DDOS napad - detaljan vodič. Što je napad DDO-a, kako se provode i metode zaštite od njih

Distribuirani napadi "odbijanja održavanja" ili skraćenih DDosa postali su zajednički fenomen i ozbiljna glavobolja za vlasnike internetskih resursa širom svijeta. Zato je zaštita od napada DDOS-a na web mjestu danas nije dodatna opcija, već preduvjet za one koji žele izbjeći zastoj, ogromne štete i razmažene reputacije.

Kažemo nam više o tome šta je bolest i kako se braniti.

Šta je DDos.

Distribuirano odbijanje usluge ili "distribuirano odbijanje održavanja" - napad na informacioni sistem tako da nema mogućnost obrade zahtjeva korisnika. Jednostavne riječi, DDOS se sastoji u suzbijanju web resursa ili prometnog poslužitelja iz ogromnog broja izvora, što ga čini nepristupačnim. Često se takav napad provodi da izaziva prekide u radu mrežnih resursa u velikoj firmi ili državnoj organizaciji

Napad DDOS sličan je još jednoj zajedničkoj prijetnji web prijetnji - "Odbijanje usluge, DOS-a). Jedina razlika je da uobičajeni distribuirani napad dolazi iz jedne tačke, a napad DDOS je veći i dolazi iz različitih izvora.

Glavni cilj napada DDOS-a je da se web stranica učini nedostupnim posjetiteljima blokirajući njen rad. Ali postoje slučajevi kada se takvi napadi budu proizvedeni kako bi se ometali pažnju drugih štetnih efekata. Napad DDOS-a može se, na primjer, provesti prilikom hakiranja sigurnosnog sistema kako bi se preuzeo bazu podataka organizacije.

Napadi DDOS-a pojavili su se u pažnji javnosti u 1999. godini, kada se dogodila niz napada na web lokacije velikih kompanija (Yahoo, eBay, Amazon, CNN). Od tada ova vrsta cyber kriminala razvila je prijetnju globalnoj razini. Prema stručnjacima, poslednjih godina, njihova frekvencija je povećala 2,5 puta, a najveći kapacitet je prekoračen 1 TBIT / s. Žrtva napada DDOS-a barem jednom je svaka šesta ruska kompanija postala. Do 2020. godine njihov ukupni odgovor dostići će 17 miliona.

Hosting igrališta sa zaštitom od kruga sa satnima iz najsofisticiranijih DDOS napada.

Uzroci napada DDOS-a

  1. Lična animozitet. Često gura uljeze za napadačke korporacije ili vladine kompanije. Na primjer, 1999. godine napravljen je napad na web stranice FBI-a, kao rezultat toga što nisu uspjeli nekoliko tjedana. To se dogodilo zbog činjenice da je FBI započeo velike racije na hakerima.
  2. Politički protest. Tipično se takvi napadi obavljaju s hactivistima - IT stručnjacima s radikalnim pogledom na građanski protest. Poznati primjer je niz cyber napada na estonske vladine agencije u 2007. godini. Mogućnost rušenja spomenika libeateru u Talinu vjerovatno će ih uzrokovati.
  3. Zabava.Danas sve veći broj ljudi voli DDOS i žele da isprobaju njihovu snagu. Newbird-hakeri često organizuju napade da bi se zabavili.
  4. Iznuđivanje i ucjena.Prije pokretanja napada, haker je povezan sa vlasnikom resursa i zahtijeva otkupljenje.
  5. Konkurencija. DDOS napadi mogu se naručiti od nepravedne kompanije kako bi utjecali na njihove konkurente.

Ko su potencijalne žrtve

DDoss može uništiti mjesta bilo kojeg razmjera, u rasponu od običnih blogova i završetka s najvećim korporacijama, bankama i drugim financijskim institucijama.

Prema istraživanju koje je proveo "Kaspersky Lab", napad može koštati kompaniju na 1,6 miliona dolara. Ovo je ozbiljna šteta, jer napadnuti web resurs ne može u neko vrijeme, zbog čega postoji jednostavno.

Najčešće, lokacije i serveri pate od DDOS napada:

  • velike kompanije i vladine agencije;
  • finansijske institucije (banke, menadžerske kompanije);
  • kuponske usluge;
  • medicinske ustanove;
  • sustavi plaćanja;
  • Mediji i informirani agregati;
  • internet trgovine i preduzeća za e-trgovinu;
  • online igre i usluge igre;
  • cryptovaya razmjene.

Ne tako davno, oprema je dodana na tužni popis čestih žrtava DDOS-napada i opreme povezanog na Internet, koji je primio ukupno ime "Internet stvari", IOT). Najveća dinamika rasta u ovom pravcu prikazuje cyber napade s ciljem kršenja rada internetskih kase u velikim trgovinama velikih prodavaonica ili trgovačkih centara.

Radni mehanizam

Svi web poslužitelji imaju vlastite upite koje mogu istovremeno obraditi. Pored toga, ograničenje je predviđeno za propusnost kanala koji povezuje mrežu i poslužitelj. Da bi zaobišao ta ograničenja, Zlochysles stvaraju računarsku mrežu sa zlonamjernim softverom, nazvanim "Botnet" ili "Zombie mreža".

Da biste stvorili botnet, cyber-kriminalci distribuiraju Trojan putem distribucije e-pošte, društvenim mrežama ili web lokacijama. Računari uključeni u Botnet nemaju fizičku vezu među sobom. Oni su ujedinjeni samo "Ministarstvo" ciljevima hakera.

Tokom napada DDOS, haker šalje "zaraženi" zombi computers tim, a oni započinju uvredljive. Batene stvaraju ogromnu količinu prometa koji mogu preopteretiti bilo koji sistem. Glavni "predmeti" za DDOS obično postaju širine opsega poslužitelja, DNS server, kao i sama internetska veza.

Znakovi napada DDOS-a

Kada akcije napadača dođu do svog cilja, moguće je odmah odrediti kvarove datoteke ili resurs koji se tamo postavi. Ali postoji niz indirektnih znakova, prema kojem se napad DDOS može naći u svom samom početku.

  • Softver servera i OS počinju često i izričito šivati - objesiti, pogrešno završen posao itd.
    • hardverska snaga Serveri, oštro se razlikuju od prosječnih dnevnih pokazatelja.
  • Brzo povećanje dolazni Saobraćaj U jednom ili više portova.
  • Višestruki duplicirane jednostavne akcije Kupci na jednom resuru (idite na web mjesto, preuzimanje datoteke).
  • Prilikom analize dnevnika (korisničkih akcija) servera, vatrozida ili mrežni uređaji identificirani mnogo zahtjeva Jedna vrsta različitih izvora na jedan Luka ili usluga. To bi trebalo biti posebno upozorenje ako se publika zahtjeva oštro razlikuje od cilja za web mjesto ili uslugu.

Klasifikacija vrsta DDOS-napada

Uvredljiv protokol (nivo transporta)

Napad DDOS-a usmjeren je na razinu mreže poslužitelja ili web resursa, tako da se često naziva napad mrežnog sloja ili napada prijevoza. Cilj mu je preopterećenje prostora za stolo na vatrozidu sa ugrađenim sigurnosnim dnevnikom (vatrozidom), u središnjoj mreži ili u sistemu balansirajući teret.

Najčešća DDOS metoda na transportnom nivou - mrežna poplavaStvaranje ogromnog protoka zahtjeva za bojenje na različitim nivoima, sa kojim se čvor koji prima ne može biti narušen.

Obično mrežna usluga primjenjuje FIFO pravilo, prema kojem računar ne nastavlja da održava drugi zahtjev do prvih procesa. Ali kada napadaju broj zahtjeva tako se povećava da uređaj nedostaje resursa kako bi se završio operacija s prvim zahtjevom. Kao rezultat toga, poplava maksimizira propusnu širinu što je više moguće i učvršćuje sve komunikacijske kanale.

Uobičajene vrste mrežnih poplava

  • Http-flood - Masa običnih ili šifriranih HTTP poruka, bodovanje komunikacijskih čvorova, šalje se na napadnuti server.
  • ICMP-Flood- Napadač Botnets preopterećuje mašinu za domaćin žrtve po službenim zahtjevima na koji je dužan dati odjeku odgovorima. Privatni primjer ove vrste napada - P.ing-poplavaili Smurf napad kada su komunikacijski kanali ispunjeni ping pitama koji se koriste za provjeru dostupnosti mrežnog čvora. To je zbog prijetnje ICMP-poplava, sustav administratori često blokiraju mogućnost pravljenja ICMP zahtjeva pomoću vatrozida.
  • Syn-Flood. - Napad pogađa jedan od osnovnih mehanizama TCP protokola, poznatog kao načelo "Trostruko rukovanje" ("UPIT-ODGOVORNI Algoritam": SYN paket - Syn-ACK paket). Žrtva je ispunjena osovinom lažnih synh upita bez odgovora. Korisnički kanal začepljen je redom TCP veze iz odlaznih veza koje čekaju odgovor ACK paket.
  • UDP-Flood - Slučajni portovi mašine za domaćin žrtve ispunjeni su UDP paketima, odgovore na koji preopterećuju mrežne resurse. Naziva se razne poplave UDP-a usmjerenih na DNS server DNS-Flud..
  • Mac Flood - Cilj je mrežna oprema, čiji su portovi začepljeni potocima "praznih" paketa s različitim MAC adresima. Da bi se zaštitilo od takvih vrsta DDOS napada na mrežne sklopke, podesite validaciju valjanosti i filtriranje mac adresa.

Napadi na primijenjenim nivoima (nivo infrastrukture)

Ova vrsta se koristi kada trebate snimiti ili onemogućiti hardverske resurse. Cilj "raidera" može biti i fizička i ravna ili procesora.

Preopterećenje propusne širine nije potrebno. Dovoljno je samo da se žrtvovni procesor pretvori ili, drugim riječima, uzimaju cijelo vrijeme procesa.

Vrste nivoa aplikacije DDOS-napada

  • Pošalji "Teškax »paketiDolazeći direktno u procesor. Uređaj ne može maskirati složene proračune i počne propasti, s čime se onemogući pristup web mjestu posjetiteljima.
  • Pomoću skripte, poslužitelj je popunjen Sadržaj "smeća" - Dnevni datoteke, "Komentari korisnika" itd. Ako administrator sustava ne postavi ograničenje na poslužitelju, tada haker može stvoriti ogromne datotečne pakete koji će rezultirati punjenjem cijelog tvrdog diska.
  • Problemi sa sistem kvota. Neki serveri se koriste za komunikaciju s vanjskim programima CGI-sučelja (zajednički pristup gateway-u, "General Gateway sučelje"). Nakon primitka pristupa CGI-u, napadač može napisati svoju skriptu koja će koristiti dio resursa, na primjer - vrijeme procesora, u svom interesu.
  • Nepotpuna provjera Podaci o posjetitelju. Također dovodi do duge ili čak beskonačne upotrebe resursa procesora do iscrpljenosti.
  • Drugi roda napad. To uzrokuje lažni odgovor signala u sistemu zaštite, koji može automatski zatvoriti resurs iz vanjskog svijeta.

Napadi na nivou aplikacije

DDOS napad nivoa aplikacija koristi propuste prilikom kreiranja programskog koda koji stvara ranjivost softvera za vanjski utjecaj. Ova vrsta se može pripisati tako zajedničkom napadu kao "ping smrt" (ping smrti) je masovno slanje ICMP paketa veće dužine koje uzrokuju prelijevanje međuspremnika.

Ali profesionalni hakeri rijetko se odmaraju na najjednostavniju metodu kao preopterećenje propusnim kanalima. Za napad složenih sistema velikih kompanija, pokušavaju u potpunosti shvatiti sistemsku strukturu poslužitelja i napisati eksploataciju - program, lanac naredbi ili dio programa koji uzima u obzir ranjivost žrtve i nanosi se na računar.

DNS napad

  1. Prva grupa je usmjerena na ranjivosti B. OdDNS serveri. Oni uključuju takve zajedničke vrste cyber krivičnih djela, poput napada na nula ("napad na nultu dan") i brz fluksek DNS ("Brzi protok").
    Jedna od najčešćih vrsta DNS napada naziva se DNS-spoofing ("DNS-Cqueal"). Tokom nje, napadači zamjenjuju IP adresu u predmemoriji poslužitelja, preusmjeravajući korisnika na stranicu podmornice. Prilikom selidbe prekršilac dobija pristup korisničkom imenu korisnika i može ih koristiti u vlastitim interesima. Na primjer, u 2009. godini, zbog zamjene DNS zapisa, korisnici nisu mogli ići na Twitter na sat vremena. Takav napad imao je politički karakter. Zlostavljani su instalirani na glavnoj stranici društvene mreže Upozorenje hakera iz Irana povezane sa američkom agresijom
  2. Druga grupa su DDOS napadi koji vode do dNS invalidnosti.- serveri. Ako ne uspijete, korisnik neće moći preći na željenu stranicu, jer pretraživač neće pronaći IP adresu svojstvenu na određenoj web lokaciji.

Prevencija i zaštita od napada DDOS-a

Prema sigurnosti Corero Network, više od svih kompanija na svijetu podliježu napadama "Pristup odbijanju". Štaviše, njihov broj doseže 50.

Vlasnici web lokacija koji nisu predvidjeli zaštitu poslužitelja iz DDOS-napada ne mogu samo da se navode samo veliki gubici, već i smanjenje povjerenja kupaca, kao i konkurentnost na tržištu.

Najefikasniji način zaštite od DDOS-napada su filtri koji dobavljač instalira na internetske kanale s visokom širinom pojasa. Oni provode dosljednu analizu cjelokupnog prometa i otkrivaju sumnjivu mrežnu aktivnost ili grešku. Može se instalirati filtri, kako na nivou usmjerivača i pomoću posebnih hardverskih uređaja.

Načini zaštite

  1. Čak i u fazi pisanja softvera morate razmišljati o sigurnosti web stranice. Pažljivo provjeriti Za greške i ranjivosti.
  2. Redovno ažuriranjeA također pružaju priliku za povratak u staru verziju kada se pojave problemi.
  3. Paziti na ograničavanje pristupa. Usluge povezane sa administracijom moraju biti u potpunosti zatvorene od pristupa treće strane. Zaštitite administratora složenim lozinkama i češće ih mijenjate. Izbrišite račune zaposlenih na pravovremeno koji prestane.
  4. Pristup administrator sučelje Mora se izvesti isključivo iz interne mreže ili putem VPN-a.
  5. Skenirajte sistem na dostupnost ranjivosti. Najopasniju opcije ranjivosti redovno objavljuje OWASP Top 10 autoritativna ocjena.
  6. Primijeniti vatrozid za aplikacije - WAF (Web aplikacija vatrozid). Pregledao je prenosiv promet i prati legitimitet zahtjeva.
  7. Koristiti Cdn. Mreža za dostavu sadržaja). Ovo je mreža mreže koja radi s distribuiranom mrežom. Prometni promet sortirao nekoliko servera, što smanjuje kašnjenje prilikom pristupa posjetiteljima.
  8. Kontrolirajte dolazni promet pomoću liste kontrole pristupa (ACL)Ako će se navesti popis osoba s pristupom objektu (program, proces ili datoteka), kao i njihova uloga.
  9. Može blok prometšto dolazi od napadačkih uređaja. To se vrši dvije metode: upotreba vatrozida ili ACL lista. U prvom slučaju, blokiran je određeni protok, ali ekrani ne mogu odvojiti "pozitivan" promet iz "negativnog". A u drugom - sekundarni protokoli se filtriraju. Stoga neće imati koristi ako haker primjenjuje najvažnije zahtjeve.
  10. Da biste zaštitili od DNS-a, trebate periodično očistite predmemoriju DNS..
  11. Koristiti zaštita od neželjene botove - CAPTCHA (CAPTCHA), "Human" privremeni okvir za popunjavanje obrazaca, reCAPTCHA (potvrdni okvir "Ja nisam robot"), itd.
  12. Obrnuti napad. Sva zlonamjerni promet preusmjeren je na napadača. To će pomoći ne samo da odražava napad, već i uništi server napadača.
  13. Smještaj resursa po nekoliko nezavisnih servera. Kada izađete iz jednog poslužitelja, preostalo će osigurati efikasnost.
  14. Korištenje provjerenog zaštita hardvera Iz DDOS-napada. Na primjer, Impletec Icor ili Fallonalpro.
  15. Odaberite pružatelja hostinga koji sarađuju sa pouzdan dobavljač Cyber-sigurnosne usluge. Među kriterijima pouzdanosti, identificiraju se stručnjaci: prisustvo garancija za kvalitet, osiguravajući zaštitu od najpotpunijeg raspona prijetnji, tehničke podrške za krug-satu, transparentnost (pristup klijenta za statistiku i analitiku), kao i nedostatak zlonamjernog softvera tarifiranje.

Zaključak

U ovom smo članku pregledali šta znači DDOS napada i kako zaštititi vašu web lokaciju od napada. Važno je zapamtiti da takve zlonamjerne akcije mogu propasti čak ni najsigurnije i većine web resursa. To će podrazumijevati ozbiljne posljedice u obliku ogromnih oštećenja i gubitaka kupaca. Zato, da biste osigurali svoj resurs iz DDOS-napada - stvarni zadatak za sve komercijalne strukture i vladine agencije.

Želite profesionalni nivo zaštite od DDOS-napada - odaberite! Stojeći nadzor i tehnička podrška kruga.

