Статьи

Vps windows безкоштовно: DDoS-атаки і електронна комерція

  1. Vps windows безкоштовно: класифікація атак і захист від них
  2. Надійний захист від атак
  3. Vps windows безкоштовно: оцінка ризиків та рекомендації
  4. Хостинг в Європі
  5. хмара
  6. CDN
  7. Загальні рекомендації по мережевій архітектурі
  8. Відгуки про хостинг:

У різних матеріалах із захисту від DDoS-атак, які публікуються всілякими організаціями, раз по раз зустрічаються одні і ті ж помилки. Наводяться взяті з якихось звітів відомості про зафіксовані атаках обсягом, припустимо, 400 Гбіт / с.

З цього робиться висновок, що все досить погано і треба терміново щось робити, але в загальних характеристиках пропонованих послуг при цьому зазначений верхній ліміт обсягу фільтровану атак лише в 10 Гбіт / с. І подібні невідповідності виникають дуже часто.

Це відбувається тому, що фахівці, що створюють саму послугу, не сильно вірять в те, що такі потужні атаки реальні. Оскільки ні самі ці експерти, ні хтось, кого вони знають, з подібними атаками ще не стикалися.

Тому виникає актуальне для онлайн-бізнесу питання: які загрози зараз дійсно актуальні і які малоймовірні? Як же оцінювати ризики? Про все це розповідається в цій статті.

Vps windows безкоштовно: класифікація атак і захист від них

Класифікація атак

Для початку давайте поговоримо про те, які сьогодні бувають - DDoS -атаки. В якості основного критерію для класифікації можна взяти об'єкт атаки, тобто що саме ламається. В такому випадку виділити можна чотири основні класи DDoS-атак, що здійснюються на різних рівнях.

  • Перший клас або L2 - це «забивання» каналу. Атаки, спрямовані на позбавлення доступу до зовнішньої мережі через вичерпання канальної ємності. Зовсім неважливо, як саме. В основному, для цієї мети застосовуються масовані, з точки зору трафіку, DDoS-атаки на кшталт «щось» -Amplification (NTP-, RIP-, DNS- ... Amplification може бути практично будь-який, зовсім немає сенсу перераховувати). Взагалі, до цього класу атак відносять різноманітні flood'и, зокрема ICMP Flood. Головне завдання в тому, щоб в канал розміром, скажімо, 1 гігабіт / с залити хоч 1,1 гігабіт / с. Цього буде цілком достатньо для повного припинення доступу.
  • Другий клас або L3 - порушення роботи мережевої інфраструктури. До даного класу відносяться, зокрема, атаки, які призводять до проблем з маршрутизацією в рамках спеціального протоколу BGP, з анонсами мереж - або ж DDoS-атаки, наслідком яких стають різноманітні проблеми і складності на транзитному мережевому обладнанні: наприклад, переповнення таблиці відстеження всіх з'єднань. Такі атаки відрізняються досить великою різноманітністю.
  • Третій клас або L4 - використання ненадійних місць TCP-стека. Тобто різні DDoS-атаки на транспортному рівні. Даний транспортний протокол, який лежить в самій основі HTTP і інших протоколів, досить складно влаштований. Наприклад, в ньому застосовується велика таблиця всіх активних з'єднань. Кожне із з'єднань є кінцевим автоматом. Саме атаки на даний автомат складають описуваний третій клас нападів. До даного класу відносять і атаку на кшталт SYN Flood в разі, якщо вона не завдала ніякої шкоди на попередніх рівнях, потім дійшла до сервера і внаслідок цього є повноцінною атакою на TCP-стек. Крім того, сюди віднести можна відкриття великої кількості з'єднань (TCP Connection Flood), що призводить до швидкого переповнення всієї таблиці протоколу. До цього класу, в основному, також відноситься використання таких популярних інструментів, як Slow POST і SlowLoris.
  • Четвертий клас або L7 - це деградація веб-додатки. Сюди відносять різноманітні «кастомниє» DDoS-атаки, починаючи від GET / HTTP / POST / Flood до нападів, які націлені на повторювані пошук і витяг певної інформації з бази даних, пам'яті, або з диска, поки у сервера не закінчаться всі ресурси.

