"Ang taong gumawa ng aming website ay nag-set up na ng proteksyon ng DDoS."
"Mayroon kaming proteksyon sa DDoS, bakit nawala ang site?"
"Ilang libo ang gusto ni Qrator?"
Upang maayos na masagot ang mga ganoong tanong mula sa customer/boss, magandang malaman kung ano ang nakatago sa likod ng pangalang "DDoS protection". Ang pagpili ng mga serbisyong panseguridad ay mas katulad ng pagpili ng gamot mula sa isang doktor kaysa sa pagpili ng mesa sa IKEA.
Sinusuportahan ko ang mga website sa loob ng 11 taon, nakaligtas ako sa daan-daang pag-atake sa mga serbisyong sinusuportahan ko, at ngayon ay sasabihin ko sa iyo ng kaunti ang tungkol sa mga panloob na gawain ng proteksyon.
Mga regular na pag-atake. 350k req total, 52k req legitimate
Ang mga unang pag-atake ay lumitaw halos kasabay ng Internet. Ang DDoS bilang isang kababalaghan ay naging laganap mula noong huling bahagi ng 2000s (tingnan ang ).
Mula noong mga 2015-2016, halos lahat ng hosting provider ay protektado mula sa mga pag-atake ng DDoS, tulad ng karamihan sa mga kilalang site sa mga mapagkumpitensyang lugar (do whois by IP ng mga site na eldorado.ru, leroymerlin.ru, tilda.ws, makikita mo ang mga network ng mga operator ng proteksyon).
Kung 10-20 taon na ang nakalilipas ang karamihan sa mga pag-atake ay maaaring maitaboy sa server mismo (suriin ang mga rekomendasyon ng Lenta.ru system administrator Maxim Moshkov mula sa 90s: ), ngunit ngayon ang mga gawain sa proteksyon ay naging mas mahirap.
Mga uri ng pag-atake ng DDoS mula sa punto ng view ng pagpili ng operator ng proteksyon
Mga pag-atake sa antas ng L3/L4 (ayon sa modelo ng OSI)
— UDP flood mula sa isang botnet (maraming kahilingan ang direktang ipinadala mula sa mga nahawaang device patungo sa inaatakeng serbisyo, ang mga server ay hinarangan ng channel);
— DNS/NTP/etc amplification (maraming kahilingan ang ipinadala mula sa mga infected na device patungo sa vulnerable DNS/NTP/etc, ang address ng nagpadala ay peke, ang ulap ng mga packet na tumutugon sa mga kahilingan ay bumabaha sa channel ng taong inaatake; ito ang pinaka ang napakalaking pag-atake ay isinasagawa sa modernong Internet);
— SYN / ACK flood (maraming mga kahilingan upang magtatag ng isang koneksyon ay ipinadala sa mga attacked server, ang koneksyon queue overflows);
— pag-atake na may packet fragmentation, ping of death, ping flood (Google it please);
- at iba pa.
Ang mga pag-atake na ito ay naglalayong "barado" ang channel ng server o "patayin" ang kakayahang tumanggap ng bagong trapiko.
Bagama't ibang-iba ang pagbaha at amplification ng SYN/ACK, pantay-pantay na nilalabanan ng maraming kumpanya ang mga ito. Ang mga problema ay lumitaw sa mga pag-atake mula sa susunod na grupo.
Mga pag-atake sa L7 (application layer)
— http flood (kung ang isang website o ilang http api ay inaatake);
— isang pag-atake sa mga mahihinang lugar ng site (mga walang cache, na naglo-load sa site nang napakabigat, atbp.).
Ang layunin ay gawing "magtrabaho nang husto" ang server, magproseso ng maraming "tila totoong mga kahilingan" at maiwang walang mapagkukunan para sa mga tunay na kahilingan.
Bagama't may iba pang mga pag-atake, ito ang pinakakaraniwan.
