Co to jest atak ddos. Atak DDoS: jak to zrobić? Programy do ataków DDoS

Jeśli przeczytałeś nasz poradnik i wdrożyłeś wszystkie opisane technologie - zabezpiecz swój komputer przed zagrożeniami hakerskimi! Nie zaniedbuj tego!

W dziedzinie bezpieczeństwa informacji ataki ddos ​​zajmują jedno z czołowych miejsc w rankingu zagrożeń elektronicznych. Jednak większość użytkowników ma bardzo ograniczoną wiedzę na ten temat. Teraz postaramy się omówić ten temat w najbardziej szczegółowy i przystępny sposób, abyś mógł sobie wyobrazić, co oznacza tego rodzaju zagrożenie elektroniczne, jak jest przeprowadzane i odpowiednio, jak skutecznie sobie z nim radzić. Więc zapoznaj się - atak DDOS.

Terminologia

Aby mówić tym samym językiem, musimy wprowadzić terminy i ich definicje.

Atak DOS to atak typu „odmowa usługi”. Stąd angielski skrót dos - Denial of Service. Jednym z podtypów jest atak rozproszony, który jest przeprowadzany jednocześnie z kilku, z reguły z dużej liczby hostów. Tym opcjom poświęcimy główną część omówienia, ponieważ atak ddos ​​niesie za sobą bardziej destrukcyjne konsekwencje, a znacząca różnica dotyczy tylko liczby hostów użytych do ataku.

Aby było Ci łatwiej zrozumieć. Takie działania mają na celu czasowe wstrzymanie działania jakiejkolwiek usługi. Może to być oddzielna witryna w sieci, duży dostawca Internetu lub telefonii komórkowej, a także osobna usługa (akceptacja kart plastikowych). Aby atak się powiódł i przyniósł destrukcyjne działania, musi zostać przeprowadzony z dużej liczby punktów (ten punkt zostanie omówiony szerzej w dalszej części). Stąd „rozproszony atak”. Ale istota pozostaje taka sama - przerwać działanie określonego systemu.

Aby uzupełnić obraz, musisz zrozumieć, kto iw jakim celu prowadzi takie działania.

Ataki typu „odmowa usługi”, podobnie jak inne przestępstwa komputerowe, podlegają karze. Dlatego materiał jest prezentowany wyłącznie w celach informacyjnych. Przeprowadzają je informatycy, ludzie dobrze zorientowani w tematyce „komputerów” i „sieci komputerowych”, czyli, jak to się stało modne, hakerzy. Zasadniczo impreza ta ma na celu osiągnięcie zysku, ponieważ z reguły ataki ddos ​​są zlecane przez pozbawionych skrupułów konkurentów. W tym miejscu wypadałoby podać mały przykład.

Załóżmy, że na rynku usług małego miasta działa dwóch dużych dostawców Internetu. A jeden z nich chce przepędzić konkurenta. Zlecają hakerom rozproszony atak DOS na serwer konkurencji. A drugi dostawca, ze względu na przeciążenie swojej sieci, nie jest już w stanie zapewnić swoim użytkownikom dostępu do Internetu. W rezultacie - utrata klientów i reputacji. Hakerzy otrzymują nagrodę, pozbawiony skrupułów dostawca - nowych klientów.

Ale zdarzają się przypadki, gdy „ddo” robią tylko dla zabawy lub w celu doskonalenia swoich umiejętności.

Rozproszony atak DDoS

Umówmy się od razu - przeanalizujemy ataki komputerowe. Dlatego jeśli mówimy o kilku urządzeniach, z których przeprowadzany jest atak, będą to komputery z nielegalnym oprogramowaniem.

Tu również warto zrobić małą dygresję.. W rzeczywistości, aby zatrzymać działanie dowolnej usługi lub usługi, musisz przekroczyć dla niej maksymalne dopuszczalne obciążenie. Najprostszym przykładem jest dostęp do strony internetowej. Tak czy inaczej, jest przeznaczony do określonej szczytowej frekwencji. Jeśli w pewnym momencie witrynę odwiedzi dziesięć razy więcej osób, wówczas serwer nie będzie w stanie przetworzyć takiej ilości informacji i przestanie działać. A połączenia w tej chwili będą nawiązywane z dużej liczby komputerów. Będą to te same węzły, które zostały omówione powyżej.

Zobaczmy, jak to wygląda na poniższym schemacie:

Jak widać, haker przejął kontrolę nad dużą liczbą komputerów użytkowników i zainstalował na nich swoje oprogramowanie szpiegowskie. To dzięki niemu może teraz wykonać niezbędne czynności. W naszym przypadku – do przeprowadzenia ataku ddos.

Tym samym, jeśli nie przestrzegasz zasad bezpieczeństwa podczas pracy przy komputerze, możesz być narażony na infekcję wirusową. Być może twój komputer będzie używany jako host dla złośliwych działań.

Będziesz potrzebować: w artykule opisaliśmy niektóre aspekty bezpieczeństwa.

Ale sposób ich wykorzystania zależy od tego, którą opcję wybierze atakujący

Klasyfikacja ataków ddos

Atakujący mogą podejmować następujące rodzaje ataków:

  1. Przeciążenie pasma. Aby komputery podłączone do sieci mogły się normalnie komunikować, kanał komunikacyjny, którym są połączone, musi działać normalnie i zapewniać parametry wystarczające do określonych zadań (np. przepustowość). Ten rodzaj ataku ma na celu właśnie przeciążenie sieciowych kanałów komunikacyjnych. Osiąga się to poprzez ciągłe wysyłanie niespójnych lub systemowych informacji (polecenie ping)
  2. Limit zasobów. Rozważaliśmy już ten typ powyżej, w przykładzie z dostępem do strony internetowej. Jak zauważyliśmy - serwer był w stanie obsłużyć ograniczoną liczbę jednoczesnych połączeń. Osoba atakująca musi skierować dużą liczbę jednoczesnych połączeń z serwerem. W rezultacie serwer nie poradzi sobie z obciążeniem i przestanie działać.
  3. Atak na serwery DNS. W tym przypadku atak DDOS ma również na celu zatrzymanie dostępu do serwisu. Inną opcją jest przekierowanie użytkownika z właściwej strony na fałszywą. Może to mieć na celu kradzież danych osobowych. Osiąga się to poprzez atakowanie serwerów DNS i zastępowanie fałszywych adresów IP. Zbadajmy to na przykładzie. Pewien bank wykorzystuje swoją stronę internetową do płacenia przez Internet. Użytkownik musi przejść do niego i wprowadzić dane swojej plastikowej karty. Osoba atakująca w celu kradzieży tych informacji tworzy witrynę tego samego typu i atakuje serwery DNS (serwery nazw). Celem tego zdarzenia jest przekierowanie użytkownika na stronę atakującego, gdy ten próbuje wejść na stronę banku. Jeśli to się powiedzie, użytkownik nieświadomy zagrożenia wprowadzi swoje dane osobowe na stronie atakującego i uzyska do nich dostęp
  4. Błędy oprogramowania. Najtrudniejszy jest ten rodzaj ataku. Złoczyńcy ujawniają defekty w oprogramowaniu i wykorzystują je w celu zniszczenia systemu. Aby zamówić taki atak ddos, będziesz musiał wydać dużo pieniędzy

Jak przeprowadzić atak DDOS własnymi rękami

Jako przykład postanowiliśmy pokazać, jak można przeprowadzić atak DDOS za pomocą specjalnego oprogramowania.

Aby rozpocząć, pobierz program tutaj. Następnie uruchom go. Powinieneś zobaczyć okno startowe:

Musisz wprowadzić minimalne ustawienia:

  1. W kolumnie „URL” wpisujemy adres strony, którą chcemy zaatakować
  2. Następnie naciśnij przycisk „Zablokuj” - Zobaczymy zasób docelowy
  3. Umieściliśmy metodę TCP
  4. Wybierz liczbę wątków (Threads)
  5. Ustaw prędkość wysyłania za pomocą suwaka
  6. Po zakończeniu wszystkich ustawień naciśnij przycisk „IMMA CHARGIN MAH LAZER”.

Wszystko - rozpoczął się atak. Po raz kolejny wszystkie działania są prezentowane w celach informacyjnych.

Jak chronić się przed atakami DDoS

Prawdopodobnie już zrozumiałeś, że tego typu zagrożenie jest bardzo niebezpieczne. Dlatego bardzo ważna jest znajomość metod i zasad zwalczania i zapobiegania atakom rozproszonym.

  1. Konfigurowanie systemów filtrujących jest zadaniem administratorów systemów i dostawców usług hostingowych
  2. Pozyskanie systemów ochrony przed atakami DDOS (systemy software i hardware)
  3. Korzystanie z Zapory ogniowej i list kontroli dostępu (ACL) — środek ten ma na celu filtrowanie podejrzanego ruchu
  4. Zwiększanie dostępnych zasobów i instalowanie systemów redundancji
  5. Reaguj na środki techniczne i prawne. Aż do postawienia sprawcy przed sądem

Wideo do artykułu:

Wniosek

Teraz prawdopodobnie rozumiesz niebezpieczeństwo ataków DDOS. Do kwestii zapewnienia bezpieczeństwa swoich zasobów należy podchodzić bardzo odpowiedzialnie, nie szczędząc czasu, wysiłku i pieniędzy. Jeszcze lepiej, mieć osobnego specjalistę lub cały dział bezpieczeństwa informacji.

Stali czytelnicy bardzo często zadawali pytanie, w jaki sposób można edytować tekst, jeśli plik jest w formacie PDF. Odpowiedź można znaleźć w materiale -

Aby chronić swoje dane, możesz skorzystać z całej gamy środków. Jedną z tych opcji jest

Jeśli chcesz edytować swój film online, przygotowaliśmy dla Ciebie przegląd popularnych.

