“創建我們網站的人已經設置了 DDoS 防護。”
“我們有 DDoS 防護,為什麼網站癱瘓了?”
“Qrator 想要多少萬?”
為了正確回答客戶/老闆的此類問題,最好了解「DDoS 防護」名稱背後隱藏的內容。 選擇安全服務更像是從醫生那裡選擇藥物,而不是在宜家選擇桌子。
我為網站提供支援已有 11 年了,我所支援的服務遭受了數百次攻擊,現在我將向您介紹一些有關保護的內部工作原理。
定期攻擊。 總計 350k 請求,52k 合法請求
第一次攻擊幾乎與網路同時出現。 自 2000 年代末以來,DDoS 作為一種現像已變得普遍(查看 ).
自2015 年至2016 年左右以來,幾乎所有託管提供者都受到了DDoS 攻擊的保護,競爭領域中最著名的網站也是如此(透過網站eldorado.ru、leroymerlin.ru、tilda.ws 的IP 進行whois,您將看到網路保護操作員)。
如果 10-20 年前,大多數攻擊都可以在伺服器本身上被擊退(評估 Lenta.ru 系統管理員 Maxim Moshkov 90 年代的建議: ),但現在保護任務變得更加困難。
從選擇防護運營商角度看DDoS攻擊類型
L3/L4 等級的攻擊(根據 OSI 模型)
— 來自殭屍網路的 UDP 洪水(許多請求直接從受感染的裝置發送到受攻擊的服務,伺服器的通道被阻塞);
— DNS/NTP/等放大(許多請求從受感染的設備發送到易受攻擊的DNS/NTP/等,發送者的地址是偽造的,響應請求的數據包雲淹沒了被攻擊者的通道;這是最常見的方式在現代網路上發生大規模攻擊);
— SYN/ACK 洪水(許多建立連線的請求被傳送到被攻擊的伺服器,連線佇列溢出);
— 封包碎片攻擊、死亡 ping、洪水 ping(請 Google 搜尋);
- 等等。
這些攻擊旨在「堵塞」伺服器的通道或「殺死」其接受新流量的能力。
儘管 SYN/ACK 洪氾和放大有很大不同,但許多公司同樣能很好地應對它們。 來自下一組的攻擊會出現問題。
L7(應用層)攻擊
— http 洪水(如果網站或某些 http api 受到攻擊);
— 對網站易受攻擊的區域(沒有快取、網站負載非常重的區域等)的攻擊。
目標是讓伺服器“努力工作”,處理大量“看似真實的請求”,而沒有資源來處理真正的請求。
儘管還有其他攻擊,但這些是最常見的。
L7 等級的嚴重攻擊是針對每個受到攻擊的項目以獨特的方式創建的。
為什麼是2組?
因為有很多人知道如何在 L3 / L4 級別很好地抵禦攻擊,但要么根本沒有在應用程式級別(L7)上採取保護措施,要么在處理這些攻擊時仍然弱於替代方案。
DDoS 防護市場的名人錄
(我個人的看法)
L3/L4等級的保護
為了抵禦放大攻擊(「阻塞」伺服器通道),需要有足夠寬的通道(許多保護服務連接到俄羅斯大多數大型骨幹供應商,並且擁有理論容量超過1 Tbit的通道)。 不要忘記,非常罕見的放大攻擊會持續超過一個小時。 如果你是 Spamhaus 並且每個人都不喜歡你,是的,他們可能會嘗試關閉你的頻道幾天,甚至冒著正在使用的全球殭屍網路進一步生存的風險。 如果你只有一個線上商店,即使是 mvideo.ru,你也不會很快在幾天內看到 1 Tbit(我希望)。
為了抵禦SYN/ACK泛洪、封包碎片等攻擊,需要裝置或軟體系統來偵測和阻止此類攻擊。
很多人生產這樣的設備(Arbor,有思科、華為的解決方案,Wanguard的軟體實施等),許多骨幹業者已經安裝了它並出售DDoS防護服務(我知道Rostelecom、Megafon、TTK、MTS的安裝) ,事實上,所有主要提供者都對託管服務商採取同樣的做法,並提供自己的保護(例如OVH.com、Hetzner.de,我自己在ihor.ru 也遇到過保護)。 一些公司正在開發自己的軟體解決方案(像 DPDK 這樣的技術允許您在一台實體 x86 機器上處理數十千兆位元的流量)。
知名玩家中,大家或多或少都能夠有效抵禦L3/L4 DDoS。 現在我不會說誰的最大通道容量更大(這是內幕消息),但通常這並不是那麼重要,唯一的區別是保護觸發的速度有多快(立即或在項目停機幾分鐘後,如赫茨納)。
問題是這做得有多好:可以透過阻止來自有害流量最多的國家的流量來擊退放大攻擊,或只丟棄真正不必要的流量。