Nedavno smo uspjeli osigurati da je DDOS napad bio prilično jak oružje u informativnom prostoru. Sa DDOS-u, visoki napadi napajanja ne možete onemogućiti samo jednu ili više web lokacija, već poremetiti rad čitavog segmenta mreže ili onemogućite Internet u maloj zemlji. Danas se napadi DDOS-a javljaju sve češće i njihova se snaga svaki put povećava.

Ali koja je suština takvog napada? Što se događa na mreži kada se radi, gdje je ideja došla od toga i zašto je tako efikasna? Odgovori ćete pronaći na sva ta pitanja u našem trenutnom članku.

DDOS ili distribuirano odbijanje usluge (odvojeno odbijanje održavanja) je napad na određeno računalo na mreži koja ga uzrokuje preopterećenjem da ne reagira na zahtjeve drugih korisnika.

Da bismo shvatili šta znači DDOS napad znači, zamislimo situaciju: Web server pruža korisnicima stranica stranicama, recimo stvaranju stranice i korisnik punog prenosa nje od pola sekunde, tada naš poslužitelj može normalno raditi na učestalost dva zahtjeva u sekundi. Ako ima više takvih zahtjeva, oni će biti u redu i obrađeni čim web server bude besplatan. Svi novi zahtjevi dodaju se na kraj reda čekanja. A sada ću zamisliti da postoji puno zahtjeva, a većina njih prelazi samo na preopterećenje ovog poslužitelja.

Ako brzina primitka novih zahtjeva prelazi brzinu obrade, zatim, s vremenom, red upita bit će toliko dugo da se zapravo novi zahtjevi neće obraditi. Ovo je glavni princip napada DDOS-a. Prije toga, takvi zahtjevi su poslani sa jedne IP adrese i to se naziva referentnim napadom - u stvari, to je odgovor na pitanje šta je DOS. Ali sa takvim napadima možete se efikasno boriti, jednostavno dodavanje IP adrese izvora ili nekoliko na listi zaključavanja, a također i višestruki uređaj zbog ograničenja mrežne propusnosti ne stvaraju dovoljan broj paketa za preopterećenje ozbiljnog poslužitelja.

Stoga se sada napadi obavljaju odmah iz miliona uređaja. Riječ raspoređena je dodana na ime, ispostavilo se - DDOS. Prema jednom, ti uređaji ne znače ništa, a moguće je povezati s internetom bez velike brzine, ali kada počnu istovremeno slati zahtjeve za jednim serverom, oni mogu postići ukupnu brzinu do 10 TB / s. A ovo je prilično ozbiljan pokazatelj.

Ostaje da shvatimo gdje napadači uzimaju toliko uređaja da ispune svoje napade. Ovo su obični računari ili različiti IOT uređaji na koje su napadači bili u mogućnosti da pristupe. To može biti bilo šta, kamkorderi i usmjerivači sa dugom ažuriranim firmverom, kontrolnim uređajima, bunarima i običnim korisnicima korisnika koji su nekako pokupili virus i ne znaju za njeno postojanje ili ne žure za njegovog postojanja.

Vrste DDOS ATAK-a

Postoje dvije glavne vrste DDOS napada, neki su fokusirani na preopterećenje specifičnog programa i napada usmjerenih na preopterećenje mrežnog kanala na ciljni računar.

Napadi na preopterećenje bilo kojeg programa također se nazivaju napadima u 7 (u modelu rada OSI mreže - sedam nivoa i potonje su nivoi pojedinačnih aplikacija). Napadač napada program koji koristi mnogo resursa poslužitelja slanjem velikog broja zahtjeva. Na kraju, program nema vremena za obradu svih veza. Ova vrsta koje smo smatrali višim.

DOS napadi na Internet kanalu zahtijevaju mnogo više resursa, ali mnogo je teže nositi sa njima. Ako predstavljate analogiju sa OSI-om, onda su to napadi na nivou 3-4, on je na kanalu ili protokolu prenosa podataka. Činjenica je da svaka internetska veza ima vlastiti ograničenje brzine s kojim se podaci mogu prenijeti. Ako postoji puno podataka, mrežna oprema poput programa će ih staviti u red prijenosa, a ako će iznos podataka i brzina njihovog primitka biti vrlo visoka na brzinu kanala, ona će biti preopterećena. Brzina prijenosa podataka u takvim slučajevima mogu se izračunati u gigabajtima u sekundi. Na primjer, u slučaju prekida veze s interneta mala zemlja Liberija, brzina prijenosa podataka bila je do 5 TB / s. Ipak, 20-40 GB / S dovoljno je za preopterećenje većine mrežnih infrastrukture.

Porijeklo napada DDOS-a

Iznad smo pogledali koji DDOS napadi, kao i metode napada DDOS-a, vrijeme je da krenemo na njihovo porijeklo. Jeste li se ikad zapitali zašto su ovi napadi tako efikasni? Oni se zasnivaju na vojnim strategijama koje su razvijene i provjerene dugim desetljećima.

Općenito, mnogi pristupi informacijskoj sigurnosti zasnivaju se na vojnim strategijama prošlosti. Postoje trojanske viruse koji nalikuju drevnoj bitci za Troy, umanjiv viruse koji kradu vaše dosjee kako bi ostvarili otkup i DDOS napade koji ograničavaju neprijateljske resurse. Ograničavanje sposobnosti protivnika, dobijate određenu kontrolu nad svojim narednim radnjama. Ova taktika vrlo dobro funkcionira kao i za vojne strateze. Dakle za cyber-kriminale.

U slučaju vojne strategije, vrlo možemo razmišljati o vrstama resursa koji se mogu ograničiti na ograničenje mogućnosti neprijatelja. Ograničenje vode, hrane i građevinskih materijala jednostavno bi uništilo neprijatelja. Kompjuteri su ovdje različiti ovdje, postoje različite usluge, poput DNS, web servera, poslužitelja e-pošte. Svi imaju drugu infrastrukturu, ali postoji nešto što ih ujedinjuje. Ovo je mreža. Bez mreže nećete moći pristupiti daljinskom uslugu.

Zapovjednik može otrovati vodu, spaliti usjeve i organizirati kontrolne punktove. Cyberkriminals mogu slati pogrešne podatke u uslugu, činiti je potrebno da potroši svu memoriju ili potpuno preplavu cijelog mrežnog kanala. Strategije zaštite imaju i iste korijene. Administrator poslužitelja morat će pratiti dolaznog prometa kako bi pronašao zlonamjerni i blokiran prije nego što dostigne ciljni mrežni kanal ili program.

Web stranica administratora osnivača i web lokacije, uživajte u otvorenom softveru i Linux operativnom sistemu. Kao glavni OS sada koristim Ubuntu. Pored Linuxa, zanima me sve što je povezano sa informacionom tehnologijom i modernom naukom.

Ako pročitate naš vodič i implementirajte sve opisane tehnologije - osigurajte računar iz hakerskih prijetnji! Ne zanemarujte ovo!

Na polju informacijske sigurnosti, DDOS napadi zauzimaju jedno od vodećih mjesta u elektroničkom ocjenu prijetnje. Ali većina korisnika ima vrlo ograničeno znanje u ovoj temi. Sada ćemo pokušati što više i dostupan je da se ove teme otkrijemo tako da možete zamisliti kako se provodi ova vrsta e-prijetnje i, u skladu s tim, kako se to efikasno nositi. Dakle, upoznajte se - DDOS napad.

Terminologija

Da bismo razgovarali na istim jeziku, moramo ući u pojmove i njihove definicije.

DOS napad - vrsta odbijanja održavanja. Otuda engleska kratica DOS - poricanje usluge. Jedan od podtipova je distribuirani napad, proveden istovremeno s nekoliko, a po pravilu, s velikim brojem domaćina. Vetu skupnicu rasprave posvećujemo tim opcijama, jer napad DDOS-a nosi razorne posljedice, a značajna razlika samo u broju domaćina koji se koriste za napad.

Da biste olakšali da shvatite. Ova vrsta akcije usmjerena je na privremeni prestanka bilo koje usluge. To može biti zasebna web stranica na mreži, velikim internetom ili mobilnom provajderu, kao i zasebnu uslugu (primanje plastičnih kartica). Da bi se napad uspio i donio destruktivne radnje, potrebno je izvesti ga s velikim brojem bodova (u daljnjem tekstu bit će se detaljnije razmotriti). Otuda je "distribuirani napad". Ali suština ostaje ista - za prekid rada određenog sistema.

Za cjelovitost slike morate razumjeti ko je i za koje svrhe rade takve akcije.

Napadi poput "odbijanja održavanja", kao i drugi računarski zločini, kažnjavaju se zakonom. Stoga je materijal predstavljen samo u informativne svrhe. Izveli su ga IT stručnjaci, ljudi koji su ugrađeni u subjekte "računara" i "računarske mreže", ili kao već modne za razgovor - hakeri. U osnovi, ovaj događaj ima za cilj donošenje zarade, jer kao pravilo, DDOS napadi naredili su beskrupulozne konkurente. Bit će prikladno donijeti mali primjer.

