Как этот инструмент безопасности с открытым исходным кодом остановил серьезные DDoS-атаки

Изменения конфигурации CrowdSec остановили ботнет из 7000 машин менее чем за минуту.

В 2020 году наш образ жизни и работы полностью перевернулся за считанные дни. Поскольку COVID-19 начал распространяться по всему миру, мы вернули наши компании домой, и поддержание связи с нашими коллегами, друзьями и семьей в Интернете стало критической необходимостью. Это открыло хакерам возможность нарушить работу; например, по данным Neustar, количество распределенных атак типа «отказ в обслуживании» (DDoS) по всему миру выросло на 151% в первой половине года.

CrowdSec — это механизм безопасности с открытым исходным кодом, который анализирует поведение посетителей и обеспечивает адаптированный ответ на все виды атак. Он анализирует журналы из любого источника и применяет эвристические сценарии для выявления агрессивного поведения и защиты от большинства классов атак. Затем он делится этой информацией с другими установками CrowdSec; каждый раз, когда адрес интернет-протокола (IP) блокируется, он информирует об этом все сообщество пользователей. Это создает совместную базу данных репутации IP-адресов, работающую в режиме реального времени, которая использует возможности толпы, чтобы сделать Интернет безопаснее.

Как работает CrowdSec: практический пример

Sorf Networks, турецкая технологическая компания, которая предоставляет своим клиентам управляемые серверы высокой конфигурации и решения для защиты от DDoS, предлагает пример того, как работает CrowdSec. Один из клиентов Сорфа ежедневно подвергался DDoS-атакам со стороны более 10 000 машинных ботнетов и изо всех сил пытался найти решение, которое отвечало бы техническим требованиям для своевременной борьбы с ними.

Хотя клиент принял общие меры предосторожности для смягчения этих атак, такие как введение проблем JavaScript (JS), ограничение скорости и т. д., они не были жизнеспособными на всей поверхности атаки. Некоторые URL-адреса необходимо было использовать очень простому программному обеспечению, которое не поддерживало задачи JS. Хакеры есть хакеры, и это было именно то, на что они нападали каждый божий день: на самое слабое звено в цепи.

Sorf Networks впервые разработала стратегию предотвращения DDoS-атак для своего клиента с помощью Fail2ban (который вдохновил CrowdSec); в какой-то степени это помогло, но было слишком медленно. На обработку журналов и борьбу с DDoS-атаками от 7000 до 10 000 машин требовалось 50 минут, что делало его неэффективным в данной ситуации. Также логи продолжали скапливаться, потому что он не банил IP, и ему нужно было обрабатывать несколько тысяч логов в секунду, что было невозможно.

При DDoS-тестировании с использованием арендованного ботнета скорость атаки достигла около 6700 запросов в секунду с 8600 уникальных IP-адресов. Это захват трафика одного сервера.

^{©2020, CrowdSec}

Хотя технология CrowdSec может справиться с масштабными атаками, ее настройки по умолчанию могут обрабатывать только около 1000 конечных точек в секунду. Sorf требовалась индивидуальная конфигурация, чтобы справиться с таким большим объемом трафика. на одной машине.

Команда Сорфа внесла изменения в конфигурацию CrowdSec, чтобы значительно повысить ее пропускную способность при обработке объема журналов. Во-первых, были удалены дорогостоящие и некритичные дополнительные анализаторы, такие как расширение GeoIP. Также было увеличено количество разрешенных по умолчанию процедур с одной до пяти. После этого команда провела еще одно живое тестирование с 8000–9000 хостами со средней скоростью от 6000 до 7000 запросов в секунду. Это решение стоило дорого, поскольку во время операции CrowdSec потреблял 600% ресурсов ЦП, но потребление памяти оставалось около 270 МБ.

Результаты, однако, показали поразительный успех:

• За одну минуту CrowdSec смог получить все журналы.
• 95% ботнета было заблокировано, а атака эффективно смягчена.
• 15 доменов теперь защищены от DDoS-атак

По словам директора Sorf Networks Чагдаса Айдогду, платформа CrowdSec позволила команде «разработать эффективную систему защиты мирового класса… в невероятно короткие сроки».

Эта статья адаптирована из статьи «Как остановить 7-тысячный машинный ботнет за 1 минуту с помощью CrowdSec», первоначально опубликованной на веб-сайте CrowdSec.