“Người tạo ra trang web của chúng tôi đã thiết lập tính năng bảo vệ DDoS.”
“Chúng tôi có biện pháp bảo vệ DDoS, tại sao trang web lại bị sập?”
“Qrator muốn bao nhiêu nghìn?”
Để trả lời chính xác những câu hỏi như vậy từ khách hàng/sếp, thật tuyệt khi biết điều gì ẩn sau cái tên “bảo vệ DDoS”. Chọn dịch vụ bảo vệ giống như chọn thuốc của bác sĩ hơn là chọn bàn ở IKEA.
Tôi đã hỗ trợ các trang web trong 11 năm, đã sống sót sau hàng trăm cuộc tấn công vào các dịch vụ mà tôi hỗ trợ và bây giờ tôi sẽ kể cho bạn nghe một chút về hoạt động bên trong của cơ chế bảo vệ.
Các cuộc tấn công thường xuyên. Tổng số yêu cầu 350k, yêu cầu 52k hợp pháp
Các cuộc tấn công đầu tiên xuất hiện gần như đồng thời với Internet. DDoS như một hiện tượng đã trở nên phổ biến kể từ cuối những năm 2000 (hãy xem ).
Kể từ khoảng năm 2015-2016, hầu hết tất cả các nhà cung cấp dịch vụ lưu trữ đã được bảo vệ khỏi các cuộc tấn công DDoS, cũng như hầu hết các trang web nổi bật trong khu vực cạnh tranh (làm whois theo IP của các trang web eldorado.ru, leroymerlin.ru, tilda.ws, bạn sẽ thấy các mạng của người vận hành bảo vệ).
Nếu 10-20 năm trước hầu hết các cuộc tấn công đều có thể bị đẩy lùi ngay trên chính máy chủ (đánh giá các khuyến nghị của quản trị viên hệ thống Lenta.ru Maxim Moshkov từ những năm 90: ), nhưng hiện nay nhiệm vụ bảo vệ đã trở nên khó khăn hơn.
Các loại tấn công DDoS từ quan điểm lựa chọn nhà điều hành bảo vệ
Tấn công ở cấp độ L3/L4 (theo mô hình OSI)
— Lũ UDP từ mạng botnet (nhiều yêu cầu được gửi trực tiếp từ các thiết bị bị nhiễm đến dịch vụ bị tấn công, các máy chủ bị chặn kênh);
— Khuếch đại DNS/NTP/etc (nhiều yêu cầu được gửi từ thiết bị bị nhiễm đến DNS/NTP/etc dễ bị tấn công, địa chỉ của người gửi bị giả mạo, một đám mây gói phản hồi yêu cầu tràn ngập kênh của người bị tấn công; đây là cách nguy hiểm nhất các cuộc tấn công lớn được thực hiện trên Internet hiện đại);
— Lũ SYN/ACK (nhiều yêu cầu thiết lập kết nối được gửi đến máy chủ bị tấn công, hàng đợi kết nối bị tràn);
— các cuộc tấn công bằng cách phân mảnh gói, ping chết, ping lũ (vui lòng Google);
- và như thế.
Các cuộc tấn công này nhằm mục đích “làm tắc nghẽn” kênh của máy chủ hoặc “giết chết” khả năng chấp nhận lưu lượng truy cập mới của nó.
Mặc dù việc tràn và khuếch đại SYN/ACK rất khác nhau nhưng nhiều công ty vẫn xử lý chúng hiệu quả như nhau. Vấn đề nảy sinh với các cuộc tấn công từ nhóm tiếp theo.
Tấn công vào L7 (lớp ứng dụng)
— lũ http (nếu một trang web hoặc một số api http bị tấn công);
— một cuộc tấn công vào các khu vực dễ bị tổn thương của trang web (những khu vực không có bộ nhớ đệm, tải trang web rất nặng, v.v.).
Mục tiêu là làm cho máy chủ "làm việc chăm chỉ", xử lý nhiều "yêu cầu có vẻ như thật" và không có tài nguyên cho các yêu cầu thực sự.
