Τι είναι μια επίθεση ddos. Επίθεση DDoS: τι είναι, πώς λειτουργεί και αν είναι δυνατόν να προστατευτείτε

Σε ένα υπολογιστικό σύστημα για να το φέρει σε αστοχία, δηλαδή τη δημιουργία τέτοιων συνθηκών υπό τις οποίες οι νόμιμοι (νόμιμοι) χρήστες του συστήματος δεν μπορούν να έχουν πρόσβαση στους πόρους (διακομιστές) που παρέχει το σύστημα, ή αυτή η πρόσβαση είναι δύσκολη. Η αποτυχία του συστήματος «εχθρού» μπορεί επίσης να είναι ένα βήμα προς την κυριαρχία του συστήματος (εάν σε περίπτωση έκτακτης ανάγκης το λογισμικό παρέχει κρίσιμες πληροφορίες - για παράδειγμα, έκδοση, μέρος του κώδικα προγράμματος κ.λπ.). Αλλά πιο συχνά είναι ένα μέτρο οικονομικής πίεσης: ο χρόνος διακοπής μιας υπηρεσίας που δημιουργεί έσοδα, οι λογαριασμοί από τον πάροχο και τα μέτρα για την αποφυγή επίθεσης χτυπούν σημαντικά τον «στόχο» στην τσέπη.

Αν μια επίθεση πραγματοποιείται ταυτόχρονα από μεγάλο αριθμό υπολογιστών, μιλάμε για Επίθεση DDoS(από τα Αγγλικά. Κατανεμημένη άρνηση υπηρεσίας, κατανεμημένη επίθεση άρνησης υπηρεσίας). Σε ορισμένες περιπτώσεις, μια ακούσια ενέργεια οδηγεί σε μια πραγματική επίθεση DDoS, για παράδειγμα, η τοποθέτηση ενός συνδέσμου σε έναν δημοφιλές πόρο του Διαδικτύου σε έναν ιστότοπο που φιλοξενείται σε έναν όχι πολύ παραγωγικό διακομιστή (εφέ κουκκίδας). Μια μεγάλη εισροή χρηστών οδηγεί σε υπέρβαση του επιτρεπόμενου φορτίου στον διακομιστή και, κατά συνέπεια, σε άρνηση εξυπηρέτησης ορισμένων από αυτούς.

Τύποι επιθέσεων DoS

Υπάρχουν διάφοροι λόγοι για τους οποίους μπορεί να εμφανιστεί μια κατάσταση DoS:

• Λάθοςστον κώδικα προγράμματος, με αποτέλεσμα την πρόσβαση σε ένα αχρησιμοποίητο τμήμα του χώρου διευθύνσεων, την εκτέλεση μιας μη έγκυρης εντολής ή άλλη μη χειριζόμενη εξαίρεση όταν το πρόγραμμα διακομιστή διακόπτεται - το πρόγραμμα διακομιστή. Ένα κλασικό παράδειγμα είναι η μηδενική αναφορά. μηδενικό) διεύθυνση.
• Ανεπαρκής επικύρωση των δεδομένων χρήστη, που οδηγεί σε άπειρο ή μεγάλο κύκλο ή αυξημένη μακροπρόθεσμη κατανάλωση πόρων επεξεργαστή (μέχρι την εξάντληση των πόρων του επεξεργαστή) ή στην κατανομή μεγάλης ποσότητας μνήμης RAM (μέχρι την εξάντληση της διαθέσιμης μνήμης).
• πλημμύρα(Αγγλικά) πλημμύρα- "flood", "overflow") - μια επίθεση που σχετίζεται με μεγάλο αριθμό συνήθως ανούσιων ή εσφαλμένα μορφοποιημένων αιτημάτων σε σύστημα υπολογιστή ή εξοπλισμό δικτύου, που έχει ως στόχο ή οδήγησε σε αποτυχία συστήματος λόγω εξάντλησης των πόρων του συστήματος - τον επεξεργαστή, τη μνήμη ή τα κανάλια επικοινωνίας.
• Επίθεση δεύτερου είδους- μια επίθεση που επιδιώκει να προκαλέσει ψευδή συναγερμό του συστήματος προστασίας και έτσι να οδηγήσει στη μη διαθεσιμότητα του πόρου.

Εάν μια επίθεση (συνήθως μια πλημμύρα) πραγματοποιείται ταυτόχρονα από μεγάλο αριθμό διευθύνσεων IP - από διάφορους υπολογιστές διασκορπισμένους στο δίκτυο - τότε σε αυτή την περίπτωση ονομάζεται διανέμονταιεπίθεση άρνησης υπηρεσίας ( DDoS).

Εκμετάλλευση σφαλμάτων

Εκμεταλλεύομαιαναφέρεται σε ένα πρόγραμμα, ένα κομμάτι κώδικα προγράμματος ή μια ακολουθία εντολών προγράμματος που εκμεταλλεύονται τρωτά σημεία στο λογισμικό και χρησιμοποιούνται για να επιτεθούν σε ένα σύστημα του κυβερνοχώρου. Από τα exploits που οδηγούν σε επίθεση DoS, αλλά είναι ακατάλληλα, για παράδειγμα, για την κατάληψη του ελέγχου ενός «εχθρικού» συστήματος, τα πιο διάσημα είναι το WinNuke και το Ping of death (Ping of death).

πλημμύρα

Για τις πλημμύρες ως παραβίαση του εθιμοτυπικού, βλέπε πλημμύρα.

πλημμύρακαλούν ένα τεράστιο ρεύμα ανούσιων αιτημάτων από διαφορετικούς υπολογιστές προκειμένου να πάρουν το «εχθρικό» σύστημα (επεξεργαστή, μνήμη RAM ή κανάλι επικοινωνίας) και έτσι να το απενεργοποιήσουν προσωρινά. Η έννοια της "επίθεσης DDoS" είναι σχεδόν ισοδύναμη με την έννοια της "πλημμύρας" και στην καθημερινή ζωή και οι δύο είναι συχνά εναλλάξιμες ("flood the server" = "DDoS'it the server").

Για να δημιουργήσετε μια πλημμύρα, μπορούν να χρησιμοποιηθούν τόσο συνηθισμένα βοηθητικά προγράμματα δικτύου, όπως το ping (αυτό είναι γνωστό, για παράδειγμα, η κοινότητα Διαδικτύου " Upyachka"), όσο και ειδικά προγράμματα. Η δυνατότητα DDoS συχνά «ράβεται» σε botnet. Εάν εντοπιστεί μια ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών ή η δυνατότητα συμπερίληψης εικόνων από άλλους πόρους σε έναν ιστότοπο με υψηλή επισκεψιμότητα, αυτός ο ιστότοπος μπορεί επίσης να χρησιμοποιηθεί για επίθεση DDoS.

Κανάλι επικοινωνίας και πλημμύρα υποσυστήματος TCP

Κάθε υπολογιστής που επικοινωνεί με τον έξω κόσμο μέσω του πρωτοκόλλου TCP/IP υπόκειται σε αυτούς τους τύπους πλημμυρών:

• SYN flood - με αυτόν τον τύπο επίθεσης πλημμύρας, ένας μεγάλος αριθμός πακέτων SYN αποστέλλεται στον κόμβο που δέχεται επίθεση μέσω του πρωτοκόλλου TCP (αιτήματα για άνοιγμα σύνδεσης). Ταυτόχρονα, μετά από σύντομο χρονικό διάστημα, ο αριθμός των διαθέσιμων υποδοχών για άνοιγμα (υποδοχές δικτύου λογισμικού, θύρες) εξαντλείται στον υπολογιστή που δέχεται επίθεση και ο διακομιστής σταματά να ανταποκρίνεται.
• Πλημμύρα UDP - αυτός ο τύπος πλημμύρας δεν επιτίθεται στον υπολογιστή-στόχο, αλλά στο κανάλι επικοινωνίας του. Οι πάροχοι εύλογα υποθέτουν ότι τα πακέτα UDP πρέπει να παραδοθούν πρώτα, ενώ το TCP μπορεί να περιμένει. Ένας μεγάλος αριθμός πακέτων UDP διαφορετικών μεγεθών φράζει το κανάλι επικοινωνίας και ο διακομιστής που λειτουργεί μέσω του πρωτοκόλλου TCP σταματά να ανταποκρίνεται.
• ICMP flood - το ίδιο πράγμα, αλλά με τη βοήθεια πακέτων ICMP.

Πλημμύρα στρώματος εφαρμογής

Πολλές υπηρεσίες έχουν σχεδιαστεί με τέτοιο τρόπο ώστε ένα μικρό αίτημα μπορεί να προκαλέσει μεγάλη κατανάλωση υπολογιστικής ισχύος στον διακομιστή. Σε αυτήν την περίπτωση, δεν δέχεται επίθεση το κανάλι επικοινωνίας ή το υποσύστημα TCP, αλλά η ίδια η υπηρεσία (υπηρεσία) - μια πλημμύρα τέτοιων «αρρωστικών» αιτημάτων. Για παράδειγμα, οι διακομιστές ιστού είναι ευάλωτοι σε πλημμύρες HTTP - είτε ένα απλό GET / είτε ένα σύνθετο ερώτημα βάσης δεδομένων όπως το GET /index.php?search= μπορεί να χρησιμοποιηθεί για την απενεργοποίηση ενός διακομιστή ιστού<случайная строка> .

Ανίχνευση επιθέσεων DoS

Υπάρχει η άποψη ότι δεν απαιτούνται ειδικά εργαλεία για τον εντοπισμό επιθέσεων DoS, καθώς το γεγονός μιας επίθεσης DoS δεν μπορεί να αγνοηθεί. Σε πολλές περιπτώσεις αυτό ισχύει. Ωστόσο, επιτυχείς επιθέσεις DoS παρατηρήθηκαν αρκετά συχνά, οι οποίες παρατηρήθηκαν από τα θύματα μόνο μετά από 2-3 ημέρες. Συνέβη ότι οι αρνητικές συνέπειες μιας επίθεσης ( πλημμύρα-επιθέσεις) οδήγησαν σε υπερβολικό κόστος για την πληρωμή της υπερβολικής κίνησης στο Διαδίκτυο, το οποίο διαπιστώθηκε μόνο κατά τη λήψη τιμολογίου από έναν πάροχο Διαδικτύου. Επιπλέον, πολλές μέθοδοι ανίχνευσης εισβολής είναι αναποτελεσματικές κοντά στον στόχο της επίθεσης, αλλά είναι αποτελεσματικές σε κορμούς δικτύου. Σε αυτήν την περίπτωση, καλό είναι να εγκαταστήσετε συστήματα ανίχνευσης ακριβώς εκεί και να μην περιμένετε έως ότου ο χρήστης που έχει δεχτεί επίθεση το αντιληφθεί ο ίδιος και ζητήσει βοήθεια. Επιπλέον, για να αντιμετωπιστούν αποτελεσματικά οι επιθέσεις DoS, είναι απαραίτητο να γνωρίζουμε τον τύπο, τη φύση και άλλα χαρακτηριστικά των επιθέσεων DoS και τα συστήματα ανίχνευσης καθιστούν δυνατή τη γρήγορη απόκτηση αυτών των πληροφοριών.

Οι μέθοδοι ανίχνευσης επιθέσεων DoS μπορούν να χωριστούν σε πολλές μεγάλες ομάδες:

• υπογραφή - με βάση μια ποιοτική ανάλυση της κυκλοφορίας.
• στατιστική - με βάση μια ποσοτική ανάλυση της κίνησης.
• υβριδικό (συνδυασμένο) - συνδυάζοντας τα πλεονεκτήματα και των δύο παραπάνω μεθόδων.

Προστασία DoS

Τα μέτρα για την αντιμετώπιση των επιθέσεων DoS μπορούν να χωριστούν σε παθητικά και ενεργητικά, καθώς και σε προληπτικά και αντιδραστικά.

Παρακάτω είναι μια σύντομη λίστα με τις κύριες μεθόδους.

