Distribuované útoky "odmítnutí údržby" nebo zkrácené DDOS se staly společným fenoménem a vážnou bolestí hlavy pro majitele internetových zdrojů po celém světě. Proto je ochrana před útoky DDOS na místě dnes není další možnost, ale předpoklad pro ty, kteří se chtějí zabránit prostojům, obrovským poškozením a zkaženou pověstí.

Říkáme nám více o tom, co je nemoc a jak se bránit.

Co je DDOS.

Distribuované odmítnutí služby nebo "distribuované odmítnutí údržby" - útok na informační systém tak, aby neměl schopnost zpracovávat žádosti o uživatele. Jednoduchá slova, DDOS spočívá v potlačování webového zdroje nebo dopravního serveru z obrovského počtu zdrojů, což je nepřístupné. Často je takový útok prováděn tak, aby vyvolal přerušení práce síťových zdrojů ve velké firmě nebo státní organizace

DDOS Attack je podobný jiné běžné webové hrozbě - "Denial of Service, DOS). Jediný rozdíl je v tom, že obvyklý distribuovaný útok pochází z jednoho bodu a útok DDOS je větší a pochází z různých zdrojů.

Hlavním cílem útoku DDOS je vytvořit webové stránky nepřístupné pro návštěvníky zablokováním její práce. Existují však případy, kdy jsou tyto útoky vyráběny za účelem odvrácení pozornosti z jiných škodlivých účinků. Útok DDOS může být například prováděn při hackování bezpečnostního systému, aby bylo možné převzít databázi organizace.

DDOS útoky se objevily ve veřejnosti v roce 1999, kdy došlo k sérii útoků na místa velkých společností (Yahoo, Ebay, Amazon, CNN). Od té doby tento typ kybernetického zločinu vyvinul hrozbu pro globální měřítko. Podle odborníků, v posledních letech se jejich frekvence zvýšila 2,5krát a maximální kapacita se stala překročena 1 tito / s. Oběť útoku DDOS alespoň jednou každou šestou ruskou společnost se stala. Do roku 2020 dosáhne jejich celkové reakce 17 milionů.

Hostující hřiště s nepřetržitým provozem od nejmodernějších útoků DDOS.

Příčiny útoků DDOS

1. Osobní nepřátelství. Často tlačí vetřelce k útoku společnosti korporace nebo vládní společnosti. Například v roce 1999 byl proveden útok na webové stránky FBI, v důsledku toho, že několik týdnů selhali. To se stalo kvůli skutečnosti, že FBI začal rozsáhlý nájezd na hackery.
2. Politický protest. Typicky se takové útoky provádějí s haktivisty - specialisté s radikálovými pohledy na občanský protest. Slavný příklad je řada kybernetických útoků na estonské vládní agentury v roce 2007. Možnost demolice památníku Osvoboditele v Tallinnu je pravděpodobně způsobila.
3. Zábava.Dnes je rostoucí počet lidí rád DDOS a chtějí si vyzkoušet svou sílu. Newbird-hackeři často zajistí útoky, aby se bavili.
4. Vydírání a vydírání.Před spuštěním útoku je hacker spojen s vlastníkem zdroje a vyžaduje vykoupení.
5. Soutěž. Útoky DDOS lze objednat od nekalé společnosti s cílem ovlivnit jejich konkurenty.

Kdo je potenciální oběti

DDOS může zničit místa jakéhokoliv měřítku, od běžných blogů a končící s největšími korporacemi, bankami a dalšími finančními institucemi.

Podle výzkumu prováděného "Kaspersky Lab" může útok státi stát na 1,6 milionu dolarů. To je vážné poškození, protože napadený webový zdroj nemůže v určité době, což je důvod, proč je jednoduchý.

Nejčastěji, stránky a servery trpí útoky DDOS:

• velké společnosti a vládní agentury;
• finanční instituce (banky, managementové společnosti);
• služby kupónů;
• lékařské instituce;
• platební systémy;
• Média a informační agregátory;
• internetové obchody a e-commerce podnikání;
• online hry a herní služby;
• výměny Cryptovaya.

Není to tak dávno, zařízení bylo přidáno do smutného seznamu častých obětí DDOS-útoků a zařízení připojených k internetu, který obdržel celkový název "Internet věcí" (Internet věcí, IOT). Největší dynamika růstu v tomto směru ukazuje kybernetické útoky s cílem porušit práci online hotovostních registrů velkých obchodů nebo nákupních center.

Pracovní mechanismus

Všechny webové servery mají své vlastní dotazy, které mohou zpracovávat současně. Kromě toho je limit poskytován pro šířku pásma kanálu připojujícího síť a server. Aby se tato omezení obcházely, zlochyslens vytvoří počítačovou síť se škodlivým softwarem, nazvaný "Botnet" nebo "Zombie Network".

Chcete-li vytvořit botnet, cyber-zločinci distribuují trojan přes e-mailové distribuce, sociální sítě nebo stránky. Počítače obsažené v Botnet nemají žádné fyzické spojení mezi sebou. Jsou sjednoceni pouze slovy "ministerstva" hackera.

Během útoku DDOS hacker vysílá tým "infikovaných" zombie počítače a začínají ofenzívu. Batnets generují obrovské množství provozu schopného přetížení jakéhokoliv systému. Hlavní "objekty" pro DDOS se obvykle stává šířkou pásma serveru, serverem DNS, stejně jako samotné připojení k Internetu.

Známky útoků DDOS

Když se akce útočníků dosáhnou svého cíle, je možné okamžitě určit selhání souboru nebo zde umístit zdroj. Existuje však řada nepřímých znamení, podle kterého je útok DDOS nalezen v jeho samém počátku.

• Serverový software a OS začínají často a výslovně šít - zavěsit, nesprávně dokončená práce atd.
hardware Power. Servery, ostře odlišné od průměrných denních ukazatelů.
• Rychlý nárůst přicházející Provoz V jednom nebo řadě přístavů.
• Víceúčelový duplikované jednodušené akce Zákazníci na jednom zdroji (Přejít na stránku, ke stažení souboru).
• Při analýze protokolů (uživatelská akce) Server, Firewall nebo síťová zařízení identifikována mnoho požadavků jeden typ různých zdrojů do jednoho Nebo služby. Mělo by to být zvláště ostražitý, pokud se diváci žádostí odlišují od cíle pro web nebo službu.

Klasifikace typů DDOS-útoků

Útok protokolu (úroveň dopravy)

Útok DDOS je zaměřen na úroveň síťového serveru nebo webového zdroje, takže je často označována jako síťová vrstva nebo útok na úrovni dopravy. Jeho cílem je přetížení tabulkového prostoru na bráně firewall s vestavěným protokolem zabezpečení (brány firewall), v centrální síti nebo v zatížení systému vyvažování systému.

Nejběžnější metoda DDOS na úrovni dopravy - síťová povodeňVytvoření obrovského průtoku požadavků na barvivo na různých úrovních, s nimiž nemůže být přijímací uzel v ceně.

Síťová služba obvykle platí pravidlo FIFO, podle kterého počítač nepokládá k udržení druhého požadavku až do prvních procesů. Při útoku na útoku na počet žádostí je zvyšuje, že zařízení postrádá zdroje, aby se operace dokončila s první žádostí. Výsledkem je, že povodeň maximalizuje šířku pásma co nejvíce a pevně přejde všechny komunikační kanály.

Společné typy síťové povodně

• Http-flood. - Hmotnost běžných nebo šifrovaných HTTP zpráv, bodování komunikačních uzlů, je odeslána na napadený server.
• ICMP-Flood.- Útočníkovi botnety přetíží hostitelský stroj oběti oficiálními žádostmi, kterým je povinna poskytnout odpovědi echo. Soukromý příklad tohoto typu útoku - P.ing-flood.nebo SMURF útoku, když jsou komunikační kanály naplněny ping dotazy používané ke kontrole dostupnosti síťového uzlu. Je to z důvodu hrozby ICMP záplavy, správci systému často blokují schopnost provádět žádosti ICMP pomocí firewall.
• Syn-flood. - Útok ovlivňuje jeden ze základních mechanismů protokolu TCP, známý jako princip "trojitý handshake" (algoritmus "požadavek-odpovědí": balíček SYN - SYN-ACK balíček - ACK balíček). Oběť je naplněna hřídelem falešných dotazů synů nezodpovězených. Uživatelský kanál je ucpaný fronou připojení TCP-Connections od odchozích připojení čekajících na paket odpověď ACK.
• UDP-ALLL - Náhodné porty hostitelského počítače oběti jsou naplněny balíčky UDP, odpovědí, na které přetížení sítě zdroje. Řada povodních UDP zaměřených na server DNS se nazývá DNS-FLUD..
• Mac povodeň - Cílem je síťové vybavení, jejichž přístavy jsou ucpané toky "prázdných" paketů s různými adresami MAC. Pro ochranu proti takovému typu útoků DDOS na síťových přepínačích upravte ověření platnosti a filtrování MAC adres.