Ang mga seryosong pag-atake sa antas ng L7 ay nilikha sa isang natatanging paraan para sa bawat proyektong inaatake.
Bakit 2 grupo?
Dahil maraming nakakaalam kung paano maitaboy ang mga pag-atake nang maayos sa antas ng L3 / L4, ngunit hindi man lang kumukuha ng proteksyon sa antas ng aplikasyon (L7), o mas mahina pa rin kaysa sa mga alternatibo sa pagharap sa kanila.
Sino ang nasa merkado ng proteksyon ng DDoS
(personal kong opinyon)
Proteksyon sa antas ng L3/L4
Upang maitaboy ang mga pag-atake na may amplification ("pagbara" ng channel ng server), mayroong sapat na malawak na mga channel (marami sa mga serbisyo ng proteksyon ang kumokonekta sa karamihan ng mga malalaking tagapagbigay ng backbone sa Russia at may mga channel na may teoretikal na kapasidad na higit sa 1 Tbit). Huwag kalimutan na ang napakabihirang pag-atake ng amplification ay tumatagal ng mas mahaba kaysa sa isang oras. Kung Spamhaus ka at hindi ka gusto ng lahat, oo, maaari nilang subukang i-shut down ang iyong mga channel sa loob ng ilang araw, kahit na nasa panganib na mabuhay pa ng pandaigdigang botnet na ginagamit. Kung mayroon ka lang online na tindahan, kahit na ito ay mvideo.ru, hindi mo makikita ang 1 Tbit sa loob ng ilang araw sa lalong madaling panahon (sana).
Upang maitaboy ang mga pag-atake na may pagbaha sa SYN/ACK, packet fragmentation, atbp., kailangan mo ng kagamitan o software system upang matukoy at matigil ang mga naturang pag-atake.
Maraming mga tao ang gumagawa ng naturang kagamitan (Arbor, may mga solusyon mula sa Cisco, Huawei, mga pagpapatupad ng software mula sa Wanguard, atbp.), maraming mga backbone operator ang na-install na ito at nagbebenta ng mga serbisyo sa proteksyon ng DDoS (alam ko ang tungkol sa mga pag-install mula sa Rostelecom, Megafon, TTK, MTS , sa katunayan, ang lahat ng mga pangunahing tagapagkaloob ay ginagawa ang parehong sa mga hoster na may sariling proteksyon a-la OVH.com, Hetzner.de, ako mismo ay nakatagpo ng proteksyon sa ihor.ru). Ang ilang mga kumpanya ay bumubuo ng kanilang sariling mga solusyon sa software (ang mga teknolohiya tulad ng DPDK ay nagbibigay-daan sa iyo na magproseso ng sampu-sampung gigabit ng trapiko sa isang pisikal na x86 machine).
Sa mga kilalang manlalaro, lahat ay maaaring labanan ang L3/L4 DDoS nang mas epektibo. Ngayon ay hindi ko sasabihin kung sino ang may mas malaking maximum na kapasidad ng channel (ito ay impormasyon ng tagaloob), ngunit kadalasan ito ay hindi napakahalaga, at ang pagkakaiba lamang ay kung gaano kabilis ang proteksyon ay na-trigger (kaagad o pagkatapos ng ilang minuto ng downtime ng proyekto, tulad ng sa Hetzner).
Ang tanong ay kung gaano ito nagawa: ang pag-atake ng amplification ay maaaring maitaboy sa pamamagitan ng pagharang sa trapiko mula sa mga bansang may pinakamalaking dami ng nakakapinsalang trapiko, o ang tunay na hindi kinakailangang trapiko lamang ang maaaring itapon.
Ngunit sa parehong oras, batay sa aking karanasan, lahat ng mga seryosong manlalaro ng merkado ay nakayanan ito nang walang mga problema: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (dating SkyParkCDN), ServicePipe, Stormwall, Voxility, atbp.