Po co szukać informacji na innych stronach, jeśli wszystko jest zbierane od nas?

Walka z atakami DDoS to nie tylko trudna, ale i ekscytująca praca. Nic dziwnego, że każdy administrator systemu przede wszystkim stara się samodzielnie zorganizować obronę – zwłaszcza, że ​​jest to jeszcze możliwe.

Postanowiliśmy pomóc Ci w tym trudnym zadaniu i opublikować kilka krótkich, trywialnych i nieuniwersalnych wskazówek, jak chronić Twoją witrynę przed atakami. Te przepisy nie pomogą ci poradzić sobie z żadnym atakiem, ale uchronią cię przed większością niebezpieczeństw.

Właściwe składniki

Brutalna prawda jest taka, że ​​wiele witryn może zostać usuniętych przez każdego, kto użyje ataku Slowloris, który mocno zabija Apache, lub przez zorganizowanie tzw. Wszystkie nasze dalsze wskazówki dotyczące samodzielnej ochrony przed atakami DDoS opierają się na następujących ważnych warunkach.

1. Pozbądź się systemu Windows Server

Praktyka sugeruje, że witryna działająca w systemie Windows (2003 lub 2008 - to nie ma znaczenia) jest skazana na niepowodzenie w przypadku ataku DDoS. Przyczyna niepowodzenia tkwi w stosie sieci Windows: gdy połączeń jest dużo, serwer z pewnością zacznie słabo reagować. Nie wiemy, dlaczego system Windows Server działa tak źle w takich sytuacjach, ale natknęliśmy się na to więcej niż raz czy dwa razy. Z tego powodu w tym artykule skupimy się na sposobach ochrony przed atakami DDoS w przypadku, gdy serwer działa w systemie Linux. Jeśli jesteś szczęśliwym posiadaczem stosunkowo nowoczesnego jądra (począwszy od 2.6), podstawowymi narzędziami będą narzędzia iptables i ipset (do szybkiego dodawania adresów IP), za pomocą których możesz szybko blokować boty. Kolejnym kluczem do sukcesu jest dobrze przygotowany stos sieciowy, o którym również porozmawiamy dalej.

2. Rozstanie z Apache

Drugim ważnym warunkiem jest odrzucenie Apache. Jeśli masz Apache, to przynajmniej umieść przed nim buforujące proxy - nginx lub lighttpd. Apache „jest niezwykle trudny do oddania plików, a co gorsza, jest fundamentalnie (czyli niepoprawnie) podatny na najgroźniejszy atak Slowloris, który pozwala zalać serwer niemal z telefonu komórkowego. Do walki z różnego rodzaju Slowloris, użytkownicy Apache jako pierwsi wymyślili łatkę Anti-slowloris.diff, potem mod_noloris, potem mod_antiloris, mod_limitipconn, mod_reqtimeout... na poziomie architektury kodu. Tak więc wszystkie nasze dalsze receptury opieramy na założeniu, że nginx jest używany na froncie.

Walka z atakami DDoS

Co zrobić, gdy nadejdzie atak DDoS? Tradycyjna technika samoobrony polega na odczytaniu pliku dziennika serwera HTTP, napisaniu wzorca grep (który przechwytuje żądania botów) i zbanowaniu każdego, kto się pod nim podporządkuje. Ta technika zadziała... jeśli będziesz miał szczęście. Istnieją dwa rodzaje botnetów, oba niebezpieczne, ale na różne sposoby. Jeden całkowicie trafia na stronę natychmiast, drugi - stopniowo. Pierwszy zabija wszystko na raz, ale całość pojawia się w logach, a jeśli je grepaetujesz i blokujesz wszystkie adresy IP, to jesteś zwycięzcą. Drugi botnet instaluje witrynę delikatnie i ostrożnie, ale prawdopodobnie będziesz musiał go zablokować na jeden dzień. Ważne jest, aby każdy administrator zrozumiał: jeśli planujesz walczyć z grepem, musisz być przygotowany na poświęcenie kilku dni na walkę z atakiem. Poniżej znajdują się wskazówki, gdzie można umieścić słomki z wyprzedzeniem, aby upadek nie był tak bolesny.

3. Skorzystaj z modułu testcookie

Być może najważniejsza, skuteczna i operacyjna recepta tego artykułu. Jeśli DDoS pojawi się na Twojej stronie, moduł testcookie-nginx, opracowany przez @kyprizel, może stać się najskuteczniejszym sposobem walki. Pomysł jest prosty. Najczęściej boty, które implementują zalewanie HTTP, są raczej głupie i nie mają mechanizmów HTTP cookie i przekierowań. Czasami trafiają się bardziej zaawansowane – mogą wykorzystywać pliki cookie i przekierowywać procesy, ale prawie nigdy bot DoS nie ma pełnoprawnego silnika JavaScript (choć jest to coraz bardziej powszechne). Testcookie-nginx działa jako szybki filtr między botami a backendem podczas ataku L7 DDoS, umożliwiając odfiltrowanie niechcianych żądań. Co obejmuje ta kontrola? Czy klient wie, jak wykonać HTTP Redirect, czy obsługuje JavaScript, czy jest tą przeglądarką, za którą się podaje (bo JavaScript jest wszędzie inny i jeśli klient mówi, że to np. Firefox, to możemy to sprawdzić). Weryfikacja jest realizowana za pomocą plików cookie przy użyciu różnych metod:

  • „Set-Cookie” + przekierowanie z lokalizacją HTTP 301;
  • „Set-Cookie” + przekierowanie przy użyciu metaodświeżania HTML;
  • dowolny szablon i możesz użyć JavaScript.

Aby uniknąć automatycznego analizowania, sprawdzający plik cookie można zaszyfrować za pomocą algorytmu AES-128, a następnie odszyfrować po stronie klienta JavaScript. Nowa wersja modułu posiada możliwość ustawiania plików cookie przez Flasha, co pozwala również skutecznie eliminować boty (których Flash z reguły nie obsługuje), jednak blokuje dostęp wielu legalnym użytkownikom (w rzeczywistości , wszystkie urządzenia mobilne). Warto zauważyć, że rozpoczęcie korzystania z testcookie-nginx jest niezwykle łatwe. Deweloper w szczególności podaje kilka wyraźnych przykładów użycia (dla różnych przypadków ataku) z przykładami konfiguracji dla nginx.

Oprócz zalet, pliki testowe mają również wady:

  • odcina wszystkie boty, w tym Googlebota. Jeśli planujesz pozostawić testcookie na stałe, upewnij się, że nie znikniesz z wyników wyszukiwania;
  • stwarza problemy dla użytkowników z przeglądarkami Links, w3m i tym podobnymi;
  • nie zapisuje przed botami wyposażonymi w pełnoprawny silnik przeglądarki z JavaScript.

Jednym słowem testcookie_module nie jest uniwersalny. Ale z wielu rzeczy, takich jak na przykład prymitywne zestawy narzędzi w Javie i C #, pomaga. W ten sposób odciąłeś część zagrożenia.

4. Kod 444

DDoSers często atakują najbardziej zasobochłonną część witryny. Typowym przykładem jest wyszukiwanie, które wykonuje złożone zapytania do bazy danych. Oczywiście atakujący mogą to wykorzystać, ładując jednocześnie kilkadziesiąt tysięcy żądań do wyszukiwarki. Co możemy zrobić? Tymczasowo wyłącz wyszukiwanie. Chociaż klienci nie będą mogli wyszukiwać potrzebnych im informacji za pomocą wbudowanych narzędzi, cała witryna główna będzie działać, dopóki nie znajdziesz źródła wszystkich problemów. Nginx obsługuje niestandardowy kod 444, który pozwala po prostu zamknąć połączenie i nic nie zwracać w odpowiedzi:

Lokalizacja /szukaj (powrót 444; )

Dzięki temu możliwe jest np. szybkie wdrożenie filtrowania po adresie URL. Jeśli masz pewność, że żądania lokalizacji /search pochodzą tylko od botów (na przykład Twoja pewność opiera się na fakcie, że Twoja witryna w ogóle nie ma sekcji /search), możesz zainstalować pakiet ipset na serwerze i zablokuj boty za pomocą prostego skryptu powłoki:

Ipset -N ban iphash tail -f dostęp.log | podczas czytania LINI; wykonaj echo „$LINE” | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A zakaz "$(L%% *)"; gotowe

Jeśli format plików logów jest niestandardowy (niepołączony) lub potrzebujesz bana z innych powodów niż status odpowiedzi, może być konieczne zastąpienie cut wyrażeniem regularnym.

5. Geo-banim

Niestandardowy kod odpowiedzi 444 może być również przydatny do szybkiego blokowania klientów na podstawie georeferencji. Możesz poważnie ograniczyć poszczególne kraje, z których czujesz się niekomfortowo. Na przykład jest mało prawdopodobne, aby internetowy sklep z aparatami fotograficznymi z Rostowa nad Donem miał wielu użytkowników w Egipcie. To niezbyt dobry sposób (mówiąc wprost – obrzydliwy), bo dane GeoIP są niedokładne, a Rostowicze czasem latają do Egiptu na wakacje. Ale jeśli nie masz nic do stracenia, postępuj zgodnie z instrukcjami:

  1. Podłącz moduł GeoIP do nginx (wiki.nginx.org/HttpGeoipModule).
  2. Wyświetl informacje georeferencyjne w dzienniku dostępu.
  3. Następnie, po zmodyfikowaniu powyższego skryptu powłoki, grep nginx's accesslog i dodaj geograficznie wyrzuconych klientów do bana.