但同時,根據我的經驗,所有嚴肅的市場參與者都能毫無問題地應對這個問題:Qrator、DDoS-Guard、卡巴斯基、G-Core Labs(以前稱為SkyParkCDN)、ServicePipe、 Stormwall、Voxility 等。
我還沒有遇到過Rostelecom、Megafon、TTK、Beeline 等運營商的保護;根據同事的評論,他們提供的這些服務相當好,但到目前為止,缺乏經驗正在周期性地影響:有時你需要透過支持來調整一些東西保護操作員的。
有些業者有單獨的服務“L3/L4等級的攻擊防護”,或“通道防護”;其成本比所有等級的防護要低得多。
為什麼骨幹提供者沒有自己的通道,不能抵禦數百Gbits的攻擊?保護運營商可以連接到任何主要提供者並「以自身為代價」抵禦攻擊。 您必須為通道付費,但所有數百 Gbit 並不總是會被利用;在這種情況下,有一些選項可以顯著降低通道成本,因此該方案仍然可行。
這些是我在支援託管提供者的系統時定期從更高級別的 L3/L4 保護收到的報告。
L7級保護(應用級)
L7 等級(應用等級)的攻擊能夠持續有效地擊退單位。
我有很多真實的經驗
— Qrator.net;
— DDoS 防護;
- G-Core 實驗室;
——卡巴斯基。
他們對每兆位元的純流量收費,一兆位元的費用約為數千盧布。 如果您有至少 100 Mbps 的純流量 - 哦。 保護將會非常昂貴。 我可以在下面的文章中告訴您如何設計應用程式以節省大量安全通道的容量。
真正的「山丘之王」是Qrator.net,其他的都落後於他們。 到目前為止,根據我的經驗,Qrator 是唯一誤報率接近零的公司,但同時,它們的價格比其他市場參與者貴幾倍。
其他業者也提供優質穩定的保障。 我們支援的許多服務(包括國內非常知名的服務!)都受到DDoS-Guard、G-Core Labs的保護,並且對所獲得的結果非常滿意。
Qrator 擊退的攻擊
我也有與 cloud-shield.ru、ddosa.net 等小型安全業者合作的經驗,這些業者有數千家。 我絕對不會推薦它,因為... 我沒有太多經驗,但我會告訴你他們的工作原理。 他們的保護成本通常比主要參與者低 1-2 個數量級。 通常,他們會從較大的參與者之一購買部分保護服務(L3/L4)+自己針對更高級別的攻擊進行保護。 這可能非常有效+您可以用更少的錢獲得良好的服務,但這些仍然是小公司,員工很少,請記住這一點。
L7等級的攻擊擊退難度是多少?
所有應用程式都是獨一無二的,您需要允許對它們有用的流量並阻止有害的流量。 明確清除機器人程式並不總是可能的,因此您必須使用很多很多程度的流量淨化。
曾幾何時,nginx-testcookie 模組就足夠了(),還是足以擊退大量的攻擊。 當我在託管行業工作時,L7 保護是基於 nginx-testcookie 的。
不幸的是,攻擊變得更加困難。 testcookie 使用基於 JS 的機器人檢查,許多現代機器人都可以成功通過它們。
攻擊殭屍網路也具有獨特性,必須考慮每個大型殭屍網路的特性。
放大、來自殭屍網路的直接洪氾、過濾來自不同國家的流量(不同國家的過濾不同)、SYN/ACK 洪氾、資料包分段、ICMP、http 洪氾,而在應用程式/http 級別,您可以想出無限數量的不同的攻擊。
總的來說,在通道保護級別,用於清除流量的專用設備、專用軟體、每個客戶端的附加過濾設定可以有數十個和數百個過濾級別。
為了正確管理這一點並正確調整不同使用者的過濾設置,您需要大量的經驗和合格的人員。 即使是決定提供保護服務的大型營運商也不能「愚蠢地花錢解決問題」:必須從謊言站點和合法流量的誤報中獲得經驗。
對於安全操作員來說,沒有「拒絕 DDoS」按鈕;有大量的工具,您需要知道如何使用它們。
還有一個額外的例子。
未受保護的伺服器在容量為 600 Mbit 的攻擊期間被託管方阻止
(流量「損失」並不明顯,因為只有1個網站受到攻擊,暫時從伺服器上刪除,一小時內解除封鎖)。
同一台伺服器受到保護。 經過一天的攻擊被擊退後,襲擊者「投降」。 攻擊本身並不是最強的。
L3/L4的攻擊和防禦較為瑣碎,主要取決於通道的粗細、攻擊的偵測和過濾演算法。
L7 攻擊更加複雜和原始;它們取決於被攻擊的應用程式、攻擊者的能力和想像。 防範它們需要大量的知識和經驗,結果可能不會立竿見影,也不是百分之百有效。 直到Google提出了另一種神經網路來進行保護。
來源: www.habr.com