Зверніть вашу увагу на те, що оцінювати DDoS-атаку в гігабіти є сенс, як правило, на найбільш низькому рівні (L2). Оскільки для виведення з ладу, наприклад, MySQL за допомогою пошуку по всім товарам занадто багато гігабіт не потрібно, як і розуму. Цілком достатньо лише використовувати від 5000 ботів, які запитують розширений пошук і оновлюють сторінку, можливо навіть, що одну і ту ж (залежить від налаштування кешування на сервері жертви).

При подібних атаках проблеми з'являться у багатьох. Хто-небудь «просяде» при атаці 50000 ботів, найбільш стійкі системи витримають DDoS-атаку і до 100000 спамерських пошукових роботів. При цьому в минулому році максимальне зареєстроване число ботів, одночасно атакуючих, досягло вже 419000.

При цьому в минулому році максимальне зареєстроване число ботів, одночасно атакуючих, досягло вже 419000

Надійний захист від атак

Давайте розглянемо, що можна протиставити на кожному з перерахованих вище рівнів.

L2. У разі якщо смуга DDoS-атаки перевищує 100 гігабіт / с, то дані гігабіти необхідно десь обробляти, наприклад, на стороні дата-центру або провайдера, і проблема буде завжди в «останньої милі». За допомогою технології під назвою BGP Flow Spec можна легко фільтрувати певну частину DDoS-атак по сигнатурам пакетів - припустимо, Amplification з легкістю відсікається по порту джерела. Але цей спосіб досить дорогий і не від усього може захистити.

L3. На L3 слід аналізувати всю мережеву інфраструктуру, причому не тільки свою. Типовий приклад - у 2008 році через помилку Пакистан перехоплював префікси у сайту YouTube за допомогою BGP Hijacking. Тобто значна частина трафіку даного популярного хостингу відео перенаправляє в Пакистан.

На жаль, автоматично з такою напастю боротися просто неможливо, все доведеться робити своїми руками. Правда до того, як почнеться боротьба, ще треба буде визначити, що ця проблема взагалі з'явилася.

У разі якщо це сталося, то слід звернутися до мережевого оператора, до хостера, до адміністрації дата-центру. Вони допоможуть вам у вирішенні даної проблеми.

Однак для цього необхідна просунута аналітика всієї мережевої інфраструктури, так як ознакою Hijacking служить, в загальному випадку, лише те, що, починаючи з певного моменту, анонси цієї мережі в інтернеті пішли «нестандартні», зовсім не такі, які були протягом довгого часу до цього. Таким чином, для своєчасного виявлення слід як мінімум мати історію анонсів.

У разі якщо у вас власної автономної системи немає, можна вважати, що боротьба з потужними DDoS-атаками на даному рівні більш-менш є обов'язком вашого дата-центру (або хостинг провайдера). Але заздалегідь не можна зазвичай сказати, наскільки певний дата-центр всерйоз підходить до такої проблеми.

L4. Для захисту від різних атак на цьому рівні треба виконувати аналіз поведінки TCP-клієнтів, всіх TCP-пакетів на сервері, повноцінний так званий евристичний аналіз.

L7. На L7 слід проводити поведінковий аналіз і займатися моніторингом. Не маючи в наявності спеціальних інструментів для моніторингу та аналітики, взяти і налаштувати Nginx настільки добре, щоб він відбив всі DDoS-атаки, неможливо. Боротьба з потужними DDoS-атаками, на жаль, все одно перетвориться в довгу ручну роботу.

Vps windows безкоштовно: оцінка ризиків та рекомендації

Оцінка ризиків

Отже, де приймаються і обробляються всі вхідні HTTP-запити:

Для оцінки всіх ризиків можна використовувати таке корисне засіб, як матриця ймовірності і впливу.

Для оцінки всіх ризиків можна використовувати таке корисне засіб, як матриця ймовірності і впливу

По горизонтальній осі показується вся серйозність наслідків певної події, а по вертикальній - його ймовірність. Рамкою білого кольору в цьому випадку виконаний рівень ризику для атак DDoS на поточний час.

