MTE обяснява: как функционира защитата на DDoS
През годините разпределеното отказване на услуга (DDoS) е много надежден начин да се уверите, че хоствана услуга (като уеб сайт или услуга като PlayStation Network) не вижда светлината на деня поне за известно време.
Силата, която тези атаки помагат, е любопитна за механизмите зад тях, поради което сме отделили време да обясним как работят и дори стигнаха до пълното демонстриране колко огромни могат да се получат някои от тези атаки, до такава степен, че един от тях дори може да изтегли цели сектори от интернет за милиони хора. Съществува, обаче, незначителна публична дискусия за това как работи противодействието (напр. Защитата на DDoS).
Проблемът с обсъждането на защитата на DDoS
Интернет е огромен масив от мрежи, свързани с една гигантска, разхвърляна празнота. Има трилиони малки пакети, пътуващи почти със скоростта на светлината навсякъде по света. За да разбере нейното разочароващо и мистериозно вътрешно функциониране, интернетът е разделен на групи. Тези групи често се разделят на подгрупи и т.н.
Това всъщност прави дискусията за защитата на DDoS малко сложна. Начинът, по който един домашен компютър се защитава от DDoS, е подобен и малко по-различен от начина, по който създава център за данни на няколко милиона долара. И все още не сме стигнали до доставчици на интернет услуги (ISP). Съществуват също толкова начини за класифициране на защитата на DDoS, тъй като трябва да се класифицират различните отделни части, които съставляват Интернет, със своите милиарди връзки, клъстерите, континенталния обмен и подмрежите му.
С всичко, което се казва, нека се опитаме хирургически подход, който засяга всички важни и важни подробности по въпроса.
Принципът Защита от DDoS
Ако четете това без ясна представа за това как работи DDoS, ви предлагам да прочетете обяснението, с което се свързах по-рано, или пък може да стане малко поразително. Има две неща, които можете да направите за входящия пакет: можете да го игнорирате или да го пренасочите . Не можете просто да го спрете да пристигне, защото нямате никакъв контрол върху източника на пакета. Той вече е тук и вашият софтуер иска да знае какво да прави с него.
Това е универсална истина, с която всички ние се придържаме, и включва ISP, които ни свързват с интернет. Ето защо толкова много атаки са успешни: тъй като не можете да контролирате поведението на източника, източникът може да ви изпрати достатъчно пакети, за да преодолеете връзката си.
Как софтуера и рутера (Home Systems) го правят
Ако пуснете защитна стена на компютъра си или маршрутизаторът ви има такъв, обикновено сте забити по един основен принцип: ако трафикът DDoS започне да лети, софтуерът прави списък с IP адреси, които идват с незаконен трафик.
Това става чрез забелязване, когато нещо ви изпраща куп данни за боклук или заявки за връзка с неестествена честота, например повече от петдесет пъти в секунда. Тогава блокира всички транзакции, идващи от този източник. Като ги блокирате, компютърът ви не трябва да изразходва допълнителни ресурси за интерпретиране на данните, съдържащи се в него. Съобщението просто не стига до крайната цел. Ако сте блокирани от защитната стена на компютъра и се опитате да се свържете с него, ще получите време за изчакване на връзката, защото всичко, което изпращате, просто ще бъде пренебрегнато.
Това е един чудесен начин за защита срещу атаки срещу отказ на услуга (DoS), тъй като нападателят ще види изчакване на връзката всеки път, когато се регистрира, за да види дали работата му е в напреднал стадий. При разпределено отказване на услуга това работи, защото всички данни, идващи от атакуващите IP адреси, ще бъдат игнорирани.
Има проблем с тази схема.
В света на интернет няма такова нещо като "пасивно блокиране". Нуждаете се от ресурси дори когато пренебрегвате пакета, който идва към вас. Ако използвате софтуер, точката на атака спира на компютъра ви, но все пак минава през маршрутизатора ви като куршум в хартията. Това означава, че маршрутизаторът ви работи неуморно, за да насочи всички нелегитимни пакети към вашата посока.
Ако използвате защитната стена на маршрутизатора, всичко спира там. Но това все още означава, че маршрутизаторът ви сканира източника на всеки пакет и след това изтрива списъка с блокирани IP адреси, за да види дали трябва да бъде пренебрегнат или разрешен.
Сега представете си, че маршрутизаторът ви трябва да прави това, което току-що споменах милиони пъти в секунда. Вашият маршрутизатор има ограничено количество процесорна мощ. След като достигне това ограничение, няма да има проблем с приоритизирането на легитимен трафик, без значение какви напредничави методи използва.
Нека да обърнем всичко това, за да обсъдим друг въпрос. Ако приемем, че имате магически маршрутизатор с безкрайно количество процесорна мощ, Вашият доставчик все още ви дава ограничен трафик. След като достигнете тавана на честотната лента, ще се постараете да постигнете дори най-простите задачи в мрежата.
Така че най-доброто решение за DDoS е да има безкрайно количество обработваща мощност и безкраен размер на честотната лента. Ако някой научи как да постигнем това, ние сме златни!
Колко големи компании се справят с товарните си задължения
Красотата на това как компаниите се справят с DDoS се крие в елегантността си: те използват съществуващата си инфраструктура, за да се справят с всички заплахи, които идват по пътя си. Обикновено това се извършва или чрез балансиране на товара, мрежа за разпространение на съдържание (CDN) или комбинация от двете. По-малките уеб сайтове и услуги могат да възлагат това на трета страна, ако нямат капитал да поддържат такъв широк набор от сървъри.
С CDN съдържанието на уебсайт се копира в голяма мрежа от сървъри, разположени в много географски райони. Това прави сайта бързо да се зарежда, независимо от това къде се намирате в света, когато се свързвате с него.
Балансиращите товари допълват това, като преразпределят данните и каталогизират данните на различни сървъри, като приоритизират трафика по типа сървър, който най-добре отговаря на задачата. Сървърите с по-ниска честотна лента с големи твърди дискове могат да обработват големи количества малки файлове. Сървърите с огромни връзки с трафик могат да се справят със стрийминг на по-големи файлове. (Помислете "YouTube.")
И ето как работи
Виж къде отивам с това? Ако атака пристигне на един сървър, балансиращият товар може да следи DDoS и да продължи да удря този сървър, докато пренасочва целия легитимен трафик другаде в мрежата. Идеята тук е да използвате децентрализирана мрежа във ваша полза, като разпределите ресурси там, където са необходими, така че уебсайтът или услугата да могат да продължат да работят, докато нападението е насочено към "примамка". Доста умен, а?
Тъй като мрежата е децентрализирана, тя придобива значително предимство пред обикновените защитни стени и каквито и да са защитите, които повечето маршрутизатори могат да предложат. Проблемът тук е, че имате нужда от много пари, за да започнете собствената си операция. Докато се разрастват, компаниите могат да разчитат на по-големи специализирани доставчици, за да им дадат необходимата защита.
Как го правят ветераните
Ние обиколихме малките домашни мрежи и дори се осмелихме да влезем в сферата на мега корпорациите. Сега е време да стъпим на последния етап от това търсене: ще разгледаме как самите фирми, които ви дават Интернет връзка, се предпазват от падането в тъмна бездна. Това е на път да стане малко сложно, но ще се опитам да бъда толкова изчерпателен, колкото мога без теоретична джоб по различни методи за защита на DDoS.
Доставчиците на интернет имат свои собствени уникални начини за справяне с колебанията в трафика. Повечето DDoS атаки едва се регистрират на техните радари, тъй като те имат достъп до почти неограничен брой честотни ленти. Техният дневен трафик от 7-11 ч. (Известен още като "часът на интернет бързината") достига нива, които далеч надхвърлят честотната лента, която получавате от средния поток DDoS.
Разбира се, тъй като това е интернет, за който говорим, има (и често са били) случаи, в които трафикът става нещо много повече от това, което се случва на радара.
Тези атаки идват с ветровити ветрове и се опитват да преодолеят инфраструктурата на по-малки ISP. Когато вашият доставчик повдигне вежди, той бързо достига до арсенал от инструменти, с които разполага, за да се бори с тази заплаха. Не забравяйте, че тези момчета разполагат с огромна инфраструктура, така че има много начини, по които това може да намалее. Ето най-често срещаните:
- Дистанционно задействана черна дупка - Това звучи много като нещо от филма за научен филм, но RTBH е истинско нещо, документирано от Сиско. Има много начини да направите това, но ще ви дам "бърза и мръсна" версия: ISP ще комуникира с мрежата, от която идва атаката, и ще я каже да блокира целия изходящ трафик, който е насочен към неговата посока. По-лесно е да блокирате трафика, който излиза, отколкото да блокирате входящите пакети. Разбира се, всичко от целевия интернет доставчик ще се появи, сякаш е офлайн за хората, които се свързват от източника на атаката, но това прави работата и не изисква много караници. Останалата част от световния трафик остава незасегната.
- Скрубери - Някои много масови ISP разполагат с центрове за данни, пълни с обработващо оборудване, които могат да анализират моделите на трафика, за да разрешат законния трафик от трафика DDoS. Тъй като тя изисква много изчислителна мощ и установена инфраструктура, по-малките доставчици на интернет услуги често прибягват до възлагането на тази работа на друга компания. Трафикът в засегнатия сектор минава през филтър и повечето DDoS пакети са блокирани, докато законният трафик е разрешен. Това осигурява нормалната работа на доставчика на Интернет услуги, за сметка на огромната сума на изчислителната мощност.
- Някои трафик вуду - Използвайки метод, известен като "оформяне на трафика", ISP просто ще овладее всичко, което DDoS атаката носи с него в неговата целева IP мрежа, като същевременно остави всички останали възли сами. Това основно ще хвърли жертвата под автобуса, за да запази останалата част от мрежата. Това е много грозно решение и често последното, което доставчикът на интернет доставчици ще използва, ако мрежата е в сериозна криза и се нуждае от бързо, решително действие, за да се гарантира оцеляването на цялото. Мислете за това като "нуждите на мнозина надвишават нуждите на малък" сценарий.
Проблемът с DDoS е, че неговата ефективност върви ръка за ръка с напредъка в компютърната мощ и наличието на широчина на честотната лента. За да се борим наистина с тази заплаха, трябва да използваме усъвършенствани методи за промяна на мрежата, които далеч надхвърлят възможностите на обикновения домашен потребител. Вероятно е добре, че домакинствата често не са директни цели на DDoS!
Между другото, ако искате да видите къде се случват тези атаки в реално време, разгледайте картата за цифрова атака.
Били ли сте жертва на подобни атаки във вашия дом или на вашето работно място? Кажете ни историята си в коментар!