С развитием Интернета вещей DDoS-атаки становятся все более распространенными. Веб-мастера более или менее слышали о DDoS-атаках или фактически подвергались им. В этой статье описываются накладные расходы, основанные на моем опыте работы с DDoS за последние несколько лет , Относительно небольшие идеи защиты от DDoS, я надеюсь, что смогу привлечь других.
Классификация
С точки зрения подлинности трафика (влияет ли трафик на бизнес) очевидно, что есть только две распространенные DDoS-атаки:
- Реальный трафик DDoS
- Поддельный трафик DDoS
Давайте сначала посмотрим на DDoS с реальным трафиком От DDoS с реальным трафиком на самом деле очень сложно защититься, особенно от атак на реальный запрос ресурсов сайта, которые окажут большое давление на эксплуатацию и обслуживание.
Например, атака, запущенная с использованием веб-сайта обратного прокси-сервера, доступного в сети, очень похожа на обычный доступ пользователя, и ее трудно решить.
Или внедряются на веб-сайт с высокой посещаемостью, и междоменные запросы с веб-сайта с высокой посещаемостью отправляются на сайт жертвы.
Но этот вид атаки стоит дорого, а выгоды невелики, поэтому он редко встречается на сайтах малого и среднего размера.
Далее идет поддельный трафик DDoS.
Учитывая такие факторы, как стоимость атаки и увеличение трафика, отраженные DDoS-атаки, основанные на протоколах, отличных от TCP, по-прежнему являются лучшим выбором для мелкомасштабных DDoS-атак на сайты малого и среднего размера.
Следовательно, высокая вероятность атаки на сайт также является DDoS-атакой фальшивого трафика по типу отражения.
Для совершения такой атаки необходимы следующие условия:
- Заголовок пакета можно изменить, чтобы направить трафик жертве.
- Доступные узлы отражения существуют отражения.
Объясним по очереди:
Изменяемый заголовок пакета означает, что, поскольку такие протоколы, как UDP, не ориентированы на соединение, можно легко подделать исходный IPv4-адрес, чтобы исходный IPv4-адрес можно было установить на IPv4-адрес жертвы.
Узел отражения относится к тому, что при использовании вышеуказанного протокола несанкционированного доступа для доступа к некоторым конкретным службам, представленным в сети, данные, возвращаемые этими службами, превышают данные, необходимые для запроса, и во много раз больше.Чем больше эффект атаки, лучше.
Например, уязвимость протокола Memcached, предполагая, что некоторые серверы Memcached размещены в общедоступной сети без каких-либо мер защиты, мы можем даже свободно управлять этими серверами Memcached, тогда нам нужно только установить огромные данные в Memcached, а затем инициировать вызов Для запроса Memcached исходный IPv4-адрес запроса заполняется IPv4-адресом цели атаки, что завершает атаку.
Такая атака может усилить трафик в 10 000 - 51 200 раз.В конце концов, запрошенная полезная нагрузка представляет собой бинарные данные GET{key}.Но то, что возвращается, является большим куском данных, которые мы в него ЗАДАЛИ ранее.Предположим, мы контролируем ботнет A Можно инициировать запрос 50 Мбит/с, тогда после усиления уязвимости протокола Memcached мы получим пропускную способность атаки 50 Мб * 51 200 = 2,44 Тб. Какой ужасный результат. Вы должны знать, что самая большая пропускная способность DDoS в истории составляет всего 1,35 Тб.
Стоимость такой атаки довольно низкая.В настоящее время восходящий канал домашнего широкополосного доступа имеет большую пропускную способность, достигающую 30 Мбит, и домашних устройств IoT становится все больше и больше.Мы можем представить, что если в доме есть уязвимые устройства, то эти уязвимости, скорее всего, будут эксплуатироваться.Наиболее типичным примером является SSDP-уязвимость некоторых домашних маршрутизаторов, которые случайно подключены к широкополосному входу.Если к ним можно будет получить доступ, это будет иметь ужасные последствия.
Услуги защиты для поставщиков облачных услуг
Как правило, наилучшая защита от отраженных DDoS-атак — это предоставить ее поставщикам облачных услуг, однако службы защиты IP или DDoS с высокой степенью защиты, предоставляемые поставщиками облачных услуг, также имеют следующие недостатки:
- высокая цена
Ниже приведена цена IP-услуги высокого разрешения самого низкого качества отечественного поставщика облачных услуг:
Линейные ресурсы: Восьмипроводной BGP, Регион: Материковый Китай, Гарантированная пропускная способность защиты: 30Gb, Гибкая пропускная способность защиты: 30Gb, Полоса пропускания услуги: 100 M, Пакет функций: Стандартная функция, Количество защищенных доменных имен: 50, Служба QPS: 3000, Количество портов: 50, Количество покупок: 1, Продолжительность покупки: 1 месяц, Плата за настройку: 20 800,00 юаней
30Gb, 20 000 юаней в месяц.Соответственно можно сказать, что люди, которые хотят побить вас с этой пропускной способностью защиты, издеваются над детсадовскими детьми.Но такая цена не приемлема для обычных малых и средних сайтов.
- Задержка не идеальна
После подключения к Anti-DDoS Pro пользовательский трафик сначала пойдет на Anti-DDoS Pro, а затем вернется в ваш бизнес.
Однако высокозащитное оборудование IDC требует доступа к широкой полосе пропускания, поэтому для экономии пропускной способности и других расходов IDC, где находится высокозащитное оборудование, скорее всего, находится не в городе первого уровня.Это приводит ко второй проблеме, задержке значительно увеличится, что отрицательно скажется на пользовательском опыте.
