Was ist ein ddos-angriff. DDoS-Angriff: Was ist das, wie funktioniert es und ob man sich schützen kann

Auf einem Computersystem, um es zum Ausfall zu bringen, d.h. die Schaffung solcher Bedingungen, unter denen legale (rechtmäßige) Benutzer des Systems nicht auf die vom System bereitgestellten Ressourcen (Server) zugreifen können oder dieser Zugriff erschwert wird. Auch der Ausfall des „feindlichen“ Systems kann ein Schritt in Richtung Systembeherrschung sein (wenn die Software im Notfall kritische Informationen preisgibt – zB Version, Teil des Programmcodes etc.). Aber häufiger ist es ein Maß für wirtschaftlichen Druck: Ausfallzeiten eines umsatzgenerierenden Dienstes, Rechnungen des Anbieters und Maßnahmen zur Vermeidung eines Angriffs treffen das „Ziel“ erheblich in der Tasche.

Erfolgt ein Angriff gleichzeitig von einer Vielzahl von Rechnern aus, spricht man von DDoS-Angriff(aus dem Englischen. Verteilter Denial-of-Service, verteilter Denial-of-Service-Angriff). In einigen Fällen führt eine unbeabsichtigte Aktion zu einem tatsächlichen DDoS-Angriff, z. B. das Setzen eines Links auf einer beliebten Internetressource zu einer Website, die auf einem nicht sehr produktiven Server gehostet wird (Slash-Dot-Effekt). Ein großer Zustrom von Benutzern führt zu einer Überschreitung der zulässigen Last auf dem Server und folglich zu einem Denial-of-Service für einige von ihnen.

Arten von DoS-Angriffen

Es gibt verschiedene Gründe, warum eine DoS-Bedingung auftreten kann:

• Fehler im Programmcode, was zum Zugriff auf ein nicht verwendetes Fragment des Adressraums, zur Ausführung einer ungültigen Anweisung oder zu einer anderen nicht behandelten Ausnahme führt, wenn das Serverprogramm abstürzt - das Serverprogramm. Ein klassisches Beispiel ist die nullbasierte Referenzierung. Null) Adresse.
• Unzureichende Validierung von Benutzerdaten, was zu einem unendlichen oder langen Zyklus oder einem erhöhten langfristigen Verbrauch von Prozessorressourcen (bis zur Erschöpfung der Prozessorressourcen) oder der Zuweisung einer großen Menge an RAM (bis zur Erschöpfung des verfügbaren Speichers) führt.
• Flut(Englisch) Flut- "Flood", "Overflow") - ein Angriff, der mit einer großen Anzahl von normalerweise bedeutungslosen oder falsch formatierten Anfragen an ein Computersystem oder eine Netzwerkausrüstung verbunden ist, die zum Ziel hat oder aufgrund der Erschöpfung der Systemressourcen zu einem Systemausfall geführt hat - Prozessor, Speicher oder Kommunikationskanäle.
• Angriff der zweiten Art- ein Angriff, der darauf abzielt, einen Fehlalarm des Schutzsystems auszulösen und so zur Nichtverfügbarkeit der Ressource zu führen.

Erfolgt ein Angriff (meist Flood) gleichzeitig von einer großen Anzahl von IP-Adressen – von mehreren im Netzwerk verteilten Rechnern – dann heißt es in diesem Fall verteilt Denial-of-Service-Angriff ( DDoS).

Ausnutzung von Fehlern

Ausbeuten bezieht sich auf ein Programm, einen Programmcode oder eine Folge von Programmbefehlen, die Schwachstellen in Software ausnutzen und zum Angriff auf ein Cybersystem verwendet werden. Von den Exploits, die zu einem DoS-Angriff führen, aber beispielsweise ungeeignet sind, die Kontrolle über ein "feindliches" System zu übernehmen, sind die bekanntesten WinNuke und Ping of Death (Ping of Death).

Flut

Für Überschwemmungen als Verstoß gegen die Netiquette siehe Überschwemmungen.

Flut Sie rufen einen riesigen Strom bedeutungsloser Anfragen von verschiedenen Computern auf, um dem "feindlichen" System (Prozessor, RAM oder Kommunikationskanal) Arbeit zu nehmen und es dadurch vorübergehend zu deaktivieren. Der Begriff „DDoS-Attacke“ ist fast gleichbedeutend mit dem Begriff „Flood“, und im Alltag sind beide oft austauschbar („flood the server“ = „DDoS’it the server“).

Um eine Flut zu erzeugen, können sowohl gewöhnliche Netzwerkdienstprogramme wie Ping (dies ist beispielsweise der Internet-Community „Upyachka“ bekannt) als auch spezielle Programme verwendet werden. Die Möglichkeit von DDoS ist in Botnetzen oft „eingenäht“. Wird auf einer stark frequentierten Seite eine Cross-Site-Scripting-Schwachstelle oder die Möglichkeit gefunden, Bilder von anderen Ressourcen einzubinden, kann diese Seite auch für einen DDoS-Angriff genutzt werden.

Kommunikationskanal und TCP-Subsystemflut

Jeder Computer, der über das TCP / IP-Protokoll mit der Außenwelt kommuniziert, ist diesen Arten von Überschwemmungen ausgesetzt:

• SYN-Flood – Bei dieser Art von Flood-Angriff werden eine große Anzahl von SYN-Paketen über das TCP-Protokoll an den angegriffenen Knoten gesendet (Anforderungen zum Öffnen einer Verbindung). Gleichzeitig ist auf dem angegriffenen Rechner nach kurzer Zeit die Anzahl der zum Öffnen verfügbaren Sockets (Software-Netzwerk-Sockets, Ports) erschöpft und der Server reagiert nicht mehr.
• UDP-Flood - Diese Art von Flood greift nicht den Zielcomputer an, sondern seinen Kommunikationskanal. Anbieter gehen vernünftigerweise davon aus, dass UDP-Pakete zuerst zugestellt werden sollten, während TCP warten kann. Eine große Anzahl von UDP-Paketen unterschiedlicher Größe verstopft den Kommunikationskanal, und der Server, der über das TCP-Protokoll läuft, reagiert nicht mehr.
• ICMP-Flood - das Gleiche, aber mit Hilfe von ICMP-Paketen.

Flut der Anwendungsschicht

Viele Dienste sind so konzipiert, dass eine kleine Anfrage einen großen Verbrauch an Rechenleistung auf dem Server verursachen kann. In diesem Fall wird nicht der Kommunikationskanal oder das TCP-Subsystem angegriffen, sondern der Dienst (Service) selbst – eine Flut solcher „kranker“ Anfragen. Beispielsweise sind Webserver anfällig für HTTP Flooding – entweder ein einfaches GET / oder eine komplexe Datenbankabfrage wie GET /index.php?search= kann verwendet werden, um einen Webserver zu deaktivieren<случайная строка> .

Erkennung von DoS-Angriffen

Es besteht die Meinung, dass spezielle Tools zur Erkennung von DoS-Angriffen nicht erforderlich sind, da die Tatsache eines DoS-Angriffs nicht übersehen werden kann. In vielen Fällen stimmt das. Allerdings wurden recht häufig erfolgreiche DoS-Angriffe beobachtet, die von den Opfern erst nach 2-3 Tagen bemerkt wurden. Es kam vor, dass die negativen Folgen eines Angriffs ( Flut-Angriffe) führte zu überhöhten Kosten für die Bezahlung von überschüssigem Internetverkehr, was erst beim Erhalt einer Rechnung von einem Internetanbieter festgestellt wurde. Darüber hinaus sind viele Intrusion Detection-Methoden in der Nähe des Angriffsziels unwirksam, aber auf Netzwerk-Backbones effektiv. In diesem Fall ist es ratsam, Erkennungssysteme genau dort zu installieren und nicht zu warten, bis der angegriffene Benutzer es selbst bemerkt und Hilfe sucht. Um DoS-Angriffen effektiv entgegenzuwirken, ist es außerdem notwendig, die Art, Art und andere Merkmale von DoS-Angriffen zu kennen, und Erkennungssysteme ermöglichen es, diese Informationen schnell zu erhalten.

Methoden zur Erkennung von DoS-Angriffen können in mehrere große Gruppen unterteilt werden:

• Signatur - basierend auf einer qualitativen Analyse des Verkehrs.
• statistisch - basierend auf einer quantitativen Analyse des Verkehrs.
• hybrid (kombiniert) - kombiniert die Vorteile der beiden oben genannten Methoden.

DoS-Schutz

Maßnahmen zur Abwehr von DoS-Angriffen lassen sich in passive und aktive sowie präventive und reaktive Maßnahmen unterteilen.

Nachfolgend finden Sie eine kurze Liste der wichtigsten Methoden.

