MTE מסביר: כיצד פועלת הגנת DDoS
במהלך השנים, הכחשה מבוזרת של שירות (DDoS) הייתה דרך אמינה ביותר לוודא ששירות מתארח (כמו אתר אינטרנט או שירות כלשהו כמו ה- PlayStation Network) אינו רואה את אור היום לפחות למשך זמן מה.
כוח ההתקפות האלה גורם לאנשים להיות סקרנים לגבי המנגנונים שמאחוריהם, ולכן הקדשנו זמן להסביר איך הם עובדים ואפילו הרחיקו לכת עד כדי הוכחה יסודית עד כמה חלק מההתקפות הללו יכולות להגיע, עד כדי כך אחד מהם יכול אפילו להוציא את כל המגזרים של האינטרנט עבור מיליוני אנשים. יש, עם זאת, כמות מועטה של דיון ציבורי על אופן הפעולה הנגדית (למשל הגנה DDoS) עובד.
הבעיה עם דיון הגנה DDoS
האינטרנט הוא מערך עצום של רשתות המחוברות לחלל ענק אחד, מבולגן. יש טריליונים של מנות קטנות נסיעה כמעט במהירות האור בכל מקום ברחבי העולם. כדי להבין את פעולתו הפנימית המסתורית והמסתורית, האינטרנט מחולק לקבוצות. קבוצות אלה מפוצלות לעתים קרובות לקבוצות משנה, וכן הלאה.
זה בעצם עושה את הדיון על הגנה DDoS קצת מסובך. האופן שבו מחשב ביתי מגן על עצמו מפני DDoS דומה ושונה במקצת מהדרך שבה עושה מרכז הנתונים של החברה מיליוני דולרים. וגם לא הגענו ספקי שירותי אינטרנט (ISPs) עדיין. יש רק כמה דרכים כדי לסווג הגנה DDoS כפי שיש לסווג את חתיכות שונות שונות המרכיבות את האינטרנט עם מיליארדי החיבורים שלה, אשכולות שלה, חילופי היבשת שלה, המשנה שלה.
עם כל זה נאמר, בואו ננסה גישה כירורגית כי נוגע על כל הפרטים הרלוונטיים והחשובים של העניין.
העיקרון מאחורי הגנת DDoS
אם אתה קורא את זה בלי ידע ברור איך עובד DDoS, אני מציע לך לקרוא את ההסבר אני מקושר מוקדם יותר או אחר זה עשוי לקבל קצת מוחץ. ישנם שני דברים שתוכל לבצע בחבילה נכנסת: באפשרותך להתעלם ממנה או לנתב אותה מחדש . אתה לא יכול פשוט להפסיק את זה מלהגיע כי אין לך שליטה על המקור של החבילה. זה כבר כאן ואת התוכנה שלך רוצה לדעת מה לעשות עם זה.
זוהי אמת אוניברסלית שכולנו עומדים בה, והיא כוללת את ספקי שירותי האינטרנט שמחברים אותנו לאינטרנט. זה למה כל כך הרבה התקפות מוצלחות: מכיוון שאתה לא יכול לשלוט בהתנהגות של המקור, המקור יכול לשלוח לך מספיק מנות כדי להציף את החיבור שלך.
כיצד תוכנה נתבים (מערכות הבית) לעשות את זה
אם אתה מפעיל חומת אש במחשב או לנתב שלך, אתה בדרך כלל תקוע אחרי עיקרון בסיסי אחד: אם תעבורת DDoS מגיעה, התוכנה עושה רשימה של כתובות IP שמגיעות עם תנועה לא חוקית.
זה עושה זאת על ידי לב כאשר משהו שולח לך חבורה של נתונים אשפה או בקשות חיבור בתדר לא טבעי, כמו יותר מ -50 פעמים בשנייה. לאחר מכן הוא חוסם את כל העסקאות המגיעות ממקור זה. על ידי חסימת אותם המחשב שלך לא צריך להשקיע משאבים נוספים לפרש את הנתונים הכלולים בפנים. המסר פשוט אינו מגיע ליעדו. אם אתה חסום על ידי חומת אש של המחשב ולנסות להתחבר אליו, תקבל פסק זמן חיבור כי כל מה שאתה שולח פשוט להתעלם.
זוהי דרך אחת נפלאה להגן מפני התקפות של מניעת שירות יחיד (DoS) של ה- IP, שכן התוקף יראה את הזמן הקצוב לחיבור בכל פעם שהם מבצעים צ'ק-אין כדי לבדוק אם עבודות הידיים שלהם מתקדמות. עם הכחשה מבוזרת של שירות, זה עובד, כי כל הנתונים שמקורם IPs לתקוף תתעלם.
