Kas yra ddos ​​ataka. DDoS ataka: kaip tai padaryti? DDoS atakų programos

Jei perskaitysite mūsų vadovą ir įdiegsite visas aprašytas technologijas – apsaugokite savo kompiuterį nuo įsilaužėlių grėsmių! Nepaisykite to!

Informacijos saugumo srityje ddos ​​atakos užima vieną iš pirmaujančių vietų elektroninių grėsmių reitinge. Tačiau dauguma vartotojų turi labai ribotas žinias šia tema. Dabar pabandysime šią temą aprėpti kuo išsamiau ir prieinamiau, kad galėtumėte įsivaizduoti, ką reiškia tokio tipo elektroninė grėsmė, kaip ji vykdoma ir atitinkamai kaip efektyviai su ja kovoti. Taigi susipažinkite – DDOS ataka.

Terminija

Norėdami kalbėti ta pačia kalba, turime įvesti terminus ir jų apibrėžimus.

Dos ataka yra paslaugų atsisakymo ataka. Iš čia kilo angliškas santrumpa dos – Denial of Service. Vienas iš potipių yra paskirstyta ataka, kuri vienu metu vykdoma iš kelių ir, kaip taisyklė, iš daugybės kompiuterių. Šioms parinktims skirsime pagrindinę diskusijos dalį, nes ddos ​​ataka turi daugiau destruktyvių pasekmių, o reikšmingas skirtumas yra tik atakai naudojamų kompiuterių skaičiuje.

Kad jums būtų lengviau suprasti. Tokiais veiksmais siekiama laikinai sustabdyti bet kurios paslaugos veikimą. Tai gali būti atskira tinklo svetainė, didelis interneto ar korinio ryšio paslaugų teikėjas, taip pat atskira paslauga (priimamos plastikinės kortelės). Kad puolimas pavyktų ir atneštų destruktyvius veiksmus, jis turi būti vykdomas iš daugybės taškų (šis punktas bus plačiau aptartas vėliau). Taigi „paskirstyta ataka“. Tačiau esmė išlieka ta pati – nutraukti tam tikros sistemos veikimą.

Norėdami užbaigti vaizdą, turite suprasti, kas ir kokiu tikslu atlieka tokius veiksmus.

Už atsisakymą teikti paslaugas, kaip ir už kitus kompiuterinius nusikaltimus, baudžiama pagal įstatymą. Todėl medžiaga pateikiama tik informaciniais tikslais. Jas atlieka IT specialistai, „kompiuterių“ ir „kompiuterinių tinklų“ temas gerai išmanantys žmonės arba, kaip jau tapo madinga sakyti, programišiai. Iš esmės šiuo renginiu siekiama pasipelnyti, nes paprastai ddos ​​atakas užsako nesąžiningi konkurentai. Čia būtų tikslinga pateikti nedidelį pavyzdį.

Tarkime, mažo miesto paslaugų rinkoje yra du dideli interneto tiekėjai. Ir vienas iš jų nori išstumti konkurentą. Jie užsako iš įsilaužėlių paskirstytą dos ataką prieš konkurento serverį. O antrasis tiekėjas dėl savo tinklo perkrovos nebegali suteikti savo vartotojams interneto prieigos. Dėl to – klientų ir reputacijos praradimas. Piratai gauna savo atlygį, nesąžiningas tiekėjas – naujus klientus.

Tačiau pasitaiko atvejų, kai jie „padaro“ tiesiog dėl pramogos arba norėdami patobulinti savo įgūdžius.

Paskirstyta DDoS ataka

Iš karto susitarkime – analizuosime kompiuterines atakas. Todėl, jei kalbame apie kelis įrenginius, iš kurių vykdoma ataka, tai bus kompiuteriai su nelegalia programine įranga.

Čia taip pat dera padaryti nedidelį nukrypimą.. Tiesą sakant, norint sustabdyti bet kurios paslaugos ar paslaugos veikimą, reikia viršyti jai didžiausią leistiną apkrovą. Paprasčiausias pavyzdys yra prieiga prie svetainės. Vienaip ar kitaip, jis skirtas tam tikram lankomumo pikui. Jei tam tikru momentu svetainėje apsilankys dešimt kartų daugiau žmonių, atitinkamai serveris negalės apdoroti tokio kiekio informacijos ir nustos veikti. Ir šiuo metu ryšiai bus užmegzti iš daugybės kompiuterių. Tai bus tie patys mazgai, kurie buvo aptarti aukščiau.

Pažiūrėkime, kaip tai atrodo toliau pateiktoje diagramoje:

Kaip matote, įsilaužėlis perėmė daugybę vartotojų kompiuterių ir juose įdiegė savo šnipinėjimo programas. Būtent jo dėka jis dabar gali atlikti reikiamus veiksmus. Mūsų atveju - atlikti ddos ​​ataką.

Taigi, jei dirbdami prie kompiuterio nesilaikysite saugos taisyklių, galite užsikrėsti virusine infekcija. Ir galbūt jūsų kompiuteris bus naudojamas kaip kenkėjiškų veiksmų priegloba.

Jums reikės: kai kuriuos saugumo aspektus aprašėme straipsnyje.

Tačiau kaip jie bus naudojami, priklauso nuo to, kurią parinktį pasirinks užpuolikas

Ddos atakų klasifikacija

Užpuolikai gali bandyti vykdyti šių tipų atakas:

  1. Pralaidumo perkrova. Kad prie tinklo prijungti kompiuteriai galėtų normaliai bendrauti, ryšio kanalas, kuriuo jie yra prijungti, turi veikti normaliai ir pateikti pakankamai parametrų konkrečioms užduotims atlikti (pavyzdžiui, pralaidumo). Šio tipo atakos yra nukreiptos būtent į tinklo ryšio kanalų perkrovą. Tai pasiekiama nuolat siunčiant nenuoseklią arba sistemos informaciją (ping komanda)
  2. Išteklių limitas. Šį tipą jau aptarėme aukščiau, pavyzdyje su prieiga prie svetainės. Kaip jau pastebėjome, serveris galėjo apdoroti ribotą skaičių vienu metu vykstančių jungčių. Užpuolikas turi nukreipti daug vienu metu veikiančių ryšių į serverį. Dėl to serveris nesusidoros su apkrova ir nustos veikti.
  3. Ataka prieš DNS serverius. Šiuo atveju DDOS ataka taip pat skirta sustabdyti prieigą prie svetainės. Kita galimybė yra nukreipti vartotoją iš tinkamos svetainės į netikrą. Tai gali būti daroma siekiant pavogti asmens duomenis. Tai pasiekiama atakuojant DNS serverius ir pakeičiant netikrus IP adresus. Panagrinėkime tai su pavyzdžiu. Tam tikras bankas naudoja savo svetainę mokėdamas internetu. Vartotojas turi eiti į jį ir įvesti savo plastikinės kortelės duomenis. Užpuolikas, norėdamas pavogti šią informaciją, sukuria to paties tipo svetainę ir atakuoja DNS serverius (vardų serverius). Šio įvykio tikslas – nukreipti vartotoją į užpuoliko svetainę, kai jis bando pasiekti banko svetainę. Jei tai pavyks, vartotojas, nesuvokdamas grėsmės, įves savo asmeninius duomenis į užpuoliko svetainę ir gaus prieigą prie jų.
  4. Programinės įrangos klaidos. Sunkiausia yra tokio tipo ataka. Piktininkai atskleidžia programinės įrangos defektus ir naudoja juos sistemos sunaikinimui. Norėdami užsisakyti tokią ddos ​​ataką, turėsite išleisti daug pinigų

Kaip atlikti DDOS ataką savo rankomis

Pavyzdžiui, nusprendėme parodyti, kaip galite atlikti DDOS ataką naudodami specialią programinę įrangą.

Norėdami pradėti, atsisiųskite programą čia. Po to paleiskite jį. Turėtumėte pamatyti pradžios langą:

Turite atlikti minimalius nustatymus:

  1. Stulpelyje „URL“ rašome svetainės, kurią norime atakuoti, adresą
  2. Tada paspauskite mygtuką „Užrakinti“ – pamatysime tikslinį šaltinį
  3. Mes įdėjome TCP metodą
  4. Pasirinkite gijų skaičių (Gijos)
  5. Nustatykite įkėlimo greitį naudodami slankiklį
  6. Atlikę visus nustatymus, paspauskite mygtuką „IMMA CHARGIN MAH LAZER“.

Viskas – prasidėjo puolimas. Dar kartą visi veiksmai pateikiami informaciniais tikslais.

Kaip apsisaugoti nuo DDOS atakų

Tikriausiai jau supratote, kad tokio pobūdžio grėsmė yra labai pavojinga. Todėl labai svarbu žinoti kovos su paskirstytomis atakomis ir jų prevencijos metodus bei principus.

  1. Filtravimo sistemų nustatymas yra sistemos administratorių ir prieglobos paslaugų teikėjų užduotis
  2. Apsaugos sistemų nuo DDOS atakų įsigijimas (programinės ir techninės įrangos sistemos)
  3. Užkardos ir prieigos kontrolės sąrašų (ACL) naudojimas – šia priemone siekiama filtruoti įtartiną srautą
  4. Turimų išteklių didinimas ir atleidimo sistemų diegimas
  5. Reaguoti į technines ir teisines priemones. Iki kaltininko patraukimo atsakomybėn

Straipsnio vaizdo įrašas:

Išvada

Dabar tikriausiai suprantate DDOS atakų pavojų. Į savo išteklių saugumo užtikrinimo klausimus reikia žiūrėti labai atsakingai, negailint laiko, jėgų ir pinigų. Dar geriau, turėkite atskirą specialistą arba visą informacijos saugos skyrių.

Nuolatiniai skaitytojai labai dažnai klausė, kaip galite redaguoti tekstą, jei failas yra PDF formatu. Atsakymą galima rasti medžiagoje -

Norėdami apsaugoti savo duomenis, galite naudoti daugybę priemonių. Vienas iš šių variantų yra

Jei jums reikia redaguoti vaizdo įrašą internete, parengėme jums populiarių apžvalgą.

