2020 年前兩個季度,DDoS 攻擊的數量幾乎增加了兩倍,其中65% 是「負載測試」的原始嘗試,可輕鬆「禁用」小型線上商店、論壇、部落格和媒體機構等毫無防禦能力的網站。
如何選擇受 DDoS 保護的主機? 該注意什麼、準備什麼,以免陷入不愉快的境地?
(內部打預防「灰色」行銷的疫苗)
用於執行 DDoS 攻擊的工具的可用性和多樣性迫使線上服務的所有者採取適當的措施來應對威脅。 您應該在選擇放置網站(託管提供者或資料中心)的階段就考慮 DDoS 防護,而不是在第一次失敗之後,甚至不將其作為提高基礎設施容錯能力的一系列措施的一部分。
DDoS 攻擊根據其漏洞被利用到開放系統互連 (OSI) 模型層級的協定進行分類:
- 通道(L2),
- 網路(L3),
- 運輸(L4),
- 應用(L7)。
從安全系統的角度來看,它們可以概括為兩類:基礎設施級攻擊(L2-L4)和應用程式級攻擊(L7)。 這是由於流量分析演算法的執行順序和計算複雜性所造成的:我們對 IP 封包的研究越深入,需要的運算能力就越強。
一般來說,即時處理流量時最佳化計算的問題是單獨系列文章的主題。 現在讓我們想像一下,有一些雲端供應商擁有有條件的無限運算資源,可以保護網站免受應用程式級攻擊(包括
確定 DDoS 攻擊的主機安全程度的 3 個主要問題
讓我們來看看針對 DDoS 攻擊的服務條款以及託管提供者的服務等級協定 (SLA)。 它們是否包含以下問題的答案:
- 服務提供者規定了哪些技術限制??
- 當客戶超出限制時會發生什麼?
- 託管提供者如何建構針對 DDoS 攻擊的保護(技術、解決方案、供應商)?
如果您還沒有找到此訊息,那麼您需要考慮服務提供者的嚴重性,或者自行組織基本的 DDoS 防護 (L3-4)。 例如,訂購與專業安全提供者網路的實體連接。
重要的信息! 如果您的託管提供者無法提供對基礎設施級攻擊的保護,那麼使用反向代理提供針對應用程式級攻擊的保護是沒有意義的:網路設備將過載並變得不可用,包括雲端提供者的代理伺服器(圖1).
圖 1. 對託管提供者網路的直接攻擊
不要讓他們試圖告訴你童話故事,伺服器的真實IP位址隱藏在安全提供者的雲端後面,這意味著不可能直接攻擊它。 在十分之九的情況下,攻擊者不難找到伺服器的真實 IP 位址或至少是託管提供者的網絡,以便「摧毀」整個資料中心。
駭客如何尋找真實 IP 位址
以下劇透的是幾種尋找真實 IP 位址的方法(僅供參考)。
方法一:開源搜尋
您可以使用線上服務開始搜尋
如果根據一些跡象(HTTP 標頭、Whois 資料等)可以確定網站的保護是使用 Cloudflare 組織的,那麼您可以開始從以下位置搜尋真實 IP:
使用 SSL 憑證和服務
_parsed.names:名稱站點和tags.raw:可信
若要使用 SSL 憑證搜尋伺服器的 IP 位址,您必須使用多種工具手動瀏覽下拉清單(「瀏覽」選項卡,然後選擇「IPv4 主機」)。
方法二:DNS
搜尋 DNS 記錄變更的歷史記錄是一種古老且行之有效的方法。 站點先前的 IP 位址可以清楚地表明它位於哪個主機(或資料中心)。 在易用性方面的線上服務中,以下內容脫穎而出:
當您變更設定時,網站不會立即使用雲端安全供應商或 CDN 的 IP 位址,而是直接工作一段時間。 在這種情況下,用於儲存 IP 位址變更歷史的線上服務可能包含有關網站來源位址的資訊。
如果只有舊 DNS 伺服器的名稱,則可以使用特殊實用程式(dig、host 或 nslookup)透過網站的網域名稱請求 IP 位址,例如:
_dig @old_dns_server_name 名稱сайта