Jeśli na przykład boty pochodziły głównie z Chin, może to pomóc.

6. Sieć neuronowa (PoC)

Na koniec możesz powtórzyć doświadczenie użytkownika @SaveTheRbtz, który wziął sieć neuronową PyBrain, umieścił w niej log i przeanalizował żądania (habrahabr.ru/post/136237). Metoda działa, choć nie uniwersalna :). Ale jeśli naprawdę znasz wnętrze swojej witryny – a jako administrator systemu powinieneś – to są szanse, że w najbardziej tragicznych sytuacjach takie narzędzie oparte na sieciach neuronowych, szkoleniach i wcześniej zebranych informacjach Ci pomoże. W tym przypadku bardzo przydatne jest posiadanie pliku access.log przed rozpoczęciem ataku DDoS, ponieważ opisuje on prawie 100% legalnych klientów, a zatem stanowi doskonały zbiór danych do trenowania sieci neuronowej. Ponadto boty nie zawsze są widoczne w sieci. dziennik.

Diagnoza problemu

Strona nie działa - dlaczego? Czy to DDoSed, czy błąd silnika niezauważony przez programistę? Nieważne. Nie szukaj odpowiedzi na to pytanie. Jeśli uważasz, że Twoja witryna może zostać zaatakowana, skontaktuj się z firmami zapewniającymi ochronę przed atakami — wiele usług anty-DDoS oferuje bezpłatny pierwszy dzień po połączeniu — i nie marnuj więcej czasu na szukanie symptomów. Skoncentruj się na problemie. Jeśli strona działa wolno lub w ogóle się nie otwiera, oznacza to, że coś jest nie tak z jej działaniem i niezależnie od tego, czy doszło do ataku DDoS, czy nie, jako profesjonalista musisz zrozumieć, co jest tego przyczyną. Wielokrotnie byliśmy świadkami, jak firma, która miała trudności z działaniem swojej strony w wyniku ataku DDoS, zamiast szukać słabych punktów w silniku strony, próbowała wysłać wnioski do Ministerstwa Spraw Wewnętrznych w celu wykrycia i ukarania atakujących. Nie popełniaj takich błędów. Wyszukiwanie cyberprzestępców jest procesem trudnym i długotrwałym, skomplikowanym ze względu na samą strukturę i zasady funkcjonowania Internetu, a problem z działaniem serwisu musi zostać szybko rozwiązany. Poproś techników, aby dowiedzieli się, co powoduje spadek wydajności witryny, a prawnicy mogą napisać skargę.

7. Użyj profilera i debuggera

W przypadku najpopularniejszej platformy do tworzenia stron internetowych - PHP + MySQL - wąskie gardło można znaleźć za pomocą następujących narzędzi:

  • profiler Xdebug pokaże, którym wywołaniom aplikacja poświęca najwięcej czasu;
  • wbudowany debuger APD i wyjście debugowania do dziennika błędów pomoże ci dowiedzieć się dokładnie, który kod wykonuje te wywołania;
  • w większości przypadków pies jest pochowany w złożoności i ciężarze zapytań do bazy danych. Pomoże nam w tym dyrektywa Explain SQL wbudowana w silnik bazy danych.

Jeśli strona leży na wznak i nic nie tracisz, odłącz się od sieci, przejrzyj logi, spróbuj je odtworzyć. Jeśli nie, przejrzyj strony, spójrz na bazę.

Przykład dotyczy PHP, ale pomysł jest ważny dla dowolnej platformy. Deweloper piszący oprogramowanie w dowolnym języku programowania musi być w stanie szybko korzystać zarówno z debuggera, jak i profilera. Ćwicz wcześniej!

8. Analizuj błędy

Analizuj natężenie ruchu, czas odpowiedzi serwera, liczbę błędów. Zobacz logi na ten temat. W nginx czas odpowiedzi serwera jest rejestrowany w logu przez dwie zmienne: request_time i upstream_response_time. Pierwszy to całkowity czas wykonania żądania, w tym opóźnienia sieci między użytkownikiem a serwerem; druga mówi, jak długo backend (Apache, php_fpm, uwsgi...) wykonuje żądanie. Wartość upstream_response_time jest niezwykle ważna w przypadku witryn z dużą ilością dynamicznej treści i aktywnej komunikacji między frontendem a bazą danych i nie należy jej lekceważyć. Możesz użyć następującej konfiguracji jako formatu dziennika:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Jest to format łączony z dodanymi polami pomiaru czasu.

9. Śledź żądania na sekundę

Spójrz także na liczbę żądań na sekundę. W przypadku nginx możesz z grubsza oszacować tę wartość za pomocą następującego polecenia powłoki (zmienna ACCESS_LOG zawiera ścieżkę do dziennika żądań nginx w połączonym formacie):

Echo $(($(fgrep -c "$(środowisko LC_ALL=C data [e-mail chroniony]$(($(data \ +%s)-60)) +%d/%b/%Y:%H:%M)" "$ACCESS_LOG")/60))

W porównaniu do normalnego poziomu o tej porze dnia liczba żądań na sekundę może zarówno spadać, jak i rosnąć. Rosną, gdy pojawia się duży botnet, i spadają, jeśli przychodzący botnet powoduje awarię witryny, czyniąc ją całkowicie niedostępną dla legalnych użytkowników, a jednocześnie botnet nie żąda danych statycznych, ale uprawnieni użytkownicy tak. Spadek liczby żądań obserwowany jest właśnie ze względu na statykę. Ale w ten czy inny sposób mówimy o poważnych zmianach wskaźników. Gdy dzieje się to nagle – w trakcie samodzielnego rozwiązywania problemu i niewidocznego od razu w logu, lepiej szybko sprawdzić silnik i równolegle skontaktować się ze specjalistami.

10. Nie zapomnij o tcpdump

Wiele osób zapomina, że ​​tcpdump to niesamowite narzędzie diagnostyczne. Podam kilka przykładów. W grudniu 2011 roku wykryto błąd w jądrze Linuksa, który otwierał połączenie TCP, gdy ustawione były flagi segmentu TCP SYN i RST. Pierwszy raport o błędzie został przesłany przez administratora systemu z Rosji, którego zasób został zaatakowany tą metodą - atakujący dowiedzieli się o luce wcześniej niż cały świat. Oczywiście taka diagnoza mu pomogła. Inny przykład: nginx ma jedną niezbyt przyjemną właściwość - zapisuje do logu dopiero po całkowitym przetworzeniu żądania. Są sytuacje, kiedy strona nie działa, nic nie działa i nic nie ma w logach. Dzieje się tak, ponieważ wszystkie żądania, które aktualnie ładują serwer, nie zostały jeszcze zakończone. Tcpdump też tutaj pomoże.

Jest tak dobry, że radziłem ludziom, aby nie używali protokołów binarnych, dopóki nie będą pewni, że wszystko jest w porządku, ponieważ protokoły tekstowe są łatwe do debugowania za pomocą tcpdump, ale protokoły binarne nie. Jednak sniffer jest dobry jako narzędzie diagnostyczne - jako sposób na utrzymanie produkcji” i jest przerażający. Może łatwo stracić wiele pakietów jednocześnie i zepsuć historię użytkownika. Wygodnie jest oglądać jego wyniki i przyda się do ręcznej diagnostyki i bana, ale staraj się nie opierać na nim niczego krytycznego. Inne ulubione narzędzie do „rozgrzewania żądań” – ngrep – generalnie domyślnie próbuje zażądać około dwóch gigabajtów niewymiennej pamięci i dopiero wtedy zaczyna zmniejszać swoje wymagania.

11. Atakować czy nie?

Jak odróżnić np. atak DDoS od efektu kampanii reklamowej? To pytanie może wydawać się śmieszne, ale ten temat jest nie mniej złożony. Jest kilka całkiem zabawnych przypadków. W przypadku niektórych dobrych ludzi, kiedy byli napięci i całkowicie schrzanili buforowanie, strona zachorowała na kilka dni. Okazało się, że przez kilka miesięcy ta strona była niepostrzeżenie zbierana przez niektórych Niemców i zanim zoptymalizowano buforowanie strony ze wszystkimi zdjęciami, ładowanie trwało dość długo. Kiedy strona zaczęła się natychmiastowo wydawać z pamięci podręcznej, bot, który nie miał żadnych limitów czasu, również zaczął je natychmiast zbierać. To było trudne. Sprawa jest szczególnie trudna z tego powodu, że jeśli sam zmieniłeś ustawienie (włączyłeś buforowanie) i strona przestała działać po tym, to kto, Twoim zdaniem i zdaniem szefa, jest winny? Dokładnie. Jeśli widzisz gwałtowny wzrost liczby żądań, to spójrz np. w Google Analytics, kto wszedł na które strony.

Strojenie serwera WWW

Jakie są inne kluczowe punkty? Oczywiście możesz ustawić „domyślny” nginx i mieć nadzieję, że wszystko będzie dobrze dla ciebie. Jednak dobre rzeczy nie zawsze się zdarzają. Dlatego administrator dowolnego serwera musi poświęcić dużo czasu na dopracowanie i dostrojenie nginx.

12. Ogranicz zasoby (rozmiary buforów) w nginx

O czym przede wszystkim należy pamiętać? Każdy zasób ma limit. Przede wszystkim dotyczy pamięci RAM. Dlatego rozmiary nagłówków i wszystkich używanych buforów powinny być ograniczone do odpowiednich wartości na klienta i na serwer jako całość. Muszą być zarejestrowane w konfiguracji nginx.

