DDoS шабуылдарынан қорғау - веб-инфрақұрылымды қалай қауіпсіз сақтау керек
- DDoS шабуылдарынан желіні қорғау дегеніміз не
- Шабуылдарды жіктеу
- DDoS шабуылдарынан қорғаудың архитектуралық тәсілдері
- Сервер деңгейіндегі DDoS шабуылдарынан қорғау құралдары
- DDoS шабуылдарынан қорғауды тексеру парағы
- Егер DDoS басталса не істеу керек
- DDoS шабуылдарынан желіні қорғау кімге бірінші кезекте қажет
- DDoS шабуылдарынан қорғау корпусы
- Желіні DDoS шабуылдарынан қорғауды қалай таңдауға болады

DDoS шабуылдарынан қорғау - бұл зиянды трафикті сіздің серверіңізге кірмес бұрын сүзетін және сайтты немесе қызметті секундына ондаған гигабит жүктеме кезінде де қол жетімді ететін шаралар жиынтығы. Мұндай қорғаныс болмаса, тіпті ең қуатты арнайы сервер бірнеше минут ішінде құлап кетуі мүмкін.
DDoS шабуылдары дегеніміз не және олар шабуылдаушыларға не үшін қажет?
DDoS (Distributed Denial of Service) - бұл сервердің барлық ресурстарын: интернет қосылымын, компьютердің қуатын немесе қосылымдардың санын сарқуды көздейтін әртүрлі құрылғылардың шабуылы, сондықтан заңды пайдаланушылар қызметке кіре алмайды.
Шабуылдардың себептері көбінесе келесі белгілерге байланысты:
- Бопсалау және қорқыту - шабуылды тоқтатқаны үшін төлемді талап ету.
- Жосықсыз бәсекелестік - бәсекелес сервисінің істен шығуы.
- Жеке ұнатпаушылық - белгілі бір адамдарға немесе компанияларға жасалған шабуылдар.
- Көңіл көтеру - script kiddies деп аталатындар.
- Саяси наразылық - мемлекеттік және медиа ресурстарға жасалған шабуылдар.
Бизнес үшін салдары айқын: тоқтап қалудан тікелей қаржылық шығындар, беделге нұқсан келтіру және әсіресе жаманы - клиенттердің "сенімдірек" бәсекелестерге кетуі. Біздің компанияның статистикасына сәйкес, интернет-дүкеннің тіпті бір сағатқа тоқтап қалуы да, ең жоғары маусымда, жылдық қорғаныс жазылымына қарағанда қымбатқа түседі.

Шабуылдардың жіктелуі - олар қандай деңгейде ұрады
DDoS шабуылдары әдетте OSI моделінің деңгейлері бойынша бөлінеді - бұл қорғауды таңдаудың кілті.
| OSI деңгейі | Шабуыл түрі | Мысалдар | Не соғады |
|---|---|---|---|
| L3 (желілер) | Волюметриялық | ICMP су тасқыны (Smurf), UDP су тасқыны (Fraggle) | Өткізу қабілеттілігі |
| L4 (көлік) | Протоколдық | SYN су тасқыны, пакеттермен толып кету | Қосылым кестелері, файрвол |
| L7 (қосымша) | Қолданбалы | HTTP су тасқыны; дерекқорға "ауыр" сұраулар | CPU, жад, қолданба логикасы |
| Аралас | Жасырын адаптивті | Үлгіні өзгертетін комбинацияланған шабуылдар | Барлық деңгейлер бір уақытта |
Бөлек осалдықтарға шабуылдар бар: буфердің толып кетуі, кодтағы қателер, ресурстарды бөлудің нашар жүйелері арқылы DoS және сервердің DNS шабуылдары - олар сервердің өзін емес, домендік атау жүйелерін (DNS) бұзады, бұл серверлер жақсы жұмыс істесе де сайттың қолжетімділігін шектейді.

Серверлердегі DDoS шабуылдарынан қорғау жүйесінің архитектуралық тәсілдері
Мұнда үш модельдің арасындағы айырмашылықты түсіну маңызды:
- On-Premises (жергілікті қорғаныс) - жабдық клиентте орнатылған, ең аз кідіріс, бірақ шағылысқан шабуылдардың қуатымен шектелген.
- Бұлтты қорғаныс - трафик провайдердің таратылған сүзу желісінде тазартылады, 7+ Тбит/с және секундына 5 миллионнан астам команданың шабуылдарын тойтаруға қабілетті.
- Гибридті схема - ірі шабуылдар болған жағдайда бұлтты "резервпен" негізгі сүзгілеуге арналған жергілікті құралдардың тіркесімі.
Біз көптеген клиенттерге гибридті тәсілді ұсынамыз: ол реакция жылдамдығы мен құны арасындағы тепе-теңдікті қамтамасыз етеді.

