Qu'est-ce qu'une attaque ddos. Attaque DDoS : comment faire ? Programmes pour les attaques DDoS

Si vous lisez notre guide et mettez en œuvre toutes les technologies décrites, protégez votre ordinateur contre les menaces de pirates ! Ne le négligez pas !

Dans le domaine de la sécurité de l'information, les attaques ddos ​​occupent une des premières places dans le classement des menaces électroniques. Mais la plupart des utilisateurs ont des connaissances très limitées sur ce sujet. Nous allons maintenant essayer de couvrir ce sujet de la manière la plus détaillée et la plus accessible, afin que vous puissiez imaginer ce que signifie ce type de menace électronique, comment elle est menée et, par conséquent, comment y faire face efficacement. Alors faites connaissance - attaque DDOS.

Terminologie

Pour parler le même langage, il faut introduire des termes et leurs définitions.

L'attaque Dos est une attaque par déni de service. D'où l'abréviation anglaise dos - Denial of Service. L'un des sous-types est une attaque distribuée, qui est menée simultanément à partir de plusieurs hôtes et, en règle générale, à partir d'un grand nombre d'hôtes. Nous consacrerons l'essentiel de la discussion à ces options, car une attaque ddos ​​a des conséquences plus destructrices, et une différence significative réside uniquement dans le nombre d'hôtes utilisés pour l'attaque.

Pour vous faciliter la compréhension. Ces actions visent à arrêter temporairement le fonctionnement de tout service. Il peut s'agir d'un site distinct sur le réseau, d'un grand fournisseur Internet ou cellulaire, ainsi que d'un service distinct (accepte les cartes plastiques). Pour que l'attaque réussisse et entraîne des actions destructrices, elle doit être menée à partir d'un grand nombre de points (ce point sera discuté plus en détail plus tard). D'où "l'attaque distribuée". Mais l'essence reste la même - interrompre le fonctionnement d'un certain système.

Pour compléter le tableau, vous devez comprendre qui et dans quel but mène de telles actions.

Les attaques par déni de service, comme les autres délits informatiques, sont punies par la loi. Par conséquent, le matériel est présenté à titre informatif uniquement. Ils sont effectués par des informaticiens, des personnes qui connaissent bien les sujets des "ordinateurs" et des "réseaux informatiques", ou, comme il est devenu à la mode de le dire, des pirates. Fondamentalement, cet événement vise à faire du profit, car, en règle générale, les attaques ddos ​​sont commandées par des concurrents peu scrupuleux. Il conviendrait ici de donner un petit exemple.

Supposons qu'il y ait deux grands fournisseurs Internet sur le marché des services d'une petite ville. Et l'un d'eux veut évincer un concurrent. Ils ordonnent une attaque dos distribuée sur le serveur d'un concurrent à des pirates. Et le deuxième fournisseur, du fait de la surcharge de son réseau, n'est plus en mesure de fournir un accès Internet à ses utilisateurs. En conséquence - la perte de clients et de réputation. Les pirates obtiennent leur récompense, un fournisseur sans scrupules - de nouveaux clients.

Mais il y a des cas où ils «ddo» juste pour le plaisir ou pour perfectionner leurs compétences.

Attaque DDoS distribuée

Mettons-nous d'accord tout de suite - nous analyserons les attaques informatiques. Par conséquent, si nous parlons de plusieurs appareils à partir desquels l'attaque est menée, ce seront des ordinateurs avec des logiciels illégaux.

Ici aussi, il convient de faire une petite digression.. En fait, pour arrêter le fonctionnement de tout service ou service, vous devez dépasser la charge maximale autorisée pour celui-ci. L'exemple le plus simple est l'accès à un site Web. D'une manière ou d'une autre, il est conçu pour un certain pic de fréquentation. Si à un certain moment dix fois plus de personnes visitent le site, alors, en conséquence, le serveur ne pourra pas traiter un tel volume d'informations et cessera de fonctionner. Et les connexions à ce moment seront établies à partir d'un grand nombre d'ordinateurs. Ce seront les mêmes nœuds qui ont été discutés ci-dessus.

Voyons à quoi cela ressemble dans le schéma ci-dessous :

Comme vous pouvez le constater, le pirate a pris le contrôle d'un grand nombre d'ordinateurs d'utilisateurs et y a installé son logiciel espion. C'est grâce à lui qu'il peut désormais effectuer les actions nécessaires. Dans notre cas - pour mener une attaque DDOS.

Ainsi, si vous ne respectez pas les règles de sécurité lorsque vous travaillez sur un ordinateur, vous pouvez être exposé à une infection virale. Et peut-être que votre ordinateur sera utilisé comme hôte pour des activités malveillantes.

Tu auras besoin de: nous avons décrit certains aspects de la sécurité dans l'article.

Mais comment ils seront utilisés dépend de l'option choisie par l'attaquant

Classification des attaques ddos

Les types d'attaques suivants peuvent être tentés par les attaquants :

  1. Congestion de la bande passante. Pour que les ordinateurs connectés au réseau communiquent normalement, le canal de communication par lequel ils sont connectés doit fonctionner normalement et fournir des paramètres suffisants pour des tâches spécifiques (par exemple, la bande passante). Ce type d'attaque vise spécifiquement à surcharger les canaux de communication du réseau. Ceci est réalisé en envoyant constamment des informations incohérentes ou système (commande ping)
  2. Limite de ressource. Nous avons déjà considéré ce type ci-dessus, dans l'exemple avec l'accès à un site Web. Comme nous l'avons noté, le serveur était capable de gérer un nombre limité de connexions simultanées. Un attaquant doit diriger un grand nombre de connexions simultanées vers le serveur. En conséquence, le serveur ne fera pas face à la charge et cessera de fonctionner.
  3. Attaque sur les serveurs DNS. Dans ce cas, l'attaque DDOS est également conçue pour bloquer l'accès au site Web. Une autre option consiste à rediriger l'utilisateur du bon site vers le faux. Cela peut être fait dans le but de voler des données personnelles. Ceci est réalisé en attaquant les serveurs DNS et en remplaçant les adresses IP par de fausses. Explorons cela avec un exemple. Une certaine banque utilise son site Web pour payer via Internet. L'utilisateur doit s'y rendre et entrer les détails de sa carte plastique. Un attaquant, afin de voler ces informations, crée un site du même type et attaque les serveurs DNS (serveurs de noms). Le but de cet événement est de rediriger l'utilisateur vers le site Web de l'attaquant lorsqu'il tente d'accéder au site Web de la banque. Si cela réussit, l'utilisateur, ignorant la menace, entrera ses données personnelles sur le site Web de l'attaquant, et il y aura accès.
  4. Bogues logiciels. Le plus difficile est ce type d'attaque. Les malfaiteurs révèlent les défauts du logiciel et les utilisent en vue de la destruction du système. Pour commander une telle attaque ddos, vous devrez dépenser beaucoup d'argent

Comment mener une attaque DDOS de vos propres mains

À titre d'exemple, nous avons décidé de vous montrer comment vous pouvez effectuer une attaque DDOS à l'aide d'un logiciel spécial.

Pour commencer, téléchargez le programme ici. Après cela, lancez-le. Vous devriez voir la fenêtre de démarrage :

Vous devez effectuer les réglages minimaux :

  1. Dans la colonne "URL" nous écrivons l'adresse du site que nous voulons attaquer
  2. Appuyez ensuite sur le bouton "Verrouiller" - Nous verrons la ressource cible
  3. Nous mettons la méthode TCP
  4. Choisissez le nombre de fils (Threads)
  5. Réglez la vitesse de téléchargement à l'aide du curseur
  6. Lorsque tous les réglages sont terminés, appuyez sur le bouton "IMMA CHARGIN MAH LAZER"

Tous - l'attaque a commencé. Encore une fois, toutes les actions sont présentées à titre informatif.

Comment se protéger des attaques DDOS

Vous avez probablement déjà compris que ce type de menace est très dangereux. Par conséquent, il est très important de connaître les méthodes et les principes de lutte et de prévention des attaques distribuées.

  1. La mise en place de systèmes de filtrage est une tâche pour les administrateurs système et les hébergeurs
  2. Acquisition de systèmes de protection contre les attaques DDOS (systèmes logiciels et matériels)
  3. Utilisation du pare-feu et des listes de contrôle d'accès (ACL) - cette mesure vise à filtrer le trafic suspect
  4. Augmenter les ressources disponibles et installer des systèmes de redondance
  5. Réponse aux mesures techniques et juridiques. Jusqu'à traduire l'auteur en justice

Vidéo pour l'article :

Conclusion

Maintenant, vous comprenez probablement le danger des attaques DDOS. Les questions d'assurer la sécurité de vos ressources doivent être abordées de manière très responsable, sans épargner temps, efforts et argent. Mieux encore, ayez un spécialiste distinct ou un service de sécurité de l'information complet.

Les lecteurs réguliers ont très souvent posé la question de savoir comment modifier le texte si le fichier est au format PDF. La réponse peut être trouvée dans le matériel -

Pour protéger vos données, vous pouvez utiliser toute une série de mesures. L'une de ces options est

Si vous avez besoin d'éditer votre vidéo en ligne, nous avons préparé pour vous un aperçu des plus populaires.