Від чого ж залежить ймовірність атаки? Перш за все, атаки - це засіб для конкурентної боротьби. У разі якщо у вашій частині ринку спокійно, то DDoS-атак довгий час не буде. Проте, якщо конкуренція зростає, необхідно готуватися до захисту, і білу рамку слід переміщати вниз по осі.

Однак найстрашніше в будь-який DDoS-атаці - це вплив. Припустимо, напад виконується на вашого хостинг провайдера. Навіть якщо в даний момент звернутися до постачальника сучасних anti-DDoS-рішень, не факт, що він зуміє допомогти.

Вся проблема в тому, що ваша адреса IP, де знаходиться «ваше все» - від веб-сервера до баз даних і інших найважливіших компонентів - атакуючим вже відомий. І якщо ви навіть вкажете в DNS будь-якої іншої адреса, з певною ймовірністю це, на жаль, не зіграє взагалі ніякої ролі і атака продовжена буде безпосередньо. Вам, в кращому випадку, доведеться з'їхати з даного хостингу.

І в такому випадку ваші проблеми оцінити можна як «дуже серйозні», тому як складно придумати що-небудь гірше для IT-проекту, ніж переїзд на непідготовлену платформу в робочий час, при лежачому сервері.

Чому мало змінити IP на тому ж хостингу? Тому як нова адреса буде, на жаль, з тієї ж автономної системи. А зловмисники сьогодні вже можуть дивитися на перелік префіксів автономної системи. Таким чином, знайти вас на нову адресу не складе труднощів, досить атакувати повністю всі адреси в автономній системі.

Давайте тепер оцінимо, наскільки той чи інший мережевий ресурс схильний до DDoS-атакам певного мережевого рівня.

Давайте тепер оцінимо, наскільки той чи інший мережевий ресурс схильний до DDoS-атакам певного мережевого рівня

Хостинг в Європі

Переважна більшість сьогоднішніх vps windows безкоштовно не здатні відфільтрувати досить потужні DDoS-атаки, чий трафік значно перевищує 100 Гбіт / с. Зокрема і на останній милі до вашого сервера.

У зв'язку з цим вам доведеться своїми руками обробляти весь, або майже весь, флуд, який до вас прийде. На сьомому рівні вам точно доведеться самостійно виконувати аналітику, так як це ваш сервери це ваші проблеми.

На L3 небезпека не сильно висока, так як, заради вашого ресурсу, швидше за все, не будуть, скажімо, префікс красти у всього хостингу. Це вкрай складно, дорого для будь-якого зловмисника. Це цілком можна зробити, але необхідно дуже вагома підстава. Хоча, зрозуміло, з будь-якого життєвого правила бувають і винятки, особливо якщо в мережевій інфраструктурі обраного хостингу є якісь проблеми із загальною продуктивністю.

Є дуже важливий нюанс: дуже багато вендори для захисту пропонують дороге обладнання, яке ставиться в вашу стійку, в нього включається downlink і uplink, що веде до вашого сервера.

Проблема тут в тому, що мережа не більш стійка, ніж стійка так звана «остання миля», включаючи також застосовується вами обладнання. У вас по-любому повинен бути запас загальної продуктивності для того, щоб завантаження процесора в годину пік була близька до 100%.

В іншому випадку будь-яка маленька стрибок зможе привести до відмови. У разі якщо хакери недосвідчені, і ви можете впоратися самостійно, то все одно вам необхідний запас міцності, поки ви пишете спеціальні скрипти для автобану, вивчаєте запити, налаштовуєте fail2ban.

Крім того, слід зазначити, що якщо ви розташовуєтеся фізично на ресурсах, які ніяк не захищені, зміна DNS з ймовірністю до 30% вам точно не допоможе. Про це говорить досвід свіжих атак на фінансові організації США. Тому можна з упевненістю сказати, що вам доведеться дуже швидко переїжджати з погано захищеного хостингу.

хмара

У сучасного хмари в обов'язковому порядку повинна бути мережа Anycast. Тобто один і той же префікс повинен анонсований бути з безлічі місць в світі. Так як в одному місці DDoS-атаку на багато сотень гігабіт не переварити, а через рік можна очікувати вже повноцінні терабітних атаки.

