この記事の理由は、あるインターネットプロジェクトでのセキュリティ監査でした。 お客様は、セキュリティシステムに対処し、1つまたは別の攻撃の影響を受けやすいかどうかを確認するように依頼しました。 同時に、彼らはDDoS攻撃から完全に保護されていることを保証し、市場リーダーの1つであるIncapsulaによって保護されているため、心配する必要はありません。
これは大きな驚きを私たちが待っていた場所でした-顧客は完全に保護されていませんでした。
何が起こったのか見てみましょうが、最初に少し理論を見てみましょう。
DDoS攻撃については説明しませんが、2つのタイプに分かれていることに注意してください。
-OSIモデルに基づくDDoSレイヤー3および4。 この攻撃の特徴の1つは、リソースを攻撃する多数のパケットです。 現時点では、世界の平均攻撃力は9.7 Gb / sおよび19 Mppsです。
-OSIモデルに従ったDDoSレイヤー7、つまりアプリケーションレベルでの攻撃。 原則として、攻撃には多数のパケット(DDoS L3および4の場合よりも数桁小さい)は含まれず、攻撃されたサイトの弱点でのポイントストライクが特徴です。
DDoS攻撃から保護するサービスへの接続は次のとおりです。
-保護されたリソースの場合、プロテクターのアドレスはDNSに登録されます。
-クライアントは、クリアされたトラフィックを送信するIPアドレスを示します(通常は、サービスに接続する前と同じアドレスに送信されます)。 おそらくトンネルを上げる。
現在、BGPを使用して接続する場合を特に分析していませんが、すべてがうまくいくわけではありませんが、ほとんどのクライアントはDNSレコードの変更を通じて接続します。
顧客は満足し、リラックスし、将来に完全に自信を持っています!
しかし、実際には、顧客がリラックスしたまさにその瞬間に、彼はさらに保護されなくなりました!保護を回避する理由または方法を見てみましょう。
実際、サイト名で顧客のIPアドレスを取得しようとすると、保護サービスのIPアドレスが取得されます。
$ nslookup
www.XXXXXXXX.ruwww.XXXXXXXX.ru正規名= xxx.incapdns.net。
名前:xxx.incapdns.net
住所:149.126.xxx.xxx
しかし、だれもこの名前でDNS履歴を見ることに煩わされません。 そのような情報を提供するサイトにアクセスします。 そして、私たちが見るもの:
| IPアドレス | 場所 | IPアドレス所有者 | このIPで最後に見た |
|---|
| 149.126.xxx.xxx | ビンガムトン-アメリカ合衆国 | Incapsula Inc. | 2015 |
| 149.126.yyy.yyy | ビンガムトン-アメリカ合衆国 | Incapsula Inc. | 2015 |
| zzz.zzz.zzz.zzz | 米国 | HOSTER LTD | 2014 |
その結果、以前のIPアドレスはzzz.zzz.zzz.zzzであることがわかります。 さらに、米国のHOSTER LTDサイトにあることがわかりました(これがなぜ重要なのかはさらに理解されます)。
このIPアドレスを持つサーバーを注意深く見るだけであり、これが私たちが探している顧客サーバーであることは確かです。
それだけです! このサーバーをIPアドレスで攻撃すると、顧客は必要なだけ嘘をつきます。 風に多くのお金が費やされましたが、コストは報われず、保護は機能しません。
以下では、このようなサービスを適切に使用するための推奨事項について説明します。
奇妙なことに、最も人気のあるものはどれも-西部およびロシアDDoS保護サービスの両方で-この問題に関する推奨事項を顧客に提供していません。
それでは、何をする必要がありますか?
DNSサービスでIPアドレスを少なくとも1回強調表示すると、この情報を削除することはできなくなります-DNS履歴で常に利用可能になります。 さらに、あなたはあなたの場所(ホスト、商業データセンターなど)を照らしました。
自分を完全に保護したい場合は、この場所を離れてください。 滞在するとすぐに、攻撃者にとって価値のあるサービスが攻撃されます。
プロジェクトの規模に応じて、攻撃者がどのように振る舞うかを理解し、この状況で何をする必要があるかを理解してください。
1)
小規模なサイトがあり、元々ホスティングプロバイダーから投稿した 。 正しいアクションは、プロテクターのIPアドレスからの要求のみを受け入れるようにhttpサーバーを構成し(したがって、DDoSレイヤー7攻撃の可能性を確実に除去し)、IPアドレスを変更します(DDoSレイヤー3および4からの保護)。 この場合、攻撃者はあなたのサイトを直接見つけることはできませんが、これはあなたが安全であることを意味しません。 ロシアの平均的なホストのチャネルは1〜5 Gb / sであり、攻撃者が本当に興味を持っている場合は、ホストのチャネルを攻撃(DDoSレイヤー3および4)して、あなたと一緒に配置します。
2)
専用の仮想プライベートサーバーがあり、プロジェクトがその上にある場合 。 正しいアクション:
-プロテクターのIPアドレスからの要求のみを受け入れるようにhttpサーバーを構成します(したがって、DDoSレイヤー7攻撃の可能性を確実に排除します)。
-不要なポートがすべて閉じられるようにファイアウォールを設定するか、既知のIPアドレスからのみ接続を許可します。 DDoS保護サービスへの接続時に最初からこれを行わなかった場合、おそらく攻撃者はすでにサーバーを調べて、どのポートが開いており、どのポートが開いていないかを発見している可能性があります(攻撃者はシステムに指紋を作成しました)。 これは、プロバイダーのネットワークでどの種類のマシンを探す必要があるかを知っていることを意味します。
-IPアドレスの変更(DDoSレイヤー3および4に対する保護)。
既存のクラウドプロバイダーにとどまる場合、まだ安全ではありません。 クラウドプロバイダーの最も脆弱な部分は、管理コンソールです(Amazonでさえ、あまり保護されていません)。 小規模なクラウドプロバイダーのチャネルでは、攻撃者はDDoSレイヤー3および4攻撃を実行し、クラウド全体を攻撃できます。
3)大規模なプロジェクトと、商業データセンターに多数のサーバーがあります。 このようなプロジェクトは、保護するのが最も困難です。 このタスクに包括的な方法でアプローチする必要があります。IPを変更してファイアウォールを設定しても何も解決されません(ただし、これを行うべきではないという意味ではありません)。 少なくとも、プロバイダーから提供されたグリッドを変更する必要があります。 新しいものを追加するのではなく、変更することです。そうしないと、見る必要すらありません。攻撃者は単にチャンネルを置いて古いグリッドを攻撃します。 原則として、そのようなプロジェクトには、DDoSから保護できない、または保護できないサービスがあります-これらのサービスを異なるネットワークまたはサイトに適切に配信する方法を考えてください。そうしないと、それらに見つかります(最も単純な例はメールサービスのMXレコードです)。
おわりに
DDoS保護サービスは万能薬ではありませんが、正しい方向にいくつかのステップを踏むと、多くの助けになります。
あなたとあなたのプロジェクトに幸運を。