1. Огляд сервісу StormWall для захисту від DDoS-атак Вступ Функціональні можливості StormWall Варіанти...
2. Функціональні можливості StormWall
3. Варіанти підключення сервісу StormWall
5. Тестування сервісу StormWall
6. Робота з особистим кабінетом
7. вкладка Home
8. вкладка Protection
9. вкладка Caching
10. Налаштування фільтру HTTPS
11. технічна підтримка
12. Тестові DDoS-атаки на сайт
13. Атака TCP SYN Flood
14. Атака Distributed HTTP Flood
15. Висновки
16. Огляд сервісу StormWall для захисту від DDoS-атак
17. Вступ
18. Функціональні можливості StormWall
19. Варіанти підключення сервісу StormWall
21. Тестування сервісу StormWall
22. Робота з особистим кабінетом
23. вкладка Home
24. вкладка Protection
25. вкладка Caching
26. Налаштування фільтру HTTPS
27. технічна підтримка
28. Тестові DDoS-атаки на сайт
29. Атака TCP SYN Flood
30. Атака Distributed HTTP Flood
31. Висновки
32. Огляд сервісу StormWall для захисту від DDoS-атак
33. Вступ
34. Функціональні можливості StormWall
35. Варіанти підключення сервісу StormWall
37. Тестування сервісу StormWall
38. Робота з особистим кабінетом
39. вкладка Home
40. вкладка Protection
41. вкладка Caching
42. Налаштування фільтру HTTPS
43. Технічна підтримка
44. Тестові DDoS-атаки на сайт
45. Атака TCP SYN Flood
46. Атака Distributed HTTP Flood
47. висновки
48. Огляд сервісу StormWall для захисту від DDoS-атак
49. Вступ
50. Функціональні можливості StormWall
51. Варіанти підключення сервісу StormWall
53. Тестування сервісу StormWall
54. Робота з особистим кабінетом
55. вкладка Home
56. вкладка Protection
57. вкладка Caching
58. Налаштування фільтру HTTPS
59. Технічна підтримка
60. Тестові DDoS-атаки на сайт
61. Атака TCP SYN Flood
62. Атака Distributed HTTP Flood
63. висновки

Огляд сервісу StormWall для захисту від DDoS-атак

1. Вступ
2. Функціональні можливості StormWall
3. Варіанти підключення сервісу StormWall
4. Додаткові опції і розширення
5. Тестування сервісу StormWall
1. 5.1. Робота з особистим кабінетом
2. 5.2. Технічна підтримка
6. Тестові DDoS-атаки на сайт
1. 6.1. Атака TCP SYN Flood
2. 6.2. Атака Distributed HTTP Flood
7. висновки

Вступ

DDoS-атаки сьогодні, на жаль, - така ж буденність, як і доступ в інтернет. При цьому в умовах поширення Індустрії 4.0 (термін об'єднує інноваційні технології, створені людством за останні роки: інтернет речей, блокчейн, доповнена реальність, 3D-друк, автономні роботи і інші) не настільки важливо, зав'язаний чи бізнес цілком на продає сайт, онлайн- сервіс чи ні. У будь-якому випадку забезпечення надійних комунікацій між розподіленими офісами і гарантія безперебійного доступу співробітникам до ключових інформаційних ресурсів компанії є обов'язковою умовою нормального функціонування бізнесу. Спробуйте уявити ситуацію, коли менеджер на важливої ​​ділової зустрічі раптом не зміг «достукатися» до корпоративної CRM-системи і не зробив конкурентну пропозицію важливого клієнта. А неможливість відправити електронний лист в будь-який час доби - страшний сон будь-якого ділової людини. Сьогодні ми сприймаємо «цілодобовий онлайн» як даність, часто не прораховуючи ризики раптом опинитися без зв'язку в той момент, коли це вкрай важливо. Саме тому сьогодні DDoS-атаки є серйозним ризиком і загрозою безперервності бізнесу, що вимагає сучасної і якісної захисту. Крім того, останні публічні кейси доводять, що DDoS-атака часто є відволікаючим маневром при проведенні складного цілеспрямованого вторгнення, кінцевою метою якого стає крадіжка фінансових, облікових або особистих даних.

сервіс StormWall є одним з лідерів на ринку захисту від DDoS-атак. Штаб-квартира ТОВ «СТОРМ СИСТЕМС» знаходиться в Москві, але компанія має точки присутності в найбільших ЦОДах не тільки Росії (Москва), а й США (Вашингтон), Європи (Франкфурт), що дозволяє ефективно обробляти трафік ближче до місця розташування ресурсів клієнта.

ТОВ «СТОРМ СИСТЕМС» є офіційним членом організації RIPE, має статус локального інтернет-реєстратора (LIR) і має пирингові угоди про обмін трафіком з великими інтернет-провайдерами.

Істотну частину захисних технологій складають власні розробки, що наділяє сервіс по захисту сайтів від DDoS-атак StormWall вельми цікавими функціональними можливостями, про які поговоримо далі.

Функціональні можливості StormWall

Сервіс забезпечує фільтрацію великого числа різновидів DDoS-атак практично на всіх рівнях моделі OSI: мережевому, транспортному і сеансовому, а також на рівні додатків.

Технічні характеристики сервісу StormWall:

• 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) - обробка IP-пакетів на рівні ACL / FlowSpec;
• 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful) - кожне вхідне TCP-з'єднання обробляється та аналізується.

Cистема фільтрації власної розробки Triple Filter побудована таким чином, що проходження нелегітимного трафіку від зловмисників до серверів клієнта максимально ускладнено. Технологія боротьби з HTTP-флудом (т. Е. Безперервної відсилання HTTP-запитів GET на 80-й порт, що призводить до перевантаженості сервера) BanHammer дозволяє при атаці автоматично визначати ботів і відсівати їх від потоку реальних користувачів, які не блокуючи при цьому нормальний режим роботи.

Малюнок 1. Принцип дії системи «потрійний очищення»

Весь йде до сервера клієнта трафік піддається очищенню в 3-х місцях:

1. На прикордонних маршрутизаторах

На більш ніж сотні прикордонних маршрутизаторів, розкиданих по всьому світу, відсікається паразитний трафік, що генерується атаками типу TCP- і UDP-amplification (спрямовані на переповнення каналів зв'язку шляхом генерації величезного потоку пакетів даних).

1. На апаратних фільтрах

Мережа фільтрації, що складається з декількох апаратних рішень для обробки пакетів на високій швидкості, блокує атаки типу UDP- і TCP-флуд (полягає у відправці пакетів великого об'єму на певні або випадкові номери портів серверів клієнта), при цьому динамічне балансування навантаження на устаткування дозволяє максимально ефективно розподіляти ресурси очищення.

1. На Stateful-фільтрах

Тонка очистка на цьому рівні дозволяє додатково захиститися від складних атак, в тому числі атак ботнетів (мереж заражених призначених для користувача пристроїв з запущеними ботами, таємно встановленими на них), шляхом виконання перевірки трафіку на коректність процесу з'єднання і передачі даних.

Варіанти підключення сервісу StormWall

Скористатися сервісом щодо захисту від DDoS-атак StormWall можна відповідно до одного з трьох сценаріїв.

1. захист сайту

Такий варіант організації захисту передбачає трансляцію А-записи DNS сайту клієнта на виданий StormWall захищений IP-адреса. При цьому проксіруются запити відвідувачів сайту, а на сервер клієнта направляється чистий трафік зі збереженням реальних IP-адрес в HTTP-заголовку, що абсолютно прозоро для веб-додатків.

Малюнок 2. Схема потоків трафіку при захисті сайту

Крім того, при захисті сайту є варіант з переїздом сайту на хостинг StormWall або на VDS / виділений сервер.

1. Захист IP-адрес (TCP / UDP)

Підключення сервісу в такому варіанті здійснюється за допомогою GRE- або IPIP-тунелю. Необхідно, щоб обладнання або софт клієнта підтримувало протоколи тунелювання GRE / IPIP. В цьому випадку при запитах до сайту відвідувачі підключаються до захищеного IP (виділяється сервісом StormWall і прописується на кінцевому обладнанні клієнта при організації тунелю). Важливо відзначити, що при такій технології підключення клієнт бачить все реальні IP-адреси підключаються користувачів.

Якщо сервер клієнта не підтримує технологію GRE / IPIP-тунелювання (наприклад, в разі використання сервера на базі Windows), єдиним способом залишається підключення сервісу StormWall з використанням проксінг. В цьому випадку фіксувати реальні адреси користувачів не представляється можливим, т. К. Все запити до сервера будуть проксіровать через один IP-адреса.

Малюнок 3. Схема потоків трафіку при захисті IP-адрес

1. Захист мережі (BGP)

Даний тип організації захисту актуальний, якщо у клієнта своя власна AS (автономна система, набір IP-мереж для використання в BGP маршрутизації між провайдерами) або PI (провайдеро-незалежний) блок виділених IP-адрес. Для підключення сервісу StormWall за таким сценарієм встановлюється підключення за допомогою тунелю GRE / IPIP / MPLS або фізично на одному з майданчиків (на момент написання огляду є фізичне підключення в Москві, Франкфурті, Вашингтоні), або через IX (MSK-IX, Data-IX , DE-CIX, NL-ix). При цьому необхідно анонсувати по протоколу BGP потрібні IP-префікси в сторону сервісу, який потім фільтрує весь проходить трафік і доставляє назад клієнту очищений. Важливо відзначити, що існує можливість управляти транзитом трафіку, переводячи, наприклад, анонси на захист тільки в разі детектування атаки, для чого клієнтові надається безкоштовний DDoS-сенсор.

Малюнок 4. Схема потоків трафіку при захисті мережі

Додаткові опції і розширення

Крім безпосереднього захисту сайтів, розташованих на власному майданчику клієнта або на сторонньому хостингу, у сервісу StormWall передбачений ряд додаткових опцій, деякі з яких надаються безкоштовно.

1. захищений хостинг

Комплексний пакет послуг «хостинг + захист від DDoS-атак» можна замовити прямо на порталі сервісу StormWall, вибравши необхідні параметри. В цьому випадку сервіс по захисту від DDoS-атак буде вже «на борту».

1. CDN-сервіс (Content Delivery Network)

Для оптимізації швидкості завантаження сайтів для відвідувачів з різних точок планети клієнтам StormWall пропонується підключити опцію CDN з сумарною пропускною спроможністю 500 Гбіт / с і більше 40 точок віддачі трафіку по всьому світу (географічно розподілена мережева інфраструктура, що дозволяє оптимізувати доставку і дистрибуцію контенту сайту кінцевим користувачам) . Сервіс дозволяє досягти максимальної швидкості завантаження незалежно від місцезнаходження як джерела контенту, так і його споживача. Даний сервіс реалізований спільно з партнером (компанія CDNNOW) і може бути замовлений в один клік безпосередньо в особистому кабінеті StormWall.

1. WAF (Web Application Firewall) as a Service

Велике число сучасних атак націлені безпосередньо на web-додатки і експлуатують уразливості в них. При замовленні сервісу StormWall можна підключити опцію WAF (Web Application Firewall - захисний екран рівня додатків, призначений для виявлення і блокування сучасних атак на веб-додатки, в тому числі і з використанням вразливостей нульового дня). Реалізація зазначеної функціональності здійснюється на базі партнерського рішення - SolidWall WAF від компанії Solid Lab, при цьому технічна підтримка і консультації по інцидентах входять у вартість передплати.

Тестування сервісу StormWall

Для тестування функцій по захисту сайтів від DDoS-атак був обраний один з наших порталів - datacenterexpert.ru. Щоб почати користуватися сервісом, необхідно замовити послугу на сайті stormwall.pro, вибравши при цьому один з бажаних тарифних планів: Lite, Standard, Business One або Enterprise One. Для більшості середніх і великих сайтів найбільш оптимально підійде Business One, який ми і замовили.

