Vps windows бесплатно: DDoS-атаки и электронная коммерция

В различных материалах по защите от DDoS-атак, которые публикуются всевозможными организациями, раз за разом встречаются одни и те же ошибки. Приводятся взятые из каких-то отчетов сведения о зафиксированных атаках объемом, допустим, 400 Гбит/с.

Из этого всего делается вывод, что все довольно плохо и надо срочно что-нибудь делать, но в общих характеристиках предлагаемых услуг при этом указан верхний лимит объема фильтруемых атак лишь в 10 Гбит/с. И подобные несоответствия возникают очень часто.

Это происходит потому, что специалисты, создающие саму услугу, не сильно верят в то, что такие мощные атаки реальны. Поскольку ни сами эти эксперты, ни кто-то, кого они знают, с подобными атаками еще не сталкивались.

Поэтому возникает актуальный для онлайн-бизнеса вопрос: какие угрозы сейчас действительно актуальны и какие маловероятны? Как же оценивать риски? Обо всем этом рассказывается в этой статье.

Vps windows бесплатно: классификация атак и защита от них

Классификация атак

Для начала давайте поговорим о том, какие сегодня бывают -DDoS-атаки. В качестве основного критерия для классификации можно взять объект атаки, то есть что именно ломается. В таком случае выделить можно четыре главных класса DDoS-атак, осуществляемых на различных уровнях.

• Первый класс или L2 — это «забивание» канала. Атаки, направленные на лишение доступа к внешней сети из-за исчерпания канальной емкости. Совсем неважно, как именно. В основном, для данной цели применяются массированные, с точки зрения трафика, DDoS-атаки вроде «что-то»-Amplification (NTP- , RIP- , DNS-… Amplification может быть практически любой, совсем нет смысла перечислять). Вообще, к этому классу атак относят разнообразные flood’ы, в частности ICMP Flood. Главная задача в том, чтобы в канал размером, допустим, 1 Гигабит/с залить хоть 1,1 Гигабит/с. Этого будет вполне достаточно для полного прекращения доступа.
• Второй класс или L3 — нарушение работы сетевой инфраструктуры. К данному классу относятся, в частности, атаки, которые приводят к проблемам с маршрутизацией в рамках специального протокола BGP, с анонсами сетей — или же DDoS-атаки, следствием которых становятся разнообразные проблемы и сложности на транзитном сетевом оснащении: к примеру, переполнение таблицы отслеживания всех соединений. Такие атаки отличаются довольно большим разнообразием.
• Третий класс или L4 — использование ненадежных мест TCP-стека. То есть различные DDoS-атаки на транспортном уровне. Данный транспортный протокол, который лежит в самой основе HTTP и других протоколов, весьма сложно устроен. К примеру, в нем применяется большая таблица всех открытых соединений. Каждое из соединений является конечным автоматом. Именно атаки на данный автомат составляют описываемый третий класс нападений. К данному классу относят и атаку вроде SYN Flood в случае, если она не нанесла никакого урона на предыдущих уровнях, затем дошла до сервера и вследствие этого является полноценной атакой на TCP-стек. Кроме того, сюда отнести можно открытие большого количества соединений (TCP Connection Flood), что приводит к быстрому переполнению всей таблицы протокола. К этому классу, в основном, также относится использование таких популярных инструментов, как Slow POST и SlowLoris.
• Четвертый класс или L7 — это деградация веб-приложения. Сюда относят разнообразные «кастомные» DDoS-атаки, начиная от GET/HTTP/POST/ Flood до нападений, которые нацелены на повторяющиеся поиск и извлечение определенной информации из базы данных, памяти, либо с диска, пока у сервера не закончатся все ресурсы.

Обратите ваше внимание на то, что оценивать DDoS-атаку в гигабитах есть смысл, как правило, на наиболее низком уровне (L2). Поскольку для вывода из строя, например, MySQL при помощи поиска по всем товарам слишком много гигабит не нужно, как и ума. Вполне достаточно лишь использовать от 5000 ботов, которые запрашивают расширенный поиск и обновляют страничку, возможно даже, что одну и ту же (зависит от настройки кэширования на сервере жертвы).

При подобных атаках проблемы появятся у многих. Кто-нибудь «просядет» при атаке 50000 ботов, наиболее устойчивые системы выдержат DDoS-атаку и до 100000 ботов. При этом в минувшем году максимальное зарегистрированное число ботов, одновременно атакующих, достигло уже 419000.

Надежная защита от атак

Давайте рассмотрим, что можно противопоставить на каждом из перечисленных выше уровней.

L2. В случае если полоса DDoS-атаки превышает 100 Гигабит/с, то данные гигабиты необходимо где-нибудь обрабатывать, к примеру, на стороне дата-центра или провайдера, и проблема будет всегда в «последней миле». При помощи технологии под названием BGP Flow Spec можно легко фильтровать определенную часть DDoS-атак по сигнатурам пакетов — допустим, Amplification с легкостью отсекается по порту источника. Но этот способ достаточно дорог и не от всего может защитить.

L3. На L3 следует анализировать всю сетевую инфраструктуру, причем не только лишь свою. Типичный пример — в 2008 году из-за ошибки Пакистан перехватывал префиксы у сайта YouTube при помощи BGP Hijacking. То есть существенная часть трафика данного популярного хостинга видео перенаправлялась в Пакистан.

Увы, автоматически с такой напастью бороться просто невозможно, все придется делать своими руками. Правда до того, как начнется борьба, еще надо будет определить, что эта проблема вообще появилась.

В случае если это случилось, то следует обратиться к сетевому оператору, к хостеру, к администрации дата-центра. Они помогут вам в решении данной проблемы.

Однако для этого необходима продвинутая аналитика всей сетевой инфраструктуры, так как признаком Hijacking служит, в общем случае, лишь то, что, начиная с определенного момента, анонсы этой сети в интернете пошли «нестандартные», совсем не такие, какие были в течение долгого времени до этого. Таким образом, для своевременного обнаружения следует как минимум иметь историю анонсов.

В случае если у вас собственной автономной системы нет, можно считать, что борьба с мощными DDoS-атаками на данном уровне более-менее является обязанностью вашего дата-центра (или хостинг провайдера). Но заранее нельзя обычно сказать, насколько определенный дата-центр всерьез подходит к такой проблеме.

L4. Для защиты от различных атак на этом уровне надо выполнять анализ поведения TCP-клиентов, всех TCP-пакетов на сервере, полноценный так называемый эвристический анализ.

L7. На L7 следует проводить поведенческий анализ и заниматься мониторингом. Не имея в наличии специальных инструментов для мониторинга и аналитики, взять и настроить Nginx настолько хорошо, чтобы он отбил все DDoS-атаки, невозможно. Борьба с мощными DDoS-атаками, к сожалению, все равно превратится в долгую ручную работу.

Vps windows бесплатно: оценка рисков и рекомендации

Оценка рисков

Итак, где принимаются и обрабатываются все входящие HTTP-запросы:

• Арендованный или купленный «физический» сервер.
• Облачный хостинг в Украине.
• CDN.

Для оценки всех рисков можно использовать такое полезное средство, как матрица вероятности и воздействия.

По горизонтальной оси показывается вся серьезность последствий определенного события, а по вертикальной — его вероятность. Рамкой белого цвета в этом случае выполнен уровень риска для атак DDoS на текущее время.

От чего же зависит вероятность атаки? Прежде всего, атаки — это средство для конкурентной борьбы. В случае если в вашей части рынка спокойно, то DDoS-атак долгое время не будет. Тем не менее, если конкуренция возрастает, необходимо готовиться к защите, и белую рамку следует перемещать вниз по оси.

Однако самое страшное в любой DDoS-атаке — это воздействие. Допустим, нападение выполняется на вашего хостинг провайдера. Даже если в данный момент обратиться к поставщику современных anti-DDoS-решений, не факт, что он сумеет помочь.

Вся проблема в том, что ваш адрес IP, где находится «ваше все» — от веб-сервера до баз данных и других важнейших компонентов — атакующим уже известен. И если вы даже укажете в DNS какой-либо иной адрес, с определенной вероятностью это, к сожалению, не сыграет вообще никакой роли и атака продолжена будет напрямую. Вам, в лучшем случае, придется съехать с данного хостинга.

И в таком случае ваши проблемы оценить можно как «очень серьезные», потому как сложно придумать что-либо хуже для IT-проекта, нежели переезд на неподготовленную платформу в рабочее время, при лежащем сервере.

Почему мало сменить IP на том же хостинге? Потому как новый адрес будет, к сожалению, из той же автономной системы. А злоумышленники сегодня уже могут смотреть на перечень префиксов автономной системы. Таким образом, найти вас на новом адресе не составит труда, достаточно атаковать полностью все адреса в автономной системе.

Давайте теперь оценим, насколько тот или другой сетевой ресурс подвержен DDoS-атакам определенного сетевого уровня.

Хостинг в Европе

Подавляющее большинство сегодняшних vps windows бесплатно не способны отфильтровать довольно мощные DDoS-атаки, чей трафик значительно превышает 100 Гбит/с. В частности и на последней миле до вашего сервера.

В связи с этим вам придется своими руками обрабатывать весь, либо почти весь, флуд, который к вам придет. На седьмом уровне вам точно придется самостоятельно выполнять аналитику, так как это ваш серверы это ваши проблемы.

На L3 опасность не сильно высока, так как, ради вашего ресурса, скорее всего, не будут, скажем, префикс воровать у всего хостинга. Это крайне трудоемко, дорого для любого злоумышленника. Это вполне можно сделать, но необходимо весьма веское основание. Хотя, разумеется, из всякого жизненного правила бывают и исключения, в особенности если в сетевой инфраструктуре выбранного хостинга есть какие-то проблемы с общей производительностью.

Есть весьма важный нюанс: очень многие вендоры для защиты предлагают дорогое оснащение, которое ставится в вашу стойку, в него включается downlink и uplink, ведущий к вашему серверу.

Проблема здесь в том, что сеть не более устойчива, нежели устойчива так называемая «последняя миля», включая также применяемое вами оборудование. У вас по-любому должен быть запас общей производительности для того, чтобы загрузка процессора в час пик не была близка к 100%.

В другом случае любой маленький скачок сможет привести к отказу. В случае если хакеры неопытны, и вы можете справиться самостоятельно, то все равно вам необходим запас прочности, пока вы пишете специальные скрипты для автобана, изучаете запросы, настраиваете fail2ban.

Кроме того, следует отметить, что если вы располагаетесь физически на ресурсах, которые никак не защищены, смена DNS с вероятностью до 30% вам точно не поможет. Об этом говорит опыт свежих атак на финансовые организации США. Поэтому можно с уверенностью сказать, что вам придется очень быстро переезжать с плохо защищенного хостинга.

Облако

У современного облака в обязательном порядке должна быть сеть Anycast. То есть один и тот же префикс должен анонсирован быть из множества мест в мире. Так как в одном месте DDoS-атаку на многие сотни гигабит не переварить, а спустя год можно ожидать уже полноценные терабитные атаки.

Благодаря современной распределенной структуре общая опасность DDoS-атак на канал очень снижается. Однако даже в условиях сети Anycast DDoS-атака в 500 гигабит/с — это много. К этому надо готовиться, правда не все, к сожалению, это делают.

Сеть быть должна распределенной, чтобы атакующий не мог использовать ее инфраструктуру. Нужен запас по производительности (лучше, двукратный), поскольку никакое число ресурсов вас не спасет, к примеру, от эксплуатации различных трудностей при обращении к базе.

И наконец, наиболее «забавное» заключается в том, что облако может переварить довольно много пользовательского трафика, однако вам придется его оплатить. Когда ваш счет достигнет многих тысяч долларов за последний месяц, вам начнут просто обрывать телефон или же отключат его из-за вашей неплатежеспособности.

Таким образом, пребывание в облаке, к сожалению, все равно не решает полностью проблему защиты от DDoS-атак. Оно только увеличивает устойчивость до того, когда вы встали под защиту.

CDN

CDN рассчитан на обрабатывание крупных объемов трафика, поэтому со «статикой» (CSS, изображения) он справится легко. С канальной емкостью здесь все то же, что и у облака. Правда на уровне инфраструктуры намного интереснее.

У CDN есть всегда DNS-сервер, на который завязаны все услуги ресурса. Если в случае облака вся инфраструктура сети быть может скрыта за обычным Anycast’ом, то у CDN почти всегда вы будете видеть маршрутизатор DNS, перенаправляющий пользователя на самую близкую точку CDN.

Вдобавок, у CDN будут точки, вынесенные из своей сети и Anycast, расположенные в разных чужих сетях, ближе к пользователю.

Таким образом, они не будут защищены по умолчанию. Их невозможно защитить. И здесь зависит все от того, как у CDN защищен его DNS, а также насколько тот готов к быстрому выключению из сети атакованных нод. Правда подобное встречается редко. DNS-сервер, который раскидывает пользователей по разным регионам, должен быть защищен, продуман и устойчив.

Общие рекомендации по сетевой архитектуре

• Адрес Anycast — это весьма полезно. И главное, что его можно легко арендовать. Балансировка, резервирование маршрутизатором Anycast — это намного надежнее, нежели балансировка DNS.
• Обратите ваше внимание на то, что IPv4 уже заканчиваются, и на сегодняшний день, если вы – крупная компания, есть возможность откусить последний кусочек данного пространства адресов. Это надо использовать, так как в будущем вам достанется лишь IPv6, а в данном пространстве не очень много пользователей.
• Желательно отвязать приложение от сервера. Термин «Docker» очень просится на язык, однако я не хочу привязываться здесь к какой-либо определенной технологии. В случае если вы размещаете где-нибудь приложение, запаситесь набором документов, различных инсталляционных скриптов, автоматизируйте полностью развертывание, конфигурирование. Сделайте что угодно для того, чтобы быть полностью готовым развернуть такое же приложение с такой же базой на сервере на иной площадке. Так как проблемы начаться могут не только лишь у вас, но и у тех, у кого вы разместились. Это очень частая ситуация.

В настоящее время средний уровень DDoS-угроз достиг уже такого уровня, что самостоятельно справляться с ними крайне трудно. Атакующему намного легче организовать нападение, нежели жертве — защититься. После двух дней без сна, фактически любой системный администратор ничего больше не в состоянии противопоставить злоумышленнику. Поэтому будьте бдительны и осторожны!

Отзывы о хостинге: