่มีการป้องกันของตนเอง a-la OVH.com, Hetzner.de ฉันเองก็พบกับการป้องกันที่ ihor.ru) บริษัทบางแห่งกำลังพัฒนาโซลูชันซอฟต์แวร์ของตนเอง (เทคโนโลยีเช่น DPDK ช่วยให้คุณสามารถประมวลผลการรับส่งข้อมูลหลายสิบกิกะบิตบนเครื่อง x86 จริงเครื่องเดียว)

จากผู้เล่นที่มีชื่อเสียง ทุกคนสามารถต่อสู้กับ L3/L4 DDoS ได้อย่างมีประสิทธิภาพไม่มากก็น้อย ตอนนี้ฉันจะไม่บอกว่าใครมีความจุช่องสัญญาณสูงสุดที่ใหญ่กว่า (นี่คือข้อมูลภายใน) แต่โดยปกติแล้วสิ่งนี้ไม่สำคัญนัก และข้อแตกต่างเพียงอย่างเดียวคือความเร็วของการป้องกันที่เรียกใช้ (ทันทีหรือหลังจากไม่กี่นาทีของการหยุดทำงานของโปรเจ็กต์ เช่นเดียวกับใน Hetzner)
คำถามก็คือ วิธีนี้ทำได้ดีเพียงใด: การโจมตีแบบขยายสัญญาณสามารถป้องกันได้โดยการปิดกั้นการรับส่งข้อมูลจากประเทศที่มีปริมาณการรับส่งข้อมูลที่เป็นอันตรายมากที่สุด หรือสามารถยกเลิกเฉพาะการรับส่งข้อมูลที่ไม่จำเป็นจริงๆ เท่านั้น
แต่จากประสบการณ์ของฉัน ผู้เล่นในตลาดที่จริงจังทุกคนสามารถรับมือกับสิ่งนี้ได้โดยไม่มีปัญหา: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (เดิมคือ SkyParkCDN), ServicePipe, Stormwall, Voxility เป็นต้น
ฉันไม่พบการป้องกันจากผู้ให้บริการเช่น Rostelecom, Megafon, TTK, Beeline ตามรีวิวจากเพื่อนร่วมงานพวกเขาให้บริการเหล่านี้ได้ค่อนข้างดี แต่จนถึงขณะนี้การขาดประสบการณ์ก็ส่งผลกระทบเป็นระยะ: บางครั้งคุณต้องปรับแต่งบางอย่างผ่านการสนับสนุน ของผู้ดำเนินการคุ้มครอง
ผู้ให้บริการบางรายมีบริการ "การป้องกันการโจมตีที่ระดับ L3/L4" หรือ "การป้องกันช่องสัญญาณ" แยกต่างหาก โดยมีค่าใช้จ่ายน้อยกว่าการป้องกันในทุกระดับมาก

เหตุใดผู้ให้บริการแกนหลักจึงไม่ต้านทานการโจมตีหลายร้อย Gbits เนื่องจากไม่มีช่องทางของตัวเองผู้ดำเนินการป้องกันสามารถเชื่อมต่อกับผู้ให้บริการรายใหญ่และขับไล่การโจมตี “โดยเสียค่าใช้จ่าย” คุณจะต้องจ่ายค่าช่อง แต่ Gbits หลายร้อยเหล่านี้จะไม่ถูกใช้งานเสมอไป มีตัวเลือกในการลดต้นทุนของช่องสัญญาณอย่างมากในกรณีนี้ดังนั้นโครงการจึงยังคงใช้งานได้
คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS
นี่คือรายงานที่ฉันได้รับเป็นประจำจากการป้องกัน L3/L4 ระดับที่สูงกว่าในขณะที่สนับสนุนระบบของผู้ให้บริการโฮสติ้ง

การป้องกันที่ระดับ L7 (ระดับการใช้งาน)

การโจมตีที่ระดับ L7 (ระดับแอปพลิเคชัน) สามารถขับไล่ยูนิตได้อย่างต่อเนื่องและมีประสิทธิภาพ
ฉันมีประสบการณ์จริงค่อนข้างมากด้วย
— Qrator.net;
— DDoS-การ์ด;
- G-Core Labs;
— แคสเปอร์สกี้

