"وہ لڑکا جس نے ہماری ویب سائٹ بنائی ہے وہ پہلے ہی DDoS تحفظ ترتیب دے چکا ہے۔"
"ہمارے پاس DDoS تحفظ ہے، سائٹ کیوں نیچے چلی گئی؟"
"قریٹر کتنے ہزار چاہتا ہے؟"
گاہک/باس کی طرف سے اس طرح کے سوالات کا صحیح جواب دینے کے لیے، یہ جاننا اچھا ہو گا کہ "DDoS تحفظ" نام کے پیچھے کیا چھپا ہوا ہے۔ حفاظتی خدمات کا انتخاب IKEA میں ٹیبل کا انتخاب کرنے کے بجائے ڈاکٹر سے دوا کا انتخاب کرنے جیسا ہے۔
میں 11 سالوں سے ویب سائٹس کو سپورٹ کر رہا ہوں، میں جن سروسز کو سپورٹ کرتا ہوں ان پر سینکڑوں حملوں سے بچ گیا ہوں، اور اب میں آپ کو تحفظ کے اندرونی کاموں کے بارے میں کچھ بتاؤں گا۔
باقاعدہ حملے۔ کل 350k req، 52k جائز درخواست
پہلے حملے انٹرنیٹ کے ساتھ تقریباً ایک ہی وقت میں ظاہر ہوئے۔ DDoS ایک رجحان کے طور پر 2000 کی دہائی کے آخر سے وسیع ہو گیا ہے (چیک آؤٹ ).
تقریباً 2015-2016 سے، تقریباً تمام میزبانی فراہم کرنے والے DDoS حملوں سے محفوظ رہے ہیں، جیسا کہ مسابقتی علاقوں میں سب سے نمایاں سائٹس ہیں (do whois by IP of the sites eldorado.ru, leroymerlin.ru, tilda.ws، آپ کو نیٹ ورک نظر آئیں گے۔ تحفظ کے آپریٹرز)۔
اگر 10-20 سال پہلے زیادہ تر حملوں کو سرور پر ہی پسپا کیا جا سکتا تھا (90 کی دہائی سے Lenta.ru سسٹم کے منتظم میکسم موشکوف کی سفارشات کا جائزہ لیں: لیکن اب تحفظ کے کام زیادہ مشکل ہو گئے ہیں۔
تحفظ آپریٹر کو منتخب کرنے کے نقطہ نظر سے DDoS حملوں کی اقسام
L3/L4 سطح پر حملے (OSI ماڈل کے مطابق)
- بوٹ نیٹ سے UDP سیلاب (بہت سی درخواستیں متاثرہ آلات سے براہ راست حملہ آور سروس کو بھیجی جاتی ہیں، سرورز کو چینل کے ساتھ بلاک کر دیا جاتا ہے)؛
— DNS/NTP/etc ایمپلیفیکیشن (بہت سی درخواستیں متاثرہ آلات سے کمزور DNS/NTP/etc کو بھیجی جاتی ہیں، بھیجنے والے کا پتہ جعلی ہوتا ہے، درخواستوں کا جواب دینے والے پیکٹوں کا ایک بادل حملہ آور ہونے والے شخص کے چینل کو سیلاب دیتا ہے؛ اس طرح سب سے زیادہ جدید انٹرنیٹ پر بڑے پیمانے پر حملے کیے جاتے ہیں)
- SYN / ACK سیلاب (کنکشن قائم کرنے کی بہت سی درخواستیں حملہ آور سرورز کو بھیجی جاتی ہیں، کنکشن کی قطار بھر جاتی ہے)؛
- پیکٹ کے ٹکڑے ٹکڑے کرنے کے ساتھ حملے، موت کا پنگ، پنگ فلڈ (پلیز گوگل کریں)؛
- اور اسی طرح.
