“Ọkunrin ti o ṣe oju opo wẹẹbu wa ti ṣeto aabo DDoS tẹlẹ.”
"A ni aabo DDoS, kilode ti aaye naa fi lọ silẹ?"
"Egbegberun melo ni Qrator fẹ?"
Lati le dahun iru awọn ibeere bẹ daradara lati ọdọ alabara / oga, yoo dara lati mọ ohun ti o farapamọ lẹhin orukọ “Aabo DDoS”. Yiyan awọn iṣẹ aabo jẹ diẹ sii bi yiyan oogun lati ọdọ dokita ju yiyan tabili ni IKEA.
Mo ti ṣe atilẹyin awọn oju opo wẹẹbu fun ọdun 11, ti ye awọn ọgọọgọrun awọn ikọlu lori awọn iṣẹ ti Mo ṣe atilẹyin, ati ni bayi Emi yoo sọ fun ọ diẹ nipa awọn iṣẹ inu ti aabo.
Awọn ikọlu igbagbogbo. 350k req lapapọ, 52k req abẹ
Awọn ikọlu akọkọ han fere ni nigbakannaa pẹlu Intanẹẹti. DDoS gẹgẹbi iṣẹlẹ ti di ibigbogbo lati opin awọn ọdun 2000 (ṣayẹwo jade ).
Lati ọdun 2015-2016, o fẹrẹ jẹ pe gbogbo awọn olupese alejo gbigba ni aabo lati awọn ikọlu DDoS, bii awọn aaye olokiki julọ ni awọn agbegbe ifigagbaga (ṣe whois nipasẹ IP ti awọn aaye eldorado.ru, leroymerlin.ru, tilda.ws, iwọ yoo rii awọn nẹtiwọọki naa. ti awọn oniṣẹ aabo).
Ti awọn ọdun 10-20 sẹyin ọpọlọpọ awọn ikọlu le jẹ ifasilẹ lori olupin funrararẹ (ṣayẹwo awọn iṣeduro ti oluṣakoso eto Lenta.ru Maxim Moshkov lati awọn ọdun 90: ), ṣugbọn nisisiyi awọn iṣẹ-ṣiṣe aabo ti di nira sii.
Awọn oriṣi ti awọn ikọlu DDoS lati oju wiwo ti yiyan oniṣẹ aabo kan
Awọn ikọlu ni ipele L3/L4 (gẹgẹ bi awoṣe OSI)
- Ikun omi UDP lati botnet (ọpọlọpọ awọn ibeere ni a firanṣẹ taara lati awọn ẹrọ ti o ni ikolu si iṣẹ ti o kọlu, awọn olupin ti dina pẹlu ikanni);
- DNS / NTP / ati bẹbẹ lọ (ọpọlọpọ awọn ibeere ni a firanṣẹ lati awọn ẹrọ ti o ni ikolu si DNS / NTP / ati be be lo, adirẹsi ti olufiranṣẹ jẹ eke, awọsanma ti awọn apo-iwe ti o dahun si awọn ibeere ti iṣan omi ikanni ti eniyan ti o kọlu; eyi ni julọ julọ. awọn ikọlu nla ni a ṣe lori Intanẹẹti ode oni;
- iṣan omi SYN / ACK (ọpọlọpọ awọn ibeere lati fi idi asopọ kan ranṣẹ si awọn olupin ti o kọlu, ti isinyi asopọ pọ);
- awọn ikọlu pẹlu pipin apo, Pingi ti iku, iṣan omi ping (Google o jọwọ);
- ati bẹbẹ lọ.
Awọn ikọlu wọnyi ṣe ifọkansi lati “di” ikanni olupin tabi “pa” agbara rẹ lati gba ijabọ tuntun.
Botilẹjẹpe iṣan omi SYN/ACK ati imudara yatọ pupọ, ọpọlọpọ awọn ile-iṣẹ koju wọn daradara daradara. Awọn iṣoro dide pẹlu awọn ikọlu lati ẹgbẹ atẹle.
Awọn ikọlu lori L7 (Layer ohun elo)
- Ikun omi http (ti oju opo wẹẹbu kan tabi diẹ ninu http api ba kọlu);
- ikọlu lori awọn agbegbe ipalara ti aaye naa (awọn ti ko ni kaṣe kan, ti o ṣaja aaye naa pupọ, bbl).
