ושוב מנסים למכור שמן נחשים

בתחילת השבוע (27/7) החלה התקפת DDoS רצינית על בזק בינ"ל, מה שגרם לכך שאתרים כמו "וואלה" לא הגיבו אפילו לרמה של DNS Resolve ללקוחות בזק בינ"ל ולספקים נסמכים (018, אינטרנט רימון ואחרים). בזק בינלאומי לא היו היחידים שמותקפים חזק (אם כי הייתי קצת מופתע – לבזק בינלאומי יש קו של כמה טרה מחו"ל לארץ בבעלותם), גם נטויז'ן חטפה חזק שבוע שעבר, וגם פרטנר ואחרים. בד"כ התקיפות האלו החזיקו כמה שעות עד שהם נפתרו בפתרונות שונים.

לקוחות רבים שסבלו מכך שהאתרים שלהם לא מגיבים, לא אהבו את הרעיון להיות ללא אפשרות לעשות ביזנס בגלל התקפות של חולירות, והם התחילו להתעניין ב"פתרונות נגד DDoS". גם יבואני הפתרונות בארץ החליטו ש-ע-כ-ש-י-ו זה זמן מ-ע-ו-ל-ה כדי להתחיל לדחוף "קופסאות פלא" שחוסמות DDoS ושאר חולירות ונציגי ה-Presale של היבואנים השונים כבר החלו ליצור קשר עם ההנהלה הבכירה של לקוחות פוטנציאליים. גם בפורומי אבטחת מידע שונים אנשים מתחילים להתעניין ונציגי המכירות כבר "מתנפלים" עם הצעותיהם, יש הזמנות, העברות בנקאיות מבוצעות, וכו'..

ובמקרים רבים הציוד נקנה לשווא.

תרשו לי לצאת בהכרזה פשוטה: אין שום קופסא שיכולה לתת פתרון לכל סיטואציה, ובמקרים רבים אין צורך בשום קופסא כדי לתת פתרון. לעיתים הפתרון יכול לעלות סכום של כמה מאות שקלים בחודש בלבד. לא חבל לזרוק כמה עשרות אלפי שקלים לפח?

ברשותכם, אתאר מספר סיטואציות ואתייחס אליהן:

חברה עם חיבור אינטרנט קבוע וצריכת אינטרנט בחברה
הסיטואציה הזו קיימת כמעט בכל החברות. לוקחים קו יעודי בין ספק האינטרנט לחברה של כמה עשרות (או מאות) מגהביט והקו הזה משמש לגלישה במחשבי החברה, העלאת תכנים ומשלוח/קבלת דואר (אה, וכמובן צפיה בחתולים ביוטיוב… 🙂 )

פתרון קופסא נגד התקפות כדוגמת DDoS בגרסאותיו השונות לא תעזור מכיוון שהקו עצמו יחנק, ולא חשוב כמה הקופסא תעשה את העבודה, כשהקו חנוק, הקופסא לא יכולה לעזור ב"פינוי" הקו כי הוא ימשיך להיות "מופצץ".

הפתרון לסיטואציה זו מורכב מ-2 חלקים:

  • יצירת קשר עם ספק האינטרנט שלך ובקשה לניתוק זמני מחו"ל. מכיוון שרוב מוחלט של התקפות ה-DDOS מגיע מחו"ל, ההתקפה תיפסק מיידית ומי שיספוג אותה הוא ספק האינטרנט שלך.
  • שימוש בקו DSL יחיד או כפול (עם IP קבוע ולא דינמי) עם QoS עצמאי ברמת המתג שלך לקבלת מיילים ומשלוח, ואם יש לך 2 קווים, הקו השני יכול לתת שרותי גלישה לעובדים (שוב, QoS כדי לעצור כל מיני Uploads מופרעים). אגב, אם משתמשים בפתרון כזה, חשוב להכניס את ה-IP הקבוע של ה-DSL לתוך רשימות ה-MX/SPF/PTR של הדומיין/ים שלכם (כעדיפות משנית, שלישית וכו')

בד"כ לאחר כמה שעות ניתן יחד עם הספק להתחבר לחו"ל עם הקו היעודי ולנטר בזמן אמיתי אם יש עדיין התקפה או שזה נגמר.