ان حملوں کا مقصد سرور کے چینل کو "روکنا" یا نئے ٹریفک کو قبول کرنے کی صلاحیت کو "مارنا" ہے۔
اگرچہ SYN/ACK فلڈنگ اور ایمپلیفیکیشن بہت مختلف ہیں، بہت سی کمپنیاں ان کا یکساں طور پر مقابلہ کرتی ہیں۔ اگلے گروپ کے حملوں سے مسائل پیدا ہوتے ہیں۔
L7 پر حملے (ایپلیکیشن لیئر)
- HTTP سیلاب (اگر کسی ویب سائٹ یا کچھ HTTP API پر حملہ کیا جاتا ہے)؛
- سائٹ کے کمزور علاقوں پر حملہ (جن کے پاس کیش نہیں ہے، جو سائٹ کو بہت زیادہ لوڈ کرتے ہیں، وغیرہ)۔
مقصد یہ ہے کہ سرور کو "سخت محنت کریں"، بہت ساری "بظاہر حقیقی درخواستوں" پر کارروائی کریں اور حقیقی درخواستوں کے لیے وسائل کے بغیر چھوڑ دیا جائے۔
اگرچہ دوسرے حملے ہیں، یہ سب سے زیادہ عام ہیں۔
L7 کی سطح پر سنگین حملے ہر ایک پراجیکٹ پر حملے کے لیے ایک منفرد انداز میں بنائے جاتے ہیں۔
2 گروپ کیوں؟
کیونکہ بہت سے ایسے ہیں جو L3/L4 کی سطح پر حملوں کو اچھی طرح سے پسپا کرنا جانتے ہیں، لیکن یا تو ایپلیکیشن لیول (L7) پر بالکل بھی تحفظ نہیں لیتے، یا پھر بھی ان سے نمٹنے میں متبادل سے کمزور ہیں۔
DDoS پروٹیکشن مارکیٹ میں کون ہے۔
(میری ذاتی رائے)
L3/L4 سطح پر تحفظ
ایمپلیفیکیشن (سرور چینل کی "بلاکیج") کے ساتھ حملوں کو پسپا کرنے کے لیے، کافی وسیع چینلز موجود ہیں (بہت سی حفاظتی خدمات روس میں ریڑھ کی ہڈی کے بڑے فراہم کنندگان سے منسلک ہیں اور ان کے چینلز کی نظریاتی صلاحیت 1 Tbit سے زیادہ ہے)۔ یہ نہ بھولیں کہ بہت ہی نایاب ایمپلیفیکیشن حملے ایک گھنٹے سے زیادہ دیر تک رہتے ہیں۔ اگر آپ Spamhaus ہیں اور ہر کوئی آپ کو پسند نہیں کرتا، ہاں، وہ آپ کے چینلز کو کئی دنوں تک بند کرنے کی کوشش کر سکتے ہیں، یہاں تک کہ عالمی بوٹ نیٹ کے استعمال ہونے کے مزید بقا کے خطرے میں بھی۔ اگر آپ کے پاس صرف ایک آن لائن اسٹور ہے، چاہے وہ mvideo.ru ہی کیوں نہ ہو، آپ کو جلد ہی کچھ دنوں میں 1 Tbit نظر نہیں آئے گا (مجھے امید ہے)۔
SYN/ACK سیلاب، پیکٹ فریگمنٹیشن وغیرہ کے ساتھ حملوں کو روکنے کے لیے، آپ کو ایسے حملوں کا پتہ لگانے اور روکنے کے لیے آلات یا سافٹ ویئر سسٹم کی ضرورت ہے۔
بہت سے لوگ ایسے آلات تیار کرتے ہیں (آربر، سسکو، ہواوے کے حل ہیں، وانگارڈ سے سافٹ ویئر کے نفاذ وغیرہ)، بہت سے بیک بون آپریٹرز اسے پہلے ہی انسٹال کر چکے ہیں اور DDoS تحفظ کی خدمات فروخت کر چکے ہیں (میں Rostelecom، Megafon، TTK، MTS کی تنصیبات کے بارے میں جانتا ہوں۔ , درحقیقت، تمام بڑے فراہم کنندگان اپنے تحفظ کے ساتھ میزبانوں کے ساتھ ایسا ہی کرتے ہیں کچھ کمپنیاں اپنے سافٹ ویئر سلوشنز تیار کر رہی ہیں (DPDK جیسی ٹیکنالوجیز آپ کو ایک فزیکل x86 مشین پر دسیوں گیگا بٹس ٹریفک پر کارروائی کرنے کی اجازت دیتی ہیں)۔