Pourquoi chercher des informations sur d'autres sites, si tout est collecté chez nous ?

Combattre les attaques DDoS est non seulement un travail difficile, mais aussi passionnant. Il n'est pas surprenant que chaque administrateur système essaie d'abord d'organiser lui-même sa défense - d'autant plus que cela est encore possible.

Nous avons décidé de vous aider dans cette tâche difficile et de publier quelques conseils courts, triviaux et non universels pour protéger votre site des attaques. Ces recettes ne vous aideront pas à faire face à une attaque, mais elles vous sauveront de la plupart des dangers.

Les bons ingrédients

La dure vérité est que de nombreux sites peuvent être supprimés par quiconque utilise l'attaque Slowloris, qui tue Apache de manière stricte, ou en organisant une soi-disant inondation SYN à l'aide d'une batterie de serveurs virtuels créés en une minute dans le cloud Amazon EC2. Tous nos autres conseils pour vous protéger vous-même contre les attaques DDoS sont basés sur les conditions importantes suivantes.

1. Débarrassez-vous de Windows Server

La pratique suggère qu'un site fonctionnant sous Windows (2003 ou 2008 - peu importe) est condamné en cas de DDoS. La raison de l'échec réside dans la pile réseau de Windows : lorsqu'il y a beaucoup de connexions, le serveur commencera certainement à mal répondre. Nous ne savons pas pourquoi Windows Server fonctionne si mal dans de telles situations, mais nous l'avons rencontré plus d'une ou deux fois. Pour cette raison, cet article se concentrera sur les moyens de protection contre les attaques DDoS dans le cas où le serveur fonctionne sous Linux. Si vous êtes un heureux propriétaire d'un noyau relativement moderne (à partir de 2.6), alors les principaux outils seront les utilitaires iptables et ipset (pour ajouter rapidement des adresses IP), avec lesquels vous pourrez rapidement bannir les bots. Une autre clé du succès est une pile réseau bien préparée, dont nous parlerons également ensuite.

2. Se séparer d'Apache

La deuxième condition importante est le rejet d'Apache. Si vous avez Apache, placez au moins un proxy de mise en cache devant - nginx ou lighttpd. Apache "est extrêmement difficile à donner des fichiers, et, pire encore, il est fondamentalement (c'est-à-dire incorrigible) vulnérable à l'attaque Slowloris la plus dangereuse, qui vous permet d'inonder le serveur presque à partir d'un téléphone mobile. Pour lutter contre divers types de Slowloris, les utilisateurs d'Apache ont d'abord proposé un patch Anti-slowloris.diff, puis mod_noloris, puis mod_antiloris, mod_limitipconn, mod_reqtimeout... Mais si vous voulez bien dormir la nuit, il est plus simple de prendre un serveur HTTP immunisé contre Slowloris au niveau de l'architecture du code. Ainsi, toutes nos autres recettes sont basées sur l'hypothèse que nginx est utilisé sur le frontend.

Combattre les DDoS

Que faire en cas de DDoS ? La technique d'autodéfense traditionnelle consiste à lire le fichier journal du serveur HTTP, à écrire un modèle grep (qui intercepte les requêtes du bot) et à interdire toute personne qui en relève. Cette technique fonctionnera... si vous avez de la chance. Il existe deux types de botnets, tous deux dangereux, mais de manières différentes. L'un vient complètement sur le site instantanément, l'autre - progressivement. Le premier tue tout d'un coup, mais le tout apparaît dans les logs, et si vous les grépez et bannissez toutes les adresses IP, alors vous êtes le gagnant. Le deuxième botnet établit le site avec douceur et précaution, mais vous devrez probablement l'interdire pendant une journée. Il est important que tout administrateur comprenne : si vous envisagez de vous battre avec grep, vous devez être prêt à consacrer quelques jours à combattre l'attaque. Voici des conseils sur l'endroit où vous pouvez mettre des pailles à l'avance afin qu'il ne soit pas si douloureux de tomber.

3. Utilisez le module testcookie

Peut-être la recette la plus importante, la plus efficace et la plus opérationnelle de cet article. Si un DDoS arrive sur votre site, alors le module testcookie-nginx, développé par @kyprizel, peut devenir le moyen le plus efficace de riposter. L'idée est simple. Le plus souvent, les robots qui implémentent l'inondation HTTP sont plutôt stupides et n'ont pas de mécanismes de cookie et de redirection HTTP. Parfois, des robots plus avancés se présentent - ils peuvent utiliser des cookies et traiter les redirections, mais presque jamais un bot DoS ne porte un moteur JavaScript à part entière (bien que cela devienne de plus en plus courant). Testcookie-nginx agit comme un filtre rapide entre les bots et le backend lors d'une attaque DDoS L7, vous permettant de filtrer les demandes indésirables. Qu'est-ce qui est inclus dans ces chèques ? Le client sait-il comment effectuer la redirection HTTP, prend-il en charge JavaScript, est-ce le navigateur qu'il prétend être (parce que JavaScript est différent partout et si le client dit qu'il s'agit, disons, de Firefox, alors nous pouvons vérifier cela). La vérification est mise en œuvre à l'aide de cookies selon différentes méthodes :

  • "Set-Cookie" + redirection avec emplacement HTTP 301 ;
  • "Set-Cookie" + redirection à l'aide de la méta-actualisation HTML ;
  • modèle arbitraire et vous pouvez utiliser JavaScript.

Pour éviter l'analyse automatique, le cookie de validation peut être chiffré avec AES-128 puis déchiffré côté client JavaScript. La nouvelle version du module a la capacité de définir des cookies via Flash, ce qui vous permet également d'éliminer efficacement les bots (que Flash, en règle générale, ne prend pas en charge), mais bloque cependant l'accès à de nombreux utilisateurs légitimes (en fait , tous les appareils mobiles). Il est à noter qu'il est extrêmement facile de commencer à utiliser testcookie-nginx. Le développeur, en particulier, donne plusieurs exemples clairs d'utilisation (pour différents cas d'attaque) avec des exemples de configuration pour nginx.

Outre les avantages, les cookies de test présentent également des inconvénients :

  • coupe tous les bots, y compris Googlebot. Si vous envisagez de laisser le testcookie de manière permanente, assurez-vous de ne pas disparaître des résultats de recherche ;
  • crée des problèmes pour les utilisateurs avec les navigateurs Links, w3m et autres ;
  • ne sauve pas des bots équipés d'un moteur de navigation à part entière avec JavaScript.

En un mot, testcookie_module n'est pas universel. Mais à partir d'un certain nombre de choses, comme, par exemple, les kits d'outils primitifs en Java et C #, cela aide. Ainsi, vous coupez une partie de la menace.

4.Code 444

Les DDoSers ciblent souvent la partie la plus gourmande en ressources d'un site. Un exemple typique est une recherche qui effectue des requêtes de base de données complexes. Naturellement, les attaquants peuvent en profiter en chargeant simultanément plusieurs dizaines de milliers de requêtes sur le moteur de recherche. Ce que nous pouvons faire? Désactiver temporairement la recherche. Bien que les clients ne puissent pas rechercher les informations dont ils ont besoin avec les outils intégrés, l'ensemble du site principal restera opérationnel jusqu'à ce que vous trouviez la racine de tous les problèmes. Nginx prend en charge le code 444 non standard, qui vous permet simplement de fermer la connexion et de ne rien renvoyer en réponse :

Localisation/recherche ( retour 444; )

Ainsi, il est possible, par exemple, de mettre en place rapidement un filtrage par URL. Si vous êtes sûr que les requêtes de localisation/recherche ne proviennent que de bots (par exemple, votre confiance est basée sur le fait que votre site n'a pas du tout de section /recherche), vous pouvez installer le package ipset sur le serveur et bannissez les bots avec un simple script shell :

Ipset -N interdire iphash tail -f access.log | tout en lisant LINE ; faites echo "$LIGNE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)" ; fait

Si le format des fichiers journaux n'est pas standard (non combiné) ou si vous devez interdire pour d'autres motifs que le statut de la réponse, vous devrez peut-être remplacer cut par une expression régulière.

5. Géo-banim

Le code de réponse non standard 444 peut également être utile pour interdire rapidement des clients basés sur la géo-référence. Vous pouvez restreindre sévèrement les pays individuels dans lesquels vous vous sentez mal à l'aise. Par exemple, il est peu probable qu'un magasin d'appareils photo en ligne de Rostov-on-Don compte de nombreux utilisateurs en Égypte. Ce n'est pas un très bon moyen (pour le dire franchement - dégoûtant), car les données GeoIP sont inexactes et les Rostovites s'envolent parfois pour l'Égypte en vacances. Mais si vous n'avez rien à perdre, suivez les instructions :

  1. Connectez le module GeoIP à nginx (wiki.nginx.org/HttpGeoipModule).
  2. Afficher les informations de géoréférencement dans le journal d'accès.
  3. Ensuite, après avoir modifié le script shell ci-dessus, grep le journal d'accès de nginx et ajoutez les clients géographiquement expulsés à l'interdiction.

