DDoS шабуылдарынан қорғау - веб-инфрақұрылымды қалай қауіпсіз сақтау керек

DDoS шабуылдарынан қорғау - бұл зиянды трафикті сіздің серверіңізге кірмес бұрын сүзетін және сайтты немесе қызметті секундына ондаған гигабит жүктеме кезінде де қол жетімді ететін шаралар жиынтығы. Мұндай қорғаныс болмаса, тіпті ең қуатты арнайы сервер бірнеше минут ішінде құлап кетуі мүмкін.

DDoS шабуылдары дегеніміз не және олар шабуылдаушыларға не үшін қажет?

DDoS (Distributed Denial of Service) - бұл сервердің барлық ресурстарын: интернет қосылымын, компьютердің қуатын немесе қосылымдардың санын сарқуды көздейтін әртүрлі құрылғылардың шабуылы, сондықтан заңды пайдаланушылар қызметке кіре алмайды.

Шабуылдардың себептері көбінесе келесі белгілерге байланысты:

  • Бопсалау және қорқыту - шабуылды тоқтатқаны үшін төлемді талап ету.
  • Жосықсыз бәсекелестік - бәсекелес сервисінің істен шығуы.
  • Жеке ұнатпаушылық - белгілі бір адамдарға немесе компанияларға жасалған шабуылдар.
  • Көңіл көтеру - script kiddies деп аталатындар.
  • Саяси наразылық - мемлекеттік және медиа ресурстарға жасалған шабуылдар.

Бизнес үшін салдары айқын: тоқтап қалудан тікелей қаржылық шығындар, беделге нұқсан келтіру және әсіресе жаманы - клиенттердің "сенімдірек" бәсекелестерге кетуі. Біздің компанияның статистикасына сәйкес, интернет-дүкеннің тіпті бір сағатқа тоқтап қалуы да, ең жоғары маусымда, жылдық қорғаныс жазылымына қарағанда қымбатқа түседі.

Шабуылдардың жіктелуі - олар қандай деңгейде ұрады

DDoS шабуылдары әдетте OSI моделінің деңгейлері бойынша бөлінеді - бұл қорғауды таңдаудың кілті.

OSI деңгейіШабуыл түріМысалдарНе соғады
L3 (желілер)ВолюметриялықICMP су тасқыны (Smurf), UDP су тасқыны (Fraggle)Өткізу қабілеттілігі
L4 (көлік)ПротоколдықSYN су тасқыны, пакеттермен толып кетуҚосылым кестелері, файрвол
L7 (қосымша)ҚолданбалыHTTP су тасқыны; дерекқорға "ауыр" сұрауларCPU, жад, қолданба логикасы
АраласЖасырын адаптивтіҮлгіні өзгертетін комбинацияланған шабуылдарБарлық деңгейлер бір уақытта

Бөлек осалдықтарға шабуылдар бар: буфердің толып кетуі, кодтағы қателер, ресурстарды бөлудің нашар жүйелері арқылы DoS және сервердің DNS шабуылдары - олар сервердің өзін емес, домендік атау жүйелерін (DNS) бұзады, бұл серверлер жақсы жұмыс істесе де сайттың қолжетімділігін шектейді.

Серверлердегі DDoS шабуылдарынан қорғау жүйесінің архитектуралық тәсілдері

Мұнда үш модельдің арасындағы айырмашылықты түсіну маңызды:

  • On-Premises (жергілікті қорғаныс) - жабдық клиентте орнатылған, ең аз кідіріс, бірақ шағылысқан шабуылдардың қуатымен шектелген.
  • Бұлтты қорғаныс - трафик провайдердің таратылған сүзу желісінде тазартылады, 7+ Тбит/с және секундына 5 миллионнан астам команданың шабуылдарын тойтаруға қабілетті.
  • Гибридті схема - ірі шабуылдар болған жағдайда бұлтты "резервпен" негізгі сүзгілеуге арналған жергілікті құралдардың тіркесімі.

Біз көптеген клиенттерге гибридті тәсілді ұсынамыз: ол реакция жылдамдығы мен құны арасындағы тепе-теңдікті қамтамасыз етеді.

