MTE объясняет: как работает защита от DDoS

Проблема с обсуждением защиты от DDoS

Интернет — это огромный массив сетей, соединенных в одну гигантскую беспорядочную пустоту. По всему миру триллионы маленьких пакетов перемещаются почти со скоростью света. Чтобы разобраться в своей дезориентирующей и загадочной внутренней работе, Интернет разделен на группы. Эти группы часто делятся на подгруппы и т. д.

Это на самом деле немного усложняет обсуждение защиты от DDoS. То, как домашний компьютер защищает себя от DDoS, похоже и несколько отличается от того, как это делает дата-центр многомиллионной компании. И мы еще даже

Проблема с обсуждением защиты от DDoS

С учетом всего вышесказанного давайте попробуем хирургический подход, который затронет все важные детали дела.

Принцип защиты от DDoS

Если вы читаете это, не имея четкого представления о том, как работает DDoS, я предлагаю вам прочитать объяснение, на которое я ссылался ранее, иначе оно может показаться вам немного сложным. С входящим пакетом можно сделать две вещи: либо игнорировать его, либо перенаправить. Вы не можете просто остановить его прибытие, потому что у вас нет контроля над источником пакета. Оно уже здесь, и ваше программное обеспечение хочет знать, что с ним делать.

Это универсальная истина, которую мы все соблюдаем, в том числе и интернет-провайдеры, которые подключают нас к Интернету. Вот почему так много атак успешны: поскольку вы не можете контролировать поведение источника, источник может отправить вам достаточно пакетов, чтобы перегрузить ваше соединение.

Как это делают программное обеспечение и маршрутизаторы (домашние системы)

Если вы используете брандмауэр на своем компьютере или он есть на вашем маршрутизаторе, вы обычно придерживаетесь одного основного принципа: если приходит DDoS-трафик, программное обеспечение составляет список IP-адресов, которые входят с незаконным трафиком.

Он делает это, замечая, когда что-то отправляет вам кучу мусорных данных или запросов на соединение

Принцип защиты от DDoS

Это замечательный способ защита от атак типа «отказ в обслуживании» (DoS) с использованием одного IP-адреса , поскольку злоумышленник будет видеть тайм-аут соединения каждый раз, когда он проверяет, продвигается ли его работа. При распределенном отказе в обслуживании это работает, поскольку все данные, поступающие с атакующих IP-адресов, будут игнорироваться.

С этой схемой есть проблема.

В мире Интернета не существует такого понятия, как «пассивная блокировка». Вам нужны ресурсы, даже если вы игнорируете приходящий к вам пакет. Если вы используете программное обеспечение, точка атаки останавливается на вашем компьютере, но все равно проходит через маршрутизатор, как пуля сквозь бумагу. Это означает, что ваш маршрутизатор неустанно работает над маршрутизацией всех незаконных пакетов в вашем направлении.

Если вы используете брандмауэр маршрутизатора,

Как это делают программное обеспечение и маршрутизаторы (домашние системы)

Теперь представьте, что вашему маршрутизатору приходится делать то, что я только что упомянул, миллионы раз в секунду. Ваш маршрутизатор имеет ограниченную вычислительную мощность. Как только он достигнет этого предела, у него возникнут проблемы с определением приоритета легитимного трафика, независимо от того, какие продвинутые методы он использует.

Давайте отложим все это и обсудим другой вопрос. Предполагая, что у вас есть волшебный маршрутизатор с бесконечной вычислительной мощностью, ваш интернет-провайдер по-прежнему предоставляет вам ограниченную пропускную способность. Как только этот предел пропускной способности будет достигнут, вам будет сложно выполнить даже самые простые задачи в Интернете.

Итак, окончательное решение проблемы DDoS — иметь бесконечную вычислительную мощность и бесконечную пропускную способность. Если кто-то узнает, как этого добиться, мы молодцы!

Как крупные компании справляются со своими нагрузками

Красота того, как компании справляются с DDoS-атаками, заключается в их элегантности: они используют существующую инфраструктуру для противодействия любым угрозам, которые встречаются на их пути. Обычно это делается либо через балансировщик нагрузки, сеть распространения контента (CDN) или их комбинация. . Небольшие веб-сайты и службы могут поручить это третьей стороне, если у них нет капитала для обслуживания такого обширного набора серверов.

При использовании CDN содержимое веб-сайта копируется в большую сеть серверов, распределенных по многим географическим регионам. Благодаря этому веб-сайт загружается быстро независимо от того, в какой точке мира вы подключаетесь к нему.

Балансировщики нагрузки дополняют это, перераспределяя данные и каталогизируя их на разных серверах, распределяя приоритет трафика по типу сервера, который лучше всего подходит для этой задачи. Серверы с более низкой пропускной способностью и мощными жесткими дисками могут обрабатывать большие объемы небольших файлов. Серверы с огромной пропускной способностью могут обрабатывать потоковую передачу больших файлов. (Подумайте о YouTube.)

И вот как это работает

Понимаете, к чему я клоню? Если атака попадает на один сервер, балансировщик нагрузки может отслеживать DDoS и продолжать атаковать этот сервер, перенаправляя весь законный трафик в другое место в сети. Идея здесь состоит в том, чтобы использовать децентрализованную сеть в своих интересах, распределяя ресурсы там, где они необходимы, чтобы веб-сайт или служба могли продолжать работать, пока атака направлена ​​на «приманку». Довольно умно, да?

Поскольку сеть децентрализована, она получает значительное преимущество перед простыми межсетевыми экранами и любой защитой, которую может предложить большинство маршрутизаторов. Проблема здесь в том, что вам нужно много денег, чтобы начать собственное дело. Пока они растут, компании могут рассчитывать на более крупных специализированных поставщиков, которые предоставят им необходимую защиту.

Как это делают гиганты

Мы осмотрели небольшие домашние сети и даже заглянули в сферу мегакорпораций. Пришло время перейти к заключительному этапу этого квеста: мы собираемся посмотреть, как те самые компании, которые предоставляют вам подключение к Интернету, защищаются от падения в темную пропасть. Это будет немного сложнее, но я постараюсь быть как можно более кратким, без вызывающих слюни тезисов о различных методах защиты от DDoS.

У интернет-провайдеров есть свои уникальные способы борьбы с колебаниями трафика. Большинство DDoS-атак почти не замечаются их радарами, поскольку они имеют доступ к практически неограниченной полосе пропускания. Их ежедневный трафик в 19:00–23:00 (так называемый «час интернет-пик») достигает уровня, который намного превышает пропускную способность, которую вы получаете от обычного потока DDoS.

Конечно, поскольку мы говорим об Интернете, бывают (и часто случались) случаи, когда трафик становится чем-то большим, чем просто пятном на радаре.

Эти атаки сопровождаются ураганным ветром и пытаются разрушить инфраструктуру небольших интернет-провайдеров. Когда ваш провайдер поднимает брови, он быстро обращается к арсеналу имеющихся в его распоряжении инструментов для борьбы с этой угрозой. Помните, что в распоряжении этих ребят огромная инфраструктура, поэтому есть много способов добиться успеха. Вот наиболее распространенные из них:

• Удаленно запускаемая черная дыра – это очень похоже на что-то из научно-фантастического фильма, но RTBH – это реальная вещь документально подтверждено Cisco. Есть много способов чтобы сделать это, но я дам вам «быстрый и грязный» вариант: интернет-провайдер свяжется с сетью, из которой исходит атака, и прикажет ей заблокировать весь исходящий трафик, направляемый в его направлении. Легче блокировать исходящий трафик, чем

  Как крупные компании справляются со своими нагрузками

  вого интернет-провайдера, теперь будет отображаться так, как будто оно отключено от сети для людей, подключающихся к источнику атаки, но он выполняет свою работу и не требует особых хлопот. Остальной мировой трафик останется без изменений.
• Скрубберы. Некоторые очень крупные интернет-провайдеры имеют центры обработки данных, заполненные обрабатывающим оборудованием, которое может анализировать шаблоны трафика, чтобы отделить законный трафик от DDoS-трафика. Поскольку для этого требуется большая вычислительная мощность и развитая инфраструктура, мелкие интернет-провайдеры часто прибегают к передаче этой работы другой компании. Трафик в пострадавшем секторе проходит через фильтр, и большинство DDoS-пакетов блокируется, в то время как законный трафик разрешается. Это обеспечивает нормальную работу интернет-провайдера за счет огромных вычислительных мощностей.
• Какое-то вуду трафика. Используя метод, известный как «формирование трафика», интернет-провайдер просто вбивает все, что приносит с собой DDoS-атака, на свой целевой IP-адрес, оставляя все остальные узлы в покое. По сути, это бросит жертву под автобус, чтобы спасти остальную часть сети. Это очень уродливое решение и часто последнее, которое интернет-провайдер будет использовать, если сеть находится в серьезном кризисе и требует быстрых и решительных действий для обеспечения выживания в целом. Думайте об этом как о сценарии, в котором «нужды большинства перевешивают потребности немногих».

Проблема DDoS-атак заключается в том, что их эффективность неразрывно связана с повышением мощности компьютеров и доступностью полосы пропускания. Чтобы по-настоящему бороться с этой угрозой, нам приходится использовать передовые методы модификации сети, которые намного превосходят возможности среднего домашнего пользователя. Наверное, хорошо, что домохозяйства не часто становятся прямыми объектами DDoS-атак!

Кстати, если вы хотите увидеть, где происходят эти атаки, в режиме реального времени, посмотрите Цифровая карта атак .

Вы когда-нибудь становились жертвой подобных атак дома или на работе? Расскажите нам свою историю в комментариях!

И вот как это работает

Как это делают гиганты