Mặc dù có những cuộc tấn công khác nhưng đây là những cuộc tấn công phổ biến nhất.
Các cuộc tấn công nghiêm trọng ở cấp độ L7 được tạo ra theo cách riêng cho từng dự án bị tấn công.
Tại sao lại có 2 nhóm?
Bởi vì có nhiều người biết cách đẩy lùi các cuộc tấn công tốt ở cấp độ L3 / L4, nhưng lại không nhận được sự bảo vệ ở cấp độ ứng dụng (L7), hoặc vẫn yếu hơn các lựa chọn thay thế trong việc đối phó với chúng.
Ai là ai trong thị trường bảo vệ DDoS
(quan điểm cá nhân của tôi)
Bảo vệ ở cấp độ L3/L4
Để đẩy lùi các cuộc tấn công bằng tính năng khuếch đại (“tắc nghẽn” kênh máy chủ), có đủ các kênh rộng (nhiều dịch vụ bảo vệ kết nối với hầu hết các nhà cung cấp đường trục lớn ở Nga và có các kênh có dung lượng lý thuyết lớn hơn 1 Tbit). Đừng quên rằng các cuộc tấn công khuếch đại rất hiếm kéo dài hơn một giờ. Nếu bạn là Spamhaus và mọi người không thích bạn, vâng, họ có thể cố gắng tắt các kênh của bạn trong vài ngày, thậm chí có nguy cơ mạng botnet toàn cầu đang được sử dụng tiếp tục tồn tại. Nếu bạn chỉ có một cửa hàng trực tuyến, ngay cả khi đó là mvideo.ru, bạn sẽ không sớm thấy 1 Tbit trong vòng vài ngày tới (tôi hy vọng vậy).
Để đẩy lùi các cuộc tấn công tràn ngập SYN/ACK, phân mảnh gói, v.v., bạn cần có thiết bị hoặc hệ thống phần mềm để phát hiện và ngăn chặn các cuộc tấn công đó.
Nhiều người sản xuất thiết bị như vậy (Arbor, có giải pháp của Cisco, Huawei, triển khai phần mềm từ Wanguard, v.v.), nhiều nhà khai thác đường trục đã cài đặt nó và bán dịch vụ bảo vệ DDoS (tôi biết về các cài đặt từ Rostelecom, Megafon, TTK, MTS , trên thực tế, tất cả các nhà cung cấp lớn đều làm điều tương tự với các nhà cung cấp dịch vụ lưu trữ có sự bảo vệ riêng của họ a-la OVH.com, Hetzner.de, bản thân tôi cũng gặp phải sự bảo vệ tại ihor.ru). Một số công ty đang phát triển các giải pháp phần mềm của riêng họ (các công nghệ như DPDK cho phép bạn xử lý hàng chục gigabit lưu lượng trên một máy x86 vật lý).
Trong số những người chơi nổi tiếng, mọi người đều có thể chống lại DDoS L3/L4 ít nhiều một cách hiệu quả. Bây giờ tôi sẽ không nói ai có dung lượng kênh tối đa lớn hơn (đây là thông tin nội bộ), nhưng thông thường điều này không quá quan trọng và điểm khác biệt duy nhất là mức độ bảo vệ được kích hoạt nhanh như thế nào (ngay lập tức hoặc sau vài phút dự án ngừng hoạt động, như trong Hetzner).
Câu hỏi đặt ra là điều này được thực hiện tốt như thế nào: một cuộc tấn công khuếch đại có thể bị đẩy lùi bằng cách chặn lưu lượng truy cập từ các quốc gia có lưu lượng truy cập có hại lớn nhất hoặc chỉ có thể loại bỏ lưu lượng truy cập thực sự không cần thiết.
Nhưng đồng thời, dựa trên kinh nghiệm của tôi, tất cả những người chơi nghiêm túc trên thị trường đều có thể đối phó với vấn đề này mà không gặp vấn đề gì: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (trước đây là SkyParkCDN), ServicePipe, Stormwall, Voxility, v.v.
