"Web sitemizi yapan adam zaten DDoS korumasını kurmuş."
“DDoS korumamız var, site neden kapandı?”
“Qrator kaç bin istiyor?”
Müşteriden/patrondan gelen bu tür sorulara doğru cevap verebilmek için “DDoS koruması” isminin arkasında nelerin saklı olduğunu bilmek güzel olurdu. Güvenlik hizmetlerini seçmek, IKEA'da masa seçmektense doktordan ilaç almaya benziyor.
11 yıldır web sitelerini destekliyorum, desteklediğim hizmetlere yapılan yüzlerce saldırıdan sağ kurtuldum ve şimdi size biraz korumanın iç işleyişinden bahsedeceğim.
Düzenli saldırılar. Toplam 350 bin talep, 52 bin talep yasal
İlk saldırılar neredeyse internetle eş zamanlı olarak ortaya çıktı. Bir olgu olarak DDoS, 2000'li yılların sonlarından bu yana yaygınlaşmıştır (bkz. ).
Yaklaşık 2015-2016'dan bu yana neredeyse tüm barındırma sağlayıcıları, rekabetçi bölgelerdeki en öne çıkan siteler gibi DDoS saldırılarına karşı korunmaktadır (eldorado.ru, leroymerlin.ru, tilda.ws sitelerinin IP'si ile whois yapın, ağları göreceksiniz) koruma operatörlerinin).
10-20 yıl önce olsaydı, çoğu saldırı sunucuya püskürtülebilirdi (Lenta.ru sistem yöneticisi Maxim Moshkov'un 90'lı yıllardaki önerilerini değerlendirin: ), ancak artık koruma görevleri daha zor hale geldi.
Koruma operatörü seçimi açısından DDoS saldırı türleri
L3/L4 düzeyindeki saldırılar (OSI modeline göre)
— Bir botnet'ten gelen UDP seli (birçok istek, virüs bulaşmış cihazlardan doğrudan saldırıya uğrayan hizmete gönderilir, sunucular kanal tarafından engellenir);
— DNS/NTP/vb amplifikasyonu (virüs bulaşmış cihazlardan savunmasız DNS/NTP/vb.'ye birçok istek gönderilir, gönderenin adresi sahtedir, isteklere yanıt veren bir paket bulutu saldırıya uğrayan kişinin kanalını doldurur; bu en çok bu şekilde gerçekleşir) modern internette büyük saldırılar gerçekleştiriliyor);
— SYN / ACK seli (saldırılan sunuculara bağlantı kurmak için birçok istek gönderilir, bağlantı kuyruğu taşar);
— paket parçalanması, ölüm pingi, ping seli (Google'da arayın lütfen) içeren saldırılar;
- ve benzeri.
Bu saldırılar, sunucunun kanalını "tıkamayı" veya yeni trafiği kabul etme yeteneğini "öldürmeyi" amaçlar.
SYN/ACK taşması ve amplifikasyonu çok farklı olsa da birçok şirket bunlarla eşit derecede iyi mücadele ediyor. Bir sonraki gruptan gelen saldırılarda sorunlar ortaya çıkar.
L7'ye saldırılar (uygulama katmanı)
— http seli (eğer bir web sitesi veya bazı http API'leri saldırıya uğrarsa);
— sitenin savunmasız alanlarına (önbelleği olmayan, siteyi çok ağır yükleyen vb.) yönelik saldırı.
Amaç, sunucunun "çok çalışmasını", birçok "gerçek gibi görünen istekleri" işlemesini ve gerçek istekler için kaynaksız kalmasını sağlamaktır.
Başka saldırılar da olsa bunlar en yaygın olanlarıdır.
L7 düzeyindeki ciddi saldırılar, saldırıya uğrayan her proje için benzersiz bir şekilde oluşturulur.
Neden 2 grup?
Çünkü L3 / L4 düzeyinde saldırıları nasıl püskürteceğini iyi bilen, ancak uygulama düzeyinde (L7) hiç koruma almayan veya bunlarla başa çıkmada hala alternatiflerden daha zayıf olan pek çok kişi var.
DDoS koruma pazarında kim kimdir?
(kişisel görüşüm)
L3/L4 düzeyinde koruma
Saldırıları amplifikasyonla (sunucu kanalının "tıkanması") püskürtmek için, yeterince geniş kanallar vardır (koruma hizmetlerinin çoğu, Rusya'daki büyük omurga sağlayıcılarının çoğuna bağlanır ve teorik kapasitesi 1 Tbit'ten fazla olan kanallara sahiptir). Çok nadir görülen amplifikasyon ataklarının bir saatten uzun sürdüğünü unutmayın. Spamhaus iseniz ve herkes sizden hoşlanmıyorsa, evet, kullanılan küresel botnet'in daha fazla hayatta kalması riskine rağmen kanallarınızı birkaç gün kapatmaya çalışabilirler. Sadece bir çevrimiçi mağazanız varsa, mvideo.ru olsa bile, çok yakın zamanda birkaç gün içinde 1 Tbit görmeyeceksiniz (umarım).