Si, par exemple, les bots venaient principalement de Chine, cela pourrait aider.

6. Réseau de neurones (PoC)

Enfin, vous pouvez répéter l'expérience de l'utilisateur @SaveTheRbtz, qui a pris le réseau de neurones PyBrain, y a inséré le journal et analysé les requêtes (habrahabr.ru/post/136237). La méthode fonctionne, bien qu'elle ne soit pas universelle :). Mais si vous connaissez vraiment l'intérieur de votre site - et vous, en tant qu'administrateur système, devriez - alors il y a de fortes chances que dans les situations les plus tragiques, un tel outil basé sur des réseaux de neurones, une formation et des informations recueillies à l'avance vous aidera. Dans ce cas, il est très utile d'avoir access.log avant le début du DDoS, puisqu'il décrit presque 100% des clients légitimes, et donc, un excellent jeu de données pour former un réseau de neurones.De plus, les bots ne sont pas toujours visibles dans le enregistrer.

Diagnostic du problème

Le site ne fonctionne pas - pourquoi ? Est-ce DDoSed ou est-ce un bug du moteur non remarqué par le programmeur ? Peu importe. Ne cherchez pas de réponse à cette question. Si vous pensez que votre site est susceptible d'être attaqué, contactez les sociétés qui assurent la protection contre les attaques - un certain nombre de services anti-DDoS proposent gratuitement le premier jour après la connexion - et ne perdez plus de temps à chercher les symptômes. Concentrez-vous sur le problème. Si le site fonctionne lentement ou ne s'ouvre pas du tout, alors quelque chose ne va pas avec ses performances, et - qu'il y ait ou non une attaque DDoS - vous, en tant que professionnel, êtes obligé de comprendre ce qui en est la cause. Nous avons été témoins à plusieurs reprises qu'une entreprise rencontrant des difficultés dans le fonctionnement de son site en raison d'une attaque DDoS, au lieu de rechercher des faiblesses dans le moteur du site, a tenté d'envoyer des applications au ministère de l'Intérieur afin de trouver et de punir les attaquants. Ne faites pas de telles erreurs. La recherche de cybercriminels est un processus long et difficile, compliqué par la structure même et les principes d'Internet, et le problème de fonctionnement du site doit être résolu rapidement. Demandez aux techniciens de découvrir ce qui cause la baisse des performances du site, et les avocats pourront rédiger la plainte.

7. Utiliser un profileur et un débogueur

Pour la plate-forme de création de sites Web la plus courante - PHP + MySQL - le goulot d'étranglement peut être trouvé à l'aide des outils suivants :

  • le profileur Xdebug montrera sur quels appels l'application passe le plus de temps ;
  • le débogueur APD intégré et la sortie de débogage dans le journal des erreurs vous aideront à déterminer exactement quel code effectue ces appels ;
  • dans la plupart des cas, le chien est enterré dans la complexité et la lourdeur des requêtes de base de données. La directive SQL d'explication intégrée au moteur de base de données vous aidera ici.

Si le site est couché sur le dos et que vous ne perdez rien, déconnectez-vous du réseau, regardez les journaux, essayez de les lire. Si ce n'est pas le cas, parcourez les pages, regardez la base.

L'exemple est pour PHP, mais l'idée est valable pour n'importe quelle plate-forme. Un développeur écrivant des produits logiciels dans n'importe quel langage de programmation doit être capable d'utiliser rapidement à la fois le débogueur et le profileur. Entraînez-vous à l'avance !

8. Analysez les erreurs

Analysez la quantité de trafic, le temps de réponse du serveur, le nombre d'erreurs. Voir les journaux pour cela. Dans nginx, le temps de réponse du serveur est enregistré dans le journal par deux variables : request_time et upload_response_time. Le premier est le temps d'exécution total de la requête, y compris les délais de réseau entre l'utilisateur et le serveur ; le second indique depuis combien de temps le backend (Apache, php_fpm, uwsgi...) a exécuté la requête. La valeur amont_response_time est extrêmement importante pour les sites avec beaucoup de contenu dynamique et une communication active entre le frontend et la base de données, et ne doit pas être négligée. Vous pouvez utiliser la configuration suivante comme format de journal :

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time" ;

Il s'agit d'un format combiné avec des champs de synchronisation ajoutés.

9. Suivre les requêtes par seconde

Regardez aussi le nombre de requêtes par seconde. Dans le cas de nginx, vous pouvez estimer approximativement cette valeur avec la commande shell suivante (la variable ACCESS_LOG contient le chemin vers le journal des requêtes nginx au format combiné) :

Echo $(($(fgrep -c "$(env LC_ALL=C date [courriel protégé]$(($(date \ +%s)-60)) +%d/%b/%Y:%H:%M)" "$ACCESS_LOG")/60))

Par rapport au niveau normal pour cette heure de la journée, le nombre de requêtes par seconde peut à la fois diminuer et augmenter. Ils grandissent si un grand botnet arrive et chutent si le botnet entrant plante le site, le rendant complètement inaccessible aux utilisateurs légitimes, et en même temps, le botnet ne demande pas de statique, mais les utilisateurs légitimes le font. La baisse du nombre de requêtes est observée justement à cause de la statique. Mais, d'une manière ou d'une autre, nous parlons de changements importants dans les indicateurs. Lorsque cela se produit soudainement - pendant que vous essayez de résoudre le problème par vous-même et si vous ne le voyez pas tout de suite dans le journal, il est préférable de vérifier rapidement le moteur et de contacter des spécialistes en parallèle.

10. N'oubliez pas tcpdump

Beaucoup de gens oublient que tcpdump est un outil de diagnostic génial. Je vais donner quelques exemples. En décembre 2011, un bogue a été découvert dans le noyau Linux lors de l'ouverture d'une connexion TCP lorsque les indicateurs de segment TCP SYN et RST étaient définis. Le premier rapport de bogue a été envoyé par un administrateur système de Russie, dont la ressource a été attaquée par cette méthode - les attaquants ont découvert la vulnérabilité plus tôt que le monde entier. De toute évidence, un tel diagnostic l'a aidé. Un autre exemple : nginx a une propriété pas très agréable - il écrit dans le journal uniquement après que la requête a été complètement traitée. Il y a des situations où le site est en panne, rien ne fonctionne et il n'y a rien dans les journaux. En effet, toutes les requêtes qui chargent actuellement le serveur ne sont pas encore terminées. Tcpdump aidera ici aussi.

C'est tellement bon que j'ai conseillé aux gens de ne pas utiliser de protocoles binaires tant qu'ils ne sont pas sûrs que tout est en ordre, car les protocoles textuels sont faciles à déboguer avec tcpdump, mais pas les protocoles binaires. Cependant, le renifleur est un bon outil de diagnostic - comme moyen de maintenir la production" et il fait peur. Il peut facilement perdre plusieurs packages à la fois et gâcher votre historique d'utilisateur. Il est pratique de regarder sa sortie, et cela sera utile pour les diagnostics manuels et une interdiction, mais essayez de ne rien baser de critique dessus. Un autre outil favori pour les "demandes de réchauffement" - ngrep - essaie généralement par défaut de demander environ deux gigaoctets de mémoire non échangeable et commence alors seulement à réduire ses besoins.

11. Attaquer ou pas ?

Comment distinguer une attaque DDoS, par exemple, de l'effet d'une campagne publicitaire ? Cette question peut sembler ridicule, mais ce sujet n'en est pas moins compliqué. Il y a des cas assez drôles. Pour certains bons gars, quand ils se sont tendus et ont complètement foiré la mise en cache, le site est tombé malade pendant quelques jours. Il s'est avéré que depuis plusieurs mois ce site avait été dataminé imperceptiblement par certains allemands, et avant d'optimiser la mise en cache de la page du site pour ces allemands, avec toutes les photos, le temps de chargement était assez long. Lorsque la page a commencé à sortir instantanément du cache, le bot, qui n'avait pas de délai d'attente, a également commencé à les collecter instantanément. C'était difficile. Le cas est particulièrement difficile car si vous avez vous-même modifié le paramètre (activé la mise en cache) et que le site a cessé de fonctionner après cela, alors qui, à votre avis et à celui du patron, est à blâmer ? Exactement. Si vous constatez une forte augmentation du nombre de requêtes, regardez, par exemple, dans Google Analytics, qui est venu sur quelles pages.

Réglage du serveur Web

Quels sont les autres points clés ? Bien sûr, vous pouvez définir le nginx "par défaut" et espérer que tout ira bien pour vous. Cependant, les bonnes choses ne se produisent pas toujours. Par conséquent, l'administrateur de n'importe quel serveur doit consacrer beaucoup de temps au réglage fin et au réglage de nginx.

12. Limiter les ressources (taille des tampons) dans nginx

Que faut-il retenir avant tout ? Chaque ressource a une limite. Tout d'abord, cela concerne la RAM. Par conséquent, les tailles des en-têtes et de tous les tampons utilisés doivent être limitées à des valeurs adéquates par client et par serveur dans son ensemble. Ils doivent être enregistrés dans la configuration nginx.