  • client_header_buffer_size_ _ Ustawia rozmiar bufora do odczytu nagłówka żądania klienta. Jeśli ciąg żądania lub pole nagłówka żądania nie mieszczą się całkowicie w tym buforze, przydzielane są większe bufory, określone przez dyrektywę large_client_header_buffers.
  • duże_bufory_nagłówka_klienta Określa maksymalną liczbę i rozmiar buforów do odczytania nagłówka dużego żądania klienta.
  • rozmiar_bufora_body_klienta Ustawia rozmiar buforu do odczytywania treści żądania klienta. Jeśli treść żądania jest większa niż określony bufor, cała treść żądania lub tylko jej część jest zapisywana w pliku tymczasowym.
  • klient_max_body_size Ustawia maksymalny dozwolony rozmiar treści żądania klienta, określony w polu Content-Length nagłówka żądania. Jeśli rozmiar jest większy niż określony, klient zwraca błąd 413 (Request Entity Too Large).

13. Ustaw limity czasu w nginx

Czas jest również zasobem. Dlatego kolejnym ważnym krokiem powinno być ustawienie wszystkich limitów czasu, które ponownie bardzo ważne jest, aby dokładnie zarejestrować się w ustawieniach nginx.

  • reset_timedout_connection włączony; Pomaga radzić sobie z gniazdami, które utknęły w fazie FIN-WAIT.
  • limit czasu_nagłówka_klienta Określa limit czasu podczas odczytywania nagłówka żądania klienta.
  • limit czasu_body_klienta Określa limit czasu podczas odczytywania treści żądania klienta.
  • podtrzymanie limitu czasu Ustawia limit czasu, podczas którego utrzymywane połączenie z klientem nie zostanie zamknięte przez serwer. Wielu boi się tutaj ustawiać duże wartości, ale nie jesteśmy pewni, czy ten strach jest uzasadniony. Opcjonalnie możesz ustawić wartość limitu czasu w nagłówku HTTP Keep-Alive, ale Internet Explorer jest znany z ignorowania tej wartości.
  • limit_czasu wysyłania Określa limit czasu podczas wysyłania odpowiedzi do klienta. Jeśli klient nic nie otrzyma po tym czasie, połączenie zostanie zamknięte.

Od razu nasuwa się pytanie: jakie parametry buforów i limitów czasu są poprawne? Nie ma tu uniwersalnej recepty, każda sytuacja ma swoją. Istnieje jednak sprawdzona metoda. Konieczne jest ustawienie minimalnych wartości, przy których witryna działa (w czasie pokoju), czyli zwracane są strony i przetwarzane są żądania. Określają to dopiero testy – zarówno z desktopów, jak iz urządzeń mobilnych. Algorytm wyszukiwania wartości każdego parametru (rozmiar bufora lub limit czasu):

  1. Ustawiamy matematyczną minimalną wartość parametru.
  2. Rozpoczynamy testy witryny.
  3. Jeśli wszystkie funkcje witryny działają bez problemów, parametr jest zdefiniowany. Jeśli nie, zwiększ wartość parametru i przejdź do kroku 2.
  4. Jeśli wartość parametru przekroczyła nawet wartość domyślną, jest to powód do dyskusji w zespole deweloperskim.

W niektórych przypadkach rewizja tych parametrów powinna prowadzić do refaktoryzacji/przeprojektowania strony. Na przykład, jeśli witryna nie działa bez trzyminutowych żądań odpytywania AJAX, nie trzeba zwiększać limitu czasu, ale zastąpić długie odpytywanie czymś innym - botnetem złożonym z 20 tysięcy maszyn, zawieszonym na żądaniach przez trzy minuty, z łatwością zabije przeciętny tani serwer.

14. Ogranicz połączenia w nginx (limit_conn i limit_req)

Nginx ma również możliwość ograniczania połączeń, żądań i tak dalej. Jeśli nie masz pewności, jak zachowa się dana część Twojej witryny, najlepiej byłoby ją przetestować, dowiedzieć się, ile żądań może obsłużyć, i zapisać to w konfiguracji nginx. To jedno, gdy witryna nie działa i możesz przyjść i ją odebrać. A to już zupełnie inna sprawa – kiedy położyło się do tego stopnia, że ​​serwer poszedł w swap. W takim przypadku często łatwiej jest zrestartować niż czekać na jego triumfalny powrót.

Załóżmy, że witryna ma sekcje o wymownych nazwach /download i /search. W ten sposób:

  • nie chcemy, aby boty (lub osoby z nadgorliwymi rekurencyjnymi menedżerami pobierania) zapełniały naszą tabelę połączeń TCP swoimi pobraniami;
  • nie chcemy, aby boty (lub zbłąkane roboty wyszukiwarek) wyczerpały zasoby obliczeniowe systemu DBMS wieloma zapytaniami wyszukiwania.

Do tych celów odpowiednia będzie następująca konfiguracja:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( location /download/ ( limit_conn download_c 1; # Inna lokalizacja konfiguracji ) lokalizacja /search/ ( limit_req zone= search_r burst=5; # Inna lokalizacja konfiguracji ) ) )

Zwykle sensowne jest ustawienie limitów limit_conn i limit_req dla lokalizacji, w których znajdują się drogie w wykonaniu skrypty (wyszukiwanie jest wskazane w przykładzie i nie jest to przypadek). Ograniczenia muszą być dobrane na podstawie wyników testów obciążeniowych i regresyjnych, a także zdrowego rozsądku.

Zwróć uwagę na parametr 10m w przykładzie. Oznacza to, że do obliczenia tego limitu zostanie przydzielony słownik z buforem 10 megabajtów i ani jednego megabajta więcej. W tej konfiguracji pozwoli to na monitorowanie 320 000 sesji TCP. Aby zoptymalizować wykorzystanie pamięci, zmienna $binary_remote_addr jest używana jako klucz w słowniku, który zawiera adres IP użytkownika w postaci binarnej i zajmuje mniej pamięci niż zwykła zmienna łańcuchowa $remote_addr. Należy zaznaczyć, że drugim parametrem do dyrektywy limit_req_zone może być nie tylko IP, ale także dowolna inna dostępna w tym kontekście zmienna nginx – na przykład w przypadku, gdy nie chcemy udostępniać bardziej wybaczającego trybu dla proxy, można użyć $binary_remote_addr$http_user_agent lub $binary_remote_addr$http_cookie_myc00kiez - ale takich konstrukcji należy używać ostrożnie, ponieważ w przeciwieństwie do 32-bitowego $binary_remote_addr te zmienne mogą być znacznie dłuższe i zadeklarowane przez Ciebie „10m” może nagle się skończyć.

Trendy w atakach DDoS

  1. Siła ataków warstwy sieciowej i transportowej stale rośnie. Potencjał przeciętnego ataku SYN flood osiągnął już 10 milionów pakietów na sekundę.
  2. Ataki na DNS są ostatnio szczególnie pożądane. Zalew UDP prawidłowymi żądaniami DNS ze sfałszowanymi źródłowymi adresami IP jest jednym z najłatwiejszych do wdrożenia i trudnych do zwalczenia ataków. Wiele dużych rosyjskich firm (w tym firm hostingowych) doświadczyło ostatnio problemów w wyniku ataków na ich serwery DNS. Im dalej, tym więcej będzie takich ataków, a ich siła będzie rosła.
  3. Sądząc po znakach zewnętrznych, większość botnetów nie jest kontrolowana centralnie, ale przez sieć peer-to-peer. Daje to atakującym możliwość zsynchronizowania działań botnetu w czasie – jeśli wcześniej polecenia kontrolne były rozprowadzane w botnecie składającym się z 5000 maszyn w dziesiątki minut, teraz liczą się sekundy, a Twoja witryna może nagle doświadczyć stukrotnego wzrostu liczby upraszanie.
  4. Udział botów wyposażonych w pełnoprawny silnik przeglądarki z JavaScript jest wciąż niewielki, ale stale rośnie. Taki atak jest trudniejszy do odparcia za pomocą wbudowanych improwizowanych środków, dlatego majsterkowicze powinni uważnie obserwować ten trend.

przygotowanie systemu operacyjnego

Oprócz dopracowania nginx, musisz zadbać o ustawienia stosu sieciowego systemu. Przynajmniej natychmiast dołącz net.ipv4.tcp_syncookies do sysctl, aby od razu zabezpieczyć się przed małym atakiem typu SYN flood.

15. Dostrój rdzeń

Zwróć uwagę na bardziej zaawansowane ustawienia części sieciowej (jądra), ponownie pod względem limitów czasu i pamięci. Są ważniejsze i mniej ważne. Przede wszystkim musisz zwrócić uwagę na:

  • net.ipv4.tcp_fin_timeout Czas, jaki gniazdo spędzi w fazie TCP FIN-WAIT-2 (oczekiwanie na segment FIN/ACK).
  • net.ipv4.tcp_(,r,w)pamięć Rozmiar bufora odbioru gniazda TCP. Trzy wartości: minimalna, domyślna i maksymalna.
  • net.core.(r,w)mem_max To samo dotyczy buforów innych niż TCP.

Przy łączu o przepustowości 100 Mb/s wartości domyślne są nadal w jakiś sposób odpowiednie; ale jeśli masz dostępne co najmniej gigabity na sekundę, lepiej użyć czegoś takiego:

sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w net.ipv4.tcp_wmem="4096 65536 8388608" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Wersja /proc/sys/net/**

Idealnie jest przestudiować wszystkie parametry /proc/sys/net/**. Musimy zobaczyć, jak różnią się one od domyślnych i zrozumieć, jak odpowiednio są eksponowane. Programista Linuksa (lub administrator systemu), który rozumie działanie kontrolowanego przez siebie serwisu internetowego i chce go zoptymalizować, powinien z zainteresowaniem zapoznać się z dokumentacją wszystkich parametrów stosu sieciowego jądra. Być może znajdzie tam zmienne specyficzne dla swojej witryny, które pomogą nie tylko zabezpieczyć witrynę przed intruzami, ale także przyspieszyć jej pracę.