Kam ieškoti informacijos kitose svetainėse, jei viskas renkama iš mūsų?

Kova su DDoS atakomis yra ne tik sunkus, bet ir įdomus darbas. Nenuostabu, kad kiekvienas sistemos administratorius pirmiausia stengiasi organizuoti gynybą savarankiškai – juolab kad tai vis dar įmanoma.

Nusprendėme padėti jums atlikti šią sudėtingą užduotį ir paskelbti keletą trumpų, nereikšmingų ir neuniversalių patarimų, kaip apsaugoti svetainę nuo atakų. Šie receptai nepadės susidoroti su jokiu išpuoliu, tačiau išgelbės nuo daugumos pavojų.

Tinkami ingredientai

Šiurkšti tiesa yra ta, kad daugelį svetainių gali panaikinti bet kas, pasinaudojęs „Slowloris“ ataka, kuri stipriai nužudo „Apache“, arba surengęs vadinamąjį SYN potvynį, naudojant virtualių serverių fermą, per minutę iškeltą „Amazon EC2“ debesyje. Visi kiti patarimai, kaip apsisaugoti nuo DDoS, yra pagrįsti toliau nurodytomis svarbiomis sąlygomis.

1. Atsikratykite Windows Server

Praktika rodo, kad svetainė, kuri veikia Windows (2003 ar 2008 – nesvarbu), yra pasmerkta DDoS atveju. Gedimo priežastis slypi „Windows“ tinklo krūvoje: kai yra daug jungčių, serveris tikrai pradės reaguoti prastai. Nežinome, kodėl „Windows Server“ tokiose situacijose veikia taip prastai, tačiau su tuo susidūrėme ne kartą ar du. Dėl šios priežasties šiame straipsnyje pagrindinis dėmesys bus skiriamas apsaugos nuo DDoS atakų priemonėms tuo atveju, kai serveris veikia Linux sistemoje. Jei esate laimingas santykinai modernaus branduolio (pradedant nuo 2.6) savininkas, tada pagrindiniai įrankiai bus iptables ir ipset paslaugų programos (greitai pridėti IP adresus), su kuriomis galite greitai uždrausti robotus. Kitas sėkmės raktas yra gerai paruoštas tinklo krūvas, apie kurį taip pat kalbėsime toliau.

2. Išsiskirti su Apache

Antra svarbi sąlyga yra Apache atmetimas. Jei turite Apache, tai bent prieš jį įdėkite talpyklos tarpinį serverį - nginx arba lighttpd. Apache "labai sunku atiduoti failus ir, dar blogiau, jis iš esmės (tai yra nepataisomai) pažeidžiamas pavojingiausios Slowloris atakos, leidžiančios užpildyti serverį beveik nuo Mobilusis telefonas. Norėdami kovoti su įvairiais Slowloris tipais, Apache vartotojai pirmiausia sugalvojo pataisą Anti-slowloris.diff, tada mod_noloris, tada mod_antiloris, mod_limitipconn, mod_reqtimeout... Bet jei norite miegoti naktį, lengviau pasiimti HTTP serverį, kuris yra nepažeidžiamas Slowloris architektūros lygio kodu. Todėl visi mūsų tolesni receptai yra pagrįsti prielaida, kad nginx naudojamas priekinėje dalyje.

Kova su DDoS

Ką daryti, jei ateina DDoS? Tradicinė savigynos technika yra nuskaityti HTTP serverio žurnalo failą, parašyti grep šabloną (kuris pagauna robotų užklausas) ir uždrausti visus, kurie patenka į jį. Ši technika pasiteisins... jei pasiseks. Yra dviejų tipų botnetai, abu pavojingi, bet skirtingais būdais. Vienas visiškai ateina į svetainę akimirksniu, kitas - palaipsniui. Pirmasis užmuša viską iš karto, bet visa tai pasirodo žurnaluose, o jei juos grepaet ir uždrausite visus IP adresus, tada laimi. Antrasis botnetas svetainę nustato švelniai ir atsargiai, tačiau tikriausiai turėsite ją uždrausti vienai dienai. Bet kuriam administratoriui svarbu suprasti: jei planuojate kovoti su grep, tuomet turite būti pasiruošę skirti porą dienų kovai su ataka. Toliau pateikiami patarimai, kur galima iš anksto padėti šiaudelius, kad nebūtų taip skaudu kristi.

3. Naudokite testcookie modulį

Galbūt pats svarbiausias, efektyviausias ir veiksmingiausias šio straipsnio receptas. Jei DDoS atkeliauja į jūsų svetainę, testcookie-nginx modulis, sukurtas @kyprizel, gali tapti efektyviausiu būdu kovoti. Idėja paprasta. Dažniausiai robotai, kurie įgyvendina HTTP užtvindymą, yra gana kvaili ir neturi HTTP slapukų ir peradresavimo mechanizmų. Kartais pasitaiko ir pažangesnių – jie gali naudoti slapukus ir apdoroti peradresavimus, tačiau beveik niekada DoS botas neturi pilnaverčio JavaScript variklio (nors tai darosi vis dažniau). „Testcookie-nginx“ veikia kaip greitas filtras tarp robotų ir užpakalinės sistemos L7 DDoS atakos metu, todėl galite filtruoti nepageidaujamas užklausas. Kas įtraukta į šiuos čekius? Ar klientas moka atlikti HTTP peradresavimą, ar jis palaiko JavaScript, ar tai naršyklė, kaip teigia esanti (nes JavaScript visur skiriasi ir jei klientas sako, kad tai, tarkime, Firefox, tai galime patikrinti). Patvirtinimas įgyvendinamas naudojant slapukus, naudojant skirtingus metodus:

  • „Set-Cookie“ + peradresavimas naudojant 301 HTTP vietą;
  • „Set-Cookie“ + peradresavimas su naudojant HTML meta refresh;
  • savavališką šabloną ir galite naudoti „JavaScript“.

Kad būtų išvengta automatinio analizavimo, patvirtinimo slapukas gali būti užšifruotas naudojant AES-128 ir vėliau iššifruotas JavaScript kliento pusėje. IN nauja versija modulyje, tapo įmanoma per „Flash“ nustatyti slapuką, kuris taip pat leidžia efektyviai išnaikinti robotus (kurių „Flash“, kaip taisyklė, nepalaiko), tačiau taip pat blokuoja prieigą daugeliui teisėtų vartotojų (iš tikrųjų visi mobiliuosius įrenginius). Pažymėtina, kad labai lengva pradėti naudoti testcookie-nginx. Visų pirma kūrėjas nurodo keletą suprantamų pavyzdžių naudokite (skirtingiems atakų atvejams) su nginx konfigūracijos pavyzdžiais.

Be pranašumų, bandomieji slapukai turi ir trūkumų:

  • supjausto visus robotus, įskaitant „Googlebot“. Jei planuojate visam laikui palikti bandomąjį slapuką, įsitikinkite, kad nedingsite iš paieškos rezultatų;
  • sukuria problemų vartotojams su naršyklėmis Links, w3m ir panašiai;
  • neišsaugo nuo robotų, kuriuose yra pilnavertis naršyklės variklis su JavaScript.

Žodžiu, testcookie_module nėra universalus. Tačiau tai padeda iš daugelio dalykų, tokių kaip, pavyzdžiui, primityvūs įrankių rinkiniai Java ir C #. Taigi jūs pašalinote dalį grėsmės.

4. Kodas 444

DDoSers dažnai nukreipia į daugiausiai išteklių reikalaujančią svetainės dalį. Tipiškas pavyzdys yra paieška, kuri atlieka sudėtingas duomenų bazės užklausas. Natūralu, kad užpuolikai gali tuo pasinaudoti, vienu metu į paieškos sistemą įkeldami kelias dešimtis tūkstančių užklausų. Ką mes galime padaryti? Laikinai išjungti paiešką. Nors klientai negalės ieškoti reikalingos informacijos naudodami integruotus įrankius, visa pagrindinė svetainė veiks ir veiks, kol rasite visų problemų šaknį. Nginx palaiko nestandartinį 444 kodą, kuris leidžia tiesiog uždaryti ryšį ir nieko negrąžinti atsakant:

Vieta / paieška (grįžimas 444; )

Taigi, pavyzdžiui, galima greitai įdiegti filtravimą pagal URL. Jei esate tikri, kad užklausos dėl vietos /paieškos gaunamos tik iš robotų (pavyzdžiui, jūsų pasitikėjimas grindžiamas tuo, kad jūsų svetainėje iš viso nėra /paieška), galite įdiegti paketą ipset serveryje ir uždrausti robotus naudojant paprastą apvalkalo scenarijų:

Ipset -N uždrausti iphash tail -f access.log | skaitant LINIJA; padaryti aidą "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; atlikta

Jei žurnalo failų formatas yra nestandartinis (ne kombinuotas) arba jums reikia uždrausti dėl kitų priežasčių, o ne dėl atsakymo būsenos, gali tekti pakeisti iškirpimą įprastu reiškiniu.

5. Geo-banim

Nestandartinis atsakymo kodas 444 taip pat gali būti naudingas norint greitai uždrausti klientus pagal geografinę nuorodą. Galite griežtai apriboti atskiras šalis, kuriose jaučiatės nepatogiai. Pavyzdžiui, mažai tikėtina, kad internetinė fotoaparatų parduotuvė iš Rostovo prie Dono turi daug vartotojų Egipte. Tai nėra labai geras būdas (atvirai pasakius – šlykštus), nes GeoIP duomenys netikslūs, o rostoviečiai kartais atskrenda atostogauti į Egiptą. Bet jei neturite ko prarasti, vadovaukitės instrukcijomis:

  1. Prijunkite GeoIP modulį prie nginx (wiki.nginx.org/HttpGeoipModule).
  2. Rodyti geografinės nuorodos informaciją prieigos žurnale.
  3. Tada, pakeitę aukščiau pateiktą apvalkalo scenarijų, grep nginx prieigos žurnalą ir pridėkite geografiškai pašalintus klientus į draudimą.

