キュレーターをバイパスするDDoS：静かな生活のためのシンプルなアクション

最近、 Uptime.commuintyの情報システムの運用と管理に関する2回目の会議がモスクワで開催され、私たちも経験を共有しました。 いつものように、痛みについて-DDoSについてです。

Habrに対するDDoS攻撃は約10年前に始まりましたが、それでも私たちにとって不快な問題です。 最初は少し追加しようとするti病な試みがありましたが、今では通常のDDoSは約30 Gb / sです。 モスクワのすべての祖母が50MBを持っているため、これは驚くことではありません。 すべては古典によると：1歳の女性-50、10歳の女性-500 ...

ヴァディム・リバルコ、ハーバー

これは、ノウハウや特別なジェダイのテクニックに関するものではありません。 すべてがシンプルで非常に散文的で、より複雑な平凡な衛生手順のようです。 ほとんどの「経験のある」管理者は、次のすべてを既に認識していますが、要約して再度繰り返すことは不要ではありません。 私たちは経験に基づいて独自に多くの決定に達しました。したがって、誰かが少し時間を節約することに成功した場合、これはすでに成功です。 あなたはまだバックアップしませんか？ それから私たちはあなたに行きます！

アーキテクチャについて少し

メインサイトには、独自のハードウェア、独自のスタンド、すべてのサーバーが非常に強力であり、最大限に活用しています。 私たちは独自のIPシュニックを持たないようにしているため、すべてが灰色のネットワークに引き込まれます。 3人の通信事業者がラックに連れてこられ、そこからIPアドレスの小さなブロックをレンタルします。 プロバイダーに独立したアドレスでASを使用することを考えましたが、この場合、ボーイングの翼のようなコストの機器を購入し、第2の翼のようなコストのチャネルを支払う必要があります。 最後に、保護のためにQratorを選択しました。

モスクワ州立大学の技術サイトでHLLブランドの作業を始めたばかりの頃から同僚を知っています。それ以来、一部の分野での関係が企業関係を大きく引き離してきました。 ロシアでDDoS保護に対処した最初の1つであり、依然として最も適切なものの1つです。 もちろん、私はインサイダー情報を共有しません、私はこれを言います：彼らはこの市場で最高の1つです。

主な問題

私たちはQratorがどのように機能するかをよく知っており、その作業について苦情はありません。 それらについてではなく、原則としてこのタイプのDDoSに対する保護についてです。 保護にはアーキテクチャ上の制限があるため、攻撃者はこれらの制限を使用できます。

防御が優れていても、それは最初のフロンティアにすぎず、額への攻撃からのみ役立ちます。 これは先駆的なハッカーの助けになりますが、サイトが「順序付けられている」場合、攻撃者は単にドメインをスワイプすることに制限されず、より脆弱な実リソースアドレスを検索し、そこでbeatられます。

攻撃者はどのようにして実際のネットワークアドレスを見つけることができますか？

パブリックwhoisおよびRipe DBなどの他のデータベース

1つ目は、RIPEなどのデータベースであり、多くの公開情報が含まれています。 ドメインのように、プライバシーWHOISに直接類似するものはありません。 そこでは、管理者の連絡先、会社名、その他の技術データなど、すべてのデータがプレーンテキストで示されます。 攻撃者にとって非常に役立つ情報。 私たちは「Habrahabr」と呼ばれているとしましょう。 彼は単語「Habr」または類似のものを検索でき、私たちを見つけることができます。 今では以前ほど簡単ではありません。 しかし、そのようなオプションがあります。

RIPE DBに加えて、たとえ1台のサーバーをレンタルしたとしても、RIPE用の特別なフォームへの入力を常に要求するホスティング事業者（「Hetzner」など）も存在することに注意してください。 また、whoisのどこかにリースされたアドレスをマークすることもできます。たとえば、ホスティング事業者は、アドレスへのコメントで組織の名前を示すことができます。 そして、これらはすべて通常のデータベース解析でも見ることができます。 少し賢明な攻撃者は、管理者のnic-handleまたはメンテナーによって分類できます。

潜在的な保護 ：IPアドレスのブロックを最大限に非個人化する必要があります。

逆解決

正しいPTRは便利で正しいものですが、別の攻撃者の武器です。 原則として、境界を研究するための他の方法と組み合わせて使用​​されます。

メールが適切に機能するには、PTRを登録する必要があることは誰もが知っています。 さらに、たとえば、PTRがないと、解像度が長くなる可能性があります。 しかし、技術ドメインがPTRに登録されている場合、攻撃者はこのドメインのスキャンを開始し、サブドメイン内の興味深いエントリを見つけることができるため、それらは非個人化する必要があります。 たとえば、プロバイダーのドメインnode-0-0-0-0.yatvoidomtrubashatalisp.net



