Sa unang dalawang quarter ng 2020, halos triple ang bilang ng mga pag-atake ng DDoS, kung saan 65% sa mga ito ay mga primitive na pagtatangka sa "load testing" na madaling "hindi paganahin" ang mga walang pagtatanggol na site ng maliliit na online na tindahan, forum, blog, at media outlet.
Paano pumili ng pagho-host na protektado ng DDoS? Ano ang dapat mong bigyang pansin at ano ang dapat mong paghandaan upang hindi mauwi sa hindi kanais-nais na sitwasyon?
(Pagbabakuna laban sa "gray" na marketing sa loob)
Ang pagkakaroon at iba't ibang mga tool para sa pagsasagawa ng mga pag-atake ng DDoS ay nagpipilit sa mga may-ari ng mga online na serbisyo na gumawa ng naaangkop na mga hakbang upang labanan ang banta. Dapat mong isipin ang tungkol sa proteksyon ng DDoS hindi pagkatapos ng unang kabiguan, at hindi kahit bilang bahagi ng isang hanay ng mga hakbang upang mapataas ang fault tolerance ng imprastraktura, ngunit sa yugto ng pagpili ng isang site para sa paglalagay (hosting provider o data center).
Ang mga pag-atake ng DDoS ay inuri depende sa mga protocol na ang mga kahinaan ay pinagsamantalahan sa mga antas ng modelo ng Open Systems Interconnection (OSI):
- channel (L2),
- network (L3),
- transportasyon (L4),
- inilapat (L7).
Mula sa punto ng view ng mga sistema ng seguridad, maaari silang maging pangkalahatan sa dalawang grupo: mga pag-atake sa antas ng imprastraktura (L2-L4) at mga pag-atake sa antas ng aplikasyon (L7). Ito ay dahil sa pagkakasunud-sunod ng pagpapatupad ng mga algorithm ng pagsusuri ng trapiko at pagiging kumplikado ng computational: mas malalim ang pagtingin natin sa IP packet, mas maraming kapangyarihan sa pag-compute ang kinakailangan.
Sa pangkalahatan, ang problema sa pag-optimize ng mga kalkulasyon kapag nagpoproseso ng trapiko sa real time ay isang paksa para sa isang hiwalay na serye ng mga artikulo. Ngayon isipin na lang natin na mayroong ilang cloud provider na may kondisyon na walang limitasyong mga mapagkukunan sa pag-compute na maaaring maprotektahan ang mga site mula sa mga pag-atake sa antas ng aplikasyon (kabilang ang ).
3 pangunahing katanungan upang matukoy ang antas ng seguridad sa pagho-host mula sa mga pag-atake ng DDoS
Tingnan natin ang mga tuntunin ng serbisyo para sa proteksyon laban sa mga pag-atake ng DDoS at ang Service Level Agreement (SLA) ng hosting provider. Naglalaman ba ang mga ito ng mga sagot sa mga sumusunod na tanong:
- anong mga teknikal na limitasyon ang isinasaad ng service provider??
- ano ang mangyayari kapag lumampas sa limitasyon ang customer?
- Paano bumubuo ng proteksyon ang isang hosting provider laban sa mga pag-atake ng DDoS (mga teknolohiya, solusyon, mga supplier)?
Kung hindi mo nahanap ang impormasyong ito, ito ay isang dahilan upang isipin ang tungkol sa kaseryosohan ng service provider, o ayusin ang pangunahing proteksyon ng DDoS (L3-4) nang mag-isa. Halimbawa, mag-order ng pisikal na koneksyon sa network ng isang dalubhasang tagapagbigay ng seguridad.
Mahalaga! Walang saysay ang pagbibigay ng proteksyon laban sa mga pag-atake sa antas ng aplikasyon gamit ang Reverse Proxy kung ang iyong hosting provider ay hindi makakapagbigay ng proteksyon laban sa mga pag-atake sa antas ng imprastraktura: ang network equipment ay ma-overload at magiging hindi magagamit, kabilang ang para sa mga proxy server ng cloud provider (Figure 1).
Figure 1. Direktang pag-atake sa network ng hosting provider
At huwag hayaan silang subukang sabihin sa iyo ang mga engkanto na ang tunay na IP address ng server ay nakatago sa likod ng cloud ng security provider, na nangangahulugang imposibleng direktang atakehin ito. Sa siyam na kaso sa sampu, hindi magiging mahirap para sa isang umaatake na mahanap ang tunay na IP address ng server o hindi bababa sa network ng hosting provider upang "sirain" ang isang buong data center.
Paano kumikilos ang mga hacker sa paghahanap ng totoong IP address
Sa ibaba ng mga spoiler ay ilang paraan para sa paghahanap ng totoong IP address (ibinigay para sa mga layuning pang-impormasyon).
