2020 年前两个季度,DDoS 攻击数量几乎增加了两倍,其中 65% 是“负载测试”的原始尝试,可轻松“禁用”小型在线商店、论坛、博客和媒体等无防御能力的网站。
如何选择受 DDoS 保护的主机? 应该注意什么、准备什么,以免陷入不愉快的境地?
(内部打预防“灰色”营销的疫苗)
用于执行 DDoS 攻击的工具的可用性和多样性迫使在线服务的所有者采取适当的措施来应对威胁。 您应该在选择放置站点(托管提供商或数据中心)的阶段就考虑 DDoS 防护,而不是在第一次失败之后,甚至不将其作为提高基础设施容错能力的一系列措施的一部分。
DDoS 攻击根据其漏洞被利用到开放系统互连 (OSI) 模型级别的协议进行分类:
- 通道(L2),
- 网络(L3),
- 运输(L4),
- 应用(L7)。
从安全系统的角度来看,它们可以概括为两类:基础设施级攻击(L2-L4)和应用程序级攻击(L7)。 这是由于流量分析算法的执行顺序和计算复杂性造成的:我们对 IP 数据包的研究越深入,需要的计算能力就越强。
一般来说,实时处理流量时优化计算的问题是单独系列文章的主题。 现在让我们想象一下,有一些云提供商拥有有条件的无限计算资源,可以保护站点免受应用程序级攻击(包括 ).
确定主机抵御 DDoS 攻击的安全程度的 3 个主要问题
让我们看一下针对 DDoS 攻击的服务条款以及托管提供商的服务级别协议 (SLA)。 它们是否包含以下问题的答案:
- 服务提供商规定了哪些技术限制??
- 当客户超出限制时会发生什么?
- 托管提供商如何构建针对 DDoS 攻击的保护(技术、解决方案、供应商)?
如果您还没有找到此信息,那么您需要考虑服务提供商的严重性,或者自行组织基本的 DDoS 防护 (L3-4)。 例如,订购与专业安全提供商网络的物理连接。
重要的信息! 如果您的托管提供商无法提供针对基础设施级攻击的保护,那么使用反向代理提供针对应用程序级攻击的保护是没有意义的:网络设备将过载并变得不可用,包括云提供商的代理服务器(图1)。
图 1. 对托管提供商网络的直接攻击
不要让他们试图告诉你童话故事,服务器的真实IP地址隐藏在安全提供商的云后面,这意味着不可能直接攻击它。 在十分之九的情况下,攻击者不难找到服务器的真实 IP 地址或至少是托管提供商的网络,以便“摧毁”整个数据中心。
黑客如何寻找真实 IP 地址
下面剧透的是几种查找真实 IP 地址的方法(仅供参考)。
方法一:开源搜索
您可以使用在线服务开始搜索:它搜索暗网、文档共享平台、处理 Whois 数据、公共数据泄露和许多其他来源。
如果根据一些迹象(HTTP 标头、Whois 数据等)可以确定该网站的保护是使用 Cloudflare 组织的,那么您可以开始从以下位置搜索真实 IP:,其中包含位于 Cloudflare 后面的站点的约 3 万个 IP 地址。
使用 SSL 证书和服务 您可以找到很多有用的信息,包括该网站的真实IP地址。 要生成资源请求,请转到“证书”选项卡并输入:
_parsed.names:名称站点和tags.raw:可信
要使用 SSL 证书搜索服务器的 IP 地址,您必须使用多种工具手动浏览下拉列表(“浏览”选项卡,然后选择“IPv4 主机”)。
方法二:DNS
搜索 DNS 记录更改的历史记录是一种古老且行之有效的方法。 站点以前的 IP 地址可以清楚地表明它位于哪个主机(或数据中心)。 在易用性方面的在线服务中,以下内容脱颖而出: и .
