Trong hai quý đầu năm 2020, số vụ tấn công DDoS gần như tăng gấp ba, với 65% trong số đó là những nỗ lực ban đầu nhằm “thử nghiệm tải” nhằm dễ dàng “vô hiệu hóa” các trang web không có khả năng phòng vệ của các cửa hàng trực tuyến, diễn đàn, blog và phương tiện truyền thông nhỏ.
Làm cách nào để chọn dịch vụ lưu trữ được bảo vệ khỏi DDoS? Bạn nên chú ý điều gì và nên chuẩn bị những gì để không rơi vào tình huống khó chịu?
(Tiêm phòng chống tiếp thị “xám” bên trong)
Sự sẵn có và đa dạng của các công cụ để thực hiện các cuộc tấn công DDoS buộc chủ sở hữu các dịch vụ trực tuyến phải thực hiện các biện pháp thích hợp để chống lại mối đe dọa. Bạn nên nghĩ đến việc bảo vệ DDoS không phải sau lần thất bại đầu tiên và thậm chí không phải là một phần của tập hợp các biện pháp nhằm tăng khả năng chịu lỗi của cơ sở hạ tầng mà ở giai đoạn chọn địa điểm để bố trí (nhà cung cấp dịch vụ lưu trữ hoặc trung tâm dữ liệu).
Các cuộc tấn công DDoS được phân loại tùy thuộc vào các giao thức có lỗ hổng được khai thác ở cấp độ của mô hình Kết nối hệ thống mở (OSI):
- kênh (L2),
- mạng (L3),
- vận chuyển (L4),
- áp dụng (L7).
Từ quan điểm của hệ thống bảo mật, chúng có thể được khái quát thành hai nhóm: tấn công cấp cơ sở hạ tầng (L2-L4) và tấn công cấp ứng dụng (L7). Điều này là do trình tự thực hiện các thuật toán phân tích lưu lượng và độ phức tạp tính toán: chúng ta càng xem xét sâu hơn về gói IP thì càng cần nhiều sức mạnh tính toán hơn.
Nhìn chung, bài toán tối ưu hóa tính toán khi xử lý lưu lượng truy cập theo thời gian thực là một chủ đề dành cho một loạt bài viết riêng. Bây giờ, hãy tưởng tượng rằng có một số nhà cung cấp đám mây với tài nguyên điện toán không giới hạn có điều kiện có thể bảo vệ các trang web khỏi các cuộc tấn công cấp ứng dụng (bao gồm cả ).
3 câu hỏi chính để xác định mức độ bảo mật hosting trước các cuộc tấn công DDoS
Hãy xem các điều khoản dịch vụ để bảo vệ chống lại các cuộc tấn công DDoS và Thỏa thuận cấp độ dịch vụ (SLA) của nhà cung cấp dịch vụ lưu trữ. Chúng có chứa câu trả lời cho các câu hỏi sau không:
- những hạn chế kỹ thuật nào được nhà cung cấp dịch vụ nêu ra??
- điều gì xảy ra khi khách hàng vượt quá giới hạn?
- Nhà cung cấp dịch vụ lưu trữ xây dựng khả năng bảo vệ chống lại các cuộc tấn công DDoS (công nghệ, giải pháp, nhà cung cấp) bằng cách nào?
Nếu bạn chưa tìm thấy thông tin này, thì đây là lý do để bạn suy nghĩ về mức độ nghiêm túc của nhà cung cấp dịch vụ hoặc tự mình tổ chức bảo vệ DDoS cơ bản (L3-4). Ví dụ: yêu cầu kết nối vật lý với mạng của nhà cung cấp bảo mật chuyên dụng.
Quan trọng! Sẽ chẳng ích gì khi cung cấp khả năng bảo vệ chống lại các cuộc tấn công cấp ứng dụng bằng Reverse Proxy nếu nhà cung cấp dịch vụ lưu trữ của bạn không thể cung cấp khả năng bảo vệ chống lại các cuộc tấn công cấp cơ sở hạ tầng: thiết bị mạng sẽ bị quá tải và không khả dụng, bao gồm cả các máy chủ proxy của nhà cung cấp đám mây (Hình 1).
Hình 1. Tấn công trực tiếp vào mạng của nhà cung cấp dịch vụ lưu trữ
Và đừng để họ cố kể cho bạn nghe những câu chuyện cổ tích rằng địa chỉ IP thực của máy chủ bị ẩn sau đám mây của nhà cung cấp bảo mật, điều đó có nghĩa là không thể tấn công trực tiếp vào nó. Chín trên mười trường hợp, sẽ không khó để kẻ tấn công tìm ra địa chỉ IP thực của máy chủ hoặc ít nhất là mạng của nhà cung cấp dịch vụ lưu trữ để “phá hủy” toàn bộ trung tâm dữ liệu.
