DDOS rünnak - üksikasjalik juhend. Mis on DDOS-i rünnak, kuidas neid tehakse ja nende vastu kaitsemeetodid

Jaotatud rünnakud "Hooldus" või lühendatud DDOS sai ühiseks nähtuseks ja tõsine peavalu Interneti-ressursside omanikele kogu maailmas. See on põhjus, miks kaitse DDOS rünnakud kohapeal ei ole täna ei ole täiendav valik, kuid eelduseks neile, kes soovivad vältida seisakuid, suur kahju ja rikutud maine.

Me räägime meile rohkem sellest, mis on terviseharidus ja kuidas ennast kaitsta.

Mis on DDOS.

Jaotasid teenuse eitamine või "Hoolduse jaotatud keeldumine" - rünnak infosüsteemi kohta, nii et see ei oleks võime töödelda kasutaja taotlusi. Lihtsad sõnad, DDOS koosneb veebiressursside või liiklusserveri summutamisest suurest hulgast allikatest, mis muudab selle kättesaamatuks. Sageli toimub selline rünnak, et provotseerida katkestusi võrguressursside töös suures ettevõttes või riigiasutuses

DDOS rünnak on sarnane teise ühise veebiohuga - "Teenuse eitamine, DOS). Ainus erinevus on see, et tavaline hajutatud rünnak pärineb ühest punktist ja DDOS rünnak on suuremate ja pärit erinevatest allikatest.

Peamine eesmärk DDOS rünnak on teha veebisait kättesaamatuks külastajatele blokeerides tema töö. Kuid on juhtumeid, kui sellised rünnakud on toodetud, et tähelepanu pöörata muudest kahjulikest mõjudest. DDoSi rünnak võib näiteks läbi viia turvasüsteemi häkkimisel, et võtta organisatsiooni andmebaasi valdusse.

DDOS rünnakud ilmus avalikkuse tähelepanu 1999. aastal, kui rida rünnakud saite suurte ettevõtete (Yahoo, eBay, Amazon, CNN) tekkis. Sellest ajast alates on selline küberkuritegevus välja töötanud ohtu globaalsele ulatusele. Ekspertide sõnul on viimastel aastatel nende sagedus kasvanud 2,5 korda ja ülimate võimsusega on ületatud 1 tbit / s. DDose rünnaku ohver vähemalt kord iga kuues Vene firma sai. 2020. aastaks jõuab nende täielik vastus 17 miljoni euroni.

Hosting mänguväljak ringi-kella kaitse kõige keerukamaid DDOS rünnakud.

DDOS-i rünnakute põhjused

  1. Isiklik vaenulikkus. Ta sunnib sageli sissetungijaid rünnakute või valitsusfirmade rünnakute või valitsusfirmade vastu. Näiteks 1999. aastal tehti FBI veebisaitide rünnak, mille tulemusena nad ebaõnnestuvad mitu nädalat. See juhtus asjaolu tõttu, et FBI alustas häkkerite laiaulatuslikku rünnakut.
  2. Poliitiline protest. Tavaliselt viidi sellised rünnakud läbi hakktiivlastega - IT-spetsialistid radikaalse pilguga tsiviilprotestiga. Kuulus näide on Eesti valitsusasutuste seeria küberrünnakud 2007. aastal. Võimalus lammutada mälestusmärgi liberaatori Tallinnas oli tõenäoliselt põhjustada neid.
  3. Meelelahutus.Tänapäeval on üha rohkem inimesi DDOS-is kiindunud ja soovivad proovida oma jõudu. Newbird-häkkerid korraldavad sageli rünnakuid lõbusaks.
  4. Väljapressimine ja väljapressimine.Enne rünnaku käivitamist on häkker seotud ressursi omanikuga ja nõuab lunastamist.
  5. Konkurents. DDOS-i rünnakuid saab tellida ebaõiglast ettevõttelt, et mõjutada nende konkurente.

Kes on potentsiaalsed ohvrid

DDOSSS võib hävitada mis tahes ulatuse saitsid, alates tavapärastest blogidest ja lõpeb suurimate ettevõtete, pankade ja teiste finantsasutustega.

"Kaspersky Labi" uuringute kohaselt võib rünnak maksta ettevõttele 1,6 miljonit dollarit. See on tõsine kahju, sest rünnatud veebiressurss ei saa mõnda aega, mistõttu on lihtne.

Kõige sagedamini kannatavad saidid ja serverid DDOS-i rünnakute all:

  • suured ettevõtted ja valitsusasutused;
  • finantsasutused (pangad, fondivalitsejad);
  • kupongiteenused;
  • meditsiiniasutused;
  • maksesüsteemid;
  • Meedia- ja teabeagregaatorid;
  • online-kauplused ja e-kaubanduse ettevõtted;
  • online-mängud ja mänguteenused;
  • cryptovaya vahetus.

Mitte nii kaua aega tagasi, seadmed lisati DDos-rünnakute sagedaste ohvrite kurbale loetelule ja Internetiga ühendatud seadmetele, mis said asjade kogu nime "Interneti-internet" (asjade internet, IOT). Suurim kasv dünaamika selles suunas näitab küberrünnakuid eesmärgiga rikkuda töö online kassaregistrite suurte kaupluste või kaubanduskeskuste.

Töömehhanism

Kõikidel veebiserveritel on oma päringud, mida nad saavad samaaegselt töödelda. Lisaks on võrgu ja serveri ühendava kanali ribalaiuse piirang. Nende piirangute vältimiseks loovad Zlochyssens pahatahtliku tarkvaraga arvutivõrgu, mida nimetatakse "BotNet" või "Zombie Network".

Botneti loomiseks levitavad Cyber-kurjategijad trooja kaudu e-posti levitamise, sotsiaalsete võrgustike või saitide kaudu. BotNetis sisalduvatel arvutitel ei ole füüsilist seost omavahel. Nad ühendavad ainult häkkeri "ministeeriumi" eesmärgid.

DDose rünnaku ajal saadab häkker "nakatunud" zombie arvutite meeskonna ja nad alustavad solvavat. Batnets genereerib suur hulk liiklust, mis on võimeline mis tahes süsteemi ülekoormamiseks. Peamised "objektid" DDOS on tavaliselt muutumas server ribalaiuseks, DNS-serveriks, samuti Interneti-ühenduse ise.

DDOS-i rünnakute märgid

Kui ründajate tegevus jõuavad oma eesmärgi saavutamiseni, on võimalik koheselt määrata failide ebaõnnestumised või seal paigutatud ressurss. Kuid on mitmeid kaudseid märke, mille kohaselt saab DDOS-i rünnakut leida oma alguses.

  • Server tarkvara ja OS algab tihti ja õmblema selgesõnaliselt - Hang, valesti lõpetatud töö jne
    • riistvara võimsus Serverid, kes erinevad järsult keskmisest igapäevast näitajatest.
  • Kiire kasv sissetulev Liiklus Ühes või mitmes sadamates.
  • Mitmeaastane dubleeritud lihtsustamine Kliendid ühel ressursil (minge saidile, faili allalaadimiseks).
  • Kui analüüsida palke (kasutaja tegevuslogid) server, tulemüüri või võrgu seadmed paljud taotlused ühe tüüpi erinevate allikate Ühele Port või teenus. See peaks olema eriti tähelepanelik, kui taotluste publik on teravalt erinev saidi või teenuse sihtmärgist.

DDOS-rünnakute liigitamise liigitamine

Protokolli solvav (transpordi tase)

DDose rünnak on suunatud serveri või veebiressursside võrgustiku tasemele, nii et seda nimetatakse sageli võrgukihi või transpordi taseme rünnakuks. Selle eesmärk on ülekoormus lauaruumi tulemüürile sisseehitatud turvagraafiga (tulemüür), keskses võrgus või süsteemi tasakaalustava koormusega.

Kõige tavalisem DDOS meetod transporditasandil - võrgu üleujutusSuure värvainete voolu loomine erinevatel tasanditel, mille vastuvõtva sõlme ei saa kokku puutuda.

Tavaliselt rakendab võrguteenus FIFO reeglit, mille kohaselt arvuti ei jätkata teise taotluse säilitamist kuni esimeste protsessideni. Aga kui rünnates taotluste arvu on nii suurendades, et seadme puudub ressursse, et lõpetada operatsiooni esimese taotlusega. Selle tulemusena maksimeerib üleujutus ribalaiust võimalikult palju ja hindeta tihedalt kõik kommunikatsioonikanalid.