Nie bój się!

Udane ataki DDoS z dnia na dzień gasią e-commerce, wstrząsają mediami, jednym ciosem powalają największe systemy płatnicze. Miliony użytkowników Internetu tracą dostęp do krytycznych informacji. Zagrożenie jest pilne, więc musisz stawić mu czoła w pełnym uzbrojeniu. Odrób swoją pracę domową, nie bój się i zachowaj zimną krew. Nie jesteś pierwszym ani ostatnim, który spotkał się z atakiem DDoS na Twoją stronę i to od Ciebie, kierując się wiedzą i zdrowym rozsądkiem, zależy zminimalizowanie skutków ataku.

Na systemie informatycznym w celu doprowadzenia go do awarii, czyli stworzenia takich warunków, w których legalni (legalni) użytkownicy systemu nie będą mieli dostępu do zasobów (serwerów) udostępnianych przez system lub dostęp ten będzie utrudniony. Awaria systemu „wroga” może być również krokiem w kierunku opanowania systemu (jeśli w nagłym przypadku oprogramowanie poda jakieś krytyczne informacje - na przykład wersję, część kodu programu itp.). Częściej jednak jest to miara presji ekonomicznej: przestój usługi generującej dochód, rachunki od dostawcy oraz środki mające na celu uniknięcie ataku znacząco uderzają w „cel” w kieszeni.

Jeśli atak jest przeprowadzany jednocześnie z dużej liczby komputerów, mówi się o tym atak DDoS(z angielskiego. Rozproszona odmowa usługi, rozproszony atak typu „odmowa usługi”.). W niektórych przypadkach niezamierzone działanie prowadzi do faktycznego ataku DDoS, na przykład umieszczenie łącza w popularnym zasobie internetowym do witryny hostowanej na niezbyt wydajnym serwerze (efekt ukośnej kropki). Duży napływ użytkowników prowadzi do przekroczenia dopuszczalnego obciążenia serwera, aw konsekwencji do odmowy usługi dla części z nich.

Rodzaje ataków DoS

Istnieje wiele powodów, dla których może wystąpić warunek DoS:

  • Błąd w kodzie programu, skutkujące dostępem do niewykorzystanego fragmentu przestrzeni adresowej, wykonaniem błędnej instrukcji lub innym nieobsługiwanym wyjątkiem w przypadku awarii programu serwera – programu serwera. Klasycznym przykładem jest odwoływanie się od zera. zero) adres.
  • Niewystarczająca weryfikacja danych użytkownika, prowadzące do nieskończonego lub długiego cyklu lub zwiększonego długotrwałego zużycia zasobów procesora (do wyczerpania zasobów procesora) lub przydziału dużej ilości pamięci RAM (do wyczerpania dostępnej pamięci).
  • powódź(Język angielski) powódź- „flood”, „overflow”) – atak związany z dużą liczbą zwykle bezsensownych lub nieprawidłowo sformatowanych żądań kierowanych do systemu komputerowego lub sprzętu sieciowego, który ma na celu lub doprowadził do awarii systemu w wyniku wyczerpania zasobów systemowych - procesor, pamięć czy kanały komunikacyjne.
  • Atak drugiego rodzaju- atak mający na celu wywołanie fałszywego alarmu systemu ochrony i tym samym doprowadzenie do niedostępności zasobu.

Jeżeli atak (zwykle flood) przeprowadzany jest jednocześnie z dużej liczby adresów IP – z kilku komputerów rozproszonych w sieci – to w tym przypadku jest to tzw. Rozpowszechniane atak typu „odmowa usługi” ( DDoS).

Eksploatacja błędów

Wykorzystać odnosi się do programu, fragmentu kodu programu lub sekwencji poleceń programu, które wykorzystują luki w oprogramowaniu i służą do atakowania systemu cybernetycznego. Spośród exploitów, które prowadzą do ataku DoS, ale nie nadają się na przykład do przejęcia kontroli nad „wrogim” systemem, najbardziej znane to WinNuke i Ping of death (Ping of death).

powódź

Aby zapoznać się z powodzią jako naruszeniem netykiety, zobacz powódź.

powódź wywołują ogromny strumień bezsensownych żądań z różnych komputerów, aby zabrać system „wroga” (procesor, pamięć RAM lub kanał komunikacyjny) do pracy i tym samym tymczasowo go wyłączyć. Pojęcie „ataku DDoS” jest niemal równoznaczne z pojęciem „flood”, a w życiu codziennym często obydwa są wymienne („flood the server” = „DDoS’it the server”).

Aby stworzyć powódź, można użyć zarówno zwykłych narzędzi sieciowych, takich jak ping (jest to znane na przykład społeczności internetowej „ Upyachka”), jak i specjalne programy. Możliwość ataku DDoS jest często „zaszyta” w botnetach. Jeśli w witrynie o dużym natężeniu ruchu zostanie wykryta luka w zabezpieczeniach związana ze skryptami krzyżowymi lub możliwość dołączania obrazów z innych zasobów, witryna ta może być również wykorzystana do ataku DDoS.

Zalew kanału komunikacyjnego i podsystemu TCP

Każdy komputer komunikujący się ze światem zewnętrznym za pośrednictwem protokołu TCP/IP podlega następującym typom powodzi:

  • SYN flood – przy tego typu ataku flood do zaatakowanego węzła wysyłana jest duża liczba pakietów SYN za pośrednictwem protokołu TCP (żądania otwarcia połączenia). Jednocześnie po krótkim czasie liczba gniazd dostępnych do otwarcia (programowe gniazda sieciowe, porty) na atakowanym komputerze wyczerpuje się, a serwer przestaje odpowiadać.
  • UDP flood - ten typ floodowania nie atakuje komputera docelowego, ale jego kanał komunikacyjny. Dostawcy rozsądnie zakładają, że pakiety UDP powinny być dostarczane jako pierwsze, podczas gdy TCP może czekać. Duża liczba pakietów UDP o różnych rozmiarach blokuje kanał komunikacyjny, a serwer działający na protokole TCP przestaje odpowiadać.
  • ICMP flood - to samo, ale za pomocą pakietów ICMP.

Zalanie warstwy aplikacji

Wiele usług jest zaprojektowanych w taki sposób, że małe żądanie może spowodować duże zużycie mocy obliczeniowej serwera. W tym przypadku atakowany jest nie kanał komunikacyjny czy podsystem TCP, ale sama usługa (serwis) – zalew takich „chorych” żądań. Na przykład serwery sieciowe są podatne na zalewanie HTTP — do wyłączenia serwera sieciowego można użyć prostego zapytania GET / lub złożonego zapytania do bazy danych, takiego jak GET /index.php?search=<случайная строка> .

Wykrywanie ataków DoS

Istnieje opinia, że ​​nie są potrzebne specjalne narzędzia do wykrywania ataków DoS, ponieważ nie można przeoczyć faktu ataku DoS. W wielu przypadkach jest to prawda. Jednak dość często obserwowano udane ataki DoS, które ofiary zauważały dopiero po 2-3 dniach. Zdarzało się, że negatywne konsekwencje ataku ( powódź-ataki) skutkowały nadmiernymi kosztami zapłaty za nadmierny ruch w Internecie, o czym przekonano się dopiero po otrzymaniu faktury od dostawcy Internetu. Ponadto wiele metod wykrywania włamań jest nieskutecznych w pobliżu celu ataku, ale skutecznie działa na szkielety sieci. W takim przypadku wskazane jest zainstalowanie systemów wykrywania właśnie tam, a nie czekanie, aż użytkownik, który został zaatakowany, sam to zauważy i zwróci się o pomoc. Ponadto, aby skutecznie przeciwdziałać atakom DoS, konieczna jest znajomość rodzaju, charakteru i innych cech ataków DoS, a systemy wykrywania umożliwiają szybkie uzyskanie tych informacji.

Metody wykrywania ataków DoS można podzielić na kilka dużych grup:

  • podpis - na podstawie jakościowej analizy ruchu.
  • statystyczne - oparte na ilościowej analizie ruchu.
  • hybrydowe (łączone) – łączące zalety obu powyższych metod.

Ochrona DoS

Środki przeciwdziałania atakom DoS można podzielić na pasywne i aktywne oraz prewencyjne i reaktywne.

Poniżej znajduje się krótka lista głównych metod.

  • Zapobieganie. Zapobieganie przyczynom, które skłaniają określone osoby do organizowania i przeprowadzania ataków DoS. (Często cyberataki są ogólnie wynikiem osobistych pretensji, nieporozumień politycznych, religijnych i innych, prowokacyjnego zachowania ofiary itp.)
  • Filtrowanie i blackholowanie. Blokowanie ruchu z atakujących maszyn. Skuteczność tych metod maleje w miarę zbliżania się do obiektu ataku i wzrasta w miarę zbliżania się do atakującej maszyny.
  • Odwróć DDOS- przekierowanie ruchu wykorzystywanego do ataku do atakującego.
  • Eliminacja podatności. Nie działa przeciw powódź-ataki, dla których „podatnością” jest skończoność pewnych zasobów systemowych.
  • Zwiększanie zasobów. Oczywiście nie zapewnia to ochrony absolutnej, ale stanowi dobre tło do zastosowania innych rodzajów ochrony przed atakami DoS.
  • Rozproszenie. Budowa rozproszonych i powielających się systemów, które nie przestaną służyć użytkownikom, nawet jeśli niektóre ich elementy staną się niedostępne z powodu ataku DoS.
  • Uchylanie się. Przesunięcie bezpośredniego celu ataku (nazwy domeny lub adresu IP) z dala od innych zasobów, które często są również atakowane wraz z bezpośrednim celem ataku.
  • Aktywna odpowiedź. Wpływ na źródła, organizatora lub centrum kontroli ataku, zarówno środkami sztucznymi, jak i organizacyjnymi i prawnymi.
  • Używanie sprzętu do odpierania ataków DoS. Na przykład DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i innych producentów.
  • Nabycie usługi ochrony przed atakami DoS. Aktualne w przypadku przekroczenia przepustowości kanału sieciowego przez powódź.