Сервер деңгейіндегі қорғаныс құралдары
Өнеркәсіптік DDoS қорғанысын қоспас бұрын, негізгі осалдықтарды өз бетіңізше жабу керек. Міне, танымал құралдарды салыстыру:
| Құрал | Қорғаныс деңгейі | Артықшылықтары | Кемшіліктері |
|---|---|---|---|
| IPTables/NFTables | L3-L4 | Икемді ережелерді орнату, тегін | Сараптама қажет, қолмен орнату |
| CSF (ConfigServer Firewall) | L3-L4 | Алдын ала орнатылған пресеттер, қарапайым конфигурация | Iptables-ке қарағанда тікелей икемділігі төмен |
| UFW (Ubuntu) | L3-L4 | Жаңадан бастаушыларға оңай орнату | Бақылау функциясы бойынша CSF сияқты жақсы емес |
| Fail2ban | L4-L7 | Мінез-құлық үлгілері бойынша авто-блоктау | Волюметрлік шабуылдардан қорғамайды |
| Nginx модульдері (limit_req) | L7 | Веб-серверге сұраныстарды шектеу | Инфрақұрылымды жалпы қамтамасыз етпейді |
| CDN | L7 | Кэштеу, жүктемені бөлу | Кейде L3-L4 жабылмайды |
| Бұлтты анти-DoS қызметі | L3-L7 | Өнеркәсіптік сүзу қуаты | Трафикті беру керек, ол үшін провайдер компания жауап береді |
Жергілікті құралдар нүктелік қауіптермен жақсы жұмыс істейді, бірақ ондаған немесе жүздеген гигабиттегі волюметриялық жағдайларды жеңе алмайды - мұнда трафикті көптеген қатысу нүктелері бойынша "бөлетін" таратылған сүзу желісі қажет, ол сіздің инфрақұрылымыңызға жеткенге дейін.

Тексеру парағы: алдын-ала DDoS шабуылдарынан қорғанысты қалай дайындауға және қоюға болады
- Трафикті сүзуді және сұрау шектеулерін орнатыңыз - негізгі брандмауэр және rate limiting нүктелік DDoS шабуылдарының қаупін азайтады
- CDN қосыңыз - жүктемені таратады және статикалық мазмұнды кэштейді
- DDoS шабуылдарынан кәсіби қорғауды қосыңыз - қауіп күтпеңіз, алдын ала қосыңыз.
- Бағдарламалық жасақтаманы үнемі жаңартып отырыңыз - шабуылдардың көпшілігі белгілі осалдықтарды пайдаланады.
- Стресс-тестілеуді өткізіңіз – жылына кемінде бір рет инфрақұрылымның жүктемені қалай басқаратынын тексеріңіз.
- Сақтық көшірме жасаңыз - егер қауіп бұзу әрекетімен бірге жүрсе.

Егер DDoS басталса не істеу керек
Мұндағы іс-қимыл тәртібі маңызды:
- Жасалған шабуылдардың фактісін жазыңыз - трафиктің өсуін, сұраныстардың қалыптан тыс үлгілерін, қызметтердің қол жетімсіздігін тіркеңіз.
- DDoS қорғаныс жүйесінің модульдерін іске қосыңыз - егер қорғаныс үнемі қосылмаса, реакция уақыты өте маңызды.
- Тұрақты мониторинг жүргізіңіз - нақты уақыттағы шабуыл динамикасын қадағалаңыз.
- Шабуыл векторын талдаңыз - бұл қандай сүзу ережелері қажет екенін анықтайды.
- Нүктелік жаңартуды орындаңыз - белгілі бір DDoS шабуыл үлгісіне ережелер қосыңыз.
Қауіпке күдіктенуге болатын белгілер: бірдей типтегі IP диапазондарындағы командалардың күрт өсуі, пайдаланушылардың нақты трафигі төмен болған кезде CPU-да әдеттен тыс жоғары жүктеме, жаппай күту уақыты және сервердің жауап беру уақытының өсуі.

Бірінші кезекте кімге қорғаныс қажет
- Қаржы секторы - банктер, сақтандыру компаниялары, мұнда қарапайым тікелей шығындар мен реттеуші тәуекелдерді білдіреді.
- Медициналық мекемелер - клиникалар, пациенттердің онлайн-жазбалары мен электрондық карталары бар.
- Мемлекеттік ұйымдар - наразылықтар үшін де, мақсатты кибершабуылдар үшін де жиі кездеседі.
- E-commerce және IOT - маркетплейстерге, онлайн-кассаларға, қызмет қол жетімді емес "ақылды үй" құрылғыларына кірістің тікелей жоғалуын білдіреді.

Тәжірибеден алынған іс: сатылымның ортасында интернет-дүкенге кибершабуыл
Клиент - бұл орташа интернет-электроника дүкені, күніне шамамен 15 000 бірегей келушілер, стандартты VPS онда DDoS шабуылдарынан арнайы қорғаныс қолданылмаған, тек iptables мүмкіндіктері бар негізгі брандмауэр.
Не болды.
Маусымдық сатылымның бірінші күні, сайт трафигі салыстырмалы түрде үш есе өскен кезде, 20 минут ішінде жүктеме тағы 40 есе өсті. Кибершабуыл екі толқынға ұласты:
- Волюметриялық бөлік (L3/L4) - UDP- және SYN-су тасқыны әр түрлі елдерден 12 000-нан астам IP-мекен-жайға бөлінген ботнеттен, жалпы қуаты шамамен 60 Гбит/с
- Қолданбалы бөлік (L7) - тауар карталары мен іздеу парағында HTTP су тасқыны параллель жүрді, қарапайым сатып алушылардың мінез-құлқына еліктеп, қарапайым ережелер бойынша автоматты түрде сүзуді қиындатты.
Бұл жұмыс істемеді.
Жергілікті брандмауэр SYN су тасқынының бір бөлігін сүзді, бірақ тұтынушы арнасының өткізу қабілеттілігі (1 Гбит/с) алғашқы минуттарда таусылды - хост машинаның өзінде сүзу қаншалықты жақсы орнатылғанына қарамастан, заңды сұрауларды алуды тоқтатты. Бұл классикалық жағдай, on-premises қорғаныс физикалық тұрғыдан мұндай масштабтағы волюметриялық кибершабуылға төтеп бере алмайды.
Біздің компания не істеді.
Тапсырыс беруші жүгінген сәттен бастап 4 минут ішінде өткізу қабілеттілігі біздің таратылған микрофильтрация желілеріне ауыстырылды:
- Волюметриялық бөлігі деректер беру желісінің сатысында кесілді - кибершабуыл бірнеше қатысу нүктелері бойынша "жағылды" және клиенттің арнасына жете алмады.
- L7 бөлігі үшін командалардың мінез-құлқын талдау қосылды: жүйе нақты сатып алушыларды мінез-құлық үлгісі бойынша боттардан ерекшелендірді (басу жылдамдығы, JS-пен өзара әрекеттесудің болмауы, қайталанатын User-Agent) және нақты пайдаланушылар үшін капчасыз қалыпты емес трафикті бұғаттады.
- Нақты хост IP мекенжайлары сүзгілеуді айналып өту кезінде қайта қатерді болдырмау үшін қосымша жасырылған.
Нәтиже.
Сайт үзілістермен шамамен 6 сағатқа созылған бұзу әрекеті кезінде қол жетімді болды.
Заңды пайдаланушылар үшін беттерді жүктеу жылдамдығы ең жоғары сәттерде 8%-дан аспады. Сату күні сатылымға әсер етпеді - Тапсырыс берушінің айтуынша, конверсия жоспарлы деңгейде қалды, ал киберқорғаусыз болған жағдайда орын алатын тоқтап қалу, Тапсырыс берушінің дөрекі бағалары бойынша бірнеше жылдық қызмет көрсетуден де қымбатқа түсер еді.

Қорғаныс қызметін қалай таңдауға болады
Компанияны таңдаған кезде назар аударыңыз:
- Сүзу желісінің сыйымдылығы (Тбит/с және RPS).
- Компания тек L3/L4 емес, OSI-дің барлық кезеңдерінде киберқауіпсіздікті қамтамасыз ете ме.
- Реакция жылдамдығы - киберқауіпті анықтағаннан бері сүзгілеуге ауысу қанша уақытты алады.
- Шарттардың ашықтығы - арнадан асып кету қалай есептеледі, жасырын шектеулер бар ма.
FAQ
Иә, бұл стандартты тәжірибе - белсендіру уақыты өте маңызды және жақсы провайдер компания бірнеше минут ішінде сүзуді бастайды.
Пайдаланушылардың бүкіл ағынын сүзу желісі арқылы прокси жасау керек пе?
Әрқашан емес-микрофильтрацияны тікелей қосу және іске қосу шешімдері бар, тек бұзушылық анықталған кезде, бұл негізгі кідірісті азайтады.

Қорытынды
Компьютерлік шапқыншылық енді үлкен бизнестің сирек кездесетін және нүктелік мәселесі емес. Iptables, CSF немесе Fail2ban сияқты жергілікті құралдар нүктелік және протоколдық хакерлерді блоктайды, бірақ ондаған және жүздеген гигабиттердің толқынды шабуылдарына қарсы тұра алмайды - мұнда тек провайдерлік компанияның таратылған микрофильтрация желісі көмектеседі.