Aplikované útoky na úrovni (úroveň infrastruktury)

Tento typ se používá, pokud potřebujete zachytit nebo zakázat hardwarové prostředky. Cílem "nájezdníků" může být jak fyzický, tak RAM nebo čas procesoru.

Přetížení šířky pásma není nutné. Stačí jen proto, aby byl obětován procesor přetížení nebo jinými slovy, vezměte celý proces procesu.

Typy úrovně aplikace DDOS-Attack

• Poslat "Těžkýx "balíčkyPřímo do procesoru. Zařízení nemůže maskovat složité výpočty a začne selhat, čímž se získá přístup k webu návštěvníkům.
• Pomocí skriptu je server vyplněn Obsah "Trash" - soubory protokolu, "Komentáře uživatele" atd. Pokud Správce systému nenastaví limit na serveru, může hacker vytvořit obrovské balíčky souborů, které budou mít za následek vyplnění celého pevného disku.
• Problémy s. \\ T systém kvót. Některé servery slouží k komunikaci s externími programy CGI-Interface (společné brány rozhraní, rozhraní General Gateway "). Po obdržení přístupu k CGI může útočník napsat svůj skript, který bude používat část prostředků, například - čas procesoru ve svém zájmu.
• Neúplná kontrola Údaje o návštěvníků. To také vede k dlouhému nebo dokonce nekonečnému použití prostředků procesorů až po vyčerpání.
• Druhý útok rodiny. Způsobuje falešnou odpověď signálu v ochranném systému, který může automaticky zavřít zdroj z okolního světa.

Útoky na úrovni aplikace

Útok DDOS úrovně aplikací používá opomenutí při vytváření programového kódu, který vytváří chybu zabezpečení softwaru pro vnější vliv. Tento druh lze připsat takovém společném útoku jako "ping smrti" (ping smrti) je masivní zaslání paketů ICMP větší délky, které způsobují přetečení pufru.

Ale profesionální hackeři zřídka uchovávají k nejjednoduššímu způsobu jako transportní kanály. Pro útok komplexních systémů velkých společností se snaží zcela zjistit systémovou strukturu serveru a napsat exploit - program, řetězec příkazů nebo součástí kódového kódu, který zohledňuje zranitelnost oběti a aplikován na počítač.

DNS Attack.

1. První skupina je zaměřena na vullnerabunitya b. PODLEServery DNS. Patří mezi ně takové společné typy kybernetických zločinů, jako je útok nulového dnů ("útok nulového dne") a DNS rychlého toku ("rychlý průtok").
   Jeden z nejčastějších typů útoků DNS se nazývá DNS-spoofing ("DNS-Squeal"). Během ní útočníci nahradí adresu IP v mezipaměti serveru, přesměrování uživatele na stránku ponorky. Při pohybu je pachatel přístup k uživatelskému jménu uživatele a může je využít ve vlastních zájmech. Například v roce 2009, vzhledem k nahrazení záznamů DNS, uživatelé nemohli jít do Twitteru za hodinu. Takový útok měl politický charakter. Malefactors nainstalován na hlavní stránce sociální sítě varování hackerů z Íránu související s americkou agresivitou
2. Druhá skupina je útoky DDOS, které vedou k dNS DNS.- servery. Pokud se vám nepodaří, uživatel nebude moci přejdete na požadovanou stránku, protože prohlížeč nenajde adresu IP inherentní na konkrétní stránce.

Prevence a ochrana proti útokům DDOS

Podle Corero Síťové bezpečnosti, více než všechny společnosti na světě podléhají útokům "odmítnutí přístupu". Jejich počet dosahuje 50 let.

Majitelé stránek, které neposkytly ochranu serveru z DDOS-útoků, mohou nejen vyvolat obrovské ztráty, ale také pokles důvěry zákazníků, stejně jako konkurenceschopnost na trhu.

Nejúčinnějším způsobem, jak chránit před útokem DDOS, je filtry instalované poskytovatelem na internetové kanály s vysokou šířkou pásma. Provádí konzistentní analýzu celého provozu a detekují podezřelou síťovou aktivitu nebo chybu. Filtry mohou být instalovány jak na úrovni směrovačů, tak i pomocí speciálních hardwarových zařízení.

Způsoby, jak chránit

1. Dokonce i na fázi psaní softwaru, musíte přemýšlet o bezpečnosti webu. Opatrně zkontrolovat podle Pro chyby a zranitelnosti.
2. Pravidelně aktualizovatA také poskytnout příležitost vrátit se ke staré verzi, když se vyskytnou problémy.
3. Dávej pozor na omezení přístupu. Služby související s administrací musí být zcela uzavřeny z přístupu třetích stran. Chraňte správce složitými hesly a častěji je změňte. Smazat účty zaměstnanců včas, kdo přestane.
4. Přístup k rozhraní administrátora Musí být prováděny výhradně z vnitřní sítě nebo prostřednictvím VPN.
5. Skenujte systém dostupnost chyb zabezpečení. Nejnebezpečnější možnosti zabezpečení pravidelně publikuje Owasp Top 10 autoritativní hodnocení.
6. Aplikovat firewall pro aplikace - WAF (webová aplikace brána firewall). Prověřil přenášený provoz a monitoruje legitimitu žádostí.
7. Použití CDN. Síť pro doručování obsahu). Jedná se o síťovou dodací síť provozu s distribuovanou sítí. Doprava seřazena několika servery, což snižuje zpoždění při přístupu k návštěvníkům.
8. Ovládat příchozí provoz seznamy řízení přístupu (ACL)Pokud bude uveden seznam osob s přístupem k objektu (program, proces nebo soubor), stejně jako jejich role.
9. Umět blokovat provoz.který pochází z útočících zařízení. To se provádí dvěma metodami: použití brány firewallů nebo seznamů ACL. V prvním případě je blokován specifický tok, ale obrazovky nemohou oddělit "pozitivní" provoz z "negativního". A ve druhé se sekundární protokoly filtrují. Proto nebude mít prospěch, pokud hacker aplikuje základní požadavky.
10. K ochraně před DNS spoofingem potřebujete pravidelně vyčistěte dns dns..
11. Použití ochrana proti spamovým robotům - CAPTCHA (CAPTCHA), "Lidský" dočasný rámec pro plnění formulářů, reCAPTCHA (zaškrtávací políčko "Nejsem robot") atd.
12. Reverzní útok. Veškerý škodlivý provoz je přesměrován na útočníkovi. Pomůže to nejen odrážejí útok, ale také zničit server útočníka.
13. Zdroj ubytování podle několik nezávislých serverů. Když ukončíte jeden server, zbývající bude zajistit efektivitu.
14. Pomocí ověřených ochrana hardwaru Od DDOS-Attack. Například Impletec Icore nebo ObecasePro.
15. Vyberte si hosting poskytovatel spolupracovat spolehlivý dodavatel Služby kybernetické bezpečnosti. Mezi kritéria spolehlivosti identifikují odborníci: Přítomnost záruk jakosti, což zajišťuje ochranu proti nejúplnějšímu rozsahu hrozeb, strop-Hodnocená technická podpora, transparentnost (přístup klienta ke statistikám a analytik), stejně jako nedostatek škodlivého softwaru) tarify.

Závěr

V tomto článku jsme přezkoumali, co znamená útok DDOS a jak chránit vaše stránky před útoky. Je důležité si uvědomit, že takové škodlivé akce mohou selhat i nejbezpečnější a nejzákladnější webové zdroje. To bude znamenat vážné důsledky ve formě obrovských škod a ztrát zákazníků. To je důvod, proč zajistit váš zdroj z DDOS-útoků - skutečný úkol pro všechny obchodní struktury a vládní agentury.

Chcete profesionální úroveň ochrany proti DDOS-útoky - vyberte! Stálé monitorování a nepřetržitou technickou podporu.