Cách tin tặc hành động để tìm kiếm địa chỉ IP thực
Bên dưới phần tiết lộ là một số phương pháp để tìm địa chỉ IP thực (được cung cấp cho mục đích cung cấp thông tin).
Cách 1: Tìm kiếm trong các nguồn mở
Bạn có thể bắt đầu tìm kiếm với dịch vụ trực tuyến: Nó tìm kiếm trên web đen, nền tảng chia sẻ tài liệu, xử lý dữ liệu Whois, rò rỉ dữ liệu công khai và nhiều nguồn khác.
Nếu dựa trên một số dấu hiệu (tiêu đề HTTP, dữ liệu Whois, v.v.), có thể xác định rằng việc bảo vệ trang web được tổ chức bằng Cloudflare, thì bạn có thể bắt đầu tìm kiếm IP thực từ, chứa khoảng 3 triệu địa chỉ IP của các trang web nằm phía sau Cloudflare.
Sử dụng chứng chỉ và dịch vụ SSL bạn có thể tìm thấy nhiều thông tin hữu ích, bao gồm cả địa chỉ IP thực của trang web. Để tạo yêu cầu cho tài nguyên của bạn, hãy chuyển đến tab Chứng chỉ và nhập:
_parsed.names: têntrang web VÀ tags.raw: đáng tin cậy
Để tìm kiếm địa chỉ IP của máy chủ sử dụng chứng chỉ SSL, bạn sẽ phải duyệt qua danh sách thả xuống theo cách thủ công bằng một số công cụ (tab “Khám phá”, sau đó chọn “Máy chủ IPv4”).
Cách 2: DNS
Tìm kiếm lịch sử thay đổi bản ghi DNS là một phương pháp cũ đã được chứng minh. Địa chỉ IP trước đó của trang web có thể cho biết rõ nó được đặt trên máy chủ (hoặc trung tâm dữ liệu) nào. Trong số các dịch vụ trực tuyến về tính dễ sử dụng, nổi bật sau đây: и .
Khi bạn thay đổi cài đặt, trang web sẽ không sử dụng ngay địa chỉ IP của nhà cung cấp bảo mật đám mây hoặc CDN mà sẽ hoạt động trực tiếp trong một thời gian. Trong trường hợp này, có khả năng các dịch vụ trực tuyến lưu trữ lịch sử thay đổi địa chỉ IP có chứa thông tin về địa chỉ nguồn của trang web.
Nếu không có gì ngoài tên của máy chủ DNS cũ, thì bằng cách sử dụng các tiện ích đặc biệt (đào, lưu trữ hoặc nslookup), bạn có thể yêu cầu địa chỉ IP theo tên miền của trang web, ví dụ:
_dig @old_dns_server_name tênсайта
Cách 3: gửi email
Ý tưởng của phương pháp này là sử dụng biểu mẫu phản hồi/đăng ký (hoặc bất kỳ phương pháp nào khác cho phép bạn bắt đầu gửi thư) để nhận thư đến email của bạn và kiểm tra tiêu đề, đặc biệt là trường “Đã nhận” .
Tiêu đề email thường chứa địa chỉ IP thực của bản ghi MX (máy chủ trao đổi email), đây có thể là điểm khởi đầu để tìm kiếm các máy chủ khác trên mục tiêu.
Công cụ tự động hóa tìm kiếm
Phần mềm tìm kiếm IP đằng sau tấm chắn Cloudflare thường hoạt động với ba tác vụ:
- Quét cấu hình sai DNS bằng DNSDumpster.com;
- Quét cơ sở dữ liệu Crimeflare.com;
- tìm kiếm tên miền phụ bằng phương pháp tìm kiếm từ điển.
Tìm tên miền phụ thường là lựa chọn hiệu quả nhất trong ba lựa chọn - chủ sở hữu trang web có thể bảo vệ trang web chính và để các tên miền phụ chạy trực tiếp. Cách dễ nhất để kiểm tra là sử dụng .
Ngoài ra, có những tiện ích được thiết kế chỉ để tìm kiếm tên miền phụ bằng cách tìm kiếm từ điển và tìm kiếm trong các nguồn mở, ví dụ: hoặc .
Cách tìm kiếm diễn ra trong thực tế
Ví dụ: hãy lấy trang web seo.com bằng Cloudflare mà chúng ta sẽ tìm thấy bằng cách sử dụng một dịch vụ nổi tiếng (cho phép bạn vừa xác định công nghệ / công cụ / CMS mà trang web vận hành và ngược lại - tìm kiếm trang web theo công nghệ được sử dụng).
Khi bạn nhấp vào tab “Máy chủ IPv4”, dịch vụ sẽ hiển thị danh sách các máy chủ sử dụng chứng chỉ. Để tìm địa chỉ bạn cần, hãy tìm địa chỉ IP có cổng mở 443. Nếu nó chuyển hướng đến trang mong muốn thì nhiệm vụ đã hoàn thành, nếu không, bạn cần thêm tên miền của trang đó vào tiêu đề “Máy chủ” của Yêu cầu HTTP (ví dụ: *curl -H "Host: site_name" *).