Малюнок 5. Процес замовлення сервісу по захисту сайтів

Процес замовлення в прямому сенсі укладається в 3 кліка, а можливість вибору зручного розрахункового періоду (місяць, квартал, півроку, рік) дозволить гармонізувати планування витрат на сервіс до прийнятої в компанії бюджетною політикою. Відразу ж при оформленні можна вибрати кількість доменів, виділених захищених IP-адрес, максимальну пропускну здатність в режимі очищення, а також підключити WAF і CDN. Впадає в очі частково не перекладений на російську мову інтерфейс налаштування параметрів, що багато в чому пояснюється історично склалися позначеннями технічних термінів. Однак розробники анонсують максимальну ступінь русифікації вже в найближчих релізах.

Робота з особистим кабінетом

Після реєстрації, підтвердження і оплати замовлення з'являється можливість потрапити в особистий кабінет (він же - панель управління).

Малюнок 6. Інтерфейс панелі управління сервісом

Варто відзначити зручний і вже став звичним для web-продуктів інтерфейс, де можна ознайомитися з поточними параметрами замовленої послуги. Система відразу ж пропонує послуги «віртуального помічника-оператора», якому можна задавати абсолютно будь-яке питання як по налаштуванню сервісу, так і звертатися по виникаючих проблем і терміновим інцидентів. До речі, за фактами звернень за останніми двома пунктами автоматично створюється тікет в техпідтримку, про зручність та якість якої ми поговоримо окремо. Постійно спливаюче вікно помічника спочатку здалося нам надмірно нав'язливим, проте в процесі тестування ми цілком «подружилися» з ним. Крім того, розробники анонсували можливість відключення цієї функції в наступних версіях сервісу.

Візуалізована карта запитів до сайту дозволить оцінити переваги відвідувачів за географічною ознакою, що може виявитися дуже корисним, особливо для інтернет-магазинів і постачальників хмарних сервісів.

Малюнок 7. Карта топ запитів до сайту за хвилину

Профіль циркуляції трафіку до сайту можна подивитися на відповідних графіках, вибравши при необхідності тип контенту. Крім того, доступна ретроспектива за тиждень.

Малюнок 8. Графіки запитів до сайту

З панелі керування за принципом «одного вікна» (або single sign on) можна перейти до налаштувань WAF і CDN, що, безсумнівно, зручно.

Малюнок 9. Інтерфейс переходу до панелей управління WAF і CDN

Безпосередня тонка настройка роботи сервісу доступна в розділі «Управління фільтром» (HTTP і HTTPS). Важливо підкреслити, що при конфігурації налаштувань оновлені політики застосовуються відразу ж, при цьому не відбувається обриву клієнтських сесій.

Малюнок 10. Панель управління фільтрами

вкладка Home

Вкладка Home фільтра HTTP містить основні настройки, їх призначення інтуїтивно зрозуміло і супроводжується прикладами.

Малюнок 11. Вкладка Home фільтра HTTP

З цікавого варто відзначити можливість заміни стандартної сторінки помилки (параметр StormWall error pages) при недоступності вашого сайту у відвідувача на візуалізоване уявлення із зазначенням проблемної точки, в якій рветься з'єднання.

Малюнок 12. Сторінка помилки StormWall error pages

Проста на перший погляд функціональність редиректу (з http на https і назад, обробка написання сайту з префіксом www або без нього, а також перенаправлення за іншою адресою, наприклад, на час проведення регламентних робіт) реалізована далеко не на всіх хостингах, тому можливість його використання в StormWall є безсумнівним плюсом.

Окремо зупинимося на можливості гнучкої балансування навантаження на сайт і його резервування. Сервісу дозволяє налаштувати прив'язку високонавантажених сайтів до кількох IP-адресами, щоб відповідно до заданого пріоритетом балансувати потік відвідувачів між ними. Крім того, якщо з яких-небудь причин основний IP-адреса, до якого прив'язана DNS-ім'я сайту, «ляже», система автоматично перенаправляє запити на вказаний резервний IP.

Малюнок 13. Налаштування балансування і резервування IP

вкладка Protection

На цій вкладці реалізована власна розробка StormWall - настроюються режими роботи (параметр Protection mode). В наявності є таке рівні роботи фільтра:

1. Always OFF - аналіз і фільтрація трафіку не проводиться. Свого роду правило any-to-any.
2. Sensor mode - при відсутності підозрілої активності запити аналізуються, але не фільтруються, при детектуванні атаки фільтр самостійно підключає необхідні параметри. Після закінчення атаки строгість перевірки фільтра буде знижена автоматично. Цей режим встановлений за замовчуванням і підійде для повсякденної роботи більшості сайтів, саме його ми і вибрали в якості основного при тестуванні.
3. Always ON (Redirect) - фільтр постійно активний з мінімальним рівнем строгості перевірки. При виявленні підозрілої активності або детектировании атаки рівень захисту автоматично підвищується до JS validation.
4. Always ON (JS / JSA validation) - постійно активний строгий режим перевірки, може викликати проблеми в роботі ботів і окремих категорій користувачів, що звертаються до сайту. Зазначений режим блокує більшість відомих атак. В процесі тестування даного режиму нами не було помічено велику кількість помилкових спрацьовувань, однак на популярних сайтах з великою відвідуваністю ефект може бути непередбачуваний.
5. Always ON (CAPTCHA) - при запитах до сайту здійснюється 100% перевірка «на робота» при первинному вході. Даний режим здається нам надмірною в більшості випадків, однак може бути корисний при налагодженні певних функцій на сайті або з метою миттєвого припинення неконтрольованого сплеску запитів.

Інші налаштування на описуваної вкладці дозволяють оптимізувати роботу фільтрів, керуючи конкретними типами файлів. В ході тестування настройки за замовчуванням виявилися для нас оптимальними.

Малюнок 14. Налаштування вкладки Protection HTTP-фільтра

вкладка Caching

На цій вкладці настроюється управління кешем для обраних типів файлів. Налаштування такого роду будуть корисні, щоб мінімізувати «Хабра-ефект» при одночасному великій кількості однотипних сесій. Ми в процесі тестування сервісу включили кешування статичних файлів (зображення, файли шаблонів і стилів).

Малюнок 15. Налаштування вкладки Caching HTTP-фільтра

Решта вкладки в розділі налаштувань HTTP-фільтрів дозволяють вручну прописати black- і white-листи, використовуючи IP-адреси або URL відповідних сайтів.

Налаштування фільтру HTTPS

При використанні сайтом SSL- або TLS-шифрування (протокол HTTPS) трафіку відвідувачів необхідно виконати в даному розділі настройки, аналогічні описаним вище. При цьому важливо не забути прописати діючий сертифікат SSL сайту (а краще - весь ланцюжок, аж до кореневого засвідчує центру), а також приватний ключ.

Також варто зауважити, що при включенні SSL на стороні захисту StormWall автоматично активується протокол HTTP2, який дозволяє прискорити завантаження сайту.

Малюнок 16. Вкладка SSL фільтра HTTPS

технічна підтримка

Окремої згадка заслуговує служба ТЕХНІЧНОЇ ПІДТРИМКИ сервісу StormWall. Про можлівість оперативно Задати питання з експрес-чаті ми Вже писали вищє. В ході тестування нам Було цікаво оцініті ШВИДКІСТЬ Реакції на вінікаючі питання. Час первого ВІДПОВІДІ живої людини НЕ перевіщіло 1 хвилини з моменту Звернення. Розгорнуті ж покрокові рекомендації относительно вирішенню озвученої проблеми ми отримавших через 10 хвилин. Всі ПОВІДОМЛЕННЯ в чаті автоматично транслюються у внутрішню корпоративну систему комунікацій StormWall, в примусових порядку сповіщаються Керівники ТЕХНІЧНОЇ ПІДТРИМКИ. Если озвучена в чаті проблема не є терміновою або ее решение займає трівалій годину, автоматично створюється тікет и прісвоюється номер. Згодом можна буде звертатися з вказаним номером з будь-яких інших каналах: по електронній пошті, за допомогою кнопки «створити тікет» або зателефонувавши за цілодобовим номером телефону. А при виборі тарифу Enterprise клієнту надається виділений канал Slack, в якому можна безпосередньо поспілкуватися з інженерами і Anti-DDoS-експертами компанії, причому цілодобово.

Малюнок 17. Чат технічної підтримки

Тестові DDoS-атаки на сайт

Щоб повною мірою оцінити можливості сервісу StormWall, ми самостійно організували тестові атаки різних типів на наш сайт http://www.datacenterexpert.ru/ .

Атака TCP SYN Flood

Один з найпоширеніших типів атаки, оскільки вона є вкрай дієвою. Атака полягає у відправці великої кількості SYN-запитів (пакетів по протоколу TCP) в короткий термін. Ми в процесі тестування згенерували флуд потужністю близько 7 мільйонів пакетів в секунду.

Малюнок 18. Трафік атаки TCP SYN Flood

Вся інформація про атаку в режимі реального часу відображається в особистому кабінеті (початок атаки о 15:11). Нагадаємо, що режим контролю трафіку у нас встановлений Sensor mode (за замовчуванням).

Малюнок 19. Інформація про атаку в особистому кабінеті

Із запису в особистому кабінеті видно, що атака почалася о 15:11, тривала 4 хвилини і завершилася о 15:14, тип шкідливої ​​активності також визначено без помилок. Варто відзначити, що оповіщення про початок і завершення атаки нам надійшли на електронну пошту.

Малюнок 20. Лист з інформацією про атаку в електронній пошті

Щоб оцінити, наскільки StormWall реально справляється з атаками і як це позначається на доступності сайту для відвідувачів, ми використовували можливості сервісу check-host.net для тестування факту і часу відгуку на різні запити.

Малюнок 21. Доступність сайту в нормальному режимі роботи, до атаки (запити HTTP) - час: 15:05

Малюнок 22. Доступність сайту під час атаки (запити HTTP) - час: 15:13

Виміри показують, що ступінь доступності сайту під час атаки для відвідувачів практично не змінилася, StormWall успішно відбив спробу покласти сайт. Візуально також спостерігається, що сайт нормально відкривається в браузері - як до атаки, так і під час неї затримок не помічено.

Атака Distributed HTTP Flood

За статистикою, 95% всіх DDoS-атак на сайти припадає саме на цей тип. Запити зловмисника маскуються під легітимні GET-request звичайних користувальницьких браузерів. З метою ускладнити завдання сервісу StormWall по боротьбі з такого роду атаками нам вдалося згенерувати серію розподілених атак (з 900 IP), що створюють сумарне навантаження на сайт близько 1800 HTTP-запитів в секунду.

Малюнок 23. Карта розподілених запитів до сайту в момент атаки

Малюнок 24. Графік HTTP-запитів до і під час атаки

З графіка запитів в особистому кабінеті видно, що атака почалася о 15:16, тривала близько 10 хвилин і завершилася о 15:26. Варто відзначити, що оповіщення про початок і завершення атаки нам також надійшли на електронну пошту, проте в особистому кабінеті ця шкідлива активність в історію атак не потрапила.

Малюнок 25. Лист з інформацією про атаку в електронній пошті

Аналогічні описаним ваше виміри доступності сайту до і під час атаки також підтвердили, що сервіс StormWall успішно впорався з нею, і все це ніяк не вплинуло на доступність для відвідувачів.