Hindi pa ako nakatagpo ng proteksyon mula sa mga operator tulad ng Rostelecom, Megafon, TTK, Beeline; ayon sa mga pagsusuri mula sa mga kasamahan, ibinibigay nila ang mga serbisyong ito nang maayos, ngunit sa ngayon ang kakulangan ng karanasan ay pana-panahong nakakaapekto: kung minsan kailangan mong mag-tweak ng isang bagay sa pamamagitan ng suporta ng operator ng proteksyon.
Ang ilang mga operator ay may hiwalay na serbisyo na "proteksyon laban sa mga pag-atake sa antas ng L3/L4", o "proteksyon ng channel"; mas mura ito kaysa sa proteksyon sa lahat ng antas.
Bakit hindi ang backbone provider ang nagtataboy sa mga pag-atake ng daan-daang Gbits, dahil wala itong sariling mga channel?Ang operator ng proteksyon ay maaaring kumonekta sa alinman sa mga pangunahing tagapagkaloob at itaboy ang mga pag-atake "sa gastos nito." Kakailanganin mong magbayad para sa channel, ngunit ang lahat ng daan-daang Gbit na ito ay hindi palaging magagamit; may mga pagpipilian upang makabuluhang bawasan ang gastos ng mga channel sa kasong ito, kaya ang scheme ay nananatiling magagawa.
Ito ang mga ulat na regular kong natatanggap mula sa mas mataas na antas ng proteksyon ng L3/L4 habang sinusuportahan ang mga system ng hosting provider.
Proteksyon sa antas ng L7 (antas ng aplikasyon)
Ang mga pag-atake sa antas ng L7 (antas ng aplikasyon) ay nagagawang itaboy ang mga unit nang tuluy-tuloy at mahusay.
Marami akong totoong karanasan
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
— Kaspersky.
Naniningil sila para sa bawat megabit ng purong trapiko, ang isang megabit ay nagkakahalaga ng ilang libong rubles. Kung mayroon kang hindi bababa sa 100 Mbps ng purong trapiko - oh. Ang proteksyon ay magiging napakamahal. Masasabi ko sa iyo sa mga sumusunod na artikulo kung paano magdisenyo ng mga application upang makatipid ng malaki sa kapasidad ng mga channel ng seguridad.
Ang tunay na “hari ng burol” ay ang Qrator.net, ang iba ay nahuhuli sa kanila. Sa ngayon, ang Qrator lamang ang nasa aking karanasan na nagbibigay ng porsyento ng mga maling positibong malapit sa zero, ngunit sa parehong oras ay ilang beses na mas mahal ang mga ito kaysa sa ibang mga manlalaro sa merkado.
Ang iba pang mga operator ay nagbibigay din ng mataas na kalidad at matatag na proteksyon. Maraming serbisyong sinusuportahan namin (kabilang ang mga kilalang-kilala sa bansa!) ay protektado mula sa DDoS-Guard, G-Core Labs, at lubos na nasisiyahan sa mga resultang nakuha.
Mga pag-atake na tinataboy ni Qrator
Mayroon din akong karanasan sa maliliit na operator ng seguridad tulad ng cloud-shield.ru, ddoso.net, libu-libo sa kanila. Talagang hindi ko ito irerekomenda, dahil... Wala akong gaanong karanasan, ngunit sasabihin ko sa iyo ang tungkol sa mga prinsipyo ng kanilang trabaho. Ang kanilang halaga ng proteksyon ay madalas na 1-2 order ng magnitude na mas mababa kaysa sa mga pangunahing manlalaro. Bilang panuntunan, bumibili sila ng bahagyang serbisyo sa proteksyon (L3/L4) mula sa isa sa mas malalaking manlalaro + gumagawa ng sarili nilang proteksyon laban sa mga pag-atake sa mas matataas na antas. Ito ay maaaring maging epektibo + maaari kang makakuha ng mahusay na serbisyo sa mas kaunting pera, ngunit ito ay mga maliliit na kumpanya pa rin na may maliit na kawani, mangyaring tandaan iyon.