Ühised võrgu üleujutused

  • Http-flood - Tavapäraste või krüpteeritud HTTP-sõnumite mass, suhtlemise sõlmede hindamine, saadetakse rünnatud serverisse.
  • ICMP-üleujutus- ründaja botnets ülekoormab ohvri vastuvõtva masin ametlike taotluste kaupa, millele ta on kohustatud andma kaja vastuseid. Sellist tüüpi rünnaku privaatne näide - P.üleujutusvõi Smurf rünnak, kui sidekanalid on täidetud ping-päringuid, mida kasutatakse võrgu sõlme kättesaadavuse kontrollimiseks. See on ICMP-üleujutuste ohu tõttu blokeerivad süsteemi administraatorid sageli võime teha ICMP taotlusi tulemüüri kasutamisel.
  • Syn-flood. - Rünnak mõjutab üks põhimehhanisme TCP protokolli, mida tuntakse põhimõte "Triple Handshake" ("päringu-vastus algoritm": syn pakett - syn-ack pakendi - ACK pakett). Ohver on täis võltsitud syn päringute võlli vastuseta. Kasutaja kanal on ummistunud TCP-ühenduste järjekord väljuvate ühenduste ootel vastuse ACK pakett.
  • UDP-üleujutus - Ohvri hostimatuse juhuslikud sadamad on täis UDP-pakette, vastuseid, mille ülekoormuse võrguressursse. DNS-serverile suunatud mitmesuguseid UDP üleujutusi kutsutakse DNS-FLUD..
  • Maci üleujutus - Eesmärk on võrguseadmed, mille sadamad on ummistunud "tühi" paketid erinevate MAC-aadressidega. Et kaitsta sellist tüüpi DDOS-i rünnakute tüübi vastu võrgu lülitites, reguleerige kehtivuse valideerimist ja MAC-aadresside filtreerimist.

Rakendatud taseme rünnakud (infrastruktuuri tase)

Seda tüüpi kasutatakse siis, kui teil on vaja riistvara ressursside salvestamist või keelata. "Raiders" eesmärk võib olla nii füüsiline ja ram või protsessori aeg.

Ülekoormus ribalaius ei ole vajalik. See on piisav lihtsalt tuua ohverprotsessor ülekoormuse või teisisõnu võtta kogu protsessi aega.

DDos-rünnaku rakenduste tüübid

  • Saada "Raskex »paketidotse töötlejale. Seade ei saa varjata keerulisi arvutusi ja hakkab ebaõnnestuma, keelates seeläbi külastajatele juurdepääsu kohale.
  • Skripti kasutamine, server täidetakse "Prügikast" sisu - Logi failid, "Kasutaja kommentaarid" jne. Kui süsteemi administraator ei määra serveri piiri, siis võib häkker luua suured failpaketid, mis toovad kaasa kogu kõvaketta täitmise.
  • Probleemid kvoodisüsteem. Mõned serverid kasutatakse suhtlema väliste CGI-liidese programmidega (ühine Gateway liides "General Gateway Interface"). Pärast CGI juurdepääsu kättesaamist saab ründaja kirjutada oma skripti, mis kasutab osa ressurssidest, näiteks töötleja aega, oma huvides.
  • Mittetäielik kontroll Külastaja andmed. Samuti toob see kaasa protsessori ressursside pikaks või isegi lõpmatuks kasutamiseks kuni ammendumiseni.
  • Teine roda rünnak. See põhjustab vale vastuse signaali kaitsesüsteemis, mis saab automaatselt sulgeda ressurss välismaailmast.

Rünnakud taotluse tasemel

DDOS-i rakenduste taset kasutab programmi koodi loomisel väljajätmist, mis loob tarkvara haavatavuse välise mõju jaoks. Seda liiki võib seostada sellise ühise rünnakuga kui "Ping surma" (surma ping) on \u200b\u200bsuurema pikkuse ICMP-pakettide massiivne saatmine, mis põhjustab puhvri ülevoolu.

Kuid professionaalsed häkkerid kasutavad harva lihtsaimat meetodit läbilaskev kanaleid. Suurettevõtete keerukate süsteemide rünnamiseks püüavad nad täielikult välja selgitada serveri süsteemi struktuuri ja kirjutada ära programmi, käsuliini või osa programmi koodist, mis võtab arvesse ohvri haavatavust ja arvutisse rakendatud.

DNS rünnak

  1. Esimene rühm on suunatud haavandja B. KÕRVALDNS-serverid. Nende hulka kuuluvad sellised tavalised küberkuritegude liigid, nagu null-päeva rünnak (null päeva rünnak ") ja kiire voolu DNS (" Fast Flow ").
    Üks levinumaid DNS-i rünnakuid nimetatakse DNS-spoofingiks (DNS-Squeal "). Tema ajal asendavad ründajad serveri vahemälus IP-aadressi, suunates kasutaja alla veealuse lehele. Liikumisel saab kurjategija juurdepääsu kasutaja kasutajanimele ja saab neid kasutada oma huvides. Näiteks 2009. aastal, kuna DNS-kirjete asendamise tõttu ei saanud kasutajad mõne tunni jooksul Twitterisse minna. Selline rünnak oli poliitiline iseloom. American agressiooniga seotud häkkerite hoiatamise peale lehele paigaldatud malefactors
  2. Teine rühm on DDOS-i rünnakud, mis viivad invaliidsus DNS.- serverid. Kui te ei suuda, ei saa kasutaja minna soovitud lehele, kuna brauser ei leia konkreetse saidi omane IP-aadressi.

Ennetamine ja kaitse DDOS rünnakute vastu

Vastavalt Corero võrgu turvalisusele on rohkem kui kõik ettevõtted maailmas rünnata "keeldumise juurdepääsu". Veelgi enam, nende arv jõuab 50-ni.

Omanikud saitide, mis ei olnud ette nähtud kaitse server DDOS-rünnakud ei saa mitte ainult tekitada suuri kahjusid, vaid ka kliendi usalduse vähenemine ning konkurentsivõime turul.

Kõige tõhusam viis DDOS-rünnaku eest kaitsmiseks on pakkuja poolt paigaldatud filtrid kõrge ribalaiusega Interneti-kanalitega. Nad teostavad kogu liikluse järjepideva analüüsi ja tuvastada kahtlane võrgutegevus või viga. Filtreid saab paigaldada nii ruuterite tasemel kui ka spetsiaalsete riistvaraseadmete abil.

Võimalused kaitsta

  1. Isegi tarkvara kirjutamisetapis peate mõtlema saidi ohutusele. Hoolikalt kontrollima Vigade ja haavatavuste puhul.
  2. Regulaarselt värskendamaJa ka võimaluse naasta vana versiooni, kui probleemid tekivad.
  3. Jälitama juurdepääsu piiramine. Administration seotud teenused peavad olema täielikult suletud kolmanda osapoole juurdepääsu. Kaitske administraatorit keerukate paroolidega ja muutke neid sagedamini. Kustuta töötajate kontod õigeaegselt, kes loobuvad.
  4. Juurdepääsu administraatori liidese Tuleb läbi viia ainult sisevõrgust või VPN-i kaudu.
  5. Skannige süsteemi sisse haavatavuste kättesaadavus. Kõige ohtlikumad haavatavuse võimalused avaldab regulaarselt OWASP Top 10 autoriteetse hinnangu.
  6. Rakendama rakenduste tulemüür - WAF (veebirakendus tulemüür). Ta sirvimine edastatud liiklust ja jälgib taotluste legitiimsust.
  7. Kasutama CDN. Sisu tarnevõrk). See on võrgu tarnevõrk, mis töötab jaotatud võrguga. Liiklus sorteeritud mitu serverit, mis vähendab külastajate juurdepääsu viivitust.
  8. Kontrollige sissetulevat liiklust access Control nimekirjad (ACL)Kui objektile juurdepääsuga isikute loetelu täpsustatakse (programm, protsess või fail), samuti nende roll.
  9. Võime liiklusklemamis pärineb rünnata seadmetest. Seda tehakse kahe meetodi abil: tulemüüride või ACL-nimekirjade kasutamine. Esimesel juhul on konkreetne voolu blokeeritud, kuid ekraanid ei saa eraldada "positiivse" liikluse "negatiivsest". Ja teises - sekundaarprotokollid filtreeritakse. Seetõttu ei saa see kasu, kui häkker rakendab olulisi taotlusi.
  10. Kaitsta DNS-i räpaste eest vajate perioodiliselt puhastage vahemälu DNS-i..
  11. Kasutama kaitse rämpsposti eest - CAPTCHA (CAPTCHA), "Inimese" ajutine raamistik vormide täitmiseks, recAptcha (märkeruut "Ma ei ole robot") jne.
  12. Pöördrünnak. Kõik pahatahtlikud liikluse suunatakse ründajale. See aitab mitte ainult kajastada rünnakut, vaid hävitada ka ründaja server.
  13. Ressursside majutus mitmed iseseisvad serverid. Kui väljute ühest serverist, tagab ülejäänud efektiivsuse.
  14. Kinnitatud kasutamine riistvara kaitse Ddos-rünnakult. Näiteks Imphetetec iCore või DefensePro.
  15. Vali hosting pakkuja koostööd usaldusväärne tarnija Küberjulgeolekuteenused. Usaldusväärsuse kriteeriumide hulgas tunnustavad eksperdid: kvaliteeditagatiste olemasolu, tagades kaitse kõige täielikumate ohtude, ööpäevaringselt tehnilise toe, läbipaistvuse (kliendi juurdepääs statistikale ja analüüsile), samuti pahavara puudumine tariifivilja.

Järeldus

Selles artiklis vaatasime läbi, mida DDose rünnak tähendab ja kuidas kaitsta oma saiti rünnakute eest. Oluline on meeles pidada, et sellised pahatahtlikud meetmed võivad isegi kõige ohutumaid ja suurimaid veebiressursse ebaõnnestuda. See toob kaasa tõsiseid tagajärgi suurte kahjude ja klienditoetuste kujul. Seetõttu kindlustada oma ressurss DDOS-rünnakutelt - tegelik ülesanne kõigi kaubandusstruktuuride ja valitsusasutuste jaoks.