Pretpostavimo da na tržištu usluga malog grada postoje dva glavna internetska pružatelja usluga. A jedan od njih želi stisnuti natjecatelja. Naređuju u hakerima distribuiranim DOS napadom na natjecateljski server. A drugi dobavljač zbog preopterećenja mreže više ne može pružiti pristup internetu svojim korisnicima. Kao rezultat toga - gubitak kupaca i reputacije. Hakeri primaju svoju naknadu, nedovršeni provajder - novi kupci.

Ali nema slučajeva kada "Ddose" i samo za zabavu ili ispušne vještine.

Distribuirani DDOS napad

Odmah se slažemo - bavit ćemo se računarskim napadima. Stoga, ako govorimo o nekoliko uređaja sa kojima se napad provodi, to će biti računari sa ilegalnim softverom.

Ovdje je također prikladno napraviti malu digresiju. U suštini, kako biste zaustavili rad bilo koje usluge ili usluge, morate prekoračiti maksimalno opterećenje za njega. Najlakši primjer je pristup web mjestu. Na ovaj ili onaj način, dizajniran je za određenu vrhunsku posjećenost. Ako u određenom trenutku, stranica će ići na web mjesto deset puta više ljudi, odnosno server ne može obraditi ovu količinu informacija i prestati će raditi. A povezanosti u ovom trenutku izvršit će se s velikim brojem računara. Ovo će biti sami čvorovi o kojima se razgovaralo gore navedeno.

Da vidimo kako to izgleda u dijagramu ispod:

Kao što vidite, Hacker je primio veliki broj prilagođenih računara i instalirao svoj Spyware softver. Zahvaljujući Njemu, sada može izvršiti potrebne akcije. U našem slučaju da izvršite napad DDOS-a.

Dakle, ako ne pridržavate sigurnosne pravila prilikom rada na računaru, možete podvrgnuti virusnu infekciju. A možda će se vaš računar koristiti kao čvor za implementaciju zlonamjernih akcija.

Doći ćete zgodno: U članku smo opisali neke aspekte sigurnosti.

Ali kako će se koristiti ovise o tome koja je opcija odabrana napadač

Klasifikacija DDOS ATAK-a.

Napadači mogu preuzeti sljedeće vrste napada:

  1. Preopterećenje propusnosti. Dakle, računala povezana s mrežom mogu normalno komunicirati, komunikacijski kanal kroz koji su povezani trebali bi normalno raditi i pružiti dovoljne parametre za određene zadatke (na primjer, propusnost). Ova vrsta napada šalje se na preopterećenje mrežnih komunikacijskih kanala. To se postiže stalno slanjem nekoherentnih ili sistemskih podataka (naredba ping)
  2. Ograničenje resursa. Ova vrsta koju smo već razmatrali gore, u primjeru s pristupom web mjestu. Kao što smo primijetili - poslužitelj je imao mogućnost rješavanja ograničenog broja istodobnih veza. Napadač mora poslati veliki broj istodobnih veza na server. Kao rezultat toga, server se neće nositi sa opterećenjem i prestati će raditi.
  3. Napad na DNS server. U ovom slučaju, napad DDOS dizajniran je tako da prestane i pristupiti web mjestu. Druga opcija je preusmjeravanje korisnika s desne stranice na lažno. To se može učiniti s ciljem otmičanja ličnih podataka. To se postiže napadom na DNS server i zamjena IP adresa na lažni. Analizirajmo to na primjeru. Određena banka koristi svoju web stranicu za izračunavanje putem Interneta. Korisnik treba ići na njega i unijeti podatke njegove plastične kartice. Napadač sa svrhom otmice ove informacije stvara sličnu stranicu i drži napad na server DNS (Name Server). Svrha ovog događaja je preusmjeravanje korisnika na mjesto napadača kada pokušava ići na web stranicu banke. Ako uspije, korisnik ne sumnja na prijetnju, uvodi svoje lične podatke na mjestu napadača, a dobit će pristup njima.
  4. Flaw u softveru. Ova vrsta napada je najteža. Napadači otkrivaju nedostatke u softveru i koriste ih za uništavanje sistema. Da bi naručili takav napad DDO-a, bit će potrebno potrošiti mnogo novca.

Kako provesti DDOS napad vlastitim rukama

Kao primjer, odlučili smo vam pokazati kako implementirati DDOS napad pomoću posebnog softvera.

Prvo preuzmite program na ovoj adresi. Nakon toga, pokrenite ga. Morate vidjeti prozor za pokretanje:

Morate držati minimalne postavke:

  1. U stupcu "URL" pišemo adresu stranice koju želimo staviti napad
  2. Zatim kliknite gumb "Zaključavanje na" - vidjet ćemo ciljni resurs
  3. Stavili smo TCP metodu
  4. Odaberite broj niti (niti)
  5. Izlaganje brzine slanja korištenjem klizača
  6. Kada su sve postavke završene, kliknite gumb "Imma Chargin Mah Lazer"

Sve - napad je počeo. Ponavljam još jednom, sve akcije su predstavljene u informativne svrhe.

Kako zaštititi od napada DDOS-a

Vjerovatno ste već shvatili da je ova vrsta prijetnji vrlo opasna. I zato je vrlo važno znati metode i principe borbe i spriječiti distribuirane napade.

  1. Postavljanje sistema filtriranja - Zadatak za administratore sistema i pružatelje hostinga
  2. Stjecanje zaštitnih sistema iz napada DDOS (softverski i hardverski kompleksi)
  3. Korištenje vatrozida i kontrolnih lista pristupa (ACL) - Ova mjera je usmjerena na filtriranje sumnjivog prometa.
  4. Povećajte raspoložive resurse i instaliranje rezervacijskih sistema
  5. Tehničke i pravne mjere odgovora. Do atrakcije počinitelja na krivičnu odgovornost

Video na članak:

Zaključak

Sada vjerovatno razumijete svu opasnost od DDOS napada. Da bi se osigurala sigurnost svojih resursa, potrebno je pristupiti vrlo odgovorno, bez štetnog vremena, snaga i novca. Još je bolje imati zasebnog stručnjaka ili cijelo odjeljenje za informacijsku sigurnost.

Stalni čitaoci vrlo često su postavljali pitanje jer možete urediti tekst ako datoteka ima PDF format. Odgovor se može naći u materijalu -

Da biste zaštitili svoje podatke, možete koristiti čitav niz mjera. Jedna od tih opcija je

Ako trebate uređivati \u200b\u200bsvoj online video, pripremili smo pregled popularnog.

Zašto potražiti informacije o drugim web lokacijama, ako se od nas sve prikupi?

Borba sa DDOS napadima - rad nije samo teško, već i fascinantno. Nije iznenađujuće da svaki Sysadmin prvi pokušava organizirati odbranu sami - posebno jer je još uvijek moguće.

Odlučili smo vam pomoći u ovom teškom i objaviti nekoliko kratkih, trivijalnih i univerzalnih savjeta o zaštiti vaše web stranice iz napada. Smanjeni recepti neće vam pomoći da se nosite sa bilo kojim napadom, ali iz većine opasnosti bit će spremljeni.

Desni sastojci

Teška istina je da mnogi web lokacije mogu staviti svakoga ko želi koristiti sporlorski napad, čvrsto ubijajući Apache ili naseljavanje takozvane sinjske poplave pomoću virtualnih serverskih farmi podignutog u minuti u oblaku Amazon EC2. Svi naši budući savjeti za zaštitu DDOS-a temelje se na sljedećim važnim uvjetima.

1. Odbiti Windows Server

Praksa sugerira da je mjesto koje radi na Windows-u (2003 ili 2008 nije važno), u slučaju DDoS-a je osuđen na osudu. Razlog za neuspjeh leži u programu Windows Network Scrock: Kada veze postanu puno, poslužitelj sigurno počinje loše reagirati. Ne znamo zašto Windows Server radi u takvim situacijama tako ugledno, ali oni su naišli više od jednom, a ne dva. Iz tog razloga, ovaj će članak preći na sredstva za zaštitu od DDOS napada u slučaju kada se server vrti na Linuxu. Ako ste sretan vlasnik sa suvremenim kernelom (počevši od 2.6), tada će se iPoksi i Ipset komunalije koristiti kao primarni alat (za brzo dodavanje IP adresa), s kojima možete brzo zabraniti botove. Drugi ključ uspjeha pravilno je kuhana mreža mreže, koju ćemo i mi reći dalje.

