"Veb-saytimizni yaratgan odam allaqachon DDoS himoyasini o'rnatgan."
"Bizda DDoS himoyasi bor, nima uchun sayt ishlamay qoldi?"
"Qrator necha mingni xohlaydi?"
Mijoz/xo'jayinning bunday savollariga to'g'ri javob berish uchun "DDoS himoyasi" nomining orqasida nima yashiringanini bilish yaxshi bo'lar edi. Xavfsizlik xizmatlarini tanlash IKEA-da stol tanlashdan ko'ra, shifokordan dori tanlashga o'xshaydi.
Men 11 yil davomida veb-saytlarni qo'llab-quvvatladim, men qo'llab-quvvatlagan xizmatlarga yuzlab hujumlardan omon qoldim va endi men sizga himoyaning ichki ishi haqida bir oz aytib beraman.
Doimiy hujumlar. Jami 350 ming talab, 52 ming talab qonuniy
Birinchi hujumlar deyarli Internet bilan bir vaqtda paydo bo'ldi. DDoS hodisa sifatida 2000-yillarning oxiridan beri keng tarqalgan (ko'rib chiqing). ).
Taxminan 2015-2016 yillarda deyarli barcha xosting-provayderlar DDoS hujumlaridan himoyalangan, shuningdek raqobatbardosh sohalardagi eng mashhur saytlar (eldorado.ru, leroymerlin.ru, tilda.ws saytlarining IP orqali whois qiling, siz tarmoqlarni ko'rasiz. himoya operatorlari).
Agar 10-20 yil oldin ko'pgina hujumlar serverning o'zida qaytarilishi mumkin bo'lsa (Lenta.ru tizim ma'muri Maksim Moshkovning 90-yillardagi tavsiyalarini baholang: ), ammo endi himoya vazifalari qiyinlashdi.
Himoya operatorini tanlash nuqtai nazaridan DDoS hujumlarining turlari
L3/L4 darajasidagi hujumlar (OSI modeli bo'yicha)
— Botnetdan UDP suv toshqini (ko'p so'rovlar to'g'ridan-to'g'ri zararlangan qurilmalardan hujum qilingan xizmatga yuboriladi, serverlar kanal bilan bloklanadi);
— DNS/NTP/va hokazolarni kuchaytirish (ko‘p so‘rovlar zararlangan qurilmalardan zaif DNS/NTP/va hokazolarga yuboriladi, jo‘natuvchining manzili soxta, so‘rovlarga javob beruvchi paketlar buluti hujumga uchragan odamning kanalini suv bosadi; bu eng ko‘p amalga oshiriladi. zamonaviy Internetda ommaviy hujumlar amalga oshirilmoqda);
— SYN / ACK toshqin (aloqa o'rnatish uchun ko'plab so'rovlar hujum qilingan serverlarga yuboriladi, ulanish navbati to'lib ketadi);
— paketlarning parchalanishi, ping of o'lim, ping toshqini bilan hujumlar (Google'dan iltimos);
- va h.k.
Ushbu hujumlar server kanalini "yopib qo'yish" yoki uning yangi trafikni qabul qilish qobiliyatini "o'ldirish" ga qaratilgan.
SYN/ACK suv toshqini va kuchaytirish juda boshqacha bo'lsa-da, ko'plab kompaniyalar ular bilan bir xil darajada kurashadi. Keyingi guruhning hujumlari bilan muammolar paydo bo'ladi.
L7 ga hujumlar (ilova qatlami)
— http toshqin (agar veb-sayt yoki ba'zi bir http api hujumi bo'lsa);
— saytning zaif joylariga hujum (keshga ega bo'lmaganlar, saytni juda og'ir yuklaydiganlar va h.k.).
Maqsad - serverni "qattiq mehnat qilish", ko'plab "haqiqiy ko'rinadigan so'rovlar" ni qayta ishlash va haqiqiy so'rovlar uchun resurslarsiz qolishdir.
Boshqa hujumlar mavjud bo'lsa-da, bu eng keng tarqalgan.
L7 darajasidagi jiddiy hujumlar hujumga uchragan har bir loyiha uchun o'ziga xos tarzda yaratilgan.
Nega 2 guruh?
Chunki L3 / L4 darajasida hujumlarni qanday qaytarishni yaxshi biladiganlar ko'p, lekin umuman dastur darajasida (L7) himoyani o'z zimmalariga olmaydilar yoki ular bilan kurashishda hali ham muqobil variantlardan zaifroqdirlar.
DDoS himoyasi bozorida kim kim
(mening shaxsiy fikrim)
L3/L4 darajasida himoya
Kuchaytirish bilan hujumlarni qaytarish uchun ("server kanalini blokirovka qilish") etarlicha keng kanallar mavjud (ko'pgina himoya xizmatlari Rossiyadagi ko'pgina yirik magistral provayderlarga ulanadi va nazariy sig'imi 1 Tbit dan ortiq kanallarga ega). Juda kam uchraydigan kuchaytirish hujumlari bir soatdan ko'proq davom etishini unutmang. Agar siz Spamxaus bo'lsangiz va hamma sizni yoqtirmasa, ha, ular global botnetning saqlanib qolishi xavfi ostida ham bir necha kun davomida kanallaringizni yopishga harakat qilishlari mumkin. Agar sizda faqat onlayn-do'koningiz bo'lsa, mvideo.ru bo'lsa ham, siz bir necha kun ichida 1 Tbitni ko'rmaysiz (umid qilamanki).
