A "karbantartás elutasítása" vagy rövidített DDO-k elosztott támadásai közös jelenség lettek, és komoly fejfájás az internetes források tulajdonosai számára világszerte. Ezért a DDOS támadások védelme a helyszínen ma nem további lehetőség, hanem előfeltétele azok számára, akik meg akarják kerülni az állásidőt, hatalmas károkat és elrontott hírnevét.

Többet mondunk nekünk arról, hogy mi a betegség és hogyan kell megvédeni magát.

Mi a DDO.

A szolgáltatás megtagadása vagy a "karbantartás elosztott megtagadása" - az információs rendszer támadása, hogy nem tudja feldolgozni a felhasználói kérelmeket. Egyszerű szavakkal, a DDoS áll elnyomásában webes erőforrások vagy közlekedési szerver egy hatalmas számos forrásból, ami miatt nem érhető el. Gyakran egy ilyen támadást végzik, hogy megszakadjon a hálózati erőforrások munkájában egy nagy cég vagy állami szervezetben

A DDOS támadás hasonló a másik közös internetes fenyegetéshez - "Service Dose). Az egyetlen különbség az, hogy a szokásos elosztott támadás egy pontból származik, és a DDOS támadás nagyobb, és különböző forrásokból származik.

A fő cél a DDOS támadás, hogy egy weboldal elérhetetlenné látogatói blokkolja a munkáját. De vannak olyan esetek, amikor ilyen támadások készülnek annak érdekében, hogy figyelmen kívül hagyják a figyelmet más káros hatásoktól. A DDoS támadás lehet, például kell elvégezni, amikor a hacker a biztonsági rendszert annak érdekében, hogy vegye birtokba a szervezet tárol.

DDoS támadások jelent meg a nyilvánosság figyelmét 1999-ben, amikor egy sor támadások helyszínén nagyvállalatok (Yahoo, az eBay, Amazon, CNN) történtek. Azóta ez a fajta számítógépes bűnözés veszélyt jelentett globális szintre. A szakértők szerint az elmúlt években gyakoriságuk 2,5-szer nőtt, és a legnagyobb kapacitás meghaladta az 1 tbit / s-t. A DDOS-támadások áldozata legalább egyszer minden hatodik orosz cég lett. 2020-ig a teljes válaszuk 17 millióra fog elérni.

Hosting Játszótér kerek órák védelme a legkifinomultabb DDOS támadásoktól.

A DDOS támadások okai

1. Személyes ellenségeskedés. Gyakran behatolja a betolakodókat a vállalatok vagy az állami vállalatok támadására. Például 1999-ben az FBI weboldalainak támadását eredményezték, amelynek eredményeképpen több hétig sikertelen. Ez azért történt, mert az FBI nagyszabású raidet kezdett a hackereken.
2. Politikai tiltakozás. Jellemzően az ilyen támadásokat a haktivistákkal végzik - radikális pillantásokkal rendelkező szakemberek a polgári tiltakozáshoz. A híres példa egy sor cyber támadások az észt kormányzati szervek 2007-ben. A Tallinn-i felszabadító emlékmű bontásának lehetősége valószínűleg okozta őket.
3. Szórakozás.Ma egyre nagyobb számú ember szereti a DDO-t, és megpróbálja megpróbálni erejüket. A NewBird-hackerek gyakran gondoskodnak a támadásokra, hogy szórakozzanak.
4. Zsarolás és zsarolás.A támadás futtatása előtt a hacker az erőforrás tulajdonosához kapcsolódik, és megváltást igényel.
5. Verseny. A DDOS támadások elrendelhetők egy tisztességtelen cégtől annak érdekében, hogy befolyásolhassák versenytársaikat.

Aki potenciális áldozatok

DDOSs tönkreteheti oldalak bármilyen méretű, kezdve a hétköznapi blogokat, és befejezve a legnagyobb vállalatok, a bankok és más pénzügyi intézmények.

A "Kaspersky Lab" által végzett kutatások szerint a támadás 1,6 millió dollárba kerülhet vállalatnak. Ez komoly kár, mert a megtámadott webes erőforrás nem lehet egy ideig, ezért van egy egyszerű.

Leggyakrabban a webhelyek és a szerverek DDOS támadásoktól szenvednek:

• nagyvállalatok és kormányzati szervek;
• pénzügyi intézmények (bankok, gazdálkodási vállalatok);
• kupon szolgáltatások;
• orvosi intézmények;
• fizetési rendszerek;
• Média- és információs aggregátorok;
• online áruházak és e-kereskedelmi vállalatok;
• online játékok és játékszolgáltatások;
• cryptovaya csere.

Nem is olyan régen, a berendezés adunk a szomorú lista a gyakori áldozatai DDOS támadások és a berendezés csatlakozik az internetre, amely megkapta a teljes neve „tárgyak internete” (Internet of Things, IoT). A legnagyobb növekedési dinamika ebben az irányban bemutatja a számítógépes támadásokat azzal a céllal, hogy megsérti a nagy üzletek vagy bevásárlóközpontok online pénztárgépeinek munkáját.

Munkamódszer

Minden webszervernek saját lekérdezései vannak, amelyeket egyszerre tudnak feldolgozni. Ezenkívül a hálózatot és a kiszolgálót összekötő csatorna sávszélességét biztosítja. A korlátozások megkerüléséhez a Zlochysle-ek számítógépes hálózatot hoznak létre rosszindulatú szoftverekkel, "Botnet" vagy "Zombi Network" néven.

A botnet létrehozásához a számítógépes bűnözők az e-mail elosztást, a közösségi hálózatokon vagy a webhelyeken keresztül terjesztik Trojan-t. A botnetben szereplő számítógépeknek nincsenek fizikai kapcsolatuk közöttük. Ezeket csak a hacker "minisztériuma" célja.

A DDOS támadás során a hacker elküldi a "fertőzött" zombi számítógépes csapatot, és elkezdik a támadást. A Batnets hatalmas mennyiségű forgalmat generálhat bármely rendszer túlterhelésére. A DDO-k számára a fő "objektumok" általában a kiszolgáló sávszélesség, a DNS-kiszolgáló, valamint az internetkapcsolat lettek.

DDOS támadások jelei

Amikor a támadók cselekedetei elérik a céljukat, akkor azonnal meghatározhatja a fájlhibákat vagy az ott elhelyezett erőforrásokat. De számos közvetett jel van, amelyek szerint a DDOS támadás a kezdetében található.

• A kiszolgálószoftver és az operációs rendszer gyakran kezdődik és kifejezetten varrni - Hang, helytelenül befejeződött munka stb.
hardvererő Szerverek, élesen különböznek az átlagos napi mutatóktól.
• Gyors növekedés beérkező Forgalom Egy vagy több kikötőben.
• Többszörös duplikált egyszerű cselekvések Az ügyfelek egy erőforráson (menj az oldalra, a fájl letöltése).
• A naplók (felhasználói akciónapló) szerver, tűzfal vagy hálózati eszközök elemzése során sok kérés Egyfajta különböző források egyhez Kikötő vagy szolgáltatás. Különös figyelmet kell fordítani, ha a kérelmek közönsége élesen különbözik a webhely vagy szolgáltatás céljától.

A DDO-támadások típusainak osztályozása

Protokoll sértő (közlekedési szint)

A DDOS támadás célja a szerver vagy a webes erőforrás hálózati szintjén, ezért gyakran hálózati rétegként vagy közlekedési szintű támadásnak nevezik. Célja, hogy a tűzfalon lévő asztalterület túlterhelése egy beépített biztonsági naplóval (tűzfal), egy központi hálózatban vagy egy rendszeregyensúlyozó terhelésben.

A leggyakoribb DDOS módszer a közlekedési szinten - hálózati árvízA festékkérelmek hatalmas áramlásának megteremtése különböző szinteken, amellyel a fogadó csomópont nem lehet kirakni.

Általában a hálózati szolgáltatás a FIFO szabályt alkalmazza, amely szerint a számítógép nem folytatja a második kérelmet az első folyamatokig. De amikor megtámadja a kérelmek számát, olyan növekszik, hogy a készüléknek nincs erőforrásai, hogy befejezzék a műveletet az első kéréssel. Ennek eredményeképpen az árvíz maximalizálja a sávszélességet, amennyire csak lehetséges, és szorosan pontosítja az összes kommunikációs csatornát.

A hálózati árvíz közös típusai

• Http-árvíz - A tömeg rendes vagy titkosított HTTP üzeneteket, pontozás kommunikációs csomópontok, elküldi a megtámadott szerver.
• Icmp-árvíz- A támadó botnets túlterheli az áldozat fogadó gépét hivatalos kérelmekkel, amelyekre köteles Echo válaszokat adni. Privát példa az ilyen típusú támadásra - P.árvízvagy Smurf támadás Amikor a kommunikációs csatornák tele vannak Ping lekérdezésekkel, hogy ellenőrizzék a hálózati csomópont elérhetőségét. Az ICMP-árvíz fenyegetése miatt a rendszergazdák gyakran blokkolják az ICMP kérések használatának képességét a tűzfal használatával.
• Szinárvíz - A támadás befolyásolja egyik alapvető mechanizmusa TCP protokollt, az úgynevezett elve „Triple Kézfogás” ( „Request-válasz algoritmus”: SYN csomag - SYN-ACK csomag - ACK csomag). Az áldozat tele van a hamis szin-lekérdezések tengelyével. A felhasználói csatorna eltömődik a TCP-Connections Queue a kimenő kapcsolatokból, amelyek várják a válasz ACK csomagot.
• UDP-árvíz - Véletlen port az áldozat fogadó gép tele vannak UDP csomagokat, melyekre a válaszok túlterheli a hálózati erőforrásokat. A DNS-kiszolgálóra irányított UDP árvizek különböző DNS-FLUD..
• Mac árvíz - A cél a hálózati berendezés, amelynek portjai eltömődnek az "üres" csomagok által különböző MAC-címekkel rendelkező patakok. Hogy megvédje az ilyen típusú DDoS támadások hálózati kapcsolók, állítsa érvényességi validálása és szűrés MAC címeket.