Ibi-afẹde ni lati jẹ ki olupin naa “ṣiṣẹ takuntakun”, ṣe ilana pupọ ti “awọn ibeere ti o dabi ẹnipe gidi” ati fi silẹ laisi awọn orisun fun awọn ibeere gidi.
Botilẹjẹpe awọn ikọlu miiran wa, iwọnyi ni o wọpọ julọ.
Awọn ikọlu to ṣe pataki ni ipele L7 ni a ṣẹda ni ọna alailẹgbẹ fun iṣẹ akanṣe kọọkan.
Kini idi ti awọn ẹgbẹ 2?
Nitoripe ọpọlọpọ wa ti o mọ bi a ṣe le kọ ikọlu daradara ni ipele L3 / L4, ṣugbọn boya ko gba aabo ni ipele ohun elo (L7) rara, tabi tun jẹ alailagbara ju awọn omiiran ni ṣiṣe pẹlu wọn.
Tani tani ninu ọja aabo DDoS
(ero ti ara mi)
Idaabobo ni ipele L3/L4
Lati kọlu awọn ikọlu pẹlu ampilifaya (“idinaki” ti ikanni olupin), awọn ikanni jakejado wa (ọpọlọpọ awọn iṣẹ aabo ni asopọ si pupọ julọ awọn olupese ẹhin nla ni Russia ati ni awọn ikanni pẹlu agbara imọ-jinlẹ ti diẹ sii ju 1 Tbit). Maṣe gbagbe pe awọn ikọlu ampilifaya to ṣọwọn to gun ju wakati kan lọ. Ti o ba jẹ Spamhaus ati pe gbogbo eniyan ko fẹran rẹ, bẹẹni, wọn le gbiyanju lati pa awọn ikanni rẹ silẹ fun ọpọlọpọ awọn ọjọ, paapaa ni ewu ti iwalaaye siwaju sii ti botnet agbaye ti a lo. Ti o ba kan ni ile itaja ori ayelujara, paapaa ti o jẹ mvideo.ru, iwọ kii yoo rii 1 Tbit laarin awọn ọjọ diẹ laipẹ (Mo nireti).
Lati kọlu awọn ikọlu pẹlu iṣan omi SYN/ACK, pipin apo, ati bẹbẹ lọ, o nilo ohun elo tabi awọn ọna ṣiṣe sọfitiwia lati wa ati da iru awọn ikọlu duro.
Ọpọlọpọ awọn eniyan ṣe iru ẹrọ (Arbor, awọn iṣeduro wa lati Cisco, Huawei, awọn imuse software lati Wanguard, bbl), ọpọlọpọ awọn oniṣẹ ẹhin ti fi sii tẹlẹ ati ta awọn iṣẹ idaabobo DDoS (Mo mọ nipa awọn fifi sori ẹrọ lati Rostelecom, Megafon, TTK, MTS). , ni otitọ, gbogbo awọn olupese pataki ṣe kanna pẹlu awọn alejo pẹlu aabo ti ara wọn a-la OVH.com, Hetzner.de, Emi tikarami pade aabo ni ihor.ru). Diẹ ninu awọn ile-iṣẹ n ṣe agbekalẹ awọn solusan sọfitiwia tiwọn (awọn imọ-ẹrọ bii DPDK jẹ ki o ṣee ṣe lati ṣiṣẹ mewa ti gigabits ti ijabọ lori ẹrọ x86 ti ara kan).
Ninu awọn ẹrọ orin ti a mọ daradara, gbogbo eniyan le ja L3 / L4 DDoS diẹ sii tabi kere si ni imunadoko. Bayi Emi kii yoo sọ ẹniti o ni agbara ikanni ti o pọju ti o tobi julọ (eyi jẹ alaye inu), ṣugbọn nigbagbogbo eyi kii ṣe pataki, ati pe iyatọ nikan ni bii iyara aabo ti nfa (lẹsẹkẹsẹ tabi lẹhin iṣẹju diẹ ti akoko iṣẹ akanṣe, bi ninu Hetzner).
Ibeere naa ni bawo ni a ṣe ṣe daradara: ikọlu ampilifaya le jẹ ifasilẹ nipasẹ didi awọn ijabọ lati awọn orilẹ-ede ti o ni iye ti o tobi julọ ti ijabọ ipalara, tabi nikan ni ijabọ ti ko wulo ni otitọ le jẹ asonu.
