Program pentru detectarea atacurilor ddos. Protecție împotriva atacurilor DDoS cu criptarea traficului. Metode de protecție DDoS

Introducere

Permiteți-mi să fac imediat o rezervă că, atunci când am scris această recenzie, m-am concentrat în primul rând pe un public care a înțeles specificul activității operatorilor de telecomunicații și a rețelelor lor de date. Acest articol prezintă principiile de bază ale protecției împotriva atacurilor DDoS, istoria dezvoltării acestora în ultimul deceniu și situația actuală.

Ce este DDoS?

Probabil, astăzi, dacă nu fiecare „utilizator”, atunci cel puțin fiecare „specialist IT” știe ce sunt atacurile DDoS. Dar mai trebuie spuse câteva cuvinte.

Atacurile DDoS (Distributed Denial of Service) sunt atacuri asupra sistemelor informatice (resurse de rețea sau canale de comunicare) menite să le facă inaccesibile utilizatorilor legitimi. Atacurile DDoS presupun trimiterea simultană a unui număr mare de solicitări către o anumită resursă de la unul sau mai multe computere situate pe Internet. Dacă mii, zeci de mii sau milioane de computere încep simultan să trimită cereri către un anumit server (sau serviciu de rețea), atunci fie serverul nu va putea face față, fie nu va exista suficientă lățime de bandă pentru canalul de comunicație către acest server. . În ambele cazuri, utilizatorii de Internet nu vor putea accesa serverul atacat, sau chiar toate serverele și alte resurse conectate printr-un canal de comunicare blocat.

Unele caracteristici ale atacurilor DDoS

Împotriva cui și în ce scop sunt lansate atacurile DDoS?

Atacurile DDoS pot fi lansate împotriva oricărei resurse de pe Internet. Cel mai mare prejudiciu din cauza atacurilor DDoS o suferă organizațiile a căror activitate este direct legată de prezența lor pe Internet - bănci (prestând servicii de internet banking), magazine online, platforme de tranzacționare, licitații, precum și alte tipuri de activități, activitatea și eficiența dintre care depinde în mod semnificativ de reprezentanța pe Internet (agenții de turism, companii aeriene, producători de hardware și software etc.) Atacurile DDoS sunt lansate în mod regulat împotriva resurselor unor astfel de giganți ai industriei IT globale precum IBM, Cisco Systems, Microsoft și alții. . Au fost observate atacuri DDoS masive împotriva eBay.com, Amazon.com și a multor bănci și organizații binecunoscute.

Foarte des, atacurile DDoS sunt lansate împotriva reprezentărilor web ale organizațiilor politice, instituțiilor sau personalităților individuale celebre. Mulți oameni știu despre atacurile masive și de lungă durată DDoS care au fost lansate împotriva site-ului președintelui Georgiei în timpul războiului georgiano-osetian din 2008 (site-ul web a fost indisponibil timp de câteva luni începând cu august 2008), împotriva serverelor guvernului estonian. (în primăvara anului 2007, în timpul tulburărilor asociate cu transferul Soldatului de Bronz), despre atacuri periodice din segmentul nord-coreean al internetului împotriva site-urilor americane.

Principalele obiective ale atacurilor DDoS sunt fie de a extrage beneficii (directe sau indirecte) prin șantaj și extorcare, fie de a urmări interese politice, de a escalada situația sau de a se răzbuna.

Care sunt mecanismele de lansare a atacurilor DDoS?

Cea mai populară și periculoasă modalitate de a lansa atacuri DDoS este utilizarea botnet-urilor (BotNets). Un botnet este un set de computere pe care sunt instalate marcaje software speciale (boți); tradus din engleză, un botnet este o rețea de roboți. Boții sunt de obicei dezvoltați de hackeri în mod individual pentru fiecare botnet și au scopul principal de a trimite cereri către o anumită resursă de pe Internet la o comandă primită de la serverul de control al botnetului - Botnet Command and Control Server. Serverul de control al rețelei botnet este controlat de un hacker sau de o persoană care a cumpărat rețeaua botnet și abilitatea de a lansa un atac DDoS de la hacker. Boții se răspândesc pe Internet în diverse moduri, de obicei atacând computere care au servicii vulnerabile și instalând marcaje de software pe ele, sau înșelând utilizatorii și forțându-i să instaleze roboți sub pretextul furnizării altor servicii sau software care funcționează complet inofensiv sau chiar un functie utila. Există multe modalități de a răspândi roboți, iar noi metode sunt inventate în mod regulat.

Dacă botnet-ul este suficient de mare - zeci sau sute de mii de computere - atunci trimiterea simultană de pe toate aceste computere a unor solicitări chiar complet legitime către un anumit serviciu de rețea (de exemplu, un serviciu web pe un anumit site) va duce la epuizarea resurselor fie a serviciului în sine, fie a serverului, fie până la epuizarea capacităţilor canalului de comunicare. În orice caz, serviciul va fi indisponibil utilizatorilor, iar proprietarul serviciului va suferi daune directe, indirecte și reputaționale. Și dacă fiecare computer trimite nu o singură cerere, ci zeci, sute sau mii de solicitări pe secundă, atunci impactul atacului crește de multe ori, ceea ce face posibilă distrugerea chiar și a celor mai productive resurse sau canale de comunicare.

Unele atacuri sunt lansate în moduri mai „inofensive”. De exemplu, un flash mob de utilizatori ai anumitor forumuri care, prin acord, lansează „ping-uri” sau alte solicitări de pe computerele lor către un anumit server la un moment dat. Un alt exemplu este plasarea unui link către un site web pe resurse populare de internet, ceea ce determină un aflux de utilizatori către serverul țintă. Dacă un link „fals” (în exterior arată ca un link către o resursă, dar de fapt se leagă la un server complet diferit) se referă la site-ul web al unei organizații mici, dar este postat pe servere sau forumuri populare, un astfel de atac poate provoca o aflux de vizitatori nedorit pentru acest site. Atacurile din ultimele două tipuri duc rareori la încetarea disponibilității serverelor pe site-uri de găzduire organizate corespunzător, dar au existat astfel de exemple, chiar și în Rusia în 2009.

Vor ajuta mijloacele tehnice tradiționale de protecție împotriva atacurilor DDoS?

Particularitatea atacurilor DDoS este că constau în multe solicitări simultane, fiecare dintre ele fiind complet „legală”; în plus, aceste solicitări sunt trimise de computere (infectate cu roboți), care pot aparține celor mai obișnuiți utilizatori reali sau potențiali. a serviciului sau a resursei atacate. Prin urmare, este foarte dificil să identifici și să filtrezi corect exact acele solicitări care constituie un atac DDoS folosind instrumente standard. Sistemele standard din clasa IDS/IPS (Intrusion Detection / Prevention System - un sistem de detectare / prevenire a atacurilor de rețea) nu vor găsi „corpus delicti” în aceste solicitări, nu vor înțelege că fac parte dintr-un atac, decât dacă efectuează un analiza calitativă a anomaliilor de trafic. Și chiar dacă o găsesc, filtrarea cererilor inutile nu este, de asemenea, atât de ușoară - firewall-urile și routerele standard filtrează traficul pe baza unor liste de acces clar definite (reguli de control) și nu știu cum să se adapteze „dinamic” la profilul unui atac specific. Firewall-urile pot reglementa fluxurile de trafic pe baza unor criterii precum adresele sursă, serviciile de rețea utilizate, porturile și protocoalele. Dar utilizatorii obișnuiți de internet participă la un atac DDoS, trimițând cereri folosind cele mai comune protocoale - nu ar interzice un operator de telecomunicații pe toată lumea și totul? Apoi pur și simplu va înceta să ofere servicii de comunicații abonaților săi și va înceta să ofere acces la resursele de rețea pe care le deservește, ceea ce, de fapt, este ceea ce inițiatorul atacului încearcă să obțină.

Mulți specialiști sunt probabil conștienți de existența unor soluții speciale de protecție împotriva atacurilor DDoS, care constau în detectarea anomaliilor în trafic, construirea unui profil de trafic și a unui profil de atac și procesul ulterior de filtrare dinamică a traficului în mai multe etape. Și despre aceste soluții voi vorbi și în acest articol, dar puțin mai târziu. În primul rând, vom vorbi despre unele măsuri mai puțin cunoscute, dar uneori destul de eficiente, care pot fi luate pentru a suprima atacurile DDoS prin mijloacele existente ale rețelei de date și ale administratorilor acesteia.

Protecție împotriva atacurilor DDoS folosind mijloacele disponibile

Există destul de multe mecanisme și „trucuri” care permit, în unele cazuri speciale, suprimarea atacurilor DDoS. Unele pot fi folosite doar dacă rețeaua de date este construită pe echipamente de la un anumit producător, altele sunt mai mult sau mai puțin universale.

Să începem cu recomandările Cisco Systems. Experții acestei companii recomandă asigurarea protecției fundației rețelei (Network Foundation Protection), care include protecția nivelului de administrare a rețelei (Control Plane), a nivelului de management al rețelei (Management Plane) și protecția nivelului de date a rețelei (Data Plane).

Protecția planului de management

Termenul „nivel de administrare” acoperă tot traficul care gestionează sau monitorizează routerele și alte echipamente de rețea. Acest trafic este direcționat către router sau provine de la router. Exemple de astfel de trafic sunt sesiunile Telnet, SSH și http(s), mesajele syslog, capcanele SNMP. Cele mai bune practici generale includ:

Asigurarea securității maxime a protocoalelor de management și monitorizare, folosind criptarea și autentificarea:

• protocolul SNMP v3 oferă măsuri de securitate, în timp ce SNMP v1 practic nu oferă, iar SNMP v2 oferă doar parțial - valorile comunitare implicite trebuie întotdeauna modificate;
• ar trebui folosite valori diferite pentru comunitatea publică și privată;
• protocolul telnet transmite toate datele, inclusiv autentificarea și parola, în text clar (dacă traficul este interceptat, aceste informații pot fi extrase și utilizate cu ușurință), este recomandat să folosiți întotdeauna protocolul ssh v2;
• în mod similar, în loc de http, utilizați https pentru a accesa echipamentele; control strict al accesului la echipamente, inclusiv o politică adecvată de parole, autentificare centralizată, autorizare și contabilitate (model AAA) și autentificare locală în scopuri de redundanță;

Implementarea unui model de acces bazat pe roluri;

Controlul conexiunilor permise după adresa sursă folosind liste de control acces;

Dezactivarea serviciilor neutilizate, dintre care multe sunt activate implicit (sau au uitat să le dezactiveze după diagnosticarea sau configurarea sistemului);

Monitorizarea utilizării resurselor echipamentelor.