Висновки

DDoS-атаки сьогодні є дуже серйозним головним болем практично для будь-якої сучасної компанії. Захист від них - обов'язковий елемент побудови тієї самої ешелонованої оборони підприємства, що складається їх різних засобів протидії зловмисникам. Сервіс по захисту від DDoS-атак StormWall від вітчизняної компанії ТОВ «СТОРМ СИСТЕМС» зарекомендував себе як один з визнаних лідерів на цьому ринку. В процесі тестування ми переконалися на практиці в можливостях StormWall по відображенню атак, перевіривши функції захисту сайту, підключивши послугу за методом трансляції А-записи DNS сайту. Також важливу роль відіграє перевага сервісу, пов'язане з можливістю вибору захищеного хостингу під ключ, опцій WAF і CDN.

Преимущества

• Сервіс має точки присутності в найбільших ЦОДах в різних точках світу.
• Можливість фільтрації 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) і 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful).
• Cистема фільтрації власної розробки.
• Широкий вибір варіантів підключення сервісу під різні завдання.
• Наявність додаткових сервісів: захищений хостинг, CDN, WAF.
• Процедура замовлення послуги в 3 кліка.
• Оперативна технічна підтримка, власний чат, графік роботи 24х7.
• Ретроспективний аналіз трафіку, збереження повної історії атак.
• Є тестовий період з повним спектром функцій.

Недоліки

• Необхідність надавати сервісу закритий ключ в разі підключення захисту до сайту, який використовує HTTPS.
• Тестовий період за замовчуванням становить всього 24 години.
• Підтримка російської мови реалізована далеко не скрізь в інтерфейсі.
• База знань дуже велика, але також не цілком русифікована.
• Число налаштувань та додаткових опцій на даний момент невелика (наприклад, настройка списків white- і black-листів тільки вручну).
• Недостатня гнучкість настройки графіків перегляду трафіку (можливість вибрати тільки годину, день і тиждень).

Огляд сервісу StormWall для захисту від DDoS-атак

1. Вступ
2. Функціональні можливості StormWall
3. Варіанти підключення сервісу StormWall
4. Додаткові опції і розширення
5. Тестування сервісу StormWall
1. 5.1. Робота з особистим кабінетом
2. 5.2. Технічна підтримка
6. Тестові DDoS-атаки на сайт
1. 6.1. Атака TCP SYN Flood
2. 6.2. Атака Distributed HTTP Flood
7. висновки

Вступ

DDoS-атаки сьогодні, на жаль, - така ж буденність, як і доступ в інтернет. При цьому в умовах поширення Індустрії 4.0 (термін об'єднує інноваційні технології, створені людством за останні роки: інтернет речей, блокчейн, доповнена реальність, 3D-друк, автономні роботи і інші) не настільки важливо, зав'язаний чи бізнес цілком на продає сайт, онлайн- сервіс чи ні. У будь-якому випадку забезпечення надійних комунікацій між розподіленими офісами і гарантія безперебійного доступу співробітникам до ключових інформаційних ресурсів компанії є обов'язковою умовою нормального функціонування бізнесу. Спробуйте уявити ситуацію, коли менеджер на важливої ​​ділової зустрічі раптом не зміг «достукатися» до корпоративної CRM-системи і не зробив конкурентну пропозицію важливого клієнта. А неможливість відправити електронний лист в будь-який час доби - страшний сон будь-якого ділової людини. Сьогодні ми сприймаємо «цілодобовий онлайн» як даність, часто не прораховуючи ризики раптом опинитися без зв'язку в той момент, коли це вкрай важливо. Саме тому сьогодні DDoS-атаки є серйозним ризиком і загрозою безперервності бізнесу, що вимагає сучасної і якісної захисту. Крім того, останні публічні кейси доводять, що DDoS-атака часто є відволікаючим маневром при проведенні складного цілеспрямованого вторгнення, кінцевою метою якого стає крадіжка фінансових, облікових або особистих даних.

сервіс StormWall є одним з лідерів на ринку захисту від DDoS-атак. Штаб-квартира ТОВ «СТОРМ СИСТЕМС» знаходиться в Москві, але компанія має точки присутності в найбільших ЦОДах не тільки Росії (Москва), а й США (Вашингтон), Європи (Франкфурт), що дозволяє ефективно обробляти трафік ближче до місця розташування ресурсів клієнта.

ТОВ «СТОРМ СИСТЕМС» є офіційним членом організації RIPE, має статус локального інтернет-реєстратора (LIR) і має пирингові угоди про обмін трафіком з великими інтернет-провайдерами.

Істотну частину захисних технологій складають власні розробки, що наділяє сервіс по захисту сайтів від DDoS-атак StormWall вельми цікавими функціональними можливостями, про які поговоримо далі.

Функціональні можливості StormWall

Сервіс забезпечує фільтрацію великого числа різновидів DDoS-атак практично на всіх рівнях моделі OSI: мережевому, транспортному і сеансовому, а також на рівні додатків.

Технічні характеристики сервісу StormWall:

• 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) - обробка IP-пакетів на рівні ACL / FlowSpec;
• 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful) - кожне вхідне TCP-з'єднання обробляється та аналізується.

Cистема фільтрації власної розробки Triple Filter побудована таким чином, що проходження нелегітимного трафіку від зловмисників до серверів клієнта максимально ускладнено. Технологія боротьби з HTTP-флудом (т. Е. Безперервної відсилання HTTP-запитів GET на 80-й порт, що призводить до перевантаженості сервера) BanHammer дозволяє при атаці автоматично визначати ботів і відсівати їх від потоку реальних користувачів, які не блокуючи при цьому нормальний режим роботи.

Малюнок 1. Принцип дії системи «потрійний очищення»

Весь йде до сервера клієнта трафік піддається очищенню в 3-х місцях:

1. На прикордонних маршрутизаторах

На більш ніж сотні прикордонних маршрутизаторів, розкиданих по всьому світу, відсікається паразитний трафік, що генерується атаками типу TCP- і UDP-amplification (спрямовані на переповнення каналів зв'язку шляхом генерації величезного потоку пакетів даних).

1. На апаратних фільтрах

Мережа фільтрації, що складається з декількох апаратних рішень для обробки пакетів на високій швидкості, блокує атаки типу UDP- і TCP-флуд (полягає у відправці пакетів великого об'єму на певні або випадкові номери портів серверів клієнта), при цьому динамічне балансування навантаження на устаткування дозволяє максимально ефективно розподіляти ресурси очищення.

1. На Stateful-фільтрах

Тонка очистка на цьому рівні дозволяє додатково захиститися від складних атак, в тому числі атак ботнетів (мереж заражених призначених для користувача пристроїв з запущеними ботами, таємно встановленими на них), шляхом виконання перевірки трафіку на коректність процесу з'єднання і передачі даних.

Варіанти підключення сервісу StormWall

Скористатися сервісом щодо захисту від DDoS-атак StormWall можна відповідно до одного з трьох сценаріїв.

1. захист сайту

Такий варіант організації захисту передбачає трансляцію А-записи DNS сайту клієнта на виданий StormWall захищений IP-адреса. При цьому проксіруются запити відвідувачів сайту, а на сервер клієнта направляється чистий трафік зі збереженням реальних IP-адрес в HTTP-заголовку, що абсолютно прозоро для веб-додатків.

Малюнок 2. Схема потоків трафіку при захисті сайту

Крім того, при захисті сайту є варіант з переїздом сайту на хостинг StormWall або на VDS / виділений сервер.

1. Захист IP-адрес (TCP / UDP)

Підключення сервісу в такому варіанті здійснюється за допомогою GRE- або IPIP-тунелю. Необхідно, щоб обладнання або софт клієнта підтримувало протоколи тунелювання GRE / IPIP. В цьому випадку при запитах до сайту відвідувачі підключаються до захищеного IP (виділяється сервісом StormWall і прописується на кінцевому обладнанні клієнта при організації тунелю). Важливо відзначити, що при такій технології підключення клієнт бачить все реальні IP-адреси підключаються користувачів.

Якщо сервер клієнта не підтримує технологію GRE / IPIP-тунелювання (наприклад, в разі використання сервера на базі Windows), єдиним способом залишається підключення сервісу StormWall з використанням проксінг. В цьому випадку фіксувати реальні адреси користувачів не представляється можливим, т. К. Все запити до сервера будуть проксіровать через один IP-адреса.

Малюнок 3. Схема потоків трафіку при захисті IP-адрес

1. Захист мережі (BGP)

Даний тип організації захисту актуальний, якщо у клієнта своя власна AS (автономна система, набір IP-мереж для використання в BGP маршрутизації між провайдерами) або PI (провайдеро-незалежний) блок виділених IP-адрес. Для підключення сервісу StormWall за таким сценарієм встановлюється підключення за допомогою тунелю GRE / IPIP / MPLS або фізично на одному з майданчиків (на момент написання огляду є фізичне підключення в Москві, Франкфурті, Вашингтоні), або через IX (MSK-IX, Data-IX , DE-CIX, NL-ix). При цьому необхідно анонсувати по протоколу BGP потрібні IP-префікси в сторону сервісу, який потім фільтрує весь проходить трафік і доставляє назад клієнту очищений. Важливо відзначити, що існує можливість управляти транзитом трафіку, переводячи, наприклад, анонси на захист тільки в разі детектування атаки, для чого клієнтові надається безкоштовний DDoS-сенсор.

Малюнок 4. Схема потоків трафіку при захисті мережі

Додаткові опції і розширення

Крім безпосереднього захисту сайтів, розташованих на власному майданчику клієнта або на сторонньому хостингу, у сервісу StormWall передбачений ряд додаткових опцій, деякі з яких надаються безкоштовно.

1. захищений хостинг

Комплексний пакет послуг «хостинг + захист від DDoS-атак» можна замовити прямо на порталі сервісу StormWall, вибравши необхідні параметри. В цьому випадку сервіс по захисту від DDoS-атак буде вже «на борту».

1. CDN-сервіс (Content Delivery Network)

Для оптимізації швидкості завантаження сайтів для відвідувачів з різних точок планети клієнтам StormWall пропонується підключити опцію CDN з сумарною пропускною спроможністю 500 Гбіт / с і більше 40 точок віддачі трафіку по всьому світу (географічно розподілена мережева інфраструктура, що дозволяє оптимізувати доставку і дистрибуцію контенту сайту кінцевим користувачам) . Сервіс дозволяє досягти максимальної швидкості завантаження незалежно від місцезнаходження як джерела контенту, так і його споживача. Даний сервіс реалізований спільно з партнером (компанія CDNNOW) і може бути замовлений в один клік безпосередньо в особистому кабінеті StormWall.

1. WAF (Web Application Firewall) as a Service

Велике число сучасних атак націлені безпосередньо на web-додатки і експлуатують уразливості в них. При замовленні сервісу StormWall можна підключити опцію WAF (Web Application Firewall - захисний екран рівня додатків, призначений для виявлення і блокування сучасних атак на веб-додатки, в тому числі і з використанням вразливостей нульового дня). Реалізація зазначеної функціональності здійснюється на базі партнерського рішення - SolidWall WAF від компанії Solid Lab, при цьому технічна підтримка і консультації по інцидентах входять у вартість передплати.

Тестування сервісу StormWall

Для тестування функцій по захисту сайтів від DDoS-атак був обраний один з наших порталів - datacenterexpert.ru. Щоб почати користуватися сервісом, необхідно замовити послугу на сайті stormwall.pro, вибравши при цьому один з бажаних тарифних планів: Lite, Standard, Business One або Enterprise One. Для більшості середніх і великих сайтів найбільш оптимально підійде Business One, який ми і замовили.

