2020'nin ilk iki çeyreğinde DDoS saldırılarının sayısı neredeyse üç katına çıktı; bunların %65'i küçük çevrimiçi mağazaların, forumların, blogların ve medya kuruluşlarının savunmasız sitelerini kolayca "devre dışı bırakan" "yük testi"ne yönelik ilkel girişimlerdi.
DDoS korumalı barındırma nasıl seçilir? Hoş olmayan bir durumla karşılaşmamak için nelere dikkat etmeli ve neye hazırlanmalısınız?
(İçerdeki “gri” pazarlamaya karşı aşı)
DDoS saldırılarını gerçekleştirmek için kullanılan araçların varlığı ve çeşitliliği, çevrimiçi hizmet sahiplerini tehdide karşı koymak için uygun önlemleri almaya zorlamaktadır. DDoS korumasını ilk arızadan sonra değil, hatta altyapının hata toleransını artırmaya yönelik bir dizi önlemin parçası olarak değil, yerleştirme için bir site (barındırma sağlayıcısı veya veri merkezi) seçme aşamasında düşünmelisiniz.
DDoS saldırıları, güvenlik açıklarından yararlanılan protokollere göre Açık Sistemler Ara Bağlantı (OSI) modeli seviyelerine kadar sınıflandırılır:
- kanal (L2),
- ağ (L3),
- taşıma (L4),
- uygulandı (L7).
Güvenlik sistemleri açısından bakıldığında iki gruba genelleştirilebilirler: altyapı düzeyindeki saldırılar (L2-L4) ve uygulama düzeyindeki saldırılar (L7). Bunun nedeni, trafik analizi algoritmalarının yürütülme sırası ve hesaplama karmaşıklığıdır: IP paketine ne kadar derinlemesine bakarsak, o kadar fazla hesaplama gücü gerekir.
Genel olarak trafiği gerçek zamanlı olarak işlerken hesaplamaları optimize etme sorunu ayrı bir makale dizisinin konusudur. Şimdi, siteleri uygulama düzeyindeki saldırılardan (dahil olmak üzere) koruyabilen, koşullu olarak sınırsız bilgi işlem kaynaklarına sahip bir bulut sağlayıcının olduğunu hayal edelim. ).
DDoS saldırılarına karşı barındırma güvenliğinin derecesini belirlemek için 3 ana soru
DDoS saldırılarına karşı korunmak için hizmet şartlarına ve barındırma sağlayıcısının Hizmet Seviyesi Sözleşmesine (SLA) bakalım. Aşağıdaki soruların cevaplarını içeriyor mu:
- Hizmet sağlayıcı hangi teknik sınırlamaları belirtiyor??
- müşteri sınırların ötesine geçtiğinde ne olur?
- Bir barındırma sağlayıcısı DDoS saldırılarına (teknolojiler, çözümler, tedarikçiler) karşı nasıl koruma sağlar?
Bu bilgiyi bulamadıysanız, bu ya servis sağlayıcının ciddiyetini düşünmek ya da temel DDoS korumasını (L3-4) kendi başınıza organize etmek için bir nedendir. Örneğin, uzman bir güvenlik sağlayıcısının ağına fiziksel bir bağlantı sipariş edin.
Önemli! Barındırma sağlayıcınız altyapı düzeyindeki saldırılara karşı koruma sağlayamıyorsa, Ters Proxy kullanarak uygulama düzeyindeki saldırılara karşı koruma sağlamanın bir anlamı yoktur: bulut sağlayıcının proxy sunucuları da dahil olmak üzere ağ ekipmanı aşırı yüklenecek ve kullanılamaz hale gelecektir (Şekil 1).
Şekil 1. Barındırma sağlayıcısının ağına doğrudan saldırı
Ve size sunucunun gerçek IP adresinin güvenlik sağlayıcının bulutunun arkasında saklandığına dair masallar anlatmaya çalışmalarına izin vermeyin, bu da ona doğrudan saldırmanın imkansız olduğu anlamına gelir. On vakadan dokuzunda, bir saldırganın tüm veri merkezini "yok etmek" için sunucunun veya en azından barındırma sağlayıcısının ağının gerçek IP adresini bulması zor olmayacaktır.
Bilgisayar korsanları gerçek bir IP adresi ararken nasıl davranır?
Spoiler'ın altında gerçek bir IP adresi bulmak için çeşitli yöntemler bulunmaktadır (bilgi amaçlı verilmiştir).
Yöntem 1: Açık kaynaklarda arama yapın
Aramanıza çevrimiçi hizmetle başlayabilirsiniz.: Dark web'de, belge paylaşım platformlarında arama yapar, Whois verilerini, halka açık veri sızıntılarını ve daha birçok kaynağı işler.
Bazı işaretlere (HTTP başlıkları, Whois verileri vb.) dayanarak sitenin korumasının Cloudflare kullanılarak düzenlendiğini belirlemek mümkünse, gerçek IP'yi şu adresten aramaya başlayabilirsiniz:Cloudflare arkasında yer alan sitelerin yaklaşık 3 milyon IP adresini içeren.
SSL sertifikası ve hizmeti kullanma sitenin gerçek IP adresi de dahil olmak üzere birçok yararlı bilgi bulabilirsiniz. Kaynağınız için bir istek oluşturmak için Sertifikalar sekmesine gidin ve şunu girin:
_parsed.names: adsite VE tags.raw: güvenilir
SSL sertifikası kullanan sunucuların IP adreslerini aramak için, birkaç araçla açılır listeyi manuel olarak gözden geçirmeniz gerekecektir (“Keşfet” sekmesi, ardından “IPv4 Ana Bilgisayarları” seçeneğini seçin).
Yöntem 2: DNS
DNS kaydı değişikliklerinin geçmişini aramak eski ve kanıtlanmış bir yöntemdir. Sitenin önceki IP adresi, hangi barındırma (veya veri merkezi) üzerinde bulunduğunu açıkça ortaya koyabilir. Kullanım kolaylığı açısından çevrimiçi hizmetler arasında aşağıdakiler öne çıkıyor: и .
Ayarları değiştirdiğinizde site, bulut güvenlik sağlayıcısının veya CDN'nin IP adresini hemen kullanmayacak, bir süre doğrudan çalışacaktır. Bu durumda, IP adresi değişikliklerinin geçmişini depolamaya yönelik çevrimiçi hizmetlerin, sitenin kaynak adresi hakkında bilgi içerme olasılığı vardır.
Eski DNS sunucusunun adından başka bir şey yoksa, özel yardımcı programları (dig, host veya nslookup) kullanarak sitenin alan adına göre bir IP adresi talep edebilirsiniz, örneğin:
_dig @old_dns_server_name adıсайта
Yöntem 3: e-posta
Yöntemin fikri, e-postanıza bir mektup almak ve başlıkları, özellikle de "Alındı" alanını kontrol etmek için geri bildirim/kayıt formunu (veya bir mektubun gönderilmesini başlatmanıza olanak tanıyan başka bir yöntemi) kullanmaktır. .
E-posta başlığı genellikle MX kaydının (e-posta değişim sunucusu) gerçek IP adresini içerir; bu, hedefteki diğer sunucuları bulmak için bir başlangıç noktası olabilir.
Arama Otomasyonu Araçları
Cloudflare kalkanının arkasındaki IP arama yazılımı çoğunlukla üç görev için çalışır:
- DNSDumpster.com'u kullanarak DNS yanlış yapılandırmasını tarayın;
- Crimeflare.com veritabanı taraması;
- Bir sözlük arama yöntemini kullanarak alt alan adlarını arayın.
Alt alan adlarını bulmak genellikle bu üç seçenek arasında en etkili seçenektir; site sahibi ana siteyi koruyabilir ve alt alan adlarını doğrudan çalışır durumda bırakabilir. Kontrol etmenin en kolay yolu kullanmaktır .
Ek olarak, yalnızca sözlük araması kullanarak alt alanları aramak ve açık kaynaklarda arama yapmak için tasarlanmış yardımcı programlar vardır, örneğin: veya .
Arama pratikte nasıl gerçekleşir?
Örneğin, iyi bilinen bir hizmeti kullanarak bulacağımız Cloudflare'yi kullanarak seo.com sitesini ele alalım. (hem sitenin çalıştığı teknolojileri / motorları / CMS'yi belirlemenize hem de tam tersi - kullanılan teknolojilere göre siteleri aramanıza olanak tanır).