Alkalmazott szintű támadások (infrastrukturális szint)

Ez a típus akkor használható, ha meg kell ragadnia vagy letiltani a hardveres erőforrásokat. A "Raiders" célja lehet fizikai és ram vagy processzor.

A sávszélesség túlterhelése nem szükséges. Elég csak azért, hogy az áldozati processzor túlterhelésére vagy más szóval vegye be a teljes folyamatot.

A DDOS-támadási alkalmazási szint típusai

• Küld "Nehézx "csomagokközvetlenül a processzorba kerül. A készülék nem tudja maszk bonyolult számításokat, és elkezdi, hogy nem, és ezáltal az azokhoz való hozzáférés a helyszínen, hogy a látogatók.
• A szkript használatával a kiszolgáló tele van "Trash" tartalom - Naplófájlok, "Felhasználói megjegyzések", stb. Ha a rendszergazda nem állítja be a kiszolgálón lévő határértéket, akkor a hacker hatalmas fájlcsomagokat hozhat létre, amelyek a teljes merevlemez kitöltéséhez vezethetnek.
• Problémák a kvóta rendszer. Egyes szervereket használják a külső CGI-interfészprogramokkal (közös átjáró felület, "Általános átjáró interfész") kommunikálni. A CGI-hez való hozzáférés átvételét követően a támadó írhatja a forrásokat, amely az erőforrások részét képezi, például - a processzor idején.
• Hiányos ellenőrzés Látogatói adatok. Ezenkívül a processzor erőforrásainak hosszú vagy akár végtelen használatához vezet a kimerültségig.
• Második roda támadás. A védelmi rendszer jelének hamis választ ad, amely automatikusan bezárhatja az erőforrást a külvilágból.

Támadások az alkalmazás szintjén

Az alkalmazások szintjének DDOS támadása kihagyásokat használ, amikor olyan programkódot hoz létre, amely létrehoz egy szoftver sebezhetőséget a külső befolyásra. Ez a faj lehet tulajdonítható az ilyen közös támadás, mint „Ping Death” (Ping of Death) egy hatalmas küldő az ICMP-csomagokat a nagyobb hosszúságú, hogy oka puffer túlcsordulás.

De a professzionális hackerek ritkán keresnek a legegyszerűbb módszert, mint túlterhelt átutalási csatornák. A nagyvállalatok komplex rendszereinek támadására megpróbálják teljesen kitalálni a szerver rendszerszerkezetét, és írjanak egy kiszolgáló - egy programot, egy parancsot, parancsot vagy a programkódot, amely figyelembe veszi az áldozat sebezhetőségét és a számítógépre.

Dns támadás

1. Az első csoport célja sebezhetőségés B. ÁLTALDNS-kiszolgálók. Ezek közé tartoznak az ilyen közös típusú számítógépes bűncselekmények, mint a nulla napi támadás ("Zero Day") és a gyors fluxus DNS ("Fast Flow").
   A DNS-támadások egyik leggyakoribb típusa DNS-spoofing ("DNS-squeal"). Teljesen a támadók helyettesítik az IP-címet a kiszolgáló gyorsítótárában, átirányítva a felhasználót a tengeralattjáró oldalra. Mozgás közben az elkövető hozzáférést kap a felhasználó felhasználónevéhez, és saját érdekeiben használhatja őket. Például 2009-ben a DNS-nyilvántartások helyettesítése miatt a felhasználók egy órára nem tudtak Twitterbe menni. Egy ilyen támadás politikai jellegű volt. A szociális hálózat főoldalán telepítve a szociális hálózat főoldalán, az iráni hackerekről az amerikai agresszióhoz kapcsolódóan
2. A második csoport DDOS támadások, amelyek vezetnek fogyatékossági DNS.- Szerverek. Ha nem sikerül, a felhasználó nem fogja tudni a kívánt oldalt elérni, mivel a böngésző nem találja meg az adott webhelyen rejlő IP-címet.

A DDOS támadások megelőzése és védelme

A Corero Network Security szerint több mint minden vállalat a világon támadja meg az "elutasító hozzáférést". Ráadásul a számuk eléri az 50-et.

A DDO-támadásokból származó kiszolgáló védelmének tulajdonosai nem csak hatalmas veszteségeket okozhatnak, hanem az ügyfélbizalom csökkenését, valamint a piac versenyképességét is.

A DDOS-támadás elleni védelem leghatékonyabb módja a Szolgáltató által telepített szűrők az internetes csatornákhoz nagy sávszélességűek. A teljes forgalom következetes elemzését és a gyanús hálózati tevékenységet vagy hibát észleli. Szűrők telepíthetők mind a routerek szintjén, mind a speciális hardvereszközök segítségével.

Védelmi módok

1. Még a szoftveres írási szakaszban is meg kell gondolkodnia a webhely biztonságára. Gondosan csekk Hibák és sérülékenységek esetén.
2. Rendszeresen frissítésÉs adjon lehetőséget arra is, hogy visszatérjen a régi verzióhoz, amikor problémák merülnek fel.
3. Vigyázz a hozzáférés korlátozása. Az adminisztrációhoz kapcsolódó szolgáltatásokat teljesen le kell zárni a harmadik féltől származó hozzáférésből. Védje meg a rendszergazdát komplex jelszavakkal, és gyakrabban változtassa meg őket. A munkavállalói fiókok törlése időben, ki kilép.
4. Hozzáférés adminisztrátori felület Kizárólag a belső hálózattól vagy a VPN-ről kell végrehajtani.
5. A rendszer beolvasása a sebezhetőségek elérhetősége. A legveszélyesebb biztonsági rési lehetőségek rendszeresen közzéteszi az OWASP TOP 10 hiteles minősítést.
6. Alkalmaz tűzfal az alkalmazásokhoz - WAF (webes alkalmazás tűzfal). Böngészi a továbbított forgalmat és figyelemmel kíséri a kérések legitimitását.
7. Használat CDN. Tartalomszállítási hálózat). Ez egy elosztott hálózaton működő hálózati szállítási hálózat. A forgalom több szerverrel rendezett, ami csökkenti a látogatókhoz való hozzáférés késedelmét.
8. Ellenőrizze a bejövő forgalmat hozzáférésvezérlő listák (ACL)Ha az objektumhoz való hozzáférésű személyek listáját meg kell adni (program, folyamat vagy fájl), valamint szerepüket.
9. Tud blokkforgalomamely a támadó eszközökből származik. Ezt két módszer végzi: tűzfalak vagy ACL-listák használata. Az első esetben egy adott áramlást blokkolnak, de a képernyők nem tudják elválasztani a "negatív" pozitív "forgalmat. És a második - a másodlagos protokollok szűrjük. Ezért nem fogja hasznát, ha a hacker kiemelkedő kéréseket alkalmaz.
10. A DNS spoofing elleni védelemre időszakosan szükséged van tisztítsa meg a gyorsítótár DNS-t..
11. Használat a spam botok elleni védelem - Captcha (Captcha), "Human" ideiglenes keretet kitöltő formák Recaptcha (checkbox "Nem vagyok robot"), stb
12. Fordított támadás. Minden rosszindulatú forgalom átirányít egy támadóba. Ez nemcsak a támadást tükrözi, hanem megsemmisíti a támadó szerverét is.
13. Resource Szálláshelyek több független szerver. Amikor kilép egy kiszolgálóból, a fennmaradó hatékonyságot biztosítja.
14. Ellenőrzött hardvervédelem A DDOS-támadástól. Például Icore vagy DefensePro impletec.
15. Válasszon egy tárhely szolgáltatót, amely együttműködik megbízható szállító Cybersecurity szolgáltatások. A megbízhatóság kritériumai között a szakértők azonosítják: a minőségi garanciák jelenlétét, biztosítva a védelmet a legteljesebb körű fenyegetések, az órák technikai támogatása, az átláthatóság (az ügyfél hozzáférése a statisztikákhoz és az elemzéshez), valamint a rosszindulatú programok hiánya tarifális.

Következtetés

Ebben a cikkben áttekintettük, hogy mit jelent a DDOS támadás, és hogyan védheti webhelyét a támadásoktól. Fontos megjegyezni, hogy az ilyen rosszindulatú tevékenységek is sikertelen lehet a legbiztonságosabb és leginkább legnagyobb internetes források. Ez súlyos következményekkel jár, hatalmas károk és vevői veszteségek formájában. Ezért, hogy biztosítsa az erőforrásait a DDOS-támadásoktól - az összes kereskedelmi struktúra és kormányzati szervek tényleges feladata.

Szeretne professzionális szintet védeni a DDO-támadások ellen - válasszon! Állandó megfigyelés és az óra technikai támogatás.