พวกเขาเรียกเก็บเงินสำหรับการรับส่งข้อมูลบริสุทธิ์แต่ละเมกะบิต เมกะบิตมีราคาประมาณหลายพันรูเบิล หากคุณมีการรับส่งข้อมูลเพียงอย่างเดียวอย่างน้อย 100 Mbps - โอ้ ความคุ้มครองจะมีราคาแพงมาก ฉันสามารถบอกคุณได้ในบทความต่อไปนี้ว่าจะออกแบบแอปพลิเคชันอย่างไรเพื่อประหยัดความจุของช่องทางความปลอดภัยได้มาก
“ราชาแห่งขุนเขา” ที่แท้จริงคือ Qrator.net ที่เหลือล้าหลัง จนถึงตอนนี้ Qrator เป็นเพียงคนเดียวในประสบการณ์ของฉันที่ให้เปอร์เซ็นต์ของผลบวกลวงใกล้เคียงกับศูนย์ แต่ในขณะเดียวกันก็มีราคาแพงกว่าผู้เล่นในตลาดรายอื่นหลายเท่า

ผู้ปฏิบัติงานรายอื่นยังให้การป้องกันคุณภาพสูงและมีเสถียรภาพ บริการมากมายที่เราสนับสนุน (รวมถึงบริการที่มีชื่อเสียงในประเทศด้วย!) ได้รับการปกป้องจาก DDoS-Guard, G-Core Labs และค่อนข้างพอใจกับผลลัพธ์ที่ได้รับ
คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS
การโจมตีถูกผลักไสโดย Qrator

ฉันยังมีประสบการณ์กับผู้ให้บริการรักษาความปลอดภัยรายเล็ก ๆ เช่น cloud-shield.ru, ddosa.net นับพันรายด้วย ฉันจะไม่แนะนำอย่างแน่นอนเพราะ... ฉันมีประสบการณ์ไม่มากนัก แต่ฉันจะเล่าให้คุณฟังเกี่ยวกับหลักการทำงานของพวกเขา ค่าใช้จ่ายในการคุ้มครองมักจะต่ำกว่าผู้เล่นรายใหญ่ 1-2 ลำดับ ตามกฎแล้ว พวกเขาซื้อบริการป้องกันบางส่วน (L3/L4) จากหนึ่งในผู้เล่นรายใหญ่ + ทำการป้องกันการโจมตีในระดับที่สูงกว่าด้วยตนเอง สิ่งนี้อาจมีประสิทธิภาพค่อนข้างมาก + คุณสามารถได้รับบริการที่ดีโดยเสียเงินน้อยลง แต่บริษัทเหล่านี้ยังคงเป็นบริษัทขนาดเล็กที่มีพนักงานจำนวนไม่มาก โปรดจำไว้เสมอ

ความยากในการต้านทานการโจมตีในระดับ L7 คืออะไร?

แอปพลิเคชันทั้งหมดมีเอกลักษณ์เฉพาะตัว และคุณต้องอนุญาตการรับส่งข้อมูลที่เป็นประโยชน์สำหรับแอปพลิเคชันเหล่านั้นและบล็อกแอปพลิเคชันที่เป็นอันตราย เป็นไปไม่ได้เสมอไปที่จะกำจัดบอทออกไปอย่างแน่ชัด ดังนั้นคุณต้องใช้การฟอกทราฟฟิกหลายระดับจริงๆ

กาลครั้งหนึ่งโมดูล nginx-testcookie ก็เพียงพอแล้ว (https://github.com/kyprizel/testcookie-nginx-module) และยังเพียงพอที่จะต้านทานการโจมตีจำนวนมากได้ ตอนที่ฉันทำงานในอุตสาหกรรมโฮสติ้ง การป้องกัน L7 นั้นใช้ nginx-testcookie
น่าเสียดายที่การโจมตีกลายเป็นเรื่องยากมากขึ้น testcookie ใช้การตรวจสอบบอทที่ใช้ JS และบอทสมัยใหม่จำนวนมากสามารถผ่านการตรวจสอบเหล่านั้นได้สำเร็จ