• Verhütung. Verhinderung der Gründe, die bestimmte Personen veranlassen, DoS-Angriffe zu organisieren und durchzuführen. (Sehr häufig sind Cyberangriffe im Allgemeinen das Ergebnis persönlicher Missstände, politischer, religiöser und anderer Meinungsverschiedenheiten, provokativen Verhaltens des Opfers usw.)
• Filtern und Blackholing. Blockieren des Datenverkehrs von angreifenden Computern. Die Wirksamkeit dieser Methoden nimmt ab, wenn Sie sich dem Angriffsobjekt nähern, und nimmt zu, wenn Sie sich der angreifenden Maschine nähern.
• Umgekehrtes DDOS- Umleitung des für den Angriff verwendeten Datenverkehrs an den Angreifer.
• Beseitigung von Schwachstellen. Arbeitet nicht dagegen Flut-Angriffe, für die "Verwundbarkeit" die Endlichkeit bestimmter Systemressourcen ist.
• Erhöhung der Ressourcen. Natürlich bietet es keinen absoluten Schutz, aber es ist ein guter Hintergrund, um andere Arten von Schutz gegen DoS-Angriffe anzuwenden.
• Zerstreuung. Aufbau verteilter und duplizierender Systeme, die nicht aufhören, Benutzer zu bedienen, selbst wenn einige ihrer Elemente aufgrund eines DoS-Angriffs nicht mehr verfügbar sind.
• Ausweichen. Verschieben des unmittelbaren Angriffsziels (Domänenname oder IP-Adresse) weg von anderen Ressourcen, die häufig zusammen mit dem unmittelbaren Angriffsziel ebenfalls betroffen sind.
• Aktive Reaktion. Auswirkungen auf die Quellen, den Organisator oder die Kontrollzentrale des Angriffs, sowohl durch menschengemachte als auch durch organisatorische und rechtliche Mittel.
• Verwendung von Ausrüstung zur Abwehr von DoS-Angriffen. Zum Beispiel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® und andere Hersteller.
• Erwerb eines Dienstes zum Schutz vor DoS-Attacken. Tatsächlich bei Überschreitung der Bandbreite des Netzwerkkanals durch die Flut.

siehe auch

Anmerkungen

Literatur

• Chris Kaspersky Computerviren innen und außen. - Petrus. - St. Petersburg. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse typischer Sicherheitsverletzungen in Netzwerken = Intrusion Signatures and Analysis. - New Riders Publishing (Englisch) St. Petersburg: Williams Publishing House (Russisch), 2001. - S. 464. - ISBN 5-8459-0225-8 (Russisch), 0-7357-1063-5 (Englisch)
• Morris, R.T.= Eine Schwachstelle in der 4.2BSD Unix TCP/IP Software. - Informatiktechnischer Bericht Nr. 117. - AT&T Bell Laboratories, Februar 1985.
• Bellovin, S.M.= Sicherheitsprobleme in der TCP/IP-Protokollsuite. - Computer Communication Review, Band. 19, Nr.2. - AT&T Bell Laboratories, April 1989.
• = daemon9 / route / infinity "IP-Spooling entmystifiziert: Trust-Relationship-Exploitation". - Phrack Magazine, Band 7, Ausgabe 48. - Guild Production, Juli 1996.
• = daemon9 / route / infinity "Projekt Neptun". - Phrack Magazine, Band 7, Ausgabe 48. - Guild Production, Juli 1996.

Verknüpfungen

• DoS Angriff im Open Directory Project Link Directory (

In den offiziellen Meldungen von Hosting-Providern flackern immer öfter hier und da Erwähnungen von reflektierten DDoS-Angriffen auf. Immer mehr Benutzer gehen sofort von DDoS aus, nachdem sie die Nichtverfügbarkeit ihrer Website festgestellt haben. Tatsächlich erlebte das Runet Anfang März eine ganze Welle solcher Angriffe. Gleichzeitig versichern Experten, dass der Spaß gerade erst beginnt. Es ist einfach unmöglich, ein so relevantes, beeindruckendes und faszinierendes Phänomen zu ignorieren. Lassen Sie uns also heute über die Mythen und Fakten über DDoS sprechen. Aus Sicht des Hosting-Providers natürlich.

Gedenktag

Am 20. November 2013 war zum ersten Mal in der 8-jährigen Geschichte unseres Unternehmens die gesamte technische Seite aufgrund einer beispiellosen DDoS-Attacke für mehrere Stunden nicht verfügbar. Zehntausende unserer Kunden in ganz Russland und der GUS haben gelitten, ganz zu schweigen von uns und unserem Internetprovider. Das letzte, was der Anbieter beheben konnte, bevor das weiße Licht für alle verblasste, war, dass seine Eingangskanäle stark mit eingehendem Datenverkehr verstopft waren. Um dies zu veranschaulichen, stellen Sie sich Ihre Badewanne mit einem gewöhnlichen Waschbecken vor, in das die Niagarafälle stürzten.

Auch vorgelagerte Anbieter haben das Echo dieses Tsunamis zu spüren bekommen. Die folgenden Grafiken veranschaulichen deutlich, was an diesem Tag mit dem Internetverkehr in St. Petersburg und in Russland geschah. Achten Sie auf die steilen Gipfel um 15:00 und 18:00, gerade als wir die Angriffe aufgezeichnet haben. Auf diesen plötzlich plus 500-700 GB.

Es dauerte mehrere Stunden, den Angriff zu lokalisieren. Der Server, an den es gesendet wurde, wurde berechnet. Dann wurde der Zweck von Internet-Terroristen berechnet. Weißt du, wen all diese feindliche Artillerie getroffen hat? Jeweils eine sehr gewöhnliche, bescheidene Kundenseite.

Mythos Nummer eins: „Angriffsobjekt ist immer der Hosting-Provider. Das sind die Machenschaften seiner Konkurrenten. Nicht mein." Tatsächlich ist das wahrscheinlichste Ziel für Internetterroristen eine normale Kundenseite. Das heißt, die Website eines Ihrer Hosting-Nachbarn. Und vielleicht auch Ihres.

Nicht alle DDoS...

Nach den Ereignissen auf unserer technischen Seite am 20. November 2013 und deren teilweiser Wiederholung am 9. Januar 2014 begannen einige Benutzer, bei einem bestimmten Ausfall ihrer eigenen Seite von DDoS auszugehen: „Das ist DDoS!“ und "Haben Sie wieder DDoS?"

Es ist wichtig, sich daran zu erinnern, dass wir es sofort selbst melden, wenn wir einen solchen DDoS erleiden, dass sogar Kunden es spüren.

Wir möchten diejenigen beruhigen, die es eilig haben, in Panik zu geraten: Wenn etwas mit Ihrer Website nicht stimmt, liegt die Wahrscheinlichkeit, dass es sich um DDoS handelt, unter 1 %. Einfach aufgrund der Tatsache, dass auf der Seite viel passieren kann und diese „viele Dinge“ viel öfter passieren. Wir werden in einem der folgenden Beiträge über Methoden zur schnellen Selbstdiagnose sprechen, was genau mit Ihrer Website passiert.

Lassen Sie uns in der Zwischenzeit - um der Genauigkeit des Wortgebrauchs willen - die Begriffe klären.

Über Begriffe

DoS-Attacke (aus dem Englischen Denial of Service) - Dies ist ein Angriff, der darauf abzielt, dass einem Server der Dienst aufgrund seiner Überlastung verweigert wird.

DoS-Angriffe beziehen sich nicht auf Geräteschäden oder Informationsdiebstahl; ihr Ziel - sorgen dafür, dass der Server nicht mehr reagiert. Der grundlegende Unterschied zwischen DoS besteht darin, dass der Angriff von einer Maschine zur anderen erfolgt. Es gibt genau zwei Teilnehmer.

Aber in Wirklichkeit beobachten wir praktisch keine DoS-Angriffe. Warum? Denn die Angriffsobjekte sind meistens industrielle Objekte (z. B. leistungsstarke Produktivserver von Hosting-Unternehmen). Und um den Betrieb einer solchen Maschine merklich zu beeinträchtigen, wird viel mehr Energie benötigt als die eigene. Das ist zuerst. Und zweitens lässt sich der Initiator einer DoS-Attacke recht einfach berechnen.

DDoS - Im Wesentlichen dasselbe wie DoS, nur der Angriff ist verteilte Natur. Nicht fünf, nicht zehn, nicht zwanzig, sondern Hunderte und Tausende von Computern greifen gleichzeitig von verschiedenen Orten auf einen Server zu. Eine solche Armee von Maschinen wird aufgerufen Botnetz. Es ist fast unmöglich, den Kunden und den Veranstalter zu berechnen.

Komplizen

Welche Art von Computern sind im Botnet enthalten?

Sie werden überrascht sein, aber oft sind dies die gewöhnlichsten Heimmaschinen. Wer weiß?.. - möglicherweise Ihr Heimcomputer auf die Seite des Bösen gezogen.

Dafür braucht es ein wenig. Ein Angreifer findet eine Schwachstelle in einem beliebten Betriebssystem oder einer Anwendung und verwendet sie, um Ihren Computer mit einem Trojaner zu infizieren, der Ihren Computer an einem bestimmten Tag und zu einer bestimmten Stunde anweist, bestimmte Aktionen auszuführen. Senden Sie beispielsweise Anfragen an eine bestimmte IP. Natürlich ohne Ihr Wissen und Ihre Teilnahme.

Mythos Nummer zwei: « DDoS wird irgendwo weit weg von mir gemacht, in einem speziellen unterirdischen Bunker, wo bärtige Hacker mit roten Augen sitzen. In der Tat, ohne es zu wissen, Sie, Ihre Freunde und Nachbarn - Jeder kann ein unwissender Komplize sein.

Das passiert wirklich. Auch wenn du nicht darüber nachdenkst. Auch wenn Sie schrecklich weit von der IT entfernt sind (vor allem, wenn Sie weit von der IT entfernt sind!).

Unterhaltsame Hacking- oder DDoS-Mechaniken

Das DDoS-Phänomen ist heterogen. Dieses Konzept vereint viele Handlungsoptionen, die zu einem Ergebnis führen (Denial of Service). Betrachten Sie die Optionen für die Probleme, die DDoSer uns bringen können.

Übermäßiger Verbrauch von Server-Computing-Ressourcen

Dies geschieht durch das Senden von Paketen an eine bestimmte IP, deren Verarbeitung eine große Menge an Ressourcen erfordert. Um beispielsweise eine Seite zu laden, müssen Sie eine große Anzahl von SQL-Abfragen ausführen. Alle Angreifer werden diese bestimmte Seite anfordern, was zu einer Serverüberlastung und einem Denial-of-Service für normale, legitime Website-Besucher führt.
Das ist ein Angriff auf dem Niveau eines Schuljungen, der ein paar Abende damit verbracht hat, das Hacker-Magazin zu lesen. Sie ist kein Problem. Die gleiche angeforderte URL wird sofort berechnet, woraufhin der Zugriff darauf auf Webserverebene blockiert wird. Und das ist nur eine der Lösungen.

Überlastung der Kommunikationswege zum Server (zum Ausgang)

Der Schwierigkeitsgrad dieses Angriffs ist ungefähr derselbe wie der vorherige. Der Angreifer berechnet die schwerste Seite auf der Website, und das Botnet unter seiner Kontrolle beginnt, sie massenhaft anzufordern.

Stellen Sie sich vor, der für uns unsichtbare Teil von Winnie the Pooh ist unendlich groß
In diesem Fall ist es auch sehr einfach zu verstehen, was genau den ausgehenden Kanal verstopft, und den Zugriff auf diese Seite zu verbieten. Anfragen des gleichen Typs sind mit Hilfe spezieller Dienstprogramme leicht zu erkennen, mit denen Sie die Netzwerkschnittstelle betrachten und den Datenverkehr analysieren können. Dann wird eine Regel für die Firewall geschrieben, die solche Anfragen blockiert. All dies geschieht regelmäßig, automatisch und so blitzschnell Die meisten Benutzer sind sich eines Angriffs nicht einmal bewusst.

Mythos Nummer drei: "A Sie besuchen mein Hosting jedoch selten und ich bemerke sie immer.“ Tatsächlich sehen oder spüren Sie 99,9 % der Angriffe nicht. Aber der tägliche Kampf mit ihnen - das ist die alltägliche Routinearbeit eines Hosting-Unternehmens. Dies ist unsere Realität, in der der Angriff billig ist, die Konkurrenz aus den Charts ist und nicht jeder Lesbarkeit in den Methoden des Kampfes um einen Platz an der Sonne zeigt.

Überlastung der Kommunikationswege zum Server (am Eingang)

Das ist schon ein Rätsel für diejenigen, die das Hacker-Magazin länger als einen Tag gelesen haben.

Foto von der Website des Radios "Echo of Moscow". Sie fanden nichts Anschaulicheres, um DDoS mit Kanalüberlastung am Eingang darzustellen.
Um den Kanal mit eingehendem Datenverkehr voll auszulasten, benötigen Sie ein Botnetz, dessen Leistung es Ihnen ermöglicht, die erforderliche Menge an Datenverkehr zu generieren. Aber vielleicht gibt es eine Möglichkeit, wenig Traffic zu verschenken und viel zu bekommen?

Es gibt und nicht eins. Es gibt viele Möglichkeiten, den Angriff zu verbessern, aber eine der derzeit beliebtesten ist die Angriff über öffentliche DNS-Server. Experten nennen diese Methode der Verstärkung DNS-Verstärkung(falls jemand Fachausdrücke bevorzugt). Und wenn es einfacher ist, dann stellen Sie sich eine Lawine vor: Eine kleine Anstrengung reicht aus, um sie zu brechen, und unmenschliche Ressourcen, um sie zu stoppen.

Sie und ich wissen das öffentlicher DNS-Server informiert auf Anfrage jeden, der Daten über beliebige Domainnamen haben möchte. Zum Beispiel fragen wir einen solchen Server: Erzählen Sie mir von der Domain sprinthost.ru. Und er wirft uns ohne zu zögern alles vor, was er weiß.

Das Abfragen eines DNS-Servers ist ein sehr einfacher Vorgang. Es kostet fast nichts, ihn zu kontaktieren, die Anfrage wird mikroskopisch klein sein. Zum Beispiel so:

Es bleibt nur die Auswahl eines Domainnamens, dessen Informationen ein beeindruckendes Datenpaket sein werden. So werden aus den ursprünglichen 35 Bytes mit einer leichten Handbewegung fast 3700. Es gibt eine Steigerung um mehr als das 10-fache.

Aber wie stellt man sicher, dass die Antwort an die richtige IP gerichtet ist? Wie kann man die Quell-IP der Anfrage fälschen, damit der DNS-Server seine Antworten in Richtung des Opfers ausgibt, das keine Daten angefordert hat?

Tatsache ist, dass DNS-Server weiterarbeiten UDP-Kommunikationsprotokoll, für die überhaupt keine Bestätigung des Ursprungs der Anfrage erforderlich ist. Das Fälschen einer ausgehenden IP ist in diesem Fall keine große Sache für einen Doser. Deshalb ist diese Art von Angriff derzeit so beliebt.

Am wichtigsten ist, dass ein sehr kleines Botnetz ausreicht, um einen solchen Angriff durchzuführen. Und mehrere unterschiedliche öffentliche DNS, die nichts Ungewöhnliches darin sehen, dass verschiedene Benutzer von Zeit zu Zeit Daten von der Adresse eines Hosts anfordern. Und nur dann wird all dieser Verkehr zu einem Strom verschmelzen und ein „Rohr“ festnageln.

Was der Dosierer nicht wissen kann, ist die Kapazität der Kanäle des Angreifers. Und wenn er die Stärke seines Angriffs nicht richtig berechnet und den Kanal zum Server nicht sofort zu 100 % blockiert, kann der Angriff schnell und einfach abgewehrt werden. Mit Dienstprogrammen wie TCPdump Es ist einfach herauszufinden, dass eingehender Datenverkehr vom DNS kommt, und auf Firewall-Ebene zu verhindern, dass er akzeptiert wird. Diese Option - die Verweigerung des DNS-Datenverkehrs - ist für alle mit einer gewissen Unannehmlichkeit verbunden, aber sowohl die Server als auch die darauf befindlichen Websites funktionieren weiterhin erfolgreich.

Dies ist nur eine von vielen Optionen, um den Angriff zu verstärken. Es gibt viele andere Arten von Angriffen, wir können ein anderes Mal darüber sprechen. In der Zwischenzeit möchte ich zusammenfassen, dass all dies für einen Angriff gilt, dessen Stärke die Breite des Kanals zum Server nicht überschreitet.

Wenn der Angriff stark ist

Wenn die Angriffskraft die Kapazität des Kanals zum Server übersteigt, passiert Folgendes. Der Internetkanal wird sofort zum Server verstopft, dann zur Hosting-Site, zu seinem Internetanbieter, zum Upstream-Anbieter und so weiter und in aufsteigender Reihenfolge (in Zukunft - bis zu den absurdesten Grenzen) bis zum Angriffskraft reicht.

Und dann wird es zu einem globalen Problem für alle. Und kurz gesagt, damit mussten wir uns am 20. November 2013 auseinandersetzen. Und wenn es zu großen Umwälzungen kommt, ist es an der Zeit, besondere Magie einzuschalten!

So sieht spezielle Magie aus: Mit Hilfe dieser Magie ist es möglich, den Server zu berechnen, an den der Datenverkehr geleitet wird, und seine IP auf ISP-Ebene zu blockieren. Damit hört es auf, Anrufe an diese IP über seine Kommunikationskanäle mit der Außenwelt (Uplinks) anzunehmen. An die Liebhaber von Begriffen: Experten nennen dieses Verfahren "schwarz aus", vom englischen blackhole.

Gleichzeitig bleibt der angegriffene Server mit 500-1500 Accounts ohne seine IP. Dafür wird ein neues Subnetz von IP-Adressen zugewiesen, über die Client-Konten zufällig und gleichmäßig verteilt werden. Außerdem warten Experten auf eine Wiederholung des Angriffs. Es wiederholt sich fast immer.

Und wenn es sich wiederholt, gibt es nicht mehr 500-1000 Konten auf der angegriffenen IP, sondern einige Dutzend oder zwei.

Der Kreis der Verdächtigen wird kleiner. Diese 10-20 Accounts werden wiederum auf unterschiedliche IP-Adressen verteilt. Wieder einmal warten die Ingenieure auf einen weiteren Angriff. Immer wieder verteilen sie die verdächtigten Accounts auf verschiedene IPs und errechnen so durch schrittweise Annäherung das Angriffsobjekt. Alle anderen Konten kehren zu diesem Zeitpunkt zum normalen Betrieb auf derselben IP zurück.

Wie Sie wissen, ist dies kein Sofortverfahren, sondern es braucht Zeit, um es umzusetzen.

Mythos Nummer vier:„Wenn ein massiver Angriff stattfindet, hat mein Hoster keinen Aktionsplan. Er wartet nur mit geschlossenen Augen auf das Ende des Bombardements und beantwortet meine Briefe mit der gleichen Art von Antworten.Dem ist nicht so: Im Falle eines Angriffs handelt der Hosting-Provider nach Plan, um diesen schnellstmöglich zu lokalisieren und die Folgen zu beseitigen. Und mit der gleichen Art von Briefen können Sie die Essenz des Geschehens vermitteln und gleichzeitig die Ressourcen sparen, die für die schnellstmögliche Bearbeitung einer Notfallsituation erforderlich sind..

Gibt es Licht am Ende des Tunnels?

Jetzt sehen wir, dass die DDoS-Aktivität ständig zunimmt. Einen Angriff zu befehlen ist sehr zugänglich und hässlich billig geworden. Um Propagandavorwürfen vorzubeugen, wird auf Beweislinks verzichtet. Aber nehmen Sie uns beim Wort, es ist so.

Mythos Nummer fünf: „Ein DDoS-Angriff ist ein sehr kostspieliges Ereignis, und nur Geschäftsbonzen können es sich leisten, einen zu bestellen. Als letztes Mittel sind dies die Machenschaften der Geheimdienste!“ Tatsächlich sind solche Ereignisse extrem zugänglich geworden.

Daher muss nicht erwartet werden, dass böswillige Aktivitäten von selbst verschwinden. Vielmehr wird es sich nur verstärken. Es bleibt nur, Waffen zu schmieden und zu schärfen. Was wir tun, die Verbesserung der Netzwerkinfrastruktur.

Die rechtliche Seite des Problems

Dies ist ein sehr unpopulärer Aspekt bei der Diskussion über DDoS-Angriffe, da wir selten von Fällen der Gefangennahme und Bestrafung der Anstifter hören. Denken Sie jedoch daran: Ein DDoS-Angriff ist eine Straftat. In den meisten Ländern der Welt, einschließlich Russland.

Mythos Nummer sechs: « Jetzt, da ich genug über DDoS weiß, werde ich einem Konkurrenten Urlaub bestellen - Und dafür bekomme ich nichts!" Dass dies der Fall ist, ist nicht ausgeschlossen. Und wenn doch, wird es nicht nach viel aussehen.

• Binden Sie den Verlauf mit dem DDoS-Zahlungssystem Assist
• Spannende Auflösung

Im Allgemeinen raten wir niemandem, sich auf die bösartige Praxis von DDoS einzulassen, um nicht den Zorn der Gerechtigkeit auf sich zu ziehen und sein eigenes Karma nicht zu beugen. Und aufgrund der Besonderheiten unserer Tätigkeit und eines lebhaften Forschungsinteresses untersuchen wir weiterhin das Problem, stehen Wache und verbessern die Verteidigungsstrukturen.

PS:Wir haben nicht genug freundliche Worte, um all unsere Dankbarkeit auszudrücken, also sagen wir einfach"Danke!" an unsere geduldigen Kunden, die uns an einem schwierigen Tag am 20. November 2013 herzlich unterstützt haben. Sie haben viele Worte der Ermutigung zur Unterstützung unserer ausgesprochen

Die Bekämpfung von DDoS-Angriffen ist nicht nur eine schwierige, sondern auch eine spannende Arbeit. Es ist nicht verwunderlich, dass jeder Systemadministrator zunächst versucht, die Abwehr selbst zu organisieren – zumal dies noch möglich ist.

Wir haben uns entschlossen, Ihnen bei dieser schwierigen Aufgabe zu helfen und einige kurze, triviale und nicht universelle Tipps zum Schutz Ihrer Website vor Angriffen zu veröffentlichen. Diese Rezepte werden Ihnen nicht helfen, mit Angriffen fertig zu werden, aber sie werden Sie vor den meisten Gefahren bewahren.

Die richtigen Zutaten

Die harte Wahrheit ist, dass viele Websites von jedem heruntergefahren werden können, der den Slowloris-Angriff verwendet, der Apache knapp tötet, oder indem er eine sogenannte SYN-Flood mithilfe einer Farm virtueller Server arrangiert, die in einer Minute in der Amazon EC2-Cloud erstellt werden. Alle unsere weiteren Tipps, um sich selbst vor DDoS zu schützen, basieren auf den folgenden wichtigen Voraussetzungen.

1. Befreien Sie sich von Windows Server

Die Praxis legt nahe, dass eine Website, die unter Windows (2003 oder 2008 – es spielt keine Rolle) läuft, im Falle von DDoS dem Untergang geweiht ist. Der Grund für den Ausfall liegt im Windows-Netzwerkstapel: Bei vielen Verbindungen wird der Server sicherlich anfangen, schlecht zu reagieren. Wir wissen nicht, warum Windows Server in solchen Situationen so schlecht abschneidet, aber wir sind mehr als ein- oder zweimal darauf gestoßen. Aus diesem Grund konzentriert sich dieser Artikel auf die Mittel zum Schutz vor DDoS-Angriffen, wenn der Server unter Linux läuft. Wenn Sie ein glücklicher Besitzer eines relativ modernen Kernels (ab 2.6) sind, werden die primären Tools die Dienstprogramme iptables und ipset (zum schnellen Hinzufügen von IP-Adressen) sein, mit denen Sie Bots schnell sperren können. Ein weiterer Schlüssel zum Erfolg ist ein gut vorbereiteter Netzwerkstack, auf den wir auch gleich noch eingehen werden.

2. Trennen Sie sich von Apache

Die zweite wichtige Bedingung ist die Ablehnung von Apache. Wenn Sie Apache haben, dann stellen Sie zumindest einen Caching-Proxy davor - nginx oder lighttpd. Apache "ist extrem schwierig, Dateien zu verschenken, und, was noch schlimmer ist, er ist grundsätzlich (dh unverbesserlich) anfällig für den gefährlichsten Slowloris-Angriff, der es Ihnen ermöglicht, den Server fast von einem Mobiltelefon aus zu überfluten. Um verschiedene Arten von zu bekämpfen Slowloris, Apache-Benutzer kamen zuerst mit einem Patch Anti-slowloris.diff, dann mod_noloris, dann mod_antiloris, mod_limitipconn, mod_reqtimeout... Aber wenn Sie nachts gut schlafen wollen, ist es einfacher, einen HTTP-Server zu nehmen, der gegen Slowloris immun ist auf der Ebene der Code-Architektur. Alle unsere weiteren Rezepte basieren also auf der Annahme, dass nginx auf dem Frontend verwendet wird.

Abwehr von DDoS

Was tun, wenn DDoS kommt? Die traditionelle Selbstverteidigungstechnik besteht darin, die Protokolldatei des HTTP-Servers zu lesen, ein Grep-Muster zu schreiben (das Bot-Anfragen abfängt) und jeden zu sperren, der darunter fällt. Diese Technik wird funktionieren ... wenn Sie Glück haben. Es gibt zwei Arten von Botnets, die beide gefährlich sind, aber auf unterschiedliche Weise. Einer kommt sofort vollständig auf die Website, der andere - allmählich. Der erste tötet alles auf einmal, aber das Ganze taucht in den Protokollen auf, und wenn Sie sie grüßen und alle IP-Adressen sperren, dann sind Sie der Gewinner. Das zweite Botnetz legt die Seite sanft und vorsichtig ab, aber Sie müssen es wahrscheinlich für einen Tag sperren. Es ist wichtig, dass jeder Administrator versteht: Wenn Sie vorhaben, mit grep zu kämpfen, müssen Sie bereit sein, ein paar Tage für die Bekämpfung des Angriffs aufzuwenden. Im Folgenden finden Sie Tipps, wo Sie vorab Strohhalme hinlegen können, damit ein Sturz nicht so schmerzhaft ist.

3. Verwenden Sie das Testcookie-Modul

Vielleicht das wichtigste, effektivste und operative Rezept dieses Artikels. Wenn DDoS auf Ihre Website gelangt, kann das von @kyprizel entwickelte Modul testcookie-nginx der effektivste Weg sein, sich zu wehren. Die Idee ist einfach. Meistens sind Bots, die HTTP-Flooding implementieren, ziemlich dumm und haben keine HTTP-Cookie- und Umleitungsmechanismen. Manchmal stoßen fortgeschrittenere auf sie – sie können Cookies verwenden und Weiterleitungen verarbeiten, aber fast nie trägt ein DoS-Bot eine vollwertige JavaScript-Engine (obwohl dies immer häufiger vorkommt). Testcookie-nginx fungiert während eines L7-DDoS-Angriffs als schneller Filter zwischen Bots und dem Backend, sodass Sie Junk-Anfragen herausfiltern können. Was ist in diesen Kontrollen enthalten? Weiß der Client, wie man HTTP Redirect durchführt, unterstützt er JavaScript, ist es der Browser, für den er sich ausgibt (weil JavaScript überall anders ist und wenn der Client sagt, dass es beispielsweise Firefox ist, dann können wir das überprüfen). Die Verifizierung wird mithilfe von Cookies mit unterschiedlichen Methoden durchgeführt:

• "Set-Cookie" + Weiterleitung mit 301 HTTP Location;
• "Set-Cookie" + Weiterleitung mit HTML-Meta-Aktualisierung;
• beliebige Vorlage, und Sie können JavaScript verwenden.

Um ein automatisches Parsing zu vermeiden, kann das Validierungs-Cookie mit AES-128 verschlüsselt und später auf der Seite des JavaScript-Clients entschlüsselt werden. Die neue Version des Moduls verfügt über die Möglichkeit, Cookies über Flash zu setzen, wodurch Sie auch Bots effektiv aussortieren können (was Flash in der Regel nicht unterstützt), blockiert jedoch den Zugriff für viele legitime Benutzer (tatsächlich , alle Mobilgeräte). Es ist bemerkenswert, dass es extrem einfach ist, testcookie-nginx zu verwenden. Insbesondere der Entwickler gibt mit Config-Samples für nginx mehrere anschauliche Anwendungsbeispiele (für unterschiedliche Angriffsfälle) an.

Neben den Vorteilen haben Testcookies auch Nachteile:

• schneidet alle Bots, einschließlich Googlebot. Wenn Sie das Testcookie dauerhaft belassen möchten, stellen Sie sicher, dass Sie nicht aus den Suchergebnissen verschwinden;
• verursacht Probleme für Benutzer mit Browsern Links, w3m und dergleichen;
• speichert nicht vor Bots, die mit einer vollwertigen Browser-Engine mit JavaScript ausgestattet sind.