Tahad professionaalset kaitset DDOS-rünnakute vastu - valige! Alaline seire ja ööpäevaringne tehniline tugi.

Hiljuti suutsime veenduda, et DDOS rünnak oli inforuumis üsna tugev relv. DDOS-ga, suure võimsusega rünnakute puhul ei saa ainult ühe või mitme saidi keelata, vaid häirida ka kogu võrgusegmendi toimimist või keelake interneti väikeses riigis. Tänapäeval esinevad DDOS-i rünnakud üha sagedamini ja nende võimsus suurendab iga kord.

Aga milline on sellise rünnaku olemus? Mis juhtub võrgus, kui see töötab, kuhu see idee tuli sel viisil ja miks see nii tõhus on? Leiate vastused kõigile nendele küsimustele meie praeguses artiklis.

DDOS või jaotatud eitamine-of-Service (eraldatud keeldumine hooldusest) on rünnak konkreetse arvuti kohta võrgustiku kohta, mis põhjustab selle ülekoormusega mitte vastata teiste kasutajate taotlustele.

Et mõista, mida DDose rünnak tähendab, kujutan ette olukorda: veebiserver annab kasutajatele lehekülje kasutajate kasutajatele, ütleme lehekülje loomisele ja kasutaja täieliku ülekandega kulub pool sekundit, siis saab meie server töötada normaalselt sagedus kahe taotluse sekundis. Kui selliseid taotlusi on rohkem, järjekorda ja töödeldakse niipea, kui veebiserver on tasuta. Kõik uued taotlused lisatakse järjekorra lõpuni. Ja nüüd ma kujutan ette, et on palju taotlusi ja enamik neist läheb ainult selle serveri ülekoormamiseks.

Kui uute taotluste vastuvõtmise kiirus ületab töötlemise kiirust, siis aja jooksul on päringu järjekord nii kaua, et tegelikult ei töödeta uusi taotlusi. See on DDoSi rünnaku peamine põhimõte. Varem saadeti sellised taotlused ühest IP-aadressist ja seda nimetati viide rünnakuks - surnud teenistuseks, tegelikult see on vastus küsimusele, mida DOS on. Kuid selliste rünnakutega saate tõhusalt võidelda, lihtsalt lisades allika IP-aadressi või mitme lukustuse loendis oleva IP-aadressi ja ka võrgu ribalaiusepiirangute tõttu mitmeid seadmeid ei tekita füüsiliselt tõsist serveri ülekoormamiseks piisavat arvu pakette.

Seetõttu on rünnakud koheselt läbi miljoneid seadmeid. Sõna jagatud lisati nimi, selgus - DDOS. Vastavalt ühele neist seadmed ei tähenda midagi, ja see on võimalik ühendada internetiga mitte väga kiire, kuid kui nad hakkavad üheaegselt saatma ühe serveri taotlusi, saavad nad saavutada kogu kiiruse kuni 10 tb / s. Ja see on üsna tõsine näitaja.

Jääb aru saada, kus ründajad võtavad oma rünnakute täitmiseks nii palju seadmeid. Need on tavalised arvutid või erinevad IOT-seadmed, mille ründajad saavad juurdepääsu. See võib olla midagi, videokaamerate ja marsruuteritega, millel on pikaajaline firmware, juhtimisseadmed, hästi ja tavalised kasutajad, kes kuidagi kiirendasid viirust ja ei tea selle olemasolust või ei kiirusta selle kustutamiseks.

DDose ataki tüübid

DDOS-i rünnakute puhul on kaks peamist tüüpi, mõned neist keskenduvad konkreetse programmi ja rünnakute ülekoormusele, mille eesmärk on võrgukanali ülekoormamine siht-arvutisse.

Ükskõik millise programmi ülekoormuse rünnakuid nimetatakse ka rünnakuteks 7 (OSI võrgustiku toimimise mudelis - seitse taset ja viimased on üksikute rakenduste tasemed). Ründaja ründab programmi, mis kasutab paljusid serveriressursse, saates suure hulga taotlusi. Lõpuks ei ole programmil aega kõiki ühendusi töödelda. Seda liiki me pidasime kõrgemaks.

DoS rünnakud Interneti-kanalil nõuda palju rohkem ressursse, kuid nendega on palju raskem toime tulla. Kui te kujutate OSI-ga analoogiat, siis need on 3-4 taseme rünnakud, see on kanalil või andmeedastusprotokollis. Fakt on see, et iga Interneti-ühendus on oma kiirusepiirang, mille andmeid saab edastada. Kui on palju andmeid, võrgu seadmed nagu programm paneb need ülekande järjekorda ja kui andmete hulk ja kiirus nende vastuvõtmise on väga suur kanali kiirus, see ülekoormatud. Andmeedastuskiirus sellistel juhtudel võib arvutada gigabaiti sekundis. Näiteks internetist eraldamise korral väikese Libeeria riik, andmeedastuskiirus oli kuni 5 tb / s. Sellegipoolest on 20-40 gb / s enamiku võrguinfrastruktuuride ülekoormamiseks piisav.

DDose rünnaku päritolu

Ülal, vaatasime, mida DDOS rünnakud, samuti DDoSi rünnaku meetodid, on aeg oma päritolu minna. Kas olete kunagi mõelnud, miks need rünnakud on nii tõhusad? Need põhinevad sõjalistel strateegiatel, mis töötati välja ja kontrolliti palju aastakümneid.

Üldiselt põhinevad paljud infoturbe lähenemisviisid mineviku sõjalistest strateegiatel. On Trooja viirusi, mis meenutavad iidse lahinguga Troy, väljapaistetud viiruste eest, mis varastavad teie failid, et saada lunastamis- ja ddos \u200b\u200brünnakud, mis piiravad vaenlase ressursse. Piirates vastase võime, saad mõned kontrolli oma hilisemate meetmete üle. See taktika töötab väga hästi sõjaliste strateegiste jaoks. Nii küberkurjategija jaoks.

Sõjalise strateegia puhul saame väga lihtsalt mõelda ressursside liikidele, mis võivad piirata vaenlase võimalusi piirata. Vee, toidu ja ehitusmaterjalide piiramine lihtsalt hävitaks vaenlase. Arvutid on kõik erinevad siin on erinevaid teenuseid, nagu DNS, veebiserver, e-posti server. Kõigil neil on erinev infrastruktuur, kuid on midagi, mis neid ühendab. See on võrk. Ilma võrguta ei saa te kaugarvutisse pääseda.

Commander saab mürgitada vett, põletada põllukultuure ja korraldada kontrollpunkte. Küberkurjategijad saavad teenusele ebaõigeid andmeid saata, tehke kogu mälu tarbimiseks või kogu võrgukanalile täiesti hämmastav. Kaitsestrateegiatel on ka samad juured. Serveri administraator peab jälgima sissetulevat liiklust, et leida pahatahtlik ja blokeerida see enne sihtmärgi võrgukanali või programmi jõudmist.

Asutaja ja saidi administraatori veebisait, nautida avatud tarkvara ja Linuxi operatsioonisüsteemi. Nagu peamine OS nüüd ma kasutan Ubuntu. Lisaks Linuxile olen huvitatud kõikidest, mis on seotud infotehnoloogia ja kaasaegse teadusega.

Kui loete meie juhendit ja rakendate kõiki kirjeldatud tehnoloogiaid - kindlustage arvuti häkkeride ähvardustest! Ärge unustage seda!

Infoturbe valdkonnas tegutsevad DDOS rünnakud ühe juhtivaid kohti elektroonilise ohu reitingus. Kuid enamikul kasutajatel on selles küsimuses väga piiratud teadmised. Nüüd me püüame nii palju kui võimalik ja kättesaadav selle teema avalikustamiseks, nii et te võite ette kujutada, mida selline e-oht teostatakse ja seega kuidas seda tõhusalt käsitleda. Nii et saada tuttav - DDOS rünnak.

Terminoloogia

Rääkida samas keeles, peame sisestama mõisted ja nende mõisted.

DOS Attack - hoolduse keelamise tüüp. Seega inglise lühend DOS - teenuse eitamine. Üks alatüüpidest on hajutatud rünnak, mis viiakse läbi samaaegselt mitme ja reeglina suure hulga hostidega. Me pühendame suurema osa nendele võimalustele arutelule, sest DDOS rünnak kannab laastavamaid tagajärgi ja olulist erinevust ainult rünnakute hulgas kasutatavate hostide arvus.

Et teil oleks lihtsam aru saada. Selline tegevus on suunatud iga teenuse ajutisele lõpetamisele. See võib olla eraldi veebisait võrgus, suur interneti või mobiilside pakkuja, samuti eraldi teenus (vastuvõtvad plastkaardid). Selleks, et rünnak õnnestuks ja tõi hävitava tegevuse, on vaja seda teha suure hulga punktidega (edaspidi seda hetke loetakse üksikasjalikumalt). Seega on "hajutatud rünnak". Kuid sisuliselt jääb samaks - teatud süsteemi töö katkestamiseks.

Pildi täielikkuse jaoks peate mõistma, kes ja millisel eesmärgil selliseid toiminguid teha.

Rünnakud nagu "Hooldus keeldumine", nagu teised arvutikuritegusid, karistatakse seadusega. Seetõttu esitatakse materjal ainult informatiivsetel eesmärkidel. Neid teostavad IT-spetsialistid, inimesed, kes on hästi valitsenud "Arvutite" ja "arvutivõrkude" teemadel või nii, nagu juba tegelevad - häkkerid. Põhimõtteliselt on see sündmus suunatud kasumi tegemisele, sest reeglina tellis DDOS rünnakud hoolimatuid konkurente. See on asjakohane tuua väike näide.

Oletame väikelinna teenuste turul on kaks suurt Interneti-teenuse pakkujat. Ja üks neist tahab konkurendi pigistada. Nad tellivad häkkeritelt dos rünnaku võistleja serveris. Ja teine \u200b\u200bpakkuja oma võrgu ülekoormamise tõttu ei saa enam kasutada oma kasutajatele juurdepääsu Internetile. Selle tulemusena - klientide kadumine ja maine. Häkkerid saavad oma tasu lõpetamata pakkuja - uued kliendid.

Kuid "DDOSE" ja lihtsalt lõbusate või väljalaskeavade puhul ei ole juhtumeid.

Jaotatud DDOS rünnak

Olgem kohe nõus - me tegeleme arvuti rünnakutega. Seega, kui me räägime mitmetest seadmetest, millega rünnak toimub, siis on see ebaseadusliku tarkvara arvutid.

Siin on asjakohane teha ka kerge digressiooni. Sisuliselt, et lõpetada töö iga teenuse või teenuse, peate ülema maksimaalse koormuse. Lihtsaim näide on juurdepääs veebisaidile. Ühel või teisel viisil on see mõeldud teatud tippkohtumise jaoks. Kui teatud ajahetkel on sait kohapeal kümme korda rohkem inimesi, ei suuda server seda teavet töödelda ja lõpetab töö. Selle punkti ühendused viiakse läbi suure hulga arvutitega. See on väga sõlmed, mida eespool kirjeldatud.

Vaatame, kuidas see alloleval diagrammil näeb:

Nagu näete, sai Hacker suure hulga kohandatud arvuteid ja paigaldasid oma nuhkvara tarkvara. Tänu temale saab ta nüüd täita vajalikke meetmeid. Meie puhul, et teostada DDOS rünnakut.

Seega, kui te ei vasta ohutusreegleid arvutis töötamisel, saate läbida viirusinfektsiooni. Ja võib-olla kasutatakse teie arvutit pahatahtlike meetmete rakendamisel sõlmena.

Sa tuled mugavasse: Me kirjeldasime artiklis mõningaid julgeoleku aspekte.

Aga kuidas neid kasutatakse, sõltub sellest, millist võimalust ründaja on valitud

DDOS Ataki klassifikatsioon.

Ründajad võivad võtta järgmisi rünnakuid:

  1. Ülekoormuse ribalaius. Nii et võrku ühendatud arvutid võivad tavaliselt suhelda, kommunikatsioonikanal, mille kaudu nad on ühendatud, töötavad tavapäraselt ja pakuvad piisavalt parameetreid konkreetsete ülesannete jaoks (näiteks ribalaius). Seda tüüpi rünnak saadetakse ülekoormusevõrgu kommunikatsioonikanalitele. See saavutatakse pidevalt anumate või süsteemiteabe saatmisega (ping käsk)
  2. Ressursside piiramine. Seda tüüpi oleme juba eespool kaalunud, näiteks juurdepääsuga veebisaidile. Nagu me märkisime - serveril oli võimalus käsitleda piiratud arvu samaaegseid ühendusi. Ründaja peab serveriga saatma suure hulga üheaegseid ühendusi. Selle tulemusena ei hakka server koormusega toime tulla ja lõpetab töö.
  3. Rünnake DNS-serverit. Sellisel juhul on DDOS-i rünnak kavandatud veebisaidi kättesaadavuse lõpetamiseks. Teine võimalus on suunata kasutajalt paremale saidile võltsitud. Seda saab teha isikuandmete röövimise eesmärgiga. See saavutatakse DNS-serveri rünnakuga ja asendades IP-aadressid võltsitud. Analüüsime seda eeskujul. Teatud pank kasutab oma veebisaiti interneti arvutamiseks. Kasutaja peab sellele minema ja sisestama plastkaardi andmed. Ründaja selle teabe röövimise eesmärgil loob sarnast saiti ja hoiab rünnakut server DNS (nimi server). Selle sündmuse eesmärk on kasutada kasutajat ründaja saidile, kui ta püüab panga veebisaidile minna. Kui see õnnestub, ei kahtle kasutaja ohtu, tutvustab oma isikuandmeid ründaja kohapeal ja ta saab neile juurdepääsu.
  4. Fail tarkvara. Seda tüüpi rünnak on kõige raskem. Ründajad näitavad tarkvara puudusi ja kasutage neid süsteemi hävitamiseks. Sellise DDOS-i rünnaku tellimiseks on vaja palju raha kulutada.

Kuidas veeta DDOS rünnak oma kätega

Näiteks otsustasime teile näidata, kuidas rakendada DDOS-i rünnakut spetsiaalse tarkvara abil.

Esiteks laadige programm sellel aadressil alla. Pärast seda käivitage see. Te peate nägema käivitamise aken:

Te peate hoidma minimaalseid seadeid:

  1. Veerus "URL" kirjutame teie saidi aadressi, mida me tahame rünnata
  2. Seejärel klõpsake nupul "Lock sisse" - me näeme sihtressurssi
  3. Paneme TCP meetodi
  4. Valige lõimede arv (niidid)
  5. Liuguri kasutamise kiiruse paljastamine
  6. Kui kõik seaded on valmis, klõpsake nuppu "Imma Chargin Mah Lazer"

Kõik - rünnak algas. Ma kordan veel kord, kõik tegevused esitatakse informatiivsetel eesmärkidel.

Kuidas kaitsta DDOS rünnakute eest

Tõenäoliselt mõistsite, et selline ohud on väga ohtlikud. Ja seetõttu on väga oluline teada võitluse meetodeid ja põhimõtteid ning vältida hajutatud rünnakuid.

  1. Filtreerimissüsteemide seadistamine - süsteemi administraatorite ülesanne ja hosting pakkujad
  2. DDOS-i rünnakute kaitsesüsteemide omandamine (tarkvara ja riistvara kompleksid)
  3. Tulemüüri ja juurdepääsukontrolli nimekirjade kasutamine (ACL) - see meede on suunatud kahtlase liikluse filtreerimisele.
  4. Suurendada olemasolevaid ressursse ja broneerimissüsteemide paigaldamine
  5. Vastuse tehnilised ja õiguslikud meetmed. Kuni kurjategija atraktsiooni kriminaalvastutuse suhtes

Video artiklile:

Järeldus

Nüüd sa ilmselt aru kogu oht DDOS rünnakud. Nende ressursside turvalisuse tagamiseks on vaja väga vastutustundlikult läheneda ilma aja, jõudude ja rahadeta. Veelgi parem on eraldi spetsialist või kogu infoturbe osakond.

Alalised lugejad küsisid väga sageli küsimust, kui saate teksti muuta, kui failil on PDF-vorming. Vastus võib leida materjali -

Andmete kaitsmiseks saate kasutada terveid meetmeid. Üks neist valikutest on

Kui teil on vaja oma online-video redigeerida, oleme koostanud ülevaate populaarsest.

Miks otsida teavet teiste saitide kohta, kui kõik meilt kogutakse?

Võitlus DDOS-i rünnakutega - töö ei ole mitte ainult raske, vaid ka põnev. Ei ole üllatav, et iga Sysaldmin esimene püüab korraldada kaitset iseseisvalt - eriti kuna see on veel võimalik.

Me otsustasime teid selle raske aidata ja avaldada mõned lühikesed, triviaalsed ja universaalsed nõuandeid rünnakute kaitse kohta. Vähendatud retseptid ei aita teil tulla toime mis tahes rünnakuga, vaid enamiku ohtudest, mida nad salvestatakse.

Õige koostisosad

Karm tõde on see, et paljud saidid võivad panna igaüks, kes soovib kasutada Slowlori rünnakut, tapmist Apache'i tihedalt tapmist või nn SYN-i üleujutuse asumist, kasutades virtuaalserverite talu Amazonase EC2 pilve minutis. Kõik meie tulevased DDOS-i kaitse näpunäited põhinevad järgmistel olulistel tingimustel.

1. Prügi Windows Server

Praktika näitab, et akendel töötav sait (2003 või 2008 ei ole ükski) DDose puhul hukule määratud. Pole ebaõnnestumise põhjus Windows Network Stack: Kui ühendused muutuvad palju, hakkab server kindlasti halvasti reageerima. Me ei tea, miks Windows Server töötab sellistes olukordades nii tuntud, kuid nad on kohanud selle üle üks kord ja mitte kaks. Sel põhjusel läheb see artikkel vahendeid DDOS-i rünnakute kaitse vahendiks juhul, kui server on Linuxile ketramine. Kui olete õnnelik omanik koos kaasaegse tuumaga (alates 2.6-st), siis kasutatakse esmase tööriistakottidena Iptables ja iPSETi kommunaalteenuseid (IP-aadresside kiireks lisamiseks), millega saate kiiresti keelustada. Teine edu võti on korralikult keedetud võrgupakk, mida me ka edasi räägime.