• Πρόληψη.Πρόληψη των λόγων που ωθούν ορισμένα άτομα να οργανώσουν και να αναλάβουν επιθέσεις DoS. (Πολύ συχνά, οι κυβερνοεπιθέσεις γενικά είναι αποτέλεσμα προσωπικών παραπόνων, πολιτικών, θρησκευτικών και άλλων διαφωνιών, προκλητικής συμπεριφοράς του θύματος κ.λπ.)
• Φιλτράρισμα και μαύρη τρύπα.Αποκλεισμός κυκλοφορίας από επιτιθέμενες μηχανές. Η αποτελεσματικότητα αυτών των μεθόδων μειώνεται όσο πλησιάζετε πιο κοντά στο αντικείμενο της επίθεσης και αυξάνεται όσο πλησιάζετε πιο κοντά στη μηχανή επίθεσης.
• Αντίστροφη DDOS- ανακατεύθυνση της κυκλοφορίας που χρησιμοποιείται για την επίθεση στον εισβολέα.
• Εξάλειψη των τρωτών σημείων.Δεν λειτουργεί ενάντια πλημμύρα-επιθέσεις για τις οποίες "τρωτότητα" είναι το πεπερασμένο ορισμένων πόρων του συστήματος.
• Αύξηση πόρων.Φυσικά, δεν παρέχει απόλυτη προστασία, αλλά είναι ένα καλό υπόβαθρο για την εφαρμογή άλλων τύπων προστασίας από επιθέσεις DoS.
• Διασκορπισμός.Δημιουργία κατανεμημένων και αντιγράφων συστημάτων που δεν θα σταματήσουν να εξυπηρετούν τους χρήστες, ακόμη και αν ορισμένα από τα στοιχεία τους δεν είναι διαθέσιμα λόγω επίθεσης DoS.
• Υπεκφυγή.Μετακίνηση του άμεσου στόχου της επίθεσης (όνομα τομέα ή διεύθυνση IP) μακριά από άλλους πόρους που συχνά επηρεάζονται επίσης μαζί με τον άμεσο στόχο της επίθεσης.
• Ενεργή ανταπόκριση.Επιπτώσεις στις πηγές, στον διοργανωτή ή στο κέντρο ελέγχου της επίθεσης, τόσο με ανθρωπογενή όσο και με οργανωτικά και νομικά μέσα.
• Χρήση εξοπλισμού για την απόκρουση επιθέσεων DoS.Για παράδειγμα DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® και άλλοι κατασκευαστές.
• Απόκτηση υπηρεσίας προστασίας από επιθέσεις DoS.Πραγματική σε περίπτωση υπέρβασης του εύρους ζώνης του καναλιού δικτύου από την πλημμύρα.

δείτε επίσης

Σημειώσεις

Βιβλιογραφία

• Κρις ΚάσπερσκιΙοί υπολογιστών μέσα και έξω. - Πέτρος. - Αγία Πετρούπολη. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik.Ανάλυση τυπικών παραβιάσεων ασφαλείας σε δίκτυα = Υπογραφές εισβολής και ανάλυση. - New Riders Publishing (Αγγλικά) Αγία Πετρούπολη: Williams Publishing House (ρωσικά), 2001. - Σ. 464. - ISBN 5-8459-0225-8 (ρωσικά), 0-7357-1063-5 (Αγγλικά)
• Morris, R.T.= Αδυναμία στο λογισμικό 4.2BSD Unix TCP/IP. - Τεχνική Έκθεση Επιστήμης Υπολογιστών Αρ.117. - AT&T Bell Laboratories, Φεβρουάριος 1985.
• Bellovin, S.M.= Προβλήματα ασφαλείας στη σουίτα πρωτοκόλλων TCP/IP. - Computer Communication Review, Vol. 19, Νο.2. - AT&T Bell Laboratories, Απρίλιος 1989.
• = daemon9 / διαδρομή / άπειρο "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, Ιούλιος 1996.
• = daemon9 / διαδρομή / άπειρο "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, Ιούλιος 1996.

Συνδέσεις

• Επίθεση DoSστον κατάλογο συνδέσμων έργου Open Directory (

Όλο και περισσότερο, στα επίσημα μηνύματα των παρόχων φιλοξενίας, εδώ κι εκεί, τρεμοπαίζουν οι αναφορές για ανακλώμενες επιθέσεις DDoS. Όλο και περισσότερο, οι χρήστες, έχοντας ανακαλύψει τη μη διαθεσιμότητα του ιστότοπού τους, αναλαμβάνουν αμέσως DDoS. Πράγματι, στις αρχές Μαρτίου, το Runet γνώρισε ένα ολόκληρο κύμα τέτοιων επιθέσεων. Παράλληλα, οι ειδικοί διαβεβαιώνουν ότι η διασκέδαση μόλις αρχίζει. Είναι απλά αδύνατο να αγνοήσουμε ένα φαινόμενο τόσο επίκαιρο, τρομερό και ενδιαφέρον. Ας μιλήσουμε λοιπόν σήμερα για τους μύθους και τα γεγονότα σχετικά με το DDoS. Από την πλευρά του παρόχου φιλοξενίας, φυσικά.

ημέρα μνήμης

Στις 20 Νοεμβρίου 2013, για πρώτη φορά στην 8χρονη ιστορία της εταιρείας μας, ολόκληρος ο τεχνικός ιστότοπος δεν ήταν διαθέσιμος για αρκετές ώρες λόγω μιας άνευ προηγουμένου επίθεσης DDoS. Δεκάδες χιλιάδες πελάτες μας σε όλη τη Ρωσία και την ΚΑΚ έχουν υποφέρει, για να μην αναφέρουμε εμάς και τον πάροχο Διαδικτύου μας. Το τελευταίο πράγμα που κατάφερε να διορθώσει ο πάροχος πριν εξαφανιστεί το λευκό φως για όλους ήταν ότι τα κανάλια εισόδου του ήταν φραγμένα με την εισερχόμενη κίνηση. Για να το οραματιστείτε αυτό, φανταστείτε την μπανιέρα σας με έναν συνηθισμένο νεροχύτη, στον οποίο έσπευσαν οι καταρράκτες του Νιαγάρα.

Ακόμη και οι ανάντη πάροχοι έχουν αισθανθεί τον απόηχο αυτού του τσουνάμι. Τα παρακάτω γραφήματα απεικονίζουν ξεκάθαρα τι συνέβη εκείνη την ημέρα με την κυκλοφορία του Διαδικτύου στην Αγία Πετρούπολη και στη Ρωσία. Προσοχή στις απότομες κορυφές στις 15:00 και στις 18:00, ακριβώς όταν καταγράψαμε τις επιθέσεις. Σε αυτά τα ξαφνικά συν 500-700 GB.

Χρειάστηκαν αρκετές ώρες για να εντοπιστεί η επίθεση. Υπολογίστηκε ο διακομιστής στον οποίο στάλθηκε. Στη συνέχεια υπολογίστηκε ο σκοπός των τρομοκρατών του Διαδικτύου. Ξέρεις ποιον χτύπησε όλο αυτό το εχθρικό πυροβολικό; Ένας πολύ συνηθισμένος, μέτριος ιστότοπος πελατών το καθένα.

Μύθος νούμερο ένα: «Το αντικείμενο της επίθεσης είναι πάντα ο πάροχος φιλοξενίας. Αυτές είναι οι μηχανορραφίες των ανταγωνιστών του. Δεν είναι δικό μου." Στην πραγματικότητα, ο πιο πιθανός στόχος για τρομοκράτες του Διαδικτύου είναι ένας ιστότοπος τακτικού πελάτη. Δηλαδή, ο ιστότοπος ενός από τους γείτονές σας που φιλοξενεί. Και ίσως και το δικό σου.

Όχι όλα τα DDoS...

Μετά τα γεγονότα στον τεχνικό μας ιστότοπο στις 20 Νοεμβρίου 2013 και τη μερική τους επανάληψη στις 9 Ιανουαρίου 2014, ορισμένοι χρήστες άρχισαν να αναλαμβάνουν DDoS σε οποιαδήποτε συγκεκριμένη αποτυχία του δικού τους ιστότοπου: "Αυτό είναι DDoS!" και "Έχετε ξανά DDoS;"

Είναι σημαντικό να θυμόμαστε ότι εάν υποστούμε ένα τέτοιο DDoS που το νιώθουν ακόμη και οι πελάτες, το αναφέρουμε αμέσως μόνοι μας.

Θέλουμε να καθησυχάσουμε όσους βιάζονται να πανικοβληθούν: αν κάτι δεν πάει καλά με τον ιστότοπό σας, τότε η πιθανότητα να πρόκειται για DDoS είναι μικρότερη από 1%. Απλά λόγω του γεγονότος ότι πολλά πράγματα μπορούν να συμβούν στον ιστότοπο και αυτά τα «πολλά πράγματα» συμβαίνουν πολύ πιο συχνά. Θα μιλήσουμε για μεθόδους αυτόματης γρήγορης διάγνωσης του τι ακριβώς συμβαίνει με τον ιστότοπό σας σε μία από τις παρακάτω αναρτήσεις.

Στο μεταξύ -για λόγους ακρίβειας χρήσης λέξεων- ας ξεκαθαρίσουμε τους όρους.

Σχετικά με τους όρους

Επίθεση DoS (από Αγγλικά Denial of Service) - Αυτή είναι μια επίθεση που έχει σχεδιαστεί για να προκαλέσει την άρνηση υπηρεσίας ενός διακομιστή λόγω υπερφόρτωσης.

Οι επιθέσεις DoS δεν σχετίζονται με ζημιά εξοπλισμού ή κλοπή πληροφοριών. στόχο τους - κάντε τον διακομιστή να σταματήσει να ανταποκρίνεται. Η θεμελιώδης διαφορά μεταξύ του DoS είναι ότι η επίθεση συμβαίνει από το ένα μηχάνημα στο άλλο. Οι συμμετέχοντες είναι ακριβώς δύο.

Αλλά στην πραγματικότητα, πρακτικά δεν παρατηρούμε επιθέσεις DoS. Γιατί; Επειδή τα αντικείμενα των επιθέσεων είναι τις περισσότερες φορές βιομηχανικά αντικείμενα (για παράδειγμα, ισχυροί παραγωγικοί διακομιστές εταιρειών φιλοξενίας). Και για να προκληθεί οποιαδήποτε αισθητή βλάβη στη λειτουργία ενός τέτοιου μηχανήματος, χρειάζεται πολύ περισσότερη ισχύς από τη δική του. Αυτό είναι το πρώτο. Και δεύτερον, ο εκκινητής μιας επίθεσης DoS είναι αρκετά εύκολος να υπολογιστεί.

DDoS - ουσιαστικά το ίδιο με το DoS, μόνο η επίθεση είναι κατανεμημένη φύση.Όχι πέντε, ούτε δέκα, ούτε είκοσι, αλλά εκατοντάδες και χιλιάδες υπολογιστές έχουν πρόσβαση σε έναν διακομιστή ταυτόχρονα από διαφορετικά μέρη. Ένας τέτοιος στρατός μηχανών λέγεται botnet. Είναι σχεδόν αδύνατο να υπολογίσεις τον πελάτη και τον διοργανωτή.

συνένοχοι

Τι είδους υπολογιστές περιλαμβάνονται στο botnet;

Θα εκπλαγείτε, αλλά συχνά αυτές είναι οι πιο συνηθισμένες οικιακές μηχανές. Ποιός ξέρει?.. - πολύ πιθανόν τον οικιακό σας υπολογιστή τραβηγμένο στην πλευρά του κακού.

Χρειάζεται λίγο για αυτό. Ένας εισβολέας βρίσκει μια ευπάθεια σε ένα δημοφιλές λειτουργικό σύστημα ή εφαρμογή και τη χρησιμοποιεί για να μολύνει τον υπολογιστή σας με έναν Trojan που, μια συγκεκριμένη ημέρα και ώρα, δίνει εντολή στον υπολογιστή σας να ξεκινήσει να εκτελεί συγκεκριμένες ενέργειες. Για παράδειγμα, στείλτε αιτήματα σε μια συγκεκριμένη IP. Χωρίς τη δική σας γνώση και συμμετοχή φυσικά.

Μύθος νούμερο δύο: « Το DDoS γίνεται κάπου μακριά μου, σε ένα ειδικό υπόγειο καταφύγιο όπου κάθονται γενειοφόροι χάκερ με κόκκινα μάτια. Στην πραγματικότητα, χωρίς να το ξέρετε, εσείς, οι φίλοι και οι γείτονές σας - ο καθένας μπορεί να είναι άθελά του συνεργός.

Αυτό πραγματικά συμβαίνει. Ακόμα κι αν δεν το σκέφτεσαι. Ακόμα κι αν είσαι τρομερά μακριά από το IT (ειδικά αν είσαι μακριά από το IT!).

Διασκεδαστικό hacking ή μηχανικοί DDoS

Το φαινόμενο DDoS είναι ετερογενές. Αυτή η ιδέα συνδυάζει πολλές επιλογές για ενέργειες που οδηγούν σε ένα αποτέλεσμα (άρνηση υπηρεσίας). Εξετάστε τις επιλογές για τα προβλήματα που μπορούν να μας φέρουν τα DDoSers.

Υπερκατανάλωση υπολογιστικών πόρων διακομιστή

Αυτό γίνεται με την αποστολή πακέτων σε μια συγκεκριμένη IP, η επεξεργασία της οποίας απαιτεί μεγάλο όγκο πόρων. Για παράδειγμα, για να φορτώσετε μια σελίδα, πρέπει να εκτελέσετε μεγάλο αριθμό ερωτημάτων SQL. Όλοι οι εισβολείς θα ζητήσουν τη συγκεκριμένη σελίδα, η οποία θα προκαλέσει υπερφόρτωση διακομιστή και άρνηση παροχής υπηρεσιών για τους κανονικούς, νόμιμους επισκέπτες του ιστότοπου.
Αυτή είναι μια επίθεση επιπέδου ενός μαθητή που έχει αφιερώσει μερικά βράδια στο να διαβάζει το περιοδικό Hacker. Δεν είναι πρόβλημα. Η ίδια διεύθυνση URL που ζητήθηκε υπολογίζεται αμέσως, μετά την οποία η πρόσβαση σε αυτήν αποκλείεται σε επίπεδο διακομιστή ιστού. Και αυτή είναι μόνο μία από τις λύσεις.