A közelmúltban tudtuk megbizonyosodnunk arról, hogy a DDOS támadás meglehetősen erős fegyver volt az információs térben. A DDOS, nagy teljesítményű támadásokat, akkor nem csak a tiltás egy vagy több helyen, hanem működését pedig a teljes hálózati szegmens vagy letiltja az Internet egy kis országban. Napjainkban a DDOS támadások gyakrabban fordulnak elő, és a teljesítményük minden alkalommal növekszik.

De mi az ilyen támadás lényege? Mi történik a hálózaton, amikor fut, honnan jött az ötlet, és miért olyan hatékony? A jelenlegi cikkünkben megtalálja a válaszokat.

DDOS vagy elosztott DoS-szolgáltatás (külön megtagadása karbantartás) egy támadás az adott számítógép a hálózaton, ami miatt ez a túlterhelés nem válaszol a kérésre a többi felhasználónak.

Ahhoz, hogy megértsük, mit jelent a DDOS támadás, képzeljük el a helyzetet: A webszerver adja a felhasználókat az oldaloldal-felhasználóknak, mondjuk egy oldal létrehozásához, és a felhasználó teljes átadása fél másodpercet vesz igénybe, akkor a szerverünk normálisan működik két kérés másodpercenkénti gyakorisága. Ha több ilyen kérés van, akkor sorba kerülnek és feldolgozzák, amint a webszerver ingyenes. Minden új kérés hozzáadódik a sor végéhez. És most el fogom képzelni, hogy sok kérés van, és a legtöbbjük csak a kiszolgáló túlterhelésére szolgál.

Ha az új kérések átvételének sebessége meghaladja a feldolgozási sebességet, akkor idővel a lekérdezési sor olyan hosszú lesz, hogy valójában az új kérések nem kerülnek feldolgozásra. Ez a DDOS támadás fő elve. Korábban az ilyen kéréseket egy IP-címről küldték el, és ezt referenciakeresésnek nevezték el - a szolgálat, sőt, ez a válasz arra a kérdésre, hogy mit jelent. De ilyen támadásokkal hatékonyan harcolhat, egyszerűen hozzáadva a forrás vagy több IP-címét a zárlási listában, és a hálózati sávszélesség-korlátozások következtében többszörös eszköz is nem fizikailag elegendő számú csomagot eredményez egy komoly szerver túlterheléséhez.

Ezért most a támadások azonnal haladnak meg több millió eszközből. Az eloszlott szó hozzá volt adva a névhez, kiderült, DDO. Az egyik szerint ezek az eszközök nem jelent semmit, és nem lehet csatlakozni az internethez, nem túl nagysebességgel, de amikor egyszerre indulnak egy kiszolgáló kéréseinek küldése, akkor akár 10 tb / s. És ez elég komoly mutató.

Továbbra is megérteni, hogy a támadók sok eszközt vállalnak a támadások teljesítéséhez. Ezek közönséges számítógépek, vagy különböző IoT eszközök, amelyekhez a támadók hozzáférhetnek. Bármi, videokamerák és routerek, amelyek hosszúné nem frissített firmware, vezérlőeszközök, jól és hétköznapi felhasználók, akik valahogy felvették a vírust, és nem tudják a létezését, vagy nem sietnek, hogy töröljék.

DDOS Atak típusai

A DDOS támadások két fő típusa van, egyesek egy adott program és támadások túlterhelésére összpontosítanak, amelyek a hálózati csatorna túlterheltek a célszámítógépre.

A program túlterhelésére vonatkozó támadásokat a 7-es támadásoknak is nevezik (az OSI hálózat működésének modelljében - hét szint, és az utóbbi az egyes alkalmazások szintjei). A támadó támad egy olyan programot, amely számos kiszolgáló erőforrást használ nagy számú kérés elküldésével. Végül a programnak nincs ideje az összes kapcsolat feldolgozására. Ez a faj magasabbnak tartottunk.

Az internetes csatornán lévő Dos támadások sokkal több erőforrást igényelnek, de sokkal nehezebb megbirkózni velük. Ha analógiát jelent az OSI-vel, akkor ezek a 3-4 szintű támadások, csatornán vagy adatátviteli protokollon. Az a tény, hogy az internetkapcsolatnak saját sebességi korlátja van, amellyel az adatok továbbíthatók. Ha sok adat van, a hálózati berendezések, mint a program, akkor az átviteli sorba helyezik őket, és ha az adatok mennyisége és az átvételi sebesség pedig nagyon magas lesz a csatorna sebességéhez, akkor túlterhelt lesz. Az adatátviteli sebesség ilyen esetekben másodpercenkénti gigabájtokban számíthatók ki. Például abban az esetben, leválasztja az interneten egy kis ország a libériai, az adatátviteli sebesség akár 5 TB / s. Mindazonáltal 20-40 GB / s elég ahhoz, hogy túlterhelje a legtöbb hálózati infrastruktúrát.

A DDOS támadás eredete

Fent, megnéztük, hogy mit DDOS támadások, valamint a módszerek DDOS támadás, itt az ideje, hogy menjen eredetét. Elgondolkodtál már, hogy ezek a támadások miért olyan hatékonyak? Ők olyan katonai stratégiákon alapulnak, amelyeket több évtizede fejlesztettek és ellenőriztek.

Általánosságban elmondható, hogy az információbiztonság számos megközelítése a múlt katonai stratégiáin alapul. Vannak olyan trójai vírusok, amelyek hasonlítanak az ősi csatára a Troy-tól, az extratív vírusoktól, amelyek ellopják a fájlokat, hogy megkapják az ellenséges erőforrásokat korlátozó visszaváltás és DDOS támadások. Az ellenfél képességének korlátozása, a későbbi akciói átfogó ellenőrzése. Ez a taktika nagyon jól működik a katonai stratégiáknál. Így a cybercriminals.

A katonai stratégia esetében nagyon csak az erőforrások típusaira gondolhatunk, amelyek korlátozódhatnak az ellenség lehetőségeinek korlátozására. A víz, az élelmiszer- és építőanyagok korlátozása egyszerűen elpusztítaná az ellenséget. A számítógépek mindegyike más, ahol különböző szolgáltatások, például DNS, webszerver, e-mail szerver. Mindegyiküknek más infrastruktúrája van, de van valami, ami egyesíti őket. Ez egy hálózat. Hálózat nélkül nem tud hozzáférni a távoli szolgáltatásra.

A parancsnok mérgezheti a vizet, égetni a növényeket és rendezni az ellenőrző pontokat. A CyberCriminals hibás adatokat küldhet a szolgáltatásnak, hogy az összes memória vagy teljesen elárasztja a teljes hálózati csatornát. A védelmi stratégiák ugyanolyan gyökerei is vannak. A kiszolgáló rendszergazdája is nyomon követheti a bejövő forgalmat, hogy megtalálják a rosszindulatú és blokkolja azt, mielőtt eléri a cél hálózati csatornát vagy programot.

Alapító és webhely adminisztrátor weboldala, élvezze a nyílt szoftvert és a Linux operációs rendszert. Mivel a fő operációs rendszer most használom az Ubuntu-t. A Linux mellett az információs technológiákkal és a modern tudományhoz kapcsolódó mindenkit érdekel.

Ha elolvassa a vezetőnk, és hajtsák végre az összes leírt technológiák - biztosítsa a számítógép hacker fenyegetések! Ne hagyja figyelmen kívül ezt!

Az információbiztonság területén a DDOS támadások az elektronikus fenyegetés egyik vezető helyét foglalják el. De a legtöbb felhasználónak nagyon korlátozott ismerete van ebben a témában. Most megpróbáljuk a lehető legnagyobb mértékben és hozzáférhető felfedni ezt a témát, így el lehet képzelni, mi ez a fajta e-veszély végzik, és ennek megfelelően hogyan kell foglalkozni vele hatékonyan. Szóval ismerkedjen meg - DDOS támadás.

Terminológia

Ha ugyanabban a nyelven beszélünk, meg kell adnunk a feltételeket és azok meghatározását.

DOS támadás - A karbantartás megtagadása. Ezért az angol rövidítés dózis - a szolgáltatás megtagadása. Az egyik altípus egy elosztott támadás, amelyet egyidejűleg több, és általában nagyszámú gazda. A megbeszélés nagy részét ezeknek a lehetőségeknek szenteljük, mert a DDOS támadás pusztító következményekkel jár, és jelentős különbség csak a támadáshoz használt gazdák számában.

Hogy megkönnyítse az Ön számára, hogy megértsük. Ez a fajta cselekvés célja a szolgáltatás ideiglenes megszüntetése. Ez lehet egy külön weboldal a hálózaton, egy nagy interneten vagy mobilszolgáltatóban, valamint külön szolgáltatáson (műanyag kártyák fogadása). Annak érdekében, hogy a támadás sikeres legyen, és rombolhatatlan cselekvéseket hozott, nagyszámú ponttal kell elvégeznie (a továbbiakban részletesebben figyelembe kell venni). Ezért az "elosztott támadás". De a lényeg ugyanaz marad - hogy megszakítsa egy bizonyos rendszer munkáját.

A kép teljessége érdekében meg kell értened, hogy ki és milyen célra tesz szükségessé.

A támadások, mint a "karbantartás megtagadása", mint más számítógépes bűncselekmények, törvény által büntetendő. Ezért az anyagot csak tájékoztató célokra mutatják be. Azokat az informatikai szakemberek, akik jól ismerik a "számítógépek" és a "számítástechnikai hálózatok" témáit, vagy amint azt már beszélnek - hackerek. Alapvetően ez az esemény célja a nyereség megszerzéséhez, mert általában a DDOS támadja meg a gátlástalan versenytársakat. Helyénvaló lesz egy kis példát hozni.