SYN/ACK suv toshqini, paketlarning parchalanishi va boshqalar bilan hujumlarni qaytarish uchun sizga bunday hujumlarni aniqlash va to'xtatish uchun uskunalar yoki dasturiy ta'minot tizimlari kerak bo'ladi.
Ko'pchilik bunday uskunani ishlab chiqaradi (Arbor, Cisco, Huawei-dan echimlar, Wanguard-dan dasturiy ta'minot va boshqalar), ko'plab magistral operatorlar uni o'rnatgan va DDoS himoya xizmatlarini sotgan (men Rostelecom, Megafon, TTK, MTS-dan o'rnatishlar haqida bilaman. , aslida, barcha yirik provayderlar o'zlarining himoyasi a-la OVH.com, Hetzner.de bilan hosterlar bilan xuddi shunday qilishadi, men o'zim ihor.ru saytida himoyaga duch keldim). Ba'zi kompaniyalar o'zlarining dasturiy echimlarini ishlab chiqmoqdalar (DPDK kabi texnologiyalar bitta jismoniy x86 mashinasida o'nlab gigabit trafikni qayta ishlash imkonini beradi).
Taniqli o'yinchilardan hamma L3/L4 DDoS bilan ko'proq yoki kamroq samarali kurashishi mumkin. Endi men kimning maksimal kanal sig'imi kattaroq ekanligini aytmayman (bu insayder ma'lumoti), lekin odatda bu unchalik muhim emas va yagona farq himoya qanchalik tez ishga tushirilishida (bir zumda yoki bir necha daqiqa loyiha to'xtab qolgandan keyin, Hetznerdagi kabi).
Savol shundaki, bu qanchalik yaxshi amalga oshirilgan: kuchaytiruvchi hujumni eng ko'p zararli trafik bo'lgan mamlakatlardan trafikni blokirovka qilish orqali qaytarish mumkin yoki faqat haqiqatan ham keraksiz trafikni yo'q qilish mumkin.
Ammo shu bilan birga, mening tajribamga asoslanib, bozorning barcha jiddiy ishtirokchilari buni muammosiz engishadi: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (sobiq SkyParkCDN), ServicePipe, Stormwall, Voxility va boshqalar.
Men Rostelecom, Megafon, TTK, Beeline kabi operatorlardan himoyaga duch kelmadim; hamkasblarning sharhlariga ko'ra, ular ushbu xizmatlarni juda yaxshi taqdim etadilar, ammo hozirgacha tajriba etishmasligi vaqti-vaqti bilan ta'sir qiladi: ba'zida siz qo'llab-quvvatlash orqali biror narsani sozlashingiz kerak. himoya operatori.
Ba'zi operatorlarda "L3/L4 darajasidagi hujumlardan himoya qilish" yoki "kanallarni himoya qilish" alohida xizmati mavjud; bu barcha darajadagi himoyadan ancha arzon.
Nega magistral provayder o'z kanallariga ega bo'lmagani uchun yuzlab Gbitli hujumlarni qaytarmayapti?Himoya operatori har qanday yirik provayderga ulanishi va hujumlarni "o'z hisobidan" qaytarishi mumkin. Siz kanal uchun pul to'lashingiz kerak bo'ladi, lekin bu yuzlab Gbitlarning barchasi har doim ham ishlatilmaydi; bu holda kanallar narxini sezilarli darajada kamaytirish variantlari mavjud, shuning uchun sxema ishlaydi.
Bular hosting provayderi tizimlarini qo'llab-quvvatlagan holda yuqori darajadagi L3/L4 himoyasidan muntazam ravishda oladigan hisobotlar.
L7 darajasida himoya (dastur darajasi)
L7 darajasidagi (ilova darajasi) hujumlar birliklarni izchil va samarali tarzda qaytarishga qodir.
Menda juda ko'p haqiqiy tajriba bor
— Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kasperskiy.
Ular har bir megabit sof trafik uchun haq olishadi, bir megabit bir necha ming rublni tashkil qiladi. Agar sizda kamida 100 Mbit / s toza trafik bo'lsa - oh. Himoya qilish juda qimmatga tushadi. Xavfsizlik kanallarining sig'imini tejash uchun ilovalarni qanday loyihalash kerakligini sizga keyingi maqolalarda aytib bera olaman.
Haqiqiy "tepalik shohi" Qrator.net, qolganlari ulardan orqada. Qrator hozircha mening tajribamda yolg'on pozitivlarning foizini nolga yaqin beradigan yagona hisoblanadi, lekin ayni paytda ular bozorning boshqa o'yinchilariga qaraganda bir necha barobar qimmatroqdir.