V poslední době jsme byli schopni ujistit, že útok DDOS byl poněkud silná zbraň v informačním prostoru. S DDOS, vysokými výkonovými útoky, můžete nejen zakázat jednu nebo více stránek, ale také narušit provoz celého síťového segmentu nebo zakázat internet v malé zemi. V současné době se DDOS útoky vyskytují stále častěji a jejich moc se zvyšuje pokaždé.

Ale jaká je podstata takového útoku? Co se stane v síti, když je spuštěn, kde se myšlenka pocházel z této cesty a proč je to tak efektivní? Odpovědi naleznete na všech těchto otázkách v našem aktuálním článku.

DDOS nebo distribuovanou digitalizovanou službu (oddělené odmítnutí údržby) je útok na konkrétní počítač v síti, která ji způsobí přetížením, aby neodpověděli požadavky ostatních uživatelů.

Abychom pochopili, co znamená útok DDOS, pojďme si představit situaci: Webový server poskytuje uživatelům uživatelům stránky stránky, pojďme říci vytvoření stránky a úplný přenos uživatele trvá půl sekundy, pak náš server může pracovat normálně Frekvence dvou žádostí za sekundu. Pokud existuje více těchto požadavků, budou ve frontě a zpracovány, jakmile webový server je zdarma. Všechny nové požadavky jsou přidány do konce fronty. A teď si představím, že existuje mnoho požadavků a většina z nich jde pouze k přetížení tohoto serveru.

Pokud rychlost přijetí nových žádostí překročí rychlost zpracování, poté, bude časem Query Queue bude tak dlouho, že skutečně nové požadavky nebudou zpracovány. To je hlavní princip útoku DDOS. Dříve byly tyto požadavky zaslány z jedné IP adresy a to bylo nazýváno referenční útok - Dead-of-Service ve skutečnosti, to je odpověď na otázku toho, co je DOS. S takovými útoky však můžete efektivně bojovat, jednoduše přidat IP adresu zdroje nebo několika v seznamu zámku a také více zařízení v důsledku omezení šířky pásma sítě není fyzicky generovat dostatečný počet paketů k přetížení vážného serveru.

Proto se útoky provádějí ihned od milionů zařízení. Slovo distribuované bylo přidáno k názvu, ukázalo se - DDOS. Podle jednoho, tato zařízení nic neznamenají nic, a je možné se připojit k internetu s ne příliš vysokou rychlostí, ale když začnou současně odesílat požadavky na jeden server, mohou dosáhnout celkové rychlosti až 10 TB / s. A to je docela vážný ukazatel.

Zůstane pochopit, kde útočníci berou tolik zařízení, aby splnili své útoky. Jedná se o běžné počítače nebo různá zařízení IOT, do které byli útočníci schopni přistupovat. Může to být cokoliv, videokamery a směrovače s dlouhodobým aktualizovaným firmwarem, řídicími zařízeními, dobře a běžnými uživateli uživatelů, kteří nějakým způsobem vyzvedli virus a nevědí o své existenci nebo v žádném spěchu, aby ho odstranili.

Druhy DDOS Atak

Existují dva hlavní typy útoků DDOS, některé jsou zaměřeny na přetížení specifického programu a útoků zaměřených na přetížení síťového kanálu sám do cílového počítače.

Útoky na přetížení jakéhokoliv programu jsou také nazývány útoky v 7 (v modelu fungování sítě OSI - sedm úrovní a druhé jsou úrovně jednotlivých aplikací). Útočník napadne program, který používá mnoho serverových prostředků odesláním velkého počtu požadavků. Na konci program nemá čas zpracovat všechna připojení. Tento druh jsme považovali za vyšší.

Dos útoky na internetovém kanálu vyžadují mnohem více zdrojů, ale je mnohem obtížnější se s nimi vyrovnat. Pokud představujete analogii s OSI, pak se jedná o útoky na úrovni 3-4, je na protokolu kanálu nebo přenosu dat. Faktem je, že jakékoli internetové připojení má svůj vlastní rychlostní limit, s jakou data mohou být přenášena. Pokud existuje velká data, síťové vybavení, stejně jako program je uvede do přenosové fronty, a pokud množství dat a rychlost jejich přijetí bude velmi vysoká pro rychlost kanálu, bude přetížena. Míra přenosu dat v takových případech může být vypočtena v gigabajtech za sekundu. Například v případě odpojení od Internetu Malá země Libérie byla rychlost přenosu dat až 5 tb / s. Nicméně 20-40 GB / s stačí přetížení většiny síťových infrastruktur.

Původ útoku DDOS

Nahoře jsme se podívali na to, co útoky DDOS, stejně jako metody útoku DDOS, je čas jít do svého původu. Přemýšleli jste někdy, proč jsou tyto útoky tak účinné? Jsou založeny na vojenských strategiích, které byly vyvinuty a kontrolovány po mnoho desetiletí.

Obecně platí, že mnozí z přístupů k bezpečnosti informací jsou založeny na vojenských strategiích minulosti. Existují trojské viry, které se podobají starověké bitvě o Troy, exportable viry, které ukradnou vaše soubory, aby získali útoky na vykoupení a DDOS omezující nepřátelské zdroje. Omezení schopnosti soupeře získáte určitou kontrolu nad jeho následnými akcemi. Tato taktika funguje velmi dobře jako pro vojenské stratégy. Takže pro kybernetické kriminály.

V případě vojenské strategie můžeme velmi přemýšlet o typech zdrojů, které mohou být omezeny tak, aby omezily možnosti nepřítele. Omezení vody, potravinářských a stavebních materiálů by prostě zničilo nepřítele. Počítače jsou odlišné zde existují různé služby, jako je DNS, webový server, e-mailový server. Všechny mají jinou infrastrukturu, ale je tu něco, co je spojuje. Toto je síť. Bez sítě nebudete moci přistupovat ke vzdálené službě.

Velitel může jedovat vodu, spalovat plodiny a uspořádat kontrolní body. Kybernetičky mohou odesílat nesprávná data do služby, aby se zabývají konzumovat veškerou paměť nebo zcela přemoci celý síťový kanál. Strategie ochrany mají také stejné kořeny. Správce serveru bude muset sledovat příchozí provoz k nalezení škodlivého a blokovat před tím, než dosáhne cílového síťového kanálu nebo programu.

Zakladatele a webové stránky správce webu, vychutnejte si Open Software a Linux operační systém. Jako hlavní OS nyní používám Ubuntu. Kromě Linuxu mám zájem o vše, co je spojeno s informačními technologiemi a moderní vědy.

Pokud si přečtete náš průvodce, a implementovat všechny popsané technologie - zabezpečit počítač z Hacker hrozby! Nezanedbávejte to!

V oblasti bezpečnosti informací, DDOS útoky zabírají jeden z předních míst v elektronickém hodnocení hrozeb. Většina uživatelů je však v tomto tématu velmi omezené znalosti. Nyní se pokusíme co nejvíce a přístupné pro zveřejnění tohoto tématu, takže si dokážete představit, jaký tento typ e-hrozby je proveden, a proto, jak se s ním efektivně vypořádat. Tak se seznámili - DDOS útok.

Terminologie

Mluvit ve stejném jazyce, musíme zadat termíny a jejich definice.

Dos útok - typ odmítnutí údržby. Proto anglická zkratka DOS - odmítnutí služby. Jednou z podtypů je distribuovaný útok, prováděný současně s několika a zpravidla s velkým počtem hostitelů. Věnujeme většinu diskuse na tyto možnosti, protože útok DDOS nese více ničivých důsledků a významný rozdíl pouze v počtu hostitelů používaných pro útok.

Aby bylo snadnější pochopit. Tento druh akce je zaměřen na dočasné ukončení jakékoli služby. Může to být samostatná webová stránka v síti, velký internet nebo mobilní poskytovatele, stejně jako samostatná služba (přijímání plastových karet). Aby útok uspěl, a přinesl destruktivní akce, je nutné jej vykonávat s velkým počtem bodů (dále jen tento okamžik bude podrobněji považován za podrobnější). Proto "distribuovaný útok". Ale podstatu zůstává stejná - přerušit práci určitého systému.

Pro úplnost obrázku musíte pochopit, kdo a za jaký účel taková akce.

Útoky jako "odmítnutí údržby", stejně jako ostatní počítačové zločiny, jsou trestné zákony. Proto je materiál prezentován pouze pro informační účely. Jsou prováděny IT specialisté, lidé, kteří jsou dobře označeni v tématech "počítačů" a "výpočetní sítě", nebo jak již vydělal mluvit - hackery. Tato událost je v podstatě zaměřena na dosažení zisku, protože zpravidla nařídily útoky DDOS bezohledné konkurenty. Bude vhodné přinést malý příklad.