すべてのパブリックnode-0-0-0-0.yatvoidomtrubashatalisp.net



閉じることをお勧めします。 または、侵入者にとって賢明なことを何も語らないナンセンスを書きます。

潜在的な保護 ：オペレーターの後ろで匿名化されたPTRを使用します。

アドレス照合、ポートおよびサービスのスキャン

攻撃者は、一般に比較的少数であるため、 LIR （オペレーター）全体を含む、開いているポートのアドレスブロックをスキャンできます。 アクティブなWebサーバーのアドレスのリストを受け取った攻撃者は、攻撃された仮想curl -H "host: example.com" http://INET_ADDR/



Webサーバーの応答を取得するために、la curl -H "host: example.com" http://INET_ADDR/



を行うことができます。 HTTPSは、特にサーバーに証明書が1つしかなく、TLS SNIがない場合に、この攻撃者を助けることができます。 また、攻撃者がcURLを使用してヘッダーを持つ特定のサイトの名前を取得することさえせずに、ポート443のIPアドレスを単純にヤンクすることも考えられます。そして、サイト名とそのドメインを示すデフォルトの証明書を取得できます。

潜在的な保護 ：このような調査に対する保護の方法は数多くあります。一般的には、ファイアウォールレベルで着信接続を制限するのが最善です。信頼できるネットワークからではなく、トラフィックフィルタリングポイントネットワークからでもないものはすべて応答しないでください。 データクリーニングセンターを使用する場合は、そのアドレスのリストを取得してホワイトリストに追加し、他の全員の入り口を完全に閉じる必要があります。 たとえば、キュ​​レーターは最近、トラフィッククリーニングポイントのアドレスからではなく、保護されたホストの可用性の自動テストを導入しました。

サイトのAレコードでデータセンターのアドレスを指定した場合、nginxはそれを放棄しないと考えている場合に注意してください-あなたは間違っています。 もちろん彼はそうするでしょう。 繰り返しますが、神聖なものすべてをファイアウォールで隠すのが最も簡単です。

メーラー

まず、メールサーバーはhelo



に技術的なドメインを提供し、それをスキャンに使用できます。

2つ目は、私たちがかつて私たち自身で出くわしたのは、 Received



ヘッダーであると思われます。文字が送られた各ホップは、ヘッダーで示すことができます。 そして、そのようなIPを持つサーバーが、特定のプロトコルに従って、特定の時間に、特定のレターIDを持つそのようなIPを持つサーバーからレターを受け取ったことを示すことができます。 手紙の出典を見るだけで、IP-schnikiを見ることができます。

保護の可能性 ：メインのインフラストラクチャから隔離されたネットワーク空間（たとえば、レンタルサーバーや仮想マシン）にある境界メーラーを介してメールを表示することをお勧めします。 文字のヘッダーを制御し、自動モードで受信した問題のあるヘッダーをマスク/削除する必要があります。 または、 Mailgunなどの外部リソースを使用しますが、そのような問題はありません（ただし、他にもあります）。

DNS

攻撃の機会がたくさんあるため、すべてをリストすることはできません。 キーノードはプライマリNSであり、これがすべてのセカンダリのすべての更新のソースです。 プライマリが設定されている場合、通常のAレコードを変更する機能もブロックされます。 結局、何もできません。最初に、他のNSサーバーにドメインを再委任する必要があるからです。 一般的に-約3年前に発生した多くの問題。 その結果、プライマリを非表示にします。 つまり、私たちはそれらをどこにも発表していません。 それらはありますが、遠く離れています。 彼は一人ではなく、そのIPアドレスとドメイン名はどこにも示されていません。 プライマリを示すはずのSOAレコードで、セカンダリの1つのアドレスを指定します。 すべてが明らかです。 また、axfrを使用してDNSを更新しません。 DNSはかなり前に発明されたため、この技術は私たちのスキームにはあまり適していません。 すべてのデータベースを保存するMySQLバックエンドでPowerDNSを使用します。 セカンダリーはすべて、PowerDNSを備えたMySQLスレーブです。 そして、たとえDNSの一部がスプーフィングされたとしても、まだたくさんあります。 DNSを含む。これは、キュレーターからのDDoS攻撃に対する保護の対象です。 たくさんの仮想マシンを購入しましたが、本当にたくさんあります。

潜在的な保護 ：メーラーの場合のように、メインエンジニアと同じインフラストラクチャにDNSを保持しないでください。 マスターは一般に隠れてアナウンスしない方が良いです。 SOAレコードを含むドメインをセカンダリに委任することをお勧めします。

ASについて

私たちは、ASを取るべきかと考えました。 LIRステータスでほぼ無料で提供することさえ提案されましたが、まず、それほど多くのアドレス（/ 23-512個）を必要としません。 第二に、RIPEと通信する必要があり、RIPEと通信できる必要があるため、これは追加の責任です。 第三に、IPシュニックに対してRIPEのお金を支払う必要があります（正式にはそうではありません）。 そして、最も重要なのは、すべてのデータ、すべてのIPシュニックがすべてのユーザーに利用可能になることです。 したがって、高価な鉄片をインストールする必要があり、非常に優れたチャネルを持ち、多くのアップリンクを持ち、ネットワークの制御を強化する必要があります。 これは私たちにとってはまったくありませんが、より大きな人の通常のスキームです。