יש בעיה עם סכימה זו.
בעולם האינטרנט, אין דבר כזה "חסימה פסיבית". אתה צריך משאבים גם כאשר אתה מתעלם מנות מגיע אליך. אם אתה משתמש בתוכנה, נקודת ההתקפה נעצרת במחשב שלך אבל עדיין עובר דרך הנתב שלך כמו כדור דרך נייר. זה אומר הנתב שלך עובד ללא לאות כדי לנתב את כל מנות לגיטימי בכיוון שלך.
אם אתה משתמש בחומת האש של הנתב, הכל נעצר שם. אבל זה עדיין אומר כי הנתב שלך הוא סורק את המקור של כל מנה ולאחר מכן iterating רשימה של כתובות IP חסום כדי לראות אם יש להתעלם או מותר באמצעות.
עכשיו, לדמיין את הנתב שיש לעשות מה שהזכרתי מיליוני פעמים בשנייה. הנתב שלך יש כמות סופית של כוח העיבוד. ברגע שהוא מגיע למגבלה זו, הוא יתקשה לתעדף את התנועה הלגיטימית, ללא קשר לשיטות המתקדמות שבהן הוא משתמש.
בואו נניח את כל זה בצד כדי לדון בנושא אחר. בהנחה שיש לך נתב קסום עם כמות אינסופית של כוח עיבוד, ספק שירותי האינטרנט שלך הוא עדיין נותן לך סכום סופי של רוחב פס. ברגע זה את שווי הפס הוא הגיע, תוכל להיאבק כדי להשיג אפילו את המשימות הפשוטות ביותר באינטרנט.
אז הפתרון האולטימטיבי ל- DDoS הוא בעל כמות אינסופית של כוח עיבוד וכמות אינסופית של רוחב פס. אם מישהו מגלה איך להשיג את זה, אנחנו זהובים!
כמה חברות גדולות להתמודד עם מטענם
היופי של איך חברות להתמודד עם DDoS טמון האלגנטיות שלה: הם משתמשים בתשתיות הקיימות שלהם כדי להתמודד עם כל האיומים שמגיעים בדרך שלהם. בדרך כלל, זה נעשה באמצעות איזון עומסים, רשת הפצת תוכן (CDN), או שילוב של שניהם. אתרים ושירותים קטנים יותר עשויים למיקור חוץ זה לצד שלישי אם אין להם את ההון לשמור על מערך רחב של שרתים.
עם CDN, תוכן האתר מועתק לרשת גדולה של שרתים המחולקים על פני אזורים גיאוגרפיים רבים. זה עושה את האתר לטעון במהירות ללא קשר למקום שבו אתה נמצא בעולם כאשר אתה מתחבר אליו.
Load balancers משלים זאת על ידי חלוקה מחדש של נתונים וקטלוגים בשרתים שונים, תוך מתן עדיפות לתנועה לפי סוג השרת המתאים ביותר לתפקיד. שרתי רוחב פס נמוך עם כוננים קשיחים גדולים יכולים להתמודד עם כמויות גדולות של קבצים קטנים. שרתים עם חיבורי רוחב פס עצום יכול להתמודד עם הזרמת קבצים גדולים יותר. (חשוב "YouTube").
והנה איך זה עובד
לראות לאן אני הולך עם זה? אם התקפה נוחתת על שרת אחד, איזון העומס יכול לעקוב אחר DDoS ולתת לו להמשיך להכות את השרת, תוך הפניה מחדש של כל תנועה לגיטימית במקום אחר ברשת. הרעיון כאן הוא להשתמש ברשת מבוזרת לטובתך, הקצאת משאבים היכן הם נדרשים, כך האתר או השירות יכול להמשיך לרוץ בזמן ההתקפה מכוונת "דמה". חכם למדי, אה?
בגלל הרשת מבוזרת, היא מרוויחה יתרון משמעותי על פני חומות אש פשוטים ומה ההגנה ביותר נתבים יכולים להציע. הבעיה כאן היא שאתה צריך הרבה מזומנים כדי לקבל את הפעולה שלך התחיל. בעוד הם גדלים, חברות יכולות להסתמך על ספקי מיוחדים גדולים כדי לתת להם את ההגנה שהם צריכים.
איך את Behemoths לעשות את זה
סיירנו ברשתות ביתיות קטנות ואפילו העזנו להיכנס לתחום החברות הגדולות. הגיע הזמן עכשיו לדרוך לשלב הסופי של המסע הזה: אנחנו הולכים להסתכל איך חברות מאוד לתת לך חיבור לאינטרנט להגן על עצמם מפני נפילה לתוך תהום כהה. זה עומד לקבל קצת מסובך, אבל אני אנסה להיות תמציתי כפי שאני יכול ללא תזה להזריק ריר על שיטות הגנה שונות DDoS.