Předpokládejme, že na trhu služeb malého města jsou dva hlavní poskytovatelé internetu. A jeden z nich chce stlačit konkurenta. Objednejte si v hackeři distribuovaných DOS útok na konkurenční server. A druhý zprostředkovatel v důsledku přetížení jeho sítě již není schopen poskytnout přístup k internetu svým uživatelům. Výsledkem je - ztráta zákazníků a pověsti. Hackeři dostávají jejich odměnu, nedokončené poskytovatele - nové zákazníky.

Neexistují však žádné případy, kdy "ddose" a jen pro zábavu nebo výfukové dovednosti.

Distribuovaný útok DDOS.

Pojďme okamžitě souhlasit - budeme se zabývat počítačovými útoky. Proto, pokud mluvíme o několika zařízeních, s nimiž se útok provádí, bude to počítače s nelegálním softwarem.

Zde je také vhodné udělat mírnou odbočtu. V podstatě za účelem zastavení práce jakékoli služby nebo služby musíte pro něj překročit maximální zatížení. Nejjednodušší příklad je přístup k webu. Jeden nebo jiný, je určen pro určitou špičku. Pokud v určitém okamžiku bude web jít na web desetkrát více lidí, respektive server není schopen zpracovat tuto částku informací a přestane fungovat. A připojení v tomto bodě budou prováděny s velkým počtem počítačů. To bude samotné uzly, které byly diskutovány výše.

Podívejme se, jak to vypadá v diagramu níže:

Jak vidíte, Hacker obdržel velké množství vlastních počítačů a nainstaloval svůj spyware software. Díky jemu může nyní provádět nezbytné činy. V našem případě provádět DDOS útok.

Pokud tak neučiníte bezpečnostní pravidla při práci v počítači, můžete podstoupit virová infekce. A možná bude váš počítač použit jako uzel, pro realizaci škodlivých akcí.

Přijdeš se v ruce: Popsali jsme v článku některé aspekty bezpečnosti.

Ale jak budou použity, závisí na tom, jaký je možnost Cítář je vybrán

Klasifikace DDOS Ataku.

Útočníci lze přijmout následující typy útoků:

1. Přetížení šířka pásma. Tak, že počítače připojené k síti mohly normálně komunikovat, komunikační kanál, kterým je připojen, by měl pracovat normálně, a poskytnout dostatečné parametry pro konkrétní úkoly (například šířka pásma). Tento typ útoku je odeslán k přetížení síťových komunikačních kanálů. Toho je dosaženo neustále odesíláním nekoherentních nebo systémových informací (příkaz ping)
2. Omezení zdrojů. Tento typ jsme již považovali za výše, v příkladu s přístupem na webové stránky. Jak jsme poznamenali - server měl schopnost zvládnout omezený počet současných připojení. Útočník musí poslat velký počet simultánních připojení k serveru. Výsledkem je, že server nebude vyrovnán s zatížením a přestane fungovat.
3. Útok na server DNS. V tomto případě je útok DDOS navržen tak, aby také přestal přístup k webu. Další možností je přesměrovat uživatele z pravého webu do falešného. To lze provést s cílem uplatnit osobní údaje. Toho je dosaženo útokem na serveru DNS a nahrazení IP adresy k falešnému. Pojďme ji analyzovat na příkladu. Některá banka využívá své webové stránky k výpočtu přes internet. Uživatel musí jít na něj a zadat data jeho plastové karty. Útočník s účelem únosu těchto informací vytváří podobný web a drží útok na server DNS (název serveru). Účelem této události je přesměrovat uživatele na místo útočníka, když se snaží jít na webové stránky banky. Pokud uspěje, uživatel nepředstavuje hrozbu, zavádí své osobní údaje na místě útočníka a dostane přístup k nim.
4. V softwaru. Tento typ útoku je nejtěžší. Útočníci odhalují nedostatky v softwaru a používají je k zničení systému. Chcete-li objednat takový útok DDOS, bude nutné strávit spoustu peněz.

Jak strávit DDOS útok s vlastními rukama

Jako příklad jsme se rozhodli ukázat, jak implementovat útok DDOS pomocí speciálního softwaru.

Za prvé, stáhnout program na této adrese. Poté jej spusťte. Musíte zobrazit okno spuštění:

Musíte držet minimální nastavení:

1. Ve sloupci "URL" píšeme adresu webu, které chceme podat útok
2. Poté klikněte na tlačítko "Zamknout na" - uvidíme cílový zdroj
3. Dali jsme metodu TCP
4. Vyberte počet podprocesů (podprocesy)
5. Vystavení rychlosti odesílání pomocí jezdce
6. Po dokončení všech nastavení klikněte na tlačítko "IMMMA Chargin Mah Lazer"

ALL - Útok začal. Opakuji znovu, všechny akce jsou prezentovány pro informační účely.

Jak chránit před útoky DDOS

Pravděpodobně jste již pochopili, že tento typ hrozeb je velmi nebezpečný. A proto je velmi důležité znát metody a principy bojů a zabránit distribuovaným útokům.

1. Nastavení filtrovacích systémů - úkol pro správce systému a poskytovatele hostování
2. Akvizice ochranných systémů z útoků DDOS (softwarové a hardwarové komplexy)
3. Použití seznamů brány firewall a řízení přístupu (ACL) - Toto opatření je zaměřeno na filtrování podezřelého provozu.
4. Zvýšit dostupné zdroje a instalace rezervačních systémů
5. Technická a právní opatření. Až přitažlivost pachatele k trestní odpovědnosti

Video k článku:

Závěr

Teď pravděpodobně chápete všechny nebezpečí útoků DDOS. Pro zajištění bezpečnosti jejich zdrojů je nutné přistupovat velmi zodpovědně, aniž by šetrní čas, síly a peníze. Je ještě lepší mít samostatný specialista nebo celé oddělení bezpečnosti informací.

Trvalé čtenáři velmi často dotázali na otázku, jak můžete text upravit, pokud soubor má formát PDF. Odpověď lze nalézt v materiálu -

Pro ochranu vašich dat můžete použít celou řadu opatření. Jedna z těchto možností je

Pokud potřebujete upravit online video, připravili jsme si přehled populárních.

Proč hledat informace o jiných stránkách, pokud je vše odebráno od nás?

Boj s útoky DDOS - práce je nejen obtížná, ale také fascinující. Není divu, že každý sysadmin se nejprve snaží organizovat obranu sama - zejména proto, že je to stále možné.

Rozhodli jsme se vám pomoci s tímto obtížným a zveřejňovat některé krátké, triviální a univerzální poradenství o ochraně vašich stránek od útoků. Snížené recepty vám nepomůže vyrovnat se s jakýmkoliv útokem, ale z většiny nebezpečí budou uloženy.

Správné přísady

Hrůzná pravda je, že mnoho lokalit může dát každého, kdo chce používat útok SLOWLORIS, pevně zabíjení Apache, nebo usazování tzv. Synova povodně pomocí virtuálních serverů farmy zvýšená za minutu v Cloudu Amazon EC2. Všechny naše budoucí tipy na ochranu DDOS jsou založeny na následujících důležitých podmínkách.

1. Odmítněte systém Windows Server

Praxe naznačuje, že stránky, které funguje v systému Windows (2003 nebo 2008, není záležitost), v případě DDOS je odsouzen k odsouzení. Důvodem selhání spočívá v systému Windows Síťový zásobník: Když se připojení stanou hodně, server jistě začíná reagovat špatně. Nevíme, proč server Windows pracuje v takových situacích tak seriózní, ale narazili na to více než jednou a ne dva. Z tohoto důvodu bude tento článek pokračovat v prostředcích ochrany proti útokům DDOS v případě, že se server spřádí na Linuxu. Pokud jste šťastný majitel se současným jádrem (počínaje od 2.6), pak se jako primární sada nástrojů použije Iptables a IPSet (pro rychle přidat adresy IP), se kterým můžete rychle zakázat roboty. Dalším klíčem k úspěchu je řádně vařená síťová stack, který budeme také mluvit dále.

2. Část s Apache

Druhou důležitou podmínkou je odmítnutí Apache. Pokud nejste ani hodina, stojí za to Apache, pak alespoň umístit proxy ukládání do mezipaměti před ní - Nginx nebo Lighttpd. Apache "Je velmi těžké dát soubory, a ještě horší je na základní úrovni (to znamená, že je neinvertibilně zranitelný pro nebezpečný pomalý útok, který vám umožní navíjet server téměř z mobilního telefonu. Chcete-li bojovat různé Typy SLOWLORIS, APACHE uživatelé přišli s patch nejprve anti-Slowloris.diff, pak mod_noloris, pak mod_antiloris, mod_limitiPconn, mod_reqtimeout ... ale pokud chcete dobře spát v noci, je snazší vzít http server, nezranitelný na Slowloris na úrovni architektury kódu. Proto jsou všechny naše další recepty založeny na předpokladu, že nginx se používá na přední straně.

Bojovat od DDOS.

Co když přišel DDOS? Tradiční technika self-obrany je číst soubor protokolu http serveru, napsat vzor pro grep (dělat roboty botů) a zákaz každého, kdo spadá pod ním. Tato technika bude fungovat ... pokud máte štěstí. Batnets jsou dva typy, oba jsou nebezpečné, ale různými způsoby. Jeden zcela přijde na místo okamžitě, druhý je postupně. První zabije všechno a okamžitě, ale protokoly se objevují v protokolech úplně, a pokud jim zakazujete a ohromujete všechny adresy IP, pak jste vítězem. Druhý botnet se jemně a opatrně položí místo, ale bude muset zakázat, možná během dne. Je důležité pochopit jakýkoli správce: Pokud je plánováno bojovat proti grep, pak musíte být připraveni věnovat boji proti útoku několik dní. Níže jsou uvedeny doporučení, kde můžete dát brčka předem, aby nebylo tak bolestivé spadnout.

3. Použijte modul testcookie

Snad nejdůležitější, účinnější a provozní recept tohoto článku. Pokud DDOS přijde na vaše stránky, pak se testcookie-Nginx modul vyvinutý @Cprizel koexler může stát nejefektivnějším způsobem. Myšlenka je jednoduchá. Nejčastěji, roboty, které implementují protokoly HTTP, jsou poměrně hloupí a nemají http cookies a přesměrování mechanismy. Někdy pokročilejší - takové mohou používat soubory cookie a přesměrování procesu, ale téměř nikdy dos-bot nese plnohodnotný motor JavaScript (i když je stále častěji a častěji). Testcookie-Nginx pracuje jako rychlý filtr mezi roboty a backend během útoku L7 DDOS, což vám umožní odříznout dotazy odpadu. Co je součástí těchto kontrol? Zda klient je schopen provést HTTP přesměrování, zda JavaScript podporuje, zda je prohlížeč, pro který dává (protože JavaScript je odlišný všude a pokud klient říká, že on, řekněme to Firefox, pak to můžeme zkontrolovat). Kontrola je implementována s cookies pomocí různých metod:

• "Set-Cookie" + přesměrování s umístěním 301 http;
• "Set-Cookie" + přesměrování s html meta aktualizovat;
• libovolnou šablonu a můžete použít JavaScript.

Aby se zabránilo automatickému analýzu, mohou být testovací cookies šifrovány pomocí AES-128 a je později dešifrován na straně klienta JavaScriptu. V nové verzi modulu bylo možné instalovat kuchaři prostřednictvím blesku, což také umožňuje efektivně řezat roboty (který blesk obvykle není podporován), ale také blokuje přístup pro mnoho legitimních uživatelů (vlastně všechna mobilní zařízení ). Je to pozoruhodné, že začíná používat testcookie-nginx extrémně jednoduchý. Developer, zejména vede několik srozumitelných příkladů použití (pro různé případy útoku) se vzorky konfigur pro nginx.

Kromě výhod, Testcookie má nevýhody:

• snižuje všechny roboty, včetně GoogleBot. Pokud plánujete opustit testcookie průběžně, ujistěte se, že z výsledků vyhledávání nezmizí;
• vytváří problémy s uživateli s odkazy prohlížečů, W3M a je jako;
• uloží z botů vybavených plnohodnotným prohlížečem motoru s JavaScriptem.

Stručně řečeno, testcookie_module není univerzální. Ale z řady věcí, jako například primitivní nástroje pro Java a C #, to pomáhá. Takže vyříznete část hrozby.

4. Kód 444.

Účel ddosu se často stává nejrůznějším dílem webu. Typickým příkladem je vyhledávání, které provádí složité dotazy do databáze. Samozřejmě, že útočníci mohou využít toho, že účtoval několik desítek tisíc požadavků na vyhledávač najednou. Co můžeme dělat? Dočasně zakázat vyhledávání. Nechť zákazníci nebudou moci hledat potřebné informace vestavěným prostředkem, ale celé hlavní stránky zůstanou v pracovním stavu, dokud nenajdete kořen všech problémů. Nginx podporuje nestandardní kód 444, který vám umožní jednoduše zavřít spojení a neudělovat nic v reakci:

Umístění / Vyhledávání (návrat 444;)

Je tedy možné, například rychle implementovat filtrování na adresu URL. Pokud jste si jisti, že požadavky na umístění / hledání pocházejí pouze z robotu (například vaše důvěra je založena na skutečnosti, že na vašich stránkách není žádný oddíl / vyhledávání), můžete nainstalovat balíček IPSET a Ban Bots s jednoduchým skořápkou skript:

IPSET -N BAN IPHASH ocas -f přístup.log | Při čtení čáry; Do echo "$ linka" | Cut -d "" "-f3 | cut -d" "-f2 | grep -q 444 && ipset -A zákaz" $ (l %% *) "; hotovo

Pokud je formát souboru protokolu nestandardní (ne combo) nebo je nutné zakázat další znaky než stav odpovědí, může být nutné vyměnit řez na pravidelné vyjádření.

5. Banya podle Geod

Nestandardní kód odpovědi 444 může také vhodný pro provozní zákaz klientů na geo-akvizici. Sotva můžete omezit jednotlivé země, které jsou nepohodlné. Řekněme, sotva v internetovém obchodě kamer z Rostov-on-Dona Existuje mnoho uživatelů v Egyptě. To není velmi dobrý způsob (jen říkají - nechutné), protože data GeoP je nepřesná, a Rostovs někdy létají do Egypta k odpočinku. Ale pokud nemáte co ztratit, postupujte podle pokynů:

1. Připojení k modulu Nginx GeoP (wiki.nginx.org/httpgeoipmodule).
2. Zobrazte informace Geother v aplikaci Access Log.
3. Dále modifikuje výše uvedený skript shell, progresový přístupový aplikaci Nginx a přidejte sfatelated geografické znaky zákazníků na zákaz.

Pokud například roboty z větší části byly z Číny, to může pomoci.

6. Neuronová síť (POC)

Nakonec můžete opakovat zkušenosti hry @Savetherbtz, která vzala neuronovou síť Pybrain, plněno přihlášení do ní a analyzoval požadavky (habrahabr.ru/post/136237). Metoda Práce, i když ne univerzální :). Ale pokud opravdu znáte insidy vašich stránek - a vy, jako správce systému by měl, - pak máte šanci, že v těch nejtragičtějších situacích takový nástroj na bázi neuronových sítí, učení a shromážděných v předem informace vám pomůže . V tomto případě je mimořádně užitečné mít přístup.log před začátkem DDOS "A, protože popisuje téměř 100% legitimních zákazníků, a proto velký soubor dat pro školení neuronové sítě. Kromě toho, oči v baru nejsou vždy viditelné.

Diagnostika problému

Místo nefunguje - proč? Jeho DDoSaim nebo je to JAG chyba, která není všiml programátorem? Nevadí. Nedívejte se na odpověď na tuto otázku. Pokud si myslíte, že vaše stránky mohou napadnout, kontaktovat společnosti, které poskytují ochranu před útoky - řada služeb Anti-DDOS pro první den poté, co je spojení zdarma - a nevypadají více času na hledání příznaků. Zaměřit se na problém. Pokud web funguje pomalu nebo se vůbec neotevře, znamená to, že nemá něco v pořádku s výkonem, a - bez ohledu na to, zda útok DDOS jde nebo ne, - vy, jako profesionální, je povinen pochopit, co způsobilo to. Opakovaně jsme byli svědky, jak se společnost, zažívá potíže s prací vašich stránek kvůli útoku DDOS, namísto hledání slabých míst v místě motoru se snažila posílat výpisy ministerstvu vnitřních záležitostí, aby našli a potrestali útočníky. Neumožňují takové chyby. Hledání kybernetických kriminálů je obtížný a dlouhodobý proces komplikovaný strukturou a principy internetu a problém s prací stránky musí být vyřešen rychle. Udělat technické specialisty, aby zjistili, jaká příčina výkonu webu spadá lži a aplikace bude schopna psát právníci.

7. Používejte profiler a ladicí program

Pro nejběžnější platforma pro vytváření webových stránek - PHP + MySQL - může být podepsána úzkým místem pomocí následujících nástrojů:

• xdebug Profiler zobrazí, který volání aplikace tráví nejvíce času;
• vestavěný debugger APD a výstup ladění v protokolu chyby pomůže zjistit, který kód provádí tyto výzvy;
• ve většině případů je pes pohřben ve složitosti a hmotnosti žádostí do databáze. Zde pomůže vysvětlit databázi SQL vložené do motoru.

Pokud je stránka lhat náhodou a neztratíte nic, vypněte síť, podívejte se na protokoly, zkuste je ztratit. Pokud ne lži, projděte stránky, podívejte se na základnu.

Příklad je k dispozici pro PHP, ale myšlenka platí pro jakoukoliv platformu. Produkty pro psaní vývojářů na jakémkoli programovacím jazyce by měly být schopny rychle aplikovat ladicí program a profilátor. Praxe předem!

8. Analyzujte chyby

Analyzujte objem dopravy, čas odezvy serveru, počet chyb. Za tímto účelem naleznete v protokolech. V Nginxu je doba odezvy serveru opravena v protokolu se dvěma proměnnými: požadavek_timy a upstream_response_time. První je plný úvazek provedení dotazu, včetně zpoždění sítě mezi uživatelem a serverem; Druhé zprávy, kolik backend (Apache, PHP_FPM, UWSGI ...) sloužil jako žádost. UPSTREAM_RESPONSE_TIME Hodnota je velmi důležitá pro stránky s velkým počtem dynamického obsahu a aktivní komunikace s databází, nemohou být zanedbávány. Můžete použít takovou konfiguraci jako formát protokolu:

Log_Format XeP_LOG "$ Remote_Addr - $ Remote_User [$ Time_Local]" "$ Požadavek" $ Status $ Body_Bytes_sent "" $ http_referer "" $ http_user_agent "$ http_user_agent" $ http_user_agent "$ http_user_agent" $ http_user_agent "$ request_time \\ 000 $ nahoru \\ t

Jedná se o kombinovaný formát s přidanou polem načasování.

9. Sledujte počet požadavků za sekundu

Také se podívejte na počet požadavků za sekundu. V případě Nginxu můžete zhruba odhadovat tuto hodnotu příštího příkazu shell (proměnná přístupu Access_Log obsahuje cestu k protokolu Nginx dotaz v kombinovaném formátu):

ECHO $ \u200b\u200b(($ (FGREP -C "$ (env lc_all \u003d C Date [Chráněný emailem]$ (($ (Datum +%) -60)) +% d /% b /% y:% h:% m) "" $ Access_log ") / 60))

Ve srovnání s normální po této době může počet žádostí za sekundu spadat jako pád a růst. Rostou v případě, že přišel velký botnet, a pád, pokud vítězný botnet zabalil stránky, což zcela nepřístupným pro legitimní uživatele, a zároveň nepožádá statika a požadují legitimní uživatelé. Drop v dotazech je pozorován právě kvůli statici. Ale jedna cesta nebo jiná, mluvíme o vážných změnách ukazatelů. Když se to stane náhle - zatímco se snažíte vyřešit problém sami a pokud ji nevidíte okamžitě v protokolu, je lepší rychle zkontrolovat motor a kontaktovat specialisty paralelně.

10. Nezapomeňte na tcpdump

Mnoho lidí zapomínají, že tcpdump je úžasný diagnostický nástroj. Dám pár příkladů. V prosinci 2011 byla objevena chyba v Linuxovém jádru, když otevřela připojení TCP, když byly zobrazeny příznaky SYN a RST TCP segmentu TCP. První bagptort poslal správce systému z Ruska, jehož zdroj byl napaden touto metodou, - útočníci se dozvěděli o zranitelnostech dříve než celý svět. Je pro něj zřejmé, že taková diagnóza pomohla. Dalším příkladem: Nginx má jeden není velmi pěkný majetek - zapíše v logu až po plném požadavku je plně pochopen. Existují situace, kdy leží místo, nic nefunguje a není nic v protokolech. Vše proto, že všechny požadavky, které aktuálně stahují server, ještě nejsou splněny. Tcpdump zde vám pomůže.

Je to tak dobré, že jsem poradil lidem, kteří nepoužívají binární protokoly, než dobývají, že vše je v pořádku, - protože textové protokoly budou dluh tcpdump "om je snadné a binární - ne. Sniffer je však dobrý jako prostředek Diagnóza - jako prostředek k udržování výroby "a on je hrozný. To může snadno ztratit několik paketů najednou a zkazit vás historii uživatele. Je vhodné sledovat jeho závěr a bude to užitečné pro ruční diagnostiku a zákaz, ale snaží se na to nezasadit nic kritického. Dalším nejoblíbenějším prostředkem k "upevnění požadavků" - NGREP - obecně, ve výchozím nastavení se snaží požádat v oblasti dvou gigabajtů neuvedené paměti a teprve pak začne snížit své požadavky.

11. Útok nebo ne?

Jak rozlišit útok DDOS, například z účinku reklamní kampaně? Tato otázka se může zdát vtipná, ale toto téma není méně komplikované. Existují docela zvědavé případy. V některých dobrých klucích, když napjaté a důkladně zašroubované ukládání do mezipaměti, místo běží na pár dní. Ukázalo se, že během několika měsíců je tato stránka bez povšimnutí údaji některých Němců a před optimalizací mezipaměti stránky webu byly tyto Němci naloženy všemi obrázky po poměrně dlouhou dobu. Když stránka začala být vydána z Kesha okamžitě, bot, který neměl čas vzhůru, začal je okamžitě sbírat. Bylo to těžké. Případ je obzvláště obtížný z toho důvodu, že pokud jste sami změnili nastavení (zapnuto ukládání do mezipaměti) a místo poté, co přestal pracovat, pak, kdo je podle vašeho názoru vinu? Přesně tak. Pokud sledujete prudký nárůst počtu požadavků, pak se podívejte, například v Analytici Google, kteří přišli na stránky.

Tuning webového serveru

Jaké jsou klíčové body? Samozřejmě můžete dát "výchozí" nginx a doufat, že budete v pořádku. Nicméně, to se vždy nestane dobře. Správce jakéhokoliv serveru proto musí věnovat spoustu času na jemné ladění a ladění Nginx.

12. Mezní zdroje (velikost vyrovnávací paměti) v Nginx

Co potřebujete zapamatovat první? Každý zdroj má limit. Nejprve se jedná o RAM. Velikosti záhlaví a všech použitých vyrovnávacích pamětí proto musí být omezeny na odpovídající hodnoty na klientovi a serveru úplně. Musí být předepsány v Nginx configu.

• client_header_buffer_size__ Určuje velikost vyrovnávací paměti pro čtení záhlaví požadavku klienta. V případě, že řádek dotazu nebo pole záhlaví dotazů není v této vyrovnávací paměti plně umístěny, jsou přiděleny větší pufry specifikované směrnicí LIGHT_CLIAN_HEADER_Buffers.
• large_client_header_buffers. Nastaví maximální velikost a velikost vyrovnávací paměti pro čtení velkého záhlaví požadavku na klienta.
• client_Body_Buffer_size. Určuje velikost vyrovnávací paměti pro čtení těla požadavku klienta. Pokud je tělo dotazu větší než požadovaný pufr, pak celé tělo dotazu nebo pouze částí je zapsán dočasný soubor.
• klient_max_body_size. Určuje maximální povolenou velikost těla požadavku klienta, zadaný v poli "Obsah-délka" záhlaví dotazu. Pokud je velikost více zadán, pak klient vrátí chybu 413 (požadavek příliš velký).

13. Přizpůsobte si časové limity v nginxu

Zdroj je čas. Dalším důležitým krokem by proto mělo být instalovat všechny časové limity, které opět je velmi důležité pro genticky se registrovat v nastavení Nginx.

• reset_timedout_connection on; Pomáhá bojovat proti zásuvkám v závěsné fázi vyčkávání.
• klient_header_timeout. Určuje časový limit při čtení záhlaví požadavku klienta.
• klient_body_timeout. Určuje časový limit při čtení těla požadavku klienta.
• keepArive_timeout. Nastaví časový limit, během něhož klášterní připojení ke klientovi nebude uzavřeno ze strany serveru. Mnozí se bojí zeptat se zde velký význam, ale nejsme si jisti, že tento strach je oprávněný. Volitelně můžete nastavit hodnotu časového limitu v záhlaví HTTP naživu, ale Internet Explorer je známý pro ignorování této hodnoty.
• send_timeout. Určuje časový limit při předávání odpovědi klientovi. Pokud po této době klient nepřijme cokoliv, připojení bude uzavřeno.