Mit einem Wort, testcookie_module ist nicht universell. Aber von einer Reihe von Dingen, wie zum Beispiel primitiven Toolkits in Java und C#, hilft es. So schneiden Sie einen Teil der Bedrohung ab.

4. Code 444

DDoSer zielen oft auf den ressourcenintensivsten Teil einer Website ab. Ein typisches Beispiel ist eine Suche, die komplexe Datenbankabfragen durchführt. Das können sich Angreifer natürlich zunutze machen, indem sie mehrere zehntausend Anfragen auf einmal in die Suchmaschine laden. Was wir tun können? Deaktivieren Sie die Suche vorübergehend. Während Kunden nicht in der Lage sein werden, mit integrierten Tools nach den benötigten Informationen zu suchen, bleibt die gesamte Hauptseite in Betrieb, bis Sie die Wurzel aller Probleme gefunden haben. Nginx unterstützt den nicht standardmäßigen 444-Code, mit dem Sie die Verbindung einfach schließen und nichts als Antwort zurückgeben können:

Standort /Suche ( return 444; )

So ist es beispielsweise möglich, eine Filterung nach URL schnell umzusetzen. Wenn Sie sicher sind, dass Anfragen an location /search nur von Bots kommen (Ihr Vertrauen basiert beispielsweise auf der Tatsache, dass Ihre Website überhaupt keinen /search-Abschnitt hat), können Sie das ipset-Paket auf dem Server installieren und verbieten Sie Bots mit einem einfachen Shell-Skript:

Ipset -N ban iphash tail -f access.log | während lesen LINE; echo "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; fertig

Wenn das Format der Protokolldateien nicht dem Standard entspricht (nicht kombiniert) oder Sie aus anderen Gründen als dem Status der Antwort verbieten müssen, müssen Sie cut möglicherweise durch einen regulären Ausdruck ersetzen.

5. Geobanim

Der nicht standardmäßige Antwortcode 444 kann auch nützlich sein, um Clients schnell auf der Grundlage von Georeferenzen zu sperren. Sie können einzelne Länder, in denen Sie sich unwohl fühlen, stark einschränken. Es ist beispielsweise unwahrscheinlich, dass ein Online-Kamerageschäft aus Rostow am Don viele Benutzer in Ägypten hat. Dies ist kein sehr guter Weg (um es klar zu sagen - widerlich), weil die GeoIP-Daten ungenau sind und Rostovites manchmal in den Urlaub nach Ägypten fliegen. Aber wenn Sie nichts zu verlieren haben, dann folgen Sie den Anweisungen:

1. Verbinden Sie das GeoIP-Modul mit nginx (wiki.nginx.org/HttpGeoipModule).
2. Zeigen Sie Georeferenzinformationen im Zugriffsprotokoll an.
3. Als nächstes, nachdem Sie das obige Shell-Skript geändert haben, grep nginx's accesslog und fügen Sie dem Verbot geografisch gekickte Clients hinzu.

Wenn die Bots beispielsweise hauptsächlich aus China stammten, könnte dies hilfreich sein.

6. Neuronales Netzwerk (PoC)

Schließlich können Sie die Erfahrung des Benutzers @SaveTheRbtz wiederholen, der das neuronale Netzwerk PyBrain genommen, das Protokoll hineingestopft und die Anfragen analysiert hat (habrahabr.ru/post/136237). Die Methode funktioniert, wenn auch nicht universell :). Aber wenn Sie Ihre Site wirklich von innen kennen – und das sollten Sie als Systemadministrator –, dann stehen die Chancen gut, dass Ihnen in den tragischsten Situationen ein solches Tool auf der Grundlage von neuronalen Netzwerken, Schulungen und im Voraus gesammelten Informationen helfen wird. In diesem Fall ist es sehr nützlich, access.log vor dem Start von DDoS zu haben, da es fast 100% der legitimen Clients beschreibt und daher einen hervorragenden Datensatz zum Trainieren eines neuronalen Netzwerks darstellt.Außerdem sind Bots nicht immer im sichtbar Protokoll.

Problemdiagnose

Die Seite funktioniert nicht - warum? Ist es DDoSed oder ist es ein Engine-Bug, der vom Programmierer nicht bemerkt wurde? Nicht wichtig. Suchen Sie nicht nach einer Antwort auf diese Frage. Wenn Sie glauben, dass Ihre Website angegriffen werden könnte, wenden Sie sich an Unternehmen, die Schutz vor Angriffen bieten – eine Reihe von Anti-DDoS-Diensten bieten den ersten Tag nach der Verbindung kostenlos an – und verschwenden Sie keine Zeit mehr mit der Suche nach Symptomen. Konzentrieren Sie sich auf das Problem. Wenn die Website langsam läuft oder sich überhaupt nicht öffnet, stimmt etwas mit ihrer Leistung nicht, und – unabhängig davon, ob es sich um einen DDoS-Angriff handelt oder nicht – müssen Sie als Fachmann verstehen, was dies verursacht. Wir haben wiederholt erlebt, wie ein Unternehmen, das aufgrund einer DDoS-Attacke Schwierigkeiten beim Betrieb seiner Seite hatte, anstatt nach Schwachstellen in der Seiten-Engine zu suchen, versuchte, Anträge an das Innenministerium zu schicken, um die Angreifer zu finden und zu bestrafen. Machen Sie solche Fehler nicht. Die Suche nach Cyberkriminellen ist ein schwieriger und langwieriger Prozess, der durch die Struktur und die Prinzipien des Internets kompliziert wird, und das Problem mit dem Betrieb der Website muss umgehend gelöst werden. Lassen Sie die Techniker herausfinden, was den Leistungsabfall der Website verursacht, und die Anwälte können die Beschwerde schreiben.

7. Verwenden Sie einen Profiler und Debugger

Bei der gängigsten Plattform zum Erstellen von Websites – PHP + MySQL – kann der Engpass mit den folgenden Tools gefunden werden:

• der Xdebug-Profiler zeigt, mit welchen Aufrufen die Anwendung die meiste Zeit verbringt;
• der eingebaute APD-Debugger und die Debug-Ausgabe an das Fehlerprotokoll helfen Ihnen, genau herauszufinden, welcher Code diese Aufrufe durchführt;
• In den meisten Fällen wird der Hund in der Komplexität und Schwere von Datenbankabfragen begraben. Hier hilft die in die Datenbank-Engine integrierte Explain-SQL-Anweisung.

Wenn die Site auf dem Rücken liegt und Sie nichts verlieren, trennen Sie die Verbindung zum Netzwerk, sehen Sie sich die Protokolle an und versuchen Sie, sie abzuspielen. Wenn dies nicht der Fall ist, gehen Sie die Seiten durch und sehen Sie sich die Basis an.

Das Beispiel ist für PHP, aber die Idee ist für jede Plattform gültig. Ein Entwickler, der Softwareprodukte in einer beliebigen Programmiersprache schreibt, muss in der Lage sein, sowohl den Debugger als auch den Profiler schnell zu verwenden. Frühzeitig üben!

8. Fehler analysieren

Analysieren Sie die Menge des Datenverkehrs, die Antwortzeit des Servers und die Anzahl der Fehler. Siehe Protokolle dazu. In nginx wird die Antwortzeit des Servers im Protokoll durch zwei Variablen aufgezeichnet: request_time und upstream_response_time. Die erste ist die Gesamtausführungszeit der Anfrage, einschließlich Netzwerkverzögerungen zwischen dem Benutzer und dem Server; die zweite gibt an, wie lange das Backend (Apache, php_fpm, uwsgi...) die Anfrage ausgeführt hat. Der Wert upstream_response_time ist für Seiten mit vielen dynamischen Inhalten und aktiver Kommunikation zwischen Frontend und Datenbank extrem wichtig und sollte nicht vernachlässigt werden. Sie können die folgende Konfiguration als Protokollformat verwenden:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Dies ist ein kombiniertes Format mit zusätzlichen Timing-Feldern.

9. Verfolgen Sie Anfragen pro Sekunde

Sehen Sie sich auch die Anzahl der Anfragen pro Sekunde an. Im Fall von nginx können Sie diesen Wert mit folgendem Shell-Befehl grob abschätzen (die Variable ACCESS_LOG enthält den Pfad zum nginx-Request-Log im kombinierten Format):

Echo $(($(fgrep -c "$(env LC_ALL=C date [E-Mail geschützt]$(($(date \ +%s)-60)) +%d/%b/%Y:%H:%M)" "$ACCESS_LOG")/60))

Im Vergleich zum normalen Niveau für diese Tageszeit kann die Anzahl der Anfragen pro Sekunde sowohl sinken als auch steigen. Sie wachsen, wenn ein großes Botnet ankommt, und fallen, wenn das eingehende Botnet die Website zum Absturz bringt, wodurch sie für legitime Benutzer vollständig unzugänglich wird, und gleichzeitig fordert das Botnet keine Statik an, legitime Benutzer jedoch schon. Der Rückgang der Anfragenzahlen ist gerade statisch bedingt zu beobachten. Aber auf die eine oder andere Weise sprechen wir über ernsthafte Veränderungen der Indikatoren. Wenn dies plötzlich passiert - während Sie versuchen, das Problem selbst zu lösen, und wenn Sie es nicht sofort im Protokoll sehen, ist es besser, schnell den Motor zu überprüfen und parallel Spezialisten zu kontaktieren.