Сервер деңгейіндегі қорғаныс құралдары

Өнеркәсіптік DDoS қорғанысын қоспас бұрын, негізгі осалдықтарды өз бетіңізше жабу керек. Міне, танымал құралдарды салыстыру:

ҚұралҚорғаныс деңгейіАртықшылықтарыКемшіліктері
IPTables/NFTablesL3-L4Икемді ережелерді орнату, тегінСараптама қажет, қолмен орнату
CSF (ConfigServer Firewall)L3-L4Алдын ала орнатылған пресеттер, қарапайым конфигурацияIptables-ке қарағанда тікелей икемділігі төмен
UFW (Ubuntu)L3-L4Жаңадан бастаушыларға оңай орнатуБақылау функциясы бойынша CSF сияқты жақсы емес
Fail2banL4-L7Мінез-құлық үлгілері бойынша авто-блоктауВолюметрлік шабуылдардан қорғамайды
Nginx модульдері (limit_req)L7Веб-серверге сұраныстарды шектеуИнфрақұрылымды жалпы қамтамасыз етпейді
CDNL7Кэштеу, жүктемені бөлуКейде L3-L4 жабылмайды
Бұлтты анти-DoS қызметіL3-L7Өнеркәсіптік сүзу қуатыТрафикті беру керек, ол үшін провайдер компания жауап береді

Жергілікті құралдар нүктелік қауіптермен жақсы жұмыс істейді, бірақ ондаған немесе жүздеген гигабиттегі волюметриялық жағдайларды жеңе алмайды - мұнда трафикті көптеген қатысу нүктелері бойынша "бөлетін" таратылған сүзу желісі қажет, ол сіздің инфрақұрылымыңызға жеткенге дейін.

Тексеру парағы: алдын-ала DDoS шабуылдарынан қорғанысты қалай дайындауға және қоюға болады

  • Трафикті сүзуді және сұрау шектеулерін орнатыңыз - негізгі брандмауэр және rate limiting нүктелік DDoS шабуылдарының қаупін азайтады
  • CDN қосыңыз - жүктемені таратады және статикалық мазмұнды кэштейді
  • DDoS шабуылдарынан кәсіби қорғауды қосыңыз - қауіп күтпеңіз, алдын ала қосыңыз.
  • Бағдарламалық жасақтаманы үнемі жаңартып отырыңыз - шабуылдардың көпшілігі белгілі осалдықтарды пайдаланады.
  • Стресс-тестілеуді өткізіңіз – жылына кемінде бір рет инфрақұрылымның жүктемені қалай басқаратынын тексеріңіз.
  • Сақтық көшірме жасаңыз - егер қауіп бұзу әрекетімен бірге жүрсе.

Егер DDoS басталса не істеу керек

Мұндағы іс-қимыл тәртібі маңызды:

  • Жасалған шабуылдардың фактісін жазыңыз - трафиктің өсуін, сұраныстардың қалыптан тыс үлгілерін, қызметтердің қол жетімсіздігін тіркеңіз.
  • DDoS қорғаныс жүйесінің модульдерін іске қосыңыз - егер қорғаныс үнемі қосылмаса, реакция уақыты өте маңызды.
  • Тұрақты мониторинг жүргізіңіз - нақты уақыттағы шабуыл динамикасын қадағалаңыз.
  • Шабуыл векторын талдаңыз - бұл қандай сүзу ережелері қажет екенін анықтайды.
  • Нүктелік жаңартуды орындаңыз - белгілі бір DDoS шабуыл үлгісіне ережелер қосыңыз.

Қауіпке күдіктенуге болатын белгілер: бірдей типтегі IP диапазондарындағы командалардың күрт өсуі, пайдаланушылардың нақты трафигі төмен болған кезде CPU-да әдеттен тыс жоғары жүктеме, жаппай күту уақыты және сервердің жауап беру уақытының өсуі.

Бірінші кезекте кімге қорғаныс қажет

  • Қаржы секторы - банктер, сақтандыру компаниялары, мұнда қарапайым тікелей шығындар мен реттеуші тәуекелдерді білдіреді.
  • Медициналық мекемелер - клиникалар, пациенттердің онлайн-жазбалары мен электрондық карталары бар.
  • Мемлекеттік ұйымдар - наразылықтар үшін де, мақсатты кибершабуылдар үшін де жиі кездеседі.
  • E-commerce және IOT - маркетплейстерге, онлайн-кассаларға, қызмет қол жетімді емес "ақылды үй" құрылғыларына кірістің тікелей жоғалуын білдіреді.

Тәжірибеден алынған іс: сатылымның ортасында интернет-дүкенге кибершабуыл

Клиент - бұл орташа интернет-электроника дүкені, күніне шамамен 15 000 бірегей келушілер, стандартты VPS онда DDoS шабуылдарынан арнайы қорғаныс қолданылмаған, тек iptables мүмкіндіктері бар негізгі брандмауэр.