2. Osa Apache

Teine oluline tingimus on Apache keeldumine. Kui te ei ole isegi tund, on see väärt apache, siis vähemalt panna vahemällu puhverserver selle ees - Nginx või LightpD. Apache "See on äärmiselt raske anda faile ja veelgi hullem, see on põhitasemel (see tähendab, et ohtlikult haavatav ohtliku aeglase rünnaku jaoks, mis võimaldab teil serverit peaaegu mobiiltelefoni lõpetada. Erinevate vastu võitlemiseks Tüübid Slowlori, Apache kasutajad tulid plaaster esimese anti-slowloris.Diff, siis mod_noloris, siis mod_ntiloris, mod_limitipconn, mod_reqtimeout ... aga kui sa tahad öösel hästi magada, on HTTP-serveril lihtsam võtta Slowloris koodi arhitektuuri tasandil. Seetõttu põhinevad kõik meie edasised retseptid eeldusel, et NGGXi kasutatakse ees.

Võitlus DDOS-iga.

Mis siis, kui DDOS tuli? Traditsiooniline enesekaitse tehnikat on lugeda HTTP-serveri logifaili, kirjutada mustri GREP-le (botide tegemine botid) ja keelata kõik, kes kuuluvad selle alla. See tehnika töötab ... kui sa oled õnnelik. Batnets on kahte tüüpi, mõlemad on ohtlikud, kuid erinevalt. Üks täielikult tuleb kohapeal koheselt, teine \u200b\u200bon järk-järgult. Esimene tapab kõik ja kohe, kuid palgid ilmuvad logides täielikult ja kui te keelate neil ja hämmastate kõiki IP-aadresse, siis olete võitja. Teine botnet paneb saidi õrnalt ja hoolikalt, kuid see peab seda keelama, võib-olla päeva jooksul. Oluline on mõista iga administraatorit: kui plaanis võidelda Grepiga, siis peate olema valmis pühendama paar päeva rünnaku vastu võitlemist. Allpool on nõuanne, kus saab panna õlad ette, et see ei oleks nii valus langeda.

3. Kasutage testicooki moodulit

Võib-olla selle artikli kõige olulisem, tõhusam ja operatiivse retsept. Kui DDOS tuleb teie saidile, võib @kyprizel coexleri välja töötatud testcookie-nginx moodul muutuda kõige tõhusamaks. Idee on lihtne. Kõige sagedamini on HTTP-i üleujutuste rakendatavad botid üsna loll ja neil ei ole HTTP küpsiseid ja suunata mehhanisme. Mõnikord saab rohkem arenenud - sellist saab kasutada küpsiseid ja protsessi ümbersuunamisi, kuid peaaegu kunagi dos-bot kannab täieõiguslikku JavaScripti mootorit (kuigi see on üha sagedamini ja sagedamini). TESTCOOKIE-NGGX toimib kiire filtrina Bots ja Backend ajal L7 DDoS rünnaku ajal, mis võimaldab teil prügi päringuid katkestada. Mis neist kontrollides sisaldub? Kas klient suudab HTTP-i suunata, kas JavaScript toetab seda, kas ta on brauser, mille jaoks see annab välja (kuna JavaScript on kõikjal erinev ja kui klient ütleb, et ta, ütleme Firefoxi, siis saame seda kontrollida). Kontroll rakendatakse küpsistega, kasutades erinevaid meetodeid:

  • "Set-Cookie" + ümbersuunamine 301 HTTP asukohaga;
  • "Set-Cookie" + ümbersuunamine HTML-meta-värskendamisega;
  • suvaline mall ja saate kasutada JavaScripti.

Automaatse parsimise vältimiseks võib küpsiste katsetamine krüpteerida AES-128 abil ja hiljem dekrüpteeritakse JavaScripti kliendi poolel. Mooduli uues versioonis oli võimalik kokad flashi kaudu installida, mis võimaldab teil tõhusalt lõigata robotid (mis tavaliselt ei toetata), kuid aga blokeerib ka juurdepääsu paljude seaduslike kasutajate jaoks (tegelikult kõik mobiilseadmed ). Tähelepanuväärne on see, et alustada testcookie-nginxi kasutamist äärmiselt lihtsat. Eriti arendaja juhib mitmeid arusaadavaid kasutusnäiteid (erinevate rünnakute puhul) NGGX-i konfiguratsioonide proovidega.

Lisaks eelistele on testcookies puudused puudused:

  • lõikab kõik robotid, sealhulgas Googlebot. Kui kavatsete jätta testcookie pidevalt, veenduge, et te ei kao otsingutulemustest;
  • loob probleeme brauserite linkide kasutajatega, W3M ja nendega;
  • ei päästa Bots, mis on varustatud täieõigusliku brauseri mootoriga JavaScriptiga.

Lühidalt öeldes ei ole testcookie_module universaalne. Aga mitmetest asjadest, nagu näiteks primitiivne tööriistad Java ja C #, see aitab. Nii et sa lõigata osa ohtu.

4. Kood 444.

DDos'esi eesmärk muutub sageli saidi kõige ressursside intensiivsemaks osaks. Tüüpiline näide on otsing, mis teostab andmebaasi keerulisi päringuid. Loomulikult saavad ründajad seda ära kasutada, võttes otsingumootorile mitu kümne tuhandeid taotlusi. Mida me saame teha? Ajutiselt keelata otsing. Olgu kliendid ei saa otsida vajalikku teavet sisseehitatud vahenditega, kuid kogu peamine sait jääb töötingimustesse, kuni leiate kõigi probleemide juur. NGGX toetab mittestandardset koodi 444, mis võimaldab teil lihtsalt ühenduse sulgeda ja mitte midagi vastu võtta:

Asukoht / otsing (tagasi 444;)

Seega on võimalik näiteks URL-i filtreerimise kiiresti rakendada. Kui teil on kindel, et taotlused asukoha / otsingu taotlused tulevad ainult botidest (näiteks teie usaldus põhineb asjaolul, et teie saidil ei ole partitsiooni / otsimist), saate installida ipset paketi ja keelustada botid lihtsa kestaga Script:

Ipset -n Ban iphh saba -f access.log | Lugemisliini ajal; Kas ECHO "$ rida" | CUT -D "" "" "" "" "CUT -D" "" "-F2 | Grep -q 444 && ipset -a keeld" $ (l %% *) "

Kui logifaili vorming on mittestandardne (mitte kombineeritud) või on vaja keelustada muid märke kui vastuse staatus, võib osutuda vajalikuks vahetada lõigata regulaarselt väljendada.

5. Banya GEOD-ga

Mittestandardne vastuse kood 444 võib tulla ka klientide operatiivse keelu jaoks geo-omandamisel. Te ei saa vaevalt piirata üksikuid riike, kes on ebamugavad. Oletame, et vaevalt on Rostov-On-Don kaamerate poe poes Egiptuses on palju kasutajaid. See ei ole väga hea viis (lihtsalt öelda - vastik), kuna geoip andmed on ebatäpsed ja Rostovs lendavad mõnikord Egiptusesse puhata. Aga kui teil pole midagi kaotada, siis järgige juhiseid:

  1. Ühendage NGGX GEOIP-mooduliga (Wiki.nginx.org/htpGeoipmodule).
  2. Kuva geoter info juurdepääsu logi.
  3. Lisaks sellele, modifitseerides ülaltoodud shelli skripti, progrept-accesslog nginx ja lisage Sfateleeritud geograafilised tunnused kliendid keeldu.

Kui näiteks botid enamasti olid Hiinast, see aitab.

6. Närvivõrk (POC)

Lõpuks saate korrata @saVeetherbtz mängu kogemusi, mis võttis närvivõrgu püsti, täidis selle sisse ja analüüsis taotlusi (Habrahabr.ru/post/136237). Meetodi töötamine, kuigi mitte universaalne :). Aga kui sa tõesti teate saidi siseküljed - ja teie, kui süsteemiadministraator peaks, - siis on teil võimalus, et kõige traagilises olukorras sellises neuraalsete võrgustike põhjal asuv tööriistakomplekt, õppimine ja eelnevalt kogutud tööriistad aitavad teid aidata . Sellisel juhul on äärmiselt kasulik kasutada access.Log enne DDOS-i algust "A, kuna see kirjeldab peaaegu 100% seaduslikest klientidest ja seetõttu on suur andmekogum närvivõrgu koolitamiseks. Veelgi enam, silmi baaris ei ole alati nähtavad.