  • client_header_buffer_size_ _ Définit la taille de la mémoire tampon pour lire l'en-tête de la requête client. Si la chaîne de requête ou le champ d'en-tête de requête ne tient pas entièrement dans ce tampon, des tampons plus grands sont alloués, spécifiés par la directive large_client_header_buffers.
  • large_client_header_buffers Spécifie le nombre et la taille maximum de tampons pour lire l'en-tête de requête client volumineux.
  • client_body_buffer_size Définit la taille de la mémoire tampon pour lire le corps de la requête client. Si le corps de la requête est plus volumineux que le tampon spécifié, le corps entier de la requête ou seulement une partie de celui-ci est écrit dans un fichier temporaire.
  • client_max_body_size Définit la taille maximale autorisée pour un corps de requête client, spécifiée dans le champ Content-Length de l'en-tête de requête. Si la taille est supérieure à celle spécifiée, le client renvoie l'erreur 413 (Request Entity Too Large).

13. Configurer des délais d'attente dans nginx

Le temps est aussi une ressource. Par conséquent, la prochaine étape importante devrait être de définir tous les délais d'attente, ce qui, encore une fois, il est très important de s'enregistrer soigneusement dans les paramètres nginx.

  • reset_timedout_connection activé ; Aide à gérer les sockets bloqués dans la phase FIN-WAIT.
  • client_header_timeout Spécifie un délai d'expiration lors de la lecture d'un en-tête de requête client.
  • client_body_timeout Spécifie un délai d'expiration lors de la lecture du corps d'une demande client.
  • keepalive_timeout Définit le délai d'attente pendant lequel la connexion persistante avec le client ne sera pas fermée par le serveur. Beaucoup ont peur de fixer de grandes valeurs ici, mais nous ne sommes pas sûrs que cette peur soit justifiée. Vous pouvez éventuellement définir une valeur de délai d'attente dans l'en-tête HTTP Keep-Alive, mais Internet Explorer est connu pour ignorer cette valeur.
  • send_timeout Spécifie un délai d'attente lors de l'envoi d'une réponse au client. Si le client ne reçoit rien après ce délai, la connexion sera fermée.

Immédiatement la question est : quels paramètres de buffers et timeouts sont corrects ? Il n'y a pas de recette universelle ici, chaque situation a la sienne. Mais il existe une approche éprouvée. Il est nécessaire de définir les valeurs minimales auxquelles le site reste opérationnel (en temps de paix), c'est-à-dire que les pages sont renvoyées et les demandes sont traitées. Ceci est déterminé uniquement par des tests - à la fois à partir d'ordinateurs de bureau et d'appareils mobiles. L'algorithme pour trouver les valeurs de chaque paramètre (taille du buffer ou timeout) :

  1. Nous fixons la valeur mathématique minimale du paramètre.
  2. Nous commençons à exécuter des tests de site.
  3. Si toutes les fonctionnalités du site fonctionnent sans problème, le paramètre est défini. Sinon, augmentez la valeur du paramètre et passez à l'étape 2.
  4. Si la valeur du paramètre dépasse même la valeur par défaut, c'est un motif de discussion au sein de l'équipe de développement.

Dans certains cas, la révision de ces paramètres devrait conduire à un refactoring/redesign du site. Par exemple, si le site ne fonctionne pas sans demandes d'interrogation AJAX longues de trois minutes, vous n'avez pas besoin d'augmenter le délai d'attente, mais remplacez l'interrogation longue par autre chose - un botnet de 20 000 machines, suspendu aux demandes pendant trois minutes, tuera facilement un serveur bon marché moyen.

14. Limiter les connexions dans nginx (limit_conn et limit_req)

Nginx a également la capacité de limiter les connexions, les requêtes, etc. Si vous n'êtes pas sûr du comportement d'une certaine partie de votre site, vous devriez idéalement la tester, déterminer le nombre de requêtes qu'elle peut gérer et l'écrire dans votre configuration nginx. C'est une chose lorsque le site est en panne et que vous pouvez venir le récupérer. Et c'est une question complètement différente - quand il s'est couché à un point tel que le serveur est entré en échange. Dans ce cas, il est souvent plus facile de redémarrer que d'attendre son retour triomphal.

Supposons que le site comporte des sections avec les noms révélateurs /download et /search. Ce faisant, nous :

  • nous ne voulons pas que les robots (ou les personnes avec des gestionnaires de téléchargement récursifs trop zélés) remplissent notre table de connexion TCP avec leurs téléchargements ;
  • nous ne voulons pas que les robots (ou les robots d'indexation des moteurs de recherche) épuisent les ressources informatiques du SGBD avec de nombreuses requêtes de recherche.

À ces fins, la configuration suivante conviendra :

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( location /download/ ( limit_conn download_c 1; # Autre emplacement de configuration ) location /search/ ( limit_req zone= search_r burst=5 ; # Autre emplacement de configuration ) ) )

Il est généralement judicieux de définir des limites limit_conn et limit_req pour les emplacements où se trouvent les scripts coûteux à exécuter (la recherche est indiquée dans l'exemple, et ce n'est pas un hasard). Les contraintes doivent être choisies en fonction des résultats des tests de charge et de régression, ainsi que du bon sens.

Notez le paramètre 10m dans l'exemple. Cela signifie qu'un dictionnaire avec un tampon de 10 mégaoctets et pas un mégaoctet de plus sera alloué pour le calcul de cette limite. Dans cette configuration, cela permettra de surveiller 320 000 sessions TCP. Pour optimiser l'utilisation de la mémoire, la variable $binary_remote_addr est utilisée comme clé dans le dictionnaire, qui contient l'adresse IP de l'utilisateur sous forme binaire et occupe moins de mémoire que la variable de chaîne normale $remote_addr. Il convient de noter que le deuxième paramètre de la directive limit_req_zone peut être non seulement IP, mais également toute autre variable nginx disponible dans ce contexte - par exemple, dans le cas où vous ne souhaitez pas fournir un mode plus indulgent pour le proxy, vous pouvez utiliser $binary_remote_addr$http_user_agent ou $binary_remote_addr$http_cookie_myc00kiez - mais de telles constructions doivent être utilisées avec prudence, car, contrairement à $binary_remote_addr 32 bits, ces variables peuvent être beaucoup plus longues et le "10m" que vous avez déclaré peut se terminer soudainement.

Tendances en matière de DDoS

  1. La puissance des attaques réseau et de la couche transport ne cesse de croître. Le potentiel d'une attaque SYN flood moyenne a déjà atteint 10 millions de paquets par seconde.
  2. Les attaques contre le DNS ont été particulièrement demandées ces derniers temps. L'inondation UDP avec des requêtes DNS valides avec des adresses IP sources usurpées est l'une des attaques les plus faciles à mettre en œuvre et difficiles à contrer. De nombreuses grandes entreprises russes (y compris des sociétés d'hébergement) ont récemment rencontré des problèmes à la suite d'attaques sur leurs serveurs DNS. Plus loin, plus ces attaques seront nombreuses et leur puissance augmentera.
  3. À en juger par des signes extérieurs, la plupart des botnets ne sont pas contrôlés de manière centralisée, mais via un réseau peer-to-peer. Cela donne aux attaquants la possibilité de synchroniser les actions du botnet dans le temps - si les commandes de contrôle antérieures étaient distribuées sur un botnet de 5 000 machines en quelques dizaines de minutes, maintenant les secondes comptent, et votre site peut soudainement connaître une multiplication par cent instantanée du nombre de demandes.
  4. La part des bots équipés d'un moteur de navigation à part entière avec JavaScript est encore faible, mais elle ne cesse de croître. Une telle attaque est plus difficile à repousser avec des moyens improvisés intégrés, les bricoleurs doivent donc surveiller cette tendance avec prudence.

préparation de l'OS

Outre le réglage fin de nginx, vous devez prendre soin des paramètres de la pile réseau du système. À tout le moins, incluez immédiatement net.ipv4.tcp_syncookies dans sysctl pour vous protéger immédiatement d'une petite attaque par inondation SYN.

15. Accordez le noyau

Attention aux réglages plus poussés de la partie réseau (kernel), toujours en termes de timeouts et de mémoire. Il y en a des plus importants et des moins importants. Tout d'abord, vous devez faire attention à:

  • net.ipv4.tcp_fin_timeout Le temps que le socket passera dans la phase TCP FIN-WAIT-2 (attente d'un segment FIN/ACK).
  • net.ipv4.tcp_(,r,w)mem Taille du tampon de réception du socket TCP. Trois valeurs : minimum, valeur par défaut et maximum.
  • net.core.(r,w)mem_max Idem pour les tampons non TCP.

Avec un lien de 100 Mbps, les valeurs par défaut sont encore en quelque sorte adaptées ; mais si vous avez au moins des gigabits par seconde disponibles, alors il vaut mieux utiliser quelque chose comme :

sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w net.ipv4.tcp_wmem="4096 65536 8388608" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Révision /proc/sys/net/**

Il est idéal pour étudier tous les paramètres /proc/sys/net/**. Nous devons voir en quoi ils diffèrent de ceux par défaut et comprendre à quel point ils sont exposés de manière adéquate. Un développeur Linux (ou un administrateur système) qui comprend le fonctionnement du service Internet sous son contrôle et qui souhaite l'optimiser devrait lire avec intérêt la documentation de tous les paramètres de la pile réseau du noyau. Peut-être y trouvera-t-il des variables spécifiques à son site qui aideront non seulement à protéger le site contre les intrus, mais aussi à accélérer son travail.