Paraan 1: Maghanap sa mga open source
Maaari mong simulan ang iyong paghahanap gamit ang online na serbisyo: Hinahanap nito ang dark web, mga platform sa pagbabahagi ng dokumento, pinoproseso ang Whois data, mga pagtagas ng pampublikong data at marami pang ibang mapagkukunan.
Kung, batay sa ilang mga palatandaan (mga header ng HTTP, Whois data, atbp.), posibleng matukoy na ang proteksyon ng site ay nakaayos gamit ang Cloudflare, pagkatapos ay maaari mong simulan ang paghahanap para sa tunay na IP mula sa, na naglalaman ng humigit-kumulang 3 milyong IP address ng mga site na matatagpuan sa likod ng Cloudflare.
Paggamit ng SSL certificate at serbisyo makakahanap ka ng maraming kapaki-pakinabang na impormasyon, kabilang ang tunay na IP address ng site. Upang bumuo ng isang kahilingan para sa iyong mapagkukunan, pumunta sa tab na Mga Certificate at ilagay ang:
_parsed.name: pangalansite AT mga tag.raw: pinagkakatiwalaan
Upang maghanap ng mga IP address ng mga server gamit ang isang SSL certificate, kailangan mong manu-manong dumaan sa drop-down na listahan na may ilang mga tool (ang tab na "I-explore", pagkatapos ay piliin ang "Mga IPv4 Host").
Paraan 2: DNS
Ang paghahanap sa kasaysayan ng mga pagbabago sa tala ng DNS ay isang luma at napatunayang paraan. Ang nakaraang IP address ng site ay maaaring gawing malinaw kung saang hosting (o data center) ito matatagpuan. Kabilang sa mga online na serbisyo sa mga tuntunin ng kadalian ng paggamit, ang mga sumusunod ay namumukod-tangi: ΠΈ .
Kapag binago mo ang mga setting, hindi agad gagamitin ng site ang IP address ng cloud security provider o CDN, ngunit direktang gagana sa loob ng ilang panahon. Sa kasong ito, may posibilidad na ang mga online na serbisyo para sa pag-iimbak ng kasaysayan ng mga pagbabago sa IP address ay naglalaman ng impormasyon tungkol sa pinagmulang address ng site.
Kung walang iba kundi ang pangalan ng lumang DNS server, pagkatapos ay gamit ang mga espesyal na kagamitan (maghukay, host o nslookup) maaari kang humiling ng isang IP address sa pamamagitan ng domain name ng site, halimbawa:
_dig @old_dns_server_name nameΡΠ°ΠΉΡΠ°
Paraan 3: email
Ang ideya ng pamamaraan ay ang paggamit ng feedback/form ng pagpaparehistro (o anumang iba pang paraan na nagbibigay-daan sa iyo upang simulan ang pagpapadala ng isang sulat) upang makatanggap ng isang sulat sa iyong email at suriin ang mga header, lalo na ang field na "Natanggap". .
Ang email header ay kadalasang naglalaman ng aktwal na IP address ng MX record (email exchange server), na maaaring maging panimulang punto para sa paghahanap ng iba pang mga server sa target.
Search Automation Tools
Ang IP search software sa likod ng Cloudflare shield ay kadalasang gumagana para sa tatlong gawain:
- Mag-scan para sa maling configuration ng DNS gamit ang DNSDumpster.com;
- Crimeflare.com database scan;
- maghanap ng mga subdomain gamit ang paraan ng paghahanap sa diksyunaryo.
Ang paghahanap ng mga subdomain ay kadalasang pinakamabisang opsyon sa tatlo - maaaring protektahan ng may-ari ng site ang pangunahing site at iwanang direktang tumatakbo ang mga subdomain. Ang pinakamadaling paraan upang suriin ay ang paggamit .
Bilang karagdagan, may mga utility na idinisenyo lamang para sa paghahanap ng mga subdomain gamit ang paghahanap sa diksyunaryo at paghahanap sa mga open source, halimbawa: o .
Paano nangyayari ang paghahanap sa pagsasanay
Halimbawa, kunin natin ang site na seo.com gamit ang Cloudflare, na makikita natin gamit ang isang kilalang serbisyo (nagbibigay-daan sa iyo na parehong matukoy ang mga teknolohiya / engine / CMS kung saan gumagana ang site, at kabaliktaran - maghanap ng mga site sa pamamagitan ng mga teknolohiyang ginamit).
Kapag nag-click ka sa tab na "IPv4 Hosts", magpapakita ang serbisyo ng listahan ng mga host gamit ang certificate. Upang mahanap ang kailangan mo, maghanap ng IP address na may bukas na port 443. Kung ito ay nagre-redirect sa nais na site, pagkatapos ay nakumpleto ang gawain, kung hindi, kailangan mong idagdag ang domain name ng site sa "Host" na header ng Kahilingan sa HTTP (halimbawa, *curl -H "Host: site_name" *).