SYN/ACK taşması, paket parçalanması vb. saldırıları püskürtmek için bu tür saldırıları tespit edip durduracak ekipmana veya yazılım sistemlerine ihtiyacınız vardır.
Pek çok kişi bu tür ekipmanları üretiyor (Arbor, Cisco, Huawei'nin çözümleri var, Wanguard'ın yazılım uygulamaları vb.), birçok omurga operatörü bunu zaten kurdu ve DDoS koruma hizmetleri satıyor (Rostelecom, Megafon, TTK, MTS'nin kurulumlarını biliyorum) Aslında, tüm büyük sağlayıcılar kendi korumalarına sahip barındırıcılarla aynı şeyi yapıyor a-la OVH.com, Hetzner.de, ben de ihor.ru'da korumayla karşılaştım). Bazı şirketler kendi yazılım çözümlerini geliştiriyor (DPDK gibi teknolojiler, onlarca gigabit trafiği tek bir fiziksel x86 makinesinde işlemenize olanak tanıyor).
Tanınmış oyuncular arasında herkes L3/L4 DDoS ile az çok etkili bir şekilde mücadele edebilir. Şimdi kimin daha büyük maksimum kanal kapasitesine sahip olduğunu söylemeyeceğim (bu içeriden öğrenilen bir bilgidir), ancak genellikle bu o kadar önemli değildir ve tek fark, korumanın ne kadar hızlı tetiklendiğidir (anında veya birkaç dakikalık proje kesintisinden sonra, Hetzner'de olduğu gibi).
Sorun bunun ne kadar iyi yapıldığıdır: Bir güçlendirme saldırısı, en fazla miktarda zararlı trafiğe sahip ülkelerden gelen trafiğin engellenmesiyle püskürtülebilir veya yalnızca gerçekten gereksiz trafik atılabilir.
Ancak aynı zamanda, deneyimlerime dayanarak, tüm ciddi piyasa oyuncuları bununla sorunsuz bir şekilde başa çıkıyor: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (eski adıyla SkyParkCDN), ServicePipe, Stormwall, Voxility vb.
Rostelecom, Megafon, TTK, Beeline gibi operatörlerin korumasıyla karşılaşmadım, meslektaşlarımın incelemelerine göre bu hizmetleri oldukça iyi sağlıyorlar, ancak şu ana kadar deneyim eksikliği periyodik olarak etkiliyor: bazen destek aracılığıyla bir şeyler ayarlamanız gerekiyor koruma operatörünün
Bazı operatörlerin ayrı bir "L3/L4 düzeyinde saldırılara karşı koruma" veya "kanal koruması" hizmeti vardır; maliyeti tüm düzeylerdeki korumadan çok daha düşüktür.
Omurga sağlayıcısı kendi kanallarına sahip olmadığı için neden yüzlerce Gbit'lik saldırıları püskürtmüyor?Koruma operatörü, büyük sağlayıcılardan herhangi birine bağlanabilir ve "masrafları kendisine ait olmak üzere" saldırıları püskürtebilir. Kanal için ödeme yapmanız gerekecek, ancak tüm bu yüzlerce Gbit her zaman kullanılmayacaktır; bu durumda kanalların maliyetini önemli ölçüde azaltacak seçenekler vardır, böylece plan uygulanabilir kalır.
Bunlar, barındırma sağlayıcısının sistemlerini desteklerken üst düzey L3/L4 korumasından düzenli olarak aldığım raporlardır.
L7 seviyesinde koruma (uygulama seviyesi)
L7 seviyesindeki (uygulama seviyesi) saldırılar, birimleri tutarlı ve etkili bir şekilde püskürtebilir.
ile oldukça fazla gerçek deneyimim var
— Qrator.net;
— DDoS Koruması;
- G-Core Laboratuvarları;
— Kaspersky.
Saf trafiğin her megabiti için ücret alıyorlar, bir megabitin maliyeti yaklaşık birkaç bin ruble. En az 100 Mbps saf trafiğiniz varsa - oh. Koruma çok pahalı olacaktır. Güvenlik kanallarının kapasitesinden çok tasarruf etmek için uygulamaların nasıl tasarlanacağını aşağıdaki yazılarda anlatabilirim.