10. Vergessen Sie tcpdump nicht

Viele Leute vergessen, dass tcpdump ein großartiges Diagnosetool ist. Ich werde ein paar Beispiele geben. Im Dezember 2011 wurde ein Fehler im Linux-Kernel entdeckt, als dieser eine TCP-Verbindung öffnete, wenn die SYN- und RST-TCP-Segment-Flags gesetzt waren. Der erste Fehlerbericht wurde von einem Systemadministrator aus Russland gesendet, dessen Ressource auf diese Weise angegriffen wurde - die Angreifer haben früher als die ganze Welt von der Schwachstelle erfahren. Offensichtlich half ihm eine solche Diagnose. Ein weiteres Beispiel: nginx hat eine nicht sehr schöne Eigenschaft - es schreibt erst ins Log, nachdem die Anfrage vollständig verarbeitet wurde. Es gibt Situationen, in denen die Site ausgefallen ist, nichts funktioniert und in den Protokollen nichts steht. Dies liegt daran, dass alle Anforderungen, die derzeit den Server laden, noch nicht abgeschlossen sind. Tcpdump hilft auch hier.

Es ist so gut, dass ich den Leuten geraten habe, keine Binärprotokolle zu verwenden, bis sie sicher sind, dass alles in Ordnung ist, denn Textprotokolle lassen sich mit tcpdump leicht debuggen, Binärprotokolle jedoch nicht.Als Diagnosewerkzeug ist der Sniffer jedoch gut - als Mittel zur Aufrechterhaltung der Produktion" und er ist beängstigend. Es kann leicht mehrere Pakete auf einmal verlieren und Ihren Benutzerverlauf durcheinander bringen. Es ist bequem, seine Ausgabe zu beobachten, und es wird für die manuelle Diagnose und ein Verbot nützlich sein, aber versuchen Sie, nichts Kritisches darauf zu stützen. Ein weiteres beliebtes Tool für "Warming Requests" - ngrep - versucht in der Regel standardmäßig, rund zwei Gigabyte nicht auswechselbaren Speicher anzufordern und beginnt erst dann, seine Anforderungen zu reduzieren.

11. Angriff oder nicht?

Wie unterscheidet man beispielsweise einen DDoS-Angriff von der Wirkung einer Werbekampagne? Diese Frage mag lächerlich erscheinen, aber dieses Thema ist nicht weniger komplex. Es gibt einige ziemlich lustige Fälle. Für einige gute Jungs, als sie sich anspannten und das Caching gründlich vermasselten, wurde die Site für ein paar Tage krank. Es stellte sich heraus, dass diese Seite mehrere Monate lang unmerklich von einigen Deutschen gedatamint wurde und bevor das Caching der Seite der Seite für diese Deutschen mit all den Bildern optimiert wurde, dauerte das Laden ziemlich lange. Als die Seite sofort aus dem Cache ausgegeben wurde, begann der Bot, der keine Zeitüberschreitungen hatte, auch sofort damit, sie zu sammeln. Es war schwer. Der Fall ist aus dem Grund besonders schwierig, dass, wenn Sie selbst die Einstellung geändert haben (Caching aktiviert) und die Site danach nicht mehr funktioniert, wer dann Ihrer Meinung nach und der Meinung des Chefs schuld ist? Exakt. Sehen Sie einen starken Anstieg der Anfragenzahlen, dann schauen Sie zum Beispiel in Google Analytics nach, wer auf welche Seiten gekommen ist.

Webserver-Tuning

Was sind die anderen Eckdaten? Natürlich können Sie den "Standard" von nginx festlegen und hoffen, dass für Sie alles in Ordnung ist. Allerdings passieren nicht immer gute Dinge. Daher muss der Administrator eines jeden Servers viel Zeit für die Feinabstimmung und Optimierung von nginx aufwenden.

12. Ressourcen (Puffergrößen) in nginx begrenzen

Was ist zuerst zu beachten? Jede Ressource hat ein Limit. Zunächst einmal betrifft es RAM. Daher sollten die Größen von Headern und allen verwendeten Puffern auf angemessene Werte pro Client und pro Server insgesamt begrenzt werden. Sie müssen in der nginx-Konfiguration registriert werden.

• client_header_buffer_size_ _ Legt die Puffergröße zum Lesen des Client-Request-Headers fest. Wenn die Anforderungszeichenfolge oder das Anforderungsheaderfeld nicht vollständig in diesen Puffer passt, werden größere Puffer zugewiesen, die von der Direktive large_client_header_buffers angegeben werden.
• large_client_header_buffers Gibt die maximale Anzahl und Größe von Puffern zum Lesen des Headers für große Clientanforderungen an.
• client_body_buffer_size Legt die Puffergröße zum Lesen des Clientanforderungstexts fest. Wenn der Anforderungstext größer als der angegebene Puffer ist, wird der gesamte Anforderungstext oder nur ein Teil davon in eine temporäre Datei geschrieben.
• client_max_body_size Legt die maximal zulässige Größe für einen Clientanforderungstext fest, die im Feld „Content-Length“ des Anforderungsheaders angegeben ist. Wenn die Größe größer als die angegebene ist, gibt der Client den Fehler 413 (Request Entity Too Large) zurück.

13. Richten Sie Timeouts in nginx ein

Zeit ist auch eine Ressource. Daher sollte der nächste wichtige Schritt darin bestehen, alle Timeouts festzulegen, was wiederum sehr wichtig ist, um sich sorgfältig in den nginx-Einstellungen zu registrieren.

• reset_timedout_connection ein; Hilft beim Umgang mit Sockets, die in der FIN-WAIT-Phase stecken.
• client_header_timeout Gibt eine Zeitüberschreitung beim Lesen eines Clientanforderungsheaders an.
• client_body_timeout Gibt eine Zeitüberschreitung beim Lesen des Hauptteils einer Clientanforderung an.
• keepalive_timeout Legt die Zeitüberschreitung fest, während der die Keep-Alive-Verbindung mit dem Client nicht vom Server geschlossen wird. Viele haben Angst, hier große Werte anzusetzen, aber wir sind uns nicht sicher, ob diese Angst berechtigt ist. Sie können optional einen Timeout-Wert im Keep-Alive-HTTP-Header festlegen, aber Internet Explorer ist dafür bekannt, diesen Wert zu ignorieren.
• send_timeout Gibt ein Timeout beim Senden einer Antwort an den Client an. Wenn der Client nach dieser Zeit nichts erhält, wird die Verbindung geschlossen.

Sofort stellt sich die Frage: Welche Parameter von Puffern und Timeouts sind korrekt? Hier gibt es kein Universalrezept, jede Situation hat ihre eigene. Aber es gibt einen bewährten Ansatz. Es ist notwendig, die Mindestwerte festzulegen, bei denen die Site (in Friedenszeiten) betriebsbereit bleibt, dh Seiten zurückgegeben und Anfragen verarbeitet werden. Dies wird nur durch Tests bestimmt - sowohl von Desktops als auch von mobilen Geräten. Der Algorithmus zum Ermitteln der Werte jedes Parameters (Puffergröße oder Timeout):

1. Wir setzen den mathematischen Minimalwert des Parameters.
2. Wir beginnen mit der Durchführung von Site-Tests.
3. Wenn alle Funktionen der Seite ohne Probleme funktionieren, ist der Parameter definiert. Wenn nicht, erhöhen Sie den Wert des Parameters und fahren Sie mit Schritt 2 fort.
4. Wenn der Wert des Parameters sogar den Standardwert überschreitet, ist dies ein Grund zur Diskussion im Entwicklungsteam.

In manchen Fällen sollte die Überarbeitung dieser Parameter zu einem Refactoring / Redesign der Seite führen. Wenn die Site beispielsweise nicht ohne dreiminütige AJAX-lange Abfrageanforderungen funktioniert, müssen Sie das Timeout nicht erhöhen, sondern die lange Abfrage durch etwas anderes ersetzen - ein Botnetz aus 20.000 Computern, das drei Minuten lang an Anforderungen hängt. wird leicht einen durchschnittlichen billigen Server töten.

14. Verbindungen in nginx begrenzen (limit_conn und limit_req)

Nginx kann auch Verbindungen, Anfragen usw. einschränken. Wenn Sie sich nicht sicher sind, wie sich ein bestimmter Teil Ihrer Website verhalten wird, sollten Sie ihn idealerweise testen, herausfinden, wie viele Anfragen er verarbeiten kann, und dies in Ihre nginx-Konfiguration schreiben. Es ist eine Sache, wenn die Website nicht verfügbar ist und Sie kommen und es abholen können. Und es ist eine ganz andere Sache - wenn es so weit lag, dass der Server in den Swap ging. In diesem Fall ist es oft einfacher, neu zu starten, als auf seine triumphale Rückkehr zu warten.

Nehmen wir an, die Seite hat Abschnitte mit den vielsagenden Namen /download und /search. Dabei gehen wir wie folgt vor:

• wir wollen nicht, dass Bots (oder Leute mit übereifrigen rekursiven Download-Managern) unsere TCP-Verbindungstabelle mit ihren Downloads füllen;
• Wir wollen nicht, dass Bots (oder streunende Suchmaschinen-Crawler) die Rechenressourcen des DBMS mit vielen Suchanfragen erschöpfen.

Für diese Zwecke passt die folgende Konfiguration:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( location /download/ ( limit_conn download_c 1; # Other configuration location ) location /search/ ( limit_req zone= search_r burst=5; # Anderer Konfigurationsspeicherort ) ) )

Es ist normalerweise sinnvoll, Limits limit_conn und limit_req für Orte zu setzen, an denen aufwendig auszuführende Skripte liegen (Suche ist im Beispiel angedeutet, und das ist kein Zufall). Einschränkungen müssen basierend auf den Ergebnissen von Belastungs- und Regressionstests sowie dem gesunden Menschenverstand ausgewählt werden.