บ็อตเน็ตโจมตีนั้นมีเอกลักษณ์เฉพาะตัว และต้องคำนึงถึงลักษณะของบ็อตเน็ตขนาดใหญ่แต่ละตัวด้วย
การขยาย, การฟลัดโดยตรงจากบอตเน็ต, การกรองการรับส่งข้อมูลจากประเทศต่างๆ (การกรองที่แตกต่างกันสำหรับประเทศต่างๆ), การฟลัดของ SYN/ACK, การกระจายตัวของแพ็กเก็ต, ICMP, การฟลัด http ขณะที่ในระดับแอปพลิเคชัน/http คุณสามารถสร้างจำนวนไม่จำกัดของ การโจมตีที่แตกต่างกัน
โดยรวมแล้ว ที่ระดับการป้องกันช่องสัญญาณ อุปกรณ์พิเศษสำหรับการเคลียร์ทราฟฟิก ซอฟต์แวร์พิเศษ การตั้งค่าการกรองเพิ่มเติมสำหรับลูกค้าแต่ละราย อาจมีระดับการกรองได้หลายสิบหรือหลายร้อยระดับ
ในการจัดการสิ่งนี้อย่างเหมาะสมและปรับแต่งการตั้งค่าการกรองสำหรับผู้ใช้ที่แตกต่างกัน คุณต้องมีประสบการณ์และบุคลากรที่มีคุณสมบัติเหมาะสม แม้แต่ผู้ให้บริการรายใหญ่ที่ตัดสินใจให้บริการด้านการป้องกันก็ไม่สามารถ "ทุ่มเงินให้กับปัญหาอย่างโง่เขลา" ได้: จะต้องได้รับประสบการณ์จากไซต์ที่โกหกและผลบวกลวงจากการเข้าชมที่ถูกต้องตามกฎหมาย
เจ้าหน้าที่รักษาความปลอดภัยไม่มีปุ่ม “ขับไล่ DDoS” เนื่องจากมีเครื่องมือจำนวนมากและคุณจำเป็นต้องรู้วิธีใช้งาน

และอีกหนึ่งตัวอย่างโบนัส
คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS
เซิร์ฟเวอร์ที่ไม่ได้รับการป้องกันถูกบล็อกโดยโฮสต์ระหว่างการโจมตีด้วยความจุ 600 Mbit
(“การสูญเสีย” ของการรับส่งข้อมูลไม่สามารถสังเกตเห็นได้ เนื่องจากมีเพียง 1 ไซต์ที่ถูกโจมตี มันถูกลบออกจากเซิร์ฟเวอร์ชั่วคราวและการบล็อกถูกยกขึ้นภายในหนึ่งชั่วโมง)
คืออะไรและใครเป็นใครในตลาดการป้องกัน DDoS
เซิร์ฟเวอร์เดียวกันได้รับการป้องกัน ผู้โจมตี "ยอมจำนน" หลังจากถูกโจมตีมาหนึ่งวัน การโจมตีนั้นไม่ได้แข็งแกร่งที่สุด

การโจมตีและการป้องกันของ L3/L4 นั้นไม่สำคัญมากกว่า โดยส่วนใหญ่ขึ้นอยู่กับความหนาของช่องสัญญาณ อัลกอริธึมการตรวจจับและการกรองสำหรับการโจมตี
การโจมตี L7 มีความซับซ้อนและเป็นต้นฉบับมากขึ้น โดยขึ้นอยู่กับแอปพลิเคชันที่ถูกโจมตี ความสามารถ และจินตนาการของผู้โจมตี การป้องกันต้องใช้ความรู้และประสบการณ์อย่างมากและผลลัพธ์อาจไม่เกิดขึ้นทันทีและไม่ถึงร้อยเปอร์เซ็นต์ จนกระทั่ง Google ได้สร้างโครงข่ายประสาทเทียมอีกอันขึ้นมาเพื่อปกป้อง

ที่มา: will.com

เพิ่มความคิดเห็น