Probleemi diagnostika

Sait ei tööta - miks? Tema ddosaim või kas see on programmeerija poolt märganud Jag Bug? Ära pane tähele. Ärge otsige vastust sellele küsimusele. Kui te arvate, et teie sait võib rünnata, kontaktandmed, kes pakuvad kaitset rünnakute eest - mitmeid anti-DDOS-teenuseid esimesel päeval pärast ühenduse vaba - ja ei raiska rohkem aega sümptomite otsimisel. Keskenduda probleemile. Kui sait töötab aeglaselt või ei avata üldse, tähendab see, et tal ei ole midagi toimivust ja - olenemata sellest, kas DDose rünnak läheb või mitte, - teie professionaalina on kohustatud mõistma, mis põhjustas See. Oleme korduvalt näinud, kuidas ettevõte, kellel on raskusi teie saidi tööga, kuna DDOS rünnak, selle asemel, et leida nõrgad punktid saidi mootoris, püüdis saata siseministeeriumi avaldused ründajate leidmiseks ja karistamiseks. Ärge lubage selliseid vigu. Küberkurjategijate otsing on keeruline ja pikaajaline protsess, mis on keeruline Interneti struktuur ja põhimõtted ning saidi töö probleem tuleb lahendada kiiresti. Tehke tehnilised spetsialistid leidma, milline on saidi jõudluse languse põhjus ja rakendus on võimalik kirjutada juristid.

7. Kasutage Profilerit ja Debuggerit

Kõige tavalisema veebisaidi loomise platvormi jaoks - PHP + MySQL - kitsaskohta saab allkirjastada järgmiste tööriistade abil:

  • xdebug Profiler näitab, et taotlus kulutab kõige rohkem aega;
  • sisseehitatud siluri APD ja debug väljund vea logi aitab teada, milline kood täidab neid väljakutseid;
  • enamikul juhtudel on koer maetud andmebaasi taotluste keerukusele ja kaalule. Siin aitab selgitada mootori sisseehitatud SQL andmebaasi.

Kui sait on valetanud juhuslikult ja te ei kaota midagi, lülitage võrk välja, vaadake palke, proovige neid kaotada. Kui ei ole valed, mine läbi leheküljed, vaata baasi.

PHP jaoks on ette nähtud näide, kuid idee kehtib mis tahes platvormi jaoks. Arendaja kirjutamise tarkvara tooted mis tahes programmeerimiskeeles peaks suutma kiiresti rakendada Chuggerit ja Profilerit. Praktika eelnevalt!

8. Analüüsige vigu

Analüüsige liiklusmahtu, serveri reaktsiooniaega, vigade arvu. Selleks vaadake logisid. Nginxis on serveri reaktsiooniaeg fikseeritud kahe muutujaga logis: päringu_time ja upstream_response_time. Esimene on päringu täitmise täielik aeg, kaasa arvatud võrgu viivitused kasutaja ja serveri vahel; Teine aruanne, kui palju taustate (Apache, PHP_FPM, UWSGI ...) teenis taotlusena. Upstream_response_time väärtus on äärmiselt oluline suurte dünaamiliste sisu ja aktiivne side andmebaasiga, neid ei saa tähelepanuta jätta. Võite kasutada sellist konfigureerimist logi formaadis:

Log_format XAKEP_LOG "$ Remote_addr - $ Remote_user [$ time_local]" "$ Päringu" $ staatus $ body_bytes_sent "$ http_referer" $ http_user_agent "$ request_time € upstream_response_time";

See on kombineeritud formaadis lisatud ajastusväljadega.

9. Jälgige taotluste arvu sekundis

Vaadake ka taotluste arvu sekundis. Nginx puhul saate ligikaudu hinnata järgmise Shelli käsu väärtust (Access_log muutuja sisaldab kombineeritud formaadis olevat tee NGGX-i päringu logi teed):

ECHO $ \u200b\u200b(($ (FGREP -C "$ (env LC_ALL \u003d C kuupäev [E-posti kaitstud]$ (($ ($ (Kuupäev +% s) -60)) +% D /% B /% Y:% H:% m) "$ \u200b\u200bAccess_log") / 60))

Võrreldes tavapärase võrra selle aja jooksul võib taotluste arv sekundis langeda ja kasvada. Nad kasvavad juhul, kui suur botnet tuli ja langeb, kui võitja Botnet on saidi pakitud, muutes selle õigustatud kasutajatele täiesti kättesaamatuks ja samal ajal ei nõua ta staatika ja õigustatud kasutajate taotletakse. Päringu langust täheldatakse just staatika tõttu. Aga ühel või teisel viisil räägime näitajate tõsistest muutustest. Kui see juhtub äkki - kui te üritate probleemi lahendada ja kui te seda kohe logis ei näe, on parem mootori kiiresti kontrollida ja parandada paralleelselt spetsialistega.

10. Ära unusta tcpdump

Paljud inimesed unustavad, et tcpdump on fantastiline diagnostiline tööriist. Ma annan paar näidet. 2011. aasta detsembris avastati Linuxi tuuma viga, kui see avanes TCP-ühendus, kui kuvati Syn ja RST TCP segmendi lipud. Esimene Bageptor saatis süsteemi administraatori Venemaalt, kelle ressursi ründas selle meetodiga, - ründajad õppisid haavatavustest varem kui kogu maailmas. On ilmselge, et selline diagnoos aitas. Teine näide: Nginx on üks ei ole väga kena vara - ta kirjutab logi alles pärast täielikku taotlust on täielikult arusaadav. On olukordi, kui sait asub, midagi töötab ja pole midagi palkides. Kõik, sest kõik taotlused, mis server praegu alla laaditakse, ei ole veel täidetud. TcPDump aitab siin.

See on nii hea, et ma nõustun, et inimesed ei kasuta binaarprotokolle, enne kui nad vallutavad, et kõik on korras, - kuna tekstprotokollid võlg on lihtne ja binaarne - ei. Snafer on hea kui vahend Diagnoos - kui tootmise säilitamise vahendina "ja ta on kohutav. See võib kergesti kaotada mitu paketti korraga ja rikkuda teid kasutaja ajaloo. On mugav vaadata oma järeldust ja see on mugav käsitsi diagnostikaks ja keelduks, kuid proovige mitte midagi kriitilist kriitilist alustada. Teine lemmik vahend "kinnitamise taotluste" - ngrant - üldiselt vaikimisi ta püüab taotleda valdkonnas kahe gigabaiti restomatu mälu ja alles siis hakkab vähendada selle nõudeid.

11. Rünnak või mitte?

Kuidas eristada DDOS-i rünnakut, näiteks reklaamikampaania mõjust? See küsimus võib tunduda naljakas, kuid see teema ei ole vähem keeruline. On üsna uudishimulikke juhtumeid. Mõnes heades poisid, kui nad pingutasid ja põhjalikult kruvitud vahemällu salvestamise, saidi kestab paar päeva. Selgus, et mõne kuu jooksul on see sait märkamata mõnede sakslaste andmetega ja enne saidi vahemälu optimeerimist laaditi need sakslased kõik pildid üsna pikka aega. Kui leht hakkas Keshast välja andma, hakkas Bot, millel ei olnud aega ärkvel, samuti hakkas neid koheselt koguma. See oli raske. Juhtum on eriti raske selle põhjusel, et kui te ise muutsite seadet (välja lülitatud vahemällu) ja sait pärast selle lõpetamist, siis kes teie arvates on süüdi? Täpselt. Kui te vaatate nõudmiste arvu järsku suurenemist, siis vaadake näiteks Google Analyticsis, kes tuli lehele.

Veebiserveri häälestamine

Mida teised on peamised punktid? Muidugi saate panna "Default" Nginx ja loodan, et teil on hea. Siiski ei juhtu alati hästi. Seetõttu peab iga serveri administraator pühendama palju aega NGGX-i peeneks häälestamiseks ja häälestamiseks.

12. Piirake ressursse (puhvri suurused) Nginxis

Mida peate kõigepealt meeles pidama? Igal ressursil on piir. Esiteks puudutab see RAM-i. Seetõttu peavad päiste suurused ja kõik kasutatud puhvrid olema piiratud kliendi ja serveri piisavate väärtustega. Need peavad olema ette nähtud Nginxi konfiguratsioonis.

  • client_header_buffer_size__ Määrab puhvri suuruse, et lugeda kliendi soovi päise. Kui päringujoon või päringu päise väli ei ole sellesse puhvris täielikult paigutatud, eraldatakse suuremad puhvrid suur_client_header_bufferite direktiiviga määratud puhvrid.
  • suured_client_header_buffers. Määrab maksimaalse numbri ja puhvri suuruse, et lugeda suure kliendi soovi päise lugemiseks.
  • client_body_buffer_size Määrab puhvri suuruse kliendi taotluse keha lugemiseks. Kui päringu korpus on suurem kui soovitud puhver, siis kogu päringu keha või ainult osa on kirjutatud ajutisele failile.
  • client_max_body_size Määrab kliendi taotluse maksimaalne lubatud keha suurus, mis on määratud päringu päise "sisu pikkuse" valdkonnas. Kui suurus on rohkem määratud, siis klient tagastab 413 vea (päringu üksus liiga suur).

13. Kohanda timeouts Nginxis

Ressurss on aeg. Seetõttu peaks järgmine oluline samm olema paigaldada kõik timeoutsi, mis jällegi on väga oluline, et Gentiliselt registreeruda NGGX seadetes.

  • reset_timedout_connection sisse; Aitab vastu võitlevad pistikupesad, mis rippuvad fin-ooteoosi faasis.
  • client_header_timeout. Määrab kliendi päringu päise lugemisel aega.
  • client_body_timeout. Määrab kliendi taotluse keha lugemisel aegumist.
  • keerake_timet. Määrab timeout, mille jooksul kliendile mitte-elusühendus ei suleta serveri poolelt. Paljud kardavad küsida suurt tähtsust siin, kuid me ei ole kindel, et see hirm on õigustatud. Valikuliselt saate määrata aeg-alive HTTP-päises aega, kuid Internet Explorer on kuulus selle väärtuse ignoreerimise eest.
  • send_timeout. Määrab kliendile vastuse edastamisel aegumist. Kui pärast seda aega ei aktsepteeri klient midagi, suletakse ühendus.