Υπερφόρτωση των καναλιών επικοινωνίας στον διακομιστή (προς την έξοδο)

Το επίπεδο δυσκολίας αυτής της επίθεσης είναι περίπου το ίδιο με την προηγούμενη. Ο εισβολέας υπολογίζει τη βαρύτερη σελίδα στον ιστότοπο και το botnet υπό τον έλεγχό του αρχίζει να το ζητά μαζικά.

Φανταστείτε ότι το μέρος του Winnie the Pooh που είναι αόρατο σε εμάς είναι απείρως μεγάλο
Σε αυτήν την περίπτωση, είναι επίσης πολύ εύκολο να καταλάβετε τι ακριβώς φράζει το εξερχόμενο κανάλι και να απαγορεύσετε την πρόσβαση σε αυτήν τη σελίδα. Τα αιτήματα του ίδιου τύπου είναι εύκολα ορατά με τη βοήθεια ειδικών βοηθητικών προγραμμάτων που σας επιτρέπουν να δείτε τη διεπαφή δικτύου και να αναλύσετε την κίνηση. Στη συνέχεια γράφεται ένας κανόνας για το Τείχος προστασίας, ο οποίος αποκλείει τέτοια αιτήματα. Όλα αυτά γίνονται τακτικά, αυτόματα και τόσο αστραπιαία που Οι περισσότεροι χρήστες δεν γνωρίζουν καμία επίθεση.

Μύθος νούμερο τρία: "ΕΝΑ Ωστόσο, σπάνια επισκέπτονται συχνά τη φιλοξενία μου και πάντα τους παρατηρώ.” Στην πραγματικότητα, το 99,9% των επιθέσεων δεν βλέπετε ούτε αισθάνεστε. Αλλά ο καθημερινός αγώνας μαζί τους - αυτή είναι η καθημερινή δουλειά ρουτίνας μιας εταιρείας φιλοξενίας. Αυτή είναι η πραγματικότητά μας, στην οποία η επίθεση είναι φθηνή, ο ανταγωνισμός είναι εκτός τσαρτ και δεν επιδεικνύουν όλοι αναγνωσιμότητα στις μεθόδους μάχης για μια θέση στον ήλιο.

Υπερφόρτωση των καναλιών επικοινωνίας στον διακομιστή (στην είσοδο)

Αυτό είναι ήδη ένα παζλ για όσους διαβάζουν το περιοδικό Hacker για περισσότερες από μία μέρες.

Φωτογραφία από την ιστοσελίδα του ραδιοφώνου «Ηχώ της Μόσχας». Δεν βρήκαν τίποτα πιο ενδεικτικό για να αναπαραστήσουν το DDoS με υπερφόρτωση καναλιού στην είσοδο.
Για να γεμίσετε το κανάλι με εισερχόμενη επισκεψιμότητα, πρέπει να έχετε ένα botnet, η ισχύς του οποίου σας επιτρέπει να δημιουργήσετε την απαιτούμενη ποσότητα επισκεψιμότητας. Αλλά μήπως υπάρχει τρόπος να χαρίσετε λίγη κίνηση και να κερδίσετε πολλά;

Υπάρχει, και όχι ένα. Υπάρχουν πολλές επιλογές για την ενίσχυση της επίθεσης, αλλά μια από τις πιο δημοφιλείς αυτή τη στιγμή είναι επίθεση μέσω δημόσιων διακομιστών DNS.Οι ειδικοί ονομάζουν αυτή τη μέθοδο ενίσχυσης Ενίσχυση DNS(σε περίπτωση που κάποιος προτιμά ειδικούς όρους). Και αν είναι πιο απλό, τότε φανταστείτε μια χιονοστιβάδα: αρκεί μια μικρή προσπάθεια για να τη σπάσει και απάνθρωποι πόροι για να τη σταματήσουν.

Εσύ κι εγώ το ξέρουμε δημόσιος διακομιστής DNSκατόπιν αιτήματος, ενημερώνει όποιον θέλει δεδομένα για οποιοδήποτε όνομα τομέα. Για παράδειγμα, ρωτάμε έναν τέτοιο διακομιστή: πείτε μου για τον τομέα sprinthost.ru. Και αυτός, χωρίς δισταγμό, μας πετάει ό,τι ξέρει.

Το ερώτημα σε έναν διακομιστή DNS είναι μια πολύ απλή λειτουργία. Δεν κοστίζει σχεδόν τίποτα να επικοινωνήσετε μαζί του, το αίτημα θα είναι μικροσκοπικό. Για παράδειγμα, όπως αυτό:

Απομένει μόνο να επιλέξετε ένα όνομα τομέα, οι πληροφορίες για το οποίο θα είναι ένα εντυπωσιακό πακέτο δεδομένων. Έτσι τα αρχικά 35 byte με μια ελαφριά κίνηση του χεριού μετατρέπονται σε σχεδόν 3700. Υπάρχει αύξηση πάνω από 10 φορές.

Αλλά πώς να βεβαιωθείτε ότι η απόκριση κατευθύνεται στη σωστή IP; Πώς να πλαστογραφήσει την IP προέλευσης του αιτήματος, ώστε ο διακομιστής DNS να εκδώσει τις απαντήσεις του προς την κατεύθυνση του θύματος, το οποίο δεν ζήτησε δεδομένα;

Το γεγονός είναι ότι οι διακομιστές DNS λειτουργούν Πρωτόκολλο επικοινωνίας UDP, το οποίο δεν χρειάζεται καθόλου επιβεβαίωση της προέλευσης του αιτήματος. Η σφυρηλάτηση μιας εξερχόμενης IP σε αυτήν την περίπτωση δεν είναι μεγάλη υπόθεση για έναν δοσομετρητή. Γι' αυτό αυτό το είδος επίθεσης είναι τόσο δημοφιλές αυτή τη στιγμή.

Το πιο σημαντικό, ένα πολύ μικρό botnet είναι αρκετό για να υλοποιηθεί μια τέτοια επίθεση. Και αρκετά ανόμοια δημόσια DNS, τα οποία δεν θα δουν τίποτα περίεργο στο γεγονός ότι διαφορετικοί χρήστες κατά καιρούς ζητούν δεδομένα από τη διεύθυνση ενός κεντρικού υπολογιστή. Και μόνο τότε όλη αυτή η κίνηση θα συγχωνευθεί σε ένα ρεύμα και θα καρφώσει έναν «σωλήνα» σφιχτά.

Αυτό που δεν μπορεί να γνωρίζει ο δοσομετρητής είναι η χωρητικότητα των καναλιών του εισβολέα. Και αν δεν υπολογίσει σωστά την ισχύ της επίθεσής του και δεν μπλοκάρει αμέσως το κανάλι προς τον διακομιστή κατά 100%, η επίθεση μπορεί να αποκρουστεί γρήγορα και εύκολα. Χρησιμοποιώντας βοηθητικά προγράμματα όπως TCPdumpΕίναι εύκολο να ανακαλύψετε ότι η εισερχόμενη κίνηση προέρχεται από DNS και σε επίπεδο Τείχους προστασίας να απαγορεύσετε την αποδοχή της. Αυτή η επιλογή - άρνηση αποδοχής επισκεψιμότητας από DNS - σχετίζεται με μια συγκεκριμένη ταλαιπωρία για όλους, ωστόσο, τόσο οι διακομιστές όσο και οι ιστότοποι σε αυτούς θα συνεχίσουν να λειτουργούν με επιτυχία.

Αυτή είναι μόνο μία από τις πολλές επιλογές για την ενίσχυση της επίθεσης. Υπάρχουν πολλά άλλα είδη επιθέσεων, μπορούμε να τα πούμε άλλη φορά. Εν τω μεταξύ, θα ήθελα να συνοψίσω ότι όλα τα παραπάνω ισχύουν για μια επίθεση της οποίας η ισχύς δεν υπερβαίνει το πλάτος του καναλιού προς τον διακομιστή.

Αν η επίθεση είναι δυνατή

Εάν η ισχύς επίθεσης υπερβαίνει τη χωρητικότητα του καναλιού προς τον διακομιστή, συμβαίνει το εξής. Το κανάλι του Διαδικτύου φράσσεται αμέσως στον διακομιστή, στη συνέχεια στον ιστότοπο φιλοξενίας, στον πάροχο Διαδικτύου του, στον πάροχο ανάντη και ούτω καθεξής και προς τα πάνω με αύξουσα σειρά (στο μέλλον - στα πιο παράλογα όρια), όσο η δύναμη επίθεσης είναι αρκετή.

Και τότε γίνεται παγκόσμιο πρόβλημα για όλους. Και εν ολίγοις, αυτό είχαμε να αντιμετωπίσουμε στις 20 Νοεμβρίου 2013. Και όταν συμβαίνουν ανατροπές μεγάλης κλίμακας, ήρθε η ώρα να ενεργοποιήσετε ειδική μαγεία!

Κάπως έτσι μοιάζει το special magic Με τη βοήθεια αυτού του μαγικού είναι δυνατό να υπολογιστεί ο διακομιστής στον οποίο κατευθύνεται η κίνηση και να αποκλειστεί η IP του σε επίπεδο ISP. Ώστε να σταματήσει να δέχεται κλήσεις προς αυτήν την IP μέσω των καναλιών επικοινωνίας της με τον έξω κόσμο (uplinks). Για τους λάτρεις των όρων: οι ειδικοί καλούν αυτή τη διαδικασία "απαγορεύω την δημοσίευση είδησης", από το αγγλικό blackhole.

Ταυτόχρονα, ο διακομιστής που δέχεται επίθεση με 500-1500 λογαριασμούς παραμένει χωρίς την IP του. Ένα νέο υποδίκτυο διευθύνσεων IP εκχωρείται για αυτό, στο οποίο οι λογαριασμοί πελατών κατανέμονται τυχαία ομοιόμορφα. Επιπλέον, οι ειδικοί περιμένουν μια επανάληψη της επίθεσης. Σχεδόν πάντα επαναλαμβάνεται.

Και όταν επαναλαμβάνεται, δεν υπάρχουν πλέον 500-1000 λογαριασμοί στην IP που δέχεται επίθεση, αλλά καμιά δεκαριά ή δύο.

Ο κύκλος των υπόπτων στενεύει. Αυτοί οι 10-20 λογαριασμοί διανέμονται και πάλι σε διαφορετικές διευθύνσεις IP. Για άλλη μια φορά, οι μηχανικοί περιμένουν μια άλλη επίθεση. Ξανά και ξανά διανέμουν τους ύποπτους λογαριασμούς σε διαφορετικές IP και έτσι, με σταδιακή προσέγγιση, υπολογίζουν το αντικείμενο της επίθεσης. Όλοι οι άλλοι λογαριασμοί σε αυτό το σημείο επιστρέφουν στην κανονική λειτουργία στην ίδια IP.

Όπως γνωρίζετε, αυτή δεν είναι μια στιγμιαία διαδικασία, χρειάζεται χρόνο για να εφαρμοστεί.

Μύθος νούμερο τέσσερα:«Όταν συμβαίνει μια τεράστια επίθεση, ο οικοδεσπότης μου δεν έχει σχέδιο δράσης. Απλώς περιμένει με κλειστά μάτια το τέλος του βομβαρδισμού και απαντά στα γράμματά μου με του ίδιου τύπου απαντήσεις.Αυτό δεν ισχύει: σε περίπτωση επίθεσης, ο πάροχος φιλοξενίας ενεργεί σύμφωνα με ένα σχέδιο προκειμένου να το εντοπίσει και να εξαλείψει τις συνέπειες το συντομότερο δυνατό. Και οι ίδιοι τύποι επιστολών σάς επιτρέπουν να μεταφέρετε την ουσία αυτού που συμβαίνει και ταυτόχρονα να εξοικονομείτε τους απαραίτητους πόρους για την ταχύτερη δυνατή επεξεργασία μιας κατάστασης έκτακτης ανάγκης..

Υπάρχει φως στο τέλος του τούνελ;

Τώρα βλέπουμε ότι η δραστηριότητα DDoS αυξάνεται συνεχώς. Το να διατάξεις μια επίθεση έχει γίνει πολύ προσιτό και άσχημο φθηνό. Για να αποφευχθούν κατηγορίες για προπαγάνδα, δεν θα υπάρχουν αποδεικτικοί σύνδεσμοι. Αλλά πάρτε το λόγο μας, είναι.

Μύθος νούμερο πέντε: «Μια επίθεση DDoS είναι ένα πολύ ακριβό γεγονός και μόνο οι μεγάλοι των επιχειρήσεων μπορούν να αντέξουν οικονομικά να παραγγείλουν μια. Ως έσχατη λύση, αυτά είναι μηχανορραφίες των μυστικών υπηρεσιών!». Μάλιστα, τέτοιες εκδηλώσεις έχουν γίνει εξαιρετικά προσιτές.