Tegyük fel, hogy egy kisváros szolgáltatásainak piaca van két nagy internetes szolgáltató. És egyikük azt akarja, hogy egy versenytársát akarja nyomni. Rendeljenek a hackerek elosztott DOS támadás egy versenytárs szerveren. És a második szolgáltató, amely a hálózat túlterhelte, már nem képes hozzáférést biztosítani az internethez a felhasználók számára. Ennek eredményeként - az ügyfelek és a hírnév elvesztése. A hackerek megkapják díjazásukat, befejezetlen szolgáltatójukat - új ügyfeleket.

De nincs eset, amikor a "DDose" és csak a szórakozás, vagy a kipufogó készségek.

Elosztott DDOS támadás

Azonnal egyetértünk - foglalkozunk a számítógépes támadásokkal. Ezért, ha több eszközről beszélünk, amellyel a támadást elvégzik, illegális szoftverekkel rendelkező számítógépek lesznek.

Itt is helyénvaló, hogy enyhe digression. Lényegében, hogy bármilyen szolgáltatás vagy szolgáltatás munkájának megállítása érdekében meg kell haladnia a maximális terhelést. A legegyszerűbb példa a weboldalhoz való hozzáférés. Egy vagy másik módon, egy bizonyos csúcsteljesítményre tervezték. Ha egy bizonyos időpontban, a helyszínen fog menni a helyszínre tízszer többen, illetve a szerver nem tudja feldolgozni ezt a mennyiségű információt, és leáll. És a kapcsolatok ezen a ponton nagyszámú számítógéppel történik. Ez lesz a fent tárgyalt csomópontok.

Lássuk, hogyan néz ki az alábbi ábrán:

Amint láthatja, a hacker nagyszámú egyéni számítógépet kapott, és telepítette a kémprogram-szoftvert. Köszönet neki, most elvégezheti a szükséges lépéseket. A mi esetünkben, hogy végezzen DDOS támadást.

Így ha nem felel meg a biztonsági szabályoknak, akkor a számítógépen dolgozik, vírusos fertőzésen keresztül érhető el. És talán a számítógépe csomópontként fogja használni a rosszindulatú akciók végrehajtását.

Meg fogsz jönni: Megneveztük a biztonság egyes aspektusait, a cikkben.

De hogyan fogják használni őket attól függ, hogy milyen opció van kiválasztva a támadó kiválasztása

DDOS AAK osztályozása.

A támadók a következő típusú támadások készíthetők:

1. Túlterhelés sávszélesség. Tehát, hogy a hálózathoz csatlakoztatott számítógépek általában kölcsönhatásba léphetnek, a kommunikációs csatorna, amelyen keresztül kapcsolódnak, normálisan kell működniük, és elegendő paramétert biztosítanak bizonyos feladatokhoz (például sávszélesség). Az ilyen típusú támadást a hálózati kommunikációs csatornák túlterhelésére küldi. Ezt úgy érik el, hogy folyamatosan küldött inkonzisztens vagy rendszerinformáció (Ping parancs)
2. Erőforrás-korlátozás. Ezt a típust már megvizsgáltuk, a példában a weboldalhoz való hozzáféréssel. Amint megjegyeztük - a szerver képes volt korlátozott számú egyidejű kapcsolatot kezelni. A támadónak nagy számú egyidejű kapcsolatot kell küldenie a kiszolgálóhoz. Ennek eredményeképpen a kiszolgáló nem fog megbirkózni a terheléssel, és abbahagyja a munkát.
3. Támadás a DNS-kiszolgálón. Ebben az esetben a DDOS támadás célja, hogy megállítsa a webhely elérését is. Egy másik lehetőség az, hogy átirányítsa a felhasználót a megfelelő oldalról a hamisításra. Ez elvégezhető a személyes adatok elrablásával. Ezt a DNS-kiszolgáló támadásával érik el, és az IP-címeket hamisítják. Elemezzük a példában. Egy bizonyos bank használja weboldalát az interneten keresztül történő kiszámításához. A felhasználónak meg kell mennie, és adja meg a műanyag kártyájának adatait. A támadó, amelynek célja az ilyen információk elrabolása hasonló webhelyet hoz létre, és támadást tart a kiszolgáló DNS (Névkiszolgáló). Ennek az eseménynek a célja, hogy átirányítsa a felhasználót a támadó webhelyére, amikor megpróbálja a bank honlapjára menni. Ha sikerül, akkor a felhasználó nem gyanítja a fenyegetést, bemutatja személyes adatait a támadó helyére, és hozzáférést kap hozzájuk.
4. Hiba a szoftverben. Ez a fajta támadás a legnehezebb. A támadók a szoftverek hibáit mutatják be, és felhasználják őket, hogy elpusztítsák a rendszert. Annak érdekében, hogy ilyen DDOS támadást rendeljen, szükség lesz arra, hogy sok pénzt költeni kell.

Hogyan töltsünk DDOS támadást a saját kezével

Példaként úgy döntöttünk, hogy megmutatjuk, hogyan kell végrehajtani a DDOS támadást speciális szoftverekkel.

Először töltse le a programot ezen a címen. Ezt követően indítsa el. Látnia kell az indítási ablakot:

Minimális beállításokat kell tartania:

1. Az "URL" oszlopban megírjuk a webhely címét, amelyet egy támadást akarunk tenni
2. Ezután kattintson a "Lock on" gombra - meglátjuk a célforrásokat
3. A TCP módszert helyeztük el
4. Válassza ki a szálak számát (szálak)
5. A csúszka segítségével történő küldésének sebessége
6. Ha az összes beállítás befejeződött, kattintson az "Imma Chargin Mah Lazer" gombra

Minden - a támadás megkezdődött. Ismét ismételtem megismétlem, hogy minden művelet tájékoztató jellegű.

Hogyan védjük a DDOS támadások ellen

Valószínűleg már megértette, hogy ez a fajta fenyegetések nagyon veszélyesek. És ezért nagyon fontos tudni a küzdelem módszereit és elveit, és megakadályozza az elosztott támadásokat.

1. Szűrési rendszerek beállítása - Feladat a rendszergazdák és a tárhelyszolgáltatók számára
2. A DDOS támadások védelmi rendszereinek megszerzése (szoftver- és hardver komplexumok)
3. Tűzfal és hozzáférési vezérlési listák használata (ACL) - Ez az intézkedés a gyanús forgalom szűrésére irányul.
4. A rendelkezésre álló erőforrások növelése és a foglalási rendszerek telepítése
5. Válasz technikai és jogi intézkedések. Az elkövető vonzerejéig a büntetőjogi felelősség

Videó a cikkhez:

Következtetés

Most már valószínűleg megérti a DDOS támadások veszélyét. A források biztonságának biztosítása érdekében nagyon felelősségteljesen kell megközelíteni, időt, erőket és pénzt. Még jobb, ha külön szakember, vagy egy egész információbiztonsági osztály.

Az állandó olvasók gyakran megkérdezték a kérdést, amennyit csak tudsz szerkeszteni a szöveget, ha a fájl PDF formátumú. A válasz megtalálható az anyagban -

Az adatok védelme érdekében számos intézkedést használhat. Az egyik ilyen lehetőség

Ha módosítania kell az online videót, elkészítettük a népszerűség áttekintését.

Miért keres információkat más webhelyeken, ha mindent összegyűjtöttünk tőlünk?

A DDOS támadásokkal való küzdelem - a munka nemcsak nehéz, hanem lenyűgöző. Nem meglepő, hogy minden sysadmin először megpróbálja megszervezni a védelmet saját - különösen azért, mert még mindig lehetséges.

Úgy döntöttünk, hogy segítünk Önnek ezzel a nehéz, és közzétenni néhány rövid, triviális és univerzális tanácsot a webhely védelmére a támadásoktól. A csökkentett receptek nem segítenek abban, hogy megbirkózzanak a támadással, de a legtöbb veszélytől mentesek.

Megfelelő összetevők

A zord igazság az, hogy sok helyen nem tud bárki, aki használni akarja a Slowloris támadás, szorosan megölése Apache vagy rendezi az úgynevezett SYN flood segítségével egy virtuális szerverek farm emelt percenként az Amazon EC2 cloud. Minden jövőbeni DDOS védelmi tippje a következő fontos feltételeken alapul.

1. A Windows Server elutasítása

A gyakorlat azt sugallja, hogy az ablakokon működő webhely (2003 vagy 2008 nem számít), a DDO-k esetében elítélték. A kudarc oka a Windows hálózati veremben rejlik: amikor a kapcsolatok sokat válnak, a szerver minden bizonnyal rosszul reagál. Nem tudjuk, miért működik a Windows Server olyan helyzetekben, hogy olyan jó hírű helyzetekben dolgozik, de több mint egyszer találkoznak, és nem kettő. Emiatt ez a cikk a DDOS-támadások elleni védelmi eszközökről szól, amikor a kiszolgáló Linuxon forog. Ha boldog tulajdonosa egy kortárs kernel (kezdve 2.6), majd az iptables és IPSet közművek fogják használni, mint az elsődleges eszközkészlet (hogy gyorsan hozzá IP-címek), melynek segítségével gyorsan tiltani védjük. A sikerhez egy másik kulcsa egy megfelelően főtt hálózati verem, amelyet tovább fogunk beszélni.