N'ayez pas peur!

Les attaques DDoS réussies jour après jour éteignent le commerce électronique, secouent les médias, assomment les plus grands systèmes de paiement d'un seul coup. Des millions d'internautes perdent l'accès à des informations critiques. La menace est urgente, vous devez donc l'affronter entièrement armé. Faites vos devoirs, n'ayez pas peur et gardez la tête froide. Vous n'êtes pas le premier ni le dernier à faire face à une attaque DDoS sur votre site, et c'est à vous, guidé par vos connaissances et votre bon sens, de minimiser les conséquences de l'attaque.

Sur un système informatique afin de le mettre en panne, c'est-à-dire la création de telles conditions dans lesquelles les utilisateurs légaux (légitimes) du système ne peuvent pas accéder aux ressources (serveurs) fournies par le système, ou cet accès est difficile. La défaillance du système "ennemi" peut également être une étape vers la maîtrise du système (si en cas d'urgence, le logiciel donne des informations critiques - par exemple, la version, une partie du code du programme, etc.). Mais le plus souvent, il s'agit d'une mesure de pression économique : temps d'arrêt d'un service générateur de revenus, factures du fournisseur et mesures pour éviter qu'une attaque ne touche de manière significative la « cible » dans la poche.

Si une attaque est menée simultanément depuis un grand nombre d'ordinateurs, on parle de Attaque DDoS(de l'anglais. Déni de service distribué, attaque par déni de service distribué). Dans certains cas, une action involontaire conduit à une véritable attaque DDoS, par exemple placer un lien sur une ressource Internet populaire vers un site hébergé sur un serveur peu productif (effet slash dot). Un afflux important d'utilisateurs entraîne un dépassement de la charge autorisée sur le serveur et, par conséquent, un déni de service pour certains d'entre eux.

Types d'attaques DoS

Il existe plusieurs raisons pour lesquelles une condition DoS peut se produire :

  • Erreur dans le code du programme, entraînant l'accès à un fragment inutilisé de l'espace d'adressage, l'exécution d'une instruction non valide ou toute autre exception non gérée lorsque le programme serveur tombe en panne - le programme serveur. Un exemple classique est le référencement à base zéro. nul) adresse.
  • Validation insuffisante des données utilisateur, entraînant un cycle infini ou long ou une consommation accrue à long terme des ressources processeur (jusqu'à l'épuisement des ressources processeur) ou l'allocation d'une grande quantité de RAM (jusqu'à l'épuisement de la mémoire disponible).
  • inondation(Anglais) inondation- "flood", "overflow") - une attaque associée à un grand nombre de requêtes généralement dénuées de sens ou mal formatées adressées à un système informatique ou à un équipement réseau, qui a pour objectif ou conduit à une défaillance du système en raison de l'épuisement des ressources système - le processeur, la mémoire ou les canaux de communication.
  • Attaque du deuxième type- une attaque qui cherche à provoquer une fausse alarme du système de protection et ainsi conduire à l'indisponibilité de la ressource.

Si une attaque (généralement un flood) est menée simultanément à partir d'un grand nombre d'adresses IP - à partir de plusieurs ordinateurs dispersés dans le réseau - alors dans ce cas on l'appelle distribué attaque par déni de service ( DDoS).

Exploitation de bogues

Exploiter fait référence à un programme, à un morceau de code de programme ou à une séquence de commandes de programme qui exploitent les vulnérabilités d'un logiciel et sont utilisées pour attaquer un cybersystème. Parmi les exploits qui mènent à une attaque DoS, mais qui sont inadaptés, par exemple, pour prendre le contrôle d'un système « ennemi », les plus célèbres sont WinNuke et Ping of death (Ping de la mort).

inondation

Pour les inondations en tant que violation de la nétiquette, voir inondations .

inondation ils appellent un énorme flux de demandes sans signification de différents ordinateurs afin de prendre le système "ennemi" (processeur, RAM ou canal de communication) avec le travail et ainsi le désactiver temporairement. Le concept d'"attaque DDoS" est presque équivalent au concept de "flood", et dans la vie de tous les jours, les deux sont souvent interchangeables ("flood the server" = "DDoS'it the server").

Pour créer une inondation, vous pouvez utiliser à la fois des utilitaires réseau ordinaires tels que ping (ce que l'on appelle, par exemple, la communauté Internet " Upyachka") et des programmes spéciaux. La possibilité de DDoS est souvent "cousue" dans les botnets. Si une vulnérabilité de script intersite ou la possibilité d'inclure des images provenant d'autres ressources est détectée sur un site à fort trafic, ce site peut également être utilisé pour une attaque DDoS.

Inondation du canal de communication et du sous-système TCP

Tout ordinateur qui communique avec le monde extérieur via le protocole TCP/IP est sujet à ces types d'inondations :

  • Inondation SYN - avec ce type d'attaque par inondation, un grand nombre de paquets SYN sont envoyés au nœud attaqué via le protocole TCP (demandes d'ouverture de connexion). Dans le même temps, après un court laps de temps, le nombre de sockets disponibles pour l'ouverture (sockets réseau logiciels, ports) est épuisé sur l'ordinateur attaqué et le serveur cesse de répondre.
  • Inondation UDP - ce type d'inondation n'attaque pas l'ordinateur cible, mais son canal de communication. Les fournisseurs supposent raisonnablement que les paquets UDP doivent être livrés en premier, tandis que TCP peut attendre. Un grand nombre de paquets UDP de différentes tailles obstruent le canal de communication et le serveur fonctionnant sur le protocole TCP cesse de répondre.
  • Inondation ICMP - la même chose, mais avec l'aide de paquets ICMP.

Inondation de la couche d'application

De nombreux services sont conçus de telle manière qu'une petite requête peut entraîner une grande consommation de puissance de calcul sur le serveur. Dans ce cas, ce n'est pas le canal de communication ou le sous-système TCP qui est attaqué, mais le service (service) lui-même - un flot de telles requêtes "malades". Par exemple, les serveurs Web sont vulnérables à l'inondation HTTP - soit un simple GET / ou une requête de base de données complexe comme GET /index.php?search= peut être utilisé pour désactiver un serveur Web<случайная строка> .

Détection d'attaque DoS

Il existe une opinion selon laquelle des outils spéciaux pour détecter les attaques DoS ne sont pas nécessaires, car le fait d'une attaque DoS ne peut être négligé. Dans de nombreux cas, cela est vrai. Cependant, des attaques DoS réussies ont été observées assez souvent, qui n'ont été remarquées par les victimes qu'après 2-3 jours. Il est arrivé que les conséquences négatives d'une attaque ( inondation-attaques) ont entraîné des coûts excessifs pour payer le trafic Internet excédentaire, qui n'a été découvert que lors de la réception d'une facture d'un fournisseur d'accès Internet. De plus, de nombreuses méthodes de détection d'intrusion sont inefficaces près de la cible de l'attaque, mais sont efficaces sur les dorsales du réseau. Dans ce cas, il est conseillé d'installer des systèmes de détection exactement là, et de ne pas attendre que l'utilisateur qui a été attaqué le remarque lui-même et demande de l'aide. De plus, afin de contrer efficacement les attaques DoS, il est nécessaire de connaître le type, la nature et d'autres caractéristiques des attaques DoS, et les systèmes de détection permettent d'obtenir rapidement ces informations.

Les méthodes de détection d'attaques DoS peuvent être divisées en plusieurs grands groupes :

  • signature - basée sur une analyse qualitative du trafic.
  • statistiques - basées sur une analyse quantitative du trafic.
  • hybride (combiné) - combinant les avantages des deux méthodes ci-dessus.

Protection DoS

Les mesures pour contrer les attaques DoS peuvent être divisées en passives et actives, ainsi qu'en préventives et réactives.

Vous trouverez ci-dessous une brève liste des principales méthodes.