2. Dio sa Apacheom

Drugi važan uvjet je Apache odbijanje. Ako niste ni sat vremena, vrijedi Apache, a zatim barem stavite proxy prijevoznik ispred njega - Nginx ili Lightpd. Apache "Izuzetno je teško dati datoteke, a još gore, na temeljnom nivou (to je nepovoljno ranjivo za opasan sporlorski napad koji vam omogućava da navijate server gotovo sa mobilnog telefona. Vrste sporoizja, Apache su se pojavili sa flasterom prvi anti-boloris.diff, a zatim mod_noloris, zatim mod_antiloris, mod_limotipconn, mod_reqtiineout ... ali ako želite spavati noću, lakše je preuzeti HTTP server, neranjiv za usporavanje na nivou arhitekture koda. Stoga su svi naši daljnji recepti zasnivaju na pretpostavci, da se nginx koristi na prednjoj strani.

Borba od DDosa.

Šta ako dođe DDOS? Tradicionalna tehnika samoodbrane je čitanje datoteke zapisa HTTP servera, napišite obrazac za grep (pravljenje botova botova) i zabranite sve koji padnu ispod njega. Ova tehnika će raditi ... ako imate sreće. Batetke su dvije vrste, obje su opasne, ali na različite načine. Jedan u potpunosti dolazi na stranicu odmah, drugi je postepeno. Prvi ubija sve i odmah, ali zapisnici se u potpunosti pojavljuju u zapisnicima, a ako ih zabranite i zabranite sve IP adrese, vi ste pobednik. Drugi botnet postavlja stranicu nježno i pažljivo, ali možda će ga zabraniti, možda tokom dana. Važno je razumjeti bilo koji administrator: ako se planira boriti se s grebom, onda morate biti spremni posvetiti borbi protiv napada nekoliko dana. Ispod su savjetnici na mjestu gdje možete unaprijed staviti slamke tako da nije tako bolno padati.

3. Koristite testcookie modul

Možda najvažniji, efikasniji i operativni recept ovog članka. Ako DDOS dođe na vašu web lokaciju, tada je testcookie-nginx modul koji je razvio @kyprizel Coexler može postati najefikasniji način. Ideja je jednostavna. Najčešće su botovi koji implementiraju HTTP poplave prilično su glupe i nemaju http kolačiće i mehanizme za preusmjeravanje. Ponekad naprednije - takvo može koristiti kolačiće i preusmjeravanje na proces, ali gotovo nikada ne dos-bot nosi punu obložen JavaScript motor (iako je ikad češće i češće i češće). TestCookie-nginx radi kao brz filter između botova i bacanja tokom napada L7 DDOS, omogućavajući vam prekinuti ukrštene smeće. Šta je uključeno u ove čekove? Da li je klijent mogućnost izvršavanja HTTP preusmjeravanja, bilo da JavaScript podržava da li je pregledač za koji se odavde (otkad se JavaScript razlikuje svuda i ako kaže da je on, recimo Firefox, onda to možemo provjeriti). Ček se provodi s kolačićima koristeći različite metode:

  • "Set-Cookie" + preusmjeravanje sa 301 http lokacijom;
  • "Set-Cookie" + preusmjeravanje sa HTML Meta Refresh;
  • proizvoljni predložak, a možete koristiti JavaScript.

Da biste izbjegli automatsko raščlanjivanje, testiranje kolačića može se šifrirati pomoću AES-128 i kasnije se dešifrira na strani JavaScript klijenta. U novoj verziji modula moguće je instalirati kuharice putem bljeskalice, što vam omogućuje i efikasno rezano botove (koje bljeskalice obično ne podržava), ali, međutim, također blokira pristup za mnoge legitimne korisnike (zapravo sve mobilne uređaje) ). Značajno je što počnite koristiti testcookie-nginx izuzetno jednostavno. Programer, posebno vodi nekoliko razumljivih primjera upotrebe (za različite slučajeve napada) sa uzorcima konfiguracije za Nginx.

Pored prednosti, testcookie ima nedostatke:

  • preseče sve botove, uključujući GoogleBot. Ako planirate da stavite testcookie na stalnom osnovi, obavezno ne nestanete iz rezultata pretraživanja;
  • stvara probleme sa korisnicima sa preglednicima, W3M i njima vole;
  • ne štedi od botova opremljenih motorom pregledača sa punim pregledom sa JavaScript-om.

Ukratko, testcookie_module nije univerzalan. Ali iz više stvari, kao što su, na primjer, primitivni alati za Java i C #, pomaže. Dakle, smanjite dio prijetnje.

4. Kod 444.

Svrha ddos'era često postaje najčnije dio lokacije. Tipičan primjer je pretraga koja vrši složene upite u bazu podataka. Naravno, napadači mogu iskoristiti ovo, nakon što je naplatio nekoliko desetina hiljada zahtjeva za pretraživaču odjednom. Šta možemo učiniti? Privremeno onemogućite pretraživanje. Neka kupci neće moći tražiti potrebne informacije ugrađenim sredstvima, ali cijelo glavno mjesto ostat će u radnom stanju dok ne nađete korijen svih problema. Nginx podržava nestandardni kod 444, što vam omogućava jednostavno zatvoriti vezu i ne davati bilo šta u odgovoru:

Lokacija / pretraga (povratak 444;)

Dakle, moguće je, na primjer, brzo implementirati filtriranje na URL-u. Ako ste sigurni da se zahtjevi za lokaciju / pretraživanje dolaze samo iz botova (na primjer, vaše samopouzdanje temelji se na činjenici da nema particije / pretraživanja na vašoj web lokaciji), možete instalirati ipEt paket i zabraniti botove jednostavnom školjkom Skripta:

Ipset -n Ban Iphash rep -F pristup.log | Dok čitate liniju; Do echo "$ line" | \\ CUT -D "" "" -F3 | CUT -D "" -F2 | GREP -Q 444 && IPSET -A Ban "$ (L %% *)"; Gotovo

Ako je format datoteke dnevnika nestandardni (ne kombiniran) ili je potrebno zabraniti druge znakove od statusa odgovora, možda će biti potrebno zamijeniti rezanje da biste rezigralizirali.

5. Banya by Geod

Nestandardni kôd odgovora 444 također može doći dobro za operativnu zabranu klijenata na Geofiskadu. Teško ograničite pojedine zemlje koje su nezgodne. Recimo, teško u internetskoj trgovini kamera iz Rostov-On-Dona, u Egiptu ima mnogo korisnika. Ovo nije baš dobar način (samo recite - odvratno), jer su podaci o geoIP-u netačni, a Rostovs ponekad lete u Egipat. Ali ako nemate šta izgubiti, slijedite upute:

  1. Povežite se na nginx geoip modul (wiki.nginx.org/httpgeoipmodule).
  2. Prikažite podatke o geografskim podacima u dnevniku za pristup.
  3. Nadalje, modificiranje gornjeg scenarija školjke, programiranog pristupa NINGX-u i dodajte mladenkene geografske znakove kupaca u zabranu.

Ako su, na primjer, botovi uglavnom bili iz Kine, može vam pomoći.

6. Neuralna mreža (POC)

Konačno, možete ponoviti iskustvo @savetherbtz igre, koji je uzeo neuralnu mrežu Pybrain, punila se u njega i analizirala zahtjeve (habrahabr.ru/post/136237). Radna metoda, iako nije univerzalna :). Ali ako zaista znate unutrašnjost vaše web stranice - i vi kao administratora sistema, trebate, - tada imate šansu da će vam u najtragičnim situacijama takvi alat zasnovani na neuronskim mrežama, učenje i prikupljeno u anaprijed informacije pomoći . U ovom je slučaju izuzetno korisno imati pristup.log prije početka DDOS-a "A, kako on opisuje gotovo 100% legitimnih kupaca, a samim tim i odličan skup podataka za obuku neuronske mreže. Štaviše, oči u baru nisu uvek vidljivi.

Dijagnostika problema

Stranica ne radi - zašto? Njegov ddosaim ili je to jag buba koji ne primijeti programer? Nema veze. Ne tražite odgovor na ovo pitanje. Ako mislite da vaša web lokacija može napadnuti, kontaktirati kompanije koje pružaju zaštitu od napada - brojne anti-DDOS usluge za prvog dana nakon što je veza besplatna - i ne gubi više vremena u potrazi za simptomima. Fokusirajte se na problem. Ako se web mjesto sporo ili ne otvara, to znači da nema nešto kako bi s performansama i - bez obzira na to da li DDOS napad ide ili ne, kao profesionalac dužni razumjeti što je uzrokovano To. Više puta smo bili svjedoci kako kompanija, doživljava poteškoće sa radom vaše web stranice zbog napada DDO-a, umjesto da pronađem slabe tačke u motoru lokacije pokušao je slati izjave u Ministarstvu unutrašnjih poslova da pronađe i kazne napadače. Ne dozvolite takve greške. Potraga za cyber-kriminalce je težak i dugoročan proces kompliciran strukturom i principima Interneta, a problem s radom web lokacije treba brzo riješiti. Napravite tehničke stručnjake da pronađu ono što uzrok pada performansi lokacije, a aplikacija će moći pisati advokata.