当您更改设置时,站点不会立即使用云安全提供商或 CDN 的 IP 地址,而是会直接工作一段时间。 在这种情况下,用于存储 IP 地址更改历史的在线服务可能包含有关站点源地址的信息。
如果只有旧 DNS 服务器的名称,则可以使用特殊实用程序(dig、host 或 nslookup)通过站点的域名请求 IP 地址,例如:
_dig @old_dns_server_name 名称сайта
方法三:电子邮件
该方法的想法是使用反馈/注册表单(或允许您发起发送信件的任何其他方法)来接收一封发送到您的电子邮件的信件并检查标题,特别是“已接收”字段。
电子邮件标头通常包含 MX 记录(电子邮件交换服务器)的实际 IP 地址,这可以作为查找目标上其他服务器的起点。
搜索自动化工具
Cloudflare 盾背后的 IP 搜索软件通常用于三个任务:
- 使用 DNSDumpster.com 扫描 DNS 错误配置;
- Crimeflare.com 数据库扫描;
- 使用字典搜索方法搜索子域。
查找子域通常是这三个选项中最有效的选择 - 站点所有者可以保护主站点并让子域直接运行。 最简单的检查方法是使用 .
此外,还有一些实用程序仅设计用于使用字典搜索和开源搜索来搜索子域,例如: или .
搜索在实践中是如何发生的
例如,我们以使用 Cloudflare 的网站 seo.com 为例,我们会发现该网站使用了知名服务 (允许您确定网站运行的技术/引擎/CMS,反之亦然 - 按所使用的技术搜索网站)。
当您单击“IPv4 主机”选项卡时,该服务将显示使用该证书的主机列表。 要找到您需要的站点,请查找开放端口 443 的 IP 地址。如果它重定向到所需的站点,则任务完成,否则您需要将站点的域名添加到“Host”标头中HTTP 请求(例如,*curl -H "Host: site_name" *).
在我们的例子中,在 Censys 数据库中的搜索没有给出任何结果,所以我们继续。
我们将通过该服务执行 DNS 搜索.
通过使用 CloudFail 实用程序搜索 DNS 服务器列表中提到的地址,我们找到了工作资源。 结果将在几秒钟内准备好。
仅使用开放数据和简单工具,我们就确定了 Web 服务器的真实 IP 地址。 对于攻击者来说,剩下的就是技术问题了。
让我们回到选择托管提供商。 为了评估该服务给客户带来的好处,我们将考虑可能的防御 DDoS 攻击的方法。
托管提供商如何构建保护
- 带有过滤设备的自身保护系统(图2)。
要求:
1.1. 流量过滤设备和软件许可证;
1.2. 专职专家为其提供支持和运营;
1.3. 足以接收攻击的互联网访问通道;
1.4. 用于接收“垃圾”流量的大量预付费通道带宽。
图 2. 托管提供商自己的安全系统
如果我们将所描述的系统视为抵御数百 Gbps 的现代 DDoS 攻击的一种手段,那么这样的系统将花费大量资金。 托管服务提供商有这样的保护吗? 他准备好为“垃圾”流量买单了吗? 显然,如果关税不提供额外付款,这种经济模式对于提供商来说是无利可图的。 - 反向代理(仅适用于网站和某些应用程序)。 尽管有一些 ,供应商不保证免受直接 DDoS 攻击(见图 1)。 托管提供商通常会提供这样的解决方案作为万能药,将责任转移给安全提供商。
- 专业云提供商的服务(使用其过滤网络)可防止所有 OSI 级别的 DDoS 攻击(图 3)。
图 3. 使用专业提供商全面防御 DDoS 攻击
双方深度融合,技术水平高。 外包流量过滤服务使托管提供商能够降低客户附加服务的价格。
重要的信息! 所提供服务的技术特征描述得越详细,要求实施或在停机时进行补偿的机会就越大。
除了三种主要方法外,还有很多组合和组合。 在选择托管时,客户必须记住这一决定不仅取决于保证阻止的攻击的规模和过滤精度,还取决于响应速度以及信息内容(阻止的攻击列表、一般统计等)。
请记住,世界上只有少数托管提供商能够自行提供可接受的保护水平;在其他情况下,合作和技术素养会有所帮助。 因此,了解组织防御 DDoS 攻击的基本原则将使网站所有者不会落入营销伎俩,也不会买“捅了一刀”。
来源: habr.com