2. Rész Apache-val

A második fontos feltétel az Apache elutasítása. Ha még egy óra, akkor érdemes Apache, akkor legalább egy gyorsítótárazási proxyot helyez el - Nginx vagy Lightpd. Apache „Rendkívül nehéz, hogy a fájlokat, és ami még rosszabb, ez a legalapvetőbb szinten (azaz irrevibly sérülékeny veszélyes Slowloris támadás, amely lehetővé teszi, hogy megszünteti a szerver szinte egy mobiltelefon. A küzdelem különféle A lassuló típusai, az Apache felhasználók jöttek fel a patch első anti-slowloris.FInd, majd a mod_noloris, majd a mod_antiloris, a mod_limitipconn, a mod_reqtimitipconn, a mod_reqtimeout ... De ha éjszaka jól aludni szeretne, könnyebben szedni egy HTTP-kiszolgálót, sebezhetetlen a kódszerkezet szintjén lassítva. Ezért minden további receptünk a feltételezésen alapul, hogy a Nginx-et az elején használják.

Küzdelem a DDO-ről.

Mi van, ha DDOS jött? A hagyományos önvédelmi technika olvasni a HTTP szerver log fájlban, írj egy mintát Grep (ami bot botok) és a tilalom mindenkinek, aki alá azt. Ez a technika fog működni ... ha szerencsés vagy. A Batnets két típus, mindkettő veszélyes, de különböző módon. Az egyik teljesen jön a webhelyre, a másik fokozatosan. Az első megöli mindent, és azonnal megöli, de a naplók teljesen megjelennek a naplókban, és ha megtiltják őket, és megragadják az összes IP-címet, akkor győztes vagy. A második botnet óvatosan és óvatosan alapul, de tiltani kell, talán a nap folyamán. Fontos megérteni minden adminisztrátort: \u200b\u200bHa megtervezik a GREP-t, akkor készen kell állnia arra, hogy pár napig készen kell állnia a támadás elleni küzdelemre. Az alábbiakban azok a tanácsok, ahol előzetesen fel lehet tenni a szalmákat, hogy ne legyen olyan fájdalmas esni.

3. Használja a Testcookie modult

Talán a cikk legfontosabb, hatékony és operatív receptje. Ha a DDO-k a webhelyére kerül, akkor a @Kyprizel Coexler által kifejlesztett Testcookie-Nginx modul a leghatékonyabbá válhat. Egy ötlet egyszerű. Leggyakrabban a http árvizeket végrehajtó botok meglehetősen hülye, és nincs HTTP cookie-k és átirányítási mechanizmusok. Néha fejlettebb - ilyen használhatja a cookie-kat és a folyamat átirányítását, de szinte SOHA SODE-BOT hordozza a teljes fledged JavaScript-motort (bár gyakran gyakrabban és gyakrabban). A Testcookie-Nginx gyors szűrőjeként működik a botok és a backend között az L7 DDOS támadás során, amely lehetővé teszi, hogy levágja a szemétkockáit. Mit tartalmaz ezek az ellenőrzések? Függetlenül attól, hogy az ügyfél képes-e végrehajtani a HTTP átirányítást, függetlenül attól, hogy a JavaScript támogatja-e annak a böngészőjét, amelyre kimondja (mivel a JavaScript mindenütt másol, és ha az ügyfél azt mondja, hogy ő, mondjuk Firefox, akkor ellenőrizhetjük). A csekket különböző módszerekkel alkalmazzuk cookie-kkal:

• "SET-Cookie" + átirányítás 301 HTTP-vel;
• "Set-Cookie" + átirányítás a HTML metafrissítéssel;
• tetszőleges sablon, és használhatja a JavaScriptet.

Az automatikus elemzés elkerülése érdekében a cookie-k vizsgálata az AES-128 alkalmazásával titkosítható, és később a JavaScript kliens oldalán visszafejthető. A modul új verziójában lehetett telepíteni a főzőket a Flash-en keresztül, amely lehetővé teszi, hogy hatékonyan csökkentse a botokat (amelyek flash általában nem támogatottak), de azonban számos törvényes felhasználó hozzáférését is blokkolja (valójában minden mobil eszköz) ). Érdemes megjegyezni, hogy a Testcookie-Nginx rendkívül egyszerű. A fejlesztő különösen számos érthető példát eredményez (különböző támadási esetekre) a Nginx konfigurációinak mintáival.

Az előnyök mellett a testcookie hátrányai vannak:

• vágja az összes botot, beleértve a Googlebotot is. Ha folyamatban van a testcookie-t, győződjön meg róla, hogy nem tűnik el a keresési eredményekből;
• problémákat okoz a böngészőkkel rendelkező felhasználókkal, W3M és azok hasonlóan;
• nem mentheti el a teljes fledged böngészőmotorral felszerelt botokat a JavaScript segítségével.

Röviden, a testcookie_module nem univerzális. De számos dologból, mint például, például a Java és a C # primitív szerszámok, segít. Tehát csökkenti a fenyegetés részét.

4. KÓD 444.

A DDos'ers célja gyakran a webhely legforrásszerűbb része lesz. Egy tipikus példa olyan keresés, amely komplex lekérdezéseket végez az adatbázishoz. Természetesen a támadók kihasználhatják ezt, és egyszerre több tízezer kéréseket töltöttek be a keresőmotorra. Amit tehetünk? Ideiglenesen letiltja a keresést. Legyen az ügyfelek nem tudják keresni a szükséges információkat beépített eszközökkel, de a teljes fő webhely a munkakörben marad, amíg meg nem találja az összes probléma gyökerét. A Nginx támogatja a nem szabványos 444 kódot, amely lehetővé teszi, hogy egyszerűen bezárja a kapcsolatot, és ne adjon semmit a válaszadásban:

Hely / keresés (visszatérés 444;)

Így például lehetséges, hogy gyorsan megvalósítsa az URL-ek szűrését. Ha biztos abban, hogy a helyszínre / keresésre vonatkozó kérelmek csak a botokból származnak (például a bizalom azon a tényen alapul, hogy nincs partíció / keresés a webhelyén), telepítheti az Ipset csomagot és tilthatja a botokat egy egyszerű héjjal forgatókönyv:

Ipset -n Ban Iphash Tail -f Access.Log | Olvasási vonal közben; Echo "$ sort" | \\ cut -d "" "-F3 | Cut -D" "-F2 | GREP -Q 444 && Ipset -a tilalom" $ (l %% *) ";

Ha a naplófájl formátuma nem szabványos (nem kombináció), vagy más jeleket kell tiltani, mint a válasz állapota, szükség lehet a vágás cseréjére.

5. Banya by geod

A 444 nem szabványos válaszkód is hasznos lehet az ügyfelek működési tilalmára a geo-akvizícióban. Alig korlátozhatja az egyes országokat, amelyek kényelmetlenek. Tegyük fel, hogy a Rostov-On-Don kamerák online áruházánál sok felhasználó van Egyiptomban. Ez nem nagyon jó út (csak azt mondja - undorító), mivel a geoip adatok pontatlanok, és Rostovs néha egyiptomba repülnek pihenésre. De ha nincs mit veszíteni, kövesse az utasításokat:

1. Csatlakozzon a Nginx GeoIP modulhoz (wiki.nginx.org/httpgeoipmodule).
2. A Geother információinak megjelenítése a hozzáférési naplóban.
3. Továbbá, a fenti shell parancsfájl módosítása, a progresszív hozzáféréslog Nginx, és az ügyfelek tárolása tilalmat ad hozzá.

Ha például a legtöbb esetben a botok Kínából származnak, ez segíthet.

6. Neurális hálózat (POC)

Végül megismételheti a @Savetherbtz játék tapasztalatait, amely a Neural Network Pybrain-t vette, töltötte be a bejelentkezést, és elemezte a kéréseket (habrahabr.ru/post/136237). Módszer működik, bár nem univerzális :). De ha tényleg tudod a belsejét a honlapján - és akkor, mint egy rendszergazda kell, - akkor van esély arra, hogy a legtragikusabb helyzetekben, mint egy eszköztár, melynek alapját a neurális hálózatok, a tanulás és a gyűjtött előzetes információ segít . Ebben az esetben rendkívül hasznos ahhoz, hogy a DDO-k kezdete előtt hozzáférjenek. "A, a legitim ügyfelek közel 100% -ának leírása, ezért egy nagy adatkészlet a neurális hálózat képzéséhez. Ráadásul a szeme a bárban van nem mindig láthatóak.

A probléma diagnosztikája

A webhely nem működik - miért? Ddosam, vagy ez egy jag hiba, amelyet egy programozó nem észlel? Nem fontos. Ne keressen választ erre a kérdésre. Ha úgy gondolja, hogy webhelye támadhat, kapcsolatba léphet a támadásoktól, amelyek védelmet nyújtanak a támadásoktól - számos anti-DDOS szolgáltatás az első nap után a kapcsolat ingyenes -, és ne pazaroljon több időt a tünetek keresésére. Összpontosítson a problémára. Ha a webhely lassan működik, vagy egyáltalán nem nyílik meg, akkor azt jelenti, hogy nincs valami a teljesítményhez, és - függetlenül attól, hogy a DDOS támadás megy-e vagy sem, - te, mint szakmai, köteles megérteni, mi okozott azt. Ismételten tanúskodtunk, hogy a vállalat milyen nehézségeket tapasztal a webhely munkájával a DDOS támadás miatt, ahelyett, hogy gyenge pontokat találna a helyszínen, megpróbálta nyilatkozatot küldeni a Belügyminisztériumnak, hogy megtalálja és büntesse a támadókat. Ne engedje meg az ilyen hibákat. A Cybercriminals keresése nehéz és hosszú távú folyamat, amelyet az internet szerkezete és elvei bonyolítanak, és a webhely munkájával kapcsolatos problémát gyorsan meg kell oldani. Tegye meg a technikai szakembereket, hogy megtalálják, hogy mi az oka a webhely teljesítményének csökken, és az alkalmazás képes lesz ügyvédek írni.

