Բաշխեց «Պահպանման մերժման» կամ կրճատված DDOS- ի գրոհները դարձան ընդհանուր երեւույթ եւ լուրջ գլխացավանք աշխարհի պաշարների սեփականատերերի համար: Այդ իսկ պատճառով, տեղում DDOS- ի հարձակումներից պաշտպանությունը այսօր լրացուցիչ տարբերակ չէ, այլ նախադրյալների համար, ովքեր ցանկանում են խուսափել տապալումից, հսկայական վնասներից եւ փչացած հեղինակությունից:

Մենք ավելին ենք պատմում մեզ այն մասին, թե որն է հիվանդացումը եւ ինչպես պաշտպանվել:

Ինչ է DDO- ները:

Ծառայության բաժանված մերժումը կամ «պահպանման մերժումը». Հարձակում տեղեկատվական համակարգի վրա, որպեսզի այն չունի օգտագործողի պահանջները մշակելու հնարավորություն: Պարզ բառեր, DDO- ները բաղկացած են վեբ ռեսուրսից կամ երթեւեկային սերվերի ճնշումից, հսկայական թվով աղբյուրներից, ինչը դա անհասանելի է դարձնում: Հաճախ նման հարձակումը իրականացվում է խոշոր ֆիրմայի կամ պետական \u200b\u200bկազմակերպության ցանցային ռեսուրսների աշխատանքներում ընդհատումներ հրահրելու համար

DDoS Attack- ը նման է մեկ այլ տարածված վեբ սպառնալիքի `« Ծառայության ժխտումը, DOS): Միակ տարբերությունն այն է, որ սովորական բաշխված հարձակումը գալիս է մի կետից, եւ DDoS հարձակումը ավելի մեծ է եւ գալիս է տարբեր աղբյուրներից:

DDoS Attack- ի հիմնական նպատակն է այցելուների համար անհասանելի կայք կատարել `արգելափակելով իր աշխատանքը: Բայց կան դեպքեր, երբ նման գրոհներ են արտադրվում `այլ վնասակար հետեւանքներից ուշադրությունը շեղելու համար: DDoS Attack- ը, օրինակ, կարող է իրականացվել անվտանգության համակարգը թալանելիս, կազմակերպության տվյալների բազան տիրանալու համար:

DDoS- ի հարձակումները հայտնվել են 1999 թ.-ին, երբ տեղի են ունեցել մի շարք հարձակումներ խոշոր ընկերությունների կայքերի (Yahoo, Ebay, Amazon, CNN): Այդ ժամանակվանից ի վեր կիբեր հանցագործության այս տեսակը սպառնալիք է զարգացրել համաշխարհային մասշտաբի համար: Փորձագետների կարծիքով, վերջին տարիներին նրանց հաճախականությունը աճել է 2,5 անգամ, իսկ առավելագույն հզորությունը դարձել է 1 TBIT / S: Դդու հարձակման զոհը գոնե մեկ անգամ վեցերորդ ռուսական ընկերությունը դարձավ: Մինչեւ 2020 թվականը նրանց ընդհանուր պատասխանը կհասնի 17 միլիոնի:

Խաղահրապարակում անցկացնել շուրջօրյա պաշտպանությամբ `ամենաարդյունավետ DDoS- ի հարձակումներից:

DDOS- ի հարձակումների պատճառները

1. Անձնական թշնամություն: Նա հաճախ ներխուժում է հրահրում կորպորացիաների կամ կառավարական ընկերությունների վրա: Օրինակ, 1999-ին կատարվել է ՀԴԲ կայքերի վրա հարձակումը, որի արդյունքում նրանք ձախողվել են մի քանի շաբաթ: Դա տեղի է ունեցել այն պատճառով, որ ՀԴԲ-ն սկսեց լայնածավալ արշավանքներ հակերների վրա:
2. Քաղաքական բողոքի ակցիա: Սովորաբար, նման հարձակումներն իրականացվում են Hactivists- ի հետ. ՏՏ մասնագետներ, որոնք արմատական \u200b\u200bհայացքներ են ունենում քաղաքացիական բողոքի վրա: Հայտնի օրինակը 2007 թ. Էստոնիայի պետական \u200b\u200bգործակալությունների վրա կիբերհարձակումների շարք է: Տալլինում Ազատագրության հուշարձանի քանդման հնարավորությունը, հավանաբար, նրանց կբերի:
3. ԺամանցԱյսօր մարդկանց աճող թիվը սիրում է DDOS- ը եւ ցանկանում է փորձել իրենց ուժերը: NewBird-Hackers- ը հաճախ կազմակերպում է հարձակումներ, զվարճանալու համար:
4. Շորթում եւ շանտաժ:Հարձակումը վարելուց առաջ հակերները կապված են ռեսուրսի սեփականատիրոջ հետ եւ պահանջում են փրկագնում:
5. Մրցույթ: DDoS- ի հարձակումները կարող են պատվիրվել անարդար ընկերությունից `իրենց մրցակիցների վրա ազդելու համար:

Ով է հավանական զոհերը

DDOSS- ը կարող է ոչնչացնել ցանկացած մասշտաբի կայքեր, սկսած սովորական բլոգներից եւ ավարտվում խոշորագույն կորպորացիաներով, բանկերից եւ այլ ֆինանսական հաստատություններով:

«Կասպերսկու լաբորատորիայի» կողմից իրականացված հետազոտության համաձայն, հարձակումը կարող է ընկերությանը արժենալ 1,6 միլիոն դոլար: Սա լուրջ վնաս է, քանի որ հարձակման վեբ ռեսուրսը որոշ ժամանակ չի կարող, այդ իսկ պատճառով կա պարզ:

Ամենից հաճախ կայքերն ու սերվերները տառապում են DDOS- ի հարձակումներից.