Boshqa operatorlar ham yuqori sifatli va barqaror himoyani ta'minlaydi. Biz tomonidan qo'llab-quvvatlanadigan ko'plab xizmatlar (jumladan, mamlakatda juda mashhur!) DDoS-Guard, G-Core Labs-dan himoyalangan va olingan natijalardan juda mamnun.
Qrator tomonidan qaytarilgan hujumlar
Bundan tashqari, bulut-shield.ru, ddosa.net kabi kichik xavfsizlik operatorlari bilan tajribam bor, ularning minglablari. Men buni albatta tavsiya qilmayman, chunki ... Menda ko'p tajriba yo'q, lekin men sizga ularning ish tamoyillari haqida aytib beraman. Ularni himoya qilish narxi ko'pincha asosiy o'yinchilarnikidan 1-2 baravar past bo'ladi. Qoida tariqasida, ular kattaroq o'yinchilardan birining qisman himoya xizmatini (L3/L4) sotib oladilar + yuqori darajadagi hujumlardan o'zlarini himoya qiladilar. Bu juda samarali bo'lishi mumkin + siz kamroq pul evaziga yaxshi xizmat ko'rsatishingiz mumkin, ammo bu hali ham kichik xodimlarga ega kichik kompaniyalar, iltimos buni yodda tuting.
L7 darajasida hujumlarni qaytarish qanchalik qiyin?
Barcha ilovalar noyobdir va siz ular uchun foydali bo'lgan trafikka ruxsat berishingiz va zararlilarini bloklashingiz kerak. Botlarni aniq yo'q qilish har doim ham mumkin emas, shuning uchun siz ko'p, haqiqatan ham KO'P darajali trafikni tozalashingiz kerak.
Bir vaqtlar nginx-testcookie moduli yetarli edi (), va bu hali ham ko'p sonli hujumlarni qaytarish uchun etarli. Men xosting sohasida ishlaganimda L7 himoyasi nginx-testcookie-ga asoslangan edi.
Afsuski, hujumlar qiyinlashdi. testcookie JS-ga asoslangan bot tekshiruvlaridan foydalanadi va ko'plab zamonaviy botlar ularni muvaffaqiyatli topshirishi mumkin.
Hujum botnetlari ham noyobdir va har bir katta botnetning xususiyatlarini hisobga olish kerak.
Kuchaytirish, botnetdan to'g'ridan-to'g'ri suv toshqini, turli mamlakatlardan trafikni filtrlash (turli mamlakatlar uchun turli xil filtrlash), SYN/ACK suv toshqini, paketlarni parchalash, ICMP, http toshqin, ilova/http darajasida esa cheksiz ko'p narsalarni topishingiz mumkin. turli xil hujumlar.
Hammasi bo'lib, kanalni himoya qilish darajasida, trafikni tozalash uchun maxsus uskunalar, maxsus dasturiy ta'minot, har bir mijoz uchun qo'shimcha filtrlash sozlamalari o'nlab va yuzlab filtrlash darajalari bo'lishi mumkin.
Buni to'g'ri boshqarish va turli foydalanuvchilar uchun filtrlash sozlamalarini to'g'ri sozlash uchun sizga katta tajriba va malakali xodimlar kerak. Himoya xizmatlarini taqdim etishga qaror qilgan yirik operator ham "muammoga ahmoqona pul tashlay olmaydi": tajribani yolg'on saytlardan va qonuniy trafik bo'yicha noto'g'ri pozitivlardan to'plash kerak bo'ladi.
Xavfsizlik operatori uchun "DDoS-ni qaytarish" tugmasi yo'q, juda ko'p vositalar mavjud va siz ulardan qanday foydalanishni bilishingiz kerak.
Va yana bir bonusli misol.
Himoyalanmagan server 600 Mbit sig‘imga ega bo‘lgan hujum paytida hoster tomonidan bloklandi
("Trafikning yo'qolishi" sezilmaydi, chunki faqat 1 ta saytga hujum qilindi, u serverdan vaqtincha o'chirildi va bir soat ichida blokirovka olib tashlandi).
Xuddi shu server himoyalangan. Bir kunlik qaytarilgan hujumlardan so'ng hujumchilar "taslim bo'lishdi". Hujumning o'zi eng kuchli emas edi.
L3/L4 ning hujumi va himoyasi ahamiyatsizroq, ular asosan kanallarning qalinligi, hujumlarni aniqlash va filtrlash algoritmlariga bog'liq.
L7 hujumlari murakkabroq va o'ziga xos bo'lib, ular hujum qilinayotgan dasturga, hujumchilarning imkoniyatlari va tasavvuriga bog'liq. Ulardan himoya qilish juda ko'p bilim va tajribani talab qiladi va natija darhol va yuz foiz bo'lmasligi mumkin. Google himoya qilish uchun boshqa neyron tarmoqni yaratmaguncha.
Manba: www.habr.com