彼らは燃えて、30ギグをチャンネルに注ぎました。 損失を最小限に抑えるにはどうすればよいですか？

独立チャンネル

独立したルーターを備えた、独立したオペレーターのいくつかの独立したチャネルがあります。 オペレーターアドレスブロックの異なる部分からの2つまたは3つの小さなブロック。 これにより、nullrouteで攻撃されたブロックを迅速かつ安全に「マージ」できます。

データクリーニングセンターがある場合でも、アップストリームにあるいくつかの外部プロバイダーのアドレスを指定します。これにより、プロバイダーの1つに問題が発生した場合（たとえば、ネットワーク損失やDDoS攻撃など）、キュレーターは負荷全体を別のプロバイダーに転送できます。 これは、nginxのアップストリームに似ており、アイドルアップストリームをスローする可能性があります。

正気なオペレーター

運用サポートサービスのある通常のオペレーターとのみ連携することが非常に重要です。 優れたオペレーターがいます。原則として、これらは大企業ではありませんが、市場でしっかりと確立されています。 彼らと一緒にすべてがクールで、あなたは電話して、何が起こっているのか、問題がどのように解決されているのかを理解することができます。 意思決定をする人にいつでも連絡を取ることができます。 私たちの経験では、大規模なオペレーターは悪です。 あなたが巨大企業ではない場合、彼らはあなたと正常に動作しません。 いずれにせよ、不器用な官僚制度は、迅速な意思決定を難しくします。初歩的な技術サポートを受けることはすでに大きな問題です。

Bfg

通常のASおよびアドレスブロックがない場合でも、BGPオペレータとのインターフェイスで。 多くの人にとってのBGPは、特に暗い森と呼ばれる3つの恐ろしい文字であり、特別で強力な様々なダークマジックを持っています。 実際、ここにはひどいものは何もありません。 ASがなくても、BGPは適切です。 通常のオペレータは、「灰色」のASの下でクライアントルータから自分自身をアドバタイズするための小さなアドレスブロックを許可できるためです。 突然特定のプレフィックスを入力した場合、ボーダールーターのアナウンスからそれを削除すると、攻撃はオペレーター側で終了し、自動的にルーターに到達しません。 制御が困難なUDPが注入されている場合でも、オペレーターレベルで既に終了しています。 彼には良いチャンネルがあり、それに耐えることができます。 そして、当社のルーターは通常ですが、,烈な企業ではありませんが、もちろん30ギガビットにも耐えられません。 そのため、ネットワークに対処することをお勧めします。グローバルネットワークを含め、その仕組み、ルーティングの仕組み、 少なくとも主なものは、BGPとは何ですか。 笑がなければ、ネットワークに関する優れたチュートリアルはCisco CCNAです。彼らはそこでFlintstoneファミリーについても話します。

落ち着いて

攻撃が発生した場合は、すべてをゆっくりと思慮深く行います。 最も重要なルールは、最初のルールを正しく作成することです。 突然何かが起こった場合、頭を失ってはいけません。 特に、上司が何かが機能していないことに激怒している場合、急に動き回らないでください。誤ってすべてを失う可能性があります。 たとえば、間違ったアクセスリストに間違ったIPアドレスを登録するのは面倒で、グリッド全体を失う可能性があります。 または、サーバーが横たわっているときにデータベースが死んだ場合、それを修正する前にまず正確に死んだものを理解する必要があります。 「7回測定して、1回カット」ということわざがあるのも不思議ではありません。 あなたは思慮深くすべてをする必要があります。

ペンテストを注文するか、WAFを使用する

境界保護を制御された方法で破ることは決して恥ずべきことではありません。 最もありそうなペンテストは、「通りの人」にとっては高価な喜びですが、常に「可能な選択肢」です。 WAFについては-良いことですが、複合体でのみです。 市場に出回っているWAFサプライヤーの多くは、奇妙なシャーラタンのように見えます。

IDDQDモード

会社に本当にたくさんのお金があるなら。 AS全体をBGP経由でデータセンターにアナウンスできます。 これは非常に高価です。トラフィックの帯域で充電が行われるため、チャネルの使用率を賢明に計算する必要があるためです。 誰かがこれらのIPシュニックを通じて何か間違ったものを注ぎ始めた場合、彼は多くのお金を注ぐことができます。 さらに-これはhemoを追加します。ネットワーク技術を完全に理解し、調理できるようにする必要があるためです。 おそらく、これは、開発されたインフラストラクチャと形成された運用部門を持つ中規模企業にとっては素晴らしい選択肢になるでしょう。

すべての重要事項と同様に、ネットワーク境界保護の場合、運に頼ることはあまりよくありません。 「魔法の薬」に関する声明も真実です-それらは存在しません。 DDoSは不快なものですが、必ずしも致命的ではありません。 安全ルールを順守し、代わりにしないでください。すべてを隠す必要があります-隠す。

私たちはすべての善人がすべての攻撃をうまく撃退することを望み、攻撃者にあらゆる種類の失敗を望みます。 そして、力があなたと共にありますように！