  • La prévention. Prévention des raisons qui poussent certains individus à organiser et entreprendre des attaques DoS. (Très souvent, les cyberattaques en général sont le résultat de griefs personnels, de désaccords politiques, religieux et autres, d'un comportement provocateur de la victime, etc.)
  • Filtrage et blackholing. Bloquer le trafic des machines attaquantes. L'efficacité de ces méthodes diminue à mesure que vous vous rapprochez de l'objet de l'attaque et augmente à mesure que vous vous rapprochez de la machine attaquante.
  • DDOS inversé- rediriger le trafic utilisé pour l'attaque vers l'attaquant.
  • Élimination des vulnérabilités. Ne fonctionne pas contre inondation-les attaques pour lesquelles la "vulnérabilité" est la finitude de certaines ressources système.
  • Augmenter les ressources. Naturellement, il n'offre pas une protection absolue, mais c'est un bon arrière-plan pour appliquer d'autres types de protection contre les attaques DoS.
  • Dispersion. Construire des systèmes distribués et dupliqués qui n'arrêteront pas de servir les utilisateurs, même si certains de leurs éléments deviennent indisponibles en raison d'une attaque DoS.
  • Évasion.Éloigner la cible immédiate de l'attaque (nom de domaine ou adresse IP) des autres ressources qui sont souvent également affectées avec la cible immédiate de l'attaque.
  • Réponse active. Impact sur les sources, l'organisateur ou le centre de contrôle de l'attaque, à la fois par des moyens humains, organisationnels et légaux.
  • Utiliser des équipements pour repousser les attaques DoS. Par exemple DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® et d'autres fabricants.
  • Acquisition d'un service de protection contre les attaques DoS. Réel en cas de dépassement de la bande passante du canal réseau par le flood.

voir également

Remarques

Littérature

  • Chris Kaspersky Virus informatiques à l'intérieur et à l'extérieur. - Pierre. - Saint-Pétersbourg. : Pierre, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse des failles de sécurité typiques dans les réseaux = Intrusion Signatures and Analysis. - New Riders Publishing (anglais) St. Petersburg: Williams Publishing House (russe), 2001. - P. 464. - ISBN 5-8459-0225-8 (russe), 0-7357-1063-5 (anglais)
  • Morris, R.T.= Une faiblesse dans le logiciel 4.2BSD Unix TCP/IP. - Rapport Technique Informatique N°117. - AT&T Bell Laboratories, février 1985.
  • Bellovin, S.M.= Problèmes de sécurité dans la suite de protocoles TCP/IP. - Revue de communication informatique, Vol. 19, n°2. - Laboratoires AT&T Bell, avril 1989.
  • = daemon9 / route / infinity "IP-spooling démystifié : Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Numéro 48. - Guild Production, juillet 1996.
  • = daemon9/route/infinity "Projet Neptune". - Phrack Magazine, Vol.7, Numéro 48. - Guild Production, juillet 1996.

Liens

  • Attaque DOS dans le répertoire de liens du projet Open Directory (

Attaque DDOS. Explication et exemple.

Salut tout le monde. Ceci est le blog Computer76, et maintenant un autre article sur les bases de l'art des hackers. Aujourd'hui, nous allons parler de ce qu'est une attaque DDOS avec des mots simples et des exemples. Avant de lancer en termes techniques, il y aura une introduction que tout le monde peut comprendre.

Pourquoi une attaque DDOS est-elle utilisée ?

Le piratage WiFi est utilisé pour collecter le mot de passe d'un réseau sans fil. Les attaques sous la forme de " " vous permettront d'écouter le trafic Internet. L'analyse de vulnérabilité avec le chargement ultérieur d'un spécifique permet de capturer l'ordinateur cible. Que fait une attaque DDOS ? En fin de compte, son objectif est de prendre possession de la ressource à son propriétaire légitime. Je ne veux pas dire que le site ou le blog ne vous appartiendra pas. C'est dans le sens qu'en cas d'attaque réussie sur votre site, vous en perdre le contrôle. Au moins pour un moment.

Cependant, dans l'interprétation moderne de DDOS, une attaque est le plus souvent utilisée pour perturber le fonctionnement normal de n'importe quel service. Des groupes de hackers, dont les noms reviennent constamment, s'attaquent à de grands sites gouvernementaux ou gouvernementaux afin d'attirer l'attention sur certains problèmes. Mais presque toujours derrière de telles attaques il y a un intérêt purement mercantile : le travail de concurrents ou de simples farces avec des sites complètement indécemment non protégés. Le concept principal de DDOS est qu'un grand nombre d'utilisateurs, ou plutôt de requêtes d'ordinateurs robots, accèdent au site en même temps, ce qui rend la charge sur le serveur insupportable. On entend souvent l'expression « le site n'est pas disponible », mais peu de gens réfléchissent à ce qui se cache réellement derrière cette formulation. Eh bien, maintenant vous savez.

Attaque DDOS - options

Option 1.

joueurs entassés à l'entrée

Imaginez que vous jouez à un jeu multijoueur en ligne. Des milliers de joueurs jouent avec vous. Et vous connaissez la plupart d'entre eux. Vous négociez les détails et faites ce qui suit à l'heure X. Vous allez tous sur le site en même temps et créez un personnage avec le même ensemble de caractéristiques. Regroupez-vous en un seul endroit, bloquant l'accès aux objets du jeu par le nombre de personnages créés simultanément pour d'autres utilisateurs consciencieux qui ne se doutent de rien de votre collusion.

Option 2.


Imaginez que quelqu'un décide de perturber le service de bus dans la ville le long d'un certain itinéraire afin d'empêcher les passagers consciencieux d'utiliser les services de transport public. Des milliers de vos amis se rendent en même temps aux arrêts au début de l'itinéraire spécifié et roulent sans but dans toutes les voitures d'un bout à l'autre jusqu'à épuisement de l'argent. Le voyage est payé, mais personne ne descend à aucun arrêt autre que les destinations finales. Et d'autres passagers, debout aux arrêts intermédiaires, regardent tristement les minibus qui s'éloignent, incapables de se frayer un chemin dans les bus bondés. Tout est dans l'épuisement : aussi bien les propriétaires de taxis que les passagers potentiels.

En réalité, ces options ne peuvent pas être mises en œuvre physiquement. Cependant, dans le monde virtuel, vos amis peuvent être remplacés par des ordinateurs d'utilisateurs peu scrupuleux qui ne prennent pas la peine de protéger d'une manière ou d'une autre leur ordinateur ou leur ordinateur portable. Et la grande majorité le sont. Il existe de nombreux programmes pour effectuer une attaque DDOS. Inutile de dire que de telles actions sont illégales. Et une attaque DDOS ridiculement préparée, quel que soit son succès, est détectée et punie.

Comment se déroule une attaque DDOS ?

En cliquant sur un lien de site Web, votre navigateur envoie une demande au serveur pour afficher la page que vous recherchez. Cette requête est exprimée sous la forme d'un paquet de données. Et pas même un, mais tout un paquet de forfaits ! Dans tous les cas, la quantité de données transmises par canal est toujours limitée à une certaine largeur. Et la quantité de données renvoyées par le serveur est disproportionnée par rapport à ce qui est contenu dans votre requête. Cela prend l'effort et les ressources du serveur. Plus le serveur est fort, plus il est cher pour le propriétaire et plus les services qu'il fournit sont chers. Les serveurs modernes peuvent facilement faire face à un afflux de visiteurs fortement accru. Mais pour l'un des serveurs, il existe toujours une valeur critique des utilisateurs qui souhaitent se familiariser avec le contenu du site. La situation est plus claire avec le serveur qui fournit les services d'hébergement de sites Web. Juste un peu, et le site victime est déconnecté du service, afin de ne pas surcharger les processeurs qui desservent des milliers d'autres sites situés sur le même hébergement. Le travail du site s'arrête jusqu'au moment où l'attaque DDOS elle-même s'arrête. Eh bien, imaginez que vous commencez à recharger l'une des pages du site mille fois par seconde (DOS). Et des milliers de vos amis font la même chose sur leurs ordinateurs (DOS ou DDOS distribués)... Les grands serveurs ont appris à reconnaître qu'une attaque DDOS a commencé et à la contrecarrer. Cependant, les pirates améliorent également leurs approches. Donc, dans le cadre de cet article, je ne peux pas expliquer plus en détail ce qu'est une attaque DDOS.

Qu'est-ce qu'une attaque DDOS que vous pouvez découvrir et essayer dès maintenant.

ATTENTION. Si vous décidez d'essayer, toutes les données non enregistrées seront perdues, vous aurez besoin d'un bouton pour remettre l'ordinateur en état de fonctionnement. RÉINITIALISER. Mais vous pourrez savoir exactement ce que « ressent » le serveur qui a été attaqué. Un exemple détaillé est un paragraphe ci-dessous, et maintenant - des commandes simples pour redémarrer le système.

  • Pour Linux, dans le terminal, tapez la commande :
:(){ :|:& };:

Le système refusera de fonctionner.

  • Pour Windows, je propose de créer un fichier bat dans Notepad avec le code :
:1 Démarrer aller à 1

Nommez le type DDOS.bat

Expliquer la signification des deux commandes, je pense, n'en vaut pas la peine. Tout est visible à l'œil nu. Les deux commandes forcent le système à exécuter le script et à le répéter immédiatement, en l'envoyant au début du script. Compte tenu de la rapidité d'exécution, le système tombe dans un état de stupeur au bout de quelques secondes. Jeu, comme ils disent, sur.

Attaque DDOS utilisant un logiciel.

Pour un exemple plus visuel, utilisez le programme Low Orbit Ion Cannon (canon à ions en orbite basse). Ou LOIC. La distribution la plus téléchargée se trouve à (nous travaillons sur Windows):

https://sourceforge.net/projects/loic/

ATTENTION ! Votre antivirus devrait réagir au fichier comme étant malveillant. C'est bon : vous savez déjà ce que vous téléchargez. Dans la base de données de signatures, il est marqué comme un générateur d'inondation - traduit en russe, c'est le but ultime des appels sans fin vers une adresse réseau spécifique. PERSONNELLEMENT, je n'ai remarqué aucun virus ou cheval de Troie. Mais vous avez le droit d'hésiter et de reporter le téléchargement.