方法三:電子郵件
該方法的想法是使用反饋/註冊表單(或允許您發起發送信件的任何其他方法)來接收一封發送到您的電子郵件的信件並檢查標題,特別是「已接收」欄位。
電子郵件標頭通常包含 MX 記錄(電子郵件交換伺服器)的實際 IP 位址,這可以作為查找目標上其他伺服器的起點。
搜尋自動化工具
Cloudflare 盾背後的 IP 搜尋軟體通常用於三個任務:
- 使用 DNSDumpster.com 掃描 DNS 錯誤配置;
- Crimeflare.com 資料庫掃描;
- 使用字典搜尋方法搜尋子網域。
尋找子網域通常是這三個選項中最有效的選擇 - 網站擁有者可以保護主網站並讓子網域直接運作。 最簡單的檢查方法是使用
此外,還有一些實用程式僅設計用於使用字典搜尋和開源搜尋來搜尋子網域,例如:
搜尋在實踐中是如何發生的
例如,我們以使用 Cloudflare 的網站 seo.com 為例,我們會發現網站使用了知名服務
當您按一下「IPv4 主機」標籤時,該服務將顯示使用該憑證的主機清單。 要找到您需要的站點,請尋找開放連接埠 443 的 IP 位址。如果它會重新導向到所需的站點,則任務完成,否則您需要將站點的網域新增至「Host」標頭中HTTP 請求(例如, *curl -H "Host: site_name" *
在我們的例子中,在 Censys 資料庫中的搜尋沒有給出任何結果,所以我們繼續。
我們將透過該服務執行 DNS 搜索
透過使用 CloudFail 實用程式搜尋 DNS 伺服器清單中提到的位址,我們找到了工作資源。 結果將在幾秒鐘內準備好。
僅使用開放資料和簡單工具,我們就確定了 Web 伺服器的真實 IP 位址。 對攻擊者來說,剩下的就是技術問題了。
讓我們回到選擇託管提供者。 為了評估該服務為客戶帶來的好處,我們將考慮可能的防禦 DDoS 攻擊的方法。
託管提供者如何建構保護
- 帶有過濾設備的自身保護系統(圖2)。
要求:
1.1. 流量過濾設備和軟體許可證;
1.2. 專職專家為其提供支援和營運;
1.3. 足以接收攻擊的網路存取通道;
1.4. 用於接收「垃圾」流量的大量預付費通道頻寬。
圖 2. 託管提供者自己的安全系統
如果我們將所描述的系統視為抵禦數百 Gbps 的現代 DDoS 攻擊的一種手段,那麼這樣的系統將花費大量資金。 託管服務提供者有這樣的保護嗎? 他準備好為「垃圾」流量買單了嗎? 顯然,如果關稅不提供額外付款,這種經濟模式對於提供者來說是無利可圖的。 - 反向代理(僅適用於網站和某些應用程式)。 儘管有一些
好處 ,供應商不保證免受直接 DDoS 攻擊(見圖 1)。 託管提供者通常會提供這樣的解決方案作為萬能藥,將責任轉移給安全提供者。 - 專業雲端供應商的服務(使用其過濾網路)可防止所有 OSI 等級的 DDoS 攻擊(圖 3)。
圖 3. 使用專業提供者全面防禦 DDoS 攻擊
解決方法 雙方深度融合,技術水準高。 外包流量過濾服務使託管提供者能夠降低客戶附加服務的價格。
重要的信息! 所提供服務的技術特徵描述得越詳細,要求實施或在停機時進行補償的機會就越大。
除了三種主要方法外,還有很多組合和組合。 在選擇託管時,客戶必須記住這一決定不僅取決於保證阻止的攻擊的規模和過濾精度,還取決於響應速度以及資訊內容(阻止的攻擊清單、一般統計等)。
請記住,世界上只有少數主機供應商能夠自行提供可接受的保護等級;在其他情況下,合作和技術素養會有所幫助。 因此,了解組織防禦 DDoS 攻擊的基本原則將使網站所有者不會落入行銷伎倆,也不會買「捅了一刀」。
來源: www.habr.com