Ṣugbọn ni akoko kanna, da lori iriri mi, gbogbo awọn oṣere ọja pataki koju eyi laisi awọn iṣoro: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (eyiti o jẹ SkyParkCDN tẹlẹ), ServicePipe, Stormwall, Voxility, bbl
Emi ko pade aabo lati ọdọ awọn oniṣẹ bii Rostelecom, Megafon, TTK, Beeline; ni ibamu si awọn atunyẹwo lati ọdọ awọn ẹlẹgbẹ wọn pese awọn iṣẹ wọnyi daradara, ṣugbọn titi di isisiyi aini iriri ti n kan lorekore: nigbami o nilo lati tweak nkankan nipasẹ atilẹyin ti oniṣẹ aabo.
Diẹ ninu awọn oniṣẹ ni iṣẹ lọtọ “idaabobo lodi si awọn ikọlu ni ipele L3/L4”, tabi “Idaabobo ikanni”; o din owo pupọ ju aabo lọ ni gbogbo awọn ipele.
Kilode ti olupese ẹhin ko ṣe kọlu awọn ikọlu ti awọn ọgọọgọrun ti Gbits, nitori ko ni awọn ikanni tirẹ?Oṣiṣẹ aabo le sopọ si eyikeyi awọn olupese pataki ati kọlu awọn ikọlu “ni inawo rẹ.” Iwọ yoo ni lati sanwo fun ikanni naa, ṣugbọn gbogbo awọn ọgọọgọrun ti Gbits wọnyi kii yoo lo nigbagbogbo; awọn aṣayan wa lati dinku idiyele awọn ikanni ni pataki ninu ọran yii, nitorinaa ero naa wa ṣiṣiṣẹ.
Iwọnyi ni awọn ijabọ ti Mo gba nigbagbogbo lati aabo L3/L4 ipele giga lakoko ti n ṣe atilẹyin awọn eto olupese olupese.
Idaabobo ni ipele L7 (ipele ohun elo)
Awọn ikọlu ni ipele L7 (ipele ohun elo) ni anfani lati kọ awọn sipo pada nigbagbogbo ati daradara.
Mo ni oyimbo kan pupo ti gidi iriri pẹlu
- Qrator.net;
- DDoS-Ẹṣọ;
- G-Core Labs;
- Kaspersky.
Wọn gba agbara fun megabit kọọkan ti ijabọ mimọ, megabit kan jẹ nipa ọpọlọpọ ẹgbẹrun rubles. Ti o ba ni o kere ju 100 Mbps ti ijabọ mimọ - oh. Idaabobo yoo jẹ gidigidi gbowolori. Mo le sọ fun ọ ninu awọn nkan atẹle bi o ṣe le ṣe apẹrẹ awọn ohun elo lati le fipamọ pupọ lori agbara awọn ikanni aabo.
Awọn gidi "ọba oke" ni Qrator.net, awọn iyokù aisun lẹhin wọn. Qrator jẹ eyiti o jẹ nikan ni iriri mi ti o fun ipin ogorun awọn idaniloju eke ti o sunmọ odo, ṣugbọn ni akoko kanna wọn jẹ ọpọlọpọ igba diẹ gbowolori ju awọn oṣere ọja miiran lọ.
Awọn oniṣẹ miiran tun pese aabo to gaju ati iduroṣinṣin. Ọpọlọpọ awọn iṣẹ ti a ṣe atilẹyin nipasẹ wa (pẹlu awọn ti a mọ daradara ni orilẹ-ede naa!) Ni aabo lati DDoS-Guard, G-Core Labs, ati pe o ni itẹlọrun pupọ pẹlu awọn abajade ti o gba.
Awọn ikọlu ti a kọ nipasẹ Qrator
Mo tun ni iriri pẹlu awọn oniṣẹ aabo kekere bi cloud-shield.ru, ddosa.net, egbegberun wọn. Emi kii yoo ṣeduro rẹ dajudaju, nitori… Emi ko ni iriri pupọ, ṣugbọn Emi yoo sọ fun ọ nipa awọn ilana ti iṣẹ wọn. Iye owo aabo wọn nigbagbogbo jẹ awọn aṣẹ titobi 1-2 kere ju ti awọn oṣere pataki lọ. Gẹgẹbi ofin, wọn ra iṣẹ aabo apa kan (L3 / L4) lati ọkan ninu awọn oṣere nla + ṣe aabo tiwọn si awọn ikọlu ni awọn ipele giga. Eyi le jẹ doko gidi + o le gba iṣẹ to dara fun owo ti o dinku, ṣugbọn awọn wọnyi tun jẹ awọn ile-iṣẹ kekere pẹlu oṣiṣẹ kekere, jọwọ fi iyẹn si ọkan.