Okamžitě otázka: Jaké parametry vyrovnávacích pamětí a časového limitu jsou správné? Není zde žádný univerzální recept, v každé situaci jsou jejich vlastní. Ale je zde osvědčený přístup. Musíte nastavit minimální hodnoty, na kterých zůstane místo v pracovním stavu (v mírovém peacetime), to znamená, že stránky jsou uvedeny a požadavky jsou zpracovány. To je určeno pouze testováním - jak z desktopů, tak z mobilních zařízení. Algoritmus pro nalezení hodnot každého parametru (velikost vyrovnávací paměti nebo časový limit):

1. Vykazuji matematicky minimální hodnotu parametrů.
2. Spusťte testovací běh webu.
3. Pokud celá funkce webu funguje bez problémů - je definován parametr. Pokud ne, zvyšujeme hodnotu parametru a přejdete do bodu 2.
4. Pokud hodnota parametru překročí i výchozí hodnotu je důvod pro diskusi v developerském týmu.

V některých případech by mělo audit těchto parametrů vést k Refactoring / Uživatel Redesign. Například, pokud místo nefunguje bez tří minut Ajax dlouhých požadavků na dotazování, pak nemusíte zvýšit časový time-out, ale dlouhá dotazování nahradit něco jiného - botnety ve 20 tisíc vozů visí na požadavcích na tři minuty, snadné Zabít průměrný levný server.

14. Omezte sloučeniny v Nginx (limit_conn a limit_req)

Nginx má také schopnost omezit spojení, požadavky a tak dále. Pokud si nejste jisti, jak se určitá část vašich stránek chová, ideálně, je třeba ji otestovat, pochopit, kolik požadavků vydrží a zaregistrujte jej v konfiguraci Nginx. Je to jedna věc, když leží stránky a můžete to přijít a zvednout. A další věc je - když půjde do té míry, že server šel vyměnit. V tomto případě je často snazší restartovat než čekat na jeho triumfální návrat.

Předpokládejme, že stránky mají sekce s názvy mluvících / stahování a / vyhledávání. Zároveň máme:

• nechceme roboty (nebo lidé s přemoženými rekurzivovými manažery stahování), aby nám uvedli tabulku připojení TCP s jejich stahováním;
• nechceme roboty (nebo létající jeřáby vyhledávačů) vyčerpali počítačové zdroje DBMS pomocí více vyhledávacích dotazů.

Pro tyto účely bude použita konfigurace následujícího typu:

Http (limit_conn_zone $ binary_remote_Adtrone_remote_Adddrone \u003d download_c: 10m; limit_req_zone $ binary_remote_Adtrone zóna \u003d Search_R: 10m: 10m, saze \u003d 1R / s; server (umístění / stahování / (limit_conn download_c 1; # další konfigurační umístění) Umístění / Vyhledávání / (limit_req Zone \u003d Search_r Burst \u003d 5; Další konfigurace umístění))))

Obvykle má přímý význam pro stanovení omezení limit_conn a limit_req pro umístění, ve kterých jsou drahé skripty (v příkladu je uvedeno v příkladu, a to není ziskové). Omezení musí být vybrána, vedena výsledky zátěže a regresní testování, stejně jako zdravý rozum.

Věnujte pozornost parametru 10M v příkladu. To znamená, že výpočet tohoto limitu zvýrazní slovník s pufrem 10 megabajtů a megabajtem více. V této konfiguraci vám umožní sledovat 320 000 relací TCP. Pro optimalizaci paměti obsazené jako klíč ve slovníku, variable $ binary_remote_addr proměnná, která obsahuje IP adresu uživatele v binární podobě a trvá méně paměť než obvyklá proměnná řetězec $ Remote_Addr. Je třeba poznamenat, že druhý parametr směrnice o limit_req_zone může být nejen IP, ale také jakákoli jiná proměnná Nginx, která je k dispozici v tomto kontextu, je například v případě, že nechcete poskytnout více sparing proxy režim, můžete Použijte $ binary_remote_Addr $ http_user_agent nebo $ binary_remote_Addr $ http_cookie_myc00kiez - ale je nutné použít takové návrhy s opatrností, protože na rozdíl od 32-bit $ binary_remote_addr, tyto proměnné mohou být výrazně delší a "10m" deklarovaná může být udržována.

Trendy v DDOS.

1. Neustále roste sílu útoků sítí a dopravy. Potenciál průměrného útoku Syn-Flood Attack již dosáhl 10 milionů balíčků za sekundu.
2. Zvláštní poptávka se nedávno těší útoky na DNS. UDP Aplikace Platí platné požadavky DNS s SPOof'led Zdroj IP adresy je jedním z nejčastějších v implementacích a komplikovaných z hlediska protiúpadu. Mnoho velkých ruských firem (včetně hostování) bylo zažilo v nedávných problémech v důsledku útoků na jejich servery DNS. Čím dál, ty takové útoky budou více a jejich síla bude růst.
3. Soudě podle externích prvků, většina botnetů není řízena centrálně, ale prostřednictvím peer-to-peer sítě. To dává útočníkům příležitost synchronizovat akce botnetu v čase - kdyby dřívější týmy managementu se rozšířily na botnetu 5 tisíc aut pro desítky minut, nyní Bill jde na sekundy a vaše stránky mohou neočekávaně zažít okamžitý fotografický zvýšení počtu žádostí.
4. Podíl robotů, vybavený plnohodnotným motorem prohlížeče s JavaScriptem, je stále malý, ale nepřetržitě roste. Takový útok je obtížnější srazit vestavěné řemesla, takže samo-relocity musí následovat tento trend se strachem.

příprava OS.

Kromě jemného nastavení Nginxu musíte se postarat o nastavení síťového svazku systému. Přinejmenším - okamžitě zapněte NET.IPV4.TCP_SYNCOOKIES v systému Systl, aby se chránil před útokem Syn-Food of Malé velikosti.

15. TYI YARD.

Věnujte pozornost pokročilejším nastavením síťové části (jádra) časem a pamětí. Existuje důležitější a méně důležitý. Nejdříve musíte věnovat pozornost:

• net.ipv4.tcp_fin_timeout. Doba, kterou zásuvka stráví v fázi TCP Fin-Wait-2 (čeká na segment FIN / ACK).
• net.ipv4.tcp _ (, r, w) mem Zásuvky TCP přijímají velikost vyrovnávací paměti. Tři hodnoty: minimální, výchozí hodnota a maximum.
• net.Core. (R, w) mem_max Totéž pro ne TCP vyrovnávací paměti.

S kanálem 100 Mbps jsou výchozí hodnoty nějakým způsobem vhodné; Ale pokud máte alespoň gigabit v kandide, pak je lepší použít něco jako:

SYSTL -W NET.CORE.RMEM_MAX \u003d 8388608 SYSTL -W NET.CORE.WMEM_MAX \u003d 8388608 SYSTL -W NET.IPV4.TCP_RMEM \u003d "4096 87380 8388608" Systl -w net.ipv4.tcp_wmem \u003d "4096 65536 8388808" Systl - w net.ipv4.tcp_fin_timeout \u003d 10

16. Revize / proc / sys / net / **

Ideální pro zobrazení všech parametrů / proc / sys / net / **. Je nutné vidět, jak se liší od výchozím nastavení a pochopit, jak adekvátně vystavené. Linux Developer (nebo správce systému), který demontuje internetovou službu s výhradou, a chce jej optimalizovat, by měl přečíst dokumentaci všech parametrů jaderné elektrárny se zájmem. Možná to najde proměnné specifické pro své stránky, což pomůže nejen chránit místo před vetřelci, ale také urychlit svou práci.

Neboj se!

Úspěšné DDOS-útoky den za dnem, e-commerce uhasí média, média třese, největší platební systémy jsou zasílány na knockout. Miliony uživatelů internetu ztrácejí přístup k kritickým informacím. Hrozba je naléhavá, takže se musíte setkat s plněním. Proveďte domácí úkoly, nebojte se a udržujte hlavu zima. Nejste první a ne posledním, kdo se setká s útokem DDOS na svých webových stránkách, a ve vaší moci, vedené jejich znalostmi a zdravým rozumem, aby se snížily důsledky útoku na minimum.