Beachten Sie den 10m-Parameter im Beispiel. Das bedeutet, dass für die Berechnung dieses Limits ein Wörterbuch mit einem Puffer von 10 Megabyte und kein Megabyte mehr zugeteilt wird. In dieser Konfiguration können dadurch 320.000 TCP-Sitzungen überwacht werden. Um die Speichernutzung zu optimieren, wird die Variable $binary_remote_addr als Schlüssel im Wörterbuch verwendet, das die IP-Adresse des Benutzers in binärer Form enthält und weniger Speicher beansprucht als die reguläre String-Variable $remote_addr. Es sollte beachtet werden, dass der zweite Parameter der Anweisung limit_req_zone nicht nur IP, sondern auch jede andere in diesem Zusammenhang verfügbare nginx-Variable sein kann - zum Beispiel in dem Fall, wenn Sie keinen fehlerverzeihenderen Modus für den Proxy bereitstellen möchten, Sie können $binary_remote_addr$http_user_agent oder $binary_remote_addr$http_cookie_myc00kiez verwenden - aber solche Konstruktionen sollten mit Vorsicht verwendet werden, da diese Variablen im Gegensatz zur 32-Bit-$binary_remote_addr viel länger sein können und die von Ihnen deklarierten "10m" plötzlich enden können.

Trends bei DDoS

1. Die Schlagkraft von Netzwerk- und Transportschichtangriffen nimmt ständig zu. Das Potenzial eines durchschnittlichen SYN-Flood-Angriffs hat bereits 10 Millionen Pakete pro Sekunde erreicht.
2. Angriffe auf das DNS waren in letzter Zeit besonders gefragt. UDP-Flooding mit gültigen DNS-Anfragen mit gefälschten Quell-IP-Adressen ist einer der am einfachsten zu implementierenden Angriffe und schwer zu bekämpfen. Viele große russische Unternehmen (einschließlich Hosting-Unternehmen) haben in letzter Zeit Probleme aufgrund von Angriffen auf ihre DNS-Server erlebt. Je weiter entfernt, desto mehr solcher Angriffe werden sein und ihre Macht wird wachsen.
3. Den äußeren Anzeichen nach zu urteilen, werden die meisten Botnets nicht zentral gesteuert, sondern über ein Peer-to-Peer-Netzwerk. Dies gibt Angreifern die Möglichkeit, die Aktionen des Botnetzes rechtzeitig zu synchronisieren – wurden früher Steuerbefehle in zig Minuten über ein Botnetz von 5.000 Rechnern verteilt, zählen jetzt Sekunden, und Ihre Site kann plötzlich eine sofortige Verhundertfachung der Anzahl erfahren Anfragen.
4. Der Anteil an Bots, die mit einer vollwertigen Browser-Engine mit JavaScript ausgestattet sind, ist noch gering, wächst aber stetig. Ein solcher Angriff ist mit eingebauten improvisierten Mitteln schwieriger abzuwehren, daher sollten Heimwerker diesen Trend mit Vorsicht beobachten.

Vorbereiten des Betriebssystems

Neben der Feinabstimmung von nginx müssen Sie sich um die Einstellungen für den Netzwerkstack des Systems kümmern. Fügen Sie zumindest sofort net.ipv4.tcp_syncookies in sysctl ein, um sich sofort vor einem kleinen SYN-Flood-Angriff zu schützen.

15. Stimmen Sie den Kern ab

Achten Sie auf die erweiterten Einstellungen des Netzwerkteils (Kernel), wiederum in Bezug auf Timeouts und Speicher. Es gibt wichtigere und weniger wichtige. Zuallererst müssen Sie Folgendes beachten:

• net.ipv4.tcp_fin_timeout Die Zeit, die der Socket in der TCP-Phase FIN-WAIT-2 verbringt (Warten auf ein FIN/ACK-Segment).
• net.ipv4.tcp_(,r,w)speicher TCP-Socket-Empfangspuffergröße. Drei Werte: Minimum, Standardwert und Maximum.
• net.core.(r,w)mem_max Gleiches gilt für Nicht-TCP-Puffer.

Bei einer Verbindung von 100 Mbit/s sind die Default-Werte noch irgendwie passend; Wenn Sie jedoch mindestens Gigabit pro Sekunde zur Verfügung haben, ist es besser, Folgendes zu verwenden:

sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w net.ipv4.tcp_wmem="4096 65536 8388608" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Überarbeitung /proc/sys/net/**

Es ist ideal, alle Parameter /proc/sys/net/** zu studieren. Wir müssen sehen, wie sie sich von den Standardwerten unterscheiden, und verstehen, wie angemessen sie exponiert sind. Ein Linux-Entwickler (oder Systemadministrator), der die Funktionsweise des Internetdienstes unter seiner Kontrolle versteht und optimieren möchte, sollte die Dokumentation aller Parameter des Kernel-Netzwerkstacks mit Interesse lesen. Vielleicht findet er dort spezifische Variablen für seine Site, die nicht nur helfen, die Site vor Eindringlingen zu schützen, sondern auch ihre Arbeit beschleunigen.

Fürchte dich nicht!

Erfolgreiche DDoS-Angriffe löschen Tag für Tag den E-Commerce, erschüttern die Medien, schlagen die größten Zahlungssysteme mit einem Schlag außer Gefecht. Millionen von Internetbenutzern verlieren den Zugriff auf wichtige Informationen. Die Bedrohung ist dringend, also müssen Sie ihr voll bewaffnet begegnen. Mach deine Hausaufgaben, hab keine Angst und behalte einen kühlen Kopf. Sie sind weder der Erste noch der Letzte, der einem DDoS-Angriff auf Ihre Website ausgesetzt ist, und es liegt an Ihnen, geleitet von Ihrem Wissen und Ihrem gesunden Menschenverstand, die Folgen des Angriffs zu minimieren.

Wir sprechen viel über Angriffe auf die Website, Hacking, aber wir haben das Thema DDOS nicht erwähnt. Heute korrigieren wir diese Situation und bieten Ihnen einen vollständigen Überblick über die Technologien zur Organisation von DDoS-Angriffen und bekannte Tools zur Durchführung von Hackerangriffen.

Sie können die Liste der verfügbaren Tools für DDOS-Angriffe in KALI anzeigen, indem Sie den folgenden Befehl ausführen:

kali > /usr/share/exploitdb/platforms/windows/dos

Dieser Befehl zeigt die Exploit-Datenbank für Angriffe auf Windows-Systeme an.

Um die verfügbaren Linux-DDoS-Angriffstools anzuzeigen, geben Sie den folgenden Befehl ein:

/usr/share/exploitdb/platforms/Linux/dos.

2.LOIC

Die Low Orbit Ionenkanone (LOIC) Möglicherweise das beliebteste DDOS-Programm. Es kann Massenanfragen über ICMP- und UDP-Protokolle senden und dadurch den Kanal zum Server des Opfers blockieren. Der berüchtigtste LOIC-Angriff wurde 2009 von Anonymous gegen PayPal, Visa und MasterCard als Vergeltung dafür durchgeführt, dass WikiLeaks vom Fundraising-System abgeschnitten wurde.

Über LOIC organisierte Angriffe können ausgenutzt werden, indem UDP- und ICMP-Pakete auf den Netzwerkgeräten von Internetanbietern blockiert werden. Das LOIC-Programm selbst können Sie kostenlos auf der Website herunterladen. Dieses Windows-basierte Tool ist sehr einfach zu bedienen, zeigen Sie einfach auf die Websites des Opfers und drücken Sie nur eine Taste.

2. HOIC

HOIC wurde im Rahmen von Operation Payback von Praetox von demselben Team entwickelt, das auch LOIC entwickelt hat. Der Hauptunterschied besteht darin, dass HOIC das HTTP-Protokoll verwendet und damit einen Strom zufälliger HTTP-GET- und POST-Anforderungen sendet. Es ist in der Lage, 256 Domänen gleichzeitig anzugreifen. Sie können es von herunterladen.

3.XOIC

XOIC ist ein weiteres sehr einfaches DDOS-Tool. Der Benutzer muss nur die IP-Adresse des Opfers festlegen, das Protokoll (HTTP, UDP, ICMP oder TCP) auswählen und abdrücken! Sie können es von herunterladen

5. HULK

6. UDP-Flooder

UDP Flooder macht seinem Namen alle Ehre – ein Tool, das entwickelt wurde, um mehrere UDP-Pakete an ein Ziel zu senden. UDP Flooder wird häufig bei DDOS-Angriffen auf Spieleserver verwendet, um Spieler vom Server zu trennen. Das Programm steht zum Download bereit unter .

7. RUDI

8. ToRs Hammer

ToR's Hammer wurde entwickelt, um sich durchzuarbeiten Netzwerk, um eine größere Anonymität des Angreifers zu erreichen. Das Problem bei diesem Tool ist, dass das TOR-Netzwerk ziemlich langsam ist und somit die Effektivität eines DDoS-Angriffs verringert. Sie können dieses DDOS-Programm von Packet Storm oder .

9. Pförtner

Pyloris ist ein weiteres DDoS-Tool, das einen neuen Ansatz verfolgt. Es ermöglicht einem Angreifer, seine eigene eindeutige HTTP-Anforderung zu erstellen. Das Programm versucht dann, bei solchen Anfragen die TCP-Verbindung offen zu halten, wodurch die Anzahl der verfügbaren Verbindungen auf dem Server reduziert wird. Wenn das Verbindungslimit des Servers erreicht ist, kann der Server keine Verbindungen mehr bedienen und die Site ist nicht mehr verfügbar. Dieses Tool kann kostenlos von der Website heruntergeladen werden.

