ในช่วงสองไตรมาสแรกของปี 2020 จำนวนการโจมตี DDoS เพิ่มขึ้นเกือบสามเท่า โดย 65% เป็นความพยายามดั้งเดิมในการ “ทดสอบโหลด” ที่ “ปิดการใช้งาน” ไซต์ที่ไม่มีการป้องกันได้อย่างง่ายดายของร้านค้าออนไลน์ขนาดเล็ก ฟอรัม บล็อก และสื่อต่างๆ
จะเลือกโฮสติ้งที่มีการป้องกัน DDoS ได้อย่างไร? คุณควรใส่ใจอะไรและควรเตรียมตัวอย่างไรเพื่อไม่ให้ตกอยู่ในสถานการณ์ที่ไม่พึงประสงค์?
(ฉีดวัคซีนป้องกันการตลาด “สีเทา” ภายใน)
ความพร้อมใช้งานและเครื่องมือที่หลากหลายสำหรับการโจมตี DDoS บังคับให้เจ้าของบริการออนไลน์ใช้มาตรการที่เหมาะสมเพื่อตอบโต้ภัยคุกคาม คุณควรคิดถึงการป้องกัน DDoS ไม่ใช่หลังจากความล้มเหลวครั้งแรก และไม่ได้เป็นส่วนหนึ่งของชุดมาตรการเพื่อเพิ่มความทนทานต่อข้อผิดพลาดของโครงสร้างพื้นฐาน แต่อยู่ในขั้นตอนของการเลือกไซต์สำหรับการจัดวาง (ผู้ให้บริการโฮสต์หรือศูนย์ข้อมูล)
การโจมตี DDoS ถูกจัดประเภทขึ้นอยู่กับโปรโตคอลที่มีช่องโหว่ในระดับของโมเดล Open Systems Interconnection (OSI):
- ช่อง (L2)
- เครือข่าย (L3)
- การขนส่ง (L4)
- ใช้แล้ว (L7)
จากมุมมองของระบบรักษาความปลอดภัย สามารถแบ่งได้เป็นสองกลุ่ม: การโจมตีระดับโครงสร้างพื้นฐาน (L2-L4) และการโจมตีระดับแอปพลิเคชัน (L7) นี่เป็นเพราะลำดับการดำเนินการของอัลกอริธึมการวิเคราะห์การรับส่งข้อมูลและความซับซ้อนในการคำนวณ: ยิ่งเราตรวจสอบแพ็กเก็ต IP ให้ลึกลงเท่าใด ก็ยิ่งต้องใช้พลังการประมวลผลมากขึ้นเท่านั้น
โดยทั่วไป ปัญหาของการเพิ่มประสิทธิภาพการคำนวณเมื่อประมวลผลปริมาณข้อมูลแบบเรียลไทม์เป็นหัวข้อสำหรับบทความชุดอื่น ทีนี้ลองจินตนาการว่ามีผู้ให้บริการคลาวด์บางรายที่มีทรัพยากรคอมพิวเตอร์ไม่จำกัดแบบมีเงื่อนไข ซึ่งสามารถปกป้องไซต์จากการโจมตีระดับแอปพลิเคชันได้ (รวมถึง
คำถามหลัก 3 ข้อเพื่อกำหนดระดับความปลอดภัยของโฮสติ้งจากการโจมตี DDoS
มาดูข้อกำหนดในการให้บริการเพื่อป้องกันการโจมตี DDoS และข้อตกลงระดับการให้บริการ (SLA) ของผู้ให้บริการโฮสติ้ง พวกเขามีคำตอบสำหรับคำถามต่อไปนี้หรือไม่:
- ผู้ให้บริการระบุข้อจำกัดทางเทคนิคอะไรบ้าง??
- จะเกิดอะไรขึ้นเมื่อลูกค้าก้าวข้ามขีดจำกัด?