Ultimele două puncte merită să insistăm mai detaliat.
Unele servicii care sunt activate implicit sau care sunt uitate să fie oprite după configurarea sau diagnosticarea echipamentului pot fi folosite de atacatori pentru a ocoli regulile de securitate existente. Lista acestor servicii este mai jos:

• PAD (asamblator/dezasamblator de pachete);

Desigur, înainte de a dezactiva aceste servicii, trebuie să analizați cu atenție dacă sunt necesare în rețeaua dvs.

Este recomandabil să monitorizați utilizarea resurselor echipamentelor. Acest lucru va permite, în primul rând, să sesizeze în timp util supraîncărcarea elementelor individuale ale rețelei și să se ia măsuri pentru prevenirea unui accident, iar în al doilea rând, să se detecteze atacurile și anomaliile DDoS dacă detectarea lor nu este prevăzută prin mijloace speciale. Cel puțin, se recomandă monitorizarea:

• sarcina procesorului
• folosirea memoriei
• congestionarea interfețelor routerului.

Monitorizarea poate fi efectuată „manual” (monitorizarea periodică a stării echipamentului), dar este mai bine, desigur, să faceți acest lucru cu sisteme speciale de monitorizare a rețelei sau de monitorizare a securității informațiilor (acesta din urmă include Cisco MARS).

Protecția planului de control

Stratul de management al rețelei include tot traficul de servicii care asigură funcționarea și conectivitatea rețelei în conformitate cu topologia și parametrii specificați. Exemple de trafic plan de control sunt: ​​tot traficul generat de sau destinat procesorului de rută (RR), inclusiv toate protocoalele de rutare, în unele cazuri protocoalele SSH și SNMP și ICMP. Orice atac asupra funcționării procesorului de rutare, și în special atacurile DDoS, pot duce la probleme semnificative și întreruperi în funcționarea rețelei. Următoarele sunt cele mai bune practici pentru protejarea planului de control.

Poliția cu avionul de control

Constă în utilizarea mecanismelor QoS (Quality of Service) pentru a acorda o prioritate mai mare controlului traficului din avion decât traficului utilizatorilor (din care fac parte atacurile). Acest lucru va asigura funcționarea protocoalelor de serviciu și a procesorului de rutare, adică menținerea topologiei și conectivității rețelei, precum și rutarea și comutarea efectivă a pachetelor.

ACL de primire IP

Această funcționalitate vă permite să filtrați și să controlați traficul de servicii destinat ruterului și procesorului de rutare.

• sunt aplicate direct pe echipamentele de rutare înainte ca traficul să ajungă la procesorul de rutare, oferind protecție „personală” a echipamentelor;
• sunt aplicate după ce traficul a trecut prin listele normale de control al accesului - sunt ultimul nivel de protecție pe drumul către procesorul de rutare;
• se aplică întregului trafic (atât intern, cât și extern și de tranzit în legătură cu rețeaua operatorului de telecomunicații).

ACL de infrastructură

De obicei, accesul la adresele proprietare ale echipamentelor de rutare este necesar doar pentru gazdele din propria rețea a operatorului, dar există excepții (de exemplu, eBGP, GRE, IPv6 peste tuneluri IPv4 și ICMP). ACL-uri de infrastructură:

• instalat de obicei la marginea rețelei operatorului de telecomunicații („la intrarea în rețea”);
• au scopul de a împiedica gazdele externe să acceseze adresele de infrastructură ale operatorului;
• asigura tranzitul nestingherit al traficului peste granita rețelei operatorului;
• furnizează mecanisme de bază de protecție împotriva activității neautorizate de rețea descrise în RFC 1918, RFC 3330, în special, protecție împotriva falsării (spoofing, utilizarea adreselor IP surse false pentru a deghiza la lansarea unui atac).

Autentificarea vecinului

Scopul principal al autentificării vecinilor este de a preveni atacurile care implică trimiterea de mesaje de protocol de rutare falsificate pentru a modifica rutarea în rețea. Astfel de atacuri pot duce la pătrunderea neautorizată a rețelei, utilizarea neautorizată a resurselor rețelei și, de asemenea, la interceptarea traficului de către atacator pentru a analiza și obține informațiile necesare.

Configurarea BGP

• Filtre de prefix BGP - utilizate pentru a se asigura că informațiile despre rutele rețelei interne a operatorului de telecomunicații nu se răspândesc pe Internet (uneori aceste informații pot fi foarte utile pentru un atacator);
• limitarea numărului de prefixe care pot fi primite de la un alt router (prefix limitare) - folosit pentru a proteja împotriva atacurilor DDoS, anomaliilor și eșecurilor în rețelele partenere de peering;
• utilizarea parametrilor comunitari BGP și filtrarea după aceștia pot fi, de asemenea, utilizate pentru a limita distribuirea informațiilor de rutare;
• Monitorizarea BGP și compararea datelor BGP cu traficul observat este unul dintre mecanismele de detectare timpurie a atacurilor și anomaliilor DDoS;
• filtrarea după parametrul TTL (Time-to-Live) - folosit pentru a verifica partenerii BGP.

Dacă un atac BGP este lansat nu din rețeaua partenerului de peering, ci dintr-o rețea mai îndepărtată, atunci parametrul TTL pentru pachetele BGP va fi mai mic de 255. Puteți configura routerele de frontieră ale operatorului de transport astfel încât să renunțe la toate pachetele BGP cu un TTL. valoare< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Protejarea planului de date în rețea (Data Plane)

În ciuda importanței protejării nivelurilor de administrare și management, cea mai mare parte a traficului din rețeaua unui operator de telecomunicații este de date, de tranzit sau destinat abonaților acestui operator.

Redirecționare inversă a căii unicast (uRPF)

Adesea atacurile sunt lansate folosind tehnologia de falsificare - adresele IP sursă sunt falsificate, astfel încât sursa atacului să nu poată fi urmărită. Adresele IP falsificate pot fi:

• din spațiul de adrese efectiv utilizat, dar într-un alt segment de rețea (în segmentul din care a fost lansat atacul, aceste adrese false nu sunt direcționate);
• dintr-un spațiu de adrese neutilizat într-o anumită rețea de transmisie a datelor;
• dintr-un spațiu de adrese care nu este rutabil pe Internet.

Implementarea mecanismului uRPF pe routere va împiedica rutarea pachetelor cu adrese sursă care sunt incompatibile sau neutilizate în segmentul de rețea de la care au ajuns la interfața routerului. Această tehnologie face uneori posibilă filtrarea destul de eficientă a traficului nedorit cel mai aproape de sursa sa, adică cel mai eficient. Multe atacuri DDoS (inclusiv faimosul Smurf and Tribal Flood Network) folosesc mecanismul de falsificare și modificarea constantă a adreselor surselor pentru a înșela măsurile standard de securitate și filtrare a traficului.

Utilizarea mecanismului uRPF de către operatorii de telecomunicații care oferă abonaților acces la Internet va preveni în mod eficient atacurile DDoS folosind tehnologia de falsificare direcționată de proprii abonați împotriva resurselor de internet. Astfel, un atac DDoS este suprimat cel mai aproape de sursa sa, adică cel mai eficient.

Găuri negre declanșate de la distanță (RTBH)

Găurile negre declanșate de la distanță sunt folosite pentru a „dump” (distruge, trimite „nicăieri”) traficul care intră în rețea prin rutare a acestui trafic la interfețe speciale Null 0. Această tehnologie este recomandată pentru a fi utilizată la marginea rețelei pentru a reseta traficul care conține un atac DDoS atunci când intră în rețea. Limitarea (și una semnificativă) a acestei metode este că se aplică întregului trafic destinat unei anumite gazde sau gazde care sunt ținta atacului. Prin urmare, aceasta metoda poate fi utilizat în cazurile în care una sau mai multe gazde sunt supuse unui atac masiv, care cauzează probleme nu numai gazdelor atacate, ci și altor abonați și rețelei operatorului de telecomunicații în ansamblu.

Găurile negre pot fi gestionate fie manual, fie prin protocolul BGP.

Propagarea politicii QoS prin BGP (QPPB)

Controlul QoS asupra BGP (QPPB) vă permite să gestionați politicile prioritare pentru traficul destinat unui anumit sistem autonom sau unui bloc de adrese IP. Acest mecanism poate fi foarte util pentru operatorii de telecomunicații și întreprinderile mari, inclusiv pentru gestionarea nivelului de prioritate pentru traficul nedorit sau traficul care conține un atac DDoS.

Găuri pentru chiuvetă

În unele cazuri, nu este necesar să eliminați complet traficul folosind găurile negre, ci să îl deviați de la principalele canale sau resurse pentru monitorizare și analiză ulterioară. Exact pentru asta sunt concepute „canalele de diversiune” sau găurile de chiuvetă.

Găurile pentru chiuvetă sunt folosite cel mai des în următoarele cazuri:

• să devieze și să analizeze traficul cu adrese de destinație care aparțin spațiului de adrese al rețelei operatorului de telecomunicații, dar care nu sunt efectiv utilizate (nu au fost alocate nici echipamentelor, nici utilizatorilor); un astfel de trafic este a priori suspect, deoarece indică adesea încercări de scanare sau pătrundere în rețeaua dvs. de către un atacator care nu deține informații detaliate despre structura acesteia;
• pentru a redirecționa traficul de la ținta atacului, care este o resursă care funcționează efectiv în rețeaua operatorului de telecomunicații, pentru monitorizarea și analiza acestuia.

Protecție DDoS folosind instrumente speciale

Conceptul Cisco Clean Pipes este un pionier în industrie

Conceptul modern de protecție împotriva atacurilor DDoS a fost dezvoltat (da, da, nu veți fi surprinși! :)) de Cisco Systems. Conceptul dezvoltat de Cisco se numește Cisco Clean Pipes. Conceptul, dezvoltat în detaliu în urmă cu aproape 10 ani, a descris în detaliu principiile și tehnologiile de bază de protecție împotriva anomaliilor de trafic, dintre care majoritatea sunt utilizate și astăzi, inclusiv de către alți producători.

Conceptul Cisco Clean Pipes implică următoarele principii pentru detectarea și atenuarea atacurilor DDoS.

Sunt selectate puncte (secțiuni de rețea), traficul în care este analizat pentru identificarea anomaliilor. În funcție de ceea ce protejăm, astfel de puncte pot fi conexiuni de peering ale unui operator de telecomunicații cu operatori de nivel superior, puncte de conectare ale operatorilor sau abonaților de nivel inferior, canale care conectează centrele de procesare a datelor la rețea.