“IPv4 Ana Bilgisayarları” sekmesine tıkladığınızda hizmet, sertifikayı kullanan ana bilgisayarların bir listesini gösterecektir. İhtiyacınız olanı bulmak için 443 numaralı bağlantı noktası açık olan bir IP adresi arayın. İstenilen siteye yönlendiriyorsa görev tamamlanır, aksi takdirde sitenin alan adını ana bilgisayar başlığına eklemeniz gerekir. HTTP isteği (örneğin, *curl -H "Ana Bilgisayar: site_adı" *).
Bizim durumumuzda Censys veritabanındaki arama hiçbir şey vermedi, o yüzden devam ediyoruz.
Hizmet aracılığıyla bir DNS araması yapacağız.
CloudFail yardımcı programını kullanarak DNS sunucuları listelerinde belirtilen adresleri arayarak çalışan kaynakları buluyoruz. Sonuç birkaç saniye içinde hazır olacak.
Yalnızca açık verileri ve basit araçları kullanarak web sunucusunun gerçek IP adresini belirledik. Saldırganın geri kalanı teknik meselesidir.
Bir barındırma sağlayıcısı seçme konusuna dönelim. Hizmetin müşteriye faydasını değerlendirmek için DDoS saldırılarına karşı olası koruma yöntemlerini ele alacağız.
Bir barındırma sağlayıcısı korumasını nasıl oluşturur?
- Filtreleme ekipmanına sahip kendi koruma sistemi (Şekil 2).
Gereklilikler:
1.1. Trafik filtreleme ekipmanı ve yazılım lisansları;
1.2. Desteği ve işleyişi için tam zamanlı uzmanlar;
1.3. Saldırı almaya yetecek internet erişim kanalları;
1.4. "Önemsiz" trafiği almak için önemli miktarda ön ödemeli kanal bant genişliği.
Şekil 2. Barındırma sağlayıcısının kendi güvenlik sistemi
Tanımlanan sistemi yüzlerce Gbps'lik modern DDoS saldırılarına karşı bir koruma aracı olarak düşünürsek, böyle bir sistem çok paraya mal olacaktır. Hosting sağlayıcının böyle bir koruması var mı? “Önemsiz” trafik için para ödemeye hazır mı? Açıkçası, eğer tarifeler ek ödemeler sağlamıyorsa, böyle bir ekonomik model sağlayıcı için kârlı değildir. - Ters Proxy (yalnızca web siteleri ve bazı uygulamalar için). Bir sayıya rağmen tedarikçi doğrudan DDoS saldırılarına karşı korumayı garanti etmez (bkz. Şekil 1). Barındırma sağlayıcıları genellikle her derde deva gibi bir çözüm sunarak sorumluluğu güvenlik sağlayıcısına kaydırır.
- Tüm OSI düzeylerinde DDoS saldırılarına karşı koruma sağlamak için uzmanlaşmış bir bulut sağlayıcısının hizmetleri (filtreleme ağının kullanımı) (Şekil 3).
Şekil 3. Özel bir sağlayıcı kullanarak DDoS saldırılarına karşı kapsamlı koruma
her iki tarafın derin entegrasyonunu ve yüksek düzeyde teknik yeterliliğini varsayar. Trafik filtreleme hizmetlerinin dış kaynak kullanımı, barındırma sağlayıcısının müşteri için ek hizmetlerin fiyatını düşürmesine olanak tanır.
Önemli! Sağlanan hizmetin teknik özellikleri ne kadar ayrıntılı tanımlanırsa, kesinti durumunda bunların uygulanmasını veya telafisini talep etme şansı da o kadar artar.
Üç ana yöntemin yanı sıra birçok kombinasyon ve kombinasyon vardır. Bir barındırma seçerken, müşterinin kararın yalnızca garanti edilen engellenen saldırıların boyutuna ve filtreleme doğruluğuna değil, aynı zamanda yanıt hızına ve bilgi içeriğine (engellenen saldırıların listesi, genel istatistikler vb.).
Dünyada yalnızca birkaç barındırma sağlayıcısının kendi başına kabul edilebilir bir koruma düzeyi sağlayabildiğini; diğer durumlarda işbirliği ve teknik okuryazarlığın yardımcı olduğunu unutmayın. Bu nedenle, DDoS saldırılarına karşı korumayı organize etmenin temel ilkelerini anlamak, site sahibinin pazarlama hilelerine kanmamasına ve "bir anda domuz" satın almamasına olanak tanıyacaktır.
Kaynak: habr.com