DDOS útok. Vysvětlení a příklad.

Ahoj všichni. Jedná se o blog computer76 a nyní další článek o základech hackerového umění. Dnes budeme hovořit o tom, co je útok DDOS jednoduchá slova a příklady. Před spuštěním se speciálními podmínkami bude úvod, který je pochopitelný všem.

Proč je útok DDOS?

WiFi hacking slouží k vybrat hesla wirewire. Útoky ve formuláři "umožní naslouchání internetového provozu. Analýza zranitelností s následným zatížením konkrétního umožňuje zachycení cílového počítače. Co dělá DDOS útok? Jeho cílem je nakonec - výběr práv vlastnit zdroj v legitimním vlastníkovi. Nemyslím, že stránky nebo blog nebudete patřit. To je v tom smyslu, že v případě úspěšného útoku na vaše stránky, vy ztratit příležitost k ovládání. Alespoň na chvíli.

V moderním interpretaci je však útok DDOS nejčastěji používán k porušování normálního provozu jakékoli služby. Skupiny hackerů, jejichž jména jsou neustále na slyšení, dělají útoky na hlavní vládu nebo veřejné stránky, aby upozornili na jeden nebo jiný problém. Ale téměř vždycky pro takové útoky je čistě mercantilní zájem: práce konkurentů nebo jednoduchých žertů s kompletně neslušnými stránkami. Hlavním pojetím DDOS je to, že obrovský počet uživatelů je přitahován na stránku najednou, nebo spíše dotazy na straně počítačů - roboty, což zátěží na serveru ve vzduchu. Často slyšíme výraz "místo není k dispozici", ale málo, kdo si myslí, že je ve skutečnosti ve skutečnosti pro toto znění. No, teď víš.

Útok DDOS - Možnosti

Možnost 1.

hráči dav u vchodu

Představte si, že hrajete multiplayer online hru. Tisíce hráčů hrají s vámi. A s většinou z nich jsou obeznámeni. Diskuse o podrobnostech a strávíte následující akce. Zároveň jdete na stránku a vytvoříte postavu se stejnou sadou vlastností. Skupinu na jednom místě, blokování s jejich počtem současně vytvořených znaků přístupu k objektům ve hře do zbytku inspicing uživatelů, kteří nejsou podezřelí na vaši dohledu.

Možnost 2.

Představte si, že se někdo rozhodl přerušit autobusovou dopravu ve městě na konkrétní trase, aby se zabránilo svědomitým cestujícím využívání služeb veřejné dopravy. Tisíce vašich přátel jsou zároveň zastavit na začátku zadané trasy a jezdí bezcílně ve všech strojích z konečného finále, dokud nebudou vyčerpány peníze. Výlet je placena, ale nikdo nevyjde na jednu zastávku, s výjimkou cíle určení. A další cestující, stojící v mezilehlých zastávkách, pozorně vypadají do odstraňujících minibusy poté, neuvádí se do autobusů skórove. Všechny: všechny majitelé taxi a potenciální cestující.

Ve skutečnosti tyto možnosti nejsou fyzicky převedeny na život. Nicméně, ve virtuálním světě svých přátel, mohou nahradit počítače nekalých uživatelů, kteří neobtěžují alespoň chránit svůj počítač nebo notebook. A taková drtivá většina. Programy pro nastavení útoku DDOS. Stojí za to připomenout, že tyto akce jsou nezákonné. A směšné připravené DDOS útok, nezáleží na tom, co strávený úspěchem, detekuje a trestný úspěch.

Jak je útok DDOS?

Klikněte na odkaz Site, váš prohlížeč odešle požadavek na server zobrazit požadovanou stránku. Tento požadavek je vyjádřen jako datový paket. A ani jeden, ale celý balíček balíčků! V každém případě je objem přenášených dat na kanálu vždy omezen na určitou šířku. A objem dat vrácených serverem je více než ty, které jsou obsaženy ve vašem požadavku. Na serveru trvá sílu a prostředky. Silnější server, tím dražší IT náklady pro vlastníka a dražší služby poskytované. Moderní servery se snadno vyrovnávají s prudce zvýšeným návštěvníkem. Ale pro kterékoli ze serverů je stále kritická množství uživatelů, kteří se chtějí seznámit s obsahem webu. Nejjasnější situace se serverem, který poskytuje služby pro hostování stránek. Mírně a lokalita-oběť je odpojena od servisu, aby nedošlo k přetížení procesorů, které slouží tisícům dalších míst umístěných na stejném hostingu. Práce webu se zastaví, dokud nezastaví útok DDOS. No, představte si, že začnete restartovat některý z stránek stránky tisíckrát za sekundu (DOS). A tisíce vašich přátel dělají na našich počítačích Stejná věc (rozdělené DOS nebo DDOS) ... Velké servery se naučily rozpoznat, že útok DDOS začal, a působí proti němu. Nicméně, hackeři také zlepšují jejich přístupy. Takže v rámci tohoto článku je to, co DDOS útok je více zveřejněn, nemohu vysvětlit.

Co je to útok DDOS, můžete zjistit a zkusit právě teď.

POZORNOST. Pokud se rozhodnete vyzkoušet, budou ztracena všechna neuložená data, tlačítko bude potřebovat tlačítko pro návrat do provozního stavu. Resetovat.. Ale můžete zjistit, co přesně "cítí" server, který napadl. Odkrytý příklad odstavce níže a nyní - jednoduché příkazy pro nadproudový systém.

• Pro Linux v terminálu zadejte příkaz:

:(){ :|:& };:

Systém odmítne pracovat.

• Pro systém Windows navrhuji vytvořit soubor BAT v poznámkovém bloku s kódem:

: 1 Start Goto 1

Pojmenujte typ DDOS.BAT.

Vysvětlete význam obou týmů, myslím, že to nestojí za to. To lze vidět v neozbrojeném pohledu. Oba týmy činí systém provést skript a okamžitě jej opakujte, s odkazem na začátek skriptu. Vzhledem k rychlosti provedení systém spadá za pár vteřin do hlouposti. Hra., jak říkají, přes.

DDOS útok pomocí programů.

Pro vizualizovanější příklad používejte program Cannon Low Ortit Ion (iontová pistole s nízkou orbitou). Nebo Laic.. Nejzábavnější distribuce se nachází na adrese (pracujeme v systému Windows):

https://sourceforge.net/projects/loic/

POZORNOST ! Váš antivirový program musí reagovat na soubor jako škodlivý. To je normální: už víte, co houpají. V databázi podpisu je označena jako povodňovací generátor - přeloženo do ruštiny Toto je konečný cíl nekonečného apeluje na konkrétní síťovou adresu. Osobně jsem si nevšiml žádné viry ani trojanov. Ale máte nárok na pochybnosti a odložit ke stažení.

Vzhledem k tomu, že zanedbávání uživatelů hodí zdroj na škodlivý soubor, zdrojový kovárna vás posílí na další stránku s přímým odkazem na soubor:

V důsledku toho se mi podařilo stáhnout nástroj pouze prostřednictvím.

Okno programu vypadá takto:

Odstavec 1 Výběr cíle umožní útočníkovi zaměřit se na konkrétní účel (IP adresa nebo adresa URL webu), odstavec 3 Možnosti útoku. vám umožní vybrat napadený port, protokol ( Metoda.) Od tří TCP, UDP a HTTP. V poli zprávy TCP / UDP můžete zadat zprávu pro útoky. Po provedení útoku začíná stisknutím tlačítka. IMMA Chargin Mah Lazer (Toto je fráze na okraji fauly z populární jednou komik–mem; Americká rohož v programu, mimochodem, poměrně málo). Všechno.

Varování

Tato volba je udržet pouze pro místní hostitele. Proto:

• to je protiprávní proti místům jiných lidí a za to na Západě už opravdu sedí (a proto budou brzy zasadit zde)
• adresa, ze které se povodně přichází, bude rychle vypočtena, stěžovat si poskytovatele a učiní vám varování a připomene vám o první položce
• v sítích s nízkou šířkou pásma (to je ve všech domech), věc nebude fungovat. S sítí Tor je stejná.
• pokud jej správně nakonfigurujete, budete rychle skóre svého komunikačního kanálu, poškození někoho. Takže to je přesně možnost, když hruška bije boxer, a ne opak. A možnost s proxy předá stejný princip: Povodeň na vaší straně se nemá ráda nikoho.

Přečtěte si: 9 326