Завдяки сучасній розподіленої структурі спільна небезпека DDoS-атак на канал дуже знижується. Однак навіть в умовах мережі Anycast DDoS-атака в 500 гігабіт / с - це багато. До цього треба готуватися, правда не всі, на жаль, це роблять.

Мережа бути повинна розподіленої, щоб атакуючий не міг використовувати її інфраструктуру. Потрібен запас по продуктивності (краще, дворазовий), оскільки ніяке число ресурсів вас не врятує, наприклад, від експлуатації різних труднощів при зверненні до бази.

І нарешті, найбільш «веселе» полягає в тому, що хмара може переварити досить багато користувацького трафіку, проте вам доведеться його оплатити. Коли ваш рахунок досягне багатьох тисяч доларів за останній місяць, вам почнуть просто обривати телефон або ж відключать його через вашу неплатоспроможності.

Таким чином, перебування в хмарі, на жаль, все одно не вирішує повністю проблему захисту від DDoS-атак. Воно тільки збільшує стійкість до того, коли ви встали під захист.

CDN

CDN розрахований на оброблення великих обсягів трафіку, тому зі «статикою» (CSS, зображення) він впорається легко. З канальної ємністю тут все той же, що і у хмари. Правда на рівні інфраструктури набагато цікавіше.

У CDN є завжди DNS-сервер, на який зав'язані всі послуги ресурсу. Якщо в разі хмари вся інфраструктура мережі можливо прихована за звичайним Anycast'ом, то у CDN майже завжди ви будете бачити маршрутизатор DNS, що перенаправляє користувача на найближчу точку CDN.

До того ж, у CDN будуть точки, винесені зі своєї мережі і Anycast, розташовані в різних чужих мережах, ближче до користувача.

Таким чином, вони не будуть захищені за замовчуванням. Їх неможливо захистити. І тут залежить все від того, як у CDN захищений його DNS, а також наскільки той готовий до швидкого вимикання з мережі атакованих нод. Правда подібне зустрічається рідко. DNS-сервер, який розкидає користувачів по різних регіонах, повинен бути захищений, продуманий і стійкий.

DNS-сервер, який розкидає користувачів по різних регіонах, повинен бути захищений, продуманий і стійкий

Загальні рекомендації по мережевій архітектурі

  • Адреса Anycast - це дуже корисно. І головне, що його можна легко орендувати. Балансування, резервування маршрутизатором Anycast - це набагато надійніше, ніж балансування DNS.
  • Зверніть вашу увагу на те, що IPv4 вже закінчуються, і на сьогоднішній день, якщо ви - велика компанія, є можливість відкусити останній шматочок даного простору адрес. Це треба використовувати, так як в майбутньому вам дістанеться лише IPv6, а в даному просторі не дуже багато користувачів.
  • Бажано відв'язати додаток від сервера. Термін «Docker» дуже проситься на язик, проте я не хочу прив'язуватися тут до якої-небудь певної технології. У разі якщо ви розміщуєте десь додаток, запасіться набором документів, різних інсталяційних скриптів, автоматизуйте повністю розгортання, конфігурування. Зробіть що завгодно для того, щоб бути повністю готовим розгорнути таке ж додаток з такою ж базою на сервері на іншому майданчику. Так як проблеми можуть розпочатися не тільки у вас, але і у тих, у кого ви розмістилися. Це дуже часта ситуація.

В даний час середній рівень DDoS-загроз досяг вже такого рівня, що самостійно справлятися з ними вкрай важко. Атакуючому набагато легше організувати напад, ніж жертві - захиститися. Після двох днів без сну, фактично будь-який системний адміністратор нічого більше не в змозі протиставити зловмисникові. Тому будьте пильні і обережні!

Відгуки про хостинг:


Тому виникає актуальне для онлайн-бізнесу питання: які загрози зараз дійсно актуальні і які малоймовірні?
Як же оцінювати ризики?
Від чого ж залежить ймовірність атаки?
Чому мало змінити IP на тому ж хостингу?

Новости