DevOps — це практика, яка об’єднує розробку та операційну діяльність з метою досягнення швидшої та надійнішої доставки програмного забезпечення. Хоча DevOps фокусується на автоматизації, розгортанні та управлінні додатками, безпека є одним із ключових аспектів цієї практики. У цій статті ми розглянемо, як DevOps може налаштувати систему моніторингу, створити план дій та налаштувати пристрої для виявлення та захисту від DDoS-атак.
Як налаштувати систему моніторингу для виявлення DDoS-атак
Моніторинг є одним із ключових інструментів, необхідних для виявлення DDoS-атак. DevOps повинен налаштувати моніторинг, щоб визначити незвичну активність на своїх серверах. Деякі приклади метрик, які необхідно моніторити, включають:
- Пропускну здатність мережі: незвичне збільшення трафіку може свідчити про DDoS-атаку.
- Стан CPU: DDoS-атаки можуть використовувати обчислювальні ресурси серверів для генерації трафіку.
- Використання пам’яті: DDoS-атаки можуть використовувати пам’ять серверів для зберігання шкідливого коду або даних.
- Кількість запитів: незвично висока кількість запитів до певного ресурсу може свідчити про DDoS-атаку.
DevOps повинен використовувати інструменти моніторингу, такі як Prometheus, Grafana або Zabbix, щоб візуалізувати ці метрики та швидко виявляти DDoS-атаки.
Приклад коду моніторингу з використанням Prometheus:
# Пропускна здатність мережі
irate(node_network_receive_bytes_total[5m]) > 1e+8
# Стан CPU
100 - (avg(irate(node_cpu_seconds_total{mode="idle"}[5m])) by (instance) * 100) > 70
# Використання пам'яті
(node_memory_Active_bytes / node_memory_MemTotal_bytes) > 0.9
# Кількість запитів
sum(rate(nginx_http_requests_total{status!~"5.."}[5m])) by (server) > 1000
Як створити план дій для реагування на DDoS-атаку
DDoS-атаки можуть бути небезпечними для бізнесу, тому DevOps повинен мати план дій для швидкого реагування на DDoS-атаку. Ось кілька кроків, які DevOps може включити у свій план дій:
- Визначення типу атаки: DevOps повинен розуміти, який тип атаки відбувається (наприклад, SYN flood, DNS amplification, HTTP flood тощо), щоб визначити найбільш ефективні методи захисту.
- Ізоляція серверів: DevOps може ізолювати заражені сервери від інших серверів у мережі, щоб обмежити поширення атаки.
- Збільшення пропускної здатності: DevOps може збільшити пропускну здатність мережі або додати додаткові ресурси, щоб впоратися з навантаженням.
- Включення системи захисту від DDoS-атак: DevOps повинен налаштувати систему захисту від DDoS-атак, таку як Cloudflare, Akamai або AWS Shield, щоб блокувати вхідний трафік, згенерований DDoS-атакою.
- Сповіщення про виниклу проблему: DevOps повинен сповіщати команду безпеки про виниклу проблему, щоб вони могли провести додаткові заходи щодо захисту мережі.
- Відновлення: Після того, як атака була зупинена, DevOps повинен відновити сервери та перевірити їх працездатність.
Приклад коду для сповіщення команди безпеки про виниклу проблему:
curl -X POST -H "Content-Type: application/json" \
-d '{"message": "DDoS attack detected on server 1"}' \
https://security-team.example.com/alerts
Як налаштувати IDS/IPS для виявлення DDoS-атак
Системи виявлення вторгнень (IDS) та системи запобігання вторгненням (IPS) можуть допомогти DevOps швидко виявити та зупинити DDoS-атаки. IDS та IPS працюють на рівні мережі, моніторять трафік та виявляють аномалії. IDS може сповістити команду безпеки про атаку, тоді як IPS може автоматично блокувати вхідний трафік, пов’язаний з атакою.
Приклад конфігурації IDS з використанням Snort:
alert tcp any any -> any 80 (content:"GET / HTTP/1.1"; \ pcre:"/^(GET|HEAD|POST) \//i"; \ flow:to_server,established; \ threshold: type both, track by_src, count 50, seconds 10; \ classtype:attempted-dos; \ sid:1000001
Ця конфігурація Snort виявляє спроби виконати DDoS-атаку на веб-сервер, використовуючи більше 50 запитів за 10 секунд. Якщо атака виявлена, Snort надішле попередження в систему журналювання.
Як налаштувати WAF для захисту від DDoS-атак на рівні додатків
Web Application Firewall (WAF) — це система захисту, що працює на рівні додатків, яка може запобігти DDoS-атакам, блокуючи шкідливий трафік на цьому рівні. WAF може бути налаштований таким чином, щоб блокувати трафік, що надходить з певних IP-адрес, блокувати певні типи трафіку, такі як трафік, створений ботнетом, та багато іншого.
Приклад налаштування WAF в AWS:
{
"Name": "AWS-AWSManagedRulesKnownBadInputsRuleSet",
"Priority": 2,
"OverrideAction": {
"Type": "COUNT"
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesKnownBadInputsRuleSet"
},
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"SingleHeader": {
"Name": "User-Agent"
}
},
"Positives": [
{
"Contains": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
}
]
},
"Action": {
"Count": {}
}
}
}
Цей приклад налаштовує AWS WAF на блокування трафіку, що містить певний User-Agent, який може використовуватися зловмисниками для запуску DDoS-атаки.
Аудит безпеки для зниження ризиків DDoS-атак
Аудит безпеки допомагає DevOps визначити вразливості в мережі, додатках та інших компонентах інфраструктури. Аудит безпеки може включати тестування на проникнення, сканування портів, аналіз логів та інші методи. На основі результатів аудиту безпеки DevOps може вжити заходів для усунення виявлених вразливостей та покращення захисту від DDoS-атак.
Приклад скрипту сканування портів з використанням Nmap:
nmap -sS -T4 -p 1-65535 example.com
Цей скрипт використовує Nmap для сканування всіх портів на сервері example.com. Якщо якийсь порт відкритий, це може свідчити про вразливість у системі.
Приклад скрипту тестування на проникнення з використанням Metasploit:
use auxiliary/scanner/http/brute_dirs set RHOSTS example.com set USERPASS_FILE /path/to/userpass/file run
Цей скрипт використовує Metasploit для тестування на проникнення у веб-додаток на сервері example.com з використанням словника паролів.
Важливо зазначити, що проведення аудиту безпеки повинно здійснюватися відповідно до законодавства та політик організації.
Висновок
DDoS-атаки можуть стати серйозною проблемою для веб-сайтів та онлайн-сервісів, тому важливо, щоб DevOps налаштував систему моніторингу, IDS/IPS та WAF, а також розробив план дій для реагування на DDoS-атаку. Крім того, проведення аудиту безпеки допоможе визначити вразливості та знизити ризик DDoS-атак.