- ผู้ให้บริการโฮสติ้งสร้างการป้องกันการโจมตี DDoS (เทคโนโลยี โซลูชัน ซัพพลายเออร์) ได้อย่างไร
หากคุณไม่พบข้อมูลนี้ นี่เป็นเหตุผลที่คุณต้องคำนึงถึงความจริงจังของผู้ให้บริการหรือจัดการป้องกัน DDoS ขั้นพื้นฐาน (L3-4) ด้วยตัวคุณเอง ตัวอย่างเช่น สั่งซื้อการเชื่อมต่อทางกายภาพกับเครือข่ายของผู้ให้บริการความปลอดภัยเฉพาะทาง
ที่สำคัญ! ไม่มีประโยชน์ที่จะให้การป้องกันการโจมตีระดับแอปพลิเคชันโดยใช้ Reverse Proxy หากผู้ให้บริการโฮสต์ของคุณไม่สามารถป้องกันการโจมตีระดับโครงสร้างพื้นฐานได้: อุปกรณ์เครือข่ายจะโอเวอร์โหลดและไม่พร้อมใช้งาน รวมถึงพร็อกซีเซิร์ฟเวอร์ของผู้ให้บริการคลาวด์ด้วย (รูป 1)
รูปที่ 1. การโจมตีโดยตรงบนเครือข่ายของผู้ให้บริการโฮสติ้ง
และอย่าปล่อยให้พวกเขาพยายามเล่านิทานให้คุณฟังว่าที่อยู่ IP ที่แท้จริงของเซิร์ฟเวอร์นั้นซ่อนอยู่หลังคลาวด์ของผู้ให้บริการความปลอดภัย ซึ่งหมายความว่าเป็นไปไม่ได้ที่จะโจมตีโดยตรง ในเก้ากรณีจากสิบกรณี ผู้โจมตีจะค้นหาที่อยู่ IP ที่แท้จริงของเซิร์ฟเวอร์หรืออย่างน้อยเครือข่ายของผู้ให้บริการโฮสต์ได้ไม่ยากสำหรับผู้โจมตีเพื่อ "ทำลาย" ศูนย์ข้อมูลทั้งหมด
แฮกเกอร์ดำเนินการอย่างไรในการค้นหาที่อยู่ IP จริง
ด้านล่างสปอยเลอร์มีหลายวิธีในการค้นหาที่อยู่ IP จริง (ให้ไว้เพื่อวัตถุประสงค์ในการให้ข้อมูล)
วิธีที่ 1: ค้นหาในโอเพ่นซอร์ส
คุณสามารถเริ่มการค้นหาด้วยบริการออนไลน์
ตามสัญญาณบางอย่าง (ส่วนหัว HTTP ข้อมูล Whois ฯลฯ ) หากเป็นไปได้ที่จะระบุได้ว่าการป้องกันของไซต์นั้นจัดระเบียบโดยใช้ Cloudflare คุณสามารถเริ่มค้นหา IP จริงได้จาก
การใช้ใบรับรองและบริการ SSL
_parsed.names: ชื่อเว็บไซต์และ tags.raw: เชื่อถือได้
หากต้องการค้นหาที่อยู่ IP ของเซิร์ฟเวอร์โดยใช้ใบรับรอง SSL คุณจะต้องไปที่รายการแบบเลื่อนลงพร้อมเครื่องมือหลายอย่างด้วยตนเอง (แท็บ "สำรวจ" จากนั้นเลือก "โฮสต์ IPv4")
วิธีที่ 2: DNS
การค้นหาประวัติการเปลี่ยนแปลงบันทึก DNS เป็นวิธีการเก่าที่ได้รับการพิสูจน์แล้ว ที่อยู่ IP ก่อนหน้าของไซต์สามารถระบุได้อย่างชัดเจนว่าไซต์นั้นตั้งอยู่บนโฮสติ้ง (หรือศูนย์ข้อมูล) ใด ในบรรดาบริการออนไลน์ในแง่ของความสะดวกในการใช้งานมีความโดดเด่นดังต่อไปนี้:
เมื่อคุณเปลี่ยนการตั้งค่า ไซต์จะไม่ใช้ที่อยู่ IP ของผู้ให้บริการความปลอดภัยบนคลาวด์หรือ CDN ทันที แต่จะทำงานโดยตรงในบางครั้ง ในกรณีนี้ มีความเป็นไปได้ที่บริการออนไลน์สำหรับจัดเก็บประวัติการเปลี่ยนแปลงที่อยู่ IP จะมีข้อมูลเกี่ยวกับที่อยู่ต้นทางของเว็บไซต์
หากไม่มีสิ่งใดนอกจากชื่อของเซิร์ฟเวอร์ DNS เก่า คุณสามารถใช้ยูทิลิตี้พิเศษ (ขุด โฮสต์ หรือ nslookup) คุณสามารถขอที่อยู่ IP ด้วยชื่อโดเมนของเว็บไซต์ได้ เช่น:
_dig @old_dns_server_name ชื่อсайта
วิธีที่ 3: อีเมล
แนวคิดของวิธีนี้คือการใช้แบบฟอร์มตอบรับ/ลงทะเบียน (หรือวิธีอื่นใดที่ช่วยให้คุณสามารถเริ่มส่งจดหมายได้) เพื่อรับจดหมายไปยังอีเมลของคุณและตรวจสอบส่วนหัวโดยเฉพาะช่อง "ได้รับ" .
