“创建我们网站的人已经设置了 DDoS 防护。”
“我们有 DDoS 防护,为什么网站瘫痪了?”
“Qrator 想要多少万?”
为了正确回答客户/老板的此类问题,最好了解“DDoS 防护”名称背后隐藏的内容。 选择安全服务更像是从医生那里选择药物,而不是在宜家选择桌子。
我为网站提供支持已有 11 年了,我所支持的服务遭受了数百次攻击,现在我将向您介绍一些有关保护的内部工作原理。
定期攻击。 总计 350k 请求,52k 合法请求
第一次攻击几乎与互联网同时出现。 自 2000 年代末以来,DDoS 作为一种现象已变得普遍(查看 ).
自 2015 年至 2016 年左右以来,几乎所有托管提供商都受到了 DDoS 攻击的保护,竞争领域中最著名的网站也是如此(通过网站 eldorado.ru、leroymerlin.ru、tilda.ws 的 IP 进行 whois,您将看到网络保护操作员)。
如果 10-20 年前,大多数攻击都可以在服务器本身上被击退(评估 Lenta.ru 系统管理员 Maxim Moshkov 90 年代的建议: ),但现在保护任务变得更加困难。
从选择防护运营商角度看DDoS攻击类型
L3/L4 级别的攻击(根据 OSI 模型)
— 来自僵尸网络的 UDP 洪水(许多请求直接从受感染的设备发送到受攻击的服务,服务器的通道被阻塞);
— DNS/NTP/等放大(许多请求从受感染的设备发送到易受攻击的 DNS/NTP/等,发送者的地址是伪造的,响应请求的数据包云淹没了被攻击者的通道;这就是最常见的方式现代互联网上发生大规模攻击);
— SYN/ACK 洪水(许多建立连接的请求被发送到被攻击的服务器,连接队列溢出);
— 数据包碎片攻击、死亡 ping、洪水 ping(请 Google 搜索);
- 等等。
这些攻击旨在“堵塞”服务器的通道或“杀死”其接受新流量的能力。
尽管 SYN/ACK 洪泛和放大有很大不同,但许多公司同样能很好地应对它们。 来自下一组的攻击会出现问题。
L7(应用层)攻击
— http 洪水(如果网站或某些 http api 受到攻击);
— 对网站易受攻击的区域(没有缓存、网站负载非常重的区域等)的攻击。
目标是让服务器“努力工作”,处理大量“看似真实的请求”,而没有资源来处理真正的请求。
尽管还有其他攻击,但这些是最常见的。
L7 级别的严重攻击是针对每个受到攻击的项目以独特的方式创建的。
为什么是2组?
因为有很多人知道如何在 L3 / L4 级别很好地抵御攻击,但要么根本没有在应用程序级别(L7)上采取保护措施,要么在处理这些攻击时仍然弱于替代方案。
DDoS 防护市场的名人录
(我个人的看法)
L3/L4级别的保护
为了抵御放大攻击(“阻塞”服务器通道),需要有足够宽的通道(许多保护服务连接到俄罗斯大多数大型骨干提供商,并且拥有理论容量超过1 Tbit的通道)。 不要忘记,非常罕见的放大攻击会持续超过一个小时。 如果你是 Spamhaus 并且每个人都不喜欢你,是的,他们可能会尝试关闭你的频道几天,甚至冒着正在使用的全球僵尸网络进一步生存的风险。 如果你只有一个在线商店,即使是 mvideo.ru,你也不会很快在几天内看到 1 Tbit(我希望)。
为了抵御SYN/ACK泛洪、数据包碎片等攻击,需要设备或软件系统来检测和阻止此类攻击。
很多人生产这样的设备(Arbor,有思科、华为的解决方案,Wanguard的软件实施等),许多骨干运营商已经安装了它并出售DDoS防护服务(我知道Rostelecom、Megafon、TTK、MTS的安装) ,事实上,所有主要提供商都对托管服务商采取同样的做法,并提供自己的保护(例如 OVH.com、Hetzner.de,我自己在 ihor.ru 也遇到过保护)。 一些公司正在开发自己的软件解决方案(像 DPDK 这样的技术允许您在一台物理 x86 机器上处理数十千兆位的流量)。
知名玩家中,大家都或多或少能够有效抵御L3/L4 DDoS。 现在我不会说谁的最大通道容量更大(这是内幕消息),但通常这并不是那么重要,唯一的区别是保护触发的速度有多快(立即或在项目停机几分钟后,如赫茨纳)。
问题是这做得有多好:可以通过阻止来自有害流量最多的国家的流量来击退放大攻击,或者只丢弃真正不必要的流量。
但与此同时,根据我的经验,所有严肃的市场参与者都能毫无问题地应对这一问题:Qrator、DDoS-Guard、卡巴斯基、G-Core Labs(以前称为 SkyParkCDN)、ServicePipe、Stormwall、Voxility 等。
我还没有遇到过 Rostelecom、Megafon、TTK、Beeline 等运营商的保护;根据同事的评论,他们提供的这些服务相当好,但到目前为止,缺乏经验正在周期性地影响:有时你需要通过支持来调整一些东西保护操作员的。
有些运营商有单独的服务“L3/L4级别的攻击防护”,或者“通道防护”;其成本比所有级别的防护要低得多。
为什么骨干提供商没有自己的通道,不能抵御数百Gbits的攻击?保护运营商可以连接到任何主要提供商并“以自身为代价”抵御攻击。 您必须为通道付费,但所有这数百 Gbit 并不总是会被利用;在这种情况下,有一些选项可以显着降低通道成本,因此该方案仍然可行。
这些是我在支持托管提供商的系统时定期从更高级别的 L3/L4 保护收到的报告。
L7级保护(应用级)
L7 级别(应用级别)的攻击能够持续有效地击退单位。
我有很多真实的经验
— Qrator.net;
— DDoS 防护;
- G-Core 实验室;
——卡巴斯基。
他们对每兆位的纯流量收费,一兆位的费用约为数千卢布。 如果您有至少 100 Mbps 的纯流量 - 哦。 保护将会非常昂贵。 我可以在下面的文章中告诉您如何设计应用程序以节省大量安全通道的容量。
真正的“山丘之王”是Qrator.net,其他的都落后于他们。 迄今为止,根据我的经验,Qrator 是唯一误报率接近于零的公司,但与此同时,它们的价格比其他市场参与者贵几倍。
其他运营商也提供优质稳定的保障。 我们支持的许多服务(包括国内非常知名的服务!)都受到DDoS-Guard、G-Core Labs的保护,并且对所获得的结果非常满意。
Qrator 击退的攻击
我也有与 cloud-shield.ru、ddosa.net 等小型安全运营商合作的经验,这些运营商有数千家。 我绝对不会推荐它,因为... 我没有太多经验,但我会告诉你他们的工作原理。 他们的保护成本通常比主要参与者低 1-2 个数量级。 通常,他们从较大的参与者之一购买部分保护服务(L3/L4)+自己针对更高级别的攻击进行保护。 这可能非常有效+您可以用更少的钱获得良好的服务,但这些仍然是小公司,员工很少,请记住这一点。
L7级别的攻击击退难度是多少?
所有应用程序都是独一无二的,您需要允许对它们有用的流量并阻止有害的流量。 明确清除机器人程序并不总是可能的,因此您必须使用很多很多程度的流量净化。
曾几何时,nginx-testcookie 模块就足够了(),还是足以击退大量攻击的。 当我在托管行业工作时,L7 保护是基于 nginx-testcookie 的。
不幸的是,攻击变得更加困难。 testcookie 使用基于 JS 的机器人检查,许多现代机器人都可以成功通过它们。
攻击僵尸网络也具有独特性,必须考虑每个大型僵尸网络的特点。
放大、来自僵尸网络的直接洪泛、过滤来自不同国家的流量(不同国家的过滤不同)、SYN/ACK 洪泛、数据包分段、ICMP、http 洪泛,而在应用程序/http 级别,您可以想出无限数量的不同的攻击。
总的来说,在通道保护级别,用于清除流量的专用设备、专用软件、每个客户端的附加过滤设置可以有数十个和数百个过滤级别。
为了正确管理这一点并正确调整不同用户的过滤设置,您需要大量的经验和合格的人员。 即使是决定提供保护服务的大型运营商也不能“愚蠢地花钱解决问题”:必须从谎言站点和合法流量的误报中获得经验。
对于安全操作员来说,没有“拒绝 DDoS”按钮;有大量的工具,您需要知道如何使用它们。
还有一个额外的例子。
未受保护的服务器在容量为 600 Mbit 的攻击期间被托管方阻止
(流量“损失”并不明显,因为只有1个站点受到攻击,暂时从服务器上删除,一小时内解除封锁)。
同一服务器受到保护。 经过一天的攻击被击退后,袭击者“投降”。 攻击本身并不是最强的。
L3/L4的攻击和防御比较琐碎,主要取决于通道的粗细、攻击的检测和过滤算法。
L7 攻击更加复杂和原始;它们取决于被攻击的应用程序、攻击者的能力和想象力。 防范它们需要大量的知识和经验,而且结果可能不会立竿见影,也不是百分百有效。 直到谷歌提出了另一种神经网络来进行保护。
来源: habr.com