Малюнок 5. Процес замовлення сервісу по захисту сайтів

Процес замовлення в прямому сенсі укладається в 3 кліка, а можливість вибору зручного розрахункового періоду (місяць, квартал, півроку, рік) дозволить гармонізувати планування витрат на сервіс до прийнятої в компанії бюджетною політикою. Відразу ж при оформленні можна вибрати кількість доменів, виділених захищених IP-адрес, максимальну пропускну здатність в режимі очищення, а також підключити WAF і CDN. Впадає в очі частково не перекладений на російську мову інтерфейс налаштування параметрів, що багато в чому пояснюється історично склалися позначеннями технічних термінів. Однак розробники анонсують максимальну ступінь русифікації вже в найближчих релізах.

Робота з особистим кабінетом

Після реєстрації, підтвердження і оплати замовлення з'являється можливість потрапити в особистий кабінет (він же - панель управління).

Малюнок 6. Інтерфейс панелі управління сервісом

Варто відзначити зручний і вже став звичним для web-продуктів інтерфейс, де можна ознайомитися з поточними параметрами замовленої послуги. Система відразу ж пропонує послуги «віртуального помічника-оператора», якому можна задавати абсолютно будь-яке питання як по налаштуванню сервісу, так і звертатися по виникаючих проблем і терміновим інцидентів. До речі, за фактами звернень за останніми двома пунктами автоматично створюється тікет в техпідтримку, про зручність та якість якої ми поговоримо окремо. Постійно спливаюче вікно помічника спочатку здалося нам надмірно нав'язливим, проте в процесі тестування ми цілком «подружилися» з ним. Крім того, розробники анонсували можливість відключення цієї функції в наступних версіях сервісу.

Візуалізована карта запитів до сайту дозволить оцінити переваги відвідувачів за географічною ознакою, що може виявитися дуже корисним, особливо для інтернет-магазинів і постачальників хмарних сервісів.

Малюнок 7. Карта топ запитів до сайту за хвилину

Профіль циркуляції трафіку до сайту можна подивитися на відповідних графіках, вибравши при необхідності тип контенту. Крім того, доступна ретроспектива за тиждень.

Малюнок 8. Графіки запитів до сайту

З панелі керування за принципом «одного вікна» (або single sign on) можна перейти до налаштувань WAF і CDN, що, безсумнівно, зручно.

Малюнок 9. Інтерфейс переходу до панелей управління WAF і CDN

Безпосередня тонка настройка роботи сервісу доступна в розділі «Управління фільтром» (HTTP і HTTPS). Важливо підкреслити, що при конфігурації налаштувань оновлені політики застосовуються відразу ж, при цьому не відбувається обриву клієнтських сесій.

Малюнок 10. Панель управління фільтрами

вкладка Home

Вкладка Home фільтра HTTP містить основні настройки, їх призначення інтуїтивно зрозуміло і супроводжується прикладами.

Малюнок 11. Вкладка Home фільтра HTTP

З цікавого варто відзначити можливість заміни стандартної сторінки помилки (параметр StormWall error pages) при недоступності вашого сайту у відвідувача на візуалізоване уявлення із зазначенням проблемної точки, в якій рветься з'єднання.

Малюнок 12. Сторінка помилки StormWall error pages

Проста на перший погляд функціональність редиректу (з http на https і назад, обробка написання сайту з префіксом www або без нього, а також перенаправлення за іншою адресою, наприклад, на час проведення регламентних робіт) реалізована далеко не на всіх хостингах, тому можливість його використання в StormWall є безсумнівним плюсом.

Окремо зупинимося на можливості гнучкої балансування навантаження на сайт і його резервування. Сервісу дозволяє налаштувати прив'язку високонавантажених сайтів до кількох IP-адресами, щоб відповідно до заданого пріоритетом балансувати потік відвідувачів між ними. Крім того, якщо з яких-небудь причин основний IP-адреса, до якого прив'язана DNS-ім'я сайту, «ляже», система автоматично перенаправляє запити на вказаний резервний IP.

Малюнок 13. Налаштування балансування і резервування IP

вкладка Protection

На цій вкладці реалізована власна розробка StormWall - настроюються режими роботи (параметр Protection mode). В наявності є таке рівні роботи фільтра:

1. Always OFF - аналіз і фільтрація трафіку не проводиться. Свого роду правило any-to-any.
2. Sensor mode - при відсутності підозрілої активності запити аналізуються, але не фільтруються, при детектуванні атаки фільтр самостійно підключає необхідні параметри. Після закінчення атаки строгість перевірки фільтра буде знижена автоматично. Цей режим встановлений за замовчуванням і підійде для повсякденної роботи більшості сайтів, саме його ми і вибрали в якості основного при тестуванні.
3. Always ON (Redirect) - фільтр постійно активний з мінімальним рівнем строгості перевірки. При виявленні підозрілої активності або детектировании атаки рівень захисту автоматично підвищується до JS validation.
4. Always ON (JS / JSA validation) - постійно активний строгий режим перевірки, може викликати проблеми в роботі ботів і окремих категорій користувачів, що звертаються до сайту. Зазначений режим блокує більшість відомих атак. В процесі тестування даного режиму нами не було помічено велику кількість помилкових спрацьовувань, однак на популярних сайтах з великою відвідуваністю ефект може бути непередбачуваний.
5. Always ON (CAPTCHA) - при запитах до сайту здійснюється 100% перевірка «на робота» при первинному вході. Даний режим здається нам надмірною в більшості випадків, однак може бути корисний при налагодженні певних функцій на сайті або з метою миттєвого припинення неконтрольованого сплеску запитів.

Інші налаштування на описуваної вкладці дозволяють оптимізувати роботу фільтрів, керуючи конкретними типами файлів. В ході тестування настройки за замовчуванням виявилися для нас оптимальними.

Малюнок 14. Налаштування вкладки Protection HTTP-фільтра

вкладка Caching

На цій вкладці настроюється управління кешем для обраних типів файлів. Налаштування такого роду будуть корисні, щоб мінімізувати «Хабра-ефект» при одночасному великій кількості однотипних сесій. Ми в процесі тестування сервісу включили кешування статичних файлів (зображення, файли шаблонів і стилів).

Малюнок 15. Налаштування вкладки Caching HTTP-фільтра

Решта вкладки в розділі налаштувань HTTP-фільтрів дозволяють вручну прописати black- і white-листи, використовуючи IP-адреси або URL відповідних сайтів.

Налаштування фільтру HTTPS

При використанні сайтом SSL- або TLS-шифрування (протокол HTTPS) трафіку відвідувачів необхідно виконати в даному розділі настройки, аналогічні описаним вище. При цьому важливо не забути прописати діючий сертифікат SSL сайту (а краще - весь ланцюжок, аж до кореневого засвідчує центру), а також приватний ключ.

Також варто зауважити, що при включенні SSL на стороні захисту StormWall автоматично активується протокол HTTP2, який дозволяє прискорити завантаження сайту.

Малюнок 16. Вкладка SSL фільтра HTTPS

технічна підтримка

Окремої згадка заслуговує служба ТЕХНІЧНОЇ ПІДТРИМКИ сервісу StormWall. Про можлівість оперативно Задати питання з експрес-чаті ми Вже писали вищє. В ході тестування нам Було цікаво оцініті ШВИДКІСТЬ Реакції на вінікаючі питання. Час первого ВІДПОВІДІ живої людини НЕ перевіщіло 1 хвилини з моменту Звернення. Розгорнуті ж покрокові рекомендації относительно вирішенню озвученої проблеми ми отримавших через 10 хвилин. Всі ПОВІДОМЛЕННЯ в чаті автоматично транслюються у внутрішню корпоративну систему комунікацій StormWall, в примусових порядку сповіщаються Керівники ТЕХНІЧНОЇ ПІДТРИМКИ. Если озвучена в чаті проблема не є терміновою або ее решение займає трівалій годину, автоматично створюється тікет и прісвоюється номер. Згодом можна буде звертатися з вказаним номером з будь-яких інших каналах: по електронній пошті, за допомогою кнопки «створити тікет» або зателефонувавши за цілодобовим номером телефону. А при виборі тарифу Enterprise клієнту надається виділений канал Slack, в якому можна безпосередньо поспілкуватися з інженерами і Anti-DDoS-експертами компанії, причому цілодобово.

Малюнок 17. Чат технічної підтримки

Тестові DDoS-атаки на сайт

Щоб повною мірою оцінити можливості сервісу StormWall, ми самостійно організували тестові атаки різних типів на наш сайт http://www.datacenterexpert.ru/ .

Атака TCP SYN Flood

Один з найпоширеніших типів атаки, оскільки вона є вкрай дієвою. Атака полягає у відправці великої кількості SYN-запитів (пакетів по протоколу TCP) в короткий термін. Ми в процесі тестування згенерували флуд потужністю близько 7 мільйонів пакетів в секунду.

Малюнок 18. Трафік атаки TCP SYN Flood

Вся інформація про атаку в режимі реального часу відображається в особистому кабінеті (початок атаки о 15:11). Нагадаємо, що режим контролю трафіку у нас встановлений Sensor mode (за замовчуванням).

Малюнок 19. Інформація про атаку в особистому кабінеті

Із запису в особистому кабінеті видно, що атака почалася о 15:11, тривала 4 хвилини і завершилася о 15:14, тип шкідливої ​​активності також визначено без помилок. Варто відзначити, що оповіщення про початок і завершення атаки нам надійшли на електронну пошту.

Малюнок 20. Лист з інформацією про атаку в електронній пошті

Щоб оцінити, наскільки StormWall реально справляється з атаками і як це позначається на доступності сайту для відвідувачів, ми використовували можливості сервісу check-host.net для тестування факту і часу відгуку на різні запити.

Малюнок 21. Доступність сайту в нормальному режимі роботи, до атаки (запити HTTP) - час: 15:05

Малюнок 22. Доступність сайту під час атаки (запити HTTP) - час: 15:13

Виміри показують, що ступінь доступності сайту під час атаки для відвідувачів практично не змінилася, StormWall успішно відбив спробу покласти сайт. Візуально також спостерігається, що сайт нормально відкривається в браузері - як до атаки, так і під час неї затримок не помічено.

Атака Distributed HTTP Flood

За статистикою, 95% всіх DDoS-атак на сайти припадає саме на цей тип. Запити зловмисника маскуються під легітимні GET-request звичайних користувальницьких браузерів. З метою ускладнити завдання сервісу StormWall по боротьбі з такого роду атаками нам вдалося згенерувати серію розподілених атак (з 900 IP), що створюють сумарне навантаження на сайт близько 1800 HTTP-запитів в секунду.

Малюнок 23. Карта розподілених запитів до сайту в момент атаки

Малюнок 24. Графік HTTP-запитів до і під час атаки

З графіка запитів в особистому кабінеті видно, що атака почалася о 15:16, тривала близько 10 хвилин і завершилася о 15:26. Варто відзначити, що оповіщення про початок і завершення атаки нам також надійшли на електронну пошту, проте в особистому кабінеті ця шкідлива активність в історію атак не потрапила.

Малюнок 25. Лист з інформацією про атаку в електронній пошті

Аналогічні описаним ваше виміри доступності сайту до і під час атаки також підтвердили, що сервіс StormWall успішно впорався з нею, і все це ніяк не вплинуло на доступність для відвідувачів.

Висновки

DDoS-атаки сьогодні є дуже серйозним головним болем практично для будь-якої сучасної компанії. Захист від них - обов'язковий елемент побудови тієї самої ешелонованої оборони підприємства, що складається їх різних засобів протидії зловмисникам. Сервіс по захисту від DDoS-атак StormWall від вітчизняної компанії ТОВ «СТОРМ СИСТЕМС» зарекомендував себе як один з визнаних лідерів на цьому ринку. В процесі тестування ми переконалися на практиці в можливостях StormWall по відображенню атак, перевіривши функції захисту сайту, підключивши послугу за методом трансляції А-записи DNS сайту. Також важливу роль відіграє перевага сервісу, пов'язане з можливістю вибору захищеного хостингу під ключ, опцій WAF і CDN.

Преимущества

• Сервіс має точки присутності в найбільших ЦОДах в різних точках світу.
• Можливість фільтрації 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) і 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful).
• Cистема фільтрації власної розробки.
• Широкий вибір варіантів підключення сервісу під різні завдання.
• Наявність додаткових сервісів: захищений хостинг, CDN, WAF.
• Процедура замовлення послуги в 3 кліка.
• Оперативна технічна підтримка, власний чат, графік роботи 24х7.
• Ретроспективний аналіз трафіку, збереження повної історії атак.
• Є тестовий період з повним спектром функцій.

Недоліки

• Необхідність надавати сервісу закритий ключ в разі підключення захисту до сайту, який використовує HTTPS.
• Тестовий період за замовчуванням становить всього 24 години.
• Підтримка російської мови реалізована далеко не скрізь в інтерфейсі.
• База знань дуже велика, але також не цілком русифікована.
• Число налаштувань та додаткових опцій на даний момент невелика (наприклад, настройка списків white- і black-листів тільки вручну).
• Недостатня гнучкість настройки графіків перегляду трафіку (можливість вибрати тільки годину, день і тиждень).

Огляд сервісу StormWall для захисту від DDoS-атак

1. Вступ
2. Функціональні можливості StormWall
3. Варіанти підключення сервісу StormWall
4. Додаткові опції і розширення
5. Тестування сервісу StormWall
1. 5.1. Робота з особистим кабінетом
2. 5.2. Технічна підтримка
6. Тестові DDoS-атаки на сайт
1. 6.1. Атака TCP SYN Flood
2. 6.2. Атака Distributed HTTP Flood
7. висновки

Вступ

DDoS-атаки сьогодні, на жаль, - така ж буденність, як і доступ в інтернет. При цьому в умовах поширення Індустрії 4.0 (термін об'єднує інноваційні технології, створені людством за останні роки: інтернет речей, блокчейн, доповнена реальність, 3D-друк, автономні роботи і інші) не настільки важливо, зав'язаний чи бізнес цілком на продає сайт, онлайн- сервіс чи ні. У будь-якому випадку забезпечення надійних комунікацій між розподіленими офісами і гарантія безперебійного доступу співробітникам до ключових інформаційних ресурсів компанії є обов'язковою умовою нормального функціонування бізнесу. Спробуйте уявити ситуацію, коли менеджер на важливої ​​ділової зустрічі раптом не зміг «достукатися» до корпоративної CRM-системи і не зробив конкурентну пропозицію важливого клієнта. А неможливість відправити електронний лист в будь-який час доби - страшний сон будь-якого ділової людини. Сьогодні ми сприймаємо «цілодобовий онлайн» як даність, часто не прораховуючи ризики раптом опинитися без зв'язку в той момент, коли це вкрай важливо. Саме тому сьогодні DDoS-атаки є серйозним ризиком і загрозою безперервності бізнесу, що вимагає сучасної і якісної захисту. Крім того, останні публічні кейси доводять, що DDoS-атака часто є відволікаючим маневром при проведенні складного цілеспрямованого вторгнення, кінцевою метою якого стає крадіжка фінансових, облікових або особистих даних.

сервіс StormWall є одним з лідерів на ринку захисту від DDoS-атак. Штаб-квартира ТОВ «СТОРМ СИСТЕМС» знаходиться в Москві, але компанія має точки присутності в найбільших ЦОДах не тільки Росії (Москва), а й США (Вашингтон), Європи (Франкфурт), що дозволяє ефективно обробляти трафік ближче до місця розташування ресурсів клієнта.

ТОВ «СТОРМ СИСТЕМС» є офіційним членом організації RIPE, має статус локального інтернет-реєстратора (LIR) і має пирингові угоди про обмін трафіком з великими інтернет-провайдерами.

Істотну частину захисних технологій складають власні розробки, що наділяє сервіс по захисту сайтів від DDoS-атак StormWall вельми цікавими функціональними можливостями, про які поговоримо далі.

Функціональні можливості StormWall

Сервіс забезпечує фільтрацію великого числа різновидів DDoS-атак практично на всіх рівнях моделі OSI: мережевому, транспортному і сеансовому, а також на рівні додатків.

Технічні характеристики сервісу StormWall:

• 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) - обробка IP-пакетів на рівні ACL / FlowSpec;
• 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful) - кожне вхідне TCP-з'єднання обробляється та аналізується.

Cистема фільтрації власної розробки Triple Filter побудована таким чином, що проходження нелегітимного трафіку від зловмисників до серверів клієнта максимально ускладнено. Технологія боротьби з HTTP-флудом (т. Е. Безперервної відсилання HTTP-запитів GET на 80-й порт, що призводить до перевантаженості сервера) BanHammer дозволяє при атаці автоматично визначати ботів і відсівати їх від потоку реальних користувачів, які не блокуючи при цьому нормальний режим роботи.

Малюнок 1. Принцип дії системи «потрійний очищення»

Весь йде до сервера клієнта трафік піддається очищенню в 3-х місцях:

1. На прикордонних маршрутизаторах

На більш ніж сотні прикордонних маршрутизаторів, розкиданих по всьому світу, відсікається паразитний трафік, що генерується атаками типу TCP- і UDP-amplification (спрямовані на переповнення каналів зв'язку шляхом генерації величезного потоку пакетів даних).

1. На апаратних фільтрах

Мережа фільтрації, що складається з декількох апаратних рішень для обробки пакетів на високій швидкості, блокує атаки типу UDP- і TCP-флуд (полягає у відправці пакетів великого об'єму на певні або випадкові номери портів серверів клієнта), при цьому динамічне балансування навантаження на устаткування дозволяє максимально ефективно розподіляти ресурси очищення.

1. На Stateful-фільтрах

Тонка очистка на цьому рівні дозволяє додатково захиститися від складних атак, в тому числі атак ботнетів (мереж заражених призначених для користувача пристроїв з запущеними ботами, таємно встановленими на них), шляхом виконання перевірки трафіку на коректність процесу з'єднання і передачі даних.

Варіанти підключення сервісу StormWall

Скористатися сервісом щодо захисту від DDoS-атак StormWall можна відповідно до одного з трьох сценаріїв.

1. захист сайту

Такий варіант організації захисту передбачає трансляцію А-записи DNS сайту клієнта на виданий StormWall захищений IP-адреса. При цьому проксіруются запити відвідувачів сайту, а на сервер клієнта направляється чистий трафік зі збереженням реальних IP-адрес в HTTP-заголовку, що абсолютно прозоро для веб-додатків.

Малюнок 2. Схема потоків трафіку при захисті сайту

Крім того, при захисті сайту є варіант з переїздом сайту на хостинг StormWall або на VDS / виділений сервер.

1. Захист IP-адрес (TCP / UDP)

Підключення сервісу в такому варіанті здійснюється за допомогою GRE- або IPIP-тунелю. Необхідно, щоб обладнання або софт клієнта підтримувало протоколи тунелювання GRE / IPIP. В цьому випадку при запитах до сайту відвідувачі підключаються до захищеного IP (виділяється сервісом StormWall і прописується на кінцевому обладнанні клієнта при організації тунелю). Важливо відзначити, що при такій технології підключення клієнт бачить все реальні IP-адреси підключаються користувачів.

Якщо сервер клієнта не підтримує технологію GRE / IPIP-тунелювання (наприклад, в разі використання сервера на базі Windows), єдиним способом залишається підключення сервісу StormWall з використанням проксінг. В цьому випадку фіксувати реальні адреси користувачів не представляється можливим, т. К. Все запити до сервера будуть проксіровать через один IP-адреса.

Малюнок 3. Схема потоків трафіку при захисті IP-адрес

1. Захист мережі (BGP)

Даний тип організації захисту актуальний, якщо у клієнта своя власна AS (автономна система, набір IP-мереж для використання в BGP маршрутизації між провайдерами) або PI (провайдеро-незалежний) блок виділених IP-адрес. Для підключення сервісу StormWall за таким сценарієм встановлюється підключення за допомогою тунелю GRE / IPIP / MPLS або фізично на одному з майданчиків (на момент написання огляду є фізичне підключення в Москві, Франкфурті, Вашингтоні), або через IX (MSK-IX, Data-IX , DE-CIX, NL-ix). При цьому необхідно анонсувати по протоколу BGP потрібні IP-префікси в сторону сервісу, який потім фільтрує весь проходить трафік і доставляє назад клієнту очищений. Важливо відзначити, що існує можливість управляти транзитом трафіку, переводячи, наприклад, анонси на захист тільки в разі детектування атаки, для чого клієнтові надається безкоштовний DDoS-сенсор.

Малюнок 4. Схема потоків трафіку при захисті мережі

Додаткові опції і розширення

Крім безпосереднього захисту сайтів, розташованих на власному майданчику клієнта або на сторонньому хостингу, у сервісу StormWall передбачений ряд додаткових опцій, деякі з яких надаються безкоштовно.

1. захищений хостинг

Комплексний пакет послуг «хостинг + захист від DDoS-атак» можна замовити прямо на порталі сервісу StormWall, вибравши необхідні параметри. В цьому випадку сервіс по захисту від DDoS-атак буде вже «на борту».

1. CDN-сервіс (Content Delivery Network)

Для оптимізації швидкості завантаження сайтів для відвідувачів з різних точок планети клієнтам StormWall пропонується підключити опцію CDN з сумарною пропускною спроможністю 500 Гбіт / с і більше 40 точок віддачі трафіку по всьому світу (географічно розподілена мережева інфраструктура, що дозволяє оптимізувати доставку і дистрибуцію контенту сайту кінцевим користувачам) . Сервіс дозволяє досягти максимальної швидкості завантаження незалежно від місцезнаходження як джерела контенту, так і його споживача. Даний сервіс реалізований спільно з партнером (компанія CDNNOW) і може бути замовлений в один клік безпосередньо в особистому кабінеті StormWall.

1. WAF (Web Application Firewall) as a Service

Велике число сучасних атак націлені безпосередньо на web-додатки і експлуатують уразливості в них. При замовленні сервісу StormWall можна підключити опцію WAF (Web Application Firewall - захисний екран рівня додатків, призначений для виявлення і блокування сучасних атак на веб-додатки, в тому числі і з використанням вразливостей нульового дня). Реалізація зазначеної функціональності здійснюється на базі партнерського рішення - SolidWall WAF від компанії Solid Lab, при цьому технічна підтримка і консультації по інцидентах входять у вартість передплати.

Тестування сервісу StormWall

Для тестування функцій по захисту сайтів від DDoS-атак був обраний один з наших порталів - datacenterexpert.ru. Щоб почати користуватися сервісом, необхідно замовити послугу на сайті stormwall.pro, вибравши при цьому один з бажаних тарифних планів: Lite, Standard, Business One або Enterprise One. Для більшості середніх і великих сайтів найбільш оптимально підійде Business One, який ми і замовили.

Малюнок 5. Процес замовлення сервісу по захисту сайтів

Процес замовлення в прямому сенсі укладається в 3 кліка, а можливість вибору зручного розрахункового періоду (місяць, квартал, півроку, рік) дозволить гармонізувати планування витрат на сервіс до прийнятої в компанії бюджетною політикою. Відразу ж при оформленні можна вибрати кількість доменів, виділених захищених IP-адрес, максимальну пропускну здатність в режимі очищення, а також підключити WAF і CDN. Впадає в очі частково не перекладений на російську мову інтерфейс налаштування параметрів, що багато в чому пояснюється історично склалися позначеннями технічних термінів. Однак розробники анонсують максимальну ступінь русифікації вже в найближчих релізах.