ส่วนหัวของอีเมลมักจะมีที่อยู่ IP จริงของระเบียน MX (เซิร์ฟเวอร์แลกเปลี่ยนอีเมล) ซึ่งอาจเป็นจุดเริ่มต้นในการค้นหาเซิร์ฟเวอร์อื่นๆ บนเป้าหมาย
เครื่องมือค้นหาอัตโนมัติ
ซอฟต์แวร์ค้นหา IP ที่อยู่เบื้องหลัง Cloudflare Shield มักจะใช้งานได้สามงาน:
- สแกนหาการกำหนดค่า DNS ที่ไม่ถูกต้องโดยใช้ DNSDumpster.com
- สแกนฐานข้อมูล Crimeflare.com;
- ค้นหาโดเมนย่อยโดยใช้วิธีการค้นหาพจนานุกรม
การค้นหาโดเมนย่อยมักเป็นตัวเลือกที่มีประสิทธิภาพมากที่สุดในสามตัวเลือก - เจ้าของไซต์สามารถปกป้องไซต์หลักและปล่อยให้โดเมนย่อยทำงานโดยตรง วิธีตรวจสอบที่ง่ายที่สุดคือการใช้
นอกจากนี้ยังมียูทิลิตี้ที่ออกแบบมาเฉพาะสำหรับการค้นหาโดเมนย่อยโดยใช้การค้นหาพจนานุกรมและการค้นหาในโอเพ่นซอร์สเช่น:
การค้นหาเกิดขึ้นได้อย่างไรในทางปฏิบัติ
ตัวอย่างเช่น ลองใช้เว็บไซต์ seo.com โดยใช้ Cloudflare ซึ่งเราจะพบว่าใช้บริการที่รู้จักกันดี
เมื่อคุณคลิกที่แท็บ “โฮสต์ IPv4” บริการจะแสดงรายชื่อโฮสต์ที่ใช้ใบรับรอง หากต้องการค้นหาสิ่งที่คุณต้องการให้ค้นหาที่อยู่ IP ที่เปิดพอร์ต 443 หากเปลี่ยนเส้นทางไปยังไซต์ที่ต้องการแสดงว่างานเสร็จสมบูรณ์มิฉะนั้นคุณจะต้องเพิ่มชื่อโดเมนของไซต์ลงในส่วนหัว "โฮสต์" ของ คำขอ HTTP (เช่น *curl -H "Host: site_name" *
ในกรณีของเรา การค้นหาในฐานข้อมูล Censys ไม่ได้ให้อะไรเลย ดังนั้นเราจึงดำเนินการต่อไป
เราจะทำการค้นหา DNS ผ่านบริการ
ด้วยการค้นหาที่อยู่ที่กล่าวถึงในรายการเซิร์ฟเวอร์ DNS โดยใช้ยูทิลิตี้ CloudFail เราจะพบทรัพยากรที่ใช้งานได้ ผลลัพธ์จะพร้อมภายในไม่กี่วินาที
ด้วยการใช้เพียงข้อมูลเปิดและเครื่องมือง่ายๆ เราจึงกำหนดที่อยู่ IP ที่แท้จริงของเว็บเซิร์ฟเวอร์ ที่เหลือสำหรับผู้โจมตีเป็นเรื่องของเทคนิค
กลับมาเลือกผู้ให้บริการโฮสติ้งกัน เพื่อประเมินประโยชน์ของบริการสำหรับลูกค้า เราจะพิจารณาวิธีการที่เป็นไปได้ในการป้องกันการโจมตี DDoS
วิธีที่ผู้ให้บริการโฮสติ้งสร้างการป้องกัน
- มีระบบป้องกันตัวเองพร้อมอุปกรณ์กรอง (รูปที่ 2)
กำหนดให้มี:
1.1. อุปกรณ์กรองการจราจรและใบอนุญาตซอฟต์แวร์
1.2. ผู้เชี่ยวชาญเต็มเวลาสำหรับการสนับสนุนและการดำเนินงาน
1.3. ช่องทางการเข้าถึงอินเทอร์เน็ตที่เพียงพอต่อการถูกโจมตี