Trong trường hợp của chúng tôi, tìm kiếm trong cơ sở dữ liệu Censys không đưa ra kết quả gì, vì vậy chúng tôi tiếp tục.
Chúng tôi sẽ thực hiện tìm kiếm DNS thông qua dịch vụ.
Bằng cách tìm kiếm qua các địa chỉ được đề cập trong danh sách máy chủ DNS bằng tiện ích CloudFail, chúng tôi tìm thấy các tài nguyên đang hoạt động. Kết quả sẽ sẵn sàng trong vài giây.
Chỉ sử dụng dữ liệu mở và các công cụ đơn giản, chúng tôi đã xác định được địa chỉ IP thực của máy chủ web. Phần còn lại của kẻ tấn công là vấn đề kỹ thuật.
Hãy quay lại việc chọn nhà cung cấp dịch vụ lưu trữ. Để đánh giá lợi ích của dịch vụ đối với khách hàng, chúng tôi sẽ xem xét các phương pháp bảo vệ có thể chống lại các cuộc tấn công DDoS.
Cách nhà cung cấp dịch vụ lưu trữ xây dựng khả năng bảo vệ của mình
- Hệ thống bảo vệ riêng với thiết bị lọc (Hình 2).
Đòi hỏi:
1.1. Thiết bị lọc giao thông và giấy phép phần mềm;
1.2. Các chuyên gia toàn thời gian để hỗ trợ và vận hành;
1.3. Các kênh truy cập Internet đủ để nhận các cuộc tấn công;
1.4. Băng thông kênh trả trước đáng kể để nhận lưu lượng truy cập “rác”.
Hình 2. Hệ thống bảo mật riêng của nhà cung cấp dịch vụ lưu trữ
Nếu chúng ta coi hệ thống được mô tả là một phương tiện bảo vệ chống lại các cuộc tấn công DDoS hiện đại có tốc độ hàng trăm Gbps, thì hệ thống như vậy sẽ tốn rất nhiều tiền. Nhà cung cấp dịch vụ lưu trữ có được bảo vệ như vậy không? Anh ấy có sẵn sàng trả tiền cho lưu lượng truy cập “rác” không? Rõ ràng, mô hình kinh tế như vậy sẽ không mang lại lợi nhuận cho nhà cung cấp nếu biểu giá không quy định các khoản thanh toán bổ sung. - Proxy ngược (chỉ dành cho trang web và một số ứng dụng). Mặc dù có một số , nhà cung cấp không đảm bảo khả năng bảo vệ trước các cuộc tấn công DDoS trực tiếp (xem Hình 1). Các nhà cung cấp dịch vụ lưu trữ thường đưa ra giải pháp như thuốc chữa bách bệnh, chuyển trách nhiệm sang nhà cung cấp dịch vụ bảo mật.
- Dịch vụ của nhà cung cấp đám mây chuyên dụng (sử dụng mạng lọc của họ) để bảo vệ chống lại các cuộc tấn công DDoS ở tất cả các cấp độ OSI (Hình 3).
Hình 3. Bảo vệ toàn diện chống lại các cuộc tấn công DDoS bằng cách sử dụng nhà cung cấp chuyên dụng
giả định sự tích hợp sâu sắc và trình độ kỹ thuật cao của cả hai bên. Gia công dịch vụ lọc lưu lượng truy cập cho phép nhà cung cấp dịch vụ lưu trữ giảm giá các dịch vụ bổ sung cho khách hàng.
Quan trọng! Các đặc tính kỹ thuật của dịch vụ được cung cấp được mô tả càng chi tiết thì khả năng yêu cầu triển khai hoặc bồi thường trong trường hợp ngừng hoạt động càng lớn.
Ngoài ba phương pháp chính, còn có rất nhiều sự kết hợp và kết hợp. Khi chọn dịch vụ lưu trữ, điều quan trọng là khách hàng phải nhớ rằng quyết định sẽ không chỉ phụ thuộc vào quy mô của các cuộc tấn công bị chặn được đảm bảo và độ chính xác của bộ lọc mà còn phụ thuộc vào tốc độ phản hồi cũng như nội dung thông tin (danh sách các cuộc tấn công bị chặn, thống kê tổng hợp, v.v.).
Hãy nhớ rằng chỉ có một số nhà cung cấp dịch vụ lưu trữ trên thế giới có thể tự cung cấp mức độ bảo vệ có thể chấp nhận được; trong các trường hợp khác, sự hợp tác và kiến thức kỹ thuật sẽ giúp ích. Vì vậy, việc hiểu các nguyên tắc cơ bản của việc tổ chức bảo vệ chống lại các cuộc tấn công DDoS sẽ cho phép chủ sở hữu trang web không mắc phải các thủ đoạn tiếp thị và không mua phải “con lợn bị chọc ghẹo”.
Nguồn: www.habr.com