Pavyzdžiui, jei robotai daugiausia buvo iš Kinijos, tai gali padėti.

6. Neuroninis tinklas (PoC)

Galiausiai galite pakartoti vartotojo @SaveTheRbtz patirtį, kuri paėmė PyBrain neuroninį tinklą, įdėjo į jį žurnalą ir išanalizavo užklausas (habrahabr.ru/post/136237). Metodas veikia, nors ir ne universalus :). Bet jei jūs tikrai žinote savo svetainės vidų – ir jūs, kaip sistemos administratorius, turėtumėte – tada greičiausiai jums padės tragiškiausiose situacijose toks įrankis, pagrįstas neuroniniais tinklais, mokymais ir iš anksto surinkta informacija. Šiuo atveju labai naudinga turėti access.log prieš pradedant DDoS, nes jis aprašo beveik 100% teisėtų klientų, todėl yra puikus duomenų rinkinys neuroniniam tinklui lavinti. Be to, robotai ne visada matomi žurnalas.

Problemos diagnozė

Svetainė neveikia – kodėl? Ar tai DDoSed, ar tai variklio klaida, kurios programuotojas nepastebėjo? Nesvarbu. Neieškokite atsakymo į šį klausimą. Jei manote, kad jūsų svetainė gali būti užpulta, susisiekite su įmonėmis, kurios teikia apsaugą nuo atakų – daugelis anti-DDoS paslaugų siūlo nemokamą pirmą dieną po prisijungimo – ir nebegaiškite laiko ieškodami simptomų. Sutelkti dėmesį į problemą. Jei svetainė veikia lėtai arba visai neatsidaro, vadinasi, kažkas negerai su jos veikimu, ir – nepaisant to, ar yra DDoS ataka, ar ne – jūs, kaip profesionalas, privalote suprasti, kas tai sukelia. Esame ne kartą liudininkai, kaip dėl DDoS atakos savo svetainės veikimo sunkumų patirianti įmonė, užuot ieškojusi svetainės variklio silpnybių, bandė siųsti paraiškas Vidaus reikalų ministerijai, siekdama surasti ir nubausti užpuolikus. Nedarykite tokių klaidų. Kibernetinių nusikaltėlių paieška yra nelengvas ir ilgas procesas, kurį apsunkina pati interneto struktūra ir principai, o svetainės veikimo problema turi būti išspręsta operatyviai. Paprašykite technikų išsiaiškinti, dėl ko sumažėjo svetainės našumas, o teisininkai galės parašyti skundą.

7. Naudokite profiliavimo programą ir derintuvą

Dažniausiai pasitaikančiai svetainių kūrimo platformai – PHP + MySQL – kliūtis galima rasti naudojant šiuos įrankius:

  • Xdebug profiliuotojas parodys, kuriems skambučiams programa praleidžia daugiausiai laiko;
  • integruotas APD derinimo įrankis ir derinimo išvestis į klaidų žurnalą padės tiksliai išsiaiškinti, kuris kodas iškviečia šiuos iškvietimus;
  • daugeliu atvejų šuo yra palaidotas duomenų bazės užklausų sudėtingumo ir sunkumo. Čia padės paaiškinti SQL direktyvą, įmontuotą duomenų bazės variklyje.

Jei svetainė guli ant nugaros ir nieko neprarandate, atsijunkite nuo tinklo, pažiūrėkite į žurnalus, pabandykite juos paleisti. Jei ne, eikite per puslapius, pažiūrėkite į pagrindą.

Pavyzdys skirtas PHP, tačiau idėja galioja bet kuriai platformai. Kūrėjas, rašantis programinės įrangos produktus bet kuria programavimo kalba, turi sugebėti greitai naudoti derintuvą ir profiliavimo priemonę. Treniruokis iš anksto!

8. Analizuoti klaidas

Išanalizuoti srauto kiekį, serverio reakcijos laiką, klaidų skaičių. Žr. žurnalus. „nginx“ serverio atsako laikas žurnale įrašomas dviem kintamaisiais: užklausos_laikas ir priešsrautinio atsako_laikas. Pirmasis yra bendras užklausos vykdymo laikas, įskaitant tinklo delsą tarp vartotojo ir serverio; antrasis nurodo, kiek laiko backend (Apache, php_fpm, uwsgi...) vykdo užklausą. Vertė upstream_response_time yra labai svarbi svetainėms, kuriose yra daug dinamiško turinio ir aktyvus ryšys tarp sąsajos ir duomenų bazės, todėl jos nereikėtų pamiršti. Kaip žurnalo formatą galite naudoti šią konfigūraciją:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent """$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Tai kombinuotas formatas su pridėtais laiko laukais.

9. Sekite užklausas per sekundę

Taip pat pažiūrėkite į užklausų skaičių per sekundę. Nginx atveju galite apytiksliai įvertinti šią reikšmę naudodami šią apvalkalo komandą (kintamajame ACCESS_LOG yra kelias į nginx užklausų žurnalą kombinuotu formatu):

Echo $(($(fgrep -c "$(env LC_ALL=C data --date=@$(($(data \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

Palyginti su šiuo paros metu įprastu lygiu, užklausų skaičius per sekundę gali ir kristi, ir augti. Jie auga, jei ateina didelis botnetas, ir krenta, jei gaunamas botnetas sugenda svetainę, todėl teisėtiems vartotojams ji tampa visiškai nepasiekiama, o tuo pačiu metu botnetas neprašo statikos, o teisėti vartotojai tai daro. Užklausų skaičiaus mažėjimas pastebimas būtent dėl ​​statikos. Tačiau vienaip ar kitaip kalbame apie rimtus rodiklių pokyčius. Kai tai nutinka staiga – kol bandote problemą išspręsti patys ir jei jos iš karto nematote žurnale, geriau greitai patikrinti variklį ir lygiagrečiai kreiptis į specialistus.

10. Nepamirškite apie tcpdump

Daugelis žmonių pamiršta, kad tcpdump yra puikus diagnostikos įrankis. Pateiksiu porą pavyzdžių. 2011 m. gruodžio mėn. „Linux“ branduolyje buvo aptikta klaida, kai jis atidarė TCP ryšį, kai buvo nustatytos SYN ir RST TCP segmentų vėliavėlės. Pirmąjį pranešimą apie klaidą atsiuntė sistemos administratorius iš Rusijos, kurio resursas buvo atakuotas šiuo metodu – užpuolikai apie pažeidžiamumą sužinojo anksčiau nei visas pasaulis. Akivaizdu, kad tokia diagnozė jam padėjo. Kitas pavyzdys: nginx turi vieną nelabai gražią savybę – įrašo į žurnalą tik visiškai apdorojus užklausą. Būna situacijų, kai svetainė neveikia, niekas neveikia ir žurnaluose nieko nėra. Taip yra todėl, kad visos užklausos, kurios šiuo metu įkeliamos į serverį, dar nebaigtos. Tcpdump čia taip pat padės.

Taip gerai, kad patariau žmonėms nenaudoti dvejetainių protokolų, kol neįsitikins, kad viskas tvarkoje, nes tekstinius protokolus lengva derinti su tcpdump, o dvejetainius – ne. Tačiau snifferis yra geras diagnostikos įrankis - kaip gamybos palaikymo priemonę"ir jis baisus. Tai gali lengvai prarasti kelis paketus vienu metu ir sujaukti jūsų vartotojo istoriją. Patogu žiūrėti jo išvestį, pravers ir rankinei diagnostikai, ir draudimui, bet stenkitės tuo negrįsti nieko kritiško. Kitas mėgstamas „atšilimo užklausų“ įrankis – ngrep – paprastai pagal nutylėjimą bando paprašyti maždaug dviejų gigabaitų nekeičiamosios atminties ir tik tada pradeda mažinti savo poreikius.

11. Atakuoti ar ne?

Kaip atskirti, pavyzdžiui, DDoS ataką nuo reklamos kampanijos poveikio? Šis klausimas gali atrodyti juokingas, tačiau ši tema ne mažiau sudėtinga. Yra gana juokingų atvejų. Kai kuriems geriems vaikinams, kai jie įsitempė ir kruopščiai sugadino talpyklą, svetainė porą dienų susirgo. Paaiškėjo, kad keletą mėnesių ši svetainė buvo nepastebimai išgauta duomenų kai kurių vokiečių, o prieš optimizuojant svetainės puslapio talpyklą šiems vokiečiams, su visomis nuotraukomis, įkėlimas užtruko gana ilgai. Kai puslapis buvo iš karto pradėtas išduoti iš talpyklos, robotas, kuris neturėjo jokių skirtųjų laiko pabaigos, taip pat pradėjo juos akimirksniu rinkti. Buvo sunku. Atvejis ypač sunkus dėl to, kad jei jūs pats pakeitėte nustatymą (įjungėte talpyklą) ir po to svetainė nustojo veikti, tai kas, jūsų ir viršininko nuomone, kaltas? Būtent. Jei pastebite staigų užklausų skaičiaus padidėjimą, pažiūrėkite, pavyzdžiui, Google Analytics, kas į kokius puslapius atėjo.

Web serverio derinimas

Kokie kiti pagrindiniai punktai? Žinoma, galite nustatyti „numatytąjį“ nginx ir tikėtis, kad viskas bus gerai. Tačiau geri dalykai ne visada nutinka. Todėl bet kurio serverio administratorius turi skirti daug laiko nginx koregavimui ir derinimui.

12. Apriboti išteklius (buferio dydžius) nginx

Ką visų pirma reikėtų atsiminti? Kiekvienas išteklius turi limitą. Visų pirma, tai susiję laisvosios kreipties atmintis. Todėl antraštių ir visų naudojamų buferių dydžiai turėtų būti apriboti iki atitinkamų verčių vienam klientui ir visam serveriui. Jie turi būti užregistruoti nginx konfigūracijoje.