Zobacz też

Notatki

Literatura

  • Chrisa Kaspersky'ego Wirusy komputerowe wewnątrz i na zewnątrz. - Piotr. - Sankt Petersburg. : Piotr, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephena Northcutta, Marka Coopera, Matta Fearnowa i Karen Frederik. Analiza typowych naruszeń bezpieczeństwa w sieciach = Sygnatury włamań i analiza. - New Riders Publishing (angielski) St.Petersburg: Williams Publishing House (rosyjski), 2001. - P. 464. - ISBN 5-8459-0225-8 (rosyjski), 0-7357-1063-5 (angielski)
  • Morris, RT= Słabość oprogramowania 4.2BSD Unix TCP/IP. - Raport techniczny informatyki nr 117. - AT&T Bell Laboratories, luty 1985.
  • Bellovin, SM= Problemy z bezpieczeństwem w pakiecie protokołów TCP/IP. - Przegląd komunikacji komputerowej, tom. 19, nr 2. - AT&T Bell Laboratories, kwiecień 1989.
  • = daemon9 / route / infinity „Buforowanie IP zdemaskowane: wykorzystywanie relacji zaufania”. - Phrack Magazine, tom 7, wydanie 48. - Guild Production, lipiec 1996.
  • = daemon9 / route / infinity „Projekt Neptun”. - Phrack Magazine, tom 7, wydanie 48. - Guild Production, lipiec 1996.

Spinki do mankietów

  • Atak DOS w Katalogu łączy projektu Open Directory (

atak DDOS. Wyjaśnienie i przykład.

Cześć wszystkim. To jest blog Computer76, a teraz kolejny artykuł o podstawach hakerskiej sztuki. Dzisiaj porozmawiamy o tym, czym jest atak DDOS w prostych słowach i przykładach. Zanim przejdziemy do kwestii technicznych, nastąpi wprowadzenie zrozumiałe dla każdego.

Dlaczego stosuje się atak DDoS?

Hakowanie WiFi służy do zbierania hasła do sieci bezprzewodowej. Ataki w postaci „ ” pozwolą na podsłuchiwanie ruchu internetowego. Analiza podatności z późniejszym załadowaniem konkretnego umożliwia przechwycenie komputera docelowego. Co robi atak DDOS? Ostatecznie jego celem jest przejęcie własności zasobu od jego prawowitego właściciela. Nie chcę przez to powiedzieć, że strona lub blog nie będą należeć do Ciebie. W tym sensie, że w przypadku udanego ataku na Twoją witrynę, Ty stracić nad tym kontroli. Przynajmniej przez chwilę.

Jednak we współczesnej interpretacji DDOS atak jest najczęściej wykorzystywany do zakłócenia normalnego działania dowolnej usługi. Grupy hakerów, których nazwy są ciągle słyszane, atakują główne rządy lub witryny rządowe, aby zwrócić uwagę na pewne problemy. Ale prawie zawsze za takimi atakami kryje się interes czysto handlowy: praca konkurentów lub proste figle z całkowicie nieprzyzwoicie niezabezpieczonymi stronami. Główną koncepcją DDOS jest to, że ogromna liczba użytkowników, a raczej żądań z komputerów botów, uzyskuje dostęp do witryny w tym samym czasie, co powoduje, że obciążenie serwera jest nie do zniesienia. Często słyszymy wyrażenie „strona jest niedostępna”, ale niewiele osób zastanawia się, co tak naprawdę kryje się za tym sformułowaniem. Cóż, teraz już wiesz.

Atak DDoS - opcje

Opcja 1.

gracze stłoczeni przy wejściu

Wyobraź sobie, że grasz w grę online dla wielu graczy. Tysiące graczy gra z tobą. A większość z nich znasz. Negocjujesz szczegóły i wykonujesz następujące czynności o godzinie X. Wszyscy wchodzicie na stronę w tym samym czasie i tworzycie postać o tym samym zestawie cech. Zgrupuj się w jednym miejscu, blokując dostęp do obiektów w grze liczbą tworzonych jednocześnie postaci innym sumiennym użytkownikom, którzy niczego nie podejrzewają o Twoją zmowę.

Opcja 2.


Wyobraź sobie, że ktoś postanawia zakłócić kursowanie autobusów w mieście na określonej trasie, aby uniemożliwić sumiennym pasażerom korzystanie z usług transportu publicznego. Tysiące Twoich znajomych jednocześnie zatrzymuje się na przystankach na początku określonej trasy i bez celu jeździ wszystkimi samochodami od końca do końca, aż skończą się pieniądze. Podróż jest płatna, ale nikt nie wysiada na żadnym przystanku innym niż docelowy. A inni pasażerowie, stojąc na przystankach pośrednich, ze smutkiem patrzą na oddalające się minibusy, nie mogąc przepchnąć się do zatłoczonych autobusów. Wszystko się wypala: zarówno właściciele taksówek, jak i potencjalni pasażerowie.

W rzeczywistości opcje te nie mogą być fizycznie zaimplementowane. Jednak w wirtualnym świecie znajomych mogą zastąpić komputery pozbawionych skrupułów użytkowników, którzy nie zadają sobie trudu, aby jakoś zabezpieczyć swój komputer lub laptop. I zdecydowana większość jest. Istnieje wiele programów do przeprowadzania ataku DDoS. Nie trzeba dodawać, że takie działania są nielegalne. A absurdalnie przygotowany atak DDOS, bez względu na to, jak skuteczny jest, jest wykrywany i karany.

Jak przeprowadzany jest atak DDoS?

Klikając łącze do witryny, Twoja przeglądarka wysyła do serwera żądanie wyświetlenia strony, której szukasz. To żądanie jest wyrażone jako pakiet danych. I nawet nie jeden, ale cały pakiet paczek! W każdym przypadku ilość przesyłanych danych na kanał jest zawsze ograniczona do określonej szerokości. A ilość danych zwróconych przez serwer jest nieproporcjonalnie większa niż to, co zawiera Twoje żądanie. Wymaga to wysiłku i zasobów serwera. Im silniejszy serwer, tym droższy jest dla właściciela i tym droższe są świadczone przez niego usługi. Nowoczesne serwery z łatwością poradzą sobie z gwałtownie zwiększonym napływem odwiedzających. Ale dla każdego z serwerów nadal istnieje krytyczna wartość użytkowników, którzy chcą zapoznać się z zawartością witryny. Tym bardziej klarowna jest sytuacja z serwerem, który świadczy usługi hostingu stron internetowych. Jeszcze trochę, a witryna ofiary zostaje odłączona od usługi, aby nie przeciążać procesorów obsługujących tysiące innych witryn znajdujących się na tym samym hostingu. Praca strony zatrzymuje się do momentu ustania samego ataku DDOS. Cóż, wyobraź sobie, że zaczynasz przeładowywać dowolną stronę witryny tysiąc razy na sekundę (DOS). A tysiące twoich znajomych robi to samo na swoich komputerach (rozproszony DOS lub DDOS)... Duże serwery nauczyły się rozpoznawać, że rozpoczął się atak DDOS i przeciwdziałać mu. Jednak hakerzy również ulepszają swoje podejście. Dlatego w ramach tego artykułu nie mogę bardziej szczegółowo wyjaśnić, czym jest atak DDOS.

Co to jest atak DDoS możesz dowiedzieć się i wypróbować już teraz.

UWAGA. Jeśli zdecydujesz się spróbować, wszystkie niezapisane dane zostaną utracone, będziesz potrzebować przycisku, aby przywrócić komputer do stanu roboczego. RESETOWANIE. Ale będziesz mógł dokładnie dowiedzieć się, co „czuje” zaatakowany serwer. Szczegółowy przykład znajduje się w akapicie poniżej, a teraz - proste polecenia do ponownego uruchomienia systemu.

  • W systemie Linux w terminalu wpisz polecenie:
:(){ :|:& };:

System odmówi pracy.

  • W przypadku systemu Windows sugeruję utworzenie pliku bat w Notatniku z kodem:
:1 Uruchom goto 1

Nazwij typ DDOS.bat

Myślę, że wyjaśnianie znaczenia obu poleceń nie jest tego warte. Wszystko widać gołym okiem. Obie komendy zmuszają system do wykonania skryptu i natychmiastowego powtórzenia go, wysyłając go na początek skryptu. Biorąc pod uwagę szybkość wykonania, system wpada w osłupienie po kilku sekundach. Gra, jak mówią, nad.

Atak DDoS przy użyciu oprogramowania.

Aby uzyskać bardziej wizualny przykład, użyj programu Low Orbit Ion Cannon (działo jonowe z niskiej orbity). Lub LOIC. Najczęściej pobierana dystrybucja znajduje się pod adresem (pracujemy w systemie Windows):

https://sourceforge.net/projects/loic/

UWAGA ! Twój program antywirusowy powinien zareagować na plik jako szkodliwy. W porządku: już wiesz, co pobierasz. W bazie sygnatur jest oznaczony jako flood generator - w tłumaczeniu na język rosyjski jest to ostateczny cel niekończących się połączeń z określonym adresem sieciowym. OSOBIŚCIE nie zauważyłem żadnych wirusów ani trojanów. Ale masz prawo się wahać i odroczyć pobieranie.