Επομένως, δεν είναι απαραίτητο να περιμένετε ότι η κακόβουλη δραστηριότητα θα εξαφανιστεί από μόνη της. Αντίθετα, μόνο θα ενταθεί. Απομένει μόνο να σφυρηλατηθούν και να ακονιστούν τα όπλα. Αυτό που κάνουμε, βελτιώνοντας την υποδομή του δικτύου.

Η νομική πλευρά του θέματος

Αυτή είναι μια πολύ μη δημοφιλής πτυχή της συζήτησης για επιθέσεις DDoS, καθώς σπάνια ακούμε για περιπτώσεις σύλληψης και τιμωρίας των υποκινητών. Ωστόσο, να θυμάστε: Μια επίθεση DDoS είναι ποινικό αδίκημα. Στις περισσότερες χώρες του κόσμου, συμπεριλαμβανομένης της Ρωσίας.

Μύθος αριθμός έξι: « Τώρα ξέρω αρκετά για το DDoS, θα παραγγείλω διακοπές για έναν ανταγωνιστή - Και δεν θα πάρω τίποτα γι' αυτό!». Δεν αποκλείεται να γίνει. Και αν γίνει, δεν θα φαίνεται πολύ.

• Ισοπαλία ιστορικού με το σύστημα πληρωμών DDoS Assist
• Συναρπαστική κατάλυση

Σε γενικές γραμμές, δεν συμβουλεύουμε κανέναν να ασχοληθεί με τη μοχθηρή πρακτική του DDoS, ώστε να μην υποστεί την οργή της δικαιοσύνης και να μην λυγίσει το δικό του κάρμα. Και εμείς, λόγω των ιδιαιτεροτήτων της δραστηριότητάς μας και του ζωηρού ερευνητικού ενδιαφέροντος, συνεχίζουμε να μελετάμε το πρόβλημα, να είμαστε φρουροί και να βελτιώνουμε τις αμυντικές δομές.

ΥΣΤΕΡΟΓΡΑΦΟ:δεν έχουμε αρκετά καλά λόγια για να εκφράσουμε όλη μας την ευγνωμοσύνη, γι' αυτό απλώς λέμε"Ευχαριστώ!" στους υπομονετικούς πελάτες μας που μας στήριξαν θερμά σε μια δύσκολη μέρα στις 20 Νοεμβρίου 2013. Είπατε πολλά ενθαρρυντικά λόγια για την υποστήριξή μας

Η καταπολέμηση των επιθέσεων DDoS δεν είναι μόνο δύσκολη, αλλά και συναρπαστική δουλειά. Δεν προκαλεί έκπληξη το γεγονός ότι κάθε διαχειριστής συστήματος προσπαθεί πρώτα απ 'όλα να οργανώσει την άμυνα μόνος του - ειδικά επειδή αυτό είναι ακόμα δυνατό.

Αποφασίσαμε να σας βοηθήσουμε σε αυτό το δύσκολο έργο και να δημοσιεύσουμε μερικές σύντομες, ασήμαντες και μη καθολικές συμβουλές για την προστασία του ιστότοπού σας από επιθέσεις. Αυτές οι συνταγές δεν θα σας βοηθήσουν να αντιμετωπίσετε οποιαδήποτε επίθεση, αλλά θα σας σώσουν από τους περισσότερους κινδύνους.

Τα σωστά συστατικά

Η σκληρή αλήθεια είναι ότι πολλοί ιστότοποι μπορούν να καταργηθούν από οποιονδήποτε χρησιμοποιεί την επίθεση Slowloris, η οποία σκοτώνει σφιχτά τον Apache, ή κανονίζοντας ένα λεγόμενο SYN flood χρησιμοποιώντας ένα αγρόκτημα εικονικών διακομιστών που δημιουργούνται σε ένα λεπτό στο Amazon EC2 cloud. Όλες οι περαιτέρω συμβουλές μας για την προστασία του εαυτού σας από DDoS μόνοι σας βασίζονται στις ακόλουθες σημαντικές προϋποθέσεις.

1. Ξεφορτωθείτε τον Windows Server

Η πρακτική υποδηλώνει ότι ένας ιστότοπος που εκτελείται σε Windows (2003 ή 2008 - δεν έχει σημασία) είναι καταδικασμένος σε περίπτωση DDoS. Ο λόγος για την αποτυχία βρίσκεται στη στοίβα δικτύου των Windows: όταν υπάρχουν πολλές συνδέσεις, ο διακομιστής σίγουρα θα αρχίσει να αποκρίνεται άσχημα. Δεν γνωρίζουμε γιατί ο Windows Server αποδίδει τόσο άσχημα σε τέτοιες καταστάσεις, αλλά το έχουμε συναντήσει περισσότερες από μία ή δύο φορές. Για το λόγο αυτό, αυτό το άρθρο θα επικεντρωθεί στα μέσα προστασίας από επιθέσεις DDoS στην περίπτωση που ο διακομιστής εκτελείται σε Linux. Εάν είστε ευτυχής κάτοχος ενός σχετικά σύγχρονου πυρήνα (ξεκινώντας από το 2.6), τότε τα κύρια εργαλεία θα είναι τα iptables και τα βοηθητικά προγράμματα ipset (για γρήγορη προσθήκη διευθύνσεων IP), με τα οποία μπορείτε να απαγορεύσετε γρήγορα τα bots. Ένα άλλο κλειδί για την επιτυχία είναι μια καλά προετοιμασμένη στοίβα δικτύου, για την οποία θα μιλήσουμε επίσης στη συνέχεια.

2. Χωρίστε τους δρόμους με τον Apache

Η δεύτερη σημαντική προϋπόθεση είναι η απόρριψη του Apache. Εάν έχετε Apache, τότε τουλάχιστον βάλτε έναν διακομιστή μεσολάβησης προσωρινής αποθήκευσης μπροστά του - nginx ή lighttpd. Το Apache "είναι εξαιρετικά δύσκολο να δώσεις αρχεία και, ακόμη χειρότερα, είναι θεμελιωδώς (δηλαδή αδιόρθωτα) ευάλωτο στην πιο επικίνδυνη επίθεση Slowloris, η οποία σου επιτρέπει να κατακλύσεις τον διακομιστή σχεδόν από ένα κινητό τηλέφωνο. Για να καταπολεμήσεις διάφορους τύπους Slowloris, οι χρήστες Apache έφτιαξαν πρώτα μια ενημέρωση κώδικα Anti-slowloris.diff, μετά mod_noloris, μετά mod_antiloris, mod_limitipconn, mod_reqtimeout... Αλλά αν θέλετε να κοιμάστε καλά τη νύχτα, είναι πιο εύκολο να πάρετε έναν διακομιστή HTTP που έχει ανοσία στο Slowloris σε επίπεδο αρχιτεκτονικής κώδικα. Έτσι, όλες οι περαιτέρω συνταγές μας βασίζονται στην υπόθεση ότι το nginx χρησιμοποιείται στο frontend.

Καταπολέμηση DDoS

Τι να κάνετε εάν έρθει DDoS; Η παραδοσιακή τεχνική αυτοάμυνας είναι να διαβάζεις το αρχείο καταγραφής του διακομιστή HTTP, να γράφεις ένα μοτίβο grep (που συλλαμβάνει αιτήματα bot) και να απαγορεύεις οποιονδήποτε εμπίπτει σε αυτό. Αυτή η τεχνική θα λειτουργήσει... αν είστε τυχεροί. Υπάρχουν δύο τύποι botnet, και τα δύο επικίνδυνα, αλλά με διαφορετικούς τρόπους. Το ένα έρχεται εντελώς στον ιστότοπο αμέσως, το άλλο - σταδιακά. Το πρώτο σκοτώνει τα πάντα με τη μία, αλλά το όλο θέμα εμφανίζεται στα αρχεία καταγραφής και αν τα γραπατήσετε και αποκλείσετε όλες τις διευθύνσεις IP, τότε είστε ο νικητής. Το δεύτερο botnet τοποθετεί τον ιστότοπο απαλά και προσεκτικά, αλλά πιθανότατα θα πρέπει να τον απαγορεύσετε για μια μέρα. Είναι σημαντικό για οποιονδήποτε διαχειριστή να καταλάβει: εάν σκοπεύετε να πολεμήσετε με το grep, τότε πρέπει να είστε προετοιμασμένοι να αφιερώσετε μερικές μέρες για την καταπολέμηση της επίθεσης. Ακολουθούν συμβουλές για το πού μπορείτε να βάλετε καλαμάκια εκ των προτέρων, ώστε να μην είναι τόσο επώδυνο να πέσετε.

3. Χρησιμοποιήστε τη μονάδα testcookie

Ίσως η πιο σημαντική, αποτελεσματική και λειτουργική συνταγή αυτού του άρθρου. Εάν το DDoS έρθει στον ιστότοπό σας, τότε η ενότητα testcookie-nginx, που αναπτύχθηκε από την @kyprizel, μπορεί να γίνει ο πιο αποτελεσματικός τρόπος για να αντεπιτεθείτε. Η ιδέα είναι απλή. Τις περισσότερες φορές, τα bots που εφαρμόζουν το HTTP flooding είναι μάλλον χαζά και δεν διαθέτουν μηχανισμούς cookie και ανακατεύθυνσης HTTP. Μερικές φορές συναντούν πιο προχωρημένους - μπορούν να χρησιμοποιήσουν cookie και να επεξεργαστούν ανακατευθύνσεις, αλλά σχεδόν ποτέ ένα bot DoS δεν φέρει πλήρη μηχανή JavaScript (αν και αυτό γίνεται όλο και πιο συνηθισμένο). Το Testcookie-nginx λειτουργεί ως ένα γρήγορο φίλτρο μεταξύ των bots και του backend κατά τη διάρκεια μιας επίθεσης L7 DDoS, επιτρέποντάς σας να φιλτράρετε ανεπιθύμητα αιτήματα. Τι περιλαμβάνεται σε αυτούς τους ελέγχους; Γνωρίζει ο πελάτης πώς να εκτελεί HTTP Redirect, υποστηρίζει JavaScript, είναι το πρόγραμμα περιήγησης που ισχυρίζεται ότι είναι (επειδή η JavaScript είναι διαφορετική παντού και αν ο πελάτης λέει ότι είναι, ας πούμε, Firefox, τότε μπορούμε να το ελέγξουμε). Η επαλήθευση πραγματοποιείται με τη χρήση cookies με διάφορες μεθόδους:

• "Set-Cookie" + ανακατεύθυνση με 301 τοποθεσία HTTP.
• "Set-Cookie" + ανακατεύθυνση χρησιμοποιώντας μετα-ανανέωση HTML.
• αυθαίρετο πρότυπο και μπορείτε να χρησιμοποιήσετε JavaScript.

Για να αποφευχθεί η αυτόματη ανάλυση, το cookie επικύρωσης μπορεί να κρυπτογραφηθεί με AES-128 και αργότερα να αποκρυπτογραφηθεί στην πλευρά του προγράμματος-πελάτη JavaScript. Η νέα έκδοση της μονάδας έχει τη δυνατότητα να ορίζει cookies μέσω Flash, το οποίο σας επιτρέπει επίσης να εξαλείψετε αποτελεσματικά τα bots (τα οποία το Flash, κατά κανόνα, δεν υποστηρίζει), αλλά, ωστόσο, αποκλείει την πρόσβαση για πολλούς νόμιμους χρήστες (στην πραγματικότητα , όλες οι κινητές συσκευές). Αξίζει να σημειωθεί ότι είναι εξαιρετικά εύκολο να ξεκινήσετε τη χρήση του testcookie-nginx. Ο προγραμματιστής, συγκεκριμένα, δίνει αρκετά ξεκάθαρα παραδείγματα χρήσης (για διαφορετικές περιπτώσεις επίθεσης) με δείγματα ρυθμίσεων για το nginx.

Εκτός από τα πλεονεκτήματα, τα δοκιμαστικά cookies έχουν επίσης μειονεκτήματα:

• κόβει όλα τα ρομπότ, συμπεριλαμβανομένου του Googlebot. Εάν σκοπεύετε να αφήσετε το testcookie σε μόνιμη βάση, βεβαιωθείτε ότι δεν εξαφανίζεστε από τα αποτελέσματα αναζήτησης.
• δημιουργεί προβλήματα στους χρήστες με προγράμματα περιήγησης Links, w3m και παρόμοια.
• δεν αποθηκεύει από bots εξοπλισμένα με πλήρη μηχανή προγράμματος περιήγησης με JavaScript.

Με μια λέξη, το testcookie_module δεν είναι καθολικό. Αλλά από πολλά πράγματα, όπως, για παράδειγμα, τα πρωτόγονα κιτ εργαλείων σε Java και C #, βοηθάει. Έτσι, κόβετε μέρος της απειλής.

4. Κωδ.444

Οι DDoSers συχνά στοχεύουν το μέρος ενός ιστότοπου με την μεγαλύτερη ένταση πόρων. Χαρακτηριστικό παράδειγμα είναι μια αναζήτηση που εκτελεί σύνθετα ερωτήματα βάσης δεδομένων. Φυσικά, οι εισβολείς μπορούν να επωφεληθούν από αυτό φορτώνοντας πολλές δεκάδες χιλιάδες αιτήματα στη μηχανή αναζήτησης ταυτόχρονα. Τι μπορούμε να κάνουμε? Απενεργοποιήστε προσωρινά την αναζήτηση. Ενώ οι πελάτες δεν θα μπορούν να αναζητήσουν τις πληροφορίες που χρειάζονται με ενσωματωμένα εργαλεία, ολόκληρος ο κύριος ιστότοπος θα παραμείνει σε λειτουργία μέχρι να βρείτε τη ρίζα όλων των προβλημάτων. Το Nginx υποστηρίζει τον μη τυπικό κώδικα 444, ο οποίος σας επιτρέπει να κλείσετε απλώς τη σύνδεση και να μην επιστρέψετε τίποτα ως απόκριση:

Τοποθεσία /αναζήτηση (επιστροφή 444; )

Έτσι, είναι δυνατόν, για παράδειγμα, να εφαρμοστεί γρήγορα το φιλτράρισμα κατά διεύθυνση URL. Εάν είστε βέβαιοι ότι τα αιτήματα για τοποθεσία /αναζήτηση προέρχονται μόνο από bots (για παράδειγμα, η εμπιστοσύνη σας βασίζεται στο γεγονός ότι ο ιστότοπός σας δεν διαθέτει καθόλου ενότητα /search), μπορείτε να εγκαταστήσετε το πακέτο ipset στον διακομιστή και απαγόρευση ρομπότ με ένα απλό σενάριο κελύφους:

Ipset -N ban iphash tail -f access.log | ενώ διαβάζετε LINE? κάντε echo "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; έγινε

Εάν η μορφή των αρχείων καταγραφής δεν είναι τυπική (δεν είναι συνδυασμένη) ή πρέπει να την απαγορεύσετε για άλλους λόγους εκτός από την κατάσταση της απάντησης, ίσως χρειαστεί να αντικαταστήσετε την αποκοπή με μια τυπική έκφραση.

5. Geo-banim

Ο μη τυπικός κωδικός απόκρισης 444 μπορεί επίσης να είναι χρήσιμος για τον γρήγορο αποκλεισμό πελατών με βάση γεωγραφική αναφορά. Μπορείτε να περιορίσετε σοβαρά μεμονωμένες χώρες από τις οποίες αισθάνεστε άβολα. Για παράδειγμα, είναι απίθανο ένα ηλεκτρονικό κατάστημα φωτογραφικών μηχανών από το Rostov-on-Don να έχει πολλούς χρήστες στην Αίγυπτο. Αυτός δεν είναι ένας πολύ καλός τρόπος (για να το πω ωμά - αηδιαστικό), επειδή τα δεδομένα GeoIP είναι ανακριβή και οι Ροστοβίτες μερικές φορές πετούν στην Αίγυπτο για διακοπές. Αλλά αν δεν έχετε τίποτα να χάσετε, ακολουθήστε τις οδηγίες:

1. Συνδέστε τη λειτουργική μονάδα GeoIP στο nginx (wiki.nginx.org/HttpGeoipModule).
2. Εμφάνιση πληροφοριών γεωαναφοράς στο αρχείο καταγραφής πρόσβασης.
3. Στη συνέχεια, αφού τροποποιήσετε το παραπάνω σενάριο του κελύφους, grep το accesslog του nginx και προσθέστε στην απαγόρευση πελάτες με γεωγραφικά κλωτσιές.

Εάν, για παράδειγμα, τα bots ήταν κυρίως από την Κίνα, τότε αυτό μπορεί να βοηθήσει.

6. Νευρωνικό δίκτυο (PoC)

Τέλος, μπορείτε να επαναλάβετε την εμπειρία του χρήστη @SaveTheRbtz, ο οποίος πήρε το νευρωνικό δίκτυο PyBrain, έβαλε το αρχείο καταγραφής σε αυτό και ανέλυσε τα αιτήματα (habrahabr.ru/post/136237). Η μέθοδος λειτουργεί, αν και δεν είναι καθολική :). Αλλά αν γνωρίζετε πραγματικά τα εσωτερικά του ιστότοπού σας - και εσείς, ως διαχειριστής συστήματος, θα έπρεπε - τότε το πιθανότερο είναι ότι στις πιο τραγικές καταστάσεις, ένα τέτοιο εργαλείο που βασίζεται σε νευρωνικά δίκτυα, εκπαίδευση και πληροφορίες που έχουν συγκεντρωθεί εκ των προτέρων θα σας βοηθήσει. Σε αυτήν την περίπτωση, είναι πολύ χρήσιμο να έχετε το access.log πριν από την έναρξη του DDoS, καθώς περιγράφει σχεδόν το 100% των νόμιμων πελατών και ως εκ τούτου, ένα εξαιρετικό σύνολο δεδομένων για την εκπαίδευση ενός νευρωνικού δικτύου. Επιπλέον, τα bots δεν είναι πάντα ορατά στο κούτσουρο.

Διάγνωση Προβλήματος

Ο ιστότοπος δεν λειτουργεί - γιατί; Είναι DDoSed ή είναι σφάλμα του κινητήρα που δεν παρατηρήθηκε από τον προγραμματιστή; Δεν έχει σημασία. Μην ψάχνετε για απάντηση σε αυτή την ερώτηση. Εάν πιστεύετε ότι ο ιστότοπός σας μπορεί να υποστεί επίθεση, επικοινωνήστε με εταιρείες που παρέχουν προστασία από επιθέσεις - μια σειρά από υπηρεσίες anti-DDoS προσφέρουν δωρεάν την πρώτη μέρα μετά τη σύνδεση - και μην χάνετε άλλο χρόνο αναζητώντας συμπτώματα. Εστιάστε στο πρόβλημα. Εάν ο ιστότοπος λειτουργεί αργά ή δεν ανοίγει καθόλου, τότε κάτι δεν πάει καλά με την απόδοσή του και - ανεξάρτητα από το αν υπάρχει επίθεση DDoS ή όχι - εσείς, ως επαγγελματίας, είστε υποχρεωμένοι να καταλάβετε τι το προκαλεί. Έχουμε δει επανειλημμένα πώς μια εταιρεία που αντιμετώπιζε δυσκολίες στη λειτουργία του ιστότοπού της λόγω επίθεσης DDoS, αντί να αναζητήσει αδυναμίες στη μηχανή του ιστότοπου, προσπάθησε να στείλει αιτήσεις στο Υπουργείο Εσωτερικών για να βρει και να τιμωρήσει τους εισβολείς. Μην κάνετε τέτοια λάθη. Η αναζήτηση για εγκληματίες στον κυβερνοχώρο είναι μια δύσκολη και χρονοβόρα διαδικασία, που περιπλέκεται από την ίδια τη δομή και τις αρχές του Διαδικτύου και το πρόβλημα με τη λειτουργία του ιστότοπου πρέπει να επιλυθεί εγκαίρως. Ζητήστε από τους τεχνικούς να μάθουν τι προκαλεί την πτώση της απόδοσης του ιστότοπου και οι δικηγόροι μπορούν να γράψουν την καταγγελία.

7. Χρησιμοποιήστε ένα προφίλτρο και ένα πρόγραμμα εντοπισμού σφαλμάτων

Για την πιο κοινή πλατφόρμα δημιουργίας ιστοτόπων - PHP + MySQL - το σημείο συμφόρησης μπορεί να βρεθεί χρησιμοποιώντας τα ακόλουθα εργαλεία:

• το πρόγραμμα προφίλ Xdebug θα δείξει σε ποιες κλήσεις ξοδεύει τον περισσότερο χρόνο η εφαρμογή.
• Το ενσωματωμένο πρόγραμμα εντοπισμού σφαλμάτων APD και η έξοδος εντοπισμού σφαλμάτων στο αρχείο καταγραφής σφαλμάτων θα σας βοηθήσουν να μάθετε ποιος ακριβώς κώδικας πραγματοποιεί αυτές τις κλήσεις.
• Στις περισσότερες περιπτώσεις, ο σκύλος είναι θαμμένος στην πολυπλοκότητα και τη βαρύτητα των ερωτημάτων της βάσης δεδομένων. Η εξήγηση οδηγία SQL που είναι ενσωματωμένη στη μηχανή βάσης δεδομένων θα βοηθήσει εδώ.

Εάν ο ιστότοπος βρίσκεται ανάσκελα και δεν χάσετε τίποτα, αποσυνδεθείτε από το δίκτυο, δείτε τα αρχεία καταγραφής, δοκιμάστε να τα παίξετε. Αν δεν το κάνει, τότε περάστε από τις σελίδες, κοιτάξτε τη βάση.

Το παράδειγμα είναι για PHP, αλλά η ιδέα ισχύει για οποιαδήποτε πλατφόρμα. Ένας προγραμματιστής που γράφει προϊόντα λογισμικού σε οποιαδήποτε γλώσσα προγραμματισμού πρέπει να μπορεί να χρησιμοποιεί γρήγορα τόσο το πρόγραμμα εντοπισμού σφαλμάτων όσο και το πρόγραμμα αναπαραγωγής προφίλ. Εξασκηθείτε εκ των προτέρων!

8. Αναλύστε τα λάθη

Αναλύστε την ποσότητα της επισκεψιμότητας, τον χρόνο απόκρισης διακομιστή, τον αριθμό των σφαλμάτων. Δείτε τα αρχεία καταγραφής για αυτό. Στο nginx, ο χρόνος απόκρισης διακομιστή καταγράφεται στο αρχείο καταγραφής από δύο μεταβλητές: request_time και upstream_response_time. Το πρώτο είναι ο συνολικός χρόνος εκτέλεσης του αιτήματος, συμπεριλαμβανομένων των καθυστερήσεων δικτύου μεταξύ του χρήστη και του διακομιστή. το δεύτερο λέει πόσο καιρό το backend (Apache, php_fpm, uwsgi...) εκτελεί την αίτηση. Η τιμή upstream_response_time είναι εξαιρετικά σημαντική για ιστότοπους με πολύ δυναμικό περιεχόμενο και ενεργή επικοινωνία μεταξύ του frontend και της βάσης δεδομένων και δεν πρέπει να παραμεληθεί. Μπορείτε να χρησιμοποιήσετε την ακόλουθη διαμόρφωση ως μορφή αρχείου καταγραφής:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent """$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Αυτή είναι μια συνδυασμένη μορφή με πρόσθετα πεδία χρονισμού.

9. Παρακολούθηση αιτημάτων ανά δευτερόλεπτο

Δείτε επίσης τον αριθμό των αιτημάτων ανά δευτερόλεπτο. Στην περίπτωση του nginx, μπορείτε να υπολογίσετε κατά προσέγγιση αυτήν την τιμή με την ακόλουθη εντολή φλοιού (η μεταβλητή ACCESS_LOG περιέχει τη διαδρομή προς το αρχείο καταγραφής αιτημάτων nginx σε συνδυασμένη μορφή):

Echo $(($(fgrep -c "$(env LC_ALL=C ημερομηνία [email προστατευμένο]$(($(ημερομηνία \ +%s)-60)) +%d/%b/%Y:%H:%M)" "$ACCESS_LOG")/60))

Σε σύγκριση με το κανονικό επίπεδο για αυτήν την ώρα της ημέρας, ο αριθμός των αιτημάτων ανά δευτερόλεπτο μπορεί να μειωθεί και να αυξηθεί. Αυξάνονται εάν φτάσει ένα μεγάλο botnet και πέφτουν εάν το εισερχόμενο botnet καταρρεύσει τον ιστότοπο, καθιστώντας τον εντελώς απρόσιτο για τους νόμιμους χρήστες, και ταυτόχρονα, το botnet δεν ζητά στατικά, αλλά οι νόμιμοι χρήστες κάνουν. Η πτώση του αριθμού των αιτημάτων παρατηρείται ακριβώς λόγω στατικής. Όμως, με τον ένα ή τον άλλο τρόπο, μιλάμε για σοβαρές αλλαγές στους δείκτες. Όταν αυτό συμβεί ξαφνικά - ενώ προσπαθείτε να λύσετε το πρόβλημα μόνοι σας και αν δεν το δείτε αμέσως στο αρχείο καταγραφής, είναι καλύτερο να ελέγξετε γρήγορα τον κινητήρα και να επικοινωνήσετε παράλληλα με τους ειδικούς.