10. OWASP Springmesser

Open Web Application Security Project (OWASP) und ProactiveRISK haben ein Tool entwickelt Switchblade DoS-Tool zum Testen von WEB-Anwendungen auf Resistenz gegen DDoS-Angriffe Es verfügt über drei Betriebsmodi: 1. SSL Half-Open, 2. HTTP Post und 3. Slowloris. Sie können es zur Überprüfung von der OWASP-Website herunterladen.

11. DAVOSET

12. GoldenEye-HTTP-DoS-Tool

13.THC-SSL-DOS

Dieses DDOS-Tool (in Kali enthalten) unterscheidet sich von den meisten DDOS-Tools dadurch, dass es keine Internetbandbreite verwendet und von einem einzelnen Computer aus verwendet werden kann. THC-SSL-DOS nutzt die Schwachstelle des SSL-Protokolls aus und ist in der Lage, den Zielserver „auszuschalten“. Es sei denn natürlich, diese Schwachstelle existiert darauf. Sie können das Programm von der THC-Website herunterladen oder KALI Linux verwenden, wo dieses Tool bereits installiert ist.

14. DDOSIM – Schicht-7-DDoS-Emulator

An dieser Stelle endet unser Testbericht, aber in Zukunft werden wir auf den Seiten unseres Blogs auf das Thema DDoS-Angriffe zurückkommen.

Ein DDoS-Angriff (Distributed Denial of Service Attack) ist eine Reihe von Aktionen, die eine Internetressource vollständig oder teilweise deaktivieren können. Nahezu jede Internetressource kann als Opfer fungieren, z. B. eine Website, ein Spieleserver oder eine Regierungsressource. Derzeit ist es für einen Hacker praktisch unmöglich, alleine einen DDoS-Angriff zu organisieren. In den meisten Fällen verwendet ein Angreifer ein Netzwerk von Computern, die mit einem Virus infiziert sind. Der Virus ermöglicht Ihnen den notwendigen und ausreichenden Fernzugriff auf den infizierten Computer. Ein Netzwerk aus solchen Computern wird als Botnet bezeichnet. Botnetze haben in der Regel einen koordinierenden Server. Bei der Entscheidung, einen Angriff durchzuführen, sendet der Angreifer einen Befehl an den koordinierenden Server, der wiederum allen ein Signal gibt, mit der Ausführung bösartiger Netzwerkanfragen zu beginnen.

Gründe für DDoS-Angriffe

• Persönliche Feindseligkeit

Dieser Grund ist ziemlich häufig. Vor einiger Zeit enthüllte der unabhängige Forschungsjournalist Brian Krebs die Aktivitäten des größten Dienstes für benutzerdefinierte DDoS-Angriffe – vDOS. Die Informationen wurden ausführlich präsentiert, was zur Verhaftung der Organisatoren dieses Dienstes führte. Als Reaktion darauf organisierten die Hacker einen Angriff auf den Blog des Journalisten, dessen Leistung 1 Tbps erreichte. Dieser Angriff wurde der mächtigste der Welt seit allen Jahren.

• Unterhaltung

Heutzutage wird es immer einfacher, selbst einen primitiven DDoS-Angriff zu organisieren. Ein solcher Angriff wäre äußerst unvollkommen und nicht anonym. Leider sind sich die meisten von denen, die sich als „Hacker“ fühlen, weder des ersten noch des zweiten bewusst. Viele Studenten üben jedoch häufig DDoS-Angriffe. Der Ausgang solcher Fälle ist sehr unterschiedlich.

• Politischer Protest (Hacktivismus)

Einer der ersten sozialen Angriffe war ein DDoS-Angriff, der 1996 vom Omega-Hacker implementiert wurde. Omega war Mitglied der Hackerkoalition Cult of the Dead Crew (cDc). Der Begriff Hacktivismus ist in den Medien aufgrund der zunehmenden Häufigkeit von Cyberangriffen mit sozialer Basis populär geworden. Typische Vertreter von Hacktivisten sind Anonymous und LulzSec.

• Unfairer Wettbewerb

Solche Motive kommen häufig in der Gaming-Server-Branche vor, aber im Einzelhandel sind solche Fälle durchaus üblich. Ein ziemlich wirksames Mittel des unlauteren Wettbewerbs, das den Ruf der Handelsplattform zerstören kann, wenn sich ihre Eigentümer nicht rechtzeitig an Spezialisten wenden, um Hilfe zu erhalten. Ein solches Motiv kann von den anderen als das häufigste unterschieden werden.

• Erpressung oder Erpressung

In diesem Fall verlangt der Angreifer vom potentiellen Opfer einen Geldbetrag für die unterlassene Ausführung des Angriffs. Oder damit aufzuhören. Große Organisationen werden oft Opfer solcher Angriffe, zum Beispiel wurden 2014 die Tinkoff Bank und die IT-Ressource Habrahabr, der größte Torrent-Tracker Rutracker.org angegriffen (wie war es?).

Folgen von DDoS-Angriffen

Die Folgen von DDoS-Angriffen können sehr vielfältig sein, vom Herunterfahren Ihres Servers durch das Rechenzentrum bis hin zum vollständigen Verlust der Reputation des Ressourcen- und Client-Flows. Viele Organisationen entscheiden sich unbewusst für skrupellose Sicherheitsanbieter, um Geld zu sparen, was oft keinen Nutzen bringt. Um solche Probleme zu vermeiden, empfehlen wir Ihnen, sich an Fachleute aus Ihrer Branche zu wenden.

Angriffe, die Internetgeschichte geschrieben haben

Der technologische Fortschritt schreitet sprunghaft voran und die Angreifer wiederum bemühen sich, nicht stehen zu bleiben und immer komplexere und mächtigere Angriffe durchzuführen. Wir haben eine kurze Beschreibung der interessantesten Fälle zusammengestellt, die in die Geschichte von DDoS-Angriffen eingegangen sind. Einige von ihnen mögen nach heutigen Maßstäben gewöhnlich erscheinen, aber zu der Zeit, als sie stattfanden, waren es sehr groß angelegte Angriffe.

Ping der Toten. Eine Angriffsmethode, die auf der Verwendung des Ping-Befehls basiert. Dieser Angriff gewann in den 1990er Jahren aufgrund der Unvollkommenheit der Netzwerkausrüstung an Popularität. Der Kern des Angriffs besteht darin, eine einzelne Ping-Anfrage an den Netzwerkhost zu senden, während der Paketkörper nicht die standardmäßigen 64 Byte an Daten enthält, sondern 65535 Byte. Beim Empfang eines solchen Pakets überlief das Gerät den Netzwerkstapel, was zu einem Denial-of-Service führte.

Ein Angriff, der die Stabilität des Internets beeinträchtigte. Im Jahr 2013 wurde Spamhaus Opfer eines 280-Gbit/s-Angriffs. Das Interessanteste dabei ist, dass die Hacker für den Angriff DNS-Server aus dem Internet nutzten, die wiederum mit sehr vielen Anfragen sehr belastet waren. An diesem Tag beschwerten sich Millionen von Benutzern über langsam ladende Seiten aufgrund von Dienstüberlastung.

Rekordverdächtiger Angriff mit Datenverkehr über 1 Tbit/s. Im Jahr 2016 versuchten Hacker, uns mit einem Burst-Angriff mit 360 Mpps und 1 Tbps anzugreifen. Diese Zahl ist zu einem Rekord für die Existenz des Internets geworden. Aber selbst bei einem solchen Angriff haben wir widerstanden und die Belastung des Netzwerks hat die freien Ressourcen der Netzwerkgeräte nur geringfügig eingeschränkt.

Merkmale von Angriffen heute

Abgesehen von Spitzenangriffen können wir sagen, dass die Stärke der Angriffe jedes Jahr um mehr als das 3-4-fache zunimmt. Die Geographie der Angreifer ändert sich von Jahr zu Jahr nur teilweise, da dies an der maximalen Anzahl von Computern in einem bestimmten Land liegt. Wie aus dem von unseren Experten erstellten Quartalsbericht 2016 hervorgeht, sind Russland, die USA und China die Rekordländer in Bezug auf die Zahl der Bots.

Was sind DDoS-Angriffe?

Derzeit lassen sich die Angriffsarten in 3 Klassen einteilen:

Channel Flooding-Angriffe

Diese Angriffsart umfasst , und ;

Angriffe, die Schwachstellen im Netzwerkprotokollstapel ausnutzen

Die beliebtesten und interessantesten Angriffe dieser Art sind , / attack,

Warum uns wählen? Unsere Ausrüstung befindet sich in den wichtigsten Rechenzentren der Welt und kann Angriffe mit bis zu 300 Gbit/s oder 360 Millionen Paketen pro Sekunde abwehren. Wir haben auch ein Content Delivery Network () und einen Stab von Technikern, die im Falle eines nicht standardmäßigen Angriffs oder in Notsituationen im Einsatz sind. Wenn Sie also unter den Schutz von uns geraten sind, können Sie sicher sein, dass Ihre Ressource rund um die Uhr verfügbar ist. Uns vertrauen: REG.RU, Arguments and Facts, WebMoney, die russische Radioholding GPM und andere Unternehmen.

Nur gegen eine kleine Anzahl von Angriffen können Sie sich selbst schützen, indem Sie Verkehrsanalysen verwenden oder Routing-Regeln einrichten. Möglichkeiten zum Schutz vor einigen Angriffen werden angegeben.