Kohe küsimuse: Millised puhvrite ja aegumise parameetrid on õiged? Siin puudub universaalne retsept, igas olukorras on nad oma. Aga seal on tõestatud lähenemine. Sa pead määrama minimaalsed väärtused, millega sait jääb töökorras (rahuajal), st lehekülgi antakse ja taotlusi töödeldakse. See määratakse ainult testimise teel - nii töölaudade kui ka mobiilseadmetest. Algoritm iga parameetri väärtuste leidmiseks (puhvri suurus või timeout):

  1. Mul on matemaatiliselt minimaalne parameetri väärtus.
  2. Käivitage saidi test.
  3. Kui kogu saidi funktsionaalsus töötab ilma probleemideta - parameeter on määratletud. Kui ei, siis suurendame parameetri väärtust ja minge klauslile 2.
  4. Kui parameetri väärtus ületab isegi vaikimisi väärtust, on arendaja meeskonna arutelu põhjus.

Mõnel juhul peaks nende parameetrite audit kaasa tooma reformatsiooni / kasutajate ümberkujundamiseni. Näiteks, kui sait ei tööta ilma kolme minuti pikkuse pikaajaliste valimistaotlusteta, ei pea te mitte tõstma aega, vaid pikki valimisliini, et asendada midagi muud - botnetid 20 tuhandes autos, mis ripuvad taotlusi kolm minutit, lihtne Tappa keskmine odav server.

14. Piirata ühendid NGGX-is (lim_conn ja lim_req)

Nginxil on ka võime piirata ühendusi, taotlusi ja nii edasi. Kui te ei ole kindel, kuidas teatud osa teie saidil käitub ideaalis, peate seda testima, mõistma, kui palju taotlusi talub ja registreerib selle Nginxi konfiguratsioonis. See on üks asi, kui sait asub ja te saate tulla ja tõsta. Ja teine \u200b\u200basi on - kui ta läheb sellisel määral, et server läks vahetada. Sel juhul on sageli lihtsam taaskäivitada kui oodata oma triumfeeriva taastumise ootamist.

Oletame, et saidil on kõnede nimede / allalaadimise ja / otsingu osad. Samal ajal:

  • me ei taha, et robotid (või inimesed, kellel on ülekoormatud rekursiivsed allalaadimishaldurid), et tuua meile TCP-ühenduste tabelit nende allalaadimistega;
  • me ei taha botid (või otsingumootorite kraanad) ammendasid DBMS-i arvutivaladusi mitme otsingupäringu abil.

Nendel eesmärkidel kasutatakse järgmise tüübi konfiguratsiooni:

Http (lim_conn_zone $ binaarne_remote_addr zone \u003d download_c: 10m; lim_req_zone $ binaarne_remote_addr zin \u003d otsing_r: 10m desin \u003d 1R / s; server (asukoht / allalaadimine / (lim_conn allalaadimine_c 1; # muu konfiguratsiooni asukoht) asukoht / otsing / (lim_req-tsoon) Otsi_r Burst \u003d 5; Muu asukoha konfiguratsioon))

Tavaliselt on see otsene tähendus, et luua piirangud piirangud lim_conn ja limit_req kohtade kohta, kus on kallid skriptid (näiteks otsing on määratud, ja see ei ole kasumlik). Piirangud tuleb valida, lähtudes koormuse ja regressioonitesti tulemustest ning tervet mõistust.

Pöörake tähelepanu 10 m parameetrile näites. See tähendab, et selle piirmäära arvutamine tõstetakse esile sõnastikku 10-megabaiti ja megabaidi puhvriga. Selles konfiguratsioonis võimaldab see jälgida 320 000 TCP seanssi. Mälu optimeerimiseks hõivatud sõnastikku võti, $ binaarne_remote_addr muutuja, mis sisaldab kasutaja IP-aadressi binaarses vormis ja võtab vähem mälu kui tavaline stringi muutuja $ Remote_addr. Tuleb märkida, et teine \u200b\u200bparameeter piir lim_req_zone direktiivi ei pruugi olla mitte ainult IP, vaid ka muu muutuja NGGX saadaval selles kontekstis on näiteks juhul, kui te ei soovi pakkuda rohkem säästvam režiim, saate Kasutage $ binaarse_remote_addr $ http_user_agent või $ binaarse_remote_addr $ http_cookie_myc00kiez - kuid see on vaja kasutada selliseid disainilahendusi ettevaatlikult, kuna erinevalt 32-bitist $ binaarne_remote_addr, need muutujad võivad olla oluliselt pikemad ja "10m" deklareeritud võib püsida.

DDOS-i suundumused.

  1. Kasvab pidevalt võrgu- ja transporditaseme rünnakute võimsust. Keskmise syn-fling rünnaku rünnaku potentsiaal on juba saavutanud 10 miljonit paketti sekundis.
  2. Eriline nõudlus Hiljuti naudi hiljuti DNS-i rünnakuid. UDP üleujutus Kehtiv DNS taotlused Spoof'led allikas IP aadressid on üks levinumaid rakendusi ja keeruline seoses võitlemise rünnakute. Paljud Venemaa ettevõtted (sh hosting) on \u200b\u200bviimastel probleemidel kogenud nende DNS-serverite rünnakute tõttu. Sellised rünnakud on kaugemal ja nende võim kasvab.
  3. Otsustades väliste omaduste, enamik botnetid ei õnnestunud tsentraalselt, kuid läbi peer-to-peer võrgustik. See annab ründajatele võimaluse sünkroonida botneti toiminguid õigeaegselt - kui varasemad juhtimismeeskonnad levitavad 5 tuhande autot kümneid minutite Botnetini, nüüd on arve mõne sekundi jooksul ja teie sait võib ootamatult kogeda hetkelist fotot Taotluste arvu suurendamine.
  4. Botide osakaal, mis on varustatud täieõigusliku brauseri mootoriga JavaScriptiga, on endiselt väike, kuid kasvab pidevalt. Selline rünnak on sisseehitatud käsitöö sisseehitatud käsitöö välja tõrjuda, nii et iseseisvused peavad seda suundumust hirmuga jälgima.

oS-i ettevalmistamine.

Lisaks NGGX trahvi seadistusele peate hoolitsema süsteemi võrgupakendi seadete eest. Vähemalt - kohe sisse lülitada net.ipv4.tcp_syncookies Systl, et kaitsta ennast sünfaaside rünnaku väikese suurusega.

15. Tyi õue

Pöörake tähelepanu võrguosa (kerneli) täiustatud seadetele uuesti aja-välja ja mäluga. On tähtsam ja vähem oluline. Esiteks peate pöörama tähelepanu:

  • net.IPV4.tcp_fin_timeout. Aeg, mil pesa veetakse fin-wait-2 TCP faasis (ootab FIN / ACK segment).
  • net.IPV4.tcp _ (, r, w) mem TCP pistikupesad puhvri suurus. Kolm väärtust: minimaalne, vaikeväärtus ja maksimaalne.
  • net.core. (R, W) MEM_MAX Sama mitte TCP puhvritele.

100 Mbit / s kanaliga sobivad vaikimisi väärtused kuidagi; Aga kui teil on vähemalt Gigabit Candide'is, siis on parem kasutada midagi sellist:

Systl -W net.core.rmem_max \u003d 8388608 SYSTL -W net.core.wmem_max \u003d 8388608 SYSTL -W net.IPV4.tcp_rmem \u003d "4096 87380 8388608" SYSTL -W NET.IPV4.TCP_WMEM \u003d "4096 65536 8388608" SYSTL - w net.ipv4.tcp_fin_tuuri \u003d 10

16. Revision / Proc / Sys / Net / **

Ideaalne kõigi parameetrite / Proc / Sys / Net / ** õppimiseks. On vaja näha, kuidas erinevad nad vaikimisi erinevad ja mõistavad, kuidas piisavalt eksponeeritud. Linuxi arendaja (või süsteemi administraator), mis lahti internetiteenuse objektiks on ja soovib seda optimeerida, peaks lugema kõigi tuumaenergiapakenduste parameetrite dokumentatsiooni huviga. Võib-olla leiab see oma saidi jaoks spetsiifilisi muutujaid, mis aitavad mitte ainult saiti kaitsta sissetungijate eest, vaid kiirendada oma tööd.

Ära karda!

Edukad DDOS-rünnakud päeval pärast päeva, e-kaubanduse kustutada meedia, meedia raputab, suurimad maksesüsteemide saadetakse Knockout. Miljonid Interneti kasutajad kaotavad juurdepääsu kriitilisele teabele. Oht on kiireloomuline, nii et sa pead selle täitmiseks täitma. Tehke oma kodutööd, ärge kartke ja hoidke oma pea külma. Sa ei ole esimene ja mitte viimane, kes tekib DDOS-i rünnaku oma veebilehel ja teie võimu, mida juhinduvad nende teadmised ja terve mõistus, vähendada rünnaku tagajärgi miinimumini.