Étant donné que des utilisateurs négligents bombardent la ressource de messages concernant un fichier malveillant, Source Forge vous amènera à la page suivante avec un lien direct vers le fichier :

En conséquence, j'ai réussi à télécharger l'utilitaire uniquement via .

La fenêtre du programme ressemble à ceci :

Point 1 Sélectionner la cible permettra à un attaquant de se concentrer sur une cible spécifique (une adresse IP ou une URL de site est saisie), point 3 Options d'attaque vous permettra de sélectionner le port attaqué, le protocole ( méthode) des trois TCP, UDP et HTTP. Dans le champ Message TCP/UDP, vous pouvez saisir un message pour la victime. Une fois terminé, l'attaque commence en appuyant sur un bouton IMMA CHARGIN MAH LAZER(c'est une phrase au bord d'une faute de l'autrefois populaire bande dessinéemème; Au fait, il y a beaucoup de jurons américains dans le programme). Tous.

AVERTISSEMENT

Cette option est destinée à tester uniquement pour localhost. C'est pourquoi:

  • contre les sites d'autres personnes, c'est illégal, et pour cela, ils sont déjà vraiment assis en Occident (ce qui signifie qu'ils seront bientôt plantés ici aussi)
  • l'adresse d'où vient l'inondation sera calculée rapidement, ils se plaindront au fournisseur, et il vous donnera un avertissement et vous rappellera le premier point
  • dans les réseaux avec un canal à faible débit (c'est-à-dire dans tous les réseaux domestiques), la petite chose ne fonctionnera pas. Avec le réseau TOR, tout est pareil.
  • si vous le configurez correctement, vous obstruerez rapidement VOTRE canal de communication au lieu de nuire à quelqu'un. C'est donc exactement l'option lorsque la poire bat le boxeur, et non l'inverse. Et l'option avec procuration suivra le même principe : personne n'aimera le déluge de votre part.

Lu : 9 326

De plus en plus, dans les messages officiels des hébergeurs, ici et là, les mentions d'attaques DDoS réfléchies scintillent. De plus en plus, les utilisateurs, ayant découvert l'indisponibilité de leur site, assument immédiatement le DDoS. En effet, début mars, le Runet a connu toute une vague d'attaques de ce type. Dans le même temps, les experts assurent que le plaisir ne fait que commencer. Il est tout simplement impossible d'ignorer un phénomène aussi pertinent, formidable et intrigant. Parlons donc aujourd'hui des mythes et des faits sur les attaques DDoS. Du point de vue de l'hébergeur, bien sûr.

jour commémoratif

Le 20 novembre 2013, pour la première fois en 8 ans d'histoire de notre société, l'ensemble du site technique était indisponible pendant plusieurs heures en raison d'une attaque DDoS sans précédent. Des dizaines de milliers de nos clients dans toute la Russie et la CEI ont souffert, sans parler de nous et de notre fournisseur d'accès Internet. La dernière chose que le fournisseur a réussi à corriger avant que la lumière blanche ne disparaisse pour tout le monde était que ses canaux d'entrée étaient étroitement obstrués par le trafic entrant. Pour visualiser cela, imaginez votre baignoire avec un évier ordinaire, dans lequel les chutes du Niagara se sont engouffrées.

Même les fournisseurs en amont ont ressenti les échos de ce tsunami. Les graphiques ci-dessous illustrent clairement ce qui s'est passé ce jour-là avec le trafic Internet à Saint-Pétersbourg et en Russie. Faites attention aux pics abrupts à 15h00 et 18h00, juste au moment où nous avons enregistré les attaques. Sur ces soudain plus 500-700 Go.

Il a fallu plusieurs heures pour localiser l'attaque. Le serveur auquel il a été envoyé a été calculé. Ensuite, le but des terroristes sur Internet a été calculé. Savez-vous qui a touché toute cette artillerie ennemie ? Un site client très ordinaire et modeste chacun.

Mythe numéro un : « L'objet de l'attaque est toujours l'hébergeur. Ce sont les machinations de ses concurrents. Pas le mien." En fait, la cible la plus probable pour les terroristes sur Internet est un site client régulier. C'est-à-dire le site d'un de vos voisins hébergeurs. Et peut-être le vôtre aussi.

Pas tous les DDoS...

Après les événements survenus sur notre site technique le 20 novembre 2013 et leur répétition partielle le 9 janvier 2014, certains utilisateurs ont commencé à présumer du DDoS en cas de défaillance particulière de leur propre site : « This is DDoS ! et "Avez-vous encore DDoS ?"

Il est important de se rappeler que si nous subissons un tel DDoS que même les clients le ressentent, nous le signalons immédiatement nous-mêmes.

Nous voulons rassurer ceux qui sont pressés de paniquer : si quelque chose ne va pas avec votre site, alors la probabilité qu'il s'agisse d'un DDoS est inférieure à 1 %. Tout simplement parce que beaucoup de choses peuvent arriver sur le site et que ce "beaucoup de choses" arrive beaucoup plus souvent. Nous parlerons des méthodes d'autodiagnostic rapide de ce qui se passe exactement avec votre site dans l'un des articles suivants.

En attendant - dans un souci d'exactitude de l'utilisation des mots - clarifions les termes.

À propos des termes

Attaque DoS (de l'anglais Denial of Service) - il s'agit d'une attaque conçue pour empêcher un serveur d'accéder au service en raison de sa surcharge.

Les attaques DoS ne sont pas liées à des dommages à l'équipement ou au vol d'informations ; leur objectif - faire en sorte que le serveur cesse de répondre. La différence fondamentale entre DoS est que l'attaque se produit d'une machine à l'autre. Il y a exactement deux participants.

Mais en réalité, nous n'observons pratiquement pas d'attaques DoS. Pourquoi? Car les objets d'attaques sont le plus souvent des objets industriels (par exemple, de puissants serveurs productifs d'hébergeurs). Et pour causer des dommages notables au fonctionnement d'une telle machine, il faut beaucoup plus de puissance que la sienne. C'est le premier. Et deuxièmement, l'initiateur d'une attaque DoS est assez facile à calculer.

DDoS - essentiellement le même que DoS, seule l'attaque est caractère distribué. Pas cinq, pas dix, pas vingt, mais des centaines et des milliers d'ordinateurs accèdent simultanément à un serveur à partir de différents endroits. Une telle armée de machines s'appelle botnet. Il est presque impossible de calculer le client et l'organisateur.

complices

Quels types d'ordinateurs sont inclus dans le botnet ?

Vous serez surpris, mais ce sont souvent les machines domestiques les plus ordinaires. Qui sait?.. - très probablement votre ordinateur personnel attiré du côté du mal.

Il faut un peu pour cela. Un attaquant trouve une vulnérabilité dans un système d'exploitation ou une application populaire et l'utilise pour infecter votre ordinateur avec un cheval de Troie qui, à un certain jour et à une certaine heure, demande à votre ordinateur de commencer à effectuer certaines actions. Par exemple, envoyez des requêtes à une adresse IP spécifique. Sans votre connaissance et votre participation, bien sûr.

Mythe numéro deux : « DDoS se fait quelque part loin de moi, dans un bunker souterrain spécial où sont assis des pirates barbus aux yeux rouges. En effet, sans le savoir, vous, vos amis et voisins - n'importe qui peut être un complice involontaire.

C'est vraiment ce qui se passe. Même si vous n'y pensez pas. Même si vous êtes terriblement loin de l'informatique (surtout si vous êtes loin de l'informatique !).

Piratage divertissant ou mécanique DDoS

Le phénomène DDoS est hétérogène. Ce concept combine de nombreuses options d'actions qui conduisent à un résultat (déni de service). Considérez les options pour les problèmes que les DDoSers peuvent nous apporter.

Surconsommation des ressources informatiques du serveur

Cela se fait en envoyant des paquets à une adresse IP spécifique, dont le traitement nécessite une grande quantité de ressources. Par exemple, pour charger une page, vous devez exécuter un grand nombre de requêtes SQL. Tous les attaquants demanderont cette page particulière, ce qui entraînera une surcharge du serveur et un déni de service pour les visiteurs normaux et légitimes du site.
C'est une attaque du niveau d'un écolier qui a consacré quelques soirées à lire le magazine Hacker. Elle n'est pas un problème. La même URL demandée est calculée instantanément, après quoi son accès est bloqué au niveau du serveur Web. Et ce n'est qu'une des solutions.

Surcharge des canaux de communication vers le serveur (vers la sortie)

Le niveau de difficulté de cette attaque est à peu près le même que le précédent. L'attaquant calcule la page la plus lourde du site, et le botnet sous son contrôle commence à la demander en masse.