معروف کھلاڑیوں میں سے، ہر کوئی L3/L4 DDoS سے کم و بیش مؤثر طریقے سے لڑ سکتا ہے۔ اب میں یہ نہیں کہوں گا کہ چینل کی زیادہ سے زیادہ گنجائش کس کے پاس ہے (یہ اندرونی معلومات ہے)، لیکن عام طور پر یہ اتنا اہم نہیں ہوتا ہے، اور فرق صرف یہ ہے کہ پروٹیکشن کتنی جلدی شروع ہو جاتی ہے (فوری طور پر یا پروجیکٹ کے چند منٹ کے ڈاؤن ٹائم کے بعد، جیسا کہ Hetzner میں ہے)۔
سوال یہ ہے کہ یہ کتنی اچھی طرح سے کیا گیا ہے: نقصان دہ ٹریفک کی سب سے زیادہ مقدار والے ممالک سے ٹریفک کو روک کر ایمپلیفیکیشن حملے کو پسپا کیا جا سکتا ہے، یا صرف واقعی غیر ضروری ٹریفک کو ضائع کیا جا سکتا ہے۔
لیکن ایک ہی وقت میں، میرے تجربے کی بنیاد پر، مارکیٹ کے تمام سنجیدہ کھلاڑی بغیر کسی پریشانی کے اس کا مقابلہ کرتے ہیں: Qrator، DDoS-Guard، Kaspersky، G-Core Labs (سابقہ SkyParkCDN)، ServicePipe، Stormwall، Voxility، وغیرہ۔
مجھے آپریٹرز جیسے Rostelecom، Megafon، TTK، Beeline سے تحفظ کا سامنا نہیں کرنا پڑا؛ ساتھیوں کے جائزوں کے مطابق، وہ یہ خدمات کافی اچھی طرح سے فراہم کرتے ہیں، لیکن اب تک تجربے کی کمی وقتاً فوقتاً متاثر ہو رہی ہے: بعض اوقات آپ کو سپورٹ کے ذریعے کچھ موافقت کرنے کی ضرورت ہوتی ہے۔ تحفظ آپریٹر کے.
کچھ آپریٹرز کے پاس "L3/L4 سطح پر حملوں کے خلاف تحفظ"، یا "چینل پروٹیکشن" کی ایک الگ سروس ہوتی ہے؛ اس کی قیمت ہر سطح پر تحفظ سے بہت کم ہوتی ہے۔
ریڑھ کی ہڈی فراہم کرنے والا سینکڑوں Gbits کے حملوں کو پسپا کیوں نہیں کر رہا ہے، کیوں کہ اس کے اپنے چینلز نہیں ہیں؟تحفظ آپریٹر کسی بھی بڑے فراہم کنندگان سے رابطہ قائم کر سکتا ہے اور حملوں کو "اپنے خرچ پر" پسپا کر سکتا ہے۔ آپ کو چینل کے لیے ادائیگی کرنا پڑے گی، لیکن یہ تمام سینکڑوں Gbits ہمیشہ استعمال نہیں کیے جائیں گے؛ اس معاملے میں چینلز کی لاگت کو نمایاں طور پر کم کرنے کے آپشنز موجود ہیں، اس لیے یہ سکیم قابل عمل ہے۔
یہ وہ رپورٹس ہیں جو مجھے باقاعدگی سے اعلیٰ سطح کے L3/L4 تحفظ سے موصول ہوتی ہیں جبکہ ہوسٹنگ فراہم کنندہ کے سسٹمز کو سپورٹ کرتے ہیں۔
L7 سطح پر تحفظ (درخواست کی سطح)
L7 سطح (ایپلی کیشن لیول) پر حملے یونٹس کو مستقل اور موثر طریقے سے پیچھے ہٹانے کے قابل ہوتے ہیں۔
میرے پاس بہت زیادہ حقیقی تجربہ ہے۔
- Qrator.net؛
- DDoS-Guard؛
- جی کور لیبز؛
- کاسپرسکی۔
وہ خالص ٹریفک کے ہر میگا بٹ کے لیے چارج کرتے ہیں، ایک میگا بٹ کی قیمت لگ بھگ کئی ہزار روبل ہے۔ اگر آپ کے پاس کم از کم 100 ایم بی پی ایس خالص ٹریفک ہے - اوہ۔ تحفظ بہت مہنگا پڑے گا۔ میں آپ کو مندرجہ ذیل آرٹیکلز میں بتا سکتا ہوں کہ کس طرح ایپلی کیشنز کو ڈیزائن کیا جائے تاکہ سیکیورٹی چینلز کی صلاحیت پر بہت زیادہ بچت کی جا سکے۔