• խոշոր ընկերություններ եւ պետական \u200b\u200bգործակալություններ.
• Ֆինանսական հաստատություններ (բանկեր, կառավարման ընկերություններ);
• Կտրոնի ծառայություններ;
• բժշկական հաստատություններ;
• Վճարային համակարգեր;
• Լրատվամիջոցներ եւ տեղեկատվական ագրեգատորներ;
• Առցանց խանութներ եւ էլեկտրոնային առեւտրի ձեռնարկություններ;
• Առցանց խաղեր եւ խաղային ծառայություններ.
• cryptovaya փոխանակում:

Ոչ այնքան վաղուց, սարքավորումները ավելացվել են DDoS-Attacks- ի հաճախակի զոհերի եւ ինտերնետին միացված սարքավորումների տխուր ցուցակում, որոնք ստացել են «Ինտերնետի ինտերնետ, IOT» ընդհանուր անվանումը: Այս ուղղությամբ աճի ամենամեծ դինամիկան ցույց է տալիս կիբերհարձակումներ `խոշոր խանութների կամ առեւտրի կենտրոնների առցանց դրամարկղերի աշխատանքը խախտելու նպատակով:

Աշխատանքային մեխանիզմ

Բոլոր վեբ սերվերներն ունեն իրենց հարցումները, որոնք կարող են միաժամանակ մշակել: Բացի այդ, սահմանը տրամադրվում է ցանցը եւ սերվերը միացնող ալիքի թողունակության համար: Այս սահմանափակումները շրջանցելու համար Zlochyslens- ը համակարգչային ցանց է ստեղծում վնասակար ծրագրաշարով, որը կոչվում է «Botnet» կամ «Zombie ցանց»:

Botnet- ի ստեղծման համար կիբեր-հանցագործները Trojan- ը տարածում են էլեկտրոնային փոստի բաշխման, սոցիալական ցանցերի կամ կայքերի միջոցով: Botnet- ում ընդգրկված համակարգիչները իրենց միջեւ ֆիզիկական կապ չունեն: Դրանք միավորված են միայն «ծառայության» հակերների թիրախներով:

DDoS- ի հարձակման ընթացքում հաքերը ուղարկում է «վարակված» զոմբի համակարգիչների թիմը, եւ նրանք սկսում են վիրավորանքը: Battets- ը առաջացնում է հսկայական երթեւեկություն, որը ունակ է ծանրաբեռնված ցանկացած համակարգ: DDOS- ի համար հիմնական «օբյեկտները» սովորաբար դառնում են սերվերի թողունակություն, DNS սերվեր, ինչպես նաեւ Ինտերնետային կապ:

DDoS գրոհների նշաններ

Երբ հարձակվողների գործողությունները հասնում են իրենց նպատակին, հնարավոր է ակնթարթորեն որոշել ֆայլի ձախողումները կամ այնտեղ տեղադրված ռեսուրսը: Բայց կան մի շարք անուղղակի նշաններ, որոնց համաձայն DDoS հարձակումը կարելի է գտնել հենց իր սկզբում:

• Սերվերի ծրագրակազմը եւ OS- ն սկսվում են հաճախ եւ բացահայտ կարել - կախել, սխալ ավարտված աշխատանք եւ այլն:
Ապարատային հզորություն Սերվերներ, կտրուկ տարբերվում են միջին օրական ցուցիչներից:
• Արագ աճը մուտք Երթեւեկություն Մեկ կամ մի շարք նավահանգիստներում:
• Բազմակի ժամանակի Կրկնօրինակված պարզ գործողություններ Հաճախորդները մեկ ռեսուրսի վրա (գնացեք կայք, ֆայլի ներբեռնումը):
• Տեղեկամատյանները վերլուծելու ժամանակ (օգտագործեք օգտագործողի գործողությունների տեղեկամատյաններ) սերվեր, հայտնաբերված Firewall կամ ցանցային սարքեր Շատ հարցումներ Տարբեր աղբյուրների մեկ տեսակ Մեկի համար Նավահանգիստ կամ ծառայություն: Այն պետք է հատկապես զգոն լինի, եթե խնդրանքների հանդիսատեսը կտրուկ տարբերվում է կայքի կամ ծառայության նպատակից:

DDoS-Arafts- ի տեսակների դասակարգում

Արձանագրություն վիրավորական (տրանսպորտի մակարդակ)

DDoS Attack- ը ուղղված է սերվերի կամ վեբ ռեսուրսի ցանցի մակարդակին, ուստի այն հաճախ անվանում են ցանցային շերտի կամ տրանսպորտի մակարդակի հարձակումը: Դրա նպատակն է գերծանրաբեռնված սեղանի տարածքը Firewall- ի վրա ներկառուցված անվտանգության մատյանով (Firewall), կենտրոնական ցանցում կամ համակարգի հավասարակշռման բեռի մեջ:

Տրանսպորտի մակարդակում ամենատարածված DDOS մեթոդը - network անցի ջրհեղեղՆերկերի պահանջների հսկայական հոսքի ստեղծում տարբեր մակարդակներում, որոնց միջոցով ստացող հանգույցը չի կարող հաղթահարել:

Սովորաբար ցանցային ծառայությունը կիրառում է FIFO կանոնը, որի համաձայն համակարգիչը չի անցնում երկրորդ պահանջը պահպանել մինչեւ առաջին գործընթացները: Բայց երբ հարձակվելիս հարցումների քանակն այնքան է մեծանում, որ սարքը ռեսուրսներ չունի, որպեսզի գործը առաջին պահանջով ավարտվի: Արդյունքում, ջրհեղեղը առավելագույնի հասցնում է թողունակությունը հնարավորինս եւ խստորեն վաստակում է հաղորդակցման բոլոր ալիքները:

Network անցի ջրհեղեղի ընդհանուր տեսակները

• Http-flood - Սովորական կամ կոդավորված HTTP հաղորդագրությունների զանգված, միավորելով կապի հանգույցները, ուղարկվում է հարձակողական սերվերին:
• ICMP-Flood- Հարձակվող Botnets- ը պաշտոնական խնդրանքներով ծանրաբեռնում է տուժողի հյուրընկալող մեքենային, որին պարտավոր է արձագանքել արձագանքներ: Այս տեսակի հարձակման անձնական օրինակը - Պսակել:ՋրհեղեղԿամ Smurf Attack Երբ հաղորդակցման ալիքներն լցված են Ping հարցումներով, որոնք օգտագործվում են ցանցի հանգույցի առկայությունը ստուգելու համար: Դա ICMP- ջրհեղեղի սպառնալիքի պատճառով է, համակարգի ադմինիստրատորները հաճախ արգելափակում են ICMP- ի հայցերը `օգտագործելով firewall:
• Syr-lood. - Հարձակումը ազդում է TCP արձանագրության հիմնական մեխանիզմներից մեկի վրա, որը հայտնի է որպես «Եռակի ձեռքսեղմման» սկզբունք («Հայց-պատասխան Ալգորիթմ». Սին փաթեթ - ACK փաթեթ): Տուժածը լցված է կեղծ Syne հարցումների լիսեռով անպատասխան: Օգտագործողի ալիքը խցանված է TCP- ի միացումների հերթով `ելքային կապերից, որոնք սպասում են ACK փաթեթին:
• UDP-Flood - Տուժողի հյուրընկալող մեքենայի պատահական նավահանգիստները լցված են UDP փաթեթներով, որոնց պատասխանները `ծանրաբեռնված ցանցային ռեսուրսները: DNS սերվերին ուղղված UDP- ի մի շարք ջրհեղեղներ կոչվում են Dns-flud..
• Մակ ջրհեղեղ - Նպատակը ցանցային սարքավորումն է, որի նավահանգիստները խցանված են «դատարկ» փաթեթների հոսքերով `տարբեր MAC հասցեներ: Անցային անջատիչների վրա DDOS- ի նման միանգամից պաշտպանվելու համար կարգավորեք վավերականության վավերացումը եւ MAC հասցեները զտեք:

Կիրառական մակարդակի գրոհներ (ենթակառուցվածքների մակարդակ)

Այս տեսակը օգտագործվում է այն ժամանակ, երբ անհրաժեշտ է գրավել կամ անջատել ապարատային ռեսուրսները: «Raiders» - ի նպատակը կարող է լինել ինչպես ֆիզիկական, այնպես էլ RAM- ի կամ պրոցեսորի ժամանակ:

Բեռնեք թողունակությունը անհրաժեշտ չէ: Բավական է պարզապես զոհաբերության պրոցեսորը ծանրաբեռնելու կամ այլ կերպ ասած, վերցնել ամբողջ գործընթացի ժամանակը:

DDoS-Attack հավելվածի մակարդակի տեսակները

• Ուղարկել «Ծանրx »Փաթեթներուղղակիորեն գնում է պրոցեսոր: Սարքը չի կարող դիմակավորել բարդ հաշվարկներ եւ սկսում է ձախողվել, դրանով իսկ հաշմանդամություն ունենալով այցելուներին:
• Օգտագործելով սցենարը, սերվերը լցված է «Աղբարկղ» բովանդակություն - Մուտք գործեք «Օգտագործողի մեկնաբանություններ» եւ այլն: Եթե \u200b\u200bհամակարգի ադմինիստրատորը չի սահմանում սերվերի սահմանը, ապա հաքերը կարող է ստեղծել հսկայական ֆայլերի փաթեթներ, որոնք կհանգեցնեն ամբողջ կոշտ սկավառակի լրացման:
• Խնդիրներ Քվոտաների համակարգ, Որոշ սերվերներ օգտագործվում են արտաքին CGI- ինտերֆեյսի ծրագրերի հետ շփվելու համար (ընդհանուր դարպասի միջերես, «Ընդհանուր դարպասի միջերես»): CGI- ի մուտքը ստանալուց հետո հարձակվողը կարող է գրել իր սցենարը, որը կօգտագործի ռեսուրսների մի մասը, օրինակ `պրոցեսորի ժամանակը:
• Անավարտ չեկ Այցելուի տվյալներ: Այն նաեւ հանգեցնում է պրոցեսորի ռեսուրսների երկար կամ նույնիսկ անսահման օգտագործման մինչեւ սպառման:
• Roda երկրորդ հարձակումը, Դա ազդանշանի կեղծ արձագանք է առաջացնում պաշտպանության համակարգում, որը կարող է ինքնաբերաբար փակել ռեսուրսը արտաքին աշխարհից:

Հարձակումներ հայտի մակարդակում

Ծրագրի կոդ ստեղծելիս դիմումների մակարդակի DDOS հարձակումը օգտագործում է բացթողումներ, որոնք ստեղծում են արտաքին ազդեցության համար ծրագրային ապահովման խոցելիություն: Այս տեսակը կարող է վերագրվել նման ընդհանուր հարձակմանը, ինչպիսին է «պինգ մահը» (մահվան պինգ) ավելի մեծ երկարության ICMP փաթեթների զանգվածային ուղարկում է, որը բուֆերային արտահոսք է առաջացնում:

Բայց մասնագիտական \u200b\u200bհակերները հազվադեպ են դիմում ամենապարզ մեթոդին, որպես ծանրաբեռնվածության խողովակների ալիքների: Խոշոր ընկերությունների բարդ համակարգերի հարձակման համար նրանք փորձում են ամբողջությամբ պարզել սերվերի համակարգի կառուցվածքը եւ գրել շահագործում `ծրագիր, հրամանի շղթա, որը հաշվի է առնում տուժողի խոցելիությունը եւ դիմել է համակարգչին:

DNS Attack

1. Առաջին խումբը ուղղված է թեթլեւ Բ. ՄիջոցովDNS սերվերներ: Դրանք ներառում են կիբեր հանցագործությունների նման սովորական տեսակներ, ինչպիսիք են զրոյական օրվա հարձակումը («Զրոյական օրվա հարձակումը») եւ արագ հոսքի DNS («արագ հոսք»):
   DNS- ի հարձակումների ամենատարածված տեսակներից մեկը կոչվում է DNS-spoofing («DNS-Squeal»): Նրա ընթացքում հարձակվողները փոխարինում են IP հասցեն սերվերի քեշում, օգտագործողին վերահղում են սուզանավային էջին: Տեղափոխելիս հանցագործը ստանում է օգտատիրոջ անունից եւ կարող է օգտագործել դրանք իր շահերով: Օրինակ, 2009-ին DNS գրառումների փոխարինման պատճառով օգտվողները չէին կարող մեկ ժամ գնալ Twitter: Նման հարձակումը ուներ քաղաքական բնույթ: Իրանից հակերների նախազգուշացման հիմնական էջում տեղադրված են սոցիալական ցանցի նախազգուշացման հիմնական էջում, կապված ամերիկյան ագրեսիային
2. Երկրորդ խումբը DDOS- ի հարձակումներն են, որոնք հանգեցնում են Հաշմանդամություն DNS:- սերվերներ, Եթե \u200b\u200bձախողվում եք, օգտագործողը չի կարողանա գնալ ցանկալի էջ, քանի որ զննարկիչը չի գտնի որոշակի կայքում բնորոշ IP հասցեն:

Դդուի հարձակումներից կանխարգելում եւ պաշտպանություն

Corero ցանցի անվտանգության համաձայն, աշխարհի բոլոր ընկերությունները ենթակա են հարձակման «մերժման մատչելիության»: Ավելին, նրանց թիվը հասնում է 50-ի:

Դդու-հարձակումներից սերվերի պաշտպանությունը չներկայացրած կայքերի սեփականատերերը կարող են ոչ միայն կրել հսկայական կորուստներ, այլեւ հաճախորդների վստահության նվազում, ինչպես նաեւ շուկայում մրցունակություն:

DDoS-Attack- ի դեմ պաշտպանվելու ամենաարդյունավետ միջոցը մատակարարի կողմից տեղադրված ֆիլտրերն են `բարձր թողունակությամբ ինտերնետային ալիքներով: Նրանք իրականացնում են ամբողջ երթեւեկության հետեւողական վերլուծություն եւ հայտնաբերում են կասկածելի ցանցային գործունեությունը կամ սխալը: Զտիչներ կարող են տեղադրվել, ինչպես երթուղիչների մակարդակով, այնպես էլ հատուկ ապարատային սարքերի օգտագործմամբ:

Պաշտպանելու եղանակներ

1. Նույնիսկ ծրագրաշարի գրելու փուլում պետք է մտածել կայքի անվտանգության մասին: Ուշադիր Ստուգեք Սխալների եւ խոցելիությունների համար:
2. Կանոնավոր ԹարմացրեքԵվ նաեւ հնարավորություն է տալիս վերադառնալ հին տարբերակին, երբ խնդիրներ են առաջանում:
3. Զգուշացեք Սահմանափակում մուտք, Կառավարությանն առնչվող ծառայությունները պետք է ամբողջությամբ փակվեն երրորդ կողմի հասանելիությունից: Պաշտպանեք ադմինիստրատորին բարդ գաղտնաբառերով եւ ավելի հաճախ փոխեք դրանք: Delete նջել աշխատողի հաշիվները ժամանակին, ով դուրս եկավ:
4. Մուտք դեպի Ադմինիստրատորի միջերես Պետք է իրականացվի բացառապես ներքին ցանցից կամ VPN- ի միջոցով:
5. Սկանացրեք համակարգը Խոցելիությունների առկայություն, Ամենավտանգավոր խոցելիության ամենատարբեր ընտրանքները պարբերաբար հրապարակում են OwaSp Top 10 հեղինակավոր վարկանիշը:
6. Կիրառել firewall դիմումների համար - WAF (Վեբ դիմում Firewall): Նա զննում է փոխանցվող երթեւեկությունը եւ վերահսկում է պահանջների օրինականությունը:
7. Օգտագործում CDN: Բովանդակության առաքման ցանց): Սա ցանցային առաքման ցանց է, որը գործում է բաշխված ցանցով: Մի քանի սերվերների կողմից տեսակավորված երթեւեկությունը, որոնք այցելուներին մուտք գործելիս նվազեցնում են ձգձգումը:
8. Վերահսկել մուտքային երթեւեկությունը Մուտքի հսկման ցուցակները (ACL)Եթե \u200b\u200bհստակեցվելու է օբյեկտի մուտք ունեցող անձանց ցուցակը (ծրագիր, գործընթաց կամ ֆայլ), ինչպես նաեւ դրանց դերը:
9. Կարող Արգելափակել երթեւեկությունըորը գալիս է հարձակողական սարքերից: Դա արվում է երկու եղանակով. Firewall- ի կամ ACL ցուցակների օգտագործումը: Առաջին դեպքում հատուկ հոսքը արգելափակված է, բայց էկրանները չեն կարող առանձնացնել «դրական» տրաֆիկը «բացասական» -ից: Եվ երկրորդում `երկրորդային արձանագրությունները զտվում են: Հետեւաբար, դա չի օգնի, եթե հաքերը կիրառի առաջնային պահանջներ:
10. Պաշտպանեք DNS- ի փչացումից, ձեզ հարկավոր է պարբերաբար Մաքրել քեշի DNS- ը:.
11. Օգտագործում Պաշտպանություն սպամի բոտերից - CAPTCHA (CAPTCHA), «Մարդու» ժամանակավոր շրջանակը լրացնելու ձեւերի, recaptcha (տուփ «Ես ռոբոտ չեմ») եւ այլն:
12. Հակադարձ հարձակումը, Բոլոր չարամիտ երթեւեկությունը վերահղվում է հարձակվողի: Դա կօգնի ոչ միայն արտացոլել հարձակումը, այլեւ ոչնչացնել հարձակվողի սերվերը:
13. Ռեսուրսների տեղավորում ըստ Մի քանի անկախ սերվերներ, Երբ մեկ սերվերից դուրս եք գալիս, մնացածը կապահովի արդյունավետություն:
14. Օգտագործելով հաստատված Ապարատային պաշտպանություն DDoS-Attack- ից: Օրինակ, Impletec Icore կամ DefencePro:
15. Ընտրեք հոստինգի մատակարար, որի հետ համագործակցում է Հուսալի մատակարար Կիբերանվտանգության ծառայություններ: Հուսալիության չափանիշների շարքում փորձագետները նույնականացնում են. Որակի երաշխիքների առկայությունը, պաշտպանության ապահովում սպառնալիքների առավել ամբողջական տեսականի, շուրջօրյա տեխնիկական աջակցություն, թափանցիկություն (վիճակագրություն եւ վերլուծություն եւ վերլուծություն) Սակագում:

Եզրակացություն

Այս հոդվածում մենք վերանայեցինք, թե ինչ է նշանակում DDoS հարձակումը եւ ինչպես պաշտպանել ձեր կայքը հարձակումներից: Կարեւոր է հիշել, որ նման վնասակար գործողությունները կարող են ձախողվել նույնիսկ ամենաապահով եւ ամենամեծ վեբ ռեսուրսները: Սա լուրջ հետեւանքներ կբերի հսկայական վնասների եւ հաճախորդների կորուստների տեսքով: Ահա թե ինչու, ձեր ռեսուրսը DDoS-Attack- ից ապահովելու համար `իրական առաջադրանք բոլոր առեւտրային կառույցների եւ պետական \u200b\u200bգերատեսչությունների համար:

Want անկանում եք պաշտպանության պրոֆեսիոնալ մակարդակ DDoS-Attack- ի դեմ. Ընտրեք: Մշտական \u200b\u200bմոնիտորինգ եւ շուրջօրյա տեխնիկական աջակցություն:

Վերջերս մենք կարողացանք համոզվել, որ DDoS հարձակումը բավականին ուժեղ զենք էր տեղեկատվական տարածքում: DDOS- ի, բարձր էներգիայի հարձակումների միջոցով դուք կարող եք ոչ միայն անջատել մեկ կամ մի քանի կայքեր, այլեւ խանգարել ցանցի ամբողջ հատվածի աշխատանքը կամ անջատել ինտերնետը փոքր երկրում: Այժմ DDOS- ի հարձակումները տեղի են ունենում ավելի ու ավելի հաճախ, եւ նրանց ուժն ամեն անգամ ավելանում է:

Բայց որն է նման հարձակման էությունը: Ինչ է պատահում ցանցում, երբ այն վազում է, որտեղ է եկել գաղափարը այդ ճանապարհից եւ ինչու է այդքան արդյունավետ: Այս բոլոր հարցերի պատասխանները կգտնեք մեր ընթացիկ հոդվածում:

DDOS- ը կամ բաժանված ժխտումը (պահպանման առանձնացված մերժումը) հարձակումը որոշակի համակարգչի վրա ցանցի վրա, որն այն պատճառ է հանդիսանում այլ օգտվողների պահանջներին չպատասխանելու համար:

Հասկանալու համար, թե ինչ է նշանակում DDoS հարձակումը, պատկերացնենք իրավիճակը. Վեբ սերվերը օգտվողներին տալիս է էջի էջի օգտագործողներին, ասենք, որ էջի ստեղծումը եւ դրա ամբողջ փոխանցումը կարող է աշխատել կես վայրկյան վայրկյանում երկու խնդրանքների հաճախականություն: Եթե \u200b\u200bավելի շատ նման պահանջներ կան, ապա դրանք կվարկվեն եւ վերամշակվելու են հենց վեբ սերվերը անվճար: Բոլոր նոր պահանջները ավելացվում են հերթի ավարտին: Եվ հիմա ես պատկերացնեմ, որ կան շատ պահանջներ, եւ նրանց մեծ մասը գնում է միայն այս սերվերը ծանրաբեռնելու համար:

Եթե \u200b\u200bնոր խնդրանքների ստացման արագությունը գերազանցում է վերամշակման արագությունը, ապա ժամանակի ընթացքում հարցման հերթը այնքան երկար կլինի, որ իրականում նոր պահանջներ չեն մշակվի: Սա DDoS հարձակման հիմնական սկզբունքն է: Նախկինում նման հարցումները ուղարկվել են մեկ IP հասցեից, եւ դա կոչվում էր հղման գրոհ `փաստորեն, սա այն հարցի պատասխանն է, թե որն է DOS- ը: Բայց նման հարձակումներով դուք կարող եք արդյունավետորեն պայքարել, պարզապես ավելացնելով աղբյուրի IP հասցեն կամ կողպեքի ցուցակի մի քանիսը, եւ ցանցի թողունակության սահմանափակումների պատճառով բազմակի սարքը չի առաջացնում բավարար քանակությամբ փաթեթներ `լուրջ սերվեր ծանրաբեռնվածության համար:

Հետեւաբար, այժմ գրոհները կատարվում են անմիջապես միլիոնավոր սարքերից: Distibed անկցված բառը ավելացվել է անվանմանը, պարզվեց, DDOS: Ըստ մեկի, այս սարքերը ոչինչ չեն նշանակում, եւ հնարավոր է միանալ ինտերնետին `ոչ շատ մեծ արագությամբ, բայց երբ նրանք սկսում են միաժամանակ ուղարկել մեկ սերվերի ընդհանուր արագության, նրանք կարող են հասնել մինչեւ 10 տբ / ս. Եվ սա բավականին լուրջ ցուցանիշ է:

Մնում է հասկանալ, թե որտեղ են հարձակվողները պահում այդքան սարքեր, կատարելու իրենց հարձակումները: Սրանք սովորական համակարգիչներ են, կամ զանազան սարքեր, որոնց վրա հարձակվողները կարողացան մուտք գործել: Դա կարող է լինել ցանկացած բան, տեսախցիկներ եւ երթուղիչներ `երկարատեւ թարմացված որոնվածով, կառավարման սարքերի, լավ եւ սովորական օգտագործողներ, ովքեր ինչ-որ կերպ վերցրել են վիրուսը եւ չգիտեն դրա գոյության մասին կամ չեն շտապում ջնջել դրա գոյությունը:

DDoS ATAK- ի տեսակները

DDoS հարձակման երկու հիմնական տեսակ կա, ոմանք կենտրոնացած են հատուկ ծրագրի ծանրաբեռնվածության վրա եւ գրոհներ, որոնք ուղղված են ցանցային ալիքը նպատակային համակարգչին ծանրաբեռնվածության վրա:

Any անկացած ծրագրի գերբեռնվածության վրա հարձակումը նույնպես կոչվում է հարձակումներ 7-ում (OSI ցանցի շահագործման մոդելում `յոթ մակարդակ եւ վերջիններ): Հարձակվողը հարձակվում է մի ծրագրի վրա, որն օգտագործում է շատ սերվերի ռեսուրսներ, ուղարկելով մեծ թվով հարցումներ: Ի վերջո, ծրագիրը ժամանակ չունի բոլոր կապերը մշակելու համար: Այս տեսակները, որոնք մենք համարեցինք ավելի բարձր:

Ինտերնետային հեռուստաալիքի վրա գտնվող DOS գրոհները պահանջում են շատ ավելի շատ ռեսուրսներ, բայց նրանց հետ հաղթահարելը շատ ավելի դժվար է: Եթե \u200b\u200bosi- ի հետ անալոգիա եք առաջացնում, ապա սրանք 3-4 մակարդակի վրա գրոհներ են, այն գտնվում է ալիքի կամ տվյալների փոխանցման արձանագրության վրա: Փաստն այն է, որ ցանկացած ինտերնետ կապ ունի իր արագության սահմանը, որի միջոցով տվյալները կարող են փոխանցվել: Եթե \u200b\u200bկա շատ տվյալներ, ցանցի սարքավորումները, ինչպես հաղորդումը, դրանք կդնի փոխանցման հերթում, եւ եթե տվյալների քանակը եւ դրանց ստացման արագությունը շատ բարձր կլինեն ալիքի արագությամբ, այն ծանրաբեռնված կլինի: Նման դեպքերում տվյալների փոխանցման տոկոսադրույքը կարող է հաշվարկվել Gigabytes- ում `վայրկյանում: Օրինակ, Ինտերնետից ազատվելու դեպքում Լիբերիայի փոքր երկիրը, տվյալների փոխանցման փոխարժեքը մինչեւ 5 տբ / վ: Այնուամենայնիվ, 20-40 Գբ / վը բավարար է ցանցային ենթակառուցվածքների մեծ մասը ծանրաբեռնելու համար:

DDoS հարձակման ծագումը

Վերեւում մենք նայեցինք, թե ինչ են հարձակումները, ինչպես նաեւ DDOS հարձակման մեթոդները, ժամանակն է գնալ իրենց ծագման: Երբեւէ մտածել եք, թե ինչու են այդ հարձակումներն այդքան արդյունավետ: Դրանք հիմնված են ռազմական ռազմավարությունների վրա, որոնք մշակվել եւ ստուգվել են շատ տասնամյակների ընթացքում:

Ընդհանուր առմամբ, տեղեկատվական անվտանգության շատ մոտեցումներից շատերը հիմնված են անցյալի ռազմական ռազմավարությունների վրա: Կան տրոյան վիրուսներ, որոնք նման են հնագույն պայքարին Troy- ի, շղարշային վիրուսների, որոնք գողանում են ձեր ֆայլերը `թշնամու ռեսուրսները սահմանափակող մարման եւ DDOS- ի գրոհները ստանալու համար: Սահմանափակելով հակառակորդի կարողությունը, դուք որոշակի վերահսկողություն եք ստանում դրա հետագա գործողությունների վերաբերյալ: Այս մարտավարությունը շատ լավ է աշխատում, ինչ վերաբերում է ռազմական ստրատեգներին: Այսպես, կիբերհանցագործների համար:

Ռազմական ռազմավարության դեպքում մենք կարող ենք շատ մտածել այն ռեսուրսների տեսակների մասին, որոնք կարող են սահմանափակվել `սահմանափակելով թշնամու հնարավորությունները: Water րի, սննդի եւ շինանյութերի սահմանափակումը պարզապես ոչնչացնելու էր թշնամուն: Համակարգիչները բոլորն այստեղ տարբեր են, կան տարբեր ծառայություններ, ինչպիսիք են DNS- ը, վեբ սերվերը, էլփոստի սերվեր: Նրանց բոլորն ունեն այլ ենթակառուցվածքներ, բայց կա մի բան, որը նրանց միավորում է: Սա ցանց է: Առանց ցանցի, դուք չեք կարողանա մուտք գործել հեռավոր ծառայություն:

Հրամանատարը կարող է թունավորել ջուրը, բերքը այրել եւ կազմակերպել անցակետեր: CyberCriminals- ը կարող է սխալ տվյալներ ուղարկել ծառայության մեջ, ստիպեք պահանջել բոլոր հիշողությունը սպառում կամ ամբողջովին ճնշել ցանցային ամբողջ ալիքը: Պաշտպանության ռազմավարությունները նույնպես ունեն նույն արմատները: Սերվերի ադմինիստրատորը ստիպված կլինի հետեւել մուտքային տրաֆիկին `չարամիտ գտնելու եւ այն արգելափակելու համար, նախքան այն հասնի թիրախային ցանցի կամ ծրագրի:

Հիմնադրամի եւ կայքի ադմինիստրատորի կայք, Վայելեք բաց ծրագրակազմ եւ Linux օպերացիոն համակարգ: Որպես հիմնական OS Այժմ ես օգտագործում եմ Ubuntu- ն: Linux- ից բացի, ինձ հետաքրքրում է այն ամենը, ինչը կապված է տեղեկատվական տեխնոլոգիաների եւ ժամանակակից գիտության հետ:

Եթե \u200b\u200bկարդաք մեր ուղեցույցը եւ իրականացնեք նկարագրված բոլոր տեխնոլոգիաները `ապահովեք ձեր համակարգիչը հաքերային սպառնալիքներից: Մի անտեսեք սա:

Տեղեկատվական անվտանգության ոլորտում DDOS- ի հարձակումները գրավում են էլեկտրոնային սպառնալիքների վարկանիշի առաջատար վայրերից մեկը: Բայց օգտագործողների մեծամասնությունը շատ սահմանափակ գիտելիքներ ունի այս թեմայի մեջ: Այժմ մենք հնարավորինս կփորձենք հնարավորինս եւ մատչելի լինել այս թեման բացահայտելու համար, որպեսզի պատկերացնեք, թե ինչ է իրականացվում էլեկտրոնային սպառնալիքների այս տեսակը, եւ, համապատասխանաբար, ինչպես արդյունավետորեն վարվել: Այսպիսով, ծանոթացեք `DDoS հարձակումը:

Տերմինաբանություն

Նույն լեզվով խոսելու համար մենք պետք է մուտքագրեք պայմաններն ու դրանց սահմանումները:

DOS Attack - Պահպանման մերժման տեսակը: Հետեւաբար անգլերենի կրճատման DOS - ծառայության մերժումը: Ենթածրագրերից մեկը բաշխված հարձակումը է, որը միաժամանակ իրականացվում է մի քանի եւ որպես կանոն, մեծ թվով հաղորդավարներ: Քննարկման մեծ մասը մենք նվիրում ենք այս տարբերակներին, քանի որ DDoS Attack- ը ավելի կործանարար հետեւանքներ է ունենում, եւ էական տարբերություն միայն հարձակման համար օգտագործվող տանտերերի քանակով:

Ձեզ համար ավելի հեշտ դարձնելու համար, Այսպիսի գործողություններ ուղղված են ցանկացած ծառայության ժամանակավոր դադարեցմանը: Այն կարող է լինել առանձին կայք ցանցի, խոշոր ինտերնետ կամ բջջային մատակարար, ինչպես նաեւ առանձին ծառայություն (պլաստիկ քարտեր ստանալը): Որպեսզի հարձակումը հաջողության հասնի, եւ բերեց ապակառուցողական գործողություններ, անհրաժեշտ է այն կատարել մեծ թվով միավորներով (այսուհետ այս պահը կդիտարկվի ավելի մանրամասն): Հետեւաբար «բաշխված հարձակումը»: Բայց էությունը մնում է նույնը `ընդհատել որոշակի համակարգի աշխատանքը:

Պատկերի ամբողջականության համար հարկավոր է հասկանալ, թե ով եւ ինչ նպատակով են նման գործողություններ անում:

Հարձակումներ, ինչպիսիք են «պահպանումը մերժելը», ինչպես համակարգչային այլ հանցագործությունների, պատժվում են օրենքով: Հետեւաբար, նյութը ներկայացված է միայն տեղեկատվական նպատակներով: Դրանք իրականացվում են ՏՏ մասնագետների կողմից, մարդիկ, ովքեր լավ տիրապետում են «համակարգիչների» եւ «Հաշվարկող ցանցերի» թեմաներին, կամ արդեն նորաձեւ են խոսելու, հակերներ: Ըստ էության, այս իրադարձությունը նպատակ ունի շահույթ ստանալ, քանի որ որպես կանոն, DDOS- ի հարձակումները պատվիրել են անբարեխիղճ մրցակիցներին: Տեղին կլինի փոքր օրինակ բերել:

Ենթադրենք, փոքր քաղաքի ծառայությունների շուկայում գործում են ինտերնետի երկու հիմնական մատակարար: Եվ նրանցից մեկը ցանկանում է քամել մրցակիցը: Նրանք պատվիրում են հակերներին, որոնք բաշխում են DOS հարձակումը մրցակցային սերվերի վրա: Իսկ երկրորդ մատակարարը `իր ցանցը ծանրաբեռնելու պատճառով այլեւս ի վիճակի չէ ինտերնետին հասանելի լինել իր օգտագործողներին: Արդյունքում `հաճախորդների կորուստ եւ հեղինակություն: Հաքերները ստանում են իրենց վարձատրությունը, անավարտ մատակարարը `նոր հաճախորդներ:

Բայց դեպքեր չկան, երբ «DDOSE» եւ պարզապես զվարճանքի կամ սպառման հմտությունների համար:

Բաշխված DDoS հարձակումը

Անմիջապես համաձայնենք. Մենք կզբաղվենք համակարգչային հարձակումներով: Հետեւաբար, եթե մենք խոսում ենք մի քանի սարքերի մասին, որոնց հետ հարձակումը կատարվում է, այն կլինի ապօրինի ծրագրաշար ունեցող համակարգիչներ:

Այստեղ տեղին է նաեւ մի փոքր շեղվել. Ըստ էության, ցանկացած ծառայության կամ ծառայության աշխատանքը դադարեցնելու համար հարկավոր է գերազանցել դրա համար առավելագույն բեռը: Ամենահեշտ օրինակը կայքի հասանելիությունն է: Այսպես թե այնպես, այն նախատեսված է որոշակի գագաթնակետի հաճախելիության համար: Եթե \u200b\u200bժամանակի որոշակի պահի դրությամբ կայքը տաս անգամ ավելի շատ մարդ է գնա համապատասխանաբար, սերվերը ի վիճակի չէ մշակել այս քանակը եւ կդադարի աշխատել: Եվ այս պահին կապերը կիրականացվեն մեծ թվով համակարգիչներով: Սա կլինի այն հանգույցները, որոնք քննարկվել են վերեւում:

Տեսնենք, թե ինչպես է այն նայում ներքեւում գտնվող դիագրամում.

Ինչպես տեսնում եք, հակերներն ստացել են մեծ թվով հարմարեցված համակարգիչներ եւ տեղադրել իրենց լրտեսող ծրագրակազմը: Նրա շնորհիվ նա այժմ կարող է կատարել անհրաժեշտ գործողություններ: Մեր դեպքում, DDOS հարձակումը իրականացնելու համար:

Այսպիսով, եթե համակարգչում աշխատելիս չեք համապատասխանում անվտանգության կանոններին, կարող եք անցնել վիրուսային վարակ: Եվ միգուցե ձեր համակարգիչը կօգտագործվի որպես հանգույց, չարամիտ գործողությունների իրականացման համար:

Դուք հարմար կլինեքՀոդվածում մենք նկարագրեցինք անվտանգության որոշ ասպեկտներ:

Բայց ինչպես դրանք կօգտագործվեն, կախված է նրանից, թե ինչ տարբերակ է ընտրվում հարձակվողը

DDoS ATAK- ի դասակարգում:

Հարձակվողների հետեւյալ տեսակները կարող են ձեռնարկվել հարձակվողների կողմից.