  • client_header_buffer_size_ _ Nustato buferio dydį kliento užklausos antraštei nuskaityti. Jei užklausos eilutė arba užklausos antraštės laukas visiškai netelpa į šį buferį, tada skiriami didesni buferiai, nurodyti direktyvoje big_client_header_buffers.
  • big_client_header_buffers Nurodo maksimalų buferių skaičių ir dydį, kad būtų galima nuskaityti didelę kliento užklausos antraštę.
  • client_body_buffer_size Nustato buferio dydį kliento užklausos turiniui nuskaityti. Jei užklausos turinys yra didesnis nei nurodytas buferis, tada visas užklausos turinys arba tik dalis jo įrašomi į laikiną failą.
  • client_max_body_size Nustato didžiausią leistiną kliento užklausos turinį, nurodytą užklausos antraštės lauke Turinys-ilgis. Jei dydis yra didesnis nei nurodytas, tada klientas pateikia klaidą 413 (Užklausos objektas per didelis).

13. Nustatykite skirtąjį laiką nginx

Laikas taip pat yra išteklius. Todėl kitas svarbus žingsnis turėtų būti visų skirtojo laiko nustatymas, kurį vėlgi labai svarbu atidžiai registruoti nginx nustatymuose.

  • reset_timetout_connection on; Padeda susidoroti su FIN-WAIT fazėje įstrigusiais lizdais.
  • client_header_timeout Nurodomas skirtasis laikas nuskaitant kliento užklausos antraštę.
  • client_body_timeout Nurodomas skirtasis laikas nuskaitant kliento užklausos turinį.
  • Keepalive_timeout Nustato skirtąjį laiką, per kurį serveris neuždarys ryšio su klientu. Daugelis bijo čia nustatyti dideles vertybes, tačiau nesame tikri, kad ši baimė yra pagrįsta. Pasirinktinai galite nustatyti skirtojo laiko reikšmę „Keep-Alive“ HTTP antraštėje, tačiau „Internet Explorer“ garsėja šios reikšmės ignoravimu.
  • siuntimo laikas Nurodomas skirtasis laikas siunčiant atsakymą klientui. Jei po šio laiko klientas nieko negaus, ryšys bus nutrauktas.

Iš karto kyla klausimas: kokie buferių ir skirtųjų laiko parametrų parametrai yra teisingi? Universalaus recepto čia nėra, kiekviena situacija turi savo. Tačiau yra patikrintas metodas. Būtina nustatyti minimalias vertes, kuriomis svetainė veikia (taikos metu), tai yra, puslapiai grąžinami ir užklausos apdorojamos. Tai nustatoma tik testuojant – tiek iš stalinių kompiuterių, tiek iš mobiliųjų įrenginių. Kiekvieno parametro reikšmių radimo algoritmas (buferio dydis arba laikas):

  1. Nustatome matematinę mažiausią parametro reikšmę.
  2. Pradedame vykdyti svetainės testus.
  3. Jei visos svetainės funkcijos veikia be problemų, parametras yra apibrėžtas. Jei ne, padidinkite parametro reikšmę ir pereikite prie 2 veiksmo.
  4. Jei parametro reikšmė viršijo net numatytąją reikšmę, tai yra priežastis diskusijoms kūrimo komandoje.

Kai kuriais atvejais, peržiūrėjus šiuos parametrus, svetainė turėtų būti pertvarkyta / pertvarkyta. Pavyzdžiui, jei svetainė neveikia be trijų minučių AJAX ilgų apklausų užklausų, jums nereikia ilginti skirtojo laiko, o pakeisti ilgą apklausą kažkuo kitu - 20 tūkstančių mašinų botnetu, tris minutes pakabinančiu užklausas, lengvai nužudys vidutinį pigų serverį.

14. Apriboti ryšius naudojant nginx (limit_conn ir limit_req)

Nginx taip pat turi galimybę apriboti ryšius, užklausas ir pan. Jei nesate tikri, kaip elgsis tam tikra jūsų svetainės dalis, idealiu atveju turėtumėte ją išbandyti, išsiaiškinti, kiek užklausų ji gali apdoroti, ir įrašyti tai į savo nginx konfigūraciją. Vienas dalykas, kai svetainė neveikia ir jūs galite ateiti ir ją pasiimti. Ir visai kitas reikalas – kai atsigulė iki tokio lygio, kad serveris pateko į apsikeitimą. Tokiu atveju dažnai lengviau paleisti iš naujo, nei laukti jo pergalingo sugrįžimo.

Tarkime, kad svetainėje yra skyrelių su iškalbingais pavadinimais /download ir /search. Tai darydami mes:

  • nenorime, kad robotai (arba žmonės, turintys per daug uolų rekursinių atsisiuntimų tvarkytuvų), užpildytų mūsų TCP ryšio lentelę savo atsisiuntimais;
  • mes nenorime robotų (ar paklydusių tikrintuvų paieškos sistemos) išnaudojo DBVS skaičiavimo išteklius atlikdama daugybę paieškos užklausų.

Šiems tikslams tiks ši konfigūracija:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; serveris ( vieta /atsiuntimas/ ( limit_conn download_c 1; # Kitos konfigūracijos vieta= ) limito vieta /qarch zone/ search_r burst=5; # Kita konfigūracijos vieta ) ) )

Paprastai tikslinga nustatyti limitus limit_conn ir limit_req vietoms, kuriose yra brangiai vykdomi scenarijai (pavyzdyje nurodyta paieška, ir tai neatsitiktinai). Apribojimai turi būti parinkti remiantis apkrovos ir regresijos testų rezultatais bei sveiku protu.

Atkreipkite dėmesį į 10 m parametrą pavyzdyje. Tai reiškia, kad šiai ribai apskaičiuoti bus skirtas žodynas, kurio buferis yra 10 megabaitų, o ne daugiau. Šioje konfigūracijoje tai leis stebėti 320 000 TCP seansų. Siekiant optimizuoti atminties naudojimą, kintamasis $binary_remote_addr naudojamas kaip raktas žodyne, kuriame yra vartotojo IP adresas dvejetaine forma ir užima mažiau atminties nei įprastas $remote_addr eilutės kintamasis. Reikėtų pažymėti, kad antrasis limit_req_zone direktyvos parametras gali būti ne tik IP, bet ir bet kuris kitas šiame kontekste pasiekiamas nginx kintamasis – pavyzdžiui, tuo atveju, kai nenorite suteikti atlaidesnio tarpinio serverio režimo, galite naudoti $binary_remote_addr$http_user_agent arba $binary_remote_addr$http_cookie_myc00kiez – bet tokias konstrukcijas reikia naudoti atsargiai, nes, skirtingai nei 32 bitų $binary_remote_addr, šie kintamieji gali būti daug ilgesni ir jūsų deklaruotas „10m“ gali staiga baigtis.

DDoS tendencijos

  1. Tinklo ir transporto sluoksnių atakų galia nuolat auga. Vidutinės SYN potvynio atakos potencialas jau pasiekė 10 milijonų paketų per sekundę.
  2. Atakos prieš DNS pastaruoju metu buvo ypač paklausios. UDP užtvindymas galiojančiomis DNS užklausomis su suklastotais šaltinio IP adresais yra viena iš lengviausiai įgyvendinamų ir sunkiai atremtų atakų. Daugelis didelių Rusijos įmonių (įskaitant prieglobos įmones) pastaruoju metu patyrė problemų dėl atakų prieš jų DNS serverius. Kuo toliau, tuo daugiau tokių išpuolių bus ir jų galia augs.
  3. Sprendžiant pagal išorinius požymius, dauguma botnetų yra valdomi ne centralizuotai, o per peer-to-peer tinklą. Tai suteikia užpuolikams galimybę laiku sinchronizuoti botneto veiksmus – jei ankstesnės valdymo komandos buvo paskirstytos 5000 kompiuterių robotų tinkle per dešimtis minučių, dabar skaičiuojamos sekundės ir jūsų svetainėje gali staiga padidėti šimtus kartų. prašymus.
  4. Botų, turinčių visavertį naršyklės variklį su JavaScript, dalis vis dar nedidelė, tačiau ji nuolat auga. Tokią ataką sunkiau atremti įmontuotomis improvizuotomis priemonėmis, todėl „pasidaryk pats“ šią tendenciją reikėtų stebėti atsargiai.

ruošiant OS

Be tikslaus nginx derinimo, turite pasirūpinti ir sistemos tinklo kamino nustatymais. Bent jau nedelsdami įtraukite net.ipv4.tcp_syncookies į sysctl, kad apsisaugotumėte nuo nedidelio SYN potvynio išpuolio.

15. Sureguliuokite šerdį

Atkreipkite dėmesį į sudėtingesnius tinklo dalies (branduolio) nustatymus, vėlgi kalbant apie skirtąjį laiką ir atmintį. Yra svarbesnių ir mažiau svarbių. Visų pirma, reikia atkreipti dėmesį į:

  • net.ipv4.tcp_fin_timeout Laikas, kurį lizdas praleis TCP fazėje FIN-WAIT-2 (laukdamas FIN/ACK segmento).
  • net.ipv4.tcp_(,r,w)mem TCP lizdo priėmimo buferio dydis. Trys reikšmės: minimali, numatytoji vertė ir didžiausia.
  • net.core.(r,w)mem_max Tas pats ir ne TCP buferiams.

Naudojant 100 Mbps ryšį, numatytosios reikšmės vis tiek kažkaip tinkamos; bet jei turite bent gigabitų per sekundę, tada geriau naudoti kažką panašaus:

sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w. 6p 9 3 = 6pv_4 m. 8860 8" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Peržiūra /proc/sys/net/**

Idealu ištirti visus parametrus /proc/sys/net/**. Turime pamatyti, kuo jie skiriasi nuo numatytųjų, ir suprasti, kaip tinkamai jie rodomi. „Linux“ kūrėjas (arba sistemos administratorius), kuris supranta jo valdomos interneto paslaugos veikimą ir nori ją optimizuoti, turėtų su susidomėjimu perskaityti visų branduolio tinklo kamino parametrų dokumentaciją. Galbūt jis ten ras savo svetainei būdingų kintamųjų, kurie padės ne tik apsaugoti svetainę nuo įsibrovėlių, bet ir pagreitinti jos darbą.