Не болды.

Маусымдық сатылымның бірінші күні, сайт трафигі салыстырмалы түрде үш есе өскен кезде, 20 минут ішінде жүктеме тағы 40 есе өсті. Кибершабуыл екі толқынға ұласты:

  • Волюметриялық бөлік (L3/L4) - UDP- және SYN-су тасқыны әр түрлі елдерден 12 000-нан астам IP-мекен-жайға бөлінген ботнеттен, жалпы қуаты шамамен 60 Гбит/с
  • Қолданбалы бөлік (L7) - тауар карталары мен іздеу парағында HTTP су тасқыны параллель жүрді, қарапайым сатып алушылардың мінез-құлқына еліктеп, қарапайым ережелер бойынша автоматты түрде сүзуді қиындатты.

Бұл жұмыс істемеді.

Жергілікті брандмауэр SYN су тасқынының бір бөлігін сүзді, бірақ тұтынушы арнасының өткізу қабілеттілігі (1 Гбит/с) алғашқы минуттарда таусылды - хост машинаның өзінде сүзу қаншалықты жақсы орнатылғанына қарамастан, заңды сұрауларды алуды тоқтатты. Бұл классикалық жағдай, on-premises қорғаныс физикалық тұрғыдан мұндай масштабтағы волюметриялық кибершабуылға төтеп бере алмайды.

Біздің компания не істеді.

Тапсырыс беруші жүгінген сәттен бастап 4 минут ішінде өткізу қабілеттілігі біздің таратылған микрофильтрация желілеріне ауыстырылды:

  • Волюметриялық бөлігі деректер беру желісінің сатысында кесілді - кибершабуыл бірнеше қатысу нүктелері бойынша "жағылды" және клиенттің арнасына жете алмады.
  • L7 бөлігі үшін командалардың мінез-құлқын талдау қосылды: жүйе нақты сатып алушыларды мінез-құлық үлгісі бойынша боттардан ерекшелендірді (басу жылдамдығы, JS-пен өзара әрекеттесудің болмауы, қайталанатын User-Agent) және нақты пайдаланушылар үшін капчасыз қалыпты емес трафикті бұғаттады.
  • Нақты хост IP мекенжайлары сүзгілеуді айналып өту кезінде қайта қатерді болдырмау үшін қосымша жасырылған.

Нәтиже.

Сайт үзілістермен шамамен 6 сағатқа созылған бұзу әрекеті кезінде қол жетімді болды.

Заңды пайдаланушылар үшін беттерді жүктеу жылдамдығы ең жоғары сәттерде 8%-дан аспады. Сату күні сатылымға әсер етпеді - Тапсырыс берушінің айтуынша, конверсия жоспарлы деңгейде қалды, ал киберқорғаусыз болған жағдайда орын алатын тоқтап қалу, Тапсырыс берушінің дөрекі бағалары бойынша бірнеше жылдық қызмет көрсетуден де қымбатқа түсер еді.

Қорғаныс қызметін қалай таңдауға болады

Компанияны таңдаған кезде назар аударыңыз:

  • Сүзу желісінің сыйымдылығы (Тбит/с және RPS).
  • Компания тек L3/L4 емес, OSI-дің барлық кезеңдерінде киберқауіпсіздікті қамтамасыз ете ме.
  • Реакция жылдамдығы - киберқауіпті анықтағаннан бері сүзгілеуге ауысу қанша уақытты алады.
  • Шарттардың ашықтығы - арнадан асып кету қалай есептеледі, жасырын шектеулер бар ма.

FAQ

Иә, бұл стандартты тәжірибе - белсендіру уақыты өте маңызды және жақсы провайдер компания бірнеше минут ішінде сүзуді бастайды.

Пайдаланушылардың бүкіл ағынын сүзу желісі арқылы прокси жасау керек пе?

Әрқашан емес-микрофильтрацияны тікелей қосу және іске қосу шешімдері бар, тек бұзушылық анықталған кезде, бұл негізгі кідірісті азайтады.

Қорытынды

Компьютерлік шапқыншылық енді үлкен бизнестің сирек кездесетін және нүктелік мәселесі емес. Iptables, CSF немесе Fail2ban сияқты жергілікті құралдар нүктелік және протоколдық хакерлерді блоктайды, бірақ ондаған және жүздеген гигабиттердің толқынды шабуылдарына қарсы тұра алмайды - мұнда тек провайдерлік компанияның таратылған микрофильтрация желісі көмектеседі.