Sa aming kaso, ang isang paghahanap sa database ng Censys ay walang ibinigay, kaya nagpatuloy kami.
Magsasagawa kami ng paghahanap sa DNS sa pamamagitan ng serbisyo.
Sa pamamagitan ng paghahanap sa mga address na binanggit sa mga listahan ng mga DNS server gamit ang CloudFail utility, nakakahanap kami ng mga gumaganang mapagkukunan. Ang resulta ay magiging handa sa loob ng ilang segundo.
Gamit lamang ang bukas na data at mga simpleng tool, natukoy namin ang tunay na IP address ng web server. Ang natitira para sa umaatake ay isang bagay ng pamamaraan.
Bumalik tayo sa pagpili ng hosting provider. Upang suriin ang benepisyo ng serbisyo para sa customer, isasaalang-alang namin ang mga posibleng paraan ng proteksyon laban sa mga pag-atake ng DDoS.
Paano binubuo ng isang hosting provider ang proteksyon nito
- Sariling sistema ng proteksyon na may kagamitan sa pagsala (Larawan 2).
Nangangailangan ng:
1.1. Mga kagamitan sa pagsala ng trapiko at mga lisensya ng software;
1.2. Mga full-time na espesyalista para sa suporta at operasyon nito;
1.3. Mga channel sa pag-access sa Internet na magiging sapat upang makatanggap ng mga pag-atake;
1.4. Makabuluhang prepaid channel bandwidth para sa pagtanggap ng "junk" na trapiko.
Figure 2. Sariling sistema ng seguridad ng hosting provider
Kung isasaalang-alang natin ang inilarawang sistema bilang isang paraan ng proteksyon laban sa mga modernong pag-atake ng DDoS na daan-daang Gbps, kung gayon ang ganitong sistema ay magagastos ng maraming pera. Mayroon bang ganoong proteksyon ang hosting provider? Handa na ba siyang magbayad para sa βjunkβ traffic? Malinaw, ang gayong modelong pang-ekonomiya ay hindi kumikita para sa tagapagkaloob kung ang mga taripa ay hindi nagbibigay ng mga karagdagang pagbabayad. - Reverse Proxy (para sa mga website at ilang application lamang). Sa kabila ng isang numero , hindi ginagarantiyahan ng supplier ang proteksyon laban sa direktang pag-atake ng DDoS (tingnan ang Larawan 1). Madalas na nag-aalok ang mga hosting provider ng ganitong solusyon bilang panlunas sa lahat, na inililipat ang responsibilidad sa security provider.
- Mga serbisyo ng isang dalubhasang tagapagbigay ng ulap (paggamit ng network ng pag-filter nito) upang maprotektahan laban sa mga pag-atake ng DDoS sa lahat ng antas ng OSI (Larawan 3).
Figure 3. Komprehensibong proteksyon laban sa mga pag-atake ng DDoS gamit ang isang espesyal na provider
ipinapalagay ang malalim na pagsasama at isang mataas na antas ng teknikal na kakayahan ng parehong partido. Ang mga serbisyo sa pag-filter ng trapiko sa outsourcing ay nagpapahintulot sa hosting provider na bawasan ang presyo ng mga karagdagang serbisyo para sa customer.
Mahalaga! Ang mas detalyadong mga teknikal na katangian ng serbisyong ibinigay ay inilarawan, mas malaki ang pagkakataon na hingin ang kanilang pagpapatupad o kabayaran sa kaso ng downtime.
Bilang karagdagan sa tatlong pangunahing pamamaraan, mayroong maraming mga kumbinasyon at mga kumbinasyon. Kapag pumipili ng isang pagho-host, mahalagang tandaan ng customer na ang desisyon ay nakasalalay hindi lamang sa laki ng mga garantisadong naka-block na pag-atake at katumpakan ng pag-filter, kundi pati na rin sa bilis ng pagtugon, pati na rin ang nilalaman ng impormasyon (listahan ng mga naka-block na pag-atake, pangkalahatang istatistika, atbp.).
Tandaan na iilan lamang sa mga hosting provider sa mundo ang makakapagbigay ng katanggap-tanggap na antas ng proteksyon sa kanilang sarili; sa ibang mga kaso, ang pakikipagtulungan at teknikal na literacy ay tumutulong. Kaya, ang pag-unawa sa mga pangunahing prinsipyo ng pag-aayos ng proteksyon laban sa mga pag-atake ng DDoS ay magbibigay-daan sa may-ari ng site na huwag mahulog sa mga trick sa marketing at hindi bumili ng "baboy sa isang sundot."
Pinagmulan: www.habr.com