10. Μην ξεχνάτε το tcpdump

Πολλοί άνθρωποι ξεχνούν ότι το tcpdump είναι ένα φοβερό διαγνωστικό εργαλείο. Θα δώσω μερικά παραδείγματα. Τον Δεκέμβριο του 2011, ανακαλύφθηκε ένα σφάλμα στον πυρήνα του Linux όταν άνοιξε μια σύνδεση TCP όταν ορίστηκαν οι σημαίες του τμήματος SYN και RST TCP. Η πρώτη αναφορά σφάλματος στάλθηκε από έναν διαχειριστή συστήματος από τη Ρωσία, ο πόρος του οποίου δέχτηκε επίθεση με αυτήν τη μέθοδο - οι εισβολείς ανακάλυψαν για την ευπάθεια νωρίτερα από ολόκληρο τον κόσμο. Προφανώς, μια τέτοια διάγνωση τον βοήθησε. Ένα άλλο παράδειγμα: το nginx έχει μια όχι πολύ ωραία ιδιότητα - γράφει στο αρχείο καταγραφής μόνο αφού ολοκληρωθεί η επεξεργασία του αιτήματος. Υπάρχουν περιπτώσεις όπου ο ιστότοπος είναι εκτός λειτουργίας, τίποτα δεν λειτουργεί και δεν υπάρχει τίποτα στα αρχεία καταγραφής. Αυτό συμβαίνει επειδή όλα τα αιτήματα που φορτώνουν τον διακομιστή δεν έχουν ακόμη ολοκληρωθεί. Το Tcpdump θα βοηθήσει και εδώ.

Είναι τόσο καλό που συμβούλεψα τους ανθρώπους να μην χρησιμοποιούν δυαδικά πρωτόκολλα μέχρι να βεβαιωθούν ότι όλα είναι εντάξει, επειδή τα πρωτόκολλα κειμένου είναι εύκολο να εντοπιστούν σφαλμάτων με το tcpdump, αλλά τα δυαδικά πρωτόκολλα δεν είναι. Ωστόσο, το sniffer είναι καλό ως διαγνωστικό εργαλείο - ως μέσο διατήρησης της παραγωγής» και είναι τρομακτικός. Μπορεί εύκολα να χάσει πολλά πακέτα ταυτόχρονα και να χαλάσει το ιστορικό χρήστη σας. Είναι βολικό να παρακολουθείτε την έξοδό του και θα είναι χρήσιμο για χειροκίνητα διαγνωστικά και απαγόρευση, αλλά προσπαθήστε να μην βασίζετε τίποτα κρίσιμο σε αυτό. Ένα άλλο αγαπημένο εργαλείο για "αιτήματα θέρμανσης" - το ngrep - γενικά από προεπιλογή προσπαθεί να ζητήσει περίπου δύο gigabyte μη swapable μνήμης και μόνο τότε αρχίζει να μειώνει τις απαιτήσεις του.

11. Επίθεση ή όχι;

Πώς να ξεχωρίσετε μια επίθεση DDoS, για παράδειγμα, από το αποτέλεσμα μιας διαφημιστικής καμπάνιας; Αυτή η ερώτηση μπορεί να φαίνεται γελοία, αλλά αυτό το θέμα δεν είναι λιγότερο περίπλοκο. Υπάρχουν μερικές πολύ αστείες περιπτώσεις. Για μερικά καλά παιδιά, όταν στριμώχτηκαν και μπέρδεψαν καλά την προσωρινή αποθήκευση, ο ιστότοπος αρρώστησε για μερικές μέρες. Αποδείχθηκε ότι για αρκετούς μήνες αυτός ο ιστότοπος είχε ανεπαίσθητα δεδομένα από ορισμένους Γερμανούς και πριν βελτιστοποιηθεί η προσωρινή αποθήκευση της σελίδας του ιστότοπου για αυτούς τους Γερμανούς, με όλες τις φωτογραφίες, χρειάστηκε πολύς χρόνος για να φορτωθεί. Όταν η σελίδα άρχισε να εκδίδεται από την προσωρινή μνήμη αμέσως, το bot, το οποίο δεν είχε χρονικά όρια, άρχισε επίσης να τα συλλέγει αμέσως. Ήταν δύσκολο. Η περίπτωση είναι ιδιαίτερα δύσκολη για το λόγο ότι αν εσείς ο ίδιος αλλάξατε τη ρύθμιση (ενεργοποιήσατε την προσωρινή αποθήκευση) και ο ιστότοπος σταμάτησε να λειτουργεί μετά από αυτό, τότε ποιος, κατά τη γνώμη σας και την άποψη του αφεντικού, φταίει; Ακριβώς. Αν δείτε μια απότομη αύξηση στον αριθμό των αιτημάτων, τότε κοιτάξτε, για παράδειγμα, στο Google Analytics, ποιος ήρθε σε ποιες σελίδες.

Συντονισμός διακομιστή Ιστού

Ποια είναι τα άλλα βασικά σημεία; Φυσικά, μπορείτε να ορίσετε το "προεπιλεγμένο" nginx και να ελπίζετε ότι όλα θα πάνε καλά για εσάς. Ωστόσο, τα καλά πράγματα δεν συμβαίνουν πάντα. Ως εκ τούτου, ο διαχειριστής οποιουδήποτε διακομιστή πρέπει να αφιερώσει πολύ χρόνο στη βελτίωση και τη ρύθμιση του nginx.

12. Περιορίστε τους πόρους (μεγέθη buffer) στο nginx

Τι πρέπει να θυμόμαστε πρώτα από όλα; Κάθε πόρος έχει ένα όριο. Πρώτα απ 'όλα, αφορά τη μνήμη RAM. Επομένως, τα μεγέθη των κεφαλίδων και όλων των χρησιμοποιούμενων buffer θα πρέπει να περιορίζονται σε επαρκείς τιμές ανά πελάτη και ανά διακομιστή ως σύνολο. Πρέπει να είναι καταχωρημένα στη διαμόρφωση nginx.

• client_header_buffer_size_ _ Ορίζει το μέγεθος του buffer για την ανάγνωση της κεφαλίδας αιτήματος πελάτη. Εάν η συμβολοσειρά αιτήματος ή το πεδίο κεφαλίδας αιτήματος δεν ταιριάζει εξ ολοκλήρου σε αυτό το buffer, τότε εκχωρούνται μεγαλύτερα buffers, που καθορίζονται από την οδηγία large_client_header_buffers.
• large_client_header_buffersΚαθορίζει τον μέγιστο αριθμό και το μέγεθος των buffer για ανάγνωση της μεγάλης κεφαλίδας αιτήματος πελάτη.
• client_body_buffer_sizeΟρίζει το μέγεθος της προσωρινής μνήμης για την ανάγνωση του σώματος αιτήματος πελάτη. Εάν το σώμα του αιτήματος είναι μεγαλύτερο από το καθορισμένο buffer, τότε ολόκληρο το σώμα του αιτήματος ή μόνο μέρος του εγγράφεται σε ένα προσωρινό αρχείο.
• client_max_body_sizeΟρίζει το μέγιστο επιτρεπόμενο μέγεθος για ένα σώμα αιτήματος πελάτη, που καθορίζεται στο πεδίο Content-Length της κεφαλίδας αιτήματος. Εάν το μέγεθος είναι μεγαλύτερο από το καθορισμένο, τότε ο πελάτης επιστρέφει το σφάλμα 413 (Αίτημα οντότητας πολύ μεγάλο).

13. Ρυθμίστε τα χρονικά όρια στο nginx

Ο χρόνος είναι επίσης ένας πόρος. Επομένως, το επόμενο σημαντικό βήμα θα πρέπει να είναι να ορίσετε όλα τα χρονικά όρια, τα οποία και πάλι, είναι πολύ σημαντικό να εγγραφείτε προσεκτικά στις ρυθμίσεις του nginx.

• reset_timedout_connection ενεργοποιημένο?Βοηθά στην αντιμετώπιση των υποδοχών που έχουν κολλήσει στη φάση FIN-WAIT.
• client_header_timeoutΚαθορίζει ένα χρονικό όριο λήξης κατά την ανάγνωση μιας κεφαλίδας αιτήματος πελάτη.
• client_body_timeoutΚαθορίζει ένα χρονικό όριο κατά την ανάγνωση του σώματος ενός αιτήματος πελάτη.
• keepalive_timeoutΟρίζει το χρονικό όριο κατά το οποίο η σύνδεση διατήρησης ζωντανής λειτουργίας με τον πελάτη δεν θα κλείσει από τον διακομιστή. Πολλοί φοβούνται να θέσουν μεγάλες αξίες εδώ, αλλά δεν είμαστε σίγουροι ότι αυτός ο φόβος είναι δικαιολογημένος. Μπορείτε προαιρετικά να ορίσετε μια τιμή χρονικού ορίου στην κεφαλίδα Keep-Alive HTTP, αλλά ο Internet Explorer είναι διαβόητος επειδή αγνοεί αυτήν την τιμή.
• send_timeoutΚαθορίζει ένα χρονικό όριο κατά την αποστολή μιας απάντησης στον πελάτη. Εάν ο πελάτης δεν λάβει τίποτα μετά από αυτό το διάστημα, η σύνδεση θα κλείσει.

Αμέσως το ερώτημα είναι: ποιες παράμετροι των buffer και των timeouts είναι σωστές; Δεν υπάρχει καθολική συνταγή εδώ, κάθε κατάσταση έχει τη δική της. Αλλά υπάρχει μια αποδεδειγμένη προσέγγιση. Είναι απαραίτητο να ορίσετε τις ελάχιστες τιμές στις οποίες ο ιστότοπος παραμένει λειτουργικός (σε καιρό ειρήνης), δηλαδή, οι σελίδες επιστρέφονται και υποβάλλονται σε επεξεργασία αιτήματα. Αυτό καθορίζεται μόνο με δοκιμές - τόσο από επιτραπέζιους υπολογιστές όσο και από φορητές συσκευές. Ο αλγόριθμος για την εύρεση των τιμών κάθε παραμέτρου (μέγεθος buffer ή timeout):

1. Ορίζουμε τη μαθηματική ελάχιστη τιμή της παραμέτρου.
2. Αρχίζουμε να εκτελούμε δοκιμές ιστότοπου.
3. Εάν όλη η λειτουργικότητα του ιστότοπου λειτουργεί χωρίς προβλήματα, ορίζεται η παράμετρος. Εάν όχι, αυξήστε την τιμή της παραμέτρου και μεταβείτε στο βήμα 2.
4. Εάν η τιμή της παραμέτρου υπερέβη ακόμη και την προεπιλεγμένη τιμή, αυτό είναι ένας λόγος για συζήτηση στην ομάδα ανάπτυξης.

Σε ορισμένες περιπτώσεις, η αναθεώρηση αυτών των παραμέτρων θα πρέπει να οδηγήσει σε ανακατασκευή / επανασχεδιασμό του ιστότοπου. Για παράδειγμα, εάν ο ιστότοπος δεν λειτουργεί χωρίς αιτήματα μεγάλης ψηφοφορίας AJAX τριών λεπτών, τότε δεν χρειάζεται να αυξήσετε το χρονικό όριο, αλλά να αντικαταστήσετε τη μακροχρόνια ψηφοφορία με κάτι άλλο - ένα botnet 20 χιλιάδων μηχανών, που στηρίζονται σε αιτήματα για τρία λεπτά, θα σκοτώσει εύκολα έναν μέσο φθηνό διακομιστή.

14. Περιορίστε τις συνδέσεις στο nginx (limit_conn και limit_req)

Το Nginx έχει επίσης τη δυνατότητα να περιορίζει συνδέσεις, αιτήματα κ.λπ. Εάν δεν είστε σίγουροι πώς θα συμπεριφέρεται ένα συγκεκριμένο τμήμα του ιστότοπού σας, τότε στην ιδανική περίπτωση θα πρέπει να το δοκιμάσετε, να υπολογίσετε πόσα αιτήματα μπορεί να χειριστεί και να το γράψετε στη διαμόρφωση του nginx. Είναι ένα πράγμα όταν ο ιστότοπος είναι εκτός λειτουργίας και μπορείτε να έρθετε να τον παραλάβετε. Και είναι ένα εντελώς διαφορετικό θέμα - όταν έπεσε σε τέτοιο βαθμό που ο διακομιστής μπήκε σε swap. Σε αυτήν την περίπτωση, είναι συχνά πιο εύκολο να κάνετε επανεκκίνηση παρά να περιμένετε τη θριαμβευτική επιστροφή του.

Ας υποθέσουμε ότι ο ιστότοπος έχει ενότητες με τα ενδεικτικά ονόματα /download και /search. Κάνοντας αυτό, εμείς:

• Δεν θέλουμε τα bots (ή άτομα με υπερβολικά ζήλο διαχειριστές αναδρομικών λήψεων) να γεμίζουν τον πίνακα σύνδεσης TCP με τις λήψεις τους.
• δεν θέλουμε τα bots (ή τα αδέσποτα προγράμματα ανίχνευσης μηχανών αναζήτησης) να εξαντλούν τους υπολογιστικούς πόρους του DBMS με πολλά ερωτήματα αναζήτησης.