7. Használja a Profiler és a hibakeresést

A leggyakoribb webhely-létrehozó platformhoz - PHP + MYSQL - A szűk keresztmetszet a következő eszközök segítségével lehet aláírni:

• az XDEBUG Profiler megmutatja, hogy melynek hívja az alkalmazás a legtöbb időt;
• a beépített hibakereső APD és a hibakeresési kimenet a hibajelentésben segít abban, hogy megtudja, melyik kód végrehajtja ezeket a kihívásokat;
• a legtöbb esetben a kutyát az adatbázis iránti kérelmek összetettségére és súlyára temették el. Itt segít a motort beágyazott SQL adatbázisban.

Ha a webhely véletlenül hazudik, és nem fogsz elveszíteni semmit, kapcsolja ki a hálózatot, nézze meg a naplókat, próbálja meg elveszíteni őket. Ha nem hazugság, menj át az oldalakon, nézd meg az alapot.

Például PHP-t biztosítanak, de az ötlet minden platformra érvényes. A fejlesztői szoftverek írása bármely programozási nyelven, képesnek kell lennie gyorsan alkalmazni a hibakeresőt, és a profilert. Gyakorlat előre!

8. Elemezze a hibákat

Elemezze a forgalmi hangerőt, a kiszolgáló válaszidejét, a hibák számát. Ehhez lásd: Naplók. Az nginx, a szerver válaszideje van rögzítve, a naplóban két változó: Request_time és Upstream_Response_Time. Az első a lekérdezés végrehajtásának teljes ideje, beleértve a felhasználó és a szerver közötti hálózati késleltetést; A második jelentések mennyi backend (apache, php_fpm, uwsgi ...) kérésre szolgált. Upstream_Response_time érték rendkívül fontos a sok dinamikus tartalommal és az aktív kommunikációval rendelkező webhelyeknél az adatbázissal, nem lehet elhanyagolni. Használhat ilyen konfigurálást log formátumként:

Log_format xakep_log "$ remote_addr - $ remote_user [$ time_local]" "$ skation" $ status $ body_bytes_sent "$ http_referer" $ http_user_agent "$ http_user_agent" $ sweer_time \\ $ upstream_response_time

Ez egy kombinált formátum a hozzáadott időzítési mezőkkel.

9. Nyomon követheti a másodpercenkénti kérések számát

Nézze meg a másodpercenkénti kérelmek számát is. A Nginx esetében nagyjából becsülheti meg a következő héjparancsot (az Access_Log változó tartalmazza a Nginx lekérdezési napló elérését a kombinált formátumban):

Echo $ (($ (fgrep -c "$ (ENV LC_ALL \u003d C dátum) [E-mail védett]$ (($ (Dátum \\ +% s) -60)) +% d /% b /% y:% h:% m) "$ \u200b\u200baccess_log") / 60)))

A normálhoz képest ezúttal a másodpercenkénti kérelmek száma csökkenhet és nő. Abban az esetben, ha egy nagy botnet jött, és esik, ha a győztes botnet csomagolta a webhelyet, így teljesen hozzáférhetővé tette a jogos felhasználókat, ugyanakkor nem kéri a statikákat, és a törvényes felhasználókat kérik. A lekérdezések csökkenése a statika miatt. De egy vagy más módon, a mutatók komoly változásairól beszélünk. Amikor ez megtörténik, hirtelen -, miközben próbálják megoldani a problémát saját, és ha nem találja meg azonnal a naplóban, akkor jobb, ha gyorsan ellenőrizni a motort, és a kapcsolatot a szakemberek párhuzamosan.

10. Ne felejtsük el a tcpdump-t

Sokan elfelejtik, hogy a TCPdump egy fantasztikus diagnosztikai eszköz. Néhány példát adok. 2011 decemberében egy hiba a Linux kernel fedezték fel, amikor megnyitotta a TCP kapcsolat, ha a SYN és RST TCP szegmens zászlókat jelenik meg. Az első Bageptort küldött a rendszergazda Oroszországból, akiknek erőforrás támadták ezt a módszert, - a támadók értesült réseket korábban, mint az egész világ. Nyilvánvaló, hogy ilyen diagnózis segített. Egy másik példa: A Nginx nem egy nagyon szép tulajdonság - írja a naplóban csak akkor, ha a teljes kérés teljes mértékben megértette. Vannak olyan helyzetek, amikor az oldal hazudik, semmi sem működik, és nincs semmi a naplókban. Mindent, mert a kiszolgáló jelenleg letöltött összes kérés még nem teljesült. A TCPdump segít itt.

Annyira jó, hogy azt tanácsoltam, hogy az emberek ne használjanak bináris protokollokat, mielőtt meghódítanak, hogy minden rendben van, - mert a szöveges protokollok adósságot adnak a tcpdump "OM könnyű és bináris - nem. Azonban a sniffer jó, mint eszköz diagnózis - a termelés fenntartásának eszközeként ", és szörnyű. Könnyen elveszíthet több csomagot egyszerre, és elronthatja a felhasználó történetét. Kényelmes arra, hogy megnézze a következtetését, és hasznos lesz a kézi diagnosztika és a tilalom, de próbálja meg semmit bonyolítani. Egy másik kedvenc eszköz a "Requen Requen" - Ngrep - Általánosságban, az alapértelmezés szerint, próbálja meg kérni a két gigabájt területén, amely nem tudom, és csak akkor kezdődik, amikor csökkenti a követelményeit.

11. Támadás vagy nem?

Hogyan lehet megkülönböztetni a DDOS támadást, például egy hirdetési kampány hatásától? Ez a kérdés viccesnek tűnhet, de ez a téma nem kevésbé bonyolult. Nagyon kíváncsi esetek vannak. Néhány jó srácban, amikor feszítették és alaposan csavarják a gyorsítótárazást, a helyszín néhány napig fut. Kiderült, hogy néhány hónapon belül ezen az oldalon észrevétlen adatai alapján néhány német előtt optimalizálja a caching az oldalt az oldal, ezek a németek voltak megrakva összes kép elég hosszú ideig. Amikor az oldalt azonnal Keshában kezdték kiadni, a bot, amelynek nincs ideje ébren, szintén azonnal összegyűjti őket. Nehéz volt. Az ügy különösen nehéz az az oka, hogy ha te magad megváltoztatta a beállításokat (bekapcsolva caching), és a helyszínen után leállt, akkor ki az Ön véleménye, a hibás? Pontosan. Ha nézed a megugrott a kérelmek száma, akkor nézd, például a Google Analytics, aki eljött, hogy mely oldalakat.

Webkiszolgáló hangolás

Milyen más kulcspontok? Természetesen az "alapértelmezett" nginx és remélem, hogy rendben lesz. Mindazonáltal mindig nem történik jól. Ezért a szerver adminisztrátorának sok időt kell fordítania a finomhangolásra és a nginx hangolására.

12. Határozza meg az erőforrások (pufferméretek) a nginx-ben

Mit kell emlékezni először? Minden erőforrásnak van korlátozása. Először is, a RAM-ra vonatkozik. Ezért a fejlécek és az összes használt puffer méretei az ügyfél és a kiszolgáló megfelelő értékeire kell korlátozódniuk. Azokat a Nginx konfigurációban kell előírni.

• cLIENT_HEADER_BUFFER_SIZE__ Megadja a puffer méretét, hogy elolvassa az ügyfélkérés fejlécét. Ha a lekérdezés vonal vagy a lekérdezés fejléc mező nem teljesen ebbe a puffert, a nagyobb puffer által meghatározott Large_Client_Header_Buffers irányelv osztják.
• nagy_client_header_buffers Beállítja a maximális számot és puffer méretet, hogy elolvassa a nagy ügyfélkérés fejlécét.
• client_body_buffer_size Megadja a puffer méretét az ügyfélkérés testületének olvasásához. Ha a lekérdezési test nagyobb, mint a kívánt puffer, akkor a teljes lekérdezési test vagy csak az ideiglenes fájlba írt.
• ügyfél_max_body_size Meghatározza a lekérdezési fejléc "Tartalomhossz" mezőjében megadott ügyfélkérelem maximális megengedett testméretét. Ha a méret nagyobb, akkor az ügyfél 413 hibát ad vissza (kérjen entitás túl nagy).

13. Testreszabhatja az időtúllépéseket a nginx-ben

Az erőforrás az idő. Ezért a következő fontos lépésnek kell lennie az összes időtúllépés telepítéséhez, ami ismét nagyon fontos, hogy a Nginx beállításaiban elsőként regisztráljon.