Робота з особистим кабінетом

Після реєстрації, підтвердження і оплати замовлення з'являється можливість потрапити в особистий кабінет (він же - панель управління).

Малюнок 6. Інтерфейс панелі управління сервісом

Варто відзначити зручний і вже став звичним для web-продуктів інтерфейс, де можна ознайомитися з поточними параметрами замовленої послуги. Система відразу ж пропонує послуги «віртуального помічника-оператора», якому можна задавати абсолютно будь-яке питання як по налаштуванню сервісу, так і звертатися по виникаючих проблем і терміновим інцидентів. До речі, за фактами звернень за останніми двома пунктами автоматично створюється тікет в техпідтримку, про зручність та якість якої ми поговоримо окремо. Постійно спливаюче вікно помічника спочатку здалося нам надмірно нав'язливим, проте в процесі тестування ми цілком «подружилися» з ним. Крім того, розробники анонсували можливість відключення цієї функції в наступних версіях сервісу.

Візуалізована карта запитів до сайту дозволить оцінити переваги відвідувачів за географічною ознакою, що може виявитися дуже корисним, особливо для інтернет-магазинів і постачальників хмарних сервісів.

Малюнок 7. Карта топ запитів до сайту за хвилину

Профіль циркуляції трафіку до сайту можна подивитися на відповідних графіках, вибравши при необхідності тип контенту. Крім того, доступна ретроспектива за тиждень.

Малюнок 8. Графіки запитів до сайту

З панелі керування за принципом «одного вікна» (або single sign on) можна перейти до налаштувань WAF і CDN, що, безсумнівно, зручно.

Малюнок 9. Інтерфейс переходу до панелей управління WAF і CDN

Безпосередня тонка настройка роботи сервісу доступна в розділі «Управління фільтром» (HTTP і HTTPS). Важливо підкреслити, що при конфігурації налаштувань оновлені політики застосовуються відразу ж, при цьому не відбувається обриву клієнтських сесій.

Малюнок 10. Панель управління фільтрами

вкладка Home

Вкладка Home фільтра HTTP містить основні настройки, їх призначення інтуїтивно зрозуміло і супроводжується прикладами.

Малюнок 11. Вкладка Home фільтра HTTP

З цікавого варто відзначити можливість заміни стандартної сторінки помилки (параметр StormWall error pages) при недоступності вашого сайту у відвідувача на візуалізоване уявлення із зазначенням проблемної точки, в якій рветься з'єднання.

Малюнок 12. Сторінка помилки StormWall error pages

Проста на перший погляд функціональність редиректу (з http на https і назад, обробка написання сайту з префіксом www або без нього, а також перенаправлення за іншою адресою, наприклад, на час проведення регламентних робіт) реалізована далеко не на всіх хостингах, тому можливість його використання в StormWall є безсумнівним плюсом.

Окремо зупинимося на можливості гнучкої балансування навантаження на сайт і його резервування. Сервісу дозволяє налаштувати прив'язку високонавантажених сайтів до кількох IP-адресами, щоб відповідно до заданого пріоритетом балансувати потік відвідувачів між ними. Крім того, якщо з яких-небудь причин основний IP-адреса, до якого прив'язана DNS-ім'я сайту, «ляже», система автоматично перенаправляє запити на вказаний резервний IP.

Малюнок 13. Налаштування балансування і резервування IP

вкладка Protection

На цій вкладці реалізована власна розробка StormWall - настроюються режими роботи (параметр Protection mode). В наявності є таке рівні роботи фільтра:

1. Always OFF - аналіз і фільтрація трафіку не проводиться. Свого роду правило any-to-any.
2. Sensor mode - при відсутності підозрілої активності запити аналізуються, але не фільтруються, при детектуванні атаки фільтр самостійно підключає необхідні параметри. Після закінчення атаки строгість перевірки фільтра буде знижена автоматично. Цей режим встановлений за замовчуванням і підійде для повсякденної роботи більшості сайтів, саме його ми і вибрали в якості основного при тестуванні.
3. Always ON (Redirect) - фільтр постійно активний з мінімальним рівнем строгості перевірки. При виявленні підозрілої активності або детектировании атаки рівень захисту автоматично підвищується до JS validation.
4. Always ON (JS / JSA validation) - постійно активний строгий режим перевірки, може викликати проблеми в роботі ботів і окремих категорій користувачів, що звертаються до сайту. Зазначений режим блокує більшість відомих атак. В процесі тестування даного режиму нами не було помічено велику кількість помилкових спрацьовувань, однак на популярних сайтах з великою відвідуваністю ефект може бути непередбачуваний.
5. Always ON (CAPTCHA) - при запитах до сайту здійснюється 100% перевірка «на робота» при первинному вході. Даний режим здається нам надмірною в більшості випадків, однак може бути корисний при налагодженні певних функцій на сайті або з метою миттєвого припинення неконтрольованого сплеску запитів.

Інші налаштування на описуваної вкладці дозволяють оптимізувати роботу фільтрів, керуючи конкретними типами файлів. В ході тестування настройки за замовчуванням виявилися для нас оптимальними.

Малюнок 14. Налаштування вкладки Protection HTTP-фільтра

вкладка Caching

На цій вкладці настроюється управління кешем для обраних типів файлів. Налаштування такого роду будуть корисні, щоб мінімізувати «Хабра-ефект» при одночасному великій кількості однотипних сесій. Ми в процесі тестування сервісу включили кешування статичних файлів (зображення, файли шаблонів і стилів).

Малюнок 15. Налаштування вкладки Caching HTTP-фільтра

Решта вкладки в розділі налаштувань HTTP-фільтрів дозволяють вручну прописати black- і white-листи, використовуючи IP-адреси або URL відповідних сайтів.

Налаштування фільтру HTTPS

При використанні сайтом SSL- або TLS-шифрування (протокол HTTPS) трафіку відвідувачів необхідно виконати в даному розділі настройки, аналогічні описаним вище. При цьому важливо не забути прописати діючий сертифікат SSL сайту (а краще - весь ланцюжок, аж до кореневого засвідчує центру), а також приватний ключ.

Також варто зауважити, що при включенні SSL на стороні захисту StormWall автоматично активується протокол HTTP2, який дозволяє прискорити завантаження сайту.

Малюнок 16. Вкладка SSL фільтра HTTPS

Технічна підтримка

Окремої згадки заслуговує служба технічної підтримки сервісу StormWall. Про можливість оперативно задати питання з експрес-чаті ми вже писали вище. В ході тестування нам було цікаво оцінити швидкість реакції на виникаючі питання. Час першого відповіді живої людини не перевищило 1 хвилини з моменту звернення. Розгорнуті ж покрокові рекомендації щодо вирішення озвученої проблеми ми отримали через 10 хвилин. Всі повідомлення в чаті автоматично транслюються у внутрішню корпоративну систему комунікацій StormWall, в примусовому порядку сповіщаються керівники технічної підтримки. Якщо озвучена в чаті проблема не є терміновою або її рішення займає тривалий час, автоматично створюється тікет і присвоюється номер. Згодом можна буде звертатися з вказаним номером з будь-яких інших каналах: по електронній пошті, за допомогою кнопки «створити тікет» або зателефонувавши за цілодобовим номером телефону. А при виборі тарифу Enterprise клієнту надається виділений канал Slack, в якому можна безпосередньо поспілкуватися з інженерами і Anti-DDoS-експертами компанії, причому цілодобово.

Малюнок 17. Чат технічної підтримки

Тестові DDoS-атаки на сайт

Щоб повною мірою оцінити можливості сервісу StormWall, ми самостійно організували тестові атаки різних типів на наш сайт http://www.datacenterexpert.ru/ .

Атака TCP SYN Flood

Один з найпоширеніших типів атаки, оскільки вона є вкрай дієвою. Атака полягає у відправці великої кількості SYN-запитів (пакетів по протоколу TCP) в короткий термін. Ми в процесі тестування згенерували флуд потужністю близько 7 мільйонів пакетів в секунду.

Малюнок 18. Трафік атаки TCP SYN Flood

Вся інформація про атаку в режимі реального часу відображається в особистому кабінеті (початок атаки о 15:11). Нагадаємо, що режим контролю трафіку у нас встановлений Sensor mode (за замовчуванням).

Малюнок 19. Інформація про атаку в особистому кабінеті

Із запису в особистому кабінеті видно, що атака почалася о 15:11, тривала 4 хвилини і завершилася о 15:14, тип шкідливої ​​активності також визначено без помилок. Варто відзначити, що оповіщення про початок і завершення атаки нам надійшли на електронну пошту.

Малюнок 20. Лист з інформацією про атаку в електронній пошті

Щоб оцінити, наскільки StormWall реально справляється з атаками і як це позначається на доступності сайту для відвідувачів, ми використовували можливості сервісу check-host.net для тестування факту і часу відгуку на різні запити.

Малюнок 21. Доступність сайту в нормальному режимі роботи, до атаки (запити HTTP) - час: 15:05

Малюнок 22. Доступність сайту під час атаки (запити HTTP) - час: 15:13

Виміри показують, що ступінь доступності сайту під час атаки для відвідувачів практично не змінилася, StormWall успішно відбив спробу покласти сайт. Візуально також спостерігається, що сайт нормально відкривається в браузері - як до атаки, так і під час неї затримок не помічено.

Атака Distributed HTTP Flood

За статистикою, 95% всіх DDoS-атак на сайти припадає саме на цей тип. Запити зловмисника маскуються під легітимні GET-request звичайних користувальницьких браузерів. З метою ускладнити завдання сервісу StormWall по боротьбі з такого роду атаками нам вдалося згенерувати серію розподілених атак (з 900 IP), що створюють сумарне навантаження на сайт близько 1800 HTTP-запитів в секунду.

Малюнок 23. Карта розподілених запитів до сайту в момент атаки

Малюнок 24. Графік HTTP-запитів до і під час атаки

З графіка запитів в особистому кабінеті видно, що атака почалася о 15:16, тривала близько 10 хвилин і завершилася о 15:26. Варто відзначити, що оповіщення про початок і завершення атаки нам також надійшли на електронну пошту, проте в особистому кабінеті ця шкідлива активність в історію атак не потрапила.

Малюнок 25. Лист з інформацією про атаку в електронній пошті

Аналогічні описаним ваше виміри доступності сайту до і під час атаки також підтвердили, що сервіс StormWall успішно впорався з нею, і все це ніяк не вплинуло на доступність для відвідувачів.

висновки

DDoS-атаки сьогодні є дуже серйозним головним болем практично для будь-якої сучасної компанії. Захист від них - обов'язковий елемент побудови тієї самої ешелонованої оборони підприємства, що складається їх різних засобів протидії зловмисникам. Сервіс по захисту від DDoS-атак StormWall від вітчизняної компанії ТОВ «СТОРМ СИСТЕМС» зарекомендував себе як один з визнаних лідерів на цьому ринку. В процесі тестування ми переконалися на практиці в можливостях StormWall по відображенню атак, перевіривши функції захисту сайту, підключивши послугу за методом трансляції А-записи DNS сайту. Також важливу роль відіграє перевага сервісу, пов'язане з можливістю вибору захищеного хостингу під ключ, опцій WAF і CDN.

переваги

• Сервіс має точки присутності в найбільших ЦОДах в різних точках світу.
• Можливість фільтрації 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) і 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful).
• Cистема фільтрації власної розробки.
• Широкий вибір варіантів підключення сервісу під різні завдання.
• Наявність додаткових сервісів: захищений хостинг, CDN, WAF.
• Процедура замовлення послуги в 3 кліка.
• Оперативна технічна підтримка, власний чат, графік роботи 24х7.
• Ретроспективний аналіз трафіку, збереження повної історії атак.
• Є тестовий період з повним спектром функцій.