Για αυτούς τους σκοπούς, ταιριάζει η ακόλουθη διαμόρφωση:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; διακομιστής ( location /download/ ( limit_conn download_c 1; # Other configuration zone zone= limit_ location / search_r burst=5; # Άλλη θέση διαμόρφωσης ) ) )

Συνήθως είναι λογικό να ορίζονται limits limit_conn και limit_req για τοποθεσίες όπου βρίσκονται σενάρια που είναι ακριβά στην εκτέλεση (η αναζήτηση υποδεικνύεται στο παράδειγμα και αυτό δεν είναι τυχαίο). Οι περιορισμοί πρέπει να επιλέγονται με βάση τα αποτελέσματα της δοκιμής φορτίου και παλινδρόμησης, καθώς και την κοινή λογική.

Παρατηρήστε την παράμετρο 10m στο παράδειγμα. Σημαίνει ότι για τον υπολογισμό αυτού του ορίου θα διατεθεί ένα λεξικό με buffer 10 megabyte και όχι ένα megabyte παραπάνω. Σε αυτήν τη διαμόρφωση, αυτό θα επιτρέψει την παρακολούθηση 320.000 συνεδριών TCP. Για τη βελτιστοποίηση της χρήσης της μνήμης, η μεταβλητή $binary_remote_addr χρησιμοποιείται ως κλειδί στο λεξικό, το οποίο περιέχει τη διεύθυνση IP του χρήστη σε δυαδική μορφή και καταλαμβάνει λιγότερη μνήμη από την κανονική μεταβλητή συμβολοσειράς $remote_addr. Θα πρέπει να σημειωθεί ότι η δεύτερη παράμετρος στην οδηγία limit_req_zone μπορεί να είναι όχι μόνο IP, αλλά και οποιαδήποτε άλλη μεταβλητή nginx διαθέσιμη σε αυτό το πλαίσιο - για παράδειγμα, στην περίπτωση που δεν θέλετε να παρέχετε μια πιο συγχωρητική λειτουργία για τον διακομιστή μεσολάβησης, μπορείτε να χρησιμοποιήσετε το $binary_remote_addr$http_user_agent ή το $binary_remote_addr$http_cookie_myc00kiez - αλλά τέτοιες κατασκευές θα πρέπει να χρησιμοποιούνται με προσοχή, γιατί, σε αντίθεση με το $binary_remote_addr των 32 bit, αυτές οι μεταβλητές μπορεί να είναι πολύ μεγαλύτερες και το "10m" που δηλώνετε μπορεί να τελειώσει ξαφνικά.

Τάσεις στο DDoS

1. Η δύναμη των επιθέσεων στο δίκτυο και στο επίπεδο μεταφοράς αυξάνεται συνεχώς. Η πιθανότητα μιας μέσης επίθεσης πλημμύρας SYN έχει ήδη φτάσει τα 10 εκατομμύρια πακέτα ανά δευτερόλεπτο.
2. Οι επιθέσεις στο DNS έχουν ιδιαίτερη ζήτηση τον τελευταίο καιρό. Η πλημμύρα UDP με έγκυρα αιτήματα DNS με πλαστές διευθύνσεις IP πηγής είναι μια από τις πιο εύκολες επιθέσεις στην εφαρμογή και δύσκολο να αντιμετωπιστούν. Πολλές μεγάλες ρωσικές εταιρείες (συμπεριλαμβανομένων των εταιρειών φιλοξενίας) αντιμετώπισαν πρόσφατα προβλήματα ως αποτέλεσμα επιθέσεων στους διακομιστές DNS τους. Όσο περισσότερες, τόσο περισσότερες θα είναι αυτές οι επιθέσεις και η δύναμή τους θα μεγαλώνει.
3. Κρίνοντας από εξωτερικές ενδείξεις, τα περισσότερα botnet δεν ελέγχονται κεντρικά, αλλά μέσω ενός δικτύου peer-to-peer. Αυτό δίνει στους επιτιθέμενους την ευκαιρία να συγχρονίσουν έγκαιρα τις ενέργειες του botnet - εάν οι προηγούμενες εντολές ελέγχου διανεμήθηκαν σε ένα botnet 5.000 μηχανών σε δεκάδες λεπτά, τώρα μετράνε τα δευτερόλεπτα και ο ιστότοπός σας μπορεί ξαφνικά να παρουσιάσει μια στιγμιαία εκατονταπλάσια αύξηση στον αριθμό των αιτήσεων.
4. Το μερίδιο των bots που είναι εξοπλισμένα με μια πλήρη μηχανή προγράμματος περιήγησης με JavaScript είναι ακόμα μικρό, αλλά αυξάνεται συνεχώς. Μια τέτοια επίθεση είναι πιο δύσκολο να αποκρούσει με ενσωματωμένα αυτοσχέδια μέσα, επομένως οι DIYers θα πρέπει να παρακολουθούν αυτήν την τάση με προσοχή.

προετοιμασία του ΛΣ

Εκτός από τη λεπτομερή ρύθμιση του nginx, πρέπει να φροντίσετε τις ρυθμίσεις για τη στοίβα δικτύου του συστήματος. Τουλάχιστον, συμπεριλάβετε αμέσως τα net.ipv4.tcp_syncookies στο sysctl για να προστατευθείτε από μια μικρή επίθεση πλημμύρας SYN αμέσως.

15. Συντονίστε τον πυρήνα

Προσοχή στις πιο προηγμένες ρυθμίσεις του τμήματος δικτύου (πυρήνα), πάλι όσον αφορά τα χρονικά όρια και τη μνήμη. Υπάρχουν πιο σημαντικά και λιγότερο σημαντικά. Πρώτα απ 'όλα, πρέπει να δώσετε προσοχή:

• net.ipv4.tcp_fin_timeoutΟ χρόνος που θα περάσει η πρίζα στη φάση TCP FIN-WAIT-2 (αναμονή για ένα τμήμα FIN/ACK).
• net.ipv4.tcp_(,r,w)memΗ υποδοχή TCP λαμβάνει μέγεθος buffer. Τρεις τιμές: ελάχιστη, προεπιλεγμένη τιμή και μέγιστη.
• net.core.(r,w)mem_maxΤο ίδιο και για buffer που δεν είναι TCP.

Με μια σύνδεση 100 Mbps, οι προεπιλεγμένες τιμές εξακολουθούν να είναι κατά κάποιο τρόπο κατάλληλες. αλλά αν έχετε διαθέσιμα τουλάχιστον gigabit ανά δευτερόλεπτο, τότε είναι καλύτερα να χρησιμοποιήσετε κάτι σαν:

sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl_8608" sysctl_w.600.000. w net.ipv4.tcp_fin_timeout=10

16. Αναθεώρηση /proc/sys/net/**

Είναι ιδανικό να μελετήσετε όλες τις παραμέτρους /proc/sys/net/**. Πρέπει να δούμε πώς διαφέρουν από τα προεπιλεγμένα και να καταλάβουμε πόσο επαρκώς εκτίθενται. Ένας προγραμματιστής Linux (ή διαχειριστής συστήματος) που κατανοεί τη λειτουργία της υπηρεσίας Διαδικτύου υπό τον έλεγχό του και θέλει να τη βελτιστοποιήσει θα πρέπει να διαβάσει με ενδιαφέρον την τεκμηρίωση όλων των παραμέτρων της στοίβας δικτύου πυρήνα. Ίσως βρει μεταβλητές συγκεκριμένες για τον ιστότοπό του εκεί που θα βοηθήσουν όχι μόνο στην προστασία του ιστότοπου από εισβολείς, αλλά και στην επιτάχυνση της εργασίας του.

Μην φοβάσαι!

Οι επιτυχείς επιθέσεις DDoS μέρα με τη μέρα σβήνουν το ηλεκτρονικό εμπόριο, κλονίζουν τα μέσα ενημέρωσης, αποκλείουν τα μεγαλύτερα συστήματα πληρωμών με ένα χτύπημα. Εκατομμύρια χρήστες του Διαδικτύου χάνουν την πρόσβαση σε κρίσιμες πληροφορίες. Η απειλή είναι επείγουσα, επομένως πρέπει να την αντιμετωπίσετε πλήρως οπλισμένοι. Κάνε τα μαθήματά σου, μη φοβάσαι και κράτα το κεφάλι σου ψύχραιμο. Δεν είστε ο πρώτος ούτε ο τελευταίος που αντιμετωπίζετε μια επίθεση DDoS στον ιστότοπό σας και εναπόκειται σε εσάς, με γνώμονα τις γνώσεις και την κοινή λογική σας, να ελαχιστοποιήσετε τις συνέπειες της επίθεσης.

Μιλάμε πολύ για επιθέσεις στον ιστότοπο, χακάρισμα, αλλά δεν αναφέραμε το θέμα του DDOS. Σήμερα διορθώνουμε αυτήν την κατάσταση και σας προσφέρουμε μια πλήρη επισκόπηση των τεχνολογιών για την οργάνωση επιθέσεων DDoS και των γνωστών εργαλείων για την εκτέλεση επιθέσεων χάκερ.

Μπορείτε να δείτε τη λίστα με τα διαθέσιμα εργαλεία για επιθέσεις DDOS στο KALI εκτελώντας την εντολή:

kali > /usr/share/exploitdb/platforms/windows/dos

Αυτή η εντολή δείχνει τη βάση δεδομένων των εκμεταλλεύσεων για επίθεση σε συστήματα Windows.

Για να δείτε τα διαθέσιμα εργαλεία επίθεσης Linux DDoS, πληκτρολογήστε την εντολή:

/usr/share/exploitdb/platforms/Linux/dos.

2.LOIC

The Low Orbit Ion Cannon (LOIC) Ίσως το πιο δημοφιλές πρόγραμμα DDOS. Μπορεί να στείλει μαζικά αιτήματα μέσω πρωτοκόλλων ICMP, UDP, μπλοκάροντας έτσι το κανάλι στον διακομιστή του θύματος. Η πιο διαβόητη επίθεση LOIC πραγματοποιήθηκε από τους Anonymous το 2009 εναντίον PayPal, Visa, MasterCard ως αντίποινα για την αποκοπή του WikiLeaks από το σύστημα συγκέντρωσης κεφαλαίων.

Οι επιθέσεις που οργανώνονται με χρήση LOIC μπορούν να αξιοποιηθούν αποκλείοντας πακέτα UDP και ICMP στον εξοπλισμό δικτύου των παρόχων Διαδικτύου. Μπορείτε να κατεβάσετε το ίδιο το πρόγραμμα LOIC δωρεάν στον ιστότοπο. Αυτό το εργαλείο που βασίζεται στα Windows είναι πολύ εύκολο στη χρήση, απλώς τοποθετήστε το δείκτη του ποντικιού στους ιστότοπους του θύματος και πατήστε μόνο ένα κουμπί.

2.HOIC

Το HOIC αναπτύχθηκε ως μέρος του Operation Payback από την Praetox από την ίδια ομάδα που δημιούργησε το LOIC. Η βασική διαφορά είναι ότι το HOIC χρησιμοποιεί το πρωτόκολλο HTTP και το χρησιμοποιεί για να στείλει μια ροή τυχαιοποιημένων αιτημάτων HTTP GET και POST. Είναι ικανό να επιτεθεί ταυτόχρονα σε 256 τομείς. Μπορείτε να το κατεβάσετε από το .

3.XOIC

Το XOIC είναι ένα άλλο πολύ απλό εργαλείο DDOS. Ο χρήστης πρέπει απλώς να ορίσει τη διεύθυνση IP του θύματος, να επιλέξει το πρωτόκολλο (HTTP, UDP, ICMP ή TCP) και να πατήσει τη σκανδάλη! Μπορείτε να το κατεβάσετε από

5. HULK

6.UDP Flooder

Το UDP Flooder ανταποκρίνεται στο όνομά του - ένα εργαλείο σχεδιασμένο να στέλνει πολλαπλά πακέτα UDP σε έναν στόχο. Το UDP Flooder χρησιμοποιείται συχνά σε επιθέσεις DDOS σε διακομιστές παιχνιδιών για την αποσύνδεση των παικτών από τον διακομιστή. Το πρόγραμμα είναι διαθέσιμο για λήψη στο .

7. RUDY

8. ToR's Hammer

ToR's Hammer σχεδιάστηκε για να λειτουργεί δικτύου, προκειμένου να επιτευχθεί μεγαλύτερη ανωνυμία του εισβολέα. Το πρόβλημα με αυτό το εργαλείο είναι ότι το δίκτυο TOR είναι αρκετά αργό και έτσι μειώνει την αποτελεσματικότητα μιας επίθεσης DDoS. Μπορείτε να κάνετε λήψη αυτού του προγράμματος DDOS από το Packet Storm ή .

9. Πυλωρής

Το Pyloris είναι ένα άλλο εργαλείο DDoS που ακολουθεί μια νέα προσέγγιση. Επιτρέπει σε έναν εισβολέα να δημιουργήσει το δικό του μοναδικό αίτημα HTTP. Στη συνέχεια, το πρόγραμμα θα προσπαθήσει να διατηρήσει τη σύνδεση TCP ανοιχτή με τέτοια αιτήματα, μειώνοντας έτσι τον αριθμό των διαθέσιμων συνδέσεων στο διακομιστή. Όταν συμπληρωθεί το όριο σύνδεσης του διακομιστή, ο διακομιστής δεν μπορεί πλέον να εξυπηρετεί συνδέσεις και η τοποθεσία καθίσταται μη διαθέσιμη. Αυτό το εργαλείο είναι διαθέσιμο για δωρεάν λήψη από τον ιστότοπο.