Nebijok!

Sėkmingos DDoS atakos diena iš dienos gesina elektroninę prekybą, sukrečia žiniasklaidą, vienu smūgiu išmuša didžiausias mokėjimo sistemas. Milijonai interneto vartotojų praranda prieigą prie svarbios informacijos. Grėsmė yra neatidėliotina, todėl turite ją sutikti visiškai apsiginklavę. Atlikite namų darbus, nebijokite ir laikykite šaltą galvą. Jūs nesate pirmasis ir ne paskutinis, susidūręs su DDoS ataka savo svetainėje, todėl jūs, vadovaudamiesi savo žiniomis ir sveiku protu, turite sumažinti atakos pasekmes.

Skaičiavimo sistemoje, siekiant ją sugadinti, tai yra sukurti tokias sąlygas, kurioms esant teisėti (teisėti) sistemos vartotojai negalėtų pasiekti sistemos teikiamų išteklių (serverių) arba ši prieiga yra apsunkinta. „Priešo“ sistemos gedimas taip pat gali būti žingsnis link sistemos įsisavinimo (jei avarijos atveju programinė įranga pateikia bet kokią svarbią informaciją - pavyzdžiui, versiją, programos kodo dalį ir pan.). Tačiau dažniau tai yra ekonominio spaudimo matas: pajamas generuojančios paslaugos prastovos, tiekėjo sąskaitos ir priemonės, padedančios išvengti atakos, gerokai pataikė į „taikinį“ kišenėje.

Jei ataka vienu metu vykdoma iš daugybės kompiuterių, kalbama apie tai DDoS ataka(iš anglų kalbos. Paskirstytas atsisakymas teikti paslaugą, paskirstyta paslaugų atsisakymo ataka). Kai kuriais atvejais nenumatytas veiksmas sukelia tikrą DDoS ataką, pavyzdžiui, populiariame interneto šaltinyje įdedama nuoroda į svetainę, esančią ne itin produktyviame serveryje (pasvirojo taško efektas). Didelis vartotojų antplūdis viršija leistiną serverio apkrovą ir dėl to kai kuriems iš jų atsisakoma paslauga.

DoS atakų tipai

Yra įvairių priežasčių, kodėl gali atsirasti DoS būklė:

  • Klaida programos kode, dėl ko gaunama prieiga prie nenaudojamo adresų erdvės fragmento, įvykdoma neteisinga instrukcija ar kita neapdorota išimtis, kai sugenda serverio programa – serverio programa. Klasikinis pavyzdys yra nulinės nuorodos. nulinis) adresą.
  • Nepakankamas vartotojo duomenų patvirtinimas, sukeliantis begalinį ar ilgą ciklą arba padidėjusį ilgalaikį procesoriaus išteklių suvartojimą (iki procesoriaus išteklių išeikvojimo) arba didelio RAM kiekio paskirstymą (iki turimos atminties išeikvojimo).
  • potvynis(Anglų) potvynis- "potvynis", "perpildymas") - ataka, susijusi su dideliu skaičiumi paprastai beprasmių ar neteisingai suformatuotų užklausų kompiuterinei sistemai ar tinklo įrangai, kurios tikslas arba sugedo sistema dėl sistemos išteklių išeikvojimo. - procesorius, atmintis arba ryšio kanalai.
  • Antros rūšies ataka- ataka, kuria siekiama sukelti klaidingą apsaugos sistemos aliarmą ir tokiu būdu sukelti resurso neprieinamumą.

Jei ataka (dažniausiai potvynis) vykdoma vienu metu iš daugybės IP adresų – iš kelių tinkle išsklaidytų kompiuterių – tokiu atveju ji vadinama platinami Paslaugų atsisakymo ataka ( DDoS).

Klaidų išnaudojimas

Išnaudoti reiškia programą, programos kodo dalį arba programos komandų seką, kuri išnaudoja programinės įrangos pažeidžiamumą ir yra naudojama kibernetinei sistemai atakuoti. Iš išnaudojimų, kurie veda į DoS ataką, bet yra netinkami, pavyzdžiui, perimti „priešo“ sistemos valdymą, žinomiausi yra „WinNuke“ ir „Ping of death“ („Ping of death“).

potvynis

Apie potvynį kaip etiketo pažeidimą žr.

potvynis jie iškviečia didžiulį beprasmių užklausų srautą iš skirtingų kompiuterių, norėdami paimti „priešo“ sistemą (procesorių, RAM ar ryšio kanalą) su darbu ir taip laikinai ją išjungti. „DDoS atakos“ sąvoka yra beveik lygiavertė sąvokai „potvynis“, o kasdieniame gyvenime jie abu dažnai keičiami („flood the server“ = „DDoS'it the server“).

Norėdami sukurti potvynį, gali būti naudojamos ir paprastos tinklo paslaugos, tokios kaip ping (tai žinoma, pavyzdžiui, interneto bendruomenė „Upyachka“), ir specialios programos. DDoS galimybė dažnai yra „susiūta“ botnetuose. Jei daug srauto turinčioje svetainėje aptinkamas kelių svetainių scenarijų pažeidžiamumas arba galimybė įtraukti vaizdus iš kitų išteklių, ši svetainė taip pat gali būti naudojama DDoS atakai.

Ryšio kanalo ir TCP posistemio potvynis

Bet kuris kompiuteris, kuris bendrauja su išoriniu pasauliu per TCP / IP protokolą, yra taikomas šių tipų potvyniams:

  • SYN potvynis – naudojant tokio tipo potvynių ataką, per TCP protokolą į užpultą mazgą siunčiama daug SYN paketų (prašo atidaryti ryšį). Tuo pačiu metu, po trumpo laiko, užpultame kompiuteryje išsenka galimų atidaryti lizdų skaičius (programinės įrangos tinklo lizdai, prievadai), o serveris nustoja reaguoti.
  • UDP potvynis – tokio tipo potvyniai atakuoja ne tikslinį kompiuterį, o jo ryšio kanalą. Teikėjai pagrįstai mano, kad UDP paketai turėtų būti pristatyti pirmiausia, o TCP gali palaukti. Daugybė skirtingų dydžių UDP paketų užkemša ryšio kanalą, o serveris, veikiantis per TCP protokolą, nustoja reaguoti.
  • ICMP potvynis - tas pats, bet su ICMP paketų pagalba.

Taikymo sluoksnio potvynis

Daugelis paslaugų yra sukurtos taip, kad nedidelė užklausa gali sukelti daug serverio skaičiavimo galios. Šiuo atveju atakuojamas ne ryšio kanalas ar TCP posistemė, o pati paslauga (service) – tokių „sergančių“ užklausų antplūdis. Pavyzdžiui, žiniatinklio serveriai yra pažeidžiami HTTP užtvindymo – norint išjungti žiniatinklio serverį galima naudoti paprastą GET / arba sudėtingą duomenų bazės užklausą, pvz., GET /index.php?search=<случайная строка> .

DoS atakų aptikimas

Yra nuomonė, kad specialių įrankių DoS atakoms aptikti nereikia, nes negalima nepastebėti DoS atakos fakto. Daugeliu atvejų tai tiesa. Tačiau gana dažnai buvo stebimos sėkmingos DoS atakos, kurias nukentėjusieji pastebėjo tik po 2-3 dienų. Taip atsitiko, kad neigiamos išpuolio pasekmės ( potvynis-atakos) lėmė pernelyg dideles išlaidas atsiskaitant už perteklinį interneto srautą, kuris buvo nustatytas tik gavus sąskaitą iš interneto tiekėjo. Be to, daugelis įsibrovimų aptikimo metodų yra neveiksmingi netoli atakos tikslo, tačiau yra veiksmingi tinklo magistralėje. Tokiu atveju aptikimo sistemas patartina įrengti būtent ten, o ne laukti, kol užpultas vartotojas pats tai pastebės ir kreipsis pagalbos. Be to, norint efektyviai kovoti su DoS atakomis, būtina žinoti DoS atakų tipą, pobūdį ir kitas charakteristikas, o aptikimo sistemos leidžia greitai gauti šią informaciją.

DoS atakų aptikimo metodus galima suskirstyti į kelias dideles grupes:

  • parašas – paremtas kokybine eismo analize.
  • statistinis – pagrįstas kiekybine srauto analize.
  • hibridas (kombinuotas) – sujungiantis abiejų minėtų metodų privalumus.

DoS apsauga

Priemones, skirtas kovoti su DoS atakomis, galima suskirstyti į pasyvias ir aktyvias, taip pat prevencines ir reaktyviąsias.

Žemiau pateikiamas trumpas pagrindinių metodų sąrašas.