- IP-адрес обратного источника случайно просочился
Строго говоря, это не проблема высокозащищенного поставщика услуг, а его собственная проблема: из-за случайной утечки обратного IP-адреса DDoS-атак по-прежнему напрямую попадает на IP-адрес, соответствующий его собственному бизнесу.
новый способ мышления
Итак, на этот раз мы обсудим, как защититься от подобных атак с помощью некоторых других идей.
Сначала мы анализируем весь процесс работы злоумышленника.
Во-первых, злоумышленнику необходимо определить цель атаки, поскольку протокол пакета атаки является протоколом уровня 4, поэтому злоумышленнику нужна только одна информация — IP-адрес.
Возможно, он получил IP-адрес, а может быть, он получил доменное имя или URL-адрес.В это время ему нужно преобразовать доменное имя в IP-адрес через DNS.
Затем он вводит IP-адрес или группу IP-адресов (например, балансировку нагрузки вашего доменного имени на несколько IP-адресов) в свою атакующую программу, а затем запускает программу и начинает атаку.
Мы можем представить, что пропускная способность инициации, контролируемая злоумышленником, определенно не бесконечна, а доступные ресурсы отражения не бесконечны, поэтому, если одновременно атакуется больше целей, тем меньше пропускная способность атаки, выделенная для каждой цели.
Хорошо, это первая основная идея нашей защиты: уменьшить атакуемую пропускную способность на IP через несколько IP.
Кроме того, наблюдая за процессом атаки, я обнаружил, что некоторые атаки не чувствительны к изменению IP.
Например, IP-адрес, на который вы были атакованы, был отключен от IDC, и в это время вы сменили его на новый IP-адрес, и атака иногда не сразу атаковала ваш новый IP-адрес.
Это либо вы невиновны, либо обратная атака — это диапазон IP, и вы просто случайно пострадали.Такая ситуация распространена в случае мультиплексирования серверов с другими.
Другая возможность заключается в том, что злоумышленник вовремя не уследил за изменениями или отказался от атаки.
Затем мы можем построить нашу систему защиты с помощью вышеуказанных идей.
Сначала нам нужно купить услугу под названием CNAME Load Balancer.
После применения балансировки нагрузки CNAME пользователи, получающие доступ к вашему доменному имени, сначала запрашивают DNS, получают доменное имя CNAME, соответствующее целевому доменному имени, а затем получают реальный целевой IP-адрес через доменное имя CNAME.
Преимущество балансировки нагрузки CNAME заключается в том, что переключение DNS-записей CNAME вступает в силу быстрее, чем переключение A-записей, а кэши клиентов легче обновлять (конечно, это зависит от конкретных настроек и реализации поставщиков услуг DNS и клиентов).
Тот факт, что эффективный кэш легко обновить, означает, что в случае атаки будет дешевле позволить обычным пользователям продолжать доступ к процессу, переключая IP-адреса.
Итак, давайте подсчитаем.Предположим, мой балансировщик нагрузки CNAME соответствует 50 IP-адресам.Тогда волна атак 300Gb,если они распределены равномерно,средняя пропускная способность каждой IP-атаки 300Gb/50=6Gb.Эта пропускная способность атаки очень вероятна. быть включенным в защитную полосу пропускания, указанную при покупке IP.
Итак, какова стоимость 50 IP?Средняя стоимость аренды каждого IP (оплачивается трафиком, а стоимость трафика рассчитывается отдельно) составляет около 0,020 CNY/ч, 50 IP в месяц составляет 0,02 x 24 x 30 x 50 = 720CNY. , Это дешево?
Мы даже можем припарковать на нем еще 50 IP-адресов, и когда они попадут в цель, менять их один за другим и играть с ними, чтобы увидеть, кто первым начнет терять терпение.
Расширенная защита
Имея несколько IP-адресов, мы можем даже создавать более сложные стратегии защиты.
Мы только что предположили, что трафик каждого IP распределяется равномерно, но на самом деле пользователи сайта распределены неравномерно географически, поэтому на некоторых IP должен быть больший нормальный трафик, тогда для этих IP мы можем купить несколько дешевых. службы. Путем деградации в замаскированной форме большинство пользователей все еще могут продолжать доступ, когда они атакованы. Поскольку злоумышленник не имеет равной информации с нами, если он хочет знать, какие IP-адреса являются IP-адресами с высоким трафиком и обращаются к атаке, или Трудно , Это также можно рассматривать для экономии стоимости замаскированной части защиты.
Если мы сможем получить доступ к OpenAPI поставщика облачных услуг, мы сможем даже динамически изменять IP-адрес через программу, чтобы еще больше снизить нагрузку на эксплуатацию и техническое обслуживание.
Суммировать
Упомянутые выше методы защиты являются наиболее эффективными для предприятий без гражданства, таких как веб-сайты.
Но для служб с отслеживанием состояния, таких как игровые серверы, это очень сложно.Независимо от того, по какому протоколу работает игровой сервер, трудно переключать IP-адреса.Поскольку после переключения все клиенты, соответствующие IP-адресам, должны повторно подключаться к серверу, что очень важно для некоторой производительности в реальном времени. Игры с очень высокой производительностью невыносимы. Но можно рассмотреть некоторые игры с низкой производительностью в реальном времени, которые сами используют HTTP, например шахматы и карточные игры.
В добавлении большего количества IP-адресов нет ничего плохого, в конце концов, IP-адрес стоит всего 14 юаней в месяц.
Вышеупомянутое решение играло большую роль в моем практическом применении в течение почти 3 лет.При атаках ниже 100Gb большинство пользователей могут продолжить нормальный доступ в течение 15 минут после атаки.Но для атак выше 500Gb Атака больше требует терпения, особенно если вы не можете позволить себе высокую защиту, вы можете защищаться только вручную, чтобы минимизировать потери.
Эта статья является лишь моим личным опытом, и вы можете вносить исправления.