7. Koristite profiler i uklanjanje pogrešaka

Za najčešću platformu za stvaranje web stranica - PHP + MySQL - Boblje može se potpisati pomoću sljedećih alata:

  • xdebug Profiler pokazat će koji poziva aplikaciju najviše vremena provodi;
  • ugrađeni izlaz za uklanjanje pogrešaka i uklanjanja pogrešaka u dnevniku grešaka pomoći će u saznanju koji kodek izvodi ove izazove;
  • u većini slučajeva pas je sahranjen u složenosti i težini zahtjeva za bazu podataka. Ovdje će pomoći objasniti SQL bazi podataka ugrađenu u motor.

Ako je stranica lagana slučajno i nećete ništa izgubiti, isključite mrežu, pogledajte zapise, pokušajte da ih izgubite. Ako ne laže, prođite kroz stranice, pogledajte bazu.

Primjer je predviđen za PHP, ali ideja vrijedi za bilo koju platformu. Softverski proizvodi za pisanje programera na bilo kojem programskom jeziku trebali bi biti u mogućnosti brzo primijeniti pogrešac i profiler. Vježbajte unaprijed!

8. Analizirajte greške

Analizirajte jačinu prometa, vrijeme odziva poslužitelja, broj grešaka. Za ovo pogledajte zapise. U NGINX vremenu odziva server fiksira se u dnevniku s dvije varijable: zahtjev_time i upstream_response_time. Prvo je puno vrijeme izvršenja upita, uključujući mrežne kašnjenje između korisnika i poslužitelja; Drugi izvještaji koliko se bavi (Apache, PHP_FPM, UWSGI ...) služio kao zahtjev. Upstream_Response_Time Vrijednost je izuzetno važna za web lokacije s velikim brojem dinamičkih sadržaja i aktivne komunikacije s bazom podataka, ne mogu se zanemariti. Takva konfiguracija možete koristiti kao format dnevnika:

Log_format xakep_log "$ wade_addr [$ tick_local]" "" $ zahtjev "$ status $ body_bytes_sent" $ http_refer "" $ http_user_agent "$ upitni_time \\ $ upstream_response_time";

Ovo je kombinirani format s dodanim vremenskim poljima.

9. Pratite broj zahtjeva u sekundi

Pogledajte i broj zahtjeva u sekundi. U slučaju NINX-a možete otprilike procijeniti ovu vrijednost sljedeće naredbe školjke (access_log varijabla sadrži put do NINX upita dnevnika u kombiniranom formatu):

Echo $ (($ (fgrep -c "$ (Env LC_ALL \u003d C Datum [Zaštićen e-poštom]$ (($ (Datum \\ +% s) -60)) +% d /% b /% y:% h:% m) "" $ access_log ") / 60))

U odnosu na normalno za ovaj put, broj zahtjeva u sekundi može pasti kao pad i rast. Raste u slučaju da je došao veliki botnet, a pad, ako je pobjednički Botnet omotao na web mjestu, što je učinilo potpuno nepristupačnim za legitimnim korisnicima, a istovremeno ne zatraži statiku, a zakonitački korisnici se traže. Pad upita se promatra upravo zbog statike. Ali, na ovaj ili onaj način, govorimo o ozbiljnim promjenama u pokazateljima. Kad se to dogodi iznenada - dok pokušavate riješiti problem sami i ako ga ne vidite odmah u zapisniku, bolje je brzo provjeriti motor i paralelno se obratiti paralelnoj stručnjacima.

10. Ne zaboravite na tcpdump

Mnogi ljudi zaboravljaju da je tcpdump fenomenalni dijagnostički alat. Daću nekoliko primjera. U prosincu 2011. godine otkrivena je greška u Linux kernelu kada je otvorila TCP vezu kada su prikazane zastave SYN i RST TCP segmenta. Prvi Bageptort poslao je administratora sistema iz Rusije, čiji je resurs napadnut ovom metodom, - napadači su saznali za ranjivosti ranije od cijelog svijeta. Očito mu je da je takva dijagnoza pomogla. Drugi primer: Nginx ima jedno nije baš lepo nekretnina - on piše u zapisniku samo nakon što se potpuno razumiju potpuni zahtjev. Postoje situacije kada lokacija laže, ništa ne funkcionira i nema ničega u trupcima. Sve zbog svih zahtjeva koji trenutno preuzimaju poslužitelj još nisu ispunjeni. Tcpdump će ovdje pomoći.

Tako sam dobro da sam savjetovao da ne koriste binarne protokole prije nego što osvoje da je sve u redu, - jer će se tekstualni protokoli duguti TCPDump "OM lagan, a binaran - ne. Međutim, snajfer je dobar kao sredstvo Dijagnoza - kao sredstvo za održavanje proizvodnje "i on je užasan. Jednostavno može izgubiti nekoliko paketa i razmaziti vas povijest korisnika. Prikladno je gledati njegov zaključak, a stići će se dobrog za ručnu dijagnostiku i zabranu, ali pokušajte da ne bavite ništa kritično na njemu. Druga omiljena sredstva za "pričvršćivanje zahtjeva" - NGREP - općenito, prema zadanim postavkama pokušava zatražiti u području dva gigabajta neoporezive memorije i tek tada počinje smanjivati \u200b\u200bnjegove zahtjeve.

11. Napad ili ne?

Kako razlikovati DDOS napad, na primjer, iz učinka reklamne kampanje? Ovo pitanje može izgledati smiješno, ali ova tema nije manje komplicirana. Postoje prilično znatiželjni slučajevi. U nekim dobrim momcima, kad su se napetali i temeljito zajebali predmemoriranje, mjesto se pokreće nekoliko dana. Pokazalo se da je u roku od nekoliko mjeseci ovo mjesto nezapaženo po podacima nekih Nijemaca i prije optimizacije predmemoriranja stranice stranice, ovi Nijemci su dugo utovarili sa svim slikama. Kad se stranica počela izdati iz Kesha odmah, bot, koji nije imao vremena budnosti, također ih je počeo odmah prikupiti. Bilo je teško. Slučaj je posebno težak iz razloga da ako ste sami promijenili postavku (okrenute se na keširanje) i web mjesto nakon što je prestalo raditi, onda je krivnje? Upravo. Ako gledate nagli porast broja zahtjeva, a zatim pogledajte, na primjer, u Google Analytics, koji je došao na koje stranice.

Tuniranje web servera

Koje su druge ključne tačke? Naravno, možete staviti "zadanu" nginx i nadu da ćete biti u redu. Međutim, to se uvijek ne događa dobro. Stoga administrator bilo kojeg poslužitelja mora posvetiti puno vremena za fino podešavanje i tuning nginx.

12. Ograničite resurse (veličine međuspremnika) u Nginu

Šta prvo treba da se setite? Svaki resurs ima ograničenje. Prije svega, tiče se RAM-a. Stoga su veličine zaglavlja i svi korišteni međuspremnici moraju biti ograničeni na adekvatne vrijednosti na klijentu i poslužitelj u potpunosti. Moraju se propisati u CONFIG-u NGINX.

  • client_header_buffer_size__ Određuje veličinu pufera za čitanje zaglavlja zahtjeva za klijent. Ako linij upita ili polje zaglavlja upita nisu u potpunosti postavljeni u ovom međuspremnici, veći su puferi navedeni u Direktivi s velikim_client_header_buffers.
  • verba_client_header_buffers Postavlja maksimalni broj i veličinu međuspremnika za čitanje velikog zaglavlja klijentskog zahtjeva.
  • klijent_body_buffer_size Određuje veličinu pufera za čitanje tijela za zahtjev klijenta. Ako je tijelo upita veće od željenog međuspremnika, a zatim cijelo tijelo upita ili samo dio upisan je u privremenu datoteku.
  • client_max_body_size Određuje maksimalnu dozvoljenu veličinu tjelesne veličine zahtjeva klijenta, naveden u polju "Sadržajnog" "sadržaja" zaglavlja upita. Ako je veličina navedena, tada klijent vraća 413 grešku (zahtjev za zahtjev prevelik).

13. Prilagodite istek u nginx-u

Resurs je vrijeme. Stoga bi sljedeći važan korak trebao biti instalirati sve istektove, što je opet vrlo važno za ponično registriranje u NGINX postavkama.