DDOS rünnak. Selgitus ja näide.

Tere kõigile. See on blogi arvuti76 ja nüüd Järgmine artikkel häkkerikunsti sihtasutuste kohta. Täna räägime sellest, mida DDose rünnak on lihtsad sõnad ja näited. Enne eritingimustega kiirustamist on sissejuhatus, mis on kõigile arusaadav.

Miks on DDOS-i rünnak?

WiFi häkkimist kasutatakse Wirewire'i parooli valimiseks. Vormi rünnakud võimaldavad interneti liiklust kuulata. Analüüs haavatavuste hilisema laadimise konkreetse võimaldab lüüa sihtarvuti. Mida DDOS rünnak teeb? Selle eesmärk on lõppkokkuvõttes - õiguspärase omaniku ressursside omamise õiguste valik. Ma ei tähenda, et sait või blogi te ei kuulu. See on selles mõttes, et teie saidi eduka rünnaku korral te kaotada võimalus neid kontrollida. Vähemalt mõnda aega.

Kaasaegses tõlgenduses kasutatakse DDOS-i rünnakut kõige sagedamini mis tahes teenuse normaalse toimimise rikkumiseks. Häkkerirühmad, mille nimed on pidevalt kuulnud, teevad rünnakuid suurema valitsuse või avalike saitide vastu, et juhtida tähelepanu ühele või mõnele muule probleemile. Kuid peaaegu alati selliste rünnakute jaoks on puhtalt kaubanduslik huvi: konkurentide töö või lihtne jantide töö täiesti ebakindlalt kaitsmata saitidega. Peamine kontseptsioon DDOS on see, et suur hulk kasutajaid joonistatakse kohapeal korraga või üsna päringuid osa arvutite - botid, mis muudab koormuse server õhku. Me kuulame sageli väljendit "sait ei ole kättesaadav", kuid vähesed, kes arvavad, et see on tegelikult selle sõnastuse jaoks. Noh, nüüd sa tead.

DDOS rünnaku - Valikud

Valik 1.

mängijad rahvahulga sissepääsu juures

Kujutage ette, et mängid multiplayer online-mängu. Tuhanded mängijad mängivad teiega. Ja enamik neist olete tuttav. Te arute üksikasju ja veeta järgmised tegevused. Te kõik lähete samal ajal saidile ja looge sama omaduste komplekt. Nad grupeerivad ühes kohas, blokeerides nende arvuga samaaegselt loodud tähemärki juurdepääsu objektidele mängu ülejäänud konspeerimise kasutajatele, kes ei kahtlustata teie kokkumängu.

2. võimalus.


Kujutage ette, et keegi otsustas linna bussiteenuse murda konkreetsel marsruudil, et vältida kohusetundlikke reisijaid ühistransporditeenuste kasutamist. Tuhanded oma sõpru on samal ajal peatuma määratud marsruudi alguses ja sõitke sihitult kõigis masinates lõpliku lõpliku finaali, kuni raha on otsa saanud. Reisi makstakse, kuid keegi ei tule ühe peatuse poole, välja arvatud sihtkoha sihtkoht. Ja teised reisijad, kes seisavad vahepealsete peatustega, vaatate kahjuks, et kõrvaldada mikrobussid pärast seda, kui ta ei tulnud bussidesse. Kõik: Kõik taksoomanikud ja potentsiaalsed reisijad.

Tegelikkuses ei ole need võimalused eluks füüsiliselt muundatud. Kuid teie sõprade virtuaalses maailmas võivad nad asendada ebaausate kasutajate arvuteid, kes ei viitse vähemalt oma arvuti või sülearvuti kaitsmiseks. Ja selline valdav enamus. Programmid DDose rünnaku jaoks. Kas tasub meelde tuletada, et sellised meetmed on ebaseaduslikud. Ja naeruväärne ettevalmistatud DDOS rünnak, see ei ole oluline, mida edu kulutatud, avastab ja karistatav.

Kuidas DDose rünnak on?

Klõpsake saidi lingil, teie brauser saadab soovitud lehekülje kuvamiseks serverile taotluse. See taotlus väljendatakse andmepaketina. Ja isegi mitte üks, vaid kogu paketi pakett! Igal juhul on ülekantud andmete maht kanalil alati piiratud teatud laiusega. Ja serveri poolt tagastatud andmete maht on rohkem kui teie taotlusel sisalduvad rohkem kui need. Serveris kulub tugevus ja vahendid. Tugevam server, seda kallimad see maksab omanikule ja neile pakutavatele kallimatele teenustele. Kaasaegsed serverid toime tulla järsult suurenenud külastajate sissevooluga. Aga mis tahes serverite puhul on endiselt kriitiline hulk kasutajaid, kes soovivad saidi sisu tutvuda. Selgem olukord serveriga, mis pakub teenuseid hosting saitidele. Veidi ja saidi ohver on teenust lahti ühendatud, et mitte ülekoormuse protsessorid, mis pakuvad tuhandeid muid saite samas hosting. Saidi töö peatub kuni DDose rünnaku peatub. Noh, kujutage ette, et alustate ükskõik millise lehekülje lehekülje taaskäivitamist tuhat korda sekundis (DOS). Ja tuhanded oma sõbrad teevad meie arvutites sama asja (destributed DOS või DDOS) ... Suured serverid on õppinud tunnistama, et DDose rünnak algas ja selle vastu võitleb. Kuid häkkerid parandavad ka nende lähenemisviise. Nii et käesoleva artikli raames, mida DDOS rünnak on rohkem avalikustatud, ei saa ma seletada.

Mis on DDOS rünnak saab õppida ja proovida kohe.

Tähelepanu. Kui otsustate proovida, kaotatakse kõik salvestamata andmed, nupp vajab nupule tööoleku juurde naasmiseks nuppu. Lähtestage.. Aga saate teada, mida täpselt "tunneb" serverit, mis ründas. Avatud näide allpool toodud lõike ja nüüd - lihtsad käsud ülevoolu süsteemi.

  • Terminali Linuxi jaoks tippige käsk:
:(){ :|:& };:

Süsteem keeldub töötamast.

  • Windowsi jaoks teen ettepaneku luua koodi sülearvutis Bat-fail:
: 1 Start GOTO 1

Nimetage tüüp ddos.bat.

Selgitage mõlema võistkonna tähendust, ma arvan, et see ei ole seda väärt. Seda saab näha relvastamata välimusega. Mõlemad meeskonnad muudavad süsteemi käivitamise skripti ja korrake seda kohe, viidates skripti algusesse. Arvestades täitmise kiirust, langeb süsteem paar sekundit stupor. Mäng., nagu nad ütlevad, üle.

DDose rünnak programmide abil.

Visualte näidete jaoks kasutage madala orbiidi ioonide kahur programmi (ioonpüstol madala orbiidiga). Või Loic. Kõige allalaaditav jaotus asub aadressil (me töötame Windowsis):

https://sourceforge.net/projects/loic/

Tähelepanu! Teie viirusetõrje peab vastama failile nii pahatahtlikuna. See on normaalne: sa juba tead, mida nad kiikuvad. Allkirja andmebaasis märgitakse see vestluse generaatorina - tõlgitud vene keelde on lõpmatu eesmärk lõpmatu kaebuste konkreetse võrgu aadressi. Mina isiklikult ei märganud viiruseid ega Trojanovi. Aga teil on õigus kahtlust ja allalaadimist edasi lükata.

Kuna unleclect kasutajad visata ressurss pahatahtliku faili, lähtefoorumid tugevdab teid järgmisele lehele otsese link faili:

Selle tulemusena õnnestus mul utiliit alla laadida ainult läbi.

Programmi aken näeb välja selline:

Lõige 1 Valige sihtmärk, mis võimaldab ründaja keskenduda konkreetsele eesmärgile (IP-aadress või veebisait URL), lõige 3 Rünnaku võimalusi. võimaldab teil valida rünnatud sadama, protokolli ( Meetod.) Kolmest TCP-st, UDP ja HTTP-st. TCP / UDP sõnumi väljale saate süvendada sõnumi. Pärast rünnaku algust algab nupu vajutamisel. Imma chargin mAh lazer (See on fraas serva äärest populaarsest üks kord koomilinemem; Ameerika matt programmis, muide, üsna vähe). Kõik.

Hoiatus

See võimalus on hoida ainult kohaliku hosti jaoks. Sellepärast:

  • see on ebaseaduslik teiste inimeste saitide vastu ja selle puhul on läänes juba istub (ja seetõttu teevad nad varsti siin)
  • aadress, mille üleujutus tulevad, arvutatakse kiiresti, kaebab teenuseosutajale ja ta teeb teid hoiatuse ja meenutavad teile esimese elemendi kohta
  • madala ribalaiusega võrkudes (see tähendab kõigis kodumaal), ei tööta asi. Tor-võrguga on kõik sama.
  • kui konfigureerida selle korralikult, siis kiiresti skoor oma sidekanali, kahju keegi. Nii et see on täpselt võimalus, kui pirn lööb poksija, mitte vastupidine. Ja valikuvõimalus koos volikirja edastab samal põhimõttel: Üleujutus teie osa ei meeldi kellelegi.

Loe: 9 326

Sarnased artiklid