Detectoare speciale analizează traficul în aceste puncte, construiesc (studiază) un profil de trafic în starea sa normală, iar când apare un atac DDoS sau o anomalie, îl detectează, studiază și formează dinamic caracteristicile acestuia. În continuare, informațiile sunt analizate de către operatorul de sistem, iar procesul de suprimare a atacului este lansat în mod semi-automat sau automat. Suprimarea este locul în care traficul destinat „victimei” este redirecționat dinamic printr-un dispozitiv de filtrare, unde filtrele generate de detector sunt aplicate acestui trafic și reflectă natura individuală a acestui atac. Traficul curățat este introdus în rețea și trimis destinatarului (de aceea a apărut numele Clean Pipes - abonatul primește un „canal curat” care nu conține un atac).

Astfel, întregul ciclu de protecție împotriva atacurilor DDoS include următoarele etape principale:

• Instruire în caracteristicile de control ale traficului (profilare, învățare de bază)
• Detectarea atacurilor și anomaliilor (Detecție)
• Redirecționarea traficului pentru a trece printr-un dispozitiv de curățare (deviere)
• Filtrarea traficului pentru a suprima atacurile (atenuare)
• Injectarea traficului înapoi în rețea și trimiterea acestuia către destinatar (Injection).

Mai multe caracteristici.
Două tipuri de dispozitive pot fi utilizate ca detectoare:

• Detectoarele fabricate de Cisco Systems sunt module Cisco Traffic Anomaly Detector Services, concepute pentru instalare în șasiul Cisco 6500/7600.
• Detectoarele fabricate de Arbor Networks sunt dispozitive Arbor Peakflow SP CP.

Mai jos este un tabel care compară detectoarele Cisco și Arbor.

Ca dispozitiv de curățare a traficului, Cisco recomandă utilizarea modulului de serviciu Cisco Guard, care este instalat în șasiul Cisco 6500/7600 și, la comanda primită de la Cisco Detector sau Arbor Peakflow SP CP, traficul este redirecționat dinamic, curățat și reinjectat în rețeaua. Mecanismele de redirecționare sunt fie actualizări BGP către routerele din amonte, fie comenzi de control direct către supervizor folosind un protocol proprietar. Când se utilizează actualizări BGP, routerului din amonte i se dă o nouă valoare nex-hop pentru traficul care conține atacul, astfel încât acest trafic să ajungă la serverul de curățare. În același timp, trebuie avut grijă să vă asigurați că aceste informații nu conduc la organizarea unei bucle (astfel încât routerul din aval, atunci când intră traficul eliberat pe el, să nu încerce să încapsuleze acest trafic înapoi la dispozitivul de curățare) . Pentru a face acest lucru, mecanismele pot fi utilizate pentru a controla distribuția actualizărilor BGP folosind parametrul comunității sau utilizarea tunelurilor GRE la intrarea în traficul eliberat.

Această stare de lucruri a existat până când Arbor Networks a extins semnificativ linia de produse Peakflow SP și a început să intre pe piață cu o soluție complet independentă de protecție împotriva atacurilor DDoS.

S-a introdus Arbor Peakflow SP TMS

În urmă cu câțiva ani, Arbor Networks a decis să-și dezvolte linia de produse pentru protecție împotriva atacurilor DDoS în mod independent și indiferent de ritmul și politica de dezvoltare a acestui domeniu la Cisco. Soluțiile Peakflow SP CP aveau avantaje fundamentale față de Cisco Detector, deoarece analizau informațiile de flux cu capacitatea de a regla frecvența de eșantionare și, prin urmare, nu aveau restricții de utilizare în rețelele operatorilor de telecomunicații și pe canalele trunk (spre deosebire de Cisco Detector, care analizează o copie a trafic). În plus, un avantaj major al Peakflow SP a fost capacitatea operatorilor de a vinde abonaților un serviciu individual pentru monitorizarea și protejarea segmentelor lor de rețea.

Datorită acestor și altor considerente, Arbor și-a extins semnificativ linia de produse Peakflow SP. Au apărut o serie de dispozitive noi:

Peakflow SP TMS (Sistem de management al amenințărilor)- suprimă atacurile DDoS prin filtrare în mai multe etape pe baza datelor obținute de la Peakflow SP CP și de la laboratorul ASERT, deținut de Arbor Networks, care monitorizează și analizează atacurile DDoS pe Internet;

Peakflow SP BI (Business Intelligence)- dispozitive care asigură scalarea sistemului, crescând numărul de obiecte logice de monitorizat și oferind redundanță pentru datele colectate și analizate;

Peakflow SP PI (Interfață portal)- dispozitive care asigură o creștere a abonaților cărora li se oferă o interfață individuală pentru gestionarea propriei securități;

Peakflow SP FS (Cenzor de debit)- dispozitive care asigură monitorizarea routerelor abonaților, conexiunile la rețelele din aval și centrele de date.

Principiile de funcționare ale sistemului Arbor Peakflow SP rămân în esență aceleași cu Cisco Clean Pipes, cu toate acestea, Arbor își dezvoltă și își îmbunătățește în mod regulat sistemele, astfel încât în ​​prezent funcționalitatea produselor Arbor este mai bună în multe privințe decât cea a Cisco, inclusiv productivitatea. .

Astăzi, performanța maximă a Cisco Guard poate fi atinsă prin crearea unui cluster de 4 module Guard într-un șasiu Cisco 6500/7600, în timp ce gruparea completă a acestor dispozitive nu este implementată. În același timp, modelele de top Arbor Peakflow SP TMS au performanțe de până la 10 Gbps și, la rândul lor, pot fi grupate.

După ce Arbor a început să se poziționeze ca un jucător independent pe piața de detectare și suprimare a atacurilor DDoS, Cisco a început să caute un partener care să-i asigure monitorizarea atât de necesară a datelor privind fluxul de trafic din rețea, dar nu ar fi o soluție directă. concurent. O astfel de companie a fost Narus, care produce sisteme de monitorizare a traficului bazate pe date de flux (NarusInsight) și a încheiat un parteneriat cu Cisco Systems. Cu toate acestea, acest parteneriat nu a primit o dezvoltare și prezență serioase pe piață. Mai mult, potrivit unor rapoarte, Cisco nu intenționează să investească în soluțiile sale Cisco Detector și Cisco Guard, lăsând de fapt această nișă Arbor Networks.

Câteva caracteristici ale soluțiilor Cisco și Arbor

Este demn de remarcat câteva caracteristici ale soluțiilor Cisco și Arbor.

1. Cisco Guard poate fi utilizat fie împreună cu un detector, fie independent. În acest din urmă caz, este instalat în modul în linie și îndeplinește funcțiile unui detector, analizând traficul și, dacă este necesar, pornește filtrele și șterge traficul. Dezavantajul acestui mod este că, în primul rând, se adaugă un punct de eșec potențial suplimentar și, în al doilea rând, o întârziere suplimentară a traficului (deși este mică până când mecanismul de filtrare este pornit). Modul recomandat pentru Cisco Guard este să așteptați o comandă pentru a redirecționa traficul care conține un atac, a-l filtra și a-l introduce înapoi în rețea.
2. Dispozitivele Arbor Peakflow SP TMS pot funcționa, de asemenea, fie în modul în afara rampei, fie în modul în linie. În primul caz, dispozitivul așteaptă pasiv o comandă de redirecționare a traficului care conține atacul pentru a-l șterge și a-l introduce înapoi în rețea. În al doilea, trece tot traficul prin el însuși, generează date pe baza acestuia în format Arborflow și le transferă către Peakflow SP CP pentru analiza și detectarea atacurilor. Arborflow este un format similar cu Netflow, dar modificat de Arbor pentru sistemele sale Peakflow SP. Monitorizarea traficului și detectarea atacurilor sunt efectuate de Peakflow SP CP pe baza datelor Arborflow primite de la TMS. Când este detectat un atac, operatorul Peakflow SP CP dă o comandă pentru a-l suprima, după care TMS activează filtrele și șterge traficul de atac. Spre deosebire de Cisco, serverul Peakflow SP TMS nu poate funcționa independent; funcționarea acestuia necesită un server Peakflow SP CP, care analizează traficul.
3. Astăzi, majoritatea experților sunt de acord că sarcinile de protecție a secțiunilor locale ale rețelei (de exemplu, conectarea centrelor de date sau conectarea rețelelor în aval) sunt eficiente

Bună ziua, dragi cititori ai site-ului blogului. Despre cine nu a auzit CloudFlare? Am auzit și chiar am studiat în detaliu posibilitățile serviciului în urmă cu aproximativ cinci ani, probabil (când). Dar acum nu voi spune ce anume m-a împiedicat atunci să încerc acest serviciu (nu-mi amintesc). Dar asta nu contează.

Important este ca in prima zi lucratoare dupa sarbatorile de Anul Nou inca A trebuit să conectez site-ul la CloudFlareși, mai mult, în regim de urgență (cu smulgerea părului, consumul de litri de cafea și bătutul cu capul de masă). Acest lucru a trebuit făcut deoarece accesul la site a fost complet blocat (cel mai probabil printr-un atac DDoS - accesul prin FTP era posibil).

Sunt un administrator teribil de server și, în general, înțeleg puțin despre complexitățile și tipurile de atacuri DDos (nici cum sunt organizate, nici cum să le combat cu competență - cu excepția celei mai simple blocări IP). Când nu întâlnești asta, atunci nu ai nevoie de el.

Dar se dovedește că în prima zi lucrătoare după sărbătorile de Anul Nou, am fost hărțuit și nici eu, nici suportul tehnic al găzduirii nu am putut face nimic în acest sens. Angajarea unui freelancer pentru a rezolva problema a fost înfricoșătoare. Ei bine, cel puțin la telefon băieții de la Infobox mi-au dat ideea de a conecta CloudFlare (ca una dintre opțiunile de rezolvare a problemei) și am prins această idee ca pe un pai.

Nu prea m-am bazat pe succes (în cele câteva ore necesare pentru a le reseta pe cele vechi și a înregistra noi adrese NC, am reușit să învăț multe despre subiect și chiar am întocmit un plan de acțiune grosier). Dar spre surprinderea mea, serviciul minune burghez a ajutat! Mai mult, chiar și pe planul gratuit. Modul de protecție împotriva atacurilor DDos a funcționat excelent. Sincer, nu mă așteptam. Am fost plăcut surprins. Mai mult, site-ul a început să zboare ca pe aripi (deși înainte nu era o broască țestoasă).

În general, acest lucru nu se întâmplă, dar încă se întâmplă...

Ce este DDoS și ce este CloudFlare?

Ce este Ddos? Ei bine, în primul rând, este o abreviere pentru „refuzare distribuită a serviciului”. În rusă, acesta sună ca un atac distribuit, al cărui scop este de a determina serverul atacat (grup de servere) să refuze serviciul vizitatorilor site-urilor. Site-ul va da o eroare tuturor celor care vor să intre în el.

Cuvântul „distribuit” înseamnă că un atac DDoS vine de la mai multe computere din rețea simultan. Foarte des, o așa-numită rețea botnet este utilizată în acest scop, adică. un grup de computere infectate cu viruși sau luate în alt mod sub control. Proprietarii de calculatoare incluse în rețeaua bot nici măcar nu își dau seama că atacă pe cineva (totul se întâmplă în fundal).

Din punct de vedere fizic, aceasta înseamnă un număr mare de solicitări făcute către server de la diferite adrese IP. Dacă există una sau mai multe adrese, o puteți calcula cu ușurință din jurnalele sau deschizând pagina http://xxx.xxx.xxx.xxx/server-status (unde x trebuie înlocuit cu IP-ul serverului dvs. dacă acesta rulează Apache). După care nu va fi o problemă să blocați temporar IP-urile suspecte, de exemplu, prin fișierul .htaccess adăugând linii la acesta (înlocuiți IP-ul cu al dvs. - puteți adăuga câte linii cu Deny from doriți):

Comanda permite, respinge permite de la toate Refuza de la 83.149.19.177 Refuza de la 87.228.80.49 Refuza de la 178.212.72.13

Asta m-a ajutat o vreme. Dar nu există nicio modalitate de a scăpa de un adevărat Ddos— pur și simplu nu veți avea timp să detectați adrese IP duplicate dacă sunt atacate de la zeci și/sau sute de gazde. Asta mi s-a întâmplat. Ca rezultat, 7 ore de oprire completă!

În primele două ore am vorbit cu suportul tehnic de găzduire despre „ajutor” - „nu putem”. Apoi, în cinci minute m-am conectat la site-ul CloudFlare, în alte câteva minute am schimbat înregistrările DNS și am așteptat patru ore să înceapă conexiunea (trebuie să se actualizeze pe toate serverele NS cheie din rețea). Site-ul a fost complet operațional doar după aproximativ o zi.

Ce este DDos? Acesta este într-adevăr un lucru înfricoșător. Te simți complet neputincios și fără speranță. Din partea atacatorilor, aceasta este o modalitate de a face bani (prin șantaj sau îndeplinirea ordinului unui concurent). Protecția permanentă împotriva acestui rău este foarte costisitoare, dar CloudFlare, chiar și cu un plan gratuit, vă permite să luptați împotriva unui atac DDoS slab spre mediu.

Acest serviciu are milioane de site-uri conectate (aproximativ cinci milioane), iar dezvoltatorii de servicii urmăresc întotdeauna clar de pe ce IP-uri atacă de obicei acum și unor astfel de vizitatori, de exemplu, li se poate afișa un captcha (este puțin probabil ca boții să o rezolve) sau să verifice browserul. pentru „umanitate” astfel de IP-uri suspecte. Și serverele lor însele, distribuite în întreaga lume, fac o treabă bună în a reduce atacul de negare - aceste solicitări sunt pur și simplu distribuite pe diferite servere și reduc foarte mult puterea atacului, reducând toate eforturile „ridichilor” la nimic.

Pentru o protecție DDoS mai serioasă în CloudFlare, trebuie să plătiți destul de mult (200 USD). Dar toate acestea sunt pentru o afacere foarte serioasă, unde DDoS este mai puternic (se toarnă mai mulți bani în el), dar proprietarii au și mulți mai mulți bani. Tariful PRO de 20$ sau chiar tariful gratuit, care are aproape de toate, ne va fi suficient (citiți mai jos despre el).

Ce este CloudFlare? Acesta este un serviciu online care datează din 2009 (are aceeași vârstă cu blogul meu). Aceasta nu este în niciun caz găzduire, deși din exterior poate părea așa. Este mai degrabă un supliment pentru găzduire (ceva ca un proxy invers de stocare în cache). După conectarea site-ului la acest serviciu online, adresa lui IP se modifică și se pare că ați schimbat hosterul, dar nu este cazul.

Veți avea în continuare nevoie de găzduire și veți lucra cu site-ul practic în același mod ca și înainte. Vor fi câteva nuanțe, dar esența va rămâne aceeași. CloudFlare necesare pentru protectie (functionare stabila) si accelerare a amplasamentului.

Peste cinci milioane de site-uri din întreaga lume sunt deja conectate la acesta. Acest serviciu online deține o rețea distribuită de centre de date (mai mult de 120) în întreaga lume (unul a apărut la Moscova de anul trecut). Acesta din urmă este deosebit de plăcut, deoarece oferă un răspuns mult mai rapid la accesarea site-urilor din Rusia (deși țara noastră este mare și trebuie să construim mai multe centre).

Asa de, CloudFlare deține o mulțime de servere distribuite în întreaga lume. Pentru ce? Pentru ca site-urile adăugate la acesta să se încarce în browserele vizitatorilor cât mai repede posibil. Toate codurile grafice, CSS și script Java vor fi difuzate de la centrul de date care este cel mai apropiat de vizitatorul dat al site-ului dvs. Vizitatorul a venit din Moscova? Aceasta înseamnă că centrul de date din Moscova va începe să funcționeze. Din SUA? Aceasta înseamnă că grafica și alte statice vor fi date vizitatorului din nodul Cloud Flare cel mai apropiat de el.

Numai acest lucru poate crește deja viteza medie de încărcare a paginilor de pe site-ul dvs. Dar acest serviciu are mai mulți ași și glumeți în păstrarea sa. Lucrând cu milioane de site-uri și respingând atacurile în fiecare secundă, serviciul are o bază de date cu adrese de la care site-urile sunt acum cel mai des atacate. Numai acest lucru poate, chiar și cu un plan gratuit, să servească drept primul eșalon de protecție împotriva atacurilor DDoS (și nu trebuie să cheltuiți multe resurse și timp pentru asta).

În plus, serviciul permite activați modul „sub atac”.(În modul Attack), când fiecare acces la site este întrerupt timp de 5 secunde pentru a determina tipul de browser din care s-a făcut accesul. Acest mod m-a salvat în situația descrisă mai sus. situație fără speranță. Da, în acest caz toți roboții și unii utilizatori legitimi sunt tăiați (dintr-o privire, traficul a devenit cu douăzeci la sută mai mic), dar acest lucru este mai bine decât o refuz complet de acces la server.

După terminarea atacului DDoS, puteți dezactiva acest mod și puteți selecta nivelul de vigilență corespunzător. Dacă atacul se repetă, acesta poate fi pornit cu ușurință chiar și de pe telefonul mobil în timp ce stai în metrou (principalul este să reacționezi la timp).

În general, chiar Planul gratuit are aproape tot ce ai nevoie are deja. Puteți chiar să comprimați fișierele script CSS și Java din mers (eliminând spații din ele) pentru a crește viteza de încărcare cu o picătură. Credeți sau nu, cu planul gratuit de la CloudFlare puteți chiar să vă conectați SSL la site-ul dvs. (treceți la protocolul de transfer de date criptat - https, ceea ce Google ne încurajează activ să facem în ultima vreme). În plus, serviciul oferă propriul certificat gratuit.

Un fel de fantezie, nu-i așa? Vedeți singur tabelul de comparație al planurilor tarifare (inclusiv gratuit). Ciuma! Dacă găzduirea dvs. scade (vor fi probleme), atunci Cloud Flare va trimite în această perioadă de timp paginile site-ului din memoria cache(și funcționează - l-am testat prin oprirea serverului, dar există nuanțe despre care ar trebui să citiți mai jos, altfel nu va funcționa). Poate mi-a scăpat ceva din deliciile gratuite, dar acest lucru este mai mult decât suficient (din acest motiv).

Apropo, acest serviciu nu are un program de afiliere, dar există o mulțime de concurenți pe RuNet cu etichete de preț nebunești (de exemplu, protecția împotriva atacurilor DDoS în qrator costă mult). Prin urmare, atunci când citești pe forumuri sau bloguri recenzii despre CloudFlare, apoi acordați atenție muncii adesea foarte subtile ale acestor concurenți (capacitățile CloudFlare sunt subestimate, iar serviciul sau add-on-ul lor este subestimat). Multe sunt în desfășurare, dar serviciul este cu siguranță în categoria „asta nu se poate întâmpla, dar încă există”.

Nu, are si dezavantaje. Care? Ei bine, adesea foarte semnificativ:

Ce obțineți din trecerea la tariful PRO în CloudFlare?

După cum am spus mai sus, a cumpărat PRO pentru 20 USD pe lună(s-a dovedit a fi de o ori și jumătate mai scump decât găzduirea) și m-au transferat (fără solicitarea mea - automat) la noua IP, unde sunt doar trei vecini și sunt destul de legitimi.

În plus, pe un plan plătit Aveți o oportunitate:

1. Lustrui(fila „Viteză” din meniul de sus) - comprimați imaginile din mers înainte de a le trimite vizitatorilor site-ului (puteți configura opțiunea de compresie - fără pierderi sau cu pierderi, dar mai puternic).
   
   
2. Miraj— vă permite să încărcați o diagramă pe dispozitive mobile nu imediat, ci pe măsură ce vizitatorul derulează pagina. În plus, imaginile sunt comprimate la dimensiunile reale necesare și abia apoi transferate utilizatorului în gadget. Se pare că acest lucru accelerează foarte mult site-ul pe telefoanele mobile.

   

   De exemplu, dacă îmi deschizi blogul de pe telefonul mobil, atunci când derulezi rapid pagina vei vedea că în loc de poze se introduc substituenți, care sunt înlocuiți cu imagini reale doar când lovesc ecranul de vizualizare.

   

   

   Și acum dă o evaluare semnificativ mai mică - jură că o parte din conținutul de pe primul ecran nu este încărcat la timp. Cine îl va înțelege?

3. Regulile paginii— pe un cont plătit, devine posibil să setați mai mult de trei reguli pentru pagini (sau mai bine zis, până la 20). De ce sunt necesare aceste reguli? De exemplu, vă permit să configurați stocarea în cache nu numai a conținutului static, ci și a paginilor HTML ale site-ului. Ei bine, există și alte aplicații, dar am nevoie doar de scopul descris. Citiți mai jos despre cum să configurați memoria cache completă a site-ului (inclusiv textul paginii, nu doar imagini, scripturi și stiluri).
4. Firewall aplicație web— pe un cont plătit, puteți activa (în fila „Firewall” din meniul de sus) un set de bază de protecție împotriva diferitelor atacuri, cum ar fi cross-site scripting (XSS) și injecții SQL. Toate aceste activități vor fi întrerupte (filtrate) pentru alta
   CloudFlare (nu ajunge la hosting real). Puteți adăuga și propriile reguli, dar nu mă pricep la asta, așa că m-am limitat la setul standard (testat în timp și milioane de site-uri).
5. Va fi posibil să vă faceți propriul design pentru pagini cu un cont plătit diverse erori. De exemplu, când activați „Modul sub atac”, tuturor vizitatorilor noi ai site-ului li se va afișa un mesaj că browserul lor este verificat pentru „umanitate” (dacă citiți Căutare, este posibil să fi văzut un astfel de mesaj în în ultimul an, după ce au conectat Cloud Flare).

   

   Acest semn este în limbaj burghez și unii vizitatori pot fuge pur și simplu. Dar dacă scrieți ceva de genul „Băieți, băieți, băieți! Nu pleca! Literal 5 secunde și totul va fi făcut!”, apoi șansa de a reține vizitatorul va crește. Încă îmi este prea lene să fac asta...

Plătesc tariful prin PayPal, ceea ce este foarte convenabil. La stabilirea plăților, am fost întrebat, dar banii nu au fost retrași de pe card, ci direct din portofel în sine (retrag la el). Este bine că în fiecare lună ulterioară plata are loc fără participarea mea - banii sunt debitați automat din portofelul PayPal în ziua plății, ceea ce este foarte convenabil.

Nu este de mirare, deoarece Paypal vă permite să protestați împotriva plății în termen de o lună și jumătate, dacă se întâmplă ceva.

Cum să vă conectați site-ul web la CloudFlare?

Ei bine, aici, apropo, totul este destul de simplu dacă expertul de conectare poate scoate toate setările necesare pentru transferul site-ului dvs. (IP-ul său, înregistrările Ms). Cu toate acestea, primul lucru.

Accesați Cloud Flare și Inregistreaza-te(ca pruna ochiului meu, pentru că aceasta este cheia site-ului tău).

Voi spune imediat că nu este nimic special de care să vă fie frică, pentru că dacă conexiunea eșuează, nu va trebui să așteptați o zi pentru ca înregistrările DNS să fie rescrise din nou. Doar faceți clic pe bulele de pe pagina de setări DNS și site-ul dvs. va funcționa direct (a trebuit să fac asta cu unul dintre proiectele minore, care din anumite motive nu se mai deschide cu CloudFlare - vezi captura de ecran de mai jos). Dar în orice caz: toată responsabilitatea pentru acțiunile tale revine numai ta și voi fi aici, de parcă n-aș avea nimic de-a face cu asta.

Imediat după înregistrare puteți merge la pagina pentru adăugarea unui nou site, unde trebuie doar să introduceți numele de domeniu în linia propusă și să faceți clic pe butonul „Începeți scanarea”:

Aici, după cum puteți vedea, totul este OK - serviciul a găsit toate înregistrările NS principale (inclusiv e-mail), ceea ce este bun. Memorarea în cache a fost activată automat pentru datele viitoare transferate de pe acest site (norii erau colorați). Daţi-i drumul.

După cum am spus mai sus, Chiar și un plan gratuit este potrivit pentru protecția Ddos(dacă doriți, puteți obține și un certificat SSL gratuit). Am descris mai sus diferențele dintre planul PRO și planul gratuit, așa că alegeți ceea ce aveți nevoie (nu-mi pasă). Daţi-i drumul.

Acum principalul lucru. Trebuie să mergeți la panoul registratorului de nume de domeniu () și să schimbați înregistrările NS de acolo cu cele sugerate la acest pas de expertul CloudFlare. De exemplu, în WebMoney Domains acest lucru se face pe această pagină:

Trebuie doar să înlocuiți intrările din două rânduri cu ceea ce v-a dat Cloud Flare și așteptați de la 4 ore la 2 zile, până când toată chestia asta este înregistrată pe toate NS ale Internetului. Să mergem mai departe, iar după câteva ore după înregistrarea noilor servere NS, puteți face clic pe butonul „Reverificați serverele de nume”:

Vă rugăm să rețineți că mai jos sunt setări implicite, care va fi aplicat site-ului dvs. imediat după conexiunea finală la CloudFlare (nivel mediu de securitate și caching standard, ceea ce înseamnă că doar fișierele statice - imagini, stiluri și scripturi - intră în cache).

Dacă conexiunea DNS a fost deja finalizată, atunci starea după ce faceți clic pe butonul menționat se va schimba:

Buton „Acțiuni rapide” vă permite să treceți rapid la modul de protecție împotriva Ddos și a altor tipuri de atacuri, care se numește „În modul de atac”. Când am trecut la Cloud Flare, a trebuit să fac exact asta. Am activat acest „Mod sub atac” timp de aproximativ 12 ore până când atacul s-a oprit.

În acest timp, accesul la site este limitat și toate conexiunile sunt verificate pentru a se asigura că sunt legitime. Orice bot, inclusiv motoarele de căutare, nu va putea ajunge la site. În întregime, Nu merită să lucrezi în el mai mult decât este necesar(în timp ce atacul este în curs). Citiți puțin mai multe despre activarea și dezactivarea modului de protecție împotriva atacurilor DDoS la sfârșitul acestei publicații.

100% timp de funcționare pentru site folosind CloudFlare

În cadrul funcționării offline a site-ului, am o situație în care, din anumite motive, dvs hosting va scădea, iar site-ul va continua să fie disponibil vizitatorilor. Acesta, după cum se spune, este un caz extrem. Dar de multe ori găzduirea poate pur și simplu să nu facă față încărcătură mare(cauzat de trafic sau de utilizarea multor plugin-uri și optimizarea slabă a motorului). În acest caz, stocarea în cache a paginilor HTML în CloudFlare va ajuta din nou.

În mod implicit, după cum am înțeles, serviciul memorează în cache doar fișiere statice: imagini, CSS și JC. Toate. În principiu, acest lucru poate facilita foarte mult munca de găzduire și poate accelera încărcarea paginilor site-ului web în diferite părți ale lumii. Dar de multe ori acest lucru nu este suficient. Și nici măcar acesta nu este principalul lucru. În acest mod Funcția „Întotdeauna online” nu funcționează(Întotdeauna online), pentru că Cloud Flare nu știe să facă minuni și servește pagini din propriul cache, iar dacă acestea nu sunt acolo, le trimite la hosting (care poate fi indisponibilă momentan).

În general, sarcina se reduce la activarea stocării în cache a întregului conținut al paginii web (cod de marcare, inclusiv conținut text) și nu doar conținut static. Puteți face acest lucru în filă „Reguli paginii” din meniul de sus (vezi explicațiile din ajutor). De ce nu a fost inclus acest lucru în setările generale de cache? Cred că se datorează varietății mari de site-uri și motoare pe care rulează. Aparent, nu este posibil să se asigure stabilitatea în acest fel. Trebuie să acționați mai precis, pe baza structurii și specificului fiecărui site web specific. DIN PUNCTUL MEU DE VEDERE.

Cu planul gratuit poți crea doar trei reguli pentru pagini, dar cu planul PRO poți crea 20. Esența creării unei reguli este destul de simplă. Deocamdată, să omitem ceea ce trebuie introdus în câmp cu o expresie regulată și să vedem ce ni se oferă când facem clic pe „+ Adaugă o setare”:

Aici puteți selecta setarea Niveluri cache, unde în lista de setări suplimentare care se deschide puteți selecta ultima opțiune „Memoriază totul în cache”(„În cache totul”). În acest fel, vom forța CloudFlare să memoreze în cache întreaga pagină web, și nu doar pe cele statice.

De asemenea, ar fi indicat să întrebați momentul în care pagina va fi stocată în cache CloudFlare și în memoria cache a browser-ului vizitatorilor site-ului (acestea sunt două setări diferite). Totul depinde de gradul de dinamism al site-ului dvs. ca întreg și de paginile sale individuale, în special. Sunt destul de mulțumit de un interval de câteva zile de stocare cache în cloud și aleg diferite cache de browser (în funcție de tipul de pagini).

Pentru a seta aceste setări, va trebui să faceți clic pe butonul „+ Adăugați o setare” de câteva ori și să selectați:

1. Browser Cache TTL— setarea duratei de viață a cache-ului în browserele vizitatorilor site-ului dvs. De exemplu, dacă selectați o zi, atunci un vizitator care vizitează aceeași pagină a site-ului dvs. de două ori în timpul zilei o va primi a doua oară nu de pe Internet, ci din memoria cache a propriului browser (fără modificări). Dar dacă trece mai mult de o zi, pagina va fi solicitată de pe Internet (de la Cloud Flare). Pentru pagina principală a acestui blog, am setat Browser Cache TTL la „câteva ore”, iar pentru paginile rămase - de la o zi la două. Este posibil să se găsească ceva mai optim.
2. Edge cache TTL— aceasta este deja durata de viață a cache-ului pe serverele din centrele de date CloudFlare (în întreaga lume). Dacă setați aceeași zi, atunci toți vizitatorii site-ului dvs. vor vedea această pagină (sau un grup de pagini pentru care setați cache Edge TTL egal cu o zi) fără modificări, chiar dacă această pagină s-a schimbat pe server (pentru de exemplu, i-au fost adăugate comentarii sau ați schimbat ceva în text, ați schimbat imaginea etc.).

Permiteți-mi să spun imediat că serviciul are ocazia forțat resetarea memoriei cache nu numai pentru întregul site (ceea ce nu este recomandat în mod special), ci și pentru pagini individuale și chiar și pentru fișiere statice individuale (imagini, fișiere de stil și scripturi) atunci când ați făcut modificări la acestea și doriți să fie imediat disponibile pentru vizitatorii site-ului dvs. .

Acest lucru se face în fila „Memorizare în cache” (din meniul de sus) făcând clic pe butonul „Ștergere fișiere individuale” ( pentru a reseta toată memoria cache va trebui să faceți clic pe săgeata de pe acest buton și să selectați cel mai mic dintre cele două elemente „Șterge totul”). În fereastra care se deschide, trebuie să introduceți adresa URL a paginii, fie pagini (una pe linie), fie fișiere individuale (calea completă către imagini, fișier de stil etc.):

Folosesc destul de des această opțiune, de exemplu, după ce am schimbat pozele, am adăugat un comentariu la un articol sau când schimb designul site-ului (resetez memoria cache pentru fișierul de stiluri). Fișierele a căror cache ați resetat recent apar mai jos - puteți pur și simplu să faceți clic pe ele pentru a le reseta din nou. Foarte confortabil.

Dar să revenim la setările regulilor pentru paginile individuale ale site-ului - Regulile paginii. Puțin mai devreme am apăsat butonul „Creează o regulă de pagină”și a învățat cum să activați memorarea în cache completă a conținutului paginilor HTML, precum și să limitați durata de viață a cache-ului în browserele vizitatorilor și pe serverele CloudFlare. Rezultatul ar trebui să fie cam așa:

Acestea. Am stabilit regulile de stocare în cache de care avem nevoie. În exemplu, aceasta este stocarea în cache a întregului conținut cu o durată de viață a cache-ului în browserele vizitatorilor de 4 ore și o durată de viață a cache-ului pe serverele de servicii de 2 zile. Singurul lucru rămas de făcut este să scrieți în prima linie a acestei ferestre pop-up o formulă prin care serviciul va înțelege pentru care pagini ale site-ului dvs. se aplică aceste reguli. Puteți citi cum să faceți acest lucru făcând clic pe butonul „Ajutor” din partea de jos a ferestrei de setări a regulilor.

În opinia mea, există două moduri de a stabili reguli:

1. Pe tariful Pro, este posibil să înregistrați 20 de reguli pentru pagini, ceea ce vă permite să implementați prima opțiune: descrieți cu formule toate tipurile de pagini de site care ar trebui să fie stocate în cache. Pentru blogul meu, aceasta este pagina principală, pagini cu articole, pagini de secțiuni, precum și pagini statice precum „Despre blog”, etc. Desigur, nu vom indica aici URL-urile de administrator, deoarece memoria cache de acolo poate interfera cu munca.
2. Doar trei reguli sunt disponibile în planul gratuit și, în unele cazuri, este posibil să nu fie suficiente pentru a implementa prima metodă. A doua cale este prima permiteți stocarea în cache a paginilor întregului site și apoi dezactivați stocarea în cache în panoul de administrareși pagina de autentificare. Trei reguli ar trebui să fie suficiente pentru asta.

Cum să configurați memorarea în cache completă a paginilor site-ului în CloudFlare

Acum să aruncăm o privire mai atentă asupra implementării practice a ambelor metode.

Să începem cu prima opțiune crearea regulilor de cache permisive pentru toate (sau majoritatea) paginilor site-ului, care vor trebui stocate integral în cache-ul serverelor CloudFlare (tot codul html cu imagini, scripturi și stiluri).

Dacă paginile cu articole de pe site-ul tău (ca pe blogul meu) se termină în .html, apoi pentru stocarea lor în cache completă, este suficientă o singură regulă pentru pagini:

Website/*.html

Înlocuiește numele meu de domeniu cu al tău și totul ar trebui să funcționeze. Pur și simplu - semnul * înlocuiește tot ce poate apărea între numele de domeniu și sufixul .html.

Tot ce rămâne este să adăugați o regulă pentru a stoca complet în cache pagina principală a site-ului:

Site/

Aici, cred, totul este clar și fără explicații. Singurul lucru este pentru pagina de start Am ales un timp mai scurt de stocare în cache în browserele utilizatorilor, deoarece conținutul acestei pagini se modifică mai des decât altele și este important ca acesta să fie afișat într-o stare mai mult sau mai puțin actualizată.

Timpul de stocare în cache pe serverele CloudFlare a fost lăsat ridicat, deoarece atunci când adaug o nouă intrare, pur și simplu resetam memoria cache pentru calea principală descris chiar mai sus. Este foarte convenabil, trebuie doar să te obișnuiești mai întâi să o faci.

Este grozav când toate paginile, cu excepția celei principale, se termină în .html. De exemplu, categoriile și paginile mele statice (cum ar fi „Despre blog”) nu au un astfel de index. Cu rubrici Nu a trebuit să sufăr mult, pentru că am ales, după cum s-a dovedit, un șablon de succes, cu cuvântul (director) obligatoriu „/categorie/”, așa că regula pentru acest tip de pagină arată astfel:

Site/categorie/*

Ei bine, a trebuit să mă joc cu paginile statice, dar totul părea să meargă.

Drept urmare, procentul de date trimise din cache-ul CloudFlare a fost (conform analizelor integrate în acest sistem) de aproximativ 90%, ceea ce este foarte bun (de fapt, încărcarea pe serverul meu de găzduire a scăzut cu această sumă):

Toate celelalte proiecte mici le-am găzduit pe un cont separat CloudFlare (gratuit). Deoarece A fost posibil să creez doar trei reguli pentru paginile din planul gratuit, așa că am decis să merg dimpotrivă - permiteți stocarea completă în cache a întregului site, apoi interziceți atingerea paginilor de administrare.

Voi spune imediat că nu a funcționat prea bine. În loc de 90% descărcări din cache, în acest caz am primit mai puțin de 50%. Dar cu toate acestea, o să-mi dau soluțiile, poate îmi puteți spune unde am greșit. Deci, cu prima regulă am permis ca totul să fie stocat în cache:

Și al doilea (acest site funcționează pe WordPress) — pentru paginile de administrare am ales modul de ocolire a stocării în cache, adică. aceste pagini nu sunt stocate în cache. Totul pare să funcționeze și viteza blogului a crescut semnificativ, dar în analiză, mai puțin de 40 la sută din trafic trece prin CloudFlare (tot restul provine de la serverul de găzduire). De ce? Nu-mi este foarte clar. În același timp, nu au fost probleme cu lucrul în panoul de administrare, ceea ce este deja bun.

Dacă aveți un site web pe joomla, atunci puteți ocoli panoul de administrare în acest fel (probabil):

Domin.ru/admin*

În general, vedeți singur ce opțiune alegeți.

Pe unul dintre site-urile conectate la un cont gratuit CloudFlare, brusc au fost probleme(a încetat să mai deschidă), așa că deocamdată am doar a dezactivat „nori” în fila „DNS”. din meniul de sus:

După aceea a început să se deschidă. Încă nu am început să transfer înregistrările NS pe cele vechi - poate că va exista dorința de a afla ce este ce.

Ce să faci dacă începe un atac DDos și cum să-l respingi?

Dacă v-ați conectat la CloudFlair tocmai din cauza unui atac DDoS în curs (sau a început după conectare), atunci va fi posibil să îl reflectați sau să reduceți efectul acestuia chiar și asupra tarifului gratuit al acestui serviciu. Pentru a face acest lucru, trebuie doar să accesați fila „Prezentare generală” din meniul de sus și să faceți clic pe butonul „Acțiuni rapide”:

Selectați un articol din lista verticală „În modul de atac” iar acest serviciu va începe să contracareze în mod activ atacul DDoS.

Toți utilizatorii (sau boții) vor fi amânați înainte de a contacta serverul dvs. de găzduire de către serviciul CloudFlare timp de 5 secunde, timp în care va încerca să stabilească dacă este un utilizator real (browser) sau un bot.

Utilizatorii reali o vor face urmăriți această imagine pe ecran timp de 5 secunde(inainte de a deschide pagina site-ului):

Este clar că o astfel de inscripție „de neînțeles” va speria unii vizitatori - am observat o scădere a prezenței în „Modul de atac” cu aproximativ un sfert față de funcționarea normală. Dar este mai bine să pierzi un sfert din vizitatori decât 100%. Sunteți de acord?

În plus, pe tariful PRO (despre care am scris mai sus), puteți schimba tipul acestei inscripții și puteți reduce rata de eșec (de exemplu, traduceți-l în rusă și adăugați puțină creativitate). În orice caz, oportunitatea este minunată.

Cu toate acestea, nu ar trebui să lăsați site-ul în „Modul de atac” mai mult decât timpul în care atacul este în desfășurare, deoarece nu numai că veți pierde unii vizitatori, ci și toți roboții motoarelor de căutare vor fi tăiați de pe site, care în timp. nu va avea un efect mare asupra traficului. De aceea dezactivați periodic „Modul sub atac” cu un simplu clic pe un buton „Dezactivați”(în fila „Prezentare generală” - vedeți captura de ecran de mai sus) și uitați-vă la rezultat.

Dacă site-ul a devenit din nou indisponibil (Ddos continuă), apoi activați Status: I'm Under Attack! înapoi. Așa că continuați să monitorizați sfârșitul atacului DDoS după două ore, pentru a nu păstra site-ul în acest lucru cu siguranță util , dar modul „Under Attack” suboptim pentru prea mult timp "

Intr-un mod continuu Prefer să folosesc modul implicit "Mediu". Apropo, puteți schimba modul de securitate fără a trece la „Mod sub atac”. Acest lucru se poate face în fila „Firewall” (din meniul de sus) selectând opțiunea dorită din meniul derulant al butonului cu numele Nivelului de securitate actual:

Ei bine, și „Sunt atacat!” De aici îl puteți porni și.

Dar în general

Până acum, mi se pare tot ce mi-am dorit și am de spus. Aruncă o privire la fila „Viteză” și vezi ce poți folosi acolo. În general, îmi pare rău pentru asta scurta descriere acesta este cu siguranță un serviciu remarcabil, dar m-am săturat să scriu ceva și să fac capturi de ecran (se pare că nu sunt în formă astăzi).

În RuNet, nu am întâlnit încă un astfel de patronaj, împreună cu o utilitate uimitoare. Prin urmare, nu am considerat împovărător să trec la tariful PRO cu o taxă lunară de 20 USD.

În principiu, a fost posibil să nu faci asta, dar este cumva mai calm, sau ceva de genul...

CloudFlare este dedicat celui de-al cincilea videoclip de la 6 lecții video despre accelerarea site-ului, care, după părerea mea, are sens să vizionați în întregime pentru a percepe imaginea de optimizare în ansamblu (videoclipul dorit poate fi selectat din lista derulantă din colțul din stânga sus al ferestrei playerului):

Multă baftă! Ne vedem curând pe paginile site-ului blogului

S-ar putea să fiți interesat

Cum să adăugați un videoclip pe un site web fără a afecta viteza de încărcare a paginii
Handyhost - cum să alegi cea mai bună găzduire pentru tine
Accelerarea și protecția site-ului dvs. în serviciul cloud Airi.rf
Măsurarea și creșterea vitezei site-ului în GTmetrix, precum și configurarea încărcării bibliotecii jQuery din Google CDN Cum să înregistrați un domeniu (cumpărați un nume de domeniu de la un registrator)
Cum să găsiți și să eliminați liniile de stil neutilizate (selectoare suplimentare) din fișierul CSS al site-ului dvs

DoS (din engleza Denial of Service - denial of service) este un atac asupra unui sistem informatic (de obicei comis de hackeri) cu scopul de a-l duce la eșec, adică de a crea condiții în care utilizatorii legitimi ai sistemului nu pot accesa resurse de sistem furnizate (servere), sau acest acces este dificil.

În prezent, atacurile DoS și DDoS sunt cele mai populare, deoarece permit aproape oricărui sistem să eșueze fără a lăsa dovezi semnificative din punct de vedere legal. Costul organizării unui atac este neglijabil. Un atac de 10 Gbit/s de o oră costă aproximativ 50 USD/euro și poate fi organizat de oricine vizitează un serviciu special de hackeri de pe Internet. Dacă un atac este efectuat simultan de la un număr mare de computere, se vorbește despre un atac DDoS (din atacul în limba engleză Distributed Denial of Service). În condițiile moderne, atacurile DDoS implică nu numai computere, ci și alte dispozitive de consum cu acces la Internet.

În primul rând, atacatorul scanează rețeaua folosind scripturi special pregătite care identifică nodurile potențial slabe. Nodurile selectate sunt atacate și atacatorul câștigă drepturi administrative asupra acestora. Programele troiene sunt instalate pe nodurile capturate și rulează în fundal. Acum aceste computere se numesc computere zombie: utilizatorii lor nici măcar nu bănuiesc că sunt potențiali participanți la un atac DDoS.

Apoi, atacatorul trimite anumite comenzi către computerele capturate, iar acestea, la rândul lor, efectuează un puternic atac DoS asupra serviciului de Internet țintă. În unele cazuri, un atac DDoS real este cauzat de o acțiune neintenționată, de exemplu, plasarea pe o resursă populară de Internet a unui link către un site situat pe un server nu foarte productiv (efect slashdot). Un aflux mare de utilizatori duce la depășirea sarcinii permise pe server și, în consecință, la refuzul serviciului unora dintre ei.

După metoda de influență se disting:

Atacurile DDoS la nivel de rețea (L3-4), care limitează funcționarea echipamentelor server sau perturbă funcționarea software-ului din cauza vulnerabilităților protocolului.

Atacurile DDoS la nivel de aplicație (L7), care atacă „slăbiciunile” unui site de Internet, acționează în mod țintit, se remarcă prin consumul minim de resurse, predomină cantitativ și necesită un „antidot” complex și costisitor.

Un atac DoS și DDoS este un impact extern agresiv asupra resurselor de calcul ale unui server sau stație de lucru, realizat cu scopul de a-l duce la eșec. Prin eșec înțelegem nu defecțiunea fizică a unei mașini, ci inaccesibilitatea resurselor acesteia pentru utilizatorii de bună-credință - refuzul sistemului de a le deservi ( D enial o f S ervice, din care provine abrevierea DoS).

Dacă un astfel de atac este efectuat de pe un singur computer, acesta este clasificat ca DoS (DoS), dacă din mai multe - DDoS (DiDoS sau DDoS), ceea ce înseamnă „D repartizat D enial o f S ervice" - refuzul de serviciu distribuit. În continuare, vom vorbi despre motivul pentru care atacatorii efectuează astfel de atacuri, ce sunt, ce prejudicii provoacă atacatorilor și cum aceștia din urmă își pot proteja resursele.

Cine poate suferi de atacuri DoS și DDoS?

Serverele corporative ale întreprinderilor și site-urile web sunt atacate, mult mai rar - computerele personale indivizii. Scopul unor astfel de acțiuni, de regulă, este unul - acela de a provoca un prejudiciu economic persoanei atacate și de a rămâne în umbră. În unele cazuri, atacurile DoS și DDoS reprezintă una dintre etapele hackingului de server și au ca scop furtul sau distrugerea informațiilor. De fapt, o companie sau un site web aparținând oricui poate deveni o victimă a atacatorilor.

O diagramă care ilustrează esența unui atac DDoS:

Atacurile DoS și DDoS sunt cel mai adesea efectuate la instigarea concurenților necinstiți. Astfel, prin „crashing” site-ul unui magazin online care oferă un produs similar, poți deveni temporar un „monopol” și să-i iei clienții pentru tine. Prin „înlăturarea” unui server corporativ, puteți perturba activitatea unei companii concurente și, prin urmare, îi puteți reduce poziția pe piață.

Atacurile la scară largă care pot provoca daune semnificative sunt de obicei efectuate de infractorii cibernetici profesioniști pentru o mulțime de bani. Dar nu in totdeauna. Resursele tale pot fi atacate de hackeri amatori de acasă din interes, răzbunătorii dintre angajații concediați și pur și simplu cei care nu împărtășesc părerile tale despre viață.

Uneori, impactul este efectuat în scopul extorcării, în timp ce atacatorul cere în mod deschis bani de la proprietarul resursei pentru a opri atacul.

Serverele companiilor de stat și ale organizațiilor binecunoscute sunt adesea atacate de grupuri anonime de hackeri de înaltă calificare pentru a influența oficialii sau a provoca proteste publice.

Cum se desfășoară atacurile

Principiul de funcționare al atacurilor DoS și DDoS este trimiterea unui flux mare de informații către server, care la maximum (în măsura posibilităților hackerului) încarcă resursele de calcul ale procesorului, RAM, înfunda canalele de comunicare sau umple spațiul pe disc. . Mașina atacată nu poate procesa datele primite și nu mai răspunde la solicitările utilizatorilor.

Iată cum arată funcționarea normală a serverului, vizualizată în programul Logstalgia:

Eficacitatea atacurilor unice DOS nu este foarte mare. În plus, un atac de la un computer personal expune atacatorul riscului de a fi identificat și prins. Atacurile distribuite (DDoS) efectuate din așa-numitele rețele zombie sau botnet oferă un profit mult mai mare.

Așa afișează site-ul Norse-corp.com activitatea rețelei bot:

O rețea zombie (botnet) este un grup de computere care nu au nicio conexiune fizică între ele. Ceea ce au în comun este că toți sunt sub controlul unui atacator. Controlul se realizează printr-un program troian, care deocamdată poate să nu se manifeste în niciun fel. Atunci când efectuează un atac, hackerul instruiește computerele infectate să trimită cereri către site-ul sau serverul victimei. Iar el, incapabil să reziste presiunii, nu mai răspunde.

Iată cum Logstalgia arată un atac DDoS:

Absolut orice computer se poate alătura unei rețele bot. Și chiar și un smartphone. Este suficient să prinzi un troian și să nu fii detectat la timp. Apropo, cel mai mare botnet era format din aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor habar nu aveau ce fac.

Metode de atac și apărare

Înainte de a lansa un atac, hackerul își dă seama cum să-l efectueze cu efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica semnificativ contracararea. Prin urmare, este important ca fiecare administrator de server să-și studieze toate „blocurile” și, dacă este posibil, să le întărească.

Potop

Flood, în termeni simpli, este o informație care nu are niciun sens. În contextul atacurilor DoS/DDoS, o inundație este o avalanșă de solicitări goale, fără sens, de un nivel sau altul, pe care nodul receptor este forțat să le proceseze.

Scopul principal al folosirii inundațiilor este de a înfunda complet canalele de comunicație și de a satura lățimea de bandă la maximum.

Tipuri de inundații:

• MAC flood - impact asupra comunicatorilor de rețea (blocarea porturilor cu fluxuri de date).
• Inundare ICMP - inundarea unei victime cu solicitări de ecou de serviciu folosind o rețea zombie sau trimiterea de cereri „în numele” nodului atacat, astfel încât toți membrii rețelei botnet să îi trimită simultan un răspuns ecou (atac Smurf). Un caz special de ICMP flood este ping flood (trimiterea cererilor ping către server).
• SYN flood - trimiterea a numeroase cereri SYN către victimă, depășirea coadei de conexiune TCP prin crearea unui număr mare de conexiuni semideschise (în așteptarea confirmării clientului).
• UDP flood - funcționează conform schemei de atac Smurf, unde datagramele UDP sunt trimise în locul pachetelor ICMP.
• HTTP flood - inundarea serverului cu numeroase mesaje HTTP. O opțiune mai sofisticată este inundarea HTTPS, unde datele trimise sunt pre-criptate și înainte ca nodul atacat să le proceseze, trebuie să le decripteze.

Cum să te protejezi de inundații

• Configurați comutatoarele de rețea pentru a verifica validitatea și pentru a filtra adresele MAC.
• Restricționați sau dezactivați procesarea solicitărilor de eco ICMP.
• Blocați pachetele care provin de la o anumită adresă sau domeniu care dă motive să se suspecteze că este nefiabil.
• Stabiliți o limită a numărului de conexiuni pe jumătate deschise cu o singură adresă, reduceți timpul de păstrare a acestora și prelungiți coada de conexiuni TCP.
• Dezactivați serviciile UDP de la primirea traficului din exterior sau limitați numărul de conexiuni UDP.
• Utilizați CAPTCHA, întârzieri și alte tehnici de protecție împotriva botului.
• Creșteți numărul maxim de conexiuni HTTP, configurați memorarea în cache a cererilor folosind nginx.
• Extindeți capacitatea canalului de rețea.
• Dacă este posibil, dedicați un server separat pentru a gestiona criptografia (dacă este utilizată).
• Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

Supraîncărcare hardware

Există tipuri de inundații care afectează nu canalul de comunicație, ci resursele hardware ale computerului atacat, încărcându-le la capacitatea maximă și provocând înghețarea sau blocarea. De exemplu:

• Crearea unui script care va posta o cantitate imensă de informații text fără sens pe un forum sau un site web unde utilizatorii au posibilitatea de a lăsa comentarii până când întregul spațiu pe disc este umplut.
• Același lucru, doar jurnalele serverului vor umple unitatea.
• Încărcarea unui site unde se efectuează un fel de transformare a datelor introduse, procesarea continuă a acestor date (trimiterea așa-numitelor pachete „grele”).
• Încărcarea procesorului sau a memoriei prin executarea codului prin interfața CGI (suportul CGI vă permite să rulați orice program extern pe server).
• Declanșarea sistemului de securitate, facerea serverului inaccesibil din exterior etc.

Cum să vă protejați de supraîncărcarea resurselor hardware

• Creșteți performanța hardware și spațiul pe disc. Când serverul funcționează normal, cel puțin 25-30% din resurse ar trebui să rămână libere.
• Utilizați sisteme de analiză și filtrare a traficului înainte de a-l transmite către server.
• Limitați utilizarea resurselor hardware de către componentele sistemului (setați cote).
• Stocați fișierele jurnal ale serverului pe o unitate separată.
• Distribuiți resurse pe mai multe servere independente unul de celălalt. Astfel încât, dacă o parte eșuează, celelalte rămân operaționale.

Vulnerabilități în sistemele de operare, software, firmware-ul dispozitivului

Există nemăsurat mai multe opțiuni pentru a efectua acest tip de atac decât folosirea inundațiilor. Implementarea lor depinde de calificările și experiența atacatorului, de capacitatea sa de a găsi erori în codul programului și de a le folosi în beneficiul său și în detrimentul proprietarului resursei.

Odată ce un hacker descoperă o vulnerabilitate (o eroare în software care poate fi folosită pentru a perturba funcționarea sistemului), tot ce trebuie să facă este să creeze și să ruleze un exploit - un program care exploatează această vulnerabilitate.

Exploatarea vulnerabilităților nu este întotdeauna menită să provoace doar o denegare a serviciului. Dacă hackerul are noroc, el va putea obține controlul asupra resursei și va putea folosi acest „dar al sorții” la propria discreție. De exemplu, folosiți-l pentru a distribui malware, a fura și a distruge informații etc.

Metode de contracarare a exploatării vulnerabilităților software

• Instalați actualizări în timp util care acoperă vulnerabilitățile sistemelor de operare și ale aplicațiilor.
• Izolați toate serviciile destinate rezolvării sarcinilor administrative de accesul terților.
• Utilizați mijloace de monitorizare continuă a funcționării sistemului de operare și a programelor serverului (analiza comportamentală etc.).
• Refuzați programele potențial vulnerabile (gratuite, auto-scrise, rar actualizate) în favoarea celor dovedite și bine protejate.
• Folosiți mijloace gata făcute pentru a proteja sistemele împotriva atacurilor DoS și DDoS, care există atât sub formă de sisteme hardware, cât și de software.

Cum să determinați că o resursă a fost atacată de un hacker

Dacă atacatorul reușește să atingă scopul, este imposibil să nu sesizeze atacul, dar în unele cazuri administratorul nu poate determina exact când a început. Adică, uneori trec câteva ore de la debutul atacului până la simptome vizibile. Cu toate acestea, în timpul influenței ascunse (până când serverul scade), sunt prezente și anumite semne. De exemplu:

• Comportament nenatural al aplicațiilor server sau al sistemului de operare (înghețare, terminare cu erori etc.).
• Sarcina procesorului, RAM și stocare crește brusc în comparație cu nivelul original.
• Volumul traficului pe unul sau mai multe porturi crește semnificativ.
• Există mai multe solicitări de la clienți către aceleași resurse (deschiderea aceleiași pagini de site web, descărcarea aceluiași fișier).
• Analiza jurnalelor de server, firewall și dispozitive de rețea arată un număr mare de solicitări monotone de la diverse adrese, adesea direcționate către un anumit port sau serviciu. Mai ales dacă site-ul se adresează unui public restrâns (de exemplu, vorbitor de limbă rusă), iar solicitările vin din toată lumea. Analiza calitativa traficul arată că cererile nu au sens practic pentru clienți.

Toate cele de mai sus nu sunt un semn 100% al unui atac, dar este întotdeauna un motiv pentru a acorda atenție problemei și a lua măsurile de protecție adecvate.

DDoS înseamnă Distributed Denial of Service, care înseamnă „Distributed Denial of Service Attack”. Numărul unor astfel de atacuri este în creștere și, deși se califică mai mult drept o pacoste minoră decât o amenințare gravă, pot distruge site-urile diferitelor companii și pot forța specialiștii IT să facă față amenințării existente.

Amenințări în formă Atacurile DDoS pot duce la consecințe grave dacă apar (de exemplu) în timpul situațiilor de urgență, așa că absolut toate organizațiile trebuie să fie pregătite pentru astfel de lucruri.

Gradul de pericol al atacurilor DDoS și metodele de combatere a acestora sunt fundamental diferite de alte amenințări de securitate. Site-urile web organizaționale pot avea un sistem de securitate foarte complex, dar totuși fi vulnerabil la atacurile DDoS, deoarece Aceste tipuri de amenințări blochează în esență întregul trafic. În astfel de cazuri trebuie găsit metoda alternativa combaterea unei astfel de amenințări și modalități de reducere a potențialului risc zilnic.

Majoritatea instituțiilor nu vor putea face față unui atac DDoS incipient fără prea mult efort. Dar sunt capabili să găsească o modalitate de a evita consecințele atacului. Vă vom oferi câteva idei despre cum să îmbunătățiți nivelul de securitate al site-ului dvs. atunci când apar astfel de probleme.

12 tehnici pentru a vă proteja de atacurile DDoS:

1. Solicitați furnizorului dvs. să vă modifice limita de trafic, trecând prin canalul de conexiune la Internet al fiecărui utilizator individual. Poate că unii vor fi împotriva acestei decizii, dar această metodă va ajuta la detectarea unei unități de computer infectate dacă acest computer consumă mai mult trafic decât de obicei. Acest lucru poate necesita mult efort și acțiuni bine coordonate, dar această metodă se bazează pe cele mai bune soluții în acest domeniu.

2. Încercați să forțați ISP-ul să fie mai responsabil și mai avansat. Un astfel de obiectiv este o soluție excelentă, dar este și o sarcină foarte dificilă. Poate fi timpul să schimbăm regulile de monitorizare, cu înțelesul că ISP-ul va fi deconectat de la rețelele vecine dacă ISP-ul nu acordă suficientă atenție securității sale. În orice caz, astfel de decizii vor duce la conflicte interne minore, așa că această problemă ar trebui discutată în prealabil cu toate părțile implicate.

3. Sisteme critice pentru afaceri ar trebui să fie proiectat ținând cont de posibila supraîncărcare a datelor și, de asemenea, să fie rezistent la influențele externe. Astfel de reguli includ posibilitatea de a avea un server de rezervă - de exemplu, a avea baze de date suplimentare și un server în care este stocată o copie a întregului portal, dar acest server va fi ascuns de priviri indiscreteși au alte adrese IP.

4. Lista de revocare a certificatelor (CRL) ar trebui creat pentru a ține evidența certificatelor care au expirat și nu mai sunt valabile. Oricine (fie un program sau o persoană) care oferă un astfel de certificat nu va mai avea încredere. O alternativă este Online Certificate Status Protocol (OCSP), care este utilizat pentru a detecta certificatele digitale X.509 revocate.

Necesitatea de a lucra cu astfel de servicii este ca certificatele expirate să poată fi folosite pentru a stabili comunicarea de către atacatori și pentru a câștiga oportunitatea de a lansa unul dintre tipurile de atacuri DoS asupra infrastructurii cheii publice în sine. În acest moment, există multe discuții cu privire la găsirea de soluții pentru browserele web care ar ajuta la rezolvarea acestei probleme. Organizațiile guvernamentale și din sectorul public ar face bine să urmărească știrile despre acest subiect și poate că vor avea idei despre cum să îmbunătățească securitatea site-urilor lor.

5. Luați în considerare instalarea unui sistem de detectare a intruziunilor, care include și posibilitatea de a bloca anumite porturi, protocoale etc. Produse similare există de mult timp, dar de-a lungul timpului apar tot mai multe sisteme de protecție noi împotriva amenințărilor de securitate la adresa site-urilor de pe Internet. În majoritatea cazurilor, pur și simplu interceptează pachetele de date transmise într-o manieră promiscuă și raportează orice anomalie detectată.

Sistemul IPS poate bloca sau redirecționa traficul în funcție de ceea ce este detectat. Deși este încă dificil să detectați pachetele de trafic care se mișcă rapid și neidentificate, soluții ca acestea pot ajuta la prevenirea cantităților mari de trafic să ajungă în anumite părți ale rețelei.

6. Amintiți-vă că atunci când faci afaceri nu te poți limita doar la unul dintre tipurile de comunicare existente (linie fixă, rețea wireless, Internet). Tacticile de continuitate a afacerii ar trebui să includă utilizarea tuturor celor trei tipuri de conexiuni la Internet.

7. Preia controlul asupra situațiilor, la care sisteme digitale conexiunile pot fi complet dezactivate. Ați elaborat un plan de rezervă pentru comunicarea cu clienții în cazul unor situații neașteptate? Conectați alte canale de comunicare disponibile și asigurați-vă că colegii și clienții dvs. știu cum să se conecteze imediat la un server de rezervă, dacă este necesar.

8. Transmiterea unui mic pachet de date are șanse mai mari de a ajunge la destinatar decât transmisia de date în timp real. Dacă dintr-o dată sistemul dvs. nu poate funcționa ca de obicei, examinați capacitățile serverelor dvs. de rezervă - dacă pot transmite mesaje autonome scurte și dacă diverse echipamente guvernamentale sau private le vor recunoaște. De exemplu, dacă un semafor poate trece de la verde la roșu, sau dacă sistemul dumneavoastră poate comanda unei centrale hidroelectrice să deschidă sau să închidă supapele responsabile de mișcarea apei.

9. E-mail și mesaje text sunt una dintre opțiunile alternative de comunicare. Nu folosesc mult trafic (cel puțin până când la scrisori se adaugă fișiere suplimentare sub formă de documente sau arhive) și în majoritatea cazurilor este posibil să le adaugi la coadă. Aceasta înseamnă că mesajele de acest fel vor fi livrate automat destinatarului atunci când apare un canal de comunicare stabil.

10. Blocarea accesului (Blackholing) este una dintre cele mai bune soluții dar temporară. Când utilizați această abordare, tot traficul - inclusiv chiar și circulația legală a informațiilor în afaceri - nu ajunge nicăieri. Această soluție blochează complet accesul la resursă (ceea ce nu este foarte încurajator), dar împiedică pătrunderea unui volum mare de trafic și anulează un număr mare de solicitări care pot dăuna altor site-uri. Desigur, cel mai bine este să evitați astfel de măsuri, dar, cu toate acestea, uneori se întâmplă ca acestea să fie cu adevărat necesare.

11. Obțineți un forum ascuns, la care au acces doar angajații. Poate servi ca loc de întâlnire online unde puteți discuta anumite probleme în timp ce totul este închis.

12. Configurați firewall-uri și alte filtre de trafic Software pentru blocarea accesului prin porturi și protocoale neautorizate.

De la sine, niciuna dintre opțiunile de mai sus nu va putea scăpa complet de site-urile web ale organizațiilor guvernamentale de consecințele unui atac DDoS în timpul situațiilor de urgență. Cu toate acestea, împreună, vor ajuta la reducerea riscului, le vor spune proprietarilor de site-uri cum să facă față situației și vă vor spori cunoștințele despre această problemăși ajutați la avansarea discuției despre căutare moduri alternative operarea site-urilor lor. Este mult mai dificil să asumi responsabilitatea furnizorilor regionali de internet. Aceasta este o întrebare foarte dificilă, dar acest subiect nu poate fi ignorat.