• reset_timedout_connection on; Segít harcolni az aljzatok lógása a fin-wait fázisban.
• cLIENT_HEADER_TIMEOUT. Meghatározza az időtúllépést az ügyfélkérés fejlécének olvasása során.
• ügyfél_body_timeout. Megadja az időtúllépést az ügyfélkérő testület olvasása során.
• keepalive_Timeout. Beállítja az időtúllépést, amely alatt az ügyféllel való tartós kapcsolat nem záródik le a kiszolgáló oldaláról. Sokan félnek nagy jelentőséget kérnek itt, de nem vagyunk biztosak abban, hogy ez a félelem indokolt. Opcionálisan beállíthatja az időtúllépés értékét a tartandó HTTP fejlécben, de az Internet Explorer híres az érték figyelmen kívül hagyásáról.
• sEND_TIMEOUT. Megadja az időtúllépést, ha válaszol az ügyfélre. Ha ezután az ügyfél nem fog elfogadni semmit, a kapcsolat zárva lesz.

Közvetlenül a kérdés: milyen pufferek és időtúllépések paraméterei helyesek? Itt nincs univerzális recept, minden helyzetben, hogy sajátuk van. De van egy bizonyított megközelítés. Be kell állítania azokat a minimális értékeket, amelyeknél a webhely működőképes állapotban marad (békeidőben), azaz az oldalak megadása és a kérések feldolgozása. Ezt csak teszteléssel határozzák meg - mind az asztali számítógépektől, mind a mobileszközöktől. Algoritmus az egyes paraméterek (puffer méretének vagy időtúllépésének) értékeinek megtalálásához:

1. Matematikailag minimális paraméterértéket mutatom.
2. Futtassa a webhely tesztelését.
3. Ha a webhely teljes funkcionalitása problémamentesen működik - a paramétert definiálják. Ha nem, növeljük a paraméter értékét, és elérjük a 2. pontot.
4. Ha a paraméter értéke meghaladja az alapértelmezett értéket is, a Fejlesztői csapat megbeszélése oka.

Egyes esetekben az ellenőrzés ezen paraméterek kell vezetnie újraírás / felhasználó átalakítása. Például, ha a honlap nem működik anélkül, hogy háromperces Ajax hosszú lekérdezési kérések, akkor meg kell, hogy nem emel time-out, de a hosszú lekérdezési helyére valami mást - botnetek 20 ezer autót lóg kérelmeket három percen keresztül, könnyen Öld meg az átlagos olcsó kiszolgálót.

14. Korlátvegyületek a Nginx-ben (Limit_Conn és Limit_req)

A Nginx is képes korlátozni a kapcsolatokat, a kérelmeket és így tovább. Ha nem biztos benne, hogy a webhelyének bizonyos része hogyan viselkedik, ideális esetben meg kell vizsgálnia, meg kell értened, hogy hány kérés lesz elviselni, és regisztrálja azt a Nginx konfigurációban. Ez egy dolog, amikor az oldal hazudik, és eljöhet és felemelheted. És egy másik dolog - amikor olyan mértékben fog menni, hogy a szerver csere. Ebben az esetben gyakran könnyebb újraindítani, mint várni a diadalmas visszatérését.

Tegyük fel, hogy az oldal szekciók vannak a beszédnevekkel / letöltéssel és / kereséssel. Ugyanakkor:

• nem akarunk botokat (vagy az emberek túlterhelt rekurzív letöltési menedzserekkel), hogy hozza nekünk egy táblázatot TCP kapcsolatok letöltéseikkel;
• nem akarunk botokat (vagy repülő daruk a keresőmotorok) kimerítette a DBMS számítástechnikai erőforrásokat több keresési lekérdezéssel.

E célból az alábbi típusok konfigurációját használják:

Http (limit_conn_zone $ binary_remote_addr zóna \u003d Download_c: 10m, limit_req_zone $ binary_remote_addron zóna \u003d Search_R: 10m \\ rate \u003d 1R / s; kiszolgáló (Location / Letöltés / (Limit_Conn Download_C 1; # Egyéb konfigurációs hely) Hely / keresés / (limit_req zóna \u003d search_r burst \u003d 5; Egyéb helykonfiguráció))))))

Általában közvetlen jelentéssel bír, hogy korlátozza a limit_connot és a limit_req helyeket, amelyekben drága parancsfájlok vannak (a példában a keresés meg van adva, és ez nem nyereséges). Korlátozásokat kell választani, a terhelés és a regressziós tesztelés eredményei, valamint a józan ész.

Figyeljen a példa 10 mm-es paraméterére. Ez azt jelenti, hogy a határérték kiszámítása 10 megabájt és egy megabájtos pufferrel kiemeli a szótárat. Ebben a konfigurációban ez lehetővé teszi, hogy nyomon kövesse a 320.000 TCP-üléseket. Hogy optimalizálja a memória elfoglalt kulcsfontosságú a szótárban, a $ binary_remote_addr változó, amely tartalmazza a felhasználó IP-címét bináris formában, és kevesebb memóriát igényel, mint a szokásos stringváltozó $ REMOTE_ADDR. Meg kell jegyezni, hogy a második paraméter a limit_req_zone irányelv lehet nem csak az IP, hanem bármely más változó nginx elérhető ebben az összefüggésben például abban az esetben, ha nem akarjuk, hogy a takarékosabban proxy módban használja $ binary_remote_addr $ HTTP_USER_AGENT vagy $ binary_remote_addr $ http_cookie_myc00kiez - de szükséges, hogy az ilyen tervek óvatosan, hiszen ellentétben a 32 bites $ binary_remote_addr, ezeket a változókat lehet lényegesen hosszabb és a „10m” bejelentett tudnak fenntartani.

DDO-k trendjei.

1. Folyamatosan növeli a hálózati és a szállítási szint támadások erejét. Az átlagos syn-árvíz támadások potenciálja már 10 millió csomagot ért el másodpercenként.
2. Különleges igény a közelmúltban élvezi a támadásokat a DNS-en. UDP árvíz érvényes DNS-kérések spoof'led forrás IP-címeket az egyik leggyakoribb megvalósítások és bonyolult szempontjából elleni támadásokat. Sok nagy orosz vállalat (beleértve a tárhelyet) tapasztalt a közelmúltbeli problémákban a DNS-kiszolgálók támadásainak eredményeként. Minél távolabb vannak az ilyen támadások, és hatalmuk növekedni fog.
3. A külső funkciók alapján a botnetek többségét nem kezeli központilag, hanem a peer-to-peer hálózaton keresztül. Ez a támadók lehetőséget adnak arra, hogy szinkronizálják a Botnet akcióinak időben történő szinkronizálását - ha korábban a menedzsment csapatok 5 ezer gépkocsi botnet terjednek több tucatnyi percben, most a számla másodpercekig megy, és webhelye váratlanul megtapasztalhatja a pillanatnyi fotográfiát a kérelmek számának növekedése.
4. A botok részesedése, amelyek teljes körű böngésző motorral vannak felszerelve, még mindig kicsi, de folyamatosan növekszik. Az ilyen támadást nehezebb leütni a beépített kézművesek, így az önfelhasználóknak a félelemmel kell követniük ezt a tendenciát.

az operációs rendszer előkészítése.

A Nginx finom beállításán túl kell vigyáznia a rendszer hálózati veremének beállításairól. Legalább - azonnal bekapcsolja a net.ipv4.tcp_syncookies-t a Systl-ben, hogy megvédje magát egy kis méretű szin-élelmiszer támadásból.

15. Tyi udvar

Figyeljen a hálózati rész (kernel) fejlettebb beállításaira az idők és a memória. Fontosabb és kevésbé fontos. Először is, figyelmet kell fordítanod:

• net.ipv4.tcp_fin_timeout. Az idő, amikor az aljzat a FIN-WAIT-2 TCP fázisban tölti (várja a fin / ACK szegmenst).
• net.ipv4.tcp _ (, R, W) MEM TCP aljzatok fogadó puffer méretét. Három érték: minimális, alapértelmezett érték és maximum.
• net.core. (R, W) mem_max Ugyanaz a TCP pufferek esetében.

100 Mbps csatornával az alapértelmezett értékek valahogy alkalmasak; De ha legalább Gigabit van a Candide-ben, akkor jobb, ha valami ilyesmit használ:

Systl -w net.core.rmem_max \u003d 8388608 systl -w net.core.wmem_max \u003d 8388608 systl -w net.ipv4.tcp_rmem \u003d "4096 87380 8388608" systl -w net.ipv4.tcp_wmem \u003d "4096 65536 8388608" Systl - w net.ipv4.tcp_fin_timeout \u003d 10

16. VÁLTOZÁS / PROC / SYS / NET / **

Ideális az összes paraméter / proc / sys / net / ** megtekintéséhez. Látni kell, hogy milyen eltérőek különböznek az alapértelmezetttől, és megértik, hogyan kell megfelelően kiállítani. Linux fejlesztő (vagy rendszergazda), amely szétszereli az internetes szolgáltatást, és optimalizálja azt, olvassa el az atomerőmű minden paraméterének dokumentációját. Talán megtalálja a webhelyére specifikus változókat, amely segíti a helyszínt a behatolóktól, de felgyorsítja a munkáját is.

Ne félj!

Sikeres DDos-támadások napi nap után az e-kereskedelem leállítja a médiát, a média rázza, a legnagyobb fizetési rendszereket a knockoutba küldi. Az internetezők milliói elveszítik a kritikus információkhoz való hozzáférést. A fenyegetés sürgős, ezért teljesíteni kell. Végezze el a házi feladatot, ne félj, és tartsa a fejét. Te nem az első, és nem az utolsó, aki találkozik egy DDOS támadással a honlapjukon, és a hatalma, a tudásuk és a józan ész, hogy csökkentse a támadás következményeit a minimálisra.

DDOS támadás. Magyarázat és példa.