Ponieważ nieostrożni użytkownicy bombardują zasób wiadomościami o złośliwym pliku, Source Forge przeniesie Cię na następującą stronę z bezpośrednim linkiem do pliku:

W rezultacie udało mi się pobrać narzędzie tylko przez .

Okno programu wygląda następująco:

Punkt 1 Wybierz cel pozwoli atakującemu skoncentrować się na konkretnym celu (wprowadzony zostanie adres IP lub adres URL witryny), punkt 3 Opcje ataku pozwoli ci wybrać atakowany port, protokół ( metoda) z trzech protokołów TCP, UDP i HTTP. W polu wiadomości TCP/UDP możesz wpisać wiadomość dla ofiary. Po zakończeniu atak rozpoczyna się po naciśnięciu przycisku IMMA CHARGIN MAH LAZER(jest to fraza na granicy faulu z niegdyś popularnego komicznyja ja; Nawiasem mówiąc, w programie jest wiele amerykańskich przekleństw). Wszystko.

OSTRZEŻENIE

Ta opcja służy do testowania tylko dla hosta lokalnego. Dlatego:

  • przeciwko stronom innych osób jest to nielegalne, a do tego już naprawdę siedzą na Zachodzie (co oznacza, że ​​​​wkrótce też zostaną posadzone tutaj)
  • adres, z którego nadchodzi powódź, zostanie szybko obliczony, złożą skargę do dostawcy, a on da ci ostrzeżenie i przypomni o pierwszym punkcie
  • w sieciach o kanale o niskiej przepustowości (czyli we wszystkich sieciach domowych) drobiazg nie będzie działał. W sieci TOR wszystko jest takie samo.
  • jeśli dobrze to ustawisz, szybciej zatkasz SWÓJ kanał komunikacji niż komuś zaszkodzisz. Więc to jest dokładnie opcja, gdy gruszka pokonuje boksera, a nie odwrotnie. A opcja z pełnomocnikiem będzie przebiegać na tej samej zasadzie: nikomu nie spodoba się powódź z Twojej strony.

Czytaj: 9 326

Coraz częściej w oficjalnych komunikatach dostawców usług hostingowych tu i ówdzie pojawiają się wzmianki o odbitych atakach DDoS. Coraz częściej użytkownicy, po wykryciu niedostępności swojej witryny, od razu zakładają atak DDoS. Rzeczywiście, na początku marca Runet doświadczył całej fali takich ataków. Jednocześnie eksperci zapewniają, że zabawa dopiero się zaczyna. Po prostu niemożliwe jest zignorowanie zjawiska tak istotnego, budzącego grozę i intrygującego. Więc dzisiaj porozmawiajmy o mitach i faktach dotyczących DDoS. Oczywiście z punktu widzenia dostawcy usług hostingowych.

dzień Pamięci

20 listopada 2013 roku po raz pierwszy w 8-letniej historii naszej firmy cała strona techniczna była przez kilka godzin niedostępna z powodu bezprecedensowego ataku DDoS. Ucierpiały dziesiątki tysięcy naszych klientów w całej Rosji i WNP, nie wspominając o nas i naszym dostawcy Internetu. Ostatnią rzeczą, którą dostawca zdołał naprawić, zanim białe światło zgasło dla wszystkich, było to, że jego kanały wejściowe były mocno zatkane ruchem przychodzącym. Aby to zobrazować, wyobraź sobie swoją wannę ze zwykłą umywalką, do której wpada wodospad Niagara.

Nawet dostawcy górnego biegu rzeki odczuli echa tego tsunami. Poniższe wykresy wyraźnie ilustrują, co stało się tego dnia z ruchem internetowym w Petersburgu iw Rosji. Zwróć uwagę na strome szczyty o godzinie 15:00 i 18:00, kiedy rejestrowaliśmy ataki. Na te nagłe plusy 500-700 GB.

Zlokalizowanie ataku zajęło kilka godzin. Serwer, do którego został wysłany, został obliczony. Następnie obliczono cel terrorystów internetowych. Czy wiesz, w kogo trafiła ta cała artyleria wroga? Jedna bardzo zwyczajna, skromna strona klienta.

Mit numer jeden: „Obiektem ataku jest zawsze dostawca usług hostingowych. To są machinacje jego konkurentów. Nie moje." W rzeczywistości najbardziej prawdopodobnym celem terrorystów internetowych jest witryna zwykłego klienta. Oznacza to, że witryna jednego z twoich sąsiadów hostingowych. A może i twoje.

Nie wszystkie ataki DDoS...

Po wydarzeniach, które miały miejsce na naszej stronie technicznej 20 listopada 2013 r. i ich częściowym powtórzeniu 9 stycznia 2014 r., niektórzy użytkownicy zaczęli zakładać atak DDoS w przypadku jakiejkolwiek konkretnej awarii własnej witryny: „To jest DDoS!” i „Czy znowu masz atak DDoS?”

Należy pamiętać, że jeśli mamy do czynienia z takim atakiem DDoS, że odczuwają to nawet klienci, to sami od razu to zgłaszamy.

Pragniemy uspokoić tych, którym spieszy się do paniki: jeśli coś jest nie tak z Twoją witryną, prawdopodobieństwo, że jest to atak DDoS, wynosi mniej niż 1%. Po prostu ze względu na fakt, że wiele rzeczy może się wydarzyć na stronie i to „dużo rzeczy” zdarza się znacznie częściej. O metodach samodzielnej, szybkiej diagnostyki tego, co dokładnie dzieje się z Twoją witryną, porozmawiamy w jednym z kolejnych wpisów.

Tymczasem - w trosce o precyzję użycia słów - wyjaśnijmy pojęcia.

O warunkach

Atak DoS (z angielskiego Denial of Service) - jest to atak mający na celu spowodowanie odmowy usługi serwera z powodu jego przeciążenia.

Ataki DoS nie są związane z uszkodzeniem sprzętu ani kradzieżą informacji; ich cel - sprawić, że serwer przestanie odpowiadać. Podstawowa różnica między DoS polega na tym, że atak następuje z jednej maszyny na drugą. Uczestników jest dokładnie dwóch.

Ale w rzeczywistości praktycznie nie obserwujemy ataków DoS. Dlaczego? Ponieważ obiektami ataków są najczęściej obiekty przemysłowe (na przykład wydajne serwery produkcyjne firm hostingowych). Aby zaś spowodować jakąkolwiek zauważalną szkodę w działaniu takiej maszyny, potrzebna jest znacznie większa moc niż jej własna. To jest pierwsze. Po drugie, inicjator ataku DoS jest dość łatwy do obliczenia.

DDoS - zasadniczo to samo co DoS, tylko atak jest charakter rozproszony. Nie pięć, nie dziesięć, nie dwadzieścia, ale setki i tysiące komputerów uzyskują dostęp do jednego serwera jednocześnie z różnych miejsc. Taka armia maszyn nazywa się botnet. Obliczenie klienta i organizatora jest prawie niemożliwe.

wspólnicy

Jakie komputery wchodzą w skład botnetu?

Będziesz zaskoczony, ale często są to najzwyklejsze domowe maszyny. Kto wie?.. - całkiem możliwe, że twój komputer domowy przeciągnięty na stronę zła.

Do tego potrzeba trochę. Osoba atakująca znajduje lukę w popularnym systemie operacyjnym lub aplikacji i wykorzystuje ją do zainfekowania komputera trojanem, który w określonym dniu i godzinie nakazuje komputerowi rozpoczęcie wykonywania określonych działań. Na przykład wyślij żądania do określonego adresu IP. Oczywiście bez Twojej wiedzy i udziału.

Mit numer dwa: « DDoS odbywa się gdzieś daleko ode mnie, w specjalnym podziemnym bunkrze, w którym siedzą brodaci hakerzy z czerwonymi oczami. W rzeczywistości, nie wiedząc o tym, ty, twoi przyjaciele i sąsiedzi - każdy może być nieświadomym wspólnikiem.

To się dzieje naprawdę. Nawet jeśli o tym nie myślisz. Nawet jeśli jesteś strasznie daleko od IT (zwłaszcza jeśli jesteś daleko od IT!).

Zabawna mechanika hakowania lub ataków DDoS

Zjawisko DDoS jest heterogeniczne. Ta koncepcja łączy wiele opcji działań, które prowadzą do jednego wyniku (odmowa usługi). Rozważ opcje problemów, które mogą nam przynieść ataki DDoSer.

Nadmierne zużycie zasobów obliczeniowych serwera

Odbywa się to poprzez wysyłanie pakietów do określonego adresu IP, którego przetworzenie wymaga dużej ilości zasobów. Na przykład, aby załadować stronę, musisz wykonać dużą liczbę zapytań SQL. Wszyscy atakujący zażądają tej konkretnej strony, co spowoduje przeciążenie serwera i odmowę usługi dla zwykłych, legalnych gości witryny.
To atak na poziomie ucznia, który poświęcił kilka wieczorów na czytanie magazynu Hacker. Ona nie jest problemem. Ten sam żądany adres URL jest obliczany natychmiast, po czym dostęp do niego jest blokowany na poziomie serwera WWW. A to tylko jedno z rozwiązań.

Przeciążenie kanałów komunikacji do serwera (do wyjścia)

Poziom trudności tego ataku jest mniej więcej taki sam jak poprzedniego. Atakujący oblicza najcięższą stronę w witrynie, a kontrolowany przez niego botnet zaczyna masowo żądać jej podania.