  • Prevencija. Priežasčių, skatinančių tam tikrus asmenis organizuoti ir vykdyti DoS atakas, prevencija. (Labai dažnai kibernetinės atakos apskritai yra asmeninių nusiskundimų, politinių, religinių ir kitų nesutarimų, provokuojančio aukos elgesio ir kt.)
  • Filtravimas ir juodoji skylė. Blokuoti eismą nuo atakuojančių mašinų. Šių metodų efektyvumas mažėja artėjant prie atakos objekto ir didėja artėjant prie puolančios mašinos.
  • Atvirkštinis DDOS- nukreipti atakai naudojamą srautą užpuolikui.
  • Pažeidžiamumų pašalinimas. Neveikia prieš potvynis-atakos, kurių "pažeidžiamumas" yra tam tikrų sistemos išteklių baigtumas.
  • Išteklių didinimas. Natūralu, kad jis nesuteikia absoliučios apsaugos, tačiau yra geras pagrindas taikyti kitokias apsaugos rūšis nuo DoS atakų.
  • Išsklaidymas. Kurti paskirstytas ir besidubliuojančias sistemas, kurios nenustos aptarnauti vartotojų, net jei kai kurie jų elementai taps nepasiekiami dėl DoS atakos.
  • Išsiskyrimas. Tiesioginio atakos taikinio (domeno pavadinimo arba IP adreso) perkėlimas nuo kitų išteklių, kurie dažnai taip pat yra paveikti, kartu su tiesioginiu atakos taikiniu.
  • Aktyvus atsakas. Poveikis atakos šaltiniams, organizatoriui ar valdymo centrui tiek žmogaus sukurtomis, tiek organizacinėmis ir teisinėmis priemonėmis.
  • Įrangos naudojimas DoS atakoms atremti. Pavyzdžiui DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® ir kiti gamintojai.
  • Paslaugos, skirtos apsaugoti nuo DoS atakų, įsigijimas. Faktinis, jei dėl potvynio viršijamas tinklo kanalo pralaidumas.

taip pat žr

Pastabos

Literatūra

  • Krisas Kasperskis Kompiuteriniai virusai viduje ir išorėje. - Petras. - Sankt Peterburgas. : Petras, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephenas Northcuttas, Markas Cooperis, Mattas Fearnowas, Karen Frederik. Tipiškų tinklų saugumo pažeidimų analizė = įsibrovimo parašai ir analizė. - New Riders Publishing (anglų k.) Sankt Peterburgas: Williams Publishing House (rusų k.), 2001. - P. 464. - ISBN 5-8459-0225-8 (rusų k.), 0-7357-1063-5 (anglų k.)
  • Morrisas, R.T.= 4.2BSD Unix TCP/IP programinės įrangos trūkumas. - Skaičiavimo mokslo techninė ataskaita Nr.117. – „AT&T Bell Laboratories“, 1985 m. vasario mėn.
  • Bellovinas, S.M.= Saugumo problemos TCP/IP protokolo rinkinyje. - Kompiuterių komunikacijų apžvalga, t. 19, Nr.2. – AT&T Bell Laboratories, 1989 m. balandžio mėn.
  • = demonas9 / maršrutas / begalybė "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, 1996 m. liepos mėn.
  • = demonas9 / maršrutas / begalybė „Neptūno projektas“. - Phrack Magazine, Vol.7, Issue 48. - Guild Production, 1996 m. liepos mėn.

Nuorodos

  • DoS ataka„Open Directory“ projekto nuorodų kataloge (

DDOS ataka. Paaiškinimas ir pavyzdys.

Sveiki visi. Tai yra Computer76 tinklaraštis, o dabar dar vienas straipsnis apie įsilaužėlių meno pagrindus. Šiandien paprastais žodžiais ir pavyzdžiais kalbėsime apie tai, kas yra DDOS ataka. Prieš įvedant techninius terminus, bus visiems suprantama įžanga.

Kodėl naudojama DDOS ataka?

„WiFi“ įsilaužimas naudojamas belaidžio tinklo slaptažodžiui rinkti. „ “ formos atakos leis klausytis interneto srauto. Pažeidžiamumo analizė, vėliau įkeliant konkretų, leidžia užfiksuoti tikslinį kompiuterį. Ką daro DDOS ataka? Galiausiai jos tikslas yra perimti išteklių nuosavybę iš teisėto savininko. Aš nenoriu pasakyti, kad svetainė ar tinklaraštis jums nepriklausys. Taip yra ta prasme, kad sėkmingos jūsų svetainės atakos atveju jūs prarasti jo kontrolę. Bent jau kurį laiką.

Tačiau šiuolaikinėje DDOS interpretacijoje ataka dažniausiai naudojama norint sutrikdyti normalų bet kurios paslaugos veikimą. Įsilaužėlių grupės, kurių pavadinimai nuolat girdimi, atakuoja pagrindines vyriausybės ar vyriausybės svetaines, siekdamos atkreipti dėmesį į tam tikras problemas. Tačiau beveik visada už tokių atakų slypi grynai prekybinis interesas: konkurentų darbas arba paprastos išdaigos su visiškai nepadoriai neapsaugotomis svetainėmis. Pagrindinė DDOS koncepcija yra ta, kad daugybė vartotojų, tiksliau, užklausų iš robotų kompiuterių, pasiekia svetainę vienu metu, todėl serverio apkrova tampa nepakeliama. Dažnai girdime posakį „svetainė neprieinama“, tačiau mažai kas susimąsto, kas iš tikrųjų slypi už šios formuluotės. Na, dabar tu žinai.

DDOS ataka – parinktys

1 variantas.

žaidėjų susigrūdo prie įėjimo

Įsivaizduokite, kad žaidžiate internetinį kelių žaidėjų žaidimą. Tūkstančiai žaidėjų žaidžia su jumis. Ir jūs esate susipažinę su daugeliu jų. Deratės dėl detalių ir atlikite toliau nurodytus veiksmus X valandą. Jūs visi einate į svetainę vienu metu ir sukuriate personažą, turintį tas pačias charakteristikas. Grupuokite vienoje vietoje, blokuodami prieigą prie žaidimo objektų vienu metu sukurtų simbolių skaičiumi kitiems sąžiningiems vartotojams, kurie nieko neįtaria apie jūsų slaptą susitarimą.

2 variantas.


Įsivaizduokite, kad kažkas nusprendžia sutrikdyti autobusų eismą mieste tam tikru maršrutu, kad sąžiningi keleiviai negalėtų naudotis viešojo transporto paslaugomis. Tūkstančiai Jūsų draugų vienu metu važiuoja į stoteles nurodyto maršruto pradžioje ir be tikslo važinėja visais automobiliais nuo galo iki galo, kol baigiasi pinigai. Kelionė mokama, bet niekas neišlipa jokioje stotelėje, išskyrus galutinius tikslus. O kiti keleiviai, stovintys tarpinėse stotelėse, liūdnai žiūri į tolstančius mikroautobusus, negalintys įsiveržti į sausakimšus autobusus. Viskas perdegusi: ir taksi savininkai, ir potencialūs keleiviai.

Tiesą sakant, šios galimybės negali būti fiziškai įgyvendintos. Tačiau virtualiame pasaulyje jūsų draugus gali pakeisti nesąžiningų vartotojų kompiuteriai, kurie nesivargina kažkaip apsaugoti savo kompiuterio ar nešiojamojo kompiuterio. Ir didžioji dauguma yra. Yra daug programų, skirtų DDOS atakai vykdyti. Nereikia nė sakyti, kad tokie veiksmai yra neteisėti. O juokingai paruošta DDOS ataka, kad ir kokia ji būtų sėkminga, aptinkama ir nubausta.

Kaip vykdoma DDOS ataka?

Spustelėjus svetainės nuorodą, jūsų naršyklė siunčia serveriui užklausą, kad būtų rodomas jūsų ieškomas puslapis. Šis prašymas išreiškiamas kaip duomenų paketas. Ir net ne vieną, o visą paketą! Bet kuriuo atveju per kanalą perduodamų duomenų kiekis visada ribojamas iki tam tikro pločio. Ir serverio grąžinamų duomenų kiekis yra neproporcingai didesnis nei yra jūsų užklausoje. Tam reikia serverio pastangų ir išteklių. Kuo stipresnis serveris, tuo jis brangesnis savininkui ir tuo brangesnės jo teikiamos paslaugos. Šiuolaikiniai serveriai gali lengvai susidoroti su smarkiai padidėjusiu lankytojų antplūdžiu. Tačiau bet kuriam serveriui vis dar yra kritinė vartotojų, norinčių susipažinti su svetainės turiniu, vertė. Aiškesnė situacija su serveriu, kuris teikia svetainių talpinimo paslaugas. Tik šiek tiek, ir nukentėjusi svetainė bus atjungta nuo paslaugos, kad nebūtų perkrauti procesoriai, aptarnaujantys tūkstančius kitų svetainių, esančių tame pačiame priegloboje. Svetainės darbas sustoja iki to momento, kai sustoja pati DDOS ataka. Na, įsivaizduokite, kad pradedate iš naujo įkelti bet kurį svetainės puslapį tūkstantį kartų per sekundę (DOS). Ir tūkstančiai jūsų draugų daro tą patį savo kompiuteriuose (paskirstyti DOS arba DDOS)... Dideli serveriai išmoko atpažinti, kad prasidėjo DDOS ataka, ir atremti ją. Tačiau įsilaužėliai taip pat tobulina savo metodus. Taigi, šiame straipsnyje aš negaliu išsamiau paaiškinti, kas yra DDOS ataka.

Kas yra DDOS ataka, galite sužinoti ir išbandyti dabar.

DĖMESIO. Jei nuspręsite pabandyti, visi neišsaugoti duomenys bus prarasti, jums reikės mygtuko, kad grąžintumėte kompiuterį į darbinę būseną. RESET. Bet jūs galėsite tiksliai sužinoti, ką „jaučia“ užpultas serveris. Išsamus pavyzdys yra pastraipa žemiau, o dabar - paprastos komandos paleisti sistemą iš naujo.

  • Jei naudojate Linux, terminale įveskite šią komandą:
:(){ :|:& };:

Sistema atsisakys veikti.

  • Windows sistemoje siūlau sukurti bat failą Notepad su kodu:
:1 Pradėkite nuo 1

Pavadinkite tipą DDOS.bat

Aiškinti abiejų komandų prasmę, manau, neverta. Viskas matoma plika akimi. Abi komandos priverčia sistemą vykdyti scenarijų ir nedelsiant jį pakartoti, siunčiant į scenarijaus pradžią. Atsižvelgiant į vykdymo greitį, sistema po kelių sekundžių patenka į stuporą. Žaidimas, kaip jie sako, baigta.

DDOS ataka naudojant programinę įrangą.