Ano ang kahirapan ng pagtataboy ng mga pag-atake sa antas ng L7?
Ang lahat ng mga application ay natatangi, at kailangan mong payagan ang trapiko na kapaki-pakinabang para sa kanila at i-block ang mga nakakapinsala. Hindi laging posible na walang alinlangan na alisin ang mga bot, kaya kailangan mong gumamit ng marami, talagang MARAMING antas ng paglilinis ng trapiko.
Noong unang panahon, sapat na ang nginx-testcookie module (), at ito ay sapat pa rin upang maitaboy ang isang malaking bilang ng mga pag-atake. Noong nagtrabaho ako sa industriya ng pagho-host, ang proteksyon ng L7 ay batay sa nginx-testcookie.
Sa kasamaang palad, ang mga pag-atake ay naging mas mahirap. Ang testcookie ay gumagamit ng JS-based na bot checks, at maraming modernong bot ang matagumpay na makapasa sa mga ito.
Ang mga botnet ng pag-atake ay natatangi din, at ang mga katangian ng bawat malaking botnet ay dapat isaalang-alang.
Amplification, direktang pagbaha mula sa isang botnet, pag-filter ng trapiko mula sa iba't ibang bansa (iba't ibang pag-filter para sa iba't ibang bansa), SYN/ACK flooding, packet fragmentation, ICMP, http flooding, habang sa antas ng application/http maaari kang magkaroon ng walang limitasyong bilang ng iba't ibang pag-atake.
Sa kabuuan, sa antas ng proteksyon ng channel, mga espesyal na kagamitan para sa pag-clear ng trapiko, espesyal na software, karagdagang mga setting ng pag-filter para sa bawat kliyente ay maaaring magkaroon ng sampu at daan-daang mga antas ng pag-filter.
Upang maayos na pamahalaan ito at i-tune nang tama ang mga setting ng pag-filter para sa iba't ibang user, kailangan mo ng maraming karanasan at mga kwalipikadong tauhan. Kahit na ang isang malaking operator na nagpasya na magbigay ng mga serbisyo sa proteksyon ay hindi maaaring "katangahang magtapon ng pera sa problema": ang karanasan ay kailangang makuha mula sa mga sinungaling na site at maling positibo sa lehitimong trapiko.
Walang button na "repel DDoS" para sa security operator; mayroong malaking bilang ng mga tool, at kailangan mong malaman kung paano gamitin ang mga ito.
At isa pang halimbawa ng bonus.
Ang isang hindi protektadong server ay na-block ng hoster sa panahon ng isang pag-atake na may kapasidad na 600 Mbit
(“Ang pagkawala” ng trapiko ay hindi napapansin, dahil 1 site lang ang inatake, pansamantalang inalis ito sa server at inalis ang pagharang sa loob ng isang oras).
Ang parehong server ay protektado. Ang mga umaatake ay "sumuko" pagkatapos ng isang araw ng repulsed attacks. Ang pag-atake mismo ay hindi ang pinakamalakas.
Ang pag-atake at pagtatanggol ng L3/L4 ay mas maliit; higit sa lahat ay nakadepende sila sa kapal ng mga channel, pagtuklas at pag-filter ng mga algorithm para sa mga pag-atake.
Ang mga pag-atake ng L7 ay mas kumplikado at orihinal; nakasalalay ang mga ito sa application na inaatake, ang mga kakayahan at imahinasyon ng mga umaatake. Ang proteksyon laban sa kanila ay nangangailangan ng maraming kaalaman at karanasan, at ang resulta ay maaaring hindi kaagad at hindi isang daang porsyento. Hanggang sa gumawa ang Google ng isa pang neural network para sa proteksyon.
Pinagmulan: www.habr.com