Wyobraź sobie, że niewidoczna dla nas część Kubusia Puchatka jest nieskończenie duża
W tym przypadku bardzo łatwo jest również zrozumieć, co dokładnie blokuje kanał wychodzący i zablokować dostęp do tej strony. Żądania tego samego typu można łatwo zobaczyć za pomocą specjalnych narzędzi, które pozwalają spojrzeć na interfejs sieciowy i przeanalizować ruch. Następnie tworzona jest reguła dla zapory sieciowej, która blokuje takie żądania. Wszystko to odbywa się regularnie, automatycznie i tak błyskawicznie, że większość użytkowników nawet nie jest świadoma żadnego ataku.

Mit numer trzy: "A Jednak rzadko często odwiedzają mój hosting i zawsze je zauważam”. W rzeczywistości 99,9% ataków nie widzisz ani nie czujesz. Ale codzienna walka z nimi - to codzienna, rutynowa praca firmy hostingowej. Taka jest nasza rzeczywistość, w której atak jest tani, konkurencja jest poza listami przebojów, a nie każdy wykazuje się czytelnością w metodach walki o miejsce w słońcu.

Przeciążenie kanałów komunikacji do serwera (przy wejściu)

To już zagadka dla tych, którzy czytają magazyn Hacker dłużej niż jeden dzień.


Zdjęcie ze strony internetowej radia „Echo Moskwy”. Nie znaleźli nic bardziej obrazowego, aby przedstawić atak DDoS z przeciążeniem kanału na wejściu.
Aby wypełnić kanał ruchem przychodzącym do pełna, musisz mieć botnet, którego moc pozwala wygenerować wymaganą ilość ruchu. Ale może jest sposób, aby oddać mały ruch i uzyskać dużo?

Jest i nie ma ani jednego. Istnieje wiele opcji wzmocnienia ataku, ale jedną z najpopularniejszych obecnie jest ataku przez publiczne serwery DNS. Eksperci nazywają tę metodę amplifikacji Wzmocnienie DNS(w przypadku, gdy ktoś woli terminy eksperckie). A jeśli to prostsze, to wyobraź sobie lawinę: wystarczy mały wysiłek, by ją przerwać, i nieludzkie środki, by ją zatrzymać.

Ty i ja to wiemy publiczny serwer DNS na życzenie informuje każdego zainteresowanego danymi o dowolnej nazwie domeny. Na przykład prosimy taki serwer: powiedz mi o domenie sprinthost.ru. A on bez wahania wyrzuca nam wszystko, co wie.

Zapytanie do serwera DNS jest bardzo prostą operacją. Kontakt z nim prawie nic nie kosztuje, prośba będzie mikroskopijna. Na przykład tak:

Pozostaje tylko wybrać nazwę domeny, o której informacji będzie imponujący pakiet danych. Tak więc oryginalne 35 bajtów przy niewielkim ruchu ręki zamienia się w prawie 3700. Następuje wzrost ponad 10-krotny.

Ale jak się upewnić, że odpowiedź jest kierowana pod właściwy adres IP? Jak sfałszować źródłowy adres IP żądania, aby serwer DNS wysyłał odpowiedzi w kierunku ofiary, która nie żądała żadnych danych?

Faktem jest, że serwery DNS działają dalej Protokół komunikacyjny UDP, co wcale nie wymaga potwierdzenia pochodzenia żądania. Sfałszowanie wychodzącego adresu IP w tym przypadku nie jest wielką sprawą dla dozującego. Dlatego ten rodzaj ataku jest obecnie tak popularny.

Co najważniejsze, do przeprowadzenia takiego ataku wystarczy bardzo mały botnet. I kilka odmiennych publicznych DNS, które nie dopatrzą się nic dziwnego w tym, że różni użytkownicy od czasu do czasu żądają danych z adresu jednego hosta. I dopiero wtedy cały ten ruch połączy się w jeden strumień i mocno przybije jedną „rurę”.

To, czego dozujący nie może wiedzieć, to przepustowość kanałów atakującego. A jeśli nie obliczy poprawnie siły swojego ataku i nie zablokuje od razu kanału do serwera w 100%, atak można szybko i łatwo odeprzeć. Korzystanie z narzędzi takich jak Zrzut TCPłatwo jest dowiedzieć się, że ruch przychodzący pochodzi z DNS, a na poziomie zapory sieciowej uniemożliwić jego akceptację. Ta opcja - odmowa przyjmowania ruchu z DNS - wiąże się z pewną niedogodnością dla wszystkich, jednak zarówno serwery, jak i witryny na nich będą nadal pomyślnie działać.

To tylko jedna z wielu opcji wzmocnienia ataku. Istnieje wiele innych rodzajów ataków, możemy o nich porozmawiać innym razem. Tymczasem chciałbym podsumować, że wszystko powyższe jest prawdziwe dla ataku, którego siła nie przekracza szerokości kanału do serwera.

Jeśli atak jest silny

Jeśli siła ataku przekracza pojemność kanału do serwera, dzieje się co następuje. Kanał internetowy jest natychmiast zatkany do serwera, potem do strony hostingowej, do jego dostawcy Internetu, do dostawcy upstream i tak dalej i w górę w porządku rosnącym (w przyszłości - do najbardziej absurdalnych granic), o ile siła ataku jest wystarczająca.

A potem staje się to globalnym problemem dla wszystkich. I w skrócie z tym mieliśmy do czynienia 20 listopada 2013 roku. A kiedy dochodzi do wstrząsów na dużą skalę, czas włączyć specjalną magię!


Tak wygląda szczególna magia, za pomocą której można obliczyć serwer, do którego kierowany jest ruch i zablokować jego IP na poziomie ISP. Aby przestał akceptować wszelkie połączenia do tego adresu IP za pośrednictwem swoich kanałów komunikacji ze światem zewnętrznym (uplinki). Dla miłośników terminów: eksperci nazywają tę procedurę "zaciemniać", z angielskiego blackhole.

Jednocześnie zaatakowany serwer z 500-1500 kontami pozostaje bez swojego adresu IP. Przydzielana jest dla niej nowa podsieć adresów IP, w której konta klientów są losowo i równomiernie rozdzielane. Ponadto eksperci czekają na powtórzenie ataku. Prawie zawsze się powtarza.

A kiedy sytuacja się powtarza, na zaatakowanym IP nie ma już 500-1000 kont, ale kilkanaście lub dwa.

Krąg podejrzanych się zawęża. Te 10-20 kont jest ponownie rozdzielanych na różne adresy IP. Po raz kolejny inżynierowie czekają na kolejny atak. Raz po raz rozprzestrzeniają podejrzane konta na różne adresy IP iw ten sposób, poprzez stopniowe przybliżenie, obliczają obiekt ataku. Wszystkie inne konta w tym momencie wracają do normalnego działania na tym samym IP.

Jak wiecie, nie jest to procedura natychmiastowa, jej wdrożenie wymaga czasu.

Mit numer cztery:„Kiedy dochodzi do masowego ataku, mój gospodarz nie ma planu działania. Po prostu czeka z zamkniętymi oczami na koniec bombardowania i odpowiada na moje listy tymi samymi odpowiedziami.Tak nie jest: w przypadku ataku dostawca hostingu działa zgodnie z planem, aby jak najszybciej go zlokalizować i wyeliminować skutki. A ten sam rodzaj listów pozwala przekazać istotę tego, co się dzieje, a jednocześnie zaoszczędzić zasoby niezbędne do jak najszybszego przetworzenia sytuacji awaryjnej..

Czy jest światełko w tunelu?

Teraz widzimy, że aktywność DDoS stale rośnie. Zamówienie ataku stało się bardzo dostępne i brzydkie niedrogie. Aby uniknąć oskarżeń o propagandę, nie będzie żadnych linków dowodowych. Ale uwierz nam na słowo, tak jest.

Mit numer pięć: „Atak DDoS jest bardzo kosztownym wydarzeniem i tylko duże firmy mogą sobie pozwolić na jego zlecenie. W ostateczności są to machinacje tajnych służb!” W rzeczywistości takie wydarzenia stały się niezwykle dostępne.

Dlatego nie trzeba oczekiwać, że szkodliwa aktywność zniknie sama. Raczej będzie się tylko nasilać. Pozostaje tylko wykuwać i ostrzyć broń. Co robimy, ulepszamy infrastrukturę sieciową.

Prawna strona zagadnienia

Jest to bardzo niepopularny aspekt omawiania ataków DDoS, ponieważ rzadko słyszymy o przypadkach schwytania i ukarania inicjatorów. Pamiętaj jednak: Atak DDoS jest przestępstwem. W większości krajów świata, w tym w Rosji.

Mit numer sześć: « Teraz wiem już wystarczająco dużo o DDoS, zamówię wakacje dla konkurencji - I nic za to nie dostanę!” Nie jest wykluczone, że tak będzie. A jeśli tak, to nie wydaje się dużo.

  • Powiąż historię z systemem płatności DDoS Assist
  • Ekscytujące rozwiązanie

Ogólnie rzecz biorąc, nie radzimy nikomu angażować się w okrutne praktyki DDoS, aby nie narazić się na gniew sprawiedliwości i nie nagiąć własnej karmy. A my, ze względu na specyfikę naszej działalności i żywe zainteresowanie badawcze, nadal badamy problem, stajemy na warcie i ulepszamy struktury obronne.

PS:nie mamy wystarczająco dużo miłych słów, aby wyrazić całą naszą wdzięczność, więc po prostu mówimy"Dziękuję!" naszym cierpliwym klientom, którzy gorąco nas wspierali w trudnym dniu 20 listopada 2013 r. Powiedziałeś wiele słów zachęty, aby wesprzeć nas

mob_info