  • resetiranje_timedout_connection uključen; Pomaže u borbi protiv utičnica koje visi u fazi FIN-COint-a.
  • klijent_header_timeout. Određuje istek vremena prilikom čitanja zaglavlja klijentskog zahtjeva.
  • klijent_body_timeout. Određuje vremensko ograničenje prilikom čitanja tijela za zahtjev klijenta.
  • vožnja. Postavlja istek vremena za vrijeme kojeg se zadržavanje žive veze sa klijentom neće biti zatvoren sa strane servera. Mnogi se plaše da ovdje pitaju veliki značaj, ali nismo sigurni da je taj strah opravdan. Po želji, možete postaviti vrijednost vremena u HEACH-Live HTTP zaglavlje, ali Internet Explorer je poznat po ignoriranju ove vrijednosti.
  • send_timeout. Određuje vremenu prilikom prenošenja odgovora na klijenta. Ako nakon ovog trenutka klijent neće ništa prihvatiti, veza će biti zatvorena.

Odmah pitanje: Koji su parametri međuspremnika i istek vremena tačni? Ovdje nema univerzalnog recepta, u svakoj situaciji oni su vlastiti. Ali postoji dokazan pristup. Morate postaviti minimalne vrijednosti na kojima web mjesto ostaje u radnom stanju (u mirnodopskom vremenu), odnosno namijenjene stranice i zahtjevi se obrađuju. To se određuje samo ispitivanjem - i sa radne površine i sa mobilnih uređaja. Algoritam za pronalaženje vrijednosti svakog parametra (veličine pufera ili istek vremena):

  1. Izlažem matematički minimalnu vrijednost parametra.
  2. Pokrenite test web lokacije.
  3. Ako cijela funkcionalnost web lokacije djeluje bez problema - parametar je definiran. Ako ne, povećavamo vrijednost parametra i idemo na klauzulu 2.
  4. Ako vrijednost parametra premašuje čak i zadanu vrijednost razlog je za raspravu u programeru programera.

U nekim slučajevima revizija ovih parametara treba dovesti do redizajna redizacije / korisnika. Na primjer, ako web mjesto ne radi bez tri minute ajax dugih zahranjenih zahtjeva, tada ne morate prikupiti vremensko razdoblje, već duže anketiranje za zamjenu nečeg drugog - botnete u 20 tisuća automobila koji se vise na zahtjevima tri minute, lako Ubijte prosječni jeftini server.

14. Ograničite jedinjenja u NGINX (limit_conn i limit_req)

NGINX takođe ima mogućnost ograničavanja veza, zahteva i tako dalje. Ako niste sigurni kako se ponaša određeni dio vaše web lokacije, idealno, morate ga testirati, razumjeti koliko će zahtjeva izdržati i registrirati ga u konfiguraciji NGINX. To je jedna stvar kada se stranica laže i možete doći i podići je. I još jedna stvar je - kada će ići u toku mjeru da je server otišao na zamjenu. U ovom slučaju, često je lakše ponovno pokretanje nego čekati njegov trijumfalni povratak.

Pretpostavimo da web lokacija ima odjeljke s govorom imena / preuzimanja i / pretraživanja. Istovremeno mi:

  • ne želimo botove (ili ljude s preplavljenim rekurzivnim menadžerima za preuzimanje) da nam donesu tablicu TCP veza sa njihovim preuzimanjima;
  • ne želimo botove (ili leteće dizalice pretraživača) iscrpljuju DBMS računarski resursi po višestrukim upitima pretraživanja.

U ove svrhe koristit će se konfiguracija sljedeće vrste:

Http (limit_conn_zone $ binary_remote_addr zone \u003d download_r_req_zone $ binary_remote_addr zona \u003d search_r: 10m \\ creen \u003d 1r / s; server (lokacija / preuzmi / (lokacija druge konfiguracije) Lokacija / pretraga / (limit_req zona \u003d Search_r Burst \u003d 5; Ostala konfiguracija lokacije))))

Obično ima direktno značenje za uspostavljanje ograničenja limita_conn i limit_req za lokacije, u kojima su skupe skripte (u primjeru navedena pretraga i to nije profitabilno). Ograničenja moraju biti odabrana, vođena rezultatima ispitivanja opterećenja i regresije, kao i zdravom razumu.

Obratite pažnju na parametar 10M u primjeru. To znači da će izračun ove granice istaknuti rječnik sa tampon 10 megabajta i megabajta više. U ovoj konfiguraciji to će vam omogućiti praćenje 320.000 TCP sesija. Da biste optimizirali memoriju zauzeta kao ključ u rječniku, $ Binary_remote_addr varijablu, koja sadrži korisničku IP adresu u binarnom obliku i traje manje memorije od uobičajene varijable u nizu $ Remote_addr. Treba napomenuti da drugi parametar na Direktivu limit_req_zone ne može biti samo IP, ali na primjer, i bilo koji drugi varijabljiv nginx dostupan u ovom kontekstu, u slučaju kada ne želite osigurati štedljiviji proxy način rada, možete Upotrijebite $ binar_remote_addr ili $ binar_remote_addr $ http_cookie_myc00kiez - ali je potrebno koristiti takve dizajne s oprezom, jer za razliku od 32-bitne $ binarnog_remote_addr, ove varijable mogu biti značajno duže, a "10m" deklarirano može se održati.

Trendovi u DDosu.

  1. Kontinuirano raste snagu napada mreže i nivoa transporta. Potencijal prosječnog napada napada za sin-poplavu već je postigao 10 miliona paketa u sekundi.
  2. Posebna potražnja nedavno uživa na napadima na DNS-u. UDP poplava važeći DNS zahtjevi s pretočanim izvorima IP adrese jedan je od najčešćih u implementaciji i komplicirano u smislu suzbijanja napada. Mnoge velike ruske kompanije (uključujući hosting) doživele su u nedavnim problemima kao rezultat napada na njihovim DNS serverima. Što će se dalje, ti takvi napadi biti više, a njihova moć će rasti.
  3. Sudeći prema vanjskim značajkama, većina botneta se ne upravlja centralno, već kroz vršnjačku mrežu. To napadačima daje priliku za sinkronizaciju radnji Botneta - ako su se raniji menadžerski timovi proširili na botnet od 5 tisuća automobila za desetine minuta, a na računu sada traje nekoliko minuta, a vaše mjesto može neočekivano doživjeti trenutnu fotografsku povećanje broja zahtjeva.
  4. Udio botova, opremljen sa potpunim preglednikom motorom sa JavaScriptom, još uvijek je mali, ali neprekidno raste. Takav je napad teže oboriti sa ugrađene rukotvorine, tako da samo-relocicije moraju slijediti ovaj trend sa strahom.

priprema OS-a.

Pored fine postavke NGINX-a, morate se pobrinuti za postavke mrežnog snopa sistema. Barem - odmah uključite net.ipv4.tcp_syncookies u Systl, kako biste se zaštitili od napada sin-hrane male veličine.

15. Tyi dvorište

Obratite pažnju na napredniju postavke mrežnog dijela (kernel) ponovo po vremenskim izlasci i memorijom. Postoji važnije i manje važno. Prije svega, morate obratiti pažnju na:

  • net.ipv4.tcp_fin_timeout. Vrijeme kada će utičnica potrošiti u FIN-COAD-2 TCP fazu (čeka se segment FIN / ACK).
  • net.ipv4.tcp _ (, r, w) mem TCP utičnice koje primaju veličinu međuspremnika. Tri vrijednosti: minimalna, zadana vrijednost i maksimum.
  • net.core. (R, w) mem_max Isto za TCP pufere.

Sa kanalom od 100 Mbps, zadane vrijednosti su nekako pogodne; Ali ako imate barem gigabit u Candide, onda je bolje koristiti nešto poput:

Systl -W net.core.rmem_max \u003d 8388608 systl -wt net.core.wmem_max \u003d 8388608 systl -wt net.ipv4.tcp_rmem \u003d "4096 87380 8388608" systl -w net.ipv4.tcp_wmem \u003d "4096 65536 8388608" Systl - w net.ipv4.tcp_fin_timeout \u003d 10

16. Revizija / Proc / Sys / Net / **

Idealno za učenje svih parametara / proc / sy / net / **. Potrebno je vidjeti koliko se razlikuju od zadanog i shvataju koliko je adekvatno izloženo. Linux programer (ili sistemski administrator), koji ga rastavlja internetsku uslugu podložnom tome i želi optimizirati, treba pročitati dokumentaciju svih parametara nuklearne energetske snage sa kamatama. Možda će pronaći varijable specifične za njegovu web lokaciju, što će pomoći ne samo da zaštiti lokaciju od uljeza, već ubrzavaju svoj rad.

Ne boj se!

Uspješni DDOS-napadi iz dana u dan, e-trgovina utapa medija, medija se trese, najveći platni sustavi šalju se na nokaut. Milioni korisnika interneta gube pristup kritičnim informacijama. Prijetnju je hitna, tako da ga morate ispuniti u ispunjavanju. Izvršite domaći zadatak, ne bojte se i držite glavu hladno. Nisi prvi, a ne zadnji koji će naići na napad DDOS na njihovoj web stranici, a u vašoj moći, vođenom njihovim znanjem i zdravom razumom, kako bi se smanjile posljedice napada na minimum.