10.Διακόπτης OWASP

Το Open Web Application Security Project (OWASP) και το ProactiveRISK έχουν αναπτύξει ένα εργαλείο Εργαλείο Switchblade DoSγια τη δοκιμή εφαρμογών WEB για αντίσταση σε επιθέσεις DDoS. Διαθέτει τρεις τρόπους λειτουργίας: 1. SSL Half-Open, 2. HTTP Post και 3. Slowloris. Μπορείτε να το κατεβάσετε για έλεγχο από τον ιστότοπο OWASP.

11.DAVOSET

12. GoldenEye HTTP DoS Tool

13.THC-SSL-DOS

Αυτό το εργαλείο DDOS (συμπεριλαμβάνεται με το Kali) διαφέρει από τα περισσότερα εργαλεία DDOS στο ότι δεν χρησιμοποιεί εύρος ζώνης Internet και μπορεί να χρησιμοποιηθεί από έναν μόνο υπολογιστή. Το THC-SSL-DOS εκμεταλλεύεται την ευπάθεια του πρωτοκόλλου SSL και είναι σε θέση να «αποθέσει» τον διακομιστή προορισμού. Εκτός, φυσικά, αν υπάρχει αυτή η ευπάθεια σε αυτό. Μπορείτε να κάνετε λήψη του προγράμματος από τον ιστότοπο της THC ή να χρησιμοποιήσετε το KALI Linux όπου αυτό το εργαλείο είναι ήδη εγκατεστημένο.

14. DDOSIM - Εξομοιωτής DDoS επιπέδου 7

Εδώ τελειώνει η κριτική μας, αλλά στο μέλλον θα επιστρέψουμε στο θέμα των επιθέσεων DDoS στις σελίδες του ιστολογίου μας.

Μια επίθεση DDoS (επίθεση κατανεμημένης άρνησης υπηρεσίας) είναι ένα σύνολο ενεργειών που μπορούν να απενεργοποιήσουν πλήρως ή μερικώς έναν πόρο του Διαδικτύου. Σχεδόν οποιοσδήποτε πόρος του Διαδικτύου μπορεί να λειτουργήσει ως θύμα, όπως ένας ιστότοπος, ένας διακομιστής παιχνιδιών ή ένας κυβερνητικός πόρος. Προς το παρόν, είναι πρακτικά αδύνατο για έναν χάκερ να οργανώσει μόνος του μια επίθεση DDoS. Στις περισσότερες περιπτώσεις, ένας εισβολέας χρησιμοποιεί ένα δίκτυο υπολογιστών που έχουν μολυνθεί από ιό. Ο ιός σάς επιτρέπει να αποκτήσετε την απαραίτητη και επαρκή απομακρυσμένη πρόσβαση στον μολυσμένο υπολογιστή. Ένα δίκτυο τέτοιων υπολογιστών ονομάζεται botnet. Κατά κανόνα, τα botnets έχουν έναν διακομιστή συντονισμού. Αποφασίζοντας να εφαρμόσει μια επίθεση, ο εισβολέας στέλνει μια εντολή στον συντονιστή διακομιστή, ο οποίος με τη σειρά του δίνει ένα σήμα σε όλους να ξεκινήσουν την εκτέλεση κακόβουλων αιτημάτων δικτύου.

Λόγοι επιθέσεων DDoS

• Προσωπική εχθρότητα

Αυτός ο λόγος είναι αρκετά κοινός. Πριν από λίγο καιρό, ο δημοσιογράφος ανεξάρτητης έρευνας Brian Krebs αποκάλυψε τις δραστηριότητες της μεγαλύτερης υπηρεσίας για προσαρμοσμένες επιθέσεις DDoS - vDOS. Οι πληροφορίες παρουσιάστηκαν αναλυτικά, γεγονός που προκάλεσε τη σύλληψη των διοργανωτών αυτής της υπηρεσίας. Σε απάντηση, οι χάκερ οργάνωσαν επίθεση στο blog του δημοσιογράφου, η ισχύς της οποίας έφτασε το 1 Tbps. Αυτή η επίθεση έγινε η πιο ισχυρή στον κόσμο για όλα τα χρόνια.

• Ψυχαγωγία

Σήμερα, γίνεται πιο εύκολο να οργανώσεις μόνος σου μια πρωτόγονη επίθεση DDoS. Μια τέτοια επίθεση θα ήταν εξαιρετικά ατελής και όχι ανώνυμη. Δυστυχώς, οι περισσότεροι από αυτούς που αποφασίζουν να νιώσουν «χάκερ» δεν γνωρίζουν ούτε το πρώτο ούτε το δεύτερο. Ωστόσο, πολλοί μαθητές ασκούν συχνά επιθέσεις DDoS. Η έκβαση τέτοιων περιπτώσεων είναι πολύ διαφορετική.

• Πολιτική διαμαρτυρία (χακτιβισμός)

Μία από τις πρώτες κοινωνικές επιθέσεις ήταν μια επίθεση DDoS που εφαρμόστηκε το 1996 από τον χάκερ Omega. Η Omega ήταν μέλος του συνασπισμού χάκερ Cult of the Dead Crew (cDc). Ο όρος hacktivism έχει γίνει δημοφιλής στα μέσα ενημέρωσης λόγω της αυξανόμενης συχνότητας επιθέσεων στον κυβερνοχώρο που έχουν κοινωνική βάση. Τυπικοί εκπρόσωποι των hacktivists είναι οι Anonymous και LulzSec.

• Αδικος ανταγωνισμός

Τέτοια κίνητρα συμβαίνουν συχνά στη βιομηχανία διακομιστών παιχνιδιών, αλλά στη βιομηχανία λιανικής, τέτοιες περιπτώσεις είναι αρκετά συνηθισμένες. Ένας αρκετά αποτελεσματικός τρόπος αθέμιτου ανταγωνισμού που μπορεί να καταστρέψει τη φήμη της πλατφόρμας συναλλαγών εάν οι ιδιοκτήτες της δεν απευθυνθούν έγκαιρα σε ειδικούς για βοήθεια. Ένα τέτοιο κίνητρο μπορεί να διακριθεί από τα άλλα ως το πιο συνηθισμένο.

• Εκβιασμός ή εκβιασμός

Σε αυτή την περίπτωση, ο εισβολέας απαιτεί ένα χρηματικό ποσό από το πιθανό θύμα για την αποτυχία να πραγματοποιήσει την επίθεση. Ή να το σταματήσω. Μεγάλοι οργανισμοί γίνονται συχνά θύματα τέτοιων επιθέσεων, για παράδειγμα, κατά τη διάρκεια του 2014 η Tinkoff Bank και ο πόρος πληροφορικής Habrahabr, ο μεγαλύτερος ιχνηλάτης torrent Rutracker.org δέχθηκαν επίθεση (πώς ήταν;).

Συνέπειες επιθέσεων DDoS

Οι συνέπειες των επιθέσεων DDoS μπορεί να είναι πολύ διαφορετικές, από τον τερματισμό της λειτουργίας του διακομιστή σας από το κέντρο δεδομένων έως την πλήρη απώλεια της φήμης του πόρου και της ροής πελατών. Πολλοί οργανισμοί επιλέγουν εν αγνοία τους αδίστακτους παρόχους ασφάλειας για να εξοικονομήσουν χρήματα, κάτι που συχνά δεν αποφέρει κανένα όφελος. Για να αποφύγετε τέτοια προβλήματα, συνιστούμε να επικοινωνήσετε με επαγγελματίες του κλάδου σας.

Επιθέσεις που έγραψαν ιστορία στο Διαδίκτυο

Η τεχνολογική πρόοδος προχωρά με άλματα και οι επιτιθέμενοι, με τη σειρά τους, καταβάλλουν κάθε δυνατή προσπάθεια για να μην μείνουν ακίνητοι και να εφαρμόσουν όλο και πιο περίπλοκες και ισχυρές επιθέσεις. Συγκεντρώσαμε μια σύντομη περιγραφή των πιο ενδιαφέρων περιπτώσεων που έχουν μπει στο ιστορικό επιθέσεων DDoS. Κάποια από αυτά μπορεί να φαίνονται συνηθισμένα με τα σημερινά δεδομένα, αλλά την εποχή που έγιναν, ήταν πολύ μεγάλης κλίμακας επιθέσεις.

Ping Of Dead.Μια μέθοδος επίθεσης που βασίζεται στη χρήση της εντολής ping. Αυτή η επίθεση κέρδισε δημοτικότητα τη δεκαετία του 1990 λόγω της ατέλειας του εξοπλισμού του δικτύου. Η ουσία της επίθεσης είναι να στείλει ένα μόνο αίτημα ping στον κεντρικό υπολογιστή δικτύου, ενώ το σώμα πακέτου δεν περιλαμβάνει τα τυπικά 64 byte δεδομένων, αλλά 65535 byte. Με τη λήψη ενός τέτοιου πακέτου, ο εξοπλισμός ξεχείλισε τη στοίβα του δικτύου και αυτό προκάλεσε άρνηση εξυπηρέτησης.

Μια επίθεση που επηρέασε τη σταθερότητα του Διαδικτύου.Το 2013, το Spamhaus έπεσε θύμα επίθεσης 280 Gbps. Το πιο ενδιαφέρον είναι ότι για την επίθεση, οι χάκερ χρησιμοποίησαν διακομιστές DNS από το Διαδίκτυο, οι οποίοι με τη σειρά τους ήταν πολύ φορτωμένοι με μεγάλο αριθμό αιτημάτων. Εκείνη την ημέρα, εκατομμύρια χρήστες παραπονέθηκαν για αργή φόρτωση σελίδων λόγω συμφόρησης υπηρεσιών.

Επίθεση ρεκόρ με κίνηση πάνω από 1 Tbps.Το 2016, χάκερ προσπάθησαν να μας επιτεθούν με μια επίθεση ριπής στα 360 Mpps και 1 Tbps. Αυτός ο αριθμός έχει γίνει ρεκόρ για την ύπαρξη του Διαδικτύου. Αλλά ακόμη και κάτω από μια τέτοια επίθεση, αντισταθήκαμε και το φορτίο στο δίκτυο περιόρισε ελαφρώς μόνο τους ελεύθερους πόρους του εξοπλισμού δικτύου.

Χαρακτηριστικά των επιθέσεων σήμερα

Εξαιρώντας τις επιθέσεις αιχμής, μπορούμε να πούμε ότι η δύναμη των επιθέσεων αυξάνεται κάθε χρόνο περισσότερο από 3-4 φορές. Η γεωγραφία των εισβολέων αλλάζει μόνο εν μέρει από χρόνο σε χρόνο, επειδή αυτό οφείλεται στον μέγιστο αριθμό υπολογιστών σε μια συγκεκριμένη χώρα. Όπως φαίνεται από την τριμηνιαία έκθεση για το 2016 που ετοίμασαν οι ειδικοί μας, η Ρωσία, οι ΗΠΑ και η Κίνα είναι οι χώρες που σπάνε ρεκόρ όσον αφορά τον αριθμό των bots.

Τι είναι οι επιθέσεις DDoS;

Προς το παρόν, οι τύποι επιθέσεων μπορούν να χωριστούν σε 3 κατηγορίες:

Επιθέσεις πλημμύρας στα κανάλια

Αυτός ο τύπος επίθεσης περιλαμβάνει και ;

Επιθέσεις που εκμεταλλεύονται τρωτά σημεία στη στοίβα πρωτοκόλλου δικτύου

Οι πιο δημοφιλείς και ενδιαφέρουσες επιθέσεις αυτού του τύπου είναι , / attack,

Γιατί να μας επιλέξετε? Ο εξοπλισμός μας βρίσκεται στα βασικά κέντρα δεδομένων του κόσμου και είναι ικανός να αποκρούει επιθέσεις έως και 300 Gbps ή 360 εκατομμύρια πακέτα ανά δευτερόλεπτο. Διαθέτουμε επίσης ένα δίκτυο παράδοσης περιεχομένου () και ένα προσωπικό μηχανικών σε υπηρεσία σε περίπτωση μη τυπικής επίθεσης ή καταστάσεων έκτακτης ανάγκης. Επομένως, έχοντας τεθεί υπό την προστασία μας, μπορείτε να είστε σίγουροι ότι ο πόρος σας είναι διαθέσιμος 24/7. Μας εμπιστεύονται: REG.RU, Arguments and Facts, WebMoney, ρωσική ραδιοφωνική εταιρεία GPM και άλλες εταιρείες.

Μόνο έναντι ενός μικρού αριθμού επιθέσεων μπορείτε να εφαρμόσετε μόνοι σας προστασία, χρησιμοποιώντας ανάλυση κυκλοφορίας ή ρυθμίζοντας κανόνες δρομολόγησης. Δίνονται τρόποι προστασίας από ορισμένες επιθέσεις.