Kini iṣoro ti awọn ikọlu ikọlu ni ipele L7?
Gbogbo awọn ohun elo jẹ alailẹgbẹ, ati pe o nilo lati gba awọn ijabọ ti o wulo fun wọn ati dènà awọn ipalara. Ko ṣee ṣe nigbagbogbo lati yọ awọn botilẹnti kuro lainidii, nitorinaa o ni lati lo ọpọlọpọ, nitootọ awọn iwọn pupọ ti iwẹnumọ ijabọ.
Ni ẹẹkan, module nginx-testcookie ti to (), ati awọn ti o jẹ ṣi to lati repel kan ti o tobi nọmba ti ku. Nigbati mo ṣiṣẹ ni ile-iṣẹ alejo gbigba, aabo L7 da lori nginx-testcookie.
Laanu, awọn ikọlu ti di nira sii. testcookie nlo awọn sọwedowo bot ti o da lori JS, ati ọpọlọpọ awọn bot ode oni le kọja wọn ni aṣeyọri.
Awọn botnets ikọlu tun jẹ alailẹgbẹ, ati awọn abuda ti botnet nla kọọkan gbọdọ jẹ akiyesi.
Imudara, iṣan omi taara lati botnet kan, sisẹ ijabọ lati awọn orilẹ-ede oriṣiriṣi (sisẹ oriṣiriṣi fun awọn orilẹ-ede oriṣiriṣi), iṣan omi SYN / ACK, ipin packet, ICMP, iṣan omi http, lakoko ti ohun elo / ipele http o le wa pẹlu nọmba ailopin ti o yatọ si ku.
Ni apapọ, ni ipele ti aabo ikanni, ohun elo amọja fun imukuro ijabọ, sọfitiwia pataki, awọn eto sisẹ afikun fun alabara kọọkan le jẹ awọn mewa ati awọn ọgọọgọrun ti awọn ipele sisẹ.
Lati ṣakoso eyi daradara ati ṣatunṣe awọn eto sisẹ deede fun awọn olumulo oriṣiriṣi, o nilo iriri pupọ ati oṣiṣẹ to peye. Paapaa oniṣẹ nla kan ti o ti pinnu lati pese awọn iṣẹ aabo ko le “fi aṣiwère jabọ owo si iṣoro naa”: iriri yoo ni lati ni anfani lati awọn aaye eke ati awọn idaniloju eke lori ijabọ ẹtọ.
Ko si bọtini “repel DDoS” fun oniṣẹ aabo; nọmba nla ti awọn irinṣẹ wa, ati pe o nilo lati mọ bi o ṣe le lo wọn.
Ati ọkan diẹ ajeseku apẹẹrẹ.
Olupin ti ko ni aabo ti dinamọ nipasẹ olupolowo lakoko ikọlu pẹlu agbara 600 Mbit
("Ipadanu" ti ijabọ ko ṣe akiyesi, nitori pe aaye 1 nikan ni a kolu, o ti yọ kuro fun igba diẹ lati olupin naa ati pe idinamọ ti gbe soke laarin wakati kan).
Olupin kanna ni aabo. Awọn ikọlu naa “fi silẹ” lẹhin ọjọ kan ti awọn ikọlu ikọlu. Ikọlu funrararẹ kii ṣe alagbara julọ.
Ikọlu ati aabo ti L3/L4 jẹ diẹ sii bintin; wọn da lori sisanra ti awọn ikanni, wiwa ati sisẹ awọn algoridimu fun awọn ikọlu.
Awọn ikọlu L7 jẹ eka sii ati atilẹba; wọn dale lori ohun elo ti o kọlu, awọn agbara ati oju inu ti awọn ikọlu. Idaabobo lodi si wọn nilo imọ ati iriri pupọ, ati pe abajade le ma jẹ lẹsẹkẹsẹ ati kii ṣe ọgọrun kan. Titi Google fi wa pẹlu nẹtiwọọki nkankikan miiran fun aabo.
orisun: www.habr.com