עסק עם שרתים שנמצאים בארץ אשר מגיש אתרים לציבור בארץ

גם כאן, כשמתקיפים אותך, הספק יכול לנתק אותך מחו"ל, וקופסא "נגד DDOS" היא מיותרת, ובכל מה שקשור למייל, אפשר להשתמש ב-IP נוסף שדרכו ינותב המייל (לא לשכוח את ה-IP המשני להכניס לרשימת ה-MX לפני ההתקפה), בד"כ ההתקפה מגיעה לשרתי Web, לא לשרתי Mail ולכן תוכל להמשיך לתת ללקוחות שרות קבלת/שליחת מייל אם יש להם client משלהם.

עסק עם שרתים שנמצאים בארץ/בחו"ל אשר מגיש אתרים לציבור בחו"ל
במקרים כאלו, חשוב מאוד להשתמש בספק CDN (כן, גם אם יש לך מספר שרתים בחו"ל משל עצמך). ספק כמו Cloudflare יכול לתת לך בחינם הגנה בסיסית נגד DDoS ובמחיר של 20$ לחודש תוכל לקבל גם הגנה לא רעה על האפליקציה שלך (Web Application Firewall). אם יש לך אתר מאוד גדול שאתה מרוויח ממנו ואתה מותקף תדיר, כדאי שתכיר את התוכנית ביזנס שלהם שעולה 200$ לחודש, אבל מבחינת התקפות אתה מקבל שקט.  (כל התוכניות שלהם נמצאים כאן, ולא – אני לא מרוויח מההפניה. יש כמובן ספקי CDN אחרים, ומומלץ לבדוק את המחירים של המתחרים לפני כן).

אתרים בענן (Google/Amazon/Microsoft)
גם כאן שרות CDN עדיף, מכיוון שהוא "יחטוף" את ההתקפה. גם אמזון וגם מיקרוסופט מציעים שרותי CDN שפרוסים במקומות שונים בעולם אך הם בתשלום נוסף. יוצאי דופן במקרה הזה הם דווקא גוגל, ואם אתה משתמש בשרותי ה-App Engine שלהם, אתה מקבל את שרותי ה-CDN "על הדרך" ללא תשלום נוסף, כלומר אתה תקבל שרות CDN בדיוק באותה רמה שגוגל נותנים עם יוטיוב, תוצאות חיפוש וכו'.

אני רוצה לסיום לתת דוגמא תיאורתית למצב של התקפה: דמיין לעצמך שאני תוקף את האתר שלך מכל סיבה כלשהי. כל מה שאני צריך זה חלקיק ביטקוין ופניה לאחד מעשרות האתרים שמציעים שרותי התקפת DDoS. לא חשוב מה רוחב הפס שלך בחוות שרתים (אם השרתים שלך יושבים בחווה) או שיש לך קו יעודי – אם השרתים שלך מגישים ישירות תכנים ללקוח ללא שום CDN (או CDN שאתה בנית), יהיה לי קל מאוד "לחנוק" לך את הקווים ולא חשוב מה הקופסא שתשים כדי לנטרל, אני עדיין אדחוף כמויות שהקו שלך יהיה חנוק.

בפתרון CDN טוב, מי שחוטף את ההתקפה הוא ספק ה-CDN וספקי CDN רציניים (כמו Cloudflare ואחרים) יש ברשותם קווים של מאות ג'יגהביט ומעלה והם יכולים לעמוד ברוב ההתקפות בלי יותר מדי בעיות. פתרון מקיף לבעיית DDoS צריך לכלול אלמנטים נוספים שספק ה-CDN יכול להצביע עליהם (אם לדוגמא אני מחליט "להתלבש" על קבצים שספק ה-CDN שלך לא עושה להם Cache כמו סרטים וכו'), הם דואגים להחביא את ה-IP הישיר שלך, לנהל את ה-DNS שלך בצורה מוגנת ועוד. כיום אותם פתרונות של CDN טוב יכולים לעלות מ-0 דולר לחודש (הגנה בסיסית) עד כמה מאות דולרים (לאתרים גדולים ומורכבים), אז לפני שאתה מתפתה לרכוש קופסא (שתעלה לך כמה אלפי דולרים + עוד כמה אלפים כל שנה), בדוק פתרון CDN טוב נגד הצרות הללו ותחסוך לעצמך כספים וכאבי ראש.