1.4. แบนด์วิดท์ช่องสัญญาณแบบชำระเงินล่วงหน้าที่สำคัญสำหรับการรับปริมาณข้อมูล "ขยะ"
รูปที่ 2 ระบบรักษาความปลอดภัยของผู้ให้บริการโฮสติ้งเอง
หากเราพิจารณาระบบที่อธิบายไว้ว่าเป็นวิธีการป้องกันการโจมตี DDoS สมัยใหม่ที่มีความเร็วหลายร้อย Gbps ระบบดังกล่าวจะต้องเสียเงินจำนวนมาก ผู้ให้บริการโฮสติ้งมีการป้องกันดังกล่าวหรือไม่? เขาพร้อมที่จะจ่ายค่าเข้าชม "ขยะ" แล้วหรือยัง? เห็นได้ชัดว่ารูปแบบทางเศรษฐกิจดังกล่าวไม่ได้ผลกำไรสำหรับผู้ให้บริการหากไม่ได้กำหนดอัตราภาษีสำหรับการชำระเงินเพิ่มเติม - Reverse Proxy (สำหรับเว็บไซต์และบางแอปพลิเคชันเท่านั้น) แม้จะมีจำนวนก็ตาม
ผลประโยชน์ ซัพพลายเออร์ไม่รับประกันการป้องกันการโจมตี DDoS โดยตรง (ดูรูปที่ 1) ผู้ให้บริการโฮสติ้งมักจะเสนอวิธีแก้ปัญหาเช่นยาครอบจักรวาล โดยเปลี่ยนความรับผิดชอบไปเป็นผู้ให้บริการความปลอดภัย - บริการของผู้ให้บริการคลาวด์เฉพาะทาง (การใช้เครือข่ายการกรอง) เพื่อป้องกันการโจมตี DDoS ในทุกระดับ OSI (รูปที่ 3)
รูปที่ 3 การป้องกันการโจมตี DDoS ที่ครอบคลุมโดยใช้ผู้ให้บริการเฉพาะทาง
การตัดสิน ถือว่ามีการบูรณาการเชิงลึกและความสามารถทางเทคนิคระดับสูงของทั้งสองฝ่าย การจ้างบริการกรองการรับส่งข้อมูลช่วยให้ผู้ให้บริการโฮสติ้งสามารถลดราคาบริการเพิ่มเติมสำหรับลูกค้าได้
ที่สำคัญ! ยิ่งมีการอธิบายลักษณะทางเทคนิคของบริการโดยละเอียดมากขึ้นเท่าใด โอกาสที่จะเรียกร้องให้ดำเนินการหรือชดเชยในกรณีที่ระบบหยุดทำงานก็จะยิ่งมีมากขึ้นเท่านั้น
นอกจากสามวิธีหลักแล้ว ยังมีการรวมกันและการผสมผสานอีกมากมาย เมื่อเลือกโฮสติ้ง เป็นสิ่งสำคัญสำหรับลูกค้าที่ต้องจำไว้ว่าการตัดสินใจจะขึ้นอยู่กับขนาดของการโจมตีที่ถูกบล็อกและความแม่นยำในการกรองที่รับประกันเท่านั้น แต่ยังขึ้นอยู่กับความเร็วของการตอบสนองตลอดจนเนื้อหาข้อมูล (รายการการโจมตีที่ถูกบล็อก สถิติทั่วไป ฯลฯ)
โปรดจำไว้ว่ามีผู้ให้บริการโฮสติ้งเพียงไม่กี่รายในโลกเท่านั้นที่สามารถให้การป้องกันในระดับที่ยอมรับได้ด้วยตนเอง ในกรณีอื่นๆ ความร่วมมือและความรู้ทางเทคนิคจะช่วยได้ ดังนั้นการทำความเข้าใจหลักการพื้นฐานของการจัดการการป้องกันการโจมตี DDoS จะช่วยให้เจ้าของไซต์ไม่หลงเชื่อกลอุบายทางการตลาดและไม่ซื้อ "หมูในการกระตุ้น"
ที่มา: will.com