недоліки

• Необхідність надавати сервісу закритий ключ в разі підключення захисту до сайту, який використовує HTTPS.
• Тестовий період за замовчуванням становить всього 24 години.
• Підтримка російської мови реалізована далеко не скрізь в інтерфейсі.
• База знань дуже велика, але також не цілком русифікована.
• Число налаштувань та додаткових опцій на даний момент невелика (наприклад, настройка списків white- і black-листів тільки вручну).
• Недостатня гнучкість настройки графіків перегляду трафіку (можливість вибрати тільки годину, день і тиждень).

Огляд сервісу StormWall для захисту від DDoS-атак

1. Вступ
2. Функціональні можливості StormWall
3. Варіанти підключення сервісу StormWall
4. Додаткові опції і розширення
5. Тестування сервісу StormWall
1. 5.1. Робота з особистим кабінетом
2. 5.2. Технічна підтримка
6. Тестові DDoS-атаки на сайт
1. 6.1. Атака TCP SYN Flood
2. 6.2. Атака Distributed HTTP Flood
7. висновки

Вступ

DDoS-атаки сьогодні, на жаль, - така ж буденність, як і доступ в інтернет. При цьому в умовах поширення Індустрії 4.0 (термін об'єднує інноваційні технології, створені людством за останні роки: інтернет речей, блокчейн, доповнена реальність, 3D-друк, автономні роботи і інші) не настільки важливо, зав'язаний чи бізнес цілком на продає сайт, онлайн- сервіс чи ні. У будь-якому випадку забезпечення надійних комунікацій між розподіленими офісами і гарантія безперебійного доступу співробітникам до ключових інформаційних ресурсів компанії є обов'язковою умовою нормального функціонування бізнесу. Спробуйте уявити ситуацію, коли менеджер на важливої ​​ділової зустрічі раптом не зміг «достукатися» до корпоративної CRM-системи і не зробив конкурентну пропозицію важливого клієнта. А неможливість відправити електронний лист в будь-який час доби - страшний сон будь-якого ділової людини. Сьогодні ми сприймаємо «цілодобовий онлайн» як даність, часто не прораховуючи ризики раптом опинитися без зв'язку в той момент, коли це вкрай важливо. Саме тому сьогодні DDoS-атаки є серйозним ризиком і загрозою безперервності бізнесу, що вимагає сучасної і якісної захисту. Крім того, останні публічні кейси доводять, що DDoS-атака часто є відволікаючим маневром при проведенні складного цілеспрямованого вторгнення, кінцевою метою якого стає крадіжка фінансових, облікових або особистих даних.

сервіс StormWall є одним з лідерів на ринку захисту від DDoS-атак. Штаб-квартира ТОВ «СТОРМ СИСТЕМС» знаходиться в Москві, але компанія має точки присутності в найбільших ЦОДах не тільки Росії (Москва), а й США (Вашингтон), Європи (Франкфурт), що дозволяє ефективно обробляти трафік ближче до місця розташування ресурсів клієнта.

ТОВ «СТОРМ СИСТЕМС» є офіційним членом організації RIPE, має статус локального інтернет-реєстратора (LIR) і має пирингові угоди про обмін трафіком з великими інтернет-провайдерами.

Істотну частину захисних технологій складають власні розробки, що наділяє сервіс по захисту сайтів від DDoS-атак StormWall вельми цікавими функціональними можливостями, про які поговоримо далі.

Функціональні можливості StormWall

Сервіс забезпечує фільтрацію великого числа різновидів DDoS-атак практично на всіх рівнях моделі OSI: мережевому, транспортному і сеансовому, а також на рівні додатків.

Технічні характеристики сервісу StormWall:

• 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) - обробка IP-пакетів на рівні ACL / FlowSpec;
• 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful) - кожне вхідне TCP-з'єднання обробляється та аналізується.

Cистема фільтрації власної розробки Triple Filter побудована таким чином, що проходження нелегітимного трафіку від зловмисників до серверів клієнта максимально ускладнено. Технологія боротьби з HTTP-флудом (т. Е. Безперервної відсилання HTTP-запитів GET на 80-й порт, що призводить до перевантаженості сервера) BanHammer дозволяє при атаці автоматично визначати ботів і відсівати їх від потоку реальних користувачів, які не блокуючи при цьому нормальний режим роботи.

Малюнок 1. Принцип дії системи «потрійний очищення»

Весь йде до сервера клієнта трафік піддається очищенню в 3-х місцях:

1. На прикордонних маршрутизаторах

На більш ніж сотні прикордонних маршрутизаторів, розкиданих по всьому світу, відсікається паразитний трафік, що генерується атаками типу TCP- і UDP-amplification (спрямовані на переповнення каналів зв'язку шляхом генерації величезного потоку пакетів даних).

1. На апаратних фільтрах

Мережа фільтрації, що складається з декількох апаратних рішень для обробки пакетів на високій швидкості, блокує атаки типу UDP- і TCP-флуд (полягає у відправці пакетів великого об'єму на певні або випадкові номери портів серверів клієнта), при цьому динамічне балансування навантаження на устаткування дозволяє максимально ефективно розподіляти ресурси очищення.

1. На Stateful-фільтрах

Тонка очистка на цьому рівні дозволяє додатково захиститися від складних атак, в тому числі атак ботнетів (мереж заражених призначених для користувача пристроїв з запущеними ботами, таємно встановленими на них), шляхом виконання перевірки трафіку на коректність процесу з'єднання і передачі даних.

Варіанти підключення сервісу StormWall

Скористатися сервісом щодо захисту від DDoS-атак StormWall можна відповідно до одного з трьох сценаріїв.

1. захист сайту

Такий варіант організації захисту передбачає трансляцію А-записи DNS сайту клієнта на виданий StormWall захищений IP-адреса. При цьому проксіруются запити відвідувачів сайту, а на сервер клієнта направляється чистий трафік зі збереженням реальних IP-адрес в HTTP-заголовку, що абсолютно прозоро для веб-додатків.

Малюнок 2. Схема потоків трафіку при захисті сайту

Крім того, при захисті сайту є варіант з переїздом сайту на хостинг StormWall або на VDS / виділений сервер.

1. Захист IP-адрес (TCP / UDP)

Підключення сервісу в такому варіанті здійснюється за допомогою GRE- або IPIP-тунелю. Необхідно, щоб обладнання або софт клієнта підтримувало протоколи тунелювання GRE / IPIP. В цьому випадку при запитах до сайту відвідувачі підключаються до захищеного IP (виділяється сервісом StormWall і прописується на кінцевому обладнанні клієнта при організації тунелю). Важливо відзначити, що при такій технології підключення клієнт бачить все реальні IP-адреси підключаються користувачів.

Якщо сервер клієнта не підтримує технологію GRE / IPIP-тунелювання (наприклад, в разі використання сервера на базі Windows), єдиним способом залишається підключення сервісу StormWall з використанням проксінг. В цьому випадку фіксувати реальні адреси користувачів не представляється можливим, т. К. Все запити до сервера будуть проксіровать через один IP-адреса.

Малюнок 3. Схема потоків трафіку при захисті IP-адрес

1. Захист мережі (BGP)

Даний тип організації захисту актуальний, якщо у клієнта своя власна AS (автономна система, набір IP-мереж для використання в BGP маршрутизації між провайдерами) або PI (провайдеро-незалежний) блок виділених IP-адрес. Для підключення сервісу StormWall за таким сценарієм встановлюється підключення за допомогою тунелю GRE / IPIP / MPLS або фізично на одному з майданчиків (на момент написання огляду є фізичне підключення в Москві, Франкфурті, Вашингтоні), або через IX (MSK-IX, Data-IX , DE-CIX, NL-ix). При цьому необхідно анонсувати по протоколу BGP потрібні IP-префікси в сторону сервісу, який потім фільтрує весь проходить трафік і доставляє назад клієнту очищений. Важливо відзначити, що існує можливість управляти транзитом трафіку, переводячи, наприклад, анонси на захист тільки в разі детектування атаки, для чого клієнтові надається безкоштовний DDoS-сенсор.

Малюнок 4. Схема потоків трафіку при захисті мережі

Додаткові опції і розширення

Крім безпосереднього захисту сайтів, розташованих на власному майданчику клієнта або на сторонньому хостингу, у сервісу StormWall передбачений ряд додаткових опцій, деякі з яких надаються безкоштовно.

1. захищений хостинг

Комплексний пакет послуг «хостинг + захист від DDoS-атак» можна замовити прямо на порталі сервісу StormWall, вибравши необхідні параметри. В цьому випадку сервіс по захисту від DDoS-атак буде вже «на борту».

1. CDN-сервіс (Content Delivery Network)

Для оптимізації швидкості завантаження сайтів для відвідувачів з різних точок планети клієнтам StormWall пропонується підключити опцію CDN з сумарною пропускною спроможністю 500 Гбіт / с і більше 40 точок віддачі трафіку по всьому світу (географічно розподілена мережева інфраструктура, що дозволяє оптимізувати доставку і дистрибуцію контенту сайту кінцевим користувачам) . Сервіс дозволяє досягти максимальної швидкості завантаження незалежно від місцезнаходження як джерела контенту, так і його споживача. Даний сервіс реалізований спільно з партнером (компанія CDNNOW) і може бути замовлений в один клік безпосередньо в особистому кабінеті StormWall.

1. WAF (Web Application Firewall) as a Service

Велике число сучасних атак націлені безпосередньо на web-додатки і експлуатують уразливості в них. При замовленні сервісу StormWall можна підключити опцію WAF (Web Application Firewall - захисний екран рівня додатків, призначений для виявлення і блокування сучасних атак на веб-додатки, в тому числі і з використанням вразливостей нульового дня). Реалізація зазначеної функціональності здійснюється на базі партнерського рішення - SolidWall WAF від компанії Solid Lab, при цьому технічна підтримка і консультації по інцидентах входять у вартість передплати.

Тестування сервісу StormWall

Для тестування функцій по захисту сайтів від DDoS-атак був обраний один з наших порталів - datacenterexpert.ru. Щоб почати користуватися сервісом, необхідно замовити послугу на сайті stormwall.pro, вибравши при цьому один з бажаних тарифних планів: Lite, Standard, Business One або Enterprise One. Для більшості середніх і великих сайтів найбільш оптимально підійде Business One, який ми і замовили.

Малюнок 5. Процес замовлення сервісу по захисту сайтів

Процес замовлення в прямому сенсі укладається в 3 кліка, а можливість вибору зручного розрахункового періоду (місяць, квартал, півроку, рік) дозволить гармонізувати планування витрат на сервіс до прийнятої в компанії бюджетною політикою. Відразу ж при оформленні можна вибрати кількість доменів, виділених захищених IP-адрес, максимальну пропускну здатність в режимі очищення, а також підключити WAF і CDN. Впадає в очі частково не перекладений на російську мову інтерфейс налаштування параметрів, що багато в чому пояснюється історично склалися позначеннями технічних термінів. Однак розробники анонсують максимальну ступінь русифікації вже в найближчих релізах.

Робота з особистим кабінетом

Після реєстрації, підтвердження і оплати замовлення з'являється можливість потрапити в особистий кабінет (він же - панель управління).

Малюнок 6. Інтерфейс панелі управління сервісом

Варто відзначити зручний і вже став звичним для web-продуктів інтерфейс, де можна ознайомитися з поточними параметрами замовленої послуги. Система відразу ж пропонує послуги «віртуального помічника-оператора», якому можна задавати абсолютно будь-яке питання як по налаштуванню сервісу, так і звертатися по виникаючих проблем і терміновим інцидентів. До речі, за фактами звернень за останніми двома пунктами автоматично створюється тікет в техпідтримку, про зручність та якість якої ми поговоримо окремо. Постійно спливаюче вікно помічника спочатку здалося нам надмірно нав'язливим, проте в процесі тестування ми цілком «подружилися» з ним. Крім того, розробники анонсували можливість відключення цієї функції в наступних версіях сервісу.