DDOS napad. Objašnjenje i primjer.

Zdravo svima. Ovo je blogov računar76, a sada je sljedeći članak o temeljima hakera umjetnosti. Danas ćemo razgovarati o tome koji je DDOS napad jednostavne riječi i primjeri. Prije nego što je pojurio s posebnim uvjetima, postojat će uvod koji je razumljiv svima.

Zašto je DDOS napad?

WiFi hakiranje koristi se za odabir lozinke za žicu. Napadi u obliku "će omogućiti slušanje internetskih prometa. Analiza ranjivosti sa naknadnim učitavanjem specifičnih omogućava snimanje ciljanog računara. Šta čini DDOS napad? Njegov je cilj u konačnici - izbor prava na vlastiti resurs u legitimnom vlasniku. Ne mislim na to mjesto ili blog koji nećete pripadati. To je u smislu da u slučaju uspješnog napada na vašu stranicu, vi izgubiti priliku za njih da kontroliraju. Barem neko vrijeme.

Međutim, u modernom tumačenju, napad DDOS-a najčešće se koristi za kršenje normalnog rada bilo koje usluge. HACHER GRUPE, čija su imena stalno na saslušanje, napadaju napade na glavnu vladu ili javne mjere kako bi skrenuli pažnju na jedan ili drugi problemi. Ali gotovo uvijek za takve napade čisto je merkantilni interes: rad konkurenata ili jednostavnih poteškoća sa potpuno nepristojno nezaštićenim lokacijama. Glavni koncept DDOS-a je da se na web lokaciji povuče ogromni broj korisnika u trenutku, ili radije upita na dijelu računara - botova, što učitavanje na poslužitelju u zraku. Često čujemo izraz "stranica nije dostupna", ali malo ko misli da je to u stvari zapravo za ovu formulaciju. Pa, sad znate.

DDOS napad - opcije

Opcija 1.

igrači gužve na ulazu

Zamislite da igrate multiplayer online igru. Hiljade igrača se igraju s vama. I s većinom njih ste poznati. Raspravljate o detaljima i trošite sljedeće akcije. Svi vi istovremeno idite na web mjesto i stvorite lik s istim skupom karakteristika. Oni grupiraju na jednom mjestu, blokirajući se svojim brojem istovremeno stvorenih znakova pristup objektima u igri do ostatka korisnika koji nisu sumnjičeni u vaš suradnik.

Opcija 2.


Zamislite da je netko odlučio razbiti autobusku uslugu u gradu na određenu rutu kako bi se spriječilo savjesni putnici na korištenje usluga javnog prevoza. Hiljade vaših prijatelja istovremeno se zaustavljaju na početku navedene rute i voze bez cilja na svim strojevima iz krajnjeg do finala dok novac ne istekne. Putovanje se plaća, ali niko ne izlazi na jednom zaustavljanju, osim odredišta odredišta. I drugi putnici, stojeći na srednjim zaustavljanjima, nažalost izgledaju na žalost na uklanjanje minibusa nakon što se ne propadne u autobuse. Sve: Svi vlasnici taksija i potencijalni putnici.

U stvarnosti, ove opcije nisu fizički pretvorene u život. Međutim, u virtualnom svijetu vaših prijatelja mogu zamijeniti računare nepoštenih korisnika koji se ne gnjave barem da zaštite svoj računar ili laptop. I takva ogromna većina. Programi za set napada DDOS-a. Da li vrijedi podsjetiti da su takve akcije ilegalne. I smiješni pripremljeni DDOS napad, nije važno sa kojim uspjehom potrošenim, otkriva i kažnjivo.

Kako je napad DDOS-a?

Kliknite na vezu web lokacije, vaš preglednik šalje zahtjev poslužitelju da prikaže željenu stranicu. Ovaj zahtjev se izražava kao paket podataka. A ni jedan, već i cijeli paket paketa! U svakom slučaju, količina prenesenih podataka na kanalu uvijek je ograničena na određenu širinu. A količinu podataka koji su vraćeni poslužitelj je nesporedivši više od onih sadržanih u vašem zahtjevu. Na poslužitelju je potrebno snagu i sredstva. Jači server, skuplji troškovi za vlasnika i skuplje pružaju im se usluge. Moderni serveri lako se nose sa oštro povećanim prilivom posjetitelja. Ali za bilo koji od poslužitelja, još uvijek postoji kritična količina korisnika koji se žele upoznati sa sadržajem mjesta. Jasniji je situacija sa poslužiteljem koji pruža usluge za hosting web lokacije. Lagano, a žrtva web lokacije isključena je iz servisa, kako ne bi preopteretila procesore koji služe na hiljade drugih web lokacija na istom hostingu. Rad mjesta zaustavlja se sve dok se napad DDO-a ne prestane. Pa, zamislite da započnete ponovo pokrenuti bilo koju stranicu stranice u sekundi u sekundi (DOS). I hiljade vaših prijatelja čine našim računarima ista stvar (odlični DOS ili DDOS) ... Veliki serveri su naučili da prepoznaju da je počeo napad DDOS-a i suzbiti ga. Međutim, hakeri takođe poboljšavaju svoje pristupe. Dakle, u okviru ovog članka, ono što je napad DDO-a otkriveno, ne mogu objasniti.

Što je napad DDOS, možete saznati i pokušati odmah.

Pažnja. Ako se odlučite pokušati, svi neusporedi podaci bit će izgubljeni, gumb će trebati gumb za povratak na radni status. Resetovati.. Ali možete saznati šta tačno "osjeća" poslužitelj koji je napao. Izloženi primjer stavka u nastavku, a sada - jednostavne naredbe za prekomjerni sustav.

  • Za Linux u terminalu upišite naredbu:
:(){ :|:& };:

Sistem će odbiti da radi.

  • Za Windows predlažem da stvorim datoteku šišmiša u bilježnici sa kodom:
: 1 počnite goto 1

Navedite tip DDOS.BAT.

Objasnite značenje obje ekipe, mislim da ne vrijedi. Može se vidjeti u nenaoružanom izgledu. Oba tima čine da sistem izvrši skriptu i odmah je ponovite, pozivajući se na početak skripte. S obzirom na brzinu izvršenja, sustav pada za nekoliko sekundi u stupor. Igra., kao što kažu, preko.

DDOS napad koristeći programe.

Za vizualni primjer koristite program niske orbite jona (ion pištolj sa niskom orbitom). Ili Loic. Distribucija koja se najviše preuzme nalazi se na adresi (radimo u sustavu Windows):

https://sourceforge.net/projects/loic/

Pažnja! Vaš antivirus mora odgovoriti na datoteku kao zlonamjerne. Ovo je normalno: već znate šta oni ljuljaju. U bazi podataka potpisa označena je kao generator poplave - preveden na ruski, ovo je krajnji cilj beskonačnog žalbi na određenu mrežnu adresu. Ja lično nisam primijetio nikakve viruse ni Trojanov. Ali imate pravo na sumnju i odložite preuzimanje.

Budući da zanemarivanje korisnika bacaju resurs na zlonamjernu datoteku, izvornu forge pojačat će vas na sljedeću stranicu s direktnom vezom do datoteke:

Kao rezultat toga, uspio sam preuzeti uslužni program samo kroz.

Prozor programa izgleda ovako:

Stavak 1 Odaberite cilj omogućit će napadaču da se fokusira na određenu svrhu (IP adresa ili URL web stranice ulazi), stav 3 Opcije napada. omogućit će vam odabir napadane portom, protokola ( Metoda.) Iz tri TCP, UDP i http. U polju TCP / UDP poruke možete unijeti poruku za napadnuta. Nakon što je napad učinio započinje pritiskom na tipku. Imma Chargin Mah Lazer (Ovo je fraza na rubu faula iz popularnog jednom stripumazati; Američki prostirki u programu, usput, prilično nekoliko). Sve.

Upozorenje

Ova je opcija zadržati samo za lokalni domaćin. Zbog toga:

  • ovo je nezakonito od drugih ljudi, a za to na zapadu već stvarno sjedi (i zato će uskoro biti posaditi ovdje)
  • adresa iz koje se dolazi poplava izračunava se brzo, žali se na dobavljaču, a on će vas upozoriti i podsjetiti vas na prvu stavku
  • u mrežama sa niskom propusnošću (to je u svakom domaćem), stvar neće raditi. Sa Tor mrežom je sve ista.
  • ako ga pravilno konfigurirate, brzo ćete postići svoj komunikacijski kanal, štetu nekome. Dakle, ovo je upravo opcija kada kruška pobijedi bokser, a ne suprotno. A opcija sa proxyjom proslijedit će isti princip: poplava na vašem dijelu nikoga ne voli.

Pročitajte: 9 326

Slični članci