1. Ծանրաբեռնված թողունակություն, Այսպիսով, ցանցին միացված համակարգիչները կարող են նորմալ շփվել, հաղորդակցման ալիքը, որի միջոցով դրանք կապված են, պետք է նորմալ աշխատեն եւ հատուկ առաջադրանքների համար ապահովեն բավարար պարամետրեր (օրինակ, թողունակություն): Հարձակման այս տեսակը ուղարկվում է ծանրաբեռնված ցանցային հաղորդակցման ալիքներ: Դա ձեռք է բերվում անընդհատ անհապաղ կամ համակարգի տեղեկատվություն ուղարկելու միջոցով (Ping Command)
2. Ռեսուրսների սահմանափակումը, Այս տեսակը, որը մենք արդեն դիտարկել ենք վերեւում, օրինակ, կայք մուտք ունենալու համար: Ինչպես նշեցինք. Սերվերը ուներ միաժամանակյա միաժամանակյա մի շարք կապեր լուծելու: Հարձակվողը պետք է ուղարկի մեծ թվով միաժամանակյա մի շարք մի շարք սերվեր: Արդյունքում սերվերը չի հաղթահարելու բեռը եւ կդադարի աշխատել:
3. Հարձակում DNS սերվերի վրա, Այս դեպքում DDoS Attack- ը կոչված է նաեւ դադարեցնել կայքը մուտք գործել: Մեկ այլ տարբերակ `օգտագործողին ճիշտ կայքից շտկելը` կեղծ: Դա կարելի է անել անձնական տվյալների առեւանգման նպատակով: Դա ձեռք է բերվում DNS սերվերի վրա հարձակման հետեւանքով եւ IP հասցեները կեղծելու համար: Եկեք վերլուծենք այն օրինակով: Որոշակի բանկն օգտագործում է իր կայքը `ինտերնետում հաշվարկելու համար: Օգտագործողը պետք է գնա դրան եւ մուտքագրեք իր պլաստիկ քարտի տվյալները: Այս տեղեկատվությունը առեւանգելու նպատակով հարձակվողը նմանատիպ կայք է ստեղծում եւ հարձակումը պահում է սերվերի DNS (Անվան սերվերի) վրա: Այս միջոցառման նպատակն է օգտագործողին վերահղել հարձակվողի կայքին, երբ նա փորձում է գնալ բանկի կայքում: Եթե \u200b\u200bդա հաջողվի, օգտագործողը չի կասկածում սպառնալիքը, իր անձնական տվյալները փոխանցում է հարձակվողի կայքում, եւ նա կստանա նրանց հասանելիություն:
4. Claw ծրագրաշարի մեջ, Հարձակման այս տեսակը ամենադժվարն է: Հարձակվողները բացահայտում են ծրագրակազմում թերություններ եւ օգտագործում են դրանք համակարգը ոչնչացնելու համար: Նման DDOS հարձակումը պատվիրելու համար անհրաժեշտ կլինի մեծ գումարներ ծախսել:

Ինչպես անցկացնել DDOS հարձակումը ձեր սեփական ձեռքերով

Որպես օրինակ, որոշեցինք ձեզ ցույց տալ, թե ինչպես իրականացնել DDoS Attack, օգտագործելով հատուկ ծրագրակազմ:

Նախ, ներբեռնեք ծրագիրը այս հասցեում: Դրանից հետո գործարկեք այն: Դուք պետք է տեսնեք StartUp պատուհանը.

Դուք պետք է ունենաք նվազագույն պարամետրեր.

1. «URL» սյունակում մենք գրում ենք այն կայքի հասցեն, որը մենք ցանկանում ենք հարձակվել
2. Այնուհետեւ կտտացրեք «Կողպեք» կոճակը. Մենք կտեսնենք թիրախային ռեսուրսը
3. Մենք դնում ենք TCP մեթոդը
4. Ընտրեք թելերի քանակը (թելեր)
5. Սլայդերի միջոցով ուղարկելու արագությունը բացահայտելը
6. Երբ բոլոր պարամետրերն ավարտվեն, կտտացրեք «IMMA LAMIN MAH LAZER» կոճակը

Բոլորը - Հարձակումը սկսվեց: Կրկին կրկնում եմ, բոլոր գործողությունները ներկայացված են տեղեկատվական նպատակներով:

Ինչպես պաշտպանել DDOS- ի հարձակումներից

Դուք հավանաբար արդեն հասկացել եք, որ սպառնալիքների այս տեսակը շատ վտանգավոր է: Եվ, հետեւաբար, շատ կարեւոր է իմանալ պայքարի մեթոդներն ու սկզբունքները եւ կանխել բաշխված հարձակումները:

1. Զտիչ համակարգեր տեղադրելը. Առաջադրանք համակարգի ադմինիստրատորների եւ հոստինգի մատակարարների համար
2. DDoS Attack- ից պաշտպանական համակարգերի ձեռքբերում (ծրագրային եւ սարքավորումների համալիրներ)
3. Օգտագործելով Firewall եւ Access Control ցուցակները (ACL) - Այս միջոցը ուղղված է կասկածելի տրաֆիկի զտմանը:
4. Բարձրացնել մատչելի ռեսուրսները եւ ամրագրման համակարգերի տեղադրում
5. Պատասխան տեխնիկական եւ իրավական միջոցներ: Մինչեւ հանցագործը քրեական պատասխանատվության ենթարկելը

Տեսանյութը հոդվածին.

Եզրակացություն

Այժմ դուք հավանաբար հասկանում եք DDoS հարձակումների ողջ վտանգը: Իրենց ռեսուրսների անվտանգությունն ապահովելու համար անհրաժեշտ է շատ պատասխանատու մոտենալ, առանց խնայելու ժամանակը, ուժերը եւ փողը: Նույնիսկ ավելի լավ