Norėdami gauti vaizdingesnį pavyzdį, naudokite Low Orbit Ion Cannon programą (Ion cannon from low orbit). Arba LOIC. Dažniausiai atsisiųstas platinimas yra adresu (dirbame sistemoje „Windows“):

https://sourceforge.net/projects/loic/

DĖMESIO! Jūsų antivirusinė programa turėtų reaguoti į failą kaip kenkėjišką. Viskas gerai: jau žinote, ką atsisiunčiate. Parašų duomenų bazėje jis pažymėtas kaip potvynių generatorius – išvertus į rusų kalbą tai yra galutinis nesibaigiančių skambučių į konkretų tinklo adresą tikslas. Aš ASMENIŠKAI nepastebėjau jokių virusų ar trojanų. Bet jūs turite teisę dvejoti ir atidėti atsisiuntimą.

Kadangi neatsargūs vartotojai bombarduoja išteklius pranešimais apie kenkėjišką failą, Source Forge nukreips jus į kitą puslapį su tiesiogine nuoroda į failą:

Dėl to man pavyko atsisiųsti naudingumą tik per .

Programos langas atrodo taip:

1 taškas Pasirinkite taikinį, kad užpuolikas galėtų sutelkti dėmesį į konkretų taikinį (įvedamas IP adresas arba svetainės URL), 3 punktas Atakos parinktys leis pasirinkti užpultą prievadą, protokolą ( metodas) iš trijų TCP, UDP ir HTTP. TCP/UDP pranešimo laukelyje galite įvesti pranešimą aukai. Po to ataka prasideda mygtuko paspaudimu IMMA CHARGIN MAH LAZER(tai frazė ant pražangos slenksčio iš kadaise populiarios komiškasmemas; Beje, programoje daug amerikietiškų keiksmažodžių). Visi.

ĮSPĖJIMAS

Ši parinktis skirta tik „localhost“ testavimui. Štai kodėl:

  • prieš kitų žmonių svetaines tai yra nelegalu, o už tai jie jau tikrai sėdi Vakaruose (tai reiškia, kad jie greitai bus pasodinti ir čia)
  • Greitai bus paskaičiuotas adresas, iš kurio kyla potvynis, jie skųsis tiekėjui, o jis įspės ir primins pirmą tašką
  • tinkluose su mažo pralaidumo kanalu (tai yra visuose namų tinkluose), smulkmena neveiks. Su TOR tinklu viskas yra taip pat.
  • jei tinkamai jį nustatysite, greitai užkimšite SAVO komunikacijos kanalą nei kam nors pakenksite. Taigi būtent toks variantas, kai kriaušė nugali boksininką, o ne atvirkščiai. Ir variantas su įgaliotuoju serveriu veiks pagal tą patį principą: niekam nepatiks potvynis iš jūsų pusės.

Skaityti: 9 326

Vis dažniau oficialiuose prieglobos paslaugų teikėjų pranešimuose šen bei ten mirga paminėjimai apie atspindėtas DDoS atakas. Vis dažniau vartotojai, atradę savo svetainės nepasiekiamumą, iš karto prisiima DDoS. Iš tiesų, kovo pradžioje Runetas patyrė visą tokių atakų bangą. Kartu specialistai tikina, kad linksmybės tik prasideda. Tiesiog neįmanoma ignoruoti tokio aktualaus, baisaus ir intriguojančio reiškinio. Taigi šiandien pakalbėkime apie mitus ir faktus apie DDoS. Žinoma, prieglobos paslaugų teikėjo požiūriu.

atminimo diena

2013 m. lapkričio 20 d., pirmą kartą per 8 metų mūsų įmonės istoriją, visa techninė svetainė keletą valandų buvo nepasiekiama dėl precedento neturinčios DDoS atakos. Nukentėjo dešimtys tūkstančių mūsų klientų visoje Rusijoje ir NVS šalyse, jau nekalbant apie mus pačius ir mūsų interneto tiekėją. Paskutinis dalykas, kurį teikėjas sugebėjo pataisyti, kol visiems neišblėso balta šviesa, buvo tai, kad jo įvesties kanalai buvo sandariai užkimšti gaunamo srauto. Norėdami tai įsivaizduoti, įsivaizduokite savo vonią su įprasta kriaukle, į kurią įsiveržė Niagaros krioklys.

Net tiekėjai pajuto šio cunamio atgarsius. Žemiau pateikti grafikai aiškiai iliustruoja, kas tą dieną įvyko su interneto srautu Sankt Peterburge ir Rusijoje. Atkreipkite dėmesį į stačias viršūnes 15:00 ir 18:00, kaip tik tada, kai užfiksavome atakas. Dėl šių staigių plius 500-700 GB.

Užpuolimo lokalizavimas užtruko kelias valandas. Buvo apskaičiuotas serveris, į kurį jis buvo išsiųstas. Tada buvo apskaičiuotas interneto teroristų tikslas. Ar žinai, kam pataikė visa ši priešo artilerija? Po vieną labai paprastą, kuklią klientų svetainę.

Mitas numeris vienas: „Atakos objektas visada yra prieglobos paslaugų teikėjas. Tai jo konkurentų machinacijos. Ne mano." Tiesą sakant, labiausiai tikėtinas interneto teroristų taikinys yra nuolatinių klientų svetainė. Tai yra, vieno iš jūsų prieglobos kaimynų svetainė. O gal ir tavo.

Ne visi DDoS...

Po įvykių mūsų techninėje svetainėje 2013 m. lapkričio 20 d. ir jų dalinio pasikartojimo 2014 m. sausio 9 d., kai kurie vartotojai ėmė manyti, kad DDoS yra konkretus savo svetainės gedimas: „Tai yra DDoS! ir „Ar vėl naudojate DDoS?

Svarbu atsiminti, kad jei patiriame tokį DDoS, kurį pajunta net klientai, iš karto apie tai pranešame patys.

Norime nuraminti tuos, kurie skuba panikuoti: jei jūsų svetainėje kažkas negerai, tada tikimybė, kad tai yra DDoS, yra mažesnė nei 1%. Tiesiog dėl to, kad svetainėje gali nutikti daug dalykų ir tai „daug dalykų“ nutinka daug dažniau. Apie tai, kas tiksliai vyksta jūsų svetainėje, kalbėsime viename iš toliau pateiktų įrašų apie savarankiškos greitos diagnostikos metodus.

Tuo tarpu – dėl žodžių vartojimo tikslumo – paaiškinkime terminus.

Apie terminus

DoS ataka (iš anglų kalbos Denial of Service) - tai ataka, skirta serveriui atmesti paslaugą dėl jo perkrovos.

DoS atakos nėra susijusios su įrangos sugadinimu ar informacijos vagyste; jų tikslas - kad serveris nustotų reaguoti. Esminis DoS skirtumas yra tas, kad ataka vyksta iš vienos mašinos į kitą. Dalyviai lygiai du.

Tačiau iš tikrųjų mes praktiškai nepastebime DoS atakų. Kodėl? Kadangi atakų objektai dažniausiai yra pramoniniai objektai (pavyzdžiui, galingi produktyvūs prieglobos įmonių serveriai). Ir norint padaryti pastebimą žalą tokios mašinos veikimui, reikia daug daugiau galios nei jos pačios. Tai pirmas. Antra, DoS atakos iniciatorių gana lengva apskaičiuoti.

DDoS - iš esmės tas pats kaip DoS, tik ataka yra paskirstyta gamta. Vienu metu iš skirtingų vietų prie vieno serverio prisijungia ne penki, ne dešimt, ne dvidešimt, o šimtai ir tūkstančiai kompiuterių. Tokia mašinų armija vadinama botnetas. Suskaičiuoti užsakovą ir organizatorių beveik neįmanoma.

bendrininkai

Kokie kompiuteriai yra įtraukti į robotų tinklą?

Nustebsite, tačiau dažnai tai yra pačios įprastiausios namų mašinos. Kas žino?.. - tikriausiai jūsų namų kompiuteris patrauktas į blogio pusę.

Tam reikia šiek tiek. Užpuolikas randa populiaraus pažeidžiamumą Operacinė sistema arba programa ir jos pagalba užkrečia jūsų kompiuterį Trojos arkliu, kuris tam tikrą dieną ir valandą nurodo kompiuteriui pradėti atlikti tam tikrus veiksmus. Pavyzdžiui, siųskite užklausas konkrečiam IP. Žinoma, be jūsų žinių ir dalyvavimo.

Antras mitas: « DDoS daromas kažkur toli nuo manęs, specialiame požeminiame bunkeryje, kur sėdi barzdoti įsilaužėliai raudonomis akimis. Tiesą sakant, to nežinodami jūs, jūsų draugai ir kaimynai - bet kas gali būti nesąmoningu bendrininku.

Tai tikrai vyksta. Net jei apie tai negalvoji. Net jei esate siaubingai toli nuo IT (ypač jei esate toli nuo IT!).

Pramoginis įsilaužimas arba DDoS mechanika

DDoS reiškinys yra nevienalytis. Ši koncepcija apjungia daugybę veiksmų, kurie veda prie vieno rezultato (paslaugos atsisakymo), variantų. Apsvarstykite bėdų, kurias mums gali sukelti DDoSers, galimybes.

Per didelis serverio skaičiavimo išteklių naudojimas

Tai atliekama siunčiant paketus į konkretų IP, kurio apdorojimas reikalauja daug išteklių. Pavyzdžiui, norėdami įkelti puslapį, turite vykdyti daug SQL užklausų. Visi užpuolikai paprašys šio konkretaus puslapio, o tai sukels serverio perkrovą ir paslaugų atsisakymą įprastiems, teisėtiems svetainės lankytojams.
Tai moksleivio lygio išpuolis, kuris porą vakarų skyrė žurnalo „Hacker“ skaitymui. Ji nėra problema. Tas pats prašomas URL apskaičiuojamas akimirksniu, po to prieiga prie jo blokuojama žiniatinklio serverio lygiu. Ir tai tik vienas iš sprendimų.