Візуалізована карта запитів до сайту дозволить оцінити переваги відвідувачів за географічною ознакою, що може виявитися дуже корисним, особливо для інтернет-магазинів і постачальників хмарних сервісів.

Малюнок 7. Карта топ запитів до сайту за хвилину

Профіль циркуляції трафіку до сайту можна подивитися на відповідних графіках, вибравши при необхідності тип контенту. Крім того, доступна ретроспектива за тиждень.

Малюнок 8. Графіки запитів до сайту

З панелі керування за принципом «одного вікна» (або single sign on) можна перейти до налаштувань WAF і CDN, що, безсумнівно, зручно.

Малюнок 9. Інтерфейс переходу до панелей управління WAF і CDN

Безпосередня тонка настройка роботи сервісу доступна в розділі «Управління фільтром» (HTTP і HTTPS). Важливо підкреслити, що при конфігурації налаштувань оновлені політики застосовуються відразу ж, при цьому не відбувається обриву клієнтських сесій.

Малюнок 10. Панель управління фільтрами

вкладка Home

Вкладка Home фільтра HTTP містить основні настройки, їх призначення інтуїтивно зрозуміло і супроводжується прикладами.

Малюнок 11. Вкладка Home фільтра HTTP

З цікавого варто відзначити можливість заміни стандартної сторінки помилки (параметр StormWall error pages) при недоступності вашого сайту у відвідувача на візуалізоване уявлення із зазначенням проблемної точки, в якій рветься з'єднання.

Малюнок 12. Сторінка помилки StormWall error pages

Проста на перший погляд функціональність редиректу (з http на https і назад, обробка написання сайту з префіксом www або без нього, а також перенаправлення за іншою адресою, наприклад, на час проведення регламентних робіт) реалізована далеко не на всіх хостингах, тому можливість його використання в StormWall є безсумнівним плюсом.

Окремо зупинимося на можливості гнучкої балансування навантаження на сайт і його резервування. Сервісу дозволяє налаштувати прив'язку високонавантажених сайтів до кількох IP-адресами, щоб відповідно до заданого пріоритетом балансувати потік відвідувачів між ними. Крім того, якщо з яких-небудь причин основний IP-адреса, до якого прив'язана DNS-ім'я сайту, «ляже», система автоматично перенаправляє запити на вказаний резервний IP.

Малюнок 13. Налаштування балансування і резервування IP

вкладка Protection

На цій вкладці реалізована власна розробка StormWall - настроюються режими роботи (параметр Protection mode). В наявності є таке рівні роботи фільтра:

1. Always OFF - аналіз і фільтрація трафіку не проводиться. Свого роду правило any-to-any.
2. Sensor mode - при відсутності підозрілої активності запити аналізуються, але не фільтруються, при детектуванні атаки фільтр самостійно підключає необхідні параметри. Після закінчення атаки строгість перевірки фільтра буде знижена автоматично. Цей режим встановлений за замовчуванням і підійде для повсякденної роботи більшості сайтів, саме його ми і вибрали в якості основного при тестуванні.
3. Always ON (Redirect) - фільтр постійно активний з мінімальним рівнем строгості перевірки. При виявленні підозрілої активності або детектировании атаки рівень захисту автоматично підвищується до JS validation.
4. Always ON (JS / JSA validation) - постійно активний строгий режим перевірки, може викликати проблеми в роботі ботів і окремих категорій користувачів, що звертаються до сайту. Зазначений режим блокує більшість відомих атак. В процесі тестування даного режиму нами не було помічено велику кількість помилкових спрацьовувань, однак на популярних сайтах з великою відвідуваністю ефект може бути непередбачуваний.
5. Always ON (CAPTCHA) - при запитах до сайту здійснюється 100% перевірка «на робота» при первинному вході. Даний режим здається нам надмірною в більшості випадків, однак може бути корисний при налагодженні певних функцій на сайті або з метою миттєвого припинення неконтрольованого сплеску запитів.

Інші налаштування на описуваної вкладці дозволяють оптимізувати роботу фільтрів, керуючи конкретними типами файлів. В ході тестування настройки за замовчуванням виявилися для нас оптимальними.

Малюнок 14. Налаштування вкладки Protection HTTP-фільтра

вкладка Caching

На цій вкладці настроюється управління кешем для обраних типів файлів. Налаштування такого роду будуть корисні, щоб мінімізувати «Хабра-ефект» при одночасному великій кількості однотипних сесій. Ми в процесі тестування сервісу включили кешування статичних файлів (зображення, файли шаблонів і стилів).

Малюнок 15. Налаштування вкладки Caching HTTP-фільтра

Решта вкладки в розділі налаштувань HTTP-фільтрів дозволяють вручну прописати black- і white-листи, використовуючи IP-адреси або URL відповідних сайтів.

Налаштування фільтру HTTPS

При використанні сайтом SSL- або TLS-шифрування (протокол HTTPS) трафіку відвідувачів необхідно виконати в даному розділі настройки, аналогічні описаним вище. При цьому важливо не забути прописати діючий сертифікат SSL сайту (а краще - весь ланцюжок, аж до кореневого засвідчує центру), а також приватний ключ.

Також варто зауважити, що при включенні SSL на стороні захисту StormWall автоматично активується протокол HTTP2, який дозволяє прискорити завантаження сайту.

Малюнок 16. Вкладка SSL фільтра HTTPS

Технічна підтримка

Окремої згадки заслуговує служба технічної підтримки сервісу StormWall. Про можливість оперативно задати питання з експрес-чаті ми вже писали вище. В ході тестування нам було цікаво оцінити швидкість реакції на виникаючі питання. Час першого відповіді живої людини не перевищило 1 хвилини з моменту звернення. Розгорнуті ж покрокові рекомендації щодо вирішення озвученої проблеми ми отримали через 10 хвилин. Всі повідомлення в чаті автоматично транслюються у внутрішню корпоративну систему комунікацій StormWall, в примусовому порядку сповіщаються керівники технічної підтримки. Якщо озвучена в чаті проблема не є терміновою або її рішення займає тривалий час, автоматично створюється тікет і присвоюється номер. Згодом можна буде звертатися з вказаним номером з будь-яких інших каналах: по електронній пошті, за допомогою кнопки «створити тікет» або зателефонувавши за цілодобовим номером телефону. А при виборі тарифу Enterprise клієнту надається виділений канал Slack, в якому можна безпосередньо поспілкуватися з інженерами і Anti-DDoS-експертами компанії, причому цілодобово.

Малюнок 17. Чат технічної підтримки

Тестові DDoS-атаки на сайт

Щоб повною мірою оцінити можливості сервісу StormWall, ми самостійно організували тестові атаки різних типів на наш сайт http://www.datacenterexpert.ru/ .

Атака TCP SYN Flood

Один з найпоширеніших типів атаки, оскільки вона є вкрай дієвою. Атака полягає у відправці великої кількості SYN-запитів (пакетів по протоколу TCP) в короткий термін. Ми в процесі тестування згенерували флуд потужністю близько 7 мільйонів пакетів в секунду.

Малюнок 18. Трафік атаки TCP SYN Flood

Вся інформація про атаку в режимі реального часу відображається в особистому кабінеті (початок атаки о 15:11). Нагадаємо, що режим контролю трафіку у нас встановлений Sensor mode (за замовчуванням).

Малюнок 19. Інформація про атаку в особистому кабінеті

Із запису в особистому кабінеті видно, що атака почалася о 15:11, тривала 4 хвилини і завершилася о 15:14, тип шкідливої ​​активності також визначено без помилок. Варто відзначити, що оповіщення про початок і завершення атаки нам надійшли на електронну пошту.

Малюнок 20. Лист з інформацією про атаку в електронній пошті

Щоб оцінити, наскільки StormWall реально справляється з атаками і як це позначається на доступності сайту для відвідувачів, ми використовували можливості сервісу check-host.net для тестування факту і часу відгуку на різні запити.

Малюнок 21. Доступність сайту в нормальному режимі роботи, до атаки (запити HTTP) - час: 15:05

Малюнок 22. Доступність сайту під час атаки (запити HTTP) - час: 15:13

Виміри показують, що ступінь доступності сайту під час атаки для відвідувачів практично не змінилася, StormWall успішно відбив спробу покласти сайт. Візуально також спостерігається, що сайт нормально відкривається в браузері - як до атаки, так і під час неї затримок не помічено.

Атака Distributed HTTP Flood

За статистикою, 95% всіх DDoS-атак на сайти припадає саме на цей тип. Запити зловмисника маскуються під легітимні GET-request звичайних користувальницьких браузерів. З метою ускладнити завдання сервісу StormWall по боротьбі з такого роду атаками нам вдалося згенерувати серію розподілених атак (з 900 IP), що створюють сумарне навантаження на сайт близько 1800 HTTP-запитів в секунду.

Малюнок 23. Карта розподілених запитів до сайту в момент атаки

Малюнок 24. Графік HTTP-запитів до і під час атаки

З графіка запитів в особистому кабінеті видно, що атака почалася о 15:16, тривала близько 10 хвилин і завершилася о 15:26. Варто відзначити, що оповіщення про початок і завершення атаки нам також надійшли на електронну пошту, проте в особистому кабінеті ця шкідлива активність в історію атак не потрапила.

Малюнок 25. Лист з інформацією про атаку в електронній пошті

Аналогічні описаним ваше виміри доступності сайту до і під час атаки також підтвердили, що сервіс StormWall успішно впорався з нею, і все це ніяк не вплинуло на доступність для відвідувачів.

висновки

DDoS-атаки сьогодні є дуже серйозним головним болем практично для будь-якої сучасної компанії. Захист від них - обов'язковий елемент побудови тієї самої ешелонованої оборони підприємства, що складається їх різних засобів протидії зловмисникам. Сервіс по захисту від DDoS-атак StormWall від вітчизняної компанії ТОВ «СТОРМ СИСТЕМС» зарекомендував себе як один з визнаних лідерів на цьому ринку. В процесі тестування ми переконалися на практиці в можливостях StormWall по відображенню атак, перевіривши функції захисту сайту, підключивши послугу за методом трансляції А-записи DNS сайту. Також важливу роль відіграє перевага сервісу, пов'язане з можливістю вибору захищеного хостингу під ключ, опцій WAF і CDN.

переваги

• Сервіс має точки присутності в найбільших ЦОДах в різних точках світу.
• Можливість фільтрації 1650 Гбіт / с смуги пропускання без перевірки з'єднання (stateless) і 150 Гбіт / с смуги пропускання з перевіркою з'єднання (stateful).
• Cистема фільтрації власної розробки.
• Широкий вибір варіантів підключення сервісу під різні завдання.
• Наявність додаткових сервісів: захищений хостинг, CDN, WAF.
• Процедура замовлення послуги в 3 кліка.
• Оперативна технічна підтримка, власний чат, графік роботи 24х7.
• Ретроспективний аналіз трафіку, збереження повної історії атак.
• Є тестовий період з повним спектром функцій.

недоліки

• Необхідність надавати сервісу закритий ключ в разі підключення захисту до сайту, який використовує HTTPS.
• Тестовий період за замовчуванням становить всього 24 години.
• Підтримка російської мови реалізована далеко не скрізь в інтерфейсі.
• База знань дуже велика, але також не цілком русифікована.
• Число налаштувань та додаткових опцій на даний момент невелика (наприклад, настройка списків white- і black-листів тільки вручну).
• Недостатня гнучкість настройки графіків перегляду трафіку (можливість вибрати тільки годину, день і тиждень).