Gerçek “tepenin kralı” Qrator.net'tir, geri kalanı onların gerisindedir. Deneyimlerime göre şu ana kadar sıfıra yakın yanlış pozitif yüzdesi veren tek kişi Qrator'dır, ancak aynı zamanda diğer piyasa oyuncularından birkaç kat daha pahalıdırlar.
Diğer operatörler de yüksek kaliteli ve istikrarlı koruma sağlar. Tarafımızdan desteklenen birçok hizmet (ülkede çok iyi bilinenler dahil!) DDoS-Guard, G-Core Labs tarafından korunmaktadır ve elde edilen sonuçlardan oldukça memnundur.
Qrator tarafından püskürtülen saldırılar
Ayrıca cloud-shield.ru, ddosa.net gibi binlerce küçük güvenlik operatörüyle de deneyimim var. Kesinlikle tavsiye etmiyorum çünkü... Fazla tecrübem yok ama size çalışma prensiplerini anlatacağım. Koruma maliyetleri genellikle büyük oyuncularınkinden 1-2 kat daha düşüktür. Kural olarak, daha büyük oyuncuların birinden kısmi koruma hizmeti (L3/L4) satın alırlar + daha yüksek seviyelerdeki saldırılara karşı kendi korumalarını yaparlar. Bu oldukça etkili olabilir + daha az parayla iyi hizmet alabilirsiniz, ancak bunlar hala küçük kadrolu küçük şirketler, lütfen bunu aklınızda bulundurun.
L7 seviyesindeki saldırıları püskürtmenin zorluğu nedir?
Tüm uygulamalar benzersizdir ve onlar için yararlı olan trafiğe izin vermeniz, zararlı olanları engellemeniz gerekir. Botları kesin olarak ayıklamak her zaman mümkün değildir, bu nedenle çok, gerçekten ÇOK derecede trafik temizleme kullanmanız gerekir.
Bir zamanlar nginx-testcookie modülü yeterliydi () ve çok sayıda saldırıyı püskürtmek hala yeterli. Hosting sektöründe çalıştığımda L7 koruması nginx-testcookie'ye dayanıyordu.
Ne yazık ki saldırılar daha da zorlaştı. testcookie, JS tabanlı bot kontrollerini kullanır ve birçok modern bot bunları başarıyla geçebilir.
Saldırı botnet'leri de benzersizdir ve her büyük botnet'in özellikleri dikkate alınmalıdır.
Amplifikasyon, bir botnet'ten doğrudan Flooding, farklı ülkelerden gelen trafiğin filtrelenmesi (farklı ülkeler için farklı filtreleme), SYN/ACK Flooding, paket parçalanması, ICMP, http Flooding, uygulama/http seviyesinde ise sınırsız sayıda farklı saldırılar.
Toplamda, kanal koruması düzeyinde, trafiği temizlemek için özel ekipman, özel yazılım, her müşteri için ek filtreleme ayarları, onlarca ve yüzlerce filtreleme seviyesi olabilir.
Bunu doğru şekilde yönetmek ve farklı kullanıcılar için filtreleme ayarlarını doğru şekilde ayarlamak için çok fazla deneyime ve kalifiye personele ihtiyacınız var. Koruma hizmetleri sağlamaya karar vermiş büyük bir operatör bile "soruna aptalca para atamaz": Yalan sitelerden ve meşru trafikteki yanlış pozitiflerden deneyim kazanılması gerekecektir.
Güvenlik operatörü için “DDoS'u püskürt” butonu yok; çok sayıda araç var ve bunları nasıl kullanacağınızı bilmeniz gerekiyor.
Ve bir bonus örnek daha.
600 Mbit kapasiteli, korumasız bir sunucu, saldırı sırasında barındırıcı tarafından engellendi
(“Trafik kaybı” fark edilmez, çünkü yalnızca 1 site saldırıya uğradı, geçici olarak sunucudan kaldırıldı ve engelleme bir saat içinde kaldırıldı).
Aynı sunucu korunmaktadır. Saldırganlar, saldırıların püskürtüldüğü bir günün ardından "teslim oldu". Saldırının kendisi en güçlüsü değildi.
L3/L4'ün saldırı ve savunması daha önemsizdir; bunlar esas olarak kanalların kalınlığına, saldırılara yönelik tespit ve filtreleme algoritmalarına bağlıdır.
L7 saldırıları daha karmaşık ve orijinaldir; saldırıya uğrayan uygulamaya, saldırganların yeteneklerine ve hayal gücüne bağlıdır. Bunlara karşı korunmak çok fazla bilgi ve deneyim gerektirir ve sonuç hemen ve yüzde yüz olmayabilir. Ta ki Google koruma için başka bir sinir ağı bulana kadar.
Kaynak: habr.com