Блокировка по IP
IP-адрес (Internet Protocol address) — это уникальный числовой идентификатор, который присваивается каждому устройству, подключенному к компьютерной сети. IP-адрес обеспечивает связь и помогает устройствам взаимодействовать между собой. Для удобства восприятия IP-адрес записывается в десятичной или двоичной форме, разделенной точками. Например, 216.58.214.206.
Защита от DDoS-атак с использованием блокировки по IP-адресам является одним из распространенных методов борьбы с вредоносным трафиком. Он основан на идентификации атакующих IP-адресов и их последующем блокировании, чтобы предотвратить доступ к целевому серверу или ресурсу. При обнаружении аномального трафика система защиты анализирует и сравнивает IP-адреса отправителей с заранее созданным списком «черных» IP-адресов. Если ненадежный адрес находится в этом списке, то трафик, который идет от него, будет заблокирован.
Блокировка по IP-адресам не даст полной гарантии защиты. Например, атакующие могут изменить свой IP-адрес и таким образом обойти блокировку и продолжить атаковать ресурс-жертву.
Еще один существенный недостаток такого метода защиты проявляется при работе с протоколами, где возможен спуфинг IP-адресов — подмена адреса источника. Например, UDP. В таком случае в качестве IP-адреса источника будет фигурировать ненастоящий адрес, что делает его блокировку бессмысленной, так как UDP-пакеты продолжат приходить с новыми IP-адресами в заголовках.
При блокировке одного зараженного IP-адреса могут пострадать сотни и тысячи легитимных пользователей. Современный интернет устроен таким образом, что для передачи информации внутри него используется протокол IPv4. При его использовании работает технология, когда за одним IP скрывается множество пользователей. Большинство интернет-провайдеров используют именно эту технологию. Из-за этого может возникнуть ситуация, когда пользователь мобильного интернета фактически находится в Краснодаре, но из-за технологии протокола IPv4 будет появляться информация, что он выходит в интернет из Перми. При блокировке по IP все пользователи, получившие при подключении к сети одинаковый адрес, будут заблокированы из-за одного зараженного атакующего устройства.
Блокировка трафика по принципу «black hole»
Защита от DDoS с использованием принципа «black hole» или «черной дыры» представляет собой метод, при котором трафик, ассоциированный с атакой, направляется в «черную дыру», что означает его полное отбрасывание без дальнейшей обработки. Этот метод эффективен для минимизации воздействия интенсивных атак на целевой ресурс. Обычно он реализуется по такой системе:
1. Обнаружение атаки
Используются механизмы обнаружения DDoS-атак, такие как анализ аномалий трафика, сравнение с предварительно установленными порогами или использование сигнатур атак. Когда обнаруживается потенциальная DDoS-атака, принимаются меры для активации блокировки трафика по принципу «black hole».
2. Настройка маршрутизаторов
При обнаружении DDoS-атаки администратор настраивает маршрутизаторы на передачу трафика, связанного с атакой, в «черную дыру». Это достигается путем добавления записей в таблицу маршрутизации (black hole routes), которые указывают, что трафик к конкретным IP-адресам или подсетям должен быть отброшен.
3. Отбрасывание трафика
Когда настроенные правила маршрутизации активированы, весь трафик, направленный на целевые IP-адреса или подсети, поступает в «черную дыру». Это означает, что маршрутизаторы не пересылают этот трафик далее по сети, а полностью пересылают его на несуществующий маршрут.
3. Восстановление после атаки
После завершения атаки администраторы могут отменить настройки блокировки и восстановить нормальный поток трафика. Важно провести анализ атаки, чтобы выявить ее характеристики и учесть их при настройке будущих стратегий защиты.
Важно: применение блокировки трафика по принципу «black hole» — это критическое временное решение для борьбы с DDoS-атаками. Его стоит применять только в тех случаях, когда другими средствами справиться с мощным потоком вредоносного трафика не удается.
BGP Flowspec
BGP FlowSpec представляет собой альтернативный метод сброса атакующего DDoS-трафика. В отличие от «black hole», который блокирует весь трафик с адреса атаки или к адресу назначения, BGP FlowSpec действует более деликатно.
Он передает правила фаервола, используя BGP внутри специальной группы адресов. Это действие помогает фильтровать определенные порты и протоколы, решая, какой трафик следует пропускать и по какому маршруту. В результате «белый» трафик направляется к адресу назначения, в то время как тот, который классифицируется как DDoS, — сбрасывается.
Ограничение по полосе (rate limit) + шейпинг
Технология Rate Limiting дает возможность ограничить максимальное количество запросов от одного пользователя за период времени. Этот инструмент обеспечивает детальный контроль над любым трафиком, который измеряется в штуках: HTTP-запросы, DNS-запросы, пакеты определенных протоколов (например, не более 50 пакетов протокола ICMP в секунду). Технология Rate Limiting будет идти в дополнение к защите от DDoS-атак и веб-приложений (WAF). Она позволяет фильтровать запросы без вреда для реальных пользователей, если корректно настроена. Создание лимита запросов помогает защититься от атак, которые основаны на многократных автоматических запросах.
Клиентам DDoS-Guard доступна функция настройки лимита запросов в услуге защита сайта от DDoS на уровне L7. Ограничения настраиваются с учетом 18 параметров запроса. Также есть возможность самостоятельного выбора одного или нескольких ключей группировки: это могут быть не только IP-адреса, но и страна (по GeoIP), номер AS (по GeoIP), домен и другие.
Технология шейпинга управляет передачей данных в сети, контролирует скорость и буферизует избыточный трафик. Весь поступающий трафик направляется через буфер, из которого шейпер извлекает пакеты с постоянной скоростью. Если скорость поступления пакетов в буфер ниже выходной скорости, они проходят без задержек. В случае превышения скорости поступления над скоростью выхода — пакеты начинают накапливаться. При этом выходная скорость всегда остается постоянной. Таким образом, пиковые нагрузки трафика собираются в буфере и отправляются, когда наступит их очередь. Это делает шейпинг вместе с диспетчеризацией в очередях важным элементом, влияющим на общую задержку.
Основное преимущество такого подхода заключается в оптимальном использовании доступной полосы пропускания: вместо отбрасывания избыточного трафика, он откладывается. Однако при таком подходе возникает непредсказуемая задержка — при заполнении буфера пакеты могут задерживаться в нем на длительное время.
Ограничение по региону (геоблокировка)
Для защиты от вредоносного трафика часто применяется блокировка IP-адреса по конкретному признаку — геолокации. В таком случае, если атаки шли из конкретных стран, решение закроет эту проблему лишь частично. Злоумышленники часто атакуют с серверов, арендованных в странах, где располагается веб-ресурс. Например, пользователи с ресурсом в Китае ограничили доступ пользователям из Аргентины, но хакеры стали атаковать из Китая.
При геоблокировке по IP сопоставляется адрес клиента и его вероятное местонахождение — страна источника вредоносных запросов. В сети можно найти базы данных IP-адресов и их геолокации или же воспользоваться сервисами, которые собирают эту информацию в специализированные библиотеки.
Также стоит помнить, что блоки IP-адресов могут арендоваться и перепродаваться провайдерами и хостерами, поэтому часто возникает ситуация, когда изменяется привязка к стране в базе геолокации. Например, блок IP-адресов, который ранее определялся как Чехия, может начать определяться как Португалия. И это не будет ошибкой. Необходимо постоянно поддерживать актуальность базы данных с геопривязкой IP-адресов, чтобы избежать возможной путаницы.
Важно: геоблокировка может негативно сказываться на легитимных пользователях из заблокированных стран, так как они больше не смогут получить доступ к сайту. Это особенно важно для международных проектов или интернет-магазинов, которые имеют пользователей по всему миру.
Подключение защиты только на время атаки
Маршрутизация Reroute — это метод очистки трафика, который активируется только по запросу. При возникновении DDoS-атаки в обычный маршрут трафика от оператора к клиенту внедряется провайдер защиты, который блокирует вредоносный трафик. Подход Reroute продлевает маршрут доставки пакетов и увеличивает время их обработки. Возможный объем атаки, который потенциально можно отразить, всегда ограничивается пропускной способностью связи между оператором и платформой фильтрации.
Этот подход имеет несколько важных ограничений: заметная задержка перед началом фильтрации и строгие ограничения по объему атаки, обусловленные пропускной способностью каналов между оператором связи и системой фильтрации. При мощной атаке, защищаемые сервисы схемой «reroute», становятся недоступными.
Также провайдеры могут интегрировать в свою инфраструктуру решения от сторонних поставщиков для защиты от DDoS-атак, что вызывает дополнительные задержки и ограничения при срочном подключении. Это связано с тем, что большинство провайдеров оперируют единственным узлом фильтрации, который представляет собой единую точку отказа. В случае защиты удаленной инфраструктуры клиента это дополнительно увеличивает время обработки каждого пакета.
Для борьбы с DDoS-атаками часто используется WAF или фаервол веб-приложений в роли основного инструмента защиты. Однако это не совсем верно, так как WAF анализирует содержимое каждого запроса, но не защищает от высоких нагрузок и многовекторных атаках. Подробнее о том, какие типы фаерволов существуют и как их использовать вместе с DDoS-защитой — читайте в нашей статье «Что такое фаервол и почему его путают с защитой от DDoS-атак».
Фильтрация с раскрытием и без раскрытия сертификата SSL
SSL-сертификат — это цифровой сертификат, который подтверждает подлинность веб-сайта и шифрует данные, передаваемые между пользователем и сервером. Когда пользователь видит "https://" в адресной строке браузера и замок в значке адреса, это указывает на использование SSL или TLS для защищенного соединения.
Фильтрация трафика с раскрытием и без раскрытия сертификата SSL отличаются способом обработки и анализа шифрованного сетевого трафика, защищенного протоколом SSL/TLS. Вот их основные различия:
Фильтрация трафика без раскрытия сертификата SSL
- Защита конфиденциальности
Аппаратные средства или программное обеспечение, выполняющие фильтрацию, не имеют доступа к зашифрованным данным внутри SSL-сессии. Это важно для обеспечения приватности пользователей. - Ограниченный анализ
Поскольку данные остаются зашифрованными, анализ и фильтрация трафика ограничены, исключая большую часть контента внутри SSL-соединения. Это означает, что многие виды атак могут остаться незамеченными, так как их не видно в зашифрованной форме.
Фильтрация трафика с раскрытием сертификата SSL
- Расшифровка данных
При этом методе SSL-трафик расшифровывается на аппаратуре или программном обеспечении для анализа. Для этого необходим доступ к закрытым ключам SSL-сертификата. Это позволяет устройству анализировать все данные внутри SSL-сессии. - Глубокий анализ
Поскольку данные расшифрованы, системы фильтрации имеют возможность проводить более глубокий анализ содержимого, что делает их более эффективными в обнаружении различных видов атак, включая вредоносное программное обеспечение, атаки на прикладном уровне и утечки конфиденциальных данных.
Минусы фильтрации без раскрытия SSL
1. Низкая точность фильтрации.
Срабатывание систем защиты на валидный трафик — ложно-положительные ошибки или false positive. При раскрытии трафика провайдер имеет возможность посмотреть все параметры запроса и на основе анализа принять решение — легитимный запрос или вредоносный. Если же фильтрация идет без раскрытия SSL-сертификата — такой возможности нет. Фактически в момент принятия решения о запросе у провайдера есть только обратная связь от защищаемого сервера и информация об IP-адресе источника подключения.
2. Высокие задержки на принятие решения.
При фильтрации без раскрытия SSL провайдер вынужден дожидаться ответа от защищаемого сервера. Однако нередко возникает ситуация, когда первая порция трафика может быть настолько большой или разрушительной, что защищаемый сервер перестает реагировать на внешний раздражитель и не выдает никакой обратной связи. Если же обратная связь была отправлена, провайдеру нужно потратить время на то, чтобы принять этот ответ, проанализировать его и выявить, с какого IP идут вредоносные запросы. Только после этого о может переходить к блокировке следующих. При раскрытии SSL-сертификата провайдер видит трафик и фильтрует его при предельно добавляемой задержке в количестве нескольких миллисекунд.
3. Низкая устойчивость схемы фильтрации.
При крупной атаке может произойти проблема отсутствия обратной связи, которая более подробно описана во втором пункте. При ситуации с задержкой на принятие решения поставщику услуги защиты приходится действовать вслепую. Возрастает риск блокировки легитимных запросов - в том числе по причинам, описанным в разделе блокировок по IP. Еще один негативный сценарий — провайдер ждет ответ от целевого сервера, который подвергся крупной атаке и вовсе перестал отвечать. В таком случае важно обеспечить связность с защищаемым сервером и системами защиты. Для этого нужен отдельный канал защиты связи, по которому будет передаваться диагностическая служебная информация, предназначенная для управления фильтрацией. Если с выделенным каналом возникнут проблемы, то фильтрация перестает работать. Также при большой атаке канал связи может быть просто перегружен, и у клиента не будет возможности выходить в сеть, а значит — у провайдера не будет возможности получить от клиента диагностическую информацию. Когда произойдет аномалия, у провайдера не будет указаний на фильтрацию трафика, таким образом связность между системами нарушается.
4. Трудность диагностики в случае возникновения проблем.
При фильтрации без раскрытия SSL-сертификата система защиты усложняется. Это происходит из-за того, что система защиты находится на одной стороне, а система, которая отвечает за связь, находится на стороне заказчика или защищаемого сервера. Возникает необходимость понимания, на каком этапе возникли проблемы. Судить о том, что возникли сбои, можно после получения связи от систем на стороне заказчика.
5. Разрыв соединения без объяснения причин пользователю.
При защите без раскрытия сертификата, единственное защитное действие, которое остается у провайдера — разрыв TCP-соединения. Без формирования ответа для пользователя о том, почему соединение было разорвано. У протокола HTTP существует список статус-кодов, которые однозначно описывают произошедшее с запросом событие. Это помогает понять, что пошло не так: случился таймаут, произошла ошибка сервера, доступ был запрещен. Эти статус-коды могут быть знакомы пользователям, которые сталкивались с ошибкой 404, также могут быть следующие ошибки: 403, 502, 504, 429 и другие.
Как работает умная защита DDoS-Guard
Прежде чем достичь веб-сервера клиента, весь трафик проходит через сеть фильтрации DDoS-Guard, где каждый отдельный HTTP-запрос обрабатывается индивидуально, и вредоносные запросы отбрасываются без блокировки IP-адреса. Во время атаки оборудование клиента не испытывает перегрузок, а легитимные пользователи и поисковые боты получают доступ к сайту без задержек.
Защита DDoS-Guard построена на базе собственного программного обеспечения и технологии обратного проксирования. Умная система фильтрации анализирует и обрабатывает входящий трафик клиентов, используя более 100 различных метрик.
Если во время посещения защищаемого сайта HTTP-запрос по какому-либо параметру будет оценен как подозрительный, пользователь увидит специализированный экран проверки — CAPTCHA, успешное прохождение которой обеспечит дальнейший доступ к сайту.
Важно: DDoS-Guard не поддерживает формат защиты без раскрытия SSL-сертификата, так как фильтрация в таком случае создает дополнительные задержки и лишает систему значимой информации о пользователе, — и он не может пройти валидацию. Это снижает точность обработки трафика и создает риск блокировки легитимных запросов. При раскрытии сертификата показатели трафика находятся перед глазами у инженеров и специалистов технической поддержки. Они могут анализировать его и моментально реагировать, если возникнут аномалии.
Чтобы гарантировать ресурсу надежную защиту от DDoS-атак, недостаточно выбрать частичное решение проблемы — один из распространенных видов фильтрации трафика. Только комплексный подход способен закрыть все возможные слабые места, которые могут эксплуатировать злоумышленники. Решения, такие как полная блокировка IP-адресов по геолокакции или отправка всего трафика в «black hole» не только не смогут обеспечить достаточным уровнем защиты, но и навредят легитимным пользователям.
Профессиональные решения, которые оснащены сбалансированными инструментами по защите от DDoS-атак — наиболее оптимальный вариант для проектов, заботящихся о своей безопасности. DDoS-Guard использует умные технологии, которые основаны на комбинации автоматических алгоритмов обучения и ручной фильтрации трафика. Клиенты, которым требуется более тонкая настройка, могут использовать инструменты в личном кабинете. Дополнительные параметры помогут создать гибкие фильтры под разные задачи.