Tôi chưa gặp phải sự bảo vệ từ các nhà khai thác như Rostelecom, Megafon, TTK, Beeline, theo đánh giá của đồng nghiệp, họ cung cấp các dịch vụ này khá tốt, nhưng cho đến nay việc thiếu kinh nghiệm đang ảnh hưởng định kỳ: đôi khi bạn cần điều chỉnh một số thứ thông qua bộ phận hỗ trợ; của người vận hành bảo vệ.
Một số nhà khai thác có một dịch vụ riêng biệt “bảo vệ chống lại các cuộc tấn công ở cấp độ L3/L4” hoặc “bảo vệ kênh” với chi phí thấp hơn nhiều so với bảo vệ ở tất cả các cấp độ.
Tại sao nhà cung cấp đường trục không đẩy lùi các cuộc tấn công hàng trăm Gbits vì họ không có kênh riêng?Nhà điều hành bảo vệ có thể kết nối với bất kỳ nhà cung cấp chính nào và đẩy lùi các cuộc tấn công “bằng chi phí của mình”. Bạn sẽ phải trả tiền cho kênh, nhưng không phải lúc nào tất cả hàng trăm Gbit này cũng được sử dụng; có các tùy chọn để giảm đáng kể chi phí của kênh trong trường hợp này, vì vậy kế hoạch vẫn khả thi.
Đây là những báo cáo tôi thường xuyên nhận được từ cơ chế bảo vệ L3/L4 cấp cao hơn trong khi hỗ trợ hệ thống của nhà cung cấp dịch vụ lưu trữ.
Bảo vệ ở cấp độ L7 (cấp ứng dụng)
Các cuộc tấn công ở cấp độ L7 (cấp ứng dụng) có thể đẩy lùi các đơn vị một cách nhất quán và hiệu quả.
Tôi có khá nhiều kinh nghiệm thực tế với
— Qrator.net;
— Bảo vệ DDoS;
- Phòng thí nghiệm G-Core;
— Kaspersky.
Họ tính phí cho mỗi megabit lưu lượng truy cập thuần túy, một megabit có giá khoảng vài nghìn rúp. Nếu bạn có lưu lượng truy cập thuần túy ít nhất 100 Mbps - ồ. Việc bảo vệ sẽ rất tốn kém. Tôi có thể cho bạn biết trong các bài viết sau cách thiết kế ứng dụng để tiết kiệm nhiều dung lượng cho các kênh bảo mật.
“Vua của ngọn đồi” thực sự là Qrator.net, phần còn lại tụt lại phía sau họ. Qrator cho đến nay là những người duy nhất theo kinh nghiệm của tôi đưa ra tỷ lệ phần trăm dương tính giả gần bằng 0, nhưng đồng thời chúng đắt hơn nhiều lần so với những người chơi khác trên thị trường.
Các nhà khai thác khác cũng cung cấp sự bảo vệ chất lượng cao và ổn định. Nhiều dịch vụ được chúng tôi hỗ trợ (bao gồm cả những dịch vụ rất nổi tiếng trong nước!) Được bảo vệ khỏi DDoS-Guard, G-Core Labs và khá hài lòng với kết quả thu được.
Các cuộc tấn công bị đẩy lùi bởi Qrator
Tôi cũng có kinh nghiệm với các nhà khai thác bảo mật nhỏ như cloud-shield.ru, ddosa.net, hàng nghìn công ty trong số đó. Tôi chắc chắn sẽ không giới thiệu nó, bởi vì... Tôi không có nhiều kinh nghiệm nhưng tôi sẽ kể cho bạn nghe về nguyên tắc làm việc của họ. Chi phí bảo vệ của họ thường thấp hơn 1-2 lần so với các công ty lớn. Theo quy định, họ mua dịch vụ bảo vệ một phần (L3/L4) từ một trong những người chơi lớn hơn + tự bảo vệ mình trước các cuộc tấn công ở cấp độ cao hơn. Điều này có thể khá hiệu quả + bạn có thể nhận được dịch vụ tốt với ít tiền hơn, nhưng đây vẫn là những công ty nhỏ với đội ngũ nhân viên ít, hãy ghi nhớ điều đó.
Khó khăn của việc đẩy lùi các cuộc tấn công ở cấp độ L7 là gì?
Tất cả các ứng dụng đều là duy nhất và bạn cần cho phép lưu lượng truy cập hữu ích cho chúng và chặn những lưu lượng có hại. Không phải lúc nào cũng có thể loại bỏ hoàn toàn các bot, vì vậy bạn phải sử dụng rất nhiều, thực sự NHIỀU cấp độ thanh lọc lưu lượng truy cập.
Ngày xửa ngày xưa, mô-đun nginx-testcookie là đủ (), và nó vẫn đủ để đẩy lùi một số lượng lớn các cuộc tấn công. Khi tôi làm việc trong ngành lưu trữ, tính năng bảo vệ L7 dựa trên nginx-testcookie.
Thật không may, các cuộc tấn công đã trở nên khó khăn hơn. testcookie sử dụng tính năng kiểm tra bot dựa trên JS và nhiều bot hiện đại có thể vượt qua chúng thành công.
Các botnet tấn công cũng rất độc đáo và phải tính đến đặc điểm của từng botnet lớn.
Khuếch đại, tràn trực tiếp từ mạng botnet, lọc lưu lượng truy cập từ các quốc gia khác nhau (lọc khác nhau cho các quốc gia khác nhau), tràn SYN/ACK, phân mảnh gói, ICMP, tràn http, trong khi ở cấp ứng dụng/http, bạn có thể đưa ra số lượng không giới hạn các cuộc tấn công khác nhau.
Tổng cộng, ở cấp độ bảo vệ kênh, thiết bị chuyên dụng để giải phóng lưu lượng, phần mềm đặc biệt, cài đặt lọc bổ sung cho mỗi khách hàng có thể có hàng chục, hàng trăm cấp độ lọc.
Để quản lý đúng cách việc này và điều chỉnh chính xác cài đặt lọc cho những người dùng khác nhau, bạn cần nhiều kinh nghiệm và nhân sự có trình độ. Ngay cả một nhà điều hành lớn đã quyết định cung cấp dịch vụ bảo vệ cũng không thể “điên tiền một cách ngu ngốc vào vấn đề”: kinh nghiệm sẽ phải rút ra từ các trang web dối trá và những thông tin sai lệch về lưu lượng truy cập hợp pháp.
Không có nút “đẩy lùi DDoS” dành cho người điều hành bảo mật; có rất nhiều công cụ và bạn cần biết cách sử dụng chúng.
Và một ví dụ tiền thưởng nữa.
Máy chủ không được bảo vệ đã bị hostinger chặn trong cuộc tấn công có dung lượng 600 Mbit
(“Việc mất” lưu lượng truy cập là không đáng kể, vì chỉ có 1 trang web bị tấn công, nó tạm thời bị xóa khỏi máy chủ và lệnh chặn được dỡ bỏ trong vòng một giờ).
Máy chủ tương tự được bảo vệ. Những kẻ tấn công đã “đầu hàng” sau một ngày tấn công bị đẩy lùi. Bản thân cuộc tấn công không phải là mạnh nhất.
Tấn công và phòng thủ của L3/L4 đơn giản hơn; chúng chủ yếu phụ thuộc vào độ dày của kênh, thuật toán phát hiện và lọc các cuộc tấn công.
Các cuộc tấn công L7 phức tạp và nguyên bản hơn; chúng phụ thuộc vào ứng dụng bị tấn công, khả năng và trí tưởng tượng của những kẻ tấn công. Việc bảo vệ chống lại chúng đòi hỏi rất nhiều kiến thức và kinh nghiệm, và kết quả có thể không ngay lập tức và không phải một trăm phần trăm. Cho đến khi Google nghĩ ra một mạng lưới thần kinh khác để bảo vệ.
Nguồn: www.habr.com