اصل "پہاڑی کا بادشاہ" Qrator.net ہے، باقی ان سے پیچھے ہیں۔ میرے تجربے میں اب تک صرف Qrator ہی ہیں جو صفر کے قریب جھوٹے مثبت کا فیصد دیتے ہیں، لیکن ساتھ ہی وہ مارکیٹ کے دیگر کھلاڑیوں کے مقابلے میں کئی گنا زیادہ مہنگے ہیں۔
دوسرے آپریٹرز بھی اعلیٰ معیار اور مستحکم تحفظ فراہم کرتے ہیں۔ ہماری طرف سے تعاون یافتہ بہت سی خدمات (بشمول ملک میں بہت معروف خدمات!) DDoS-Guard، G-Core Labs سے محفوظ ہیں، اور حاصل کردہ نتائج سے کافی مطمئن ہیں۔
Qrator کے ذریعے حملوں کو پسپا کر دیا گیا۔
میرے پاس چھوٹے سیکورٹی آپریٹرز جیسے cloud-shield.ru، ddosa.net، ان میں سے ہزاروں کے ساتھ بھی تجربہ ہے۔ میں یقینی طور پر اس کی سفارش نہیں کروں گا، کیونکہ ... میرے پاس زیادہ تجربہ نہیں ہے، لیکن میں آپ کو ان کے کام کے اصولوں کے بارے میں بتاؤں گا۔ ان کے تحفظ کی قیمت اکثر بڑے کھلاڑیوں کے مقابلے میں 1-2 آرڈرز کم ہوتی ہے۔ ایک اصول کے طور پر، وہ بڑے کھلاڑیوں میں سے ایک سے جزوی تحفظ کی خدمت (L3/L4) خریدتے ہیں + اعلی سطح پر حملوں کے خلاف اپنا تحفظ خود کرتے ہیں۔ یہ کافی مؤثر ہو سکتا ہے + آپ کم پیسوں میں اچھی سروس حاصل کر سکتے ہیں، لیکن یہ اب بھی چھوٹی کمپنیاں ہیں جن کا عملہ کم ہے، براہ کرم اسے ذہن میں رکھیں۔
L7 کی سطح پر حملوں کو پسپا کرنے میں کیا مشکل ہے؟
تمام ایپلیکیشنز منفرد ہیں، اور آپ کو ٹریفک کی اجازت دینے کی ضرورت ہے جو ان کے لیے مفید ہو اور نقصان دہ ایپلیکیشنز کو بلاک کریں۔ بوٹس کو غیر واضح طور پر ختم کرنا ہمیشہ ممکن نہیں ہوتا ہے، لہذا آپ کو ٹریفک صاف کرنے کے بہت سے، واقعی بہت سے درجے استعمال کرنے ہوں گے۔
ایک زمانے میں، nginx-testcookie ماڈیول کافی تھا ()، اور یہ اب بھی بڑی تعداد میں حملوں کو پسپا کرنے کے لیے کافی ہے۔ جب میں نے ہوسٹنگ انڈسٹری میں کام کیا تو L7 تحفظ nginx-testcookie پر مبنی تھا۔
بدقسمتی سے، حملے زیادہ مشکل ہو گئے ہیں۔ testcookie JS پر مبنی بوٹ چیک کا استعمال کرتی ہے، اور بہت سے جدید بوٹس انہیں کامیابی سے پاس کر سکتے ہیں۔
اٹیک بوٹ نیٹ بھی منفرد ہوتے ہیں، اور ہر بڑے بوٹ نیٹ کی خصوصیات کو مدنظر رکھا جانا چاہیے۔
ایمپلیفیکیشن، بوٹ نیٹ سے براہ راست سیلاب، مختلف ممالک سے ٹریفک کو فلٹر کرنا (مختلف ممالک کے لیے مختلف فلٹرنگ)، SYN/ACK فلڈنگ، پیکٹ فریگمینٹیشن، ICMP، HTTP فلڈنگ، جبکہ ایپلیکیشن/http سطح پر آپ لاتعداد تعداد کے ساتھ آ سکتے ہیں۔ مختلف حملے.