Üdv mindenkinek. Ez egy Blog Computer76, és most a következő cikk a hacker művészet alapjairól. Ma beszélünk arról, hogy mi a DDOS támadás egyszerű szavak és példák. Mielőtt speciális feltételekkel rohanni fog, akkor mindenki számára érthető bevezetés.

Miért van a DDOS támadása?

A WiFi Hacking egy vezetékes jelszó kiválasztására szolgál. Az űrlapon való támadások lehetővé teszik az internetes forgalom meghallgatását. A sebezhetőségek elemzése A következő konkrét terheléssel lehetővé teszi a célszámítógép rögzítését. Mit csinál a DDOS támadás? Célja végső soron - az erőforrás jogainak kiválasztása a törvényes tulajdonosban. Nem azt jelentem, hogy a webhely vagy a blog nem tartozik. Ez az értelemben van, hogy a webhelyén sikeres támadás esetén Ön elveszíti a lehetőséget, hogy ellenőrizzék őket. Legalább egy ideig.

Azonban a modern értelmezésben a DDOS támadást leggyakrabban a szolgáltatás normál működésének megsértésére használják. Hacker csoport nevét, amelyek folyamatosan tárgyalásra, hogy támadások jelentős kormányzati vagy állami helyek annak érdekében, hogy felhívják a figyelmet az egyik vagy másik probléma. De szinte mindig az ilyen támadások tisztán kereskedelmi érdek: a munka a versenytársak vagy egyszerű csínyek teljesen védtelen illetlenül oldalakon. A DDO fő koncepciója, hogy egy óriási számú felhasználó húzódik a webhelyre egy időben, vagy inkább lekérdezések a számítógépek - botok, ami a terhelést a kiszolgálón a levegőben teszi. Gyakran halljuk a „hely nem érhető el”, de kevesen, akik azt gondolják, hogy valójában ténylegesen erre megfogalmazás. Nos, most tudod.

DDOS Attack - Opciók

1.opció.

a játékosok a bejáratnál

Képzeld el, hogy multiplayer online játékot játszol. Több ezer játékos játszik veled. És legtöbbjük ismerős. Megbeszéled a részleteket, és a következő műveleteket tölti. Mindannyian ugyanakkor menj az oldalra, és hozzon létre egy azonos tulajdonsággal rendelkező karaktert. Olyan helyen csoportosítják, blokkolva az egyidejűleg létrehozott karakterek számát a játékban lévő objektumokhoz való hozzáféréshez a többi összeesküvési felhasználó számára, akik nem gyanúsítottak az összejátszás miatt.

2. lehetőség.

Képzeld el, hogy valaki úgy döntött, hogy megszakítja az autóbusz szolgáltatást a városban egy adott útvonalon annak érdekében, hogy megakadályozzák a lelkiismeretes utasokat a tömegközlekedési szolgáltatások használatához. Több ezer barátaid ugyanabban az időben megállnak a megadott útvonal elején, és céltalanul lovagolnak minden gépen a végső végsőig, amíg a pénz elfogy. Az utazás kifizetésre kerül, de senki sem jön ki az egyik állomáson, kivéve a célállomást. És más utasok, középtávon állva, szomorúan nézzen ki az eltávolító minibuszok után, és nem töltötték be a buszokat. Minden: Minden taxi tulajdonos és potenciális utasok.

A valóságban ezek a lehetőségek nem fizikailag átalakulnak az életbe. A barátaid virtuális világában azonban helyettesíthetik a tisztességtelen felhasználók számítógépeit, akik legalább nem zavarják a számítógépüket vagy a laptopjuk védelmét. És egy ilyen túlnyomó többség. Programok a DDOS támadási készlethez. Érdemes azonban emlékeztetni arra, hogy az ilyen intézkedések illegálisak. És a nevetséges elkészített DDOS támadás, nem számít, hogy milyen sikert töltött, felismeri és büntethető.

Hogyan támadnak a DDOS támadás?

Kattintson az oldal linkre, a böngésző elküldi a kérést a kiszolgálóra, hogy megjelenítse a kívánt oldalt. Ezt a kérést adatcsomagként fejezzük ki. És még egy, de egy egész csomagcsomag! Mindenesetre a csatornán lévő továbbított adatok mennyisége mindig bizonyos szélességre korlátozódik. És a kiszolgáló által visszaküldött adatok mennyisége több, mint az Ön kérése. A kiszolgálón az erő és az eszközök. Az erősebb szerver, minél drágább, a tulajdonos és a drágább szolgáltatások költsége. A modern szerverek könnyen megbirkózhatnak egy élesen megnövelt látogatói beáramlással. De a kiszolgálók bármelyikéhez még mindig kritikus mennyiségű felhasználók, akik meg szeretnének megismerni magukat a webhely tartalmával. A tisztább a helyzet a kiszolgálóval, amely szolgáltatást nyújt a hosting webhelyek számára. Enyhén, és a webhely-áldozat le van kapcsolva a szolgáltatástól, annak érdekében, hogy ne túlterhelje a processzorokat, amelyek több ezer más helyet szolgálnak ugyanazon a tárhelyen. A webhely munkája megszakad, amíg a DDOS támadás meg nem áll. Nos, képzeld el, hogy elkezdi újraindítani az oldaloldalakat ezer alkalommal másodpercenként (DOS). És ezer barátaidnak hogy a mi számítógépek ugyanezt (DISTIBUTED DOS vagy DDOS) ... Nagy szerverek megtanulták felismerni, hogy a DDOS támadás kezdődött, és ellensúlyozza azt. Azonban a hackerek javítják a megközelítésüket is. Tehát e cikk keretein belül, milyen DDOS támadást ismertetnek, nem tudom megmagyarázni.

Mi az a DDOS támadás, amit megtudhat, és próbálja meg most.

FIGYELEM. Ha úgy dönt, hogy megpróbálja, az összes nem mentett adat elveszik, a gombra van szüksége egy gombra, hogy visszatérjen a működési állapotba. Visszaállítás.. De megtudhatja, hogy pontosan mit "érzi" a támadott szerver. Az alábbi bekezdés kitett példája, és most - egyszerű parancsok a túláram-rendszerhez.

• A terminál Linux esetén írja be a parancsot:

:(){ :|:& };:

A rendszer megtagadja a munkát.

• Windows esetén azt javaslom, hogy létrehozzunk egy denevérfájlt egy notebookban kóddal:

: 1 Start Goto 1

Nevezze meg a ddos.bat típusát.

Magyarázd el mindkét csapat jelentését, azt hiszem, nem éri meg. Látható a fegyvertelen megjelenésben. Mindkét csapat elvégzi a rendszert a forgatókönyv végrehajtásához, és azonnal megismétli, hivatkozva a forgatókönyv elejére. Tekintettel a végrehajtás sebességére, a rendszer pár másodpercig elesik egy szuporba. Játszma, meccs., ahogy mondják, felett.

DDOS támadás programok segítségével.

A vizuális példaért használja az alacsony orbit Ion Cannon programot (ionpisztoly alacsony pályával). Vagy Loic. A leginkább letölthető terjesztés a címen található (Windows rendszerben):

https://sourceforge.net/projects/loic/

Figyelem! Az antivírusnak rosszindulatúnak kell lennie. Ez normális: már tudod, hogy mit hintak. Az aláírási adatbázisban az árvízgenerátorként szerepel - oroszul lefordítva Ez a végső cél a végső célja egy adott hálózati címre. Személy szerint nem vettem észre semmilyen vírust, sem Trojanov. De jogosult kétségbe vonni és elhalasztani a letöltést.

Mivel az elhanyagolást a felhasználók rosszindulatú fájlra dobják az erőforrást, a forrás-forge meg fogja erősíteni a következő oldalt, amely közvetlen kapcsolatnyira van a fájlhoz:

Ennek eredményeként sikerült letölteni a segédprogramot csak keresztül.

A programablak így néz ki:

(1) bekezdés A cél kiválasztása lehetővé teszi, hogy a támadó egy adott célra összpontosítson (IP-cím vagy webhely URL-jei), (3) bekezdés Támadási lehetőségek. lehetővé teszi, hogy kiválasszon egy támadó portot, protokollt ( Módszer.) Három TCP, UDP és HTTP. A TCP / UDP üzenet mezőben megadhat egy üzenetet a megtámadottnak. Miután a támadás megtörtént a gomb megnyomásával. IMMA CHARGIN MAH Lazer (Ez a kifejezés a rosszindulatúság szélén, a népszerűségből komikus–mem; Amerikai szőnyeg a programban, az úton, elég néhány). Minden.

Figyelem

Ez az opció csak egy helyi gazdagépre van szükség. Ezért:

• ez jogellenes más emberek helyszínei, és a Nyugaton már igazán ül (és ezért hamarosan itt ülnek)
• a cím, amelyből az árvíz jön ki, gyorsan kiszámításra kerül, panaszkodik a szolgáltatóhoz, és figyelmeztetést fog tenni, és emlékeztet az első tételről
• az alacsony sávszélességű hálózatokban (azaz minden hazai), a dolog nem fog működni. A TOR hálózat mindegyike ugyanaz.
• ha megfelelően konfigurálja, gyorsan megkapja a kommunikációs csatornádat, a kárt valakinek. Tehát ez pontosan ez az opció, amikor a körte megverte a bokszot, és nem az ellenkezőjét. És a lehetőséget egy proxy továbbítja ugyanazt az elvet: az árvíz az Ön részéről nem szereti senki.

Olvassa el: 9 326