Поводом для этой статьи стал аудит безопасности в интернет-проекте.
Заказчик попросил заглянуть в их систему безопасности и проверить, насколько они подвержены тем или иным атакам.
При этом нас заверили, что они полностью защищены от DDoS-атак и нет причин волноваться, поскольку они находятся под защитой одного из лидеров рынка — Incapsula. Здесь нас ждал большой сюрприз – клиент оказался абсолютно не защищен.
Давайте разберемся, что произошло, но сначала немного теории.
Я не буду описывать, что такое DDoS-атаки, отмечу лишь, что они делятся на 2 типа: — DDoS Layer 3 и 4 по модели OSI. Одной из особенностей этой атаки является большое количество пакетов, которыми атакуется ресурс.
На данный момент средняя мощность атаки по всему миру составляет 9,7 Гбит/с и 19 Mpps. — DDoS Layer 7 по модели OSI, то есть атака на прикладной уровень.
Как правило, атака не содержит большого количества пакетов (на порядки меньше, чем при DDoS L3&4), а скорее характеризуется целенаправленной атакой на слабое место атакуемого сайта.
Подключение к сервисам защиты от DDoS-атак происходит следующим образом: — Для защищаемого ресурса защитный адрес прописан в DNS; — Клиент указывает, на какой IP-адрес перенаправлять очищенный трафик (обычно на тот же адрес, который был до подключения к услуге).
Есть возможность поднять туннель.
Я сейчас специально не разбираю случай подключения по BGP, там тоже не все так хорошо, но большинство клиентов подключаются именно через изменения DNS-записи.
Заказчик доволен, расслаблен и полностью уверен в завтрашнем дне! Но на самом деле именно в тот момент, когда клиент расслабился, он стал еще менее защищенным! Давайте разберемся, почему и как можно обойти защиту.
Действительно, когда мы пытаемся получить IP-адрес клиента по имени сайта, мы получаем IP-адрес службы защиты: $nslookup www.XXXXXXXXX.ru www.XXXXXXXXX.ru каноническое имя = xxx.incapdns.net. Имя: xxx.incapdns.net Адрес: 149.126.xxx.xxx Но никто не мешает нам посмотреть историю DNS этого имени.
Заходим на любой сайт, предоставляющий такую информацию.
И что мы видим:
| Айпи адрес | Расположение | Владелец IP-адреса | Последний раз видели на этом IP |
|---|---|---|---|
| 149.126.xxx.xxx | Бингемтон - США | Инкапсула Инк.
|
2015 |
| 149.126.ггу.
ггу |
Бингемтон - США | Инкапсула Инк.
|
2015 |
| ззз.
ззз. зззззз |
Соединенные Штаты | ХОСТЕР, ООО | 2014 |
Все, что нам нужно сделать, это внимательно посмотреть на сервер, имеющий этот IP-адрес, и мы уже точно знаем, что это и есть сервер клиента, который мы ищем.
Все! Мы атакуем этот сервер по IP-адресу, и клиент остается там столько, сколько нам нужно.
Была потрачена большая сумма денег, но затраты не окупились, защита не сработала.
Ниже я опишу рекомендации по правильному использованию таких сервисов.
Как ни странно, ни один из популярных сервисов защиты от DDoS, как на Западе, так и в России, не дает своим клиентам никаких рекомендаций по этому вопросу.
Так что же нужно сделать?
Если вы хотя бы один раз указали свой IP-адрес в службе DNS, вы больше никогда не сможете удалить эту информацию — она всегда будет доступна в истории DNS. Более того, вы указали свое местоположение (хостер, коммерческий дата-центр и т. д.).Если вы хотите полностью защитить себя, покиньте это место.
Как только вы останетесь, ваш сервис будет атакован, если вы предоставите злоумышленникам какую-либо ценность.
Давайте посмотрим, как поведут себя злоумышленники, и попытаемся понять, в зависимости от размера вашего проекта, что делать в такой ситуации.
1) У вас есть небольшой веб-сайт, и вы изначально разместили его у хостинг-провайдера.
Правильное действие — настроить http-сервер таким образом, чтобы он принимал запросы только с защищаемых IP-адресов (таким образом вы точно исключите возможность DDoS-атаки Layer 7) и сменить IP-адрес (DDoS Layer 3&4 защита).
).
В этом случае злоумышленники не смогут напрямую найти ваш сайт, но это не значит, что вы в безопасности.
Среднестатистический хостер в России имеет каналы 1-5 Гбит/с и если вы действительно интересны злоумышленникам, они начнут атаку (DDoS Layer 3&4) на каналы хостера и положат его и вас вместе с ним.
2) У вас есть выделенный виртуальный частный сервер и на нем расположен ваш проект. Правильные действия: — настроить http-сервер так, чтобы он принимал запросы только с защищаемых IP-адресов (таким образом вы точно исключите возможность DDoS-атаки Layer 7); — настройте брандмауэр так, чтобы все ненужные порты были закрыты и/или принимали соединения только с известных вам IP-адресов.
Если вы не сделали этого с самого начала при подключении к сервису защиты от DDoS, то, возможно, злоумышленники уже изучили ваш сервер и узнали, какие порты открыты, а какие нет (злоумышленники сняли отпечатки пальцев вашей системы).
Это значит, что они знают, какую машину им нужно искать в сети провайдера; — изменить IP-адрес (защита от DDoS Layer 3&4).
Если вы остались с существующим облачным провайдером, вы все равно не в безопасности.
Самая уязвимая часть облачного провайдера — консоль управления (даже у Amazon она не очень хорошо защищена).
Злоумышленники могут запустить DDoS-атаку уровня 3 и 4 на каналы небольшого облачного провайдера и уничтожить все облако.
3) У вас большой проект и множество серверов, расположенных в каком-то коммерческом дата-центре.
Этот тип проектов сложнее всего защитить.
Необходимо подойти к этой проблеме комплексно; смена IP и настройка фаервола ничего не решит (но это не значит, что этого делать не надо).
Как минимум, вам нужно сменить сеть, которую вам предоставил провайдер.
Просто измените, а не добавляйте новый, иначе вас даже искать не придется – злоумышленники просто уничтожат ваши каналы, атакуя старую сеть.
Как правило, такие проекты содержат сервисы, которые не могут или не могут быть защищены от DDoS — подумайте, как правильно распределить эти сервисы по разным сетям или даже сайтам, иначе через них вас найдут (самый простой пример — MX-записи почтового ящика).
услуга).
Заключение
Услуги защиты от DDoS — не панацея, но они могут очень помочь, если вы сделаете еще несколько шагов в правильном направлении.Удачи вам и вашим проектам.
Теги: #ddos-противостояние #ошибки и грабли #информационная безопасность
-
5 Вещей После Скрама (Летных Встреч)
19 Oct, 24 -
Какие Домашние Животные У Вас Есть?
19 Oct, 24 -
Солнечное Зарядное Устройство Energizer
19 Oct, 24 -
Содержащие В Себе Пороки Императивности
19 Oct, 24 -
Как Графика Убивает Геймплей
19 Oct, 24