مجموعی طور پر، چینل کے تحفظ کی سطح پر، ٹریفک کو صاف کرنے کے لیے خصوصی آلات، خصوصی سافٹ ویئر، ہر کلائنٹ کے لیے اضافی فلٹرنگ کی ترتیبات دسیوں اور سینکڑوں فلٹرنگ لیولز ہو سکتی ہیں۔
اس کو صحیح طریقے سے منظم کرنے اور مختلف صارفین کے لیے فلٹرنگ سیٹنگز کو درست طریقے سے ٹیون کرنے کے لیے، آپ کو کافی تجربہ اور اہل افراد کی ضرورت ہے۔ یہاں تک کہ ایک بڑا آپریٹر جس نے تحفظ کی خدمات فراہم کرنے کا فیصلہ کیا ہے وہ "مسئلہ پر بے وقوفانہ طریقے سے پیسہ نہیں پھینک سکتا": تجربہ جھوٹی سائٹوں اور جائز ٹریفک پر غلط مثبتات سے حاصل کرنا ہوگا۔
سیکورٹی آپریٹر کے لیے کوئی "DDoS کو ہٹانے" کا بٹن نہیں ہے؛ ٹولز کی ایک بڑی تعداد موجود ہے، اور آپ کو ان کا استعمال کرنے کا طریقہ جاننا ہوگا۔
اور ایک اور بونس مثال۔
600 Mbit کی صلاحیت کے ساتھ حملے کے دوران ہوسٹر نے ایک غیر محفوظ سرور کو بلاک کر دیا تھا۔
(ٹریفک کا "نقصان" قابل توجہ نہیں ہے، کیونکہ صرف 1 سائٹ پر حملہ کیا گیا تھا، اسے عارضی طور پر سرور سے ہٹا دیا گیا تھا اور ایک گھنٹے کے اندر بلاکنگ ہٹا دی گئی تھی)۔
وہی سرور محفوظ ہے۔ حملہ آوروں نے ایک دن کے پسپا حملوں کے بعد "ہتھیار ڈال دیئے"۔ حملہ خود سب سے زیادہ طاقتور نہیں تھا۔
L3/L4 کا حملہ اور دفاع زیادہ معمولی ہے؛ وہ بنیادی طور پر چینلز کی موٹائی، حملوں کے لیے پتہ لگانے اور فلٹرنگ الگورتھم پر منحصر ہیں۔
L7 حملے زیادہ پیچیدہ اور اصل ہوتے ہیں؛ ان کا انحصار حملہ آور کی ایپلی کیشن، حملہ آوروں کی صلاحیتوں اور تخیل پر ہوتا ہے۔ ان کے خلاف تحفظ کے لیے بہت زیادہ علم اور تجربے کی ضرورت ہوتی ہے اور اس کا نتیجہ فوری اور سو فیصد نہیں ہو سکتا۔ جب تک کہ گوگل تحفظ کے لیے ایک اور نیورل نیٹ ورک کے ساتھ نہیں آیا۔
ماخذ: www.habr.com