Ryšio kanalų perkrova į serverį (iki išėjimo)

Šios atakos sudėtingumo lygis yra maždaug toks pat kaip ir ankstesnės. Užpuolikas apskaičiuoja sunkiausią svetainės puslapį, o jo valdomas botnetas pradeda masiškai jo prašyti.


Įsivaizduokite, kad mums nematoma Mikės Pūkuotuko dalis yra be galo didelė
Šiuo atveju taip pat labai lengva suprasti, kas tiksliai užkemša išeinantį kanalą, ir uždrausti prieigą prie šio puslapio. To paties tipo užklausas lengva pamatyti naudojant specialias paslaugas, leidžiančias peržiūrėti tinklo sąsają ir analizuoti srautą. Tada parašyta ugniasienės taisyklė, kuri blokuoja tokias užklausas. Visa tai daroma reguliariai, automatiškai ir taip žaibiškai, kad dauguma vartotojų net nežino apie jokią ataką.

Mitas numeris trys: „A Tačiau jie retai dažnai lankosi mano priegloboje ir aš visada juos pastebiu. Tiesą sakant, 99,9% priepuolių nematote ir nejaučiate. Tačiau kasdienė kova su jais - tai kasdienis, įprastas prieglobos įmonės darbas. Tokia mūsų realybė, kurioje ataka pigi, konkurencija nemenka ir ne visi demonstruoja įskaitomus kovos dėl vietos saulėje metodus.

Ryšio kanalų perkrova į serverį (prie įėjimo)

Tai jau galvosūkis tiems, kurie žurnalą Hacker skaitė ne vieną dieną.


Nuotrauka iš radijo „Maskvos aidas“ svetainės. Jie nerado nieko iliustratyvesnio, kaip pavaizduoti DDoS su kanalo perkrova prie įėjimo.
Norint užpildyti kanalą įeinančiu srautu iki talpos, reikia turėti botnetą, kurio galia leidžia generuoti reikiamą srauto kiekį. Bet gal yra būdas atiduoti mažą srautą ir gauti daug?

Yra, ir ne vienas. Yra daug galimybių sustiprinti ataką, tačiau viena populiariausių šiuo metu yra ataka per viešuosius DNS serverius. Ekspertai šį stiprinimo būdą vadina DNS stiprinimas(jei kas nors nori ekspertų terminų). O jei paprasčiau, tai įsivaizduokite laviną: jai sužlugdyti pakanka mažų pastangų, o sustabdyti – nežmoniškų išteklių.

Jūs ir aš tai žinome viešasis DNS serveris paprašius, informuoja visus norinčius duomenų apie bet kurį domeno vardą. Pavyzdžiui, tokio serverio prašome: papasakokite apie domeną sprinthost.ru. Ir jis nedvejodamas išmeta mums viską, ką žino.

DNS serverio užklausa yra labai paprasta operacija. Susisiekti su juo beveik nieko nekainuoja, prašymas bus mikroskopinis. Pavyzdžiui, taip:

Belieka tik išsirinkti domeno vardą, kurio informacija bus įspūdingas duomenų paketas. Taigi originalūs 35 baitai su nedideliu rankos judesiu virsta beveik 3700. Padidėja daugiau nei 10 kartų.

Bet kaip užtikrinti, kad atsakymas būtų nukreiptas į teisingą IP? Kaip suklastoti užklausos šaltinio IP, kad DNS serveris pateiktų atsakymus nukentėjusiojo, kuris neprašė jokių duomenų, kryptimi?

Faktas yra tas, kad DNS serveriai veikia UDP ryšio protokolas, kuriam iš viso nereikia patvirtinti užklausos kilmės. Suklastoti išeinantį IP šiuo atveju nėra didelė problema dozuotojui. Štai kodėl tokio tipo atakos šiuo metu yra tokios populiarios.

Svarbiausia, kad tokiai atakai įgyvendinti pakanka labai mažo botneto. Ir keli skirtingi viešieji DNS, kurie nepamatys nieko keisto tame, kad skirtingi vartotojai karts nuo karto prašo duomenų iš vieno pagrindinio kompiuterio adreso. Ir tik tada visas šis srautas susijungs į vieną srautą ir tvirtai prikals vieną „vamzdį“.

Dozuotojas negali žinoti užpuoliko kanalų pajėgumų. Ir jei jis neteisingai apskaičiuoja savo atakos galią ir iš karto neužblokuoja kanalo serveriui 100%, ataka gali būti greitai ir lengvai atremta. Naudojant tokias komunalines paslaugas kaip TCPdump nesunku sužinoti, kad įeinantis srautas ateina iš DNS, o ugniasienės lygiu uždrausti jį priimti. Ši parinktis – atsisakymas priimti srautą iš DNS – visiems siejamas su tam tikrais nepatogumais, tačiau tiek serveriai, tiek juose esančios svetainės ir toliau sėkmingai veiks.

Tai tik viena iš daugelio galimybių sustiprinti ataką. Yra daug kitų atakų rūšių, apie jas pakalbėsime kitą kartą. Tuo tarpu norėčiau apibendrinti, kad visa tai, kas išdėstyta aukščiau, galioja atakai, kurios galia neviršija kanalo į serverį pločio.

Jei priepuolis stiprus

Jei atakos galia viršija serverio kanalo pajėgumą, nutinka taip. Interneto kanalas akimirksniu užsikemša serveryje, tada prieglobos svetainėje, jo interneto tiekėjui, tiekėjo tiekėjui ir t. t. didėjimo tvarka (ateityje – iki absurdiškiausių ribų), kol atakos jėgos užtenka.

Ir tada tai tampa visuotine problema visiems. Trumpai tariant, su tuo mums teko susidurti 2013 m. lapkričio 20 d. O kai įvyksta didelio masto sukrėtimai, metas įjungti ypatingą magiją!


Taip atrodo ypatinga magija Šios magijos pagalba galima apskaičiuoti serverį, į kurį nukreipiamas srautas ir blokuoti jo IP IPT lygiu. Taip, kad ji nustotų priimti bet kokius skambučius į šį IP per savo ryšio kanalus su išoriniu pasauliu (uplinks). Sąlygų mėgėjams: ekspertai vadina šią procedūrą "užtemdyti", iš anglų blackhole.

Tuo pačiu metu užpultas serveris su 500–1500 paskyrų lieka be savo IP. Jai skiriamas naujas IP adresų potinklis, kuriame klientų paskyros atsitiktine tvarka paskirstomos tolygiai. Be to, ekspertai laukia atakos pasikartojimo. Beveik visada kartojasi.

Ir kai tai kartojasi, atakuotame IP yra nebe 500-1000 paskyrų, o keliolika ar dvi.

Įtariamųjų ratas siaurėja. Šios 10–20 paskyrų vėl paskirstomos skirtingais IP adresais. Ir vėl inžinieriai laukia kitos atakos. Vėl ir vėl jie išplatina įtartinas paskyras įvairiems IP ir taip, laipsniškai aproksimuodami, apskaičiuoja atakos objektą. Visos kitos paskyros šiuo metu grįžta į normalus veikimas tame pačiame IP.

Kaip žinote, tai nėra momentinė procedūra, ją įgyvendinti reikia laiko.

Mitas numeris ketvirtas:„Kai įvyksta didžiulė ataka, mano šeimininkas neturi veiksmų plano. Jis tiesiog užmerktomis akimis laukia bombardavimo pabaigos ir atsako į mano laiškus tokiais pat atsakymais.Taip nėra: atakos atveju prieglobos paslaugų teikėjas veikia pagal planą, siekdamas ją lokalizuoti ir kuo greičiau pašalinti pasekmes. O to paties tipo laiškai leidžia perteikti to, kas vyksta, esmę ir tuo pačiu sutaupyti resursus, reikalingus kuo greičiau apdoroti avarinę situaciją..

Ar yra šviesa tunelio gale?

Dabar matome, kad DDoS aktyvumas nuolat auga. Užsakyti ataką tapo labai prieinama ir negražiai nebrangi. Kad būtų išvengta kaltinimų propaganda, nebus jokių įrodomųjų nuorodų. Bet paimkite mūsų žodį, taip yra.

Penktas mitas: „DDoS ataka yra labai brangus įvykis, ir tik verslo didvyriai gali sau leisti ją užsisakyti. Kraštutiniu atveju tai yra slaptųjų tarnybų machinacijos! Tiesą sakant, tokie renginiai tapo itin prieinami.

Todėl nereikia tikėtis, kad kenkėjiška veikla išnyks savaime. Greičiau tai tik sustiprės. Belieka tik kalti ir galąsti ginklus. Ką mes darome, geriname tinklo infrastruktūrą.

Teisinė klausimo pusė

Tai labai nepopuliarus DDoS atakų aptarimo aspektas, nes retai girdime apie kurstytojų gaudymo ir nubaudimo atvejus. Tačiau atminkite: DDoS ataka yra kriminalinis nusikaltimas. Daugumoje pasaulio šalių, įskaitant Rusiją.

Mitas numeris šeši: « Dabar aš pakankamai žinau apie DDoS, užsakysiu atostogas konkurentui - Ir aš už tai nieko negausiu! Neatmetama galimybė, kad taip bus. Ir jei taip, tai neatrodys daug.

Apskritai niekam nepatariame užsiimti pikta DDoS praktika, kad neužsitrauktume teisingumo rūstybės ir nesulenktume savo karmos. O mes dėl savo veiklos specifikos ir gyvo tiriamojo susidomėjimo toliau tyrinėjame problemą, budime, tobuliname gynybines konstrukcijas.

PS:neturime pakankamai gerų žodžių, kad išreikštume visą savo dėkingumą, todėl tiesiog sakome"Ačiū!" kantriems klientams, kurie mus nuoširdžiai palaikė sunkią 2013 m. lapkričio 20 d. dieną. Jūs pasakėte daug padrąsinančių žodžių, palaikydami mūsų

mob_info