Imaginez que la partie de Winnie l'ourson qui nous est invisible soit infiniment grande
Dans ce cas, il est aussi très facile de comprendre ce qui engorge exactement le canal sortant, et d'interdire l'accès à cette page. Les requêtes du même type sont faciles à voir à l'aide d'utilitaires spéciaux qui vous permettent de regarder l'interface réseau et d'analyser le trafic. Ensuite, une règle est écrite pour le pare-feu, qui bloque de telles requêtes. Tout cela est fait régulièrement, automatiquement et si rapidement que la plupart des utilisateurs ne sont au courant d'aucune attaque.

Mythe numéro trois : "UN Cependant, ils visitent rarement souvent mon hébergement et je les remarque toujours. En fait, 99,9 % des attaques ne sont ni visibles ni ressenties. Mais la lutte quotidienne avec eux - c'est le travail quotidien et routinier d'une société d'hébergement. C'est notre réalité, dans laquelle l'attaque est bon marché, la concurrence est hors normes, et tout le monde ne fait pas preuve de lisibilité dans les méthodes de lutte pour une place au soleil.

Surcharge des canaux de communication vers le serveur (à l'entrée)

C'est déjà un casse-tête pour ceux qui lisent le magazine Hacker depuis plus d'une journée.


Photo du site Web de la radio "Echo de Moscou". Ils n'ont rien trouvé de plus illustratif pour représenter les DDoS avec surcharge de canal à l'entrée.
Pour remplir le canal de trafic entrant à pleine capacité, vous devez disposer d'un botnet dont la puissance vous permet de générer la quantité de trafic requise. Mais peut-être existe-t-il un moyen de donner peu de trafic et d'en obtenir beaucoup ?

Il y en a, et pas un. Il existe de nombreuses options pour améliorer l'attaque, mais l'une des plus populaires en ce moment est attaque via des serveurs DNS publics. Les experts appellent cette méthode d'amplification Amplification DNS(au cas où quelqu'un préfère les termes d'experts). Et si c'est plus simple, alors imaginez une avalanche : un petit effort suffit pour la perturber, et des moyens inhumains pour l'arrêter.

Toi et moi savons que serveur DNS public sur demande, informe quiconque veut des données sur n'importe quel nom de domaine. Par exemple, nous demandons à un tel serveur : parlez-moi du domaine sprinthost.ru. Et lui, sans hésitation, nous balance tout ce qu'il sait.

Interroger un serveur DNS est une opération très simple. Cela ne coûte presque rien de le contacter, la demande sera microscopique. Par exemple, comme ceci :

Il ne reste plus qu'à choisir un nom de domaine, dont les informations constitueront un ensemble de données impressionnant. Ainsi, les 35 octets d'origine avec un léger mouvement de la main se transforment en près de 3700. Il y a une augmentation de plus de 10 fois.

Mais comment s'assurer que la réponse est dirigée vers la bonne IP ? Comment falsifier l'IP source de la requête pour que le serveur DNS émette ses réponses en direction de la victime, qui n'a demandé aucune donnée ?

Le fait est que les serveurs DNS fonctionnent sur Protocole de communication UDP, qui n'a pas du tout besoin de confirmation de l'origine de la requête. Forger une adresse IP sortante dans ce cas n'est pas un gros problème pour un doseur. C'est pourquoi ce type d'attaque est si populaire en ce moment.

Plus important encore, un très petit botnet suffit pour mettre en œuvre une telle attaque. Et plusieurs DNS publics disparates, qui ne verront rien d'étrange dans le fait que différents utilisateurs demandent de temps en temps des données à l'adresse d'un hôte. Et alors seulement, tout ce trafic fusionnera en un seul flux et clouera fermement un «tuyau».

Ce que le doseur ne peut pas savoir, c'est la capacité des canaux de l'attaquant. Et s'il ne calcule pas correctement la puissance de son attaque et ne bloque pas immédiatement le canal vers le serveur à 100%, l'attaque peut être rapidement et facilement repoussée. Utiliser des utilitaires comme Vidage TCP il est facile de savoir que le trafic entrant provient du DNS, et au niveau du Firewall d'en interdire l'acceptation. Cette option - refuser d'accepter le trafic du DNS - est associée à un certain inconvénient pour tout le monde, cependant, les serveurs et les sites qu'ils contiennent continueront à fonctionner avec succès.

Ce n'est qu'une des nombreuses options pour améliorer l'attaque. Il existe bien d'autres types d'attaques, nous pourrons en reparler une autre fois. En attendant, je voudrais résumer que tout ce qui précède est vrai pour une attaque dont la puissance ne dépasse pas la largeur du canal vers le serveur.

Si l'attaque est forte

Si la puissance d'attaque dépasse la capacité du canal vers le serveur, ce qui suit se produit. Le canal Internet est instantanément bouché vers le serveur, puis vers le site d'hébergement, vers son fournisseur d'accès Internet, vers le fournisseur en amont, et ainsi de suite et dans l'ordre croissant (dans le futur - jusqu'aux limites les plus absurdes), jusqu'à la la puissance d'attaque est suffisante.

Et puis cela devient un problème mondial pour tout le monde. Et bref, c'est ce à quoi nous avons dû faire face le 20 novembre 2013. Et lorsque des bouleversements à grande échelle se produisent, il est temps d'activer une magie spéciale !


Voici à quoi ressemble une magie spéciale.Avec l'aide de cette magie, il est possible de calculer le serveur vers lequel le trafic est dirigé et de bloquer son adresse IP au niveau du FAI. Pour qu'il cesse d'accepter tous les appels vers cette IP via ses canaux de communication avec le monde extérieur (uplinks). Aux amateurs de termes: les experts appellent cette procédure "coupure électrique", de l'anglais blackhole.

Dans le même temps, le serveur attaqué avec 500-1500 comptes reste sans son adresse IP. Un nouveau sous-réseau d'adresses IP lui est attribué, sur lequel les comptes clients sont répartis de manière aléatoire et uniforme. De plus, les experts attendent une répétition de l'attaque. Il se répète presque toujours.

Et quand ça se répète, il n'y a plus 500-1000 comptes sur l'IP attaquée, mais une dizaine ou deux.

Le cercle des suspects se resserre. Ces 10 à 20 comptes sont à nouveau distribués à différentes adresses IP. Une fois de plus, les ingénieurs guettent une autre attaque. Encore et encore, ils diffusent les comptes restant suspects à différentes adresses IP et ainsi, par approximation progressive, ils calculent l'objet de l'attaque. Tous les autres comptes à ce stade reviennent à un fonctionnement normal sur la même adresse IP.

Comme vous le savez, ce n'est pas une procédure instantanée, cela prend du temps à mettre en œuvre.

Mythe numéro quatre :"Lorsqu'une attaque massive se produit, mon hébergeur n'a pas de plan d'action. Il attend juste les yeux fermés la fin du bombardement et répond à mes lettres par le même type de réponses.Ce n'est pas le cas : en cas d'attaque, l'hébergeur agit selon un plan afin de la localiser et d'en éliminer les conséquences au plus vite. Et le même type de lettres vous permet de transmettre l'essence de ce qui se passe et en même temps d'économiser les ressources nécessaires au traitement le plus rapide possible d'une situation d'urgence..

Y a t-il de la lumière au bout du tunnel?

Maintenant, nous voyons que l'activité DDoS est en constante augmentation. Commander une attaque est devenu très accessible et moche pas cher. Pour éviter les accusations de propagande, il n'y aura pas de liens de preuve. Mais croyez-nous sur parole, ça l'est.

Cinquième mythe : « Une attaque DDoS est un événement très coûteux, et seuls les gros bonnets commerciaux peuvent se permettre d'en commander une. En dernier recours, ce sont les machinations des services secrets ! En fait, de tels événements sont devenus extrêmement accessibles.

Par conséquent, il n'est pas nécessaire de s'attendre à ce que l'activité malveillante disparaisse d'elle-même. Au contraire, cela ne fera que s'intensifier. Il ne reste plus qu'à forger et à aiguiser les armes. Ce que nous faisons, améliorer l'infrastructure du réseau.

Le côté juridique de la question

C'est un aspect très impopulaire des discussions sur les attaques DDoS, car nous entendons rarement parler de cas de capture et de punition des instigateurs. Cependant, rappelez-vous : Une attaque DDoS est une infraction pénale. Dans la plupart des pays du monde, y compris la Russie.

Mythe numéro six : « Maintenant que j'en sais assez sur les DDoS, je vais commander des vacances pour un concurrent - Et je n'en tirerai rien !" Il n'est pas exclu que ce soit le cas. Et si c'est le cas, cela ne semblera pas grand-chose.

  • Historique des liens avec le système de paiement DDoS Assist
  • Dénouement passionnant

De manière générale, nous ne conseillons à personne de se livrer à la pratique vicieuse du DDoS, afin de ne pas encourir les foudres de la justice et de ne pas plier son propre karma. Et nous, en raison des spécificités de notre activité et d'un vif intérêt pour la recherche, continuons à étudier le problème, à monter la garde et à améliorer les structures défensives.

PS :nous n'avons pas assez de mots gentils pour exprimer toute notre gratitude, alors nous disons simplement"Merci!" à nos clients patients qui nous ont chaleureusement soutenus lors d'une journée difficile le 20 novembre 2013. Vous avez prononcé de nombreux mots d'encouragement à l'appui de notre

mob_info