ספקי שירותי אינטרנט יש דרכים ייחודיות משלהם לטיפול בתנודות התנועה. רוב התקפות DDoS בקושי לרשום על מכמונות שלהם מאז יש להם גישה כמות בלתי מוגבלת כמעט של רוחב פס. התנועה היומית שלהם ב 7-11 PM (aka "שעת שיא לאינטרנט") מגיע לרמות כי הרבה מעבר רוחב הפס תקבל מ זרם DDoS הממוצע.
כמובן, שכן זה האינטרנט שאנחנו מדברים עליו, יש (וגם לעתים קרובות) מקרים שבהם התנועה הופכת משהו הרבה יותר מאשר פליפ על המכ"ם.
התקפות אלה מגיעות עם רוחות סערה ומנסות להכריע את התשתית של ספקי שירותי אינטרנט קטנים יותר. כאשר ספק שלך מרים את הגבות שלו, הוא מגיע במהירות אל ארסנל של כלים העומדים לרשותה כדי להילחם באיום זה. זכור, החבר 'ה האלה יש תשתיות עצום לרשותם, אז יש דרכים רבות זה יכול לרדת. הנה הנפוצים ביותר:
- מרחוק מופעלת חור שחור - זה נשמע הרבה כמו סרט מתוך Sci-Fi, אבל RTBH הוא דבר אמיתי מתועד על ידי סיסקו. ישנן דרכים רבות לעשות זאת, אבל אני אתן לך את "מהיר ומלוכלך" גירסה: ספק שירותי אינטרנט יהיה לתקשר עם רשת ההתקפה באה ו לספר את זה כדי לחסום את כל התנועה היוצאת כי הוא הטיל לכיוון שלו. קל יותר לחסום את התנועה כי הוא יוצא יותר מאשר לחסום מנות נכנסות. כמובן, כל דבר מהיעד ISP יהיה עכשיו נראה כאילו זה לא מחובר לאנשים להתחבר ממקור ההתקפה, אבל זה נעשה את העבודה ואינו דורש הרבה טרחה. שאר התנועה בעולם נותרת ללא פגע.
- Scrubbers - כמה ספקי שירותי אינטרנט מסיבי מאוד יש מרכזי נתונים מלאים של ציוד עיבוד שיכולים לנתח דפוסי תנועה כדי למיין את התנועה לגיטימית מן התנועה DDoS. מאז זה דורש הרבה כוח מחשוב ותשתית הוקמה, ספקי שירותי אינטרנט קטנים יותר לעיתים קרובות לנקוט מיקור חוץ זה עבודה לחברה אחרת. התנועה על המגזר המושפע עוברת דרך מסנן, ומרבית מנות DDoS חסומות כאשר התנועה חוקית מותר. זה מבטיח את הפעולה הרגילה של ספק שירותי האינטרנט על העלות של כמויות אדירות של כוח המחשוב.
- כמה voodoo התנועה - באמצעות שיטה המכונה "תנועה בעיצוב", ספק שירותי האינטרנט יהיה רק איל כל מה ההתקפה DDoS מביא איתו אל היעד שלו IP תוך השארת כל צמתים אחרים לבד. זה בעצם לזרוק את הקורבן תחת האוטובוס כדי להציל את שאר הרשת. זה פתרון מכוער מאוד ולעתים קרובות האחרון כי ספק שירותי האינטרנט ישתמש אם הרשת נמצאת במשבר רציני, והיא זקוקה לפעולה מהירה, החלטית כדי להבטיח את הישרדותו של השלם. תחשוב על זה כעל "הצרכים של רבים עולים על הצרכים של כמה" תרחיש.
הבעיה עם DDoS היא כי האפקטיביות שלו הולך יד ביד עם התקדמות כוח המחשב ואת רוחב הפס זמינות. כדי באמת להילחם באיום זה, אנחנו צריכים להשתמש בשיטות מתקדמות שינוי ברשת כי בהרבה לעלות על היכולות של המשתמש הביתי הממוצע. זה כנראה דבר טוב כי משקי הבית הם לא לעתים קרובות מטרות ישירות של DDoS!
דרך אגב, אם אתה רוצה לראות איפה התקפות אלה מתרחשים בזמן אמת, לבדוק את המפה התקפה דיגיטלית.
האם אי פעם נפלת קורבן להתקפות מסוג זה בביתך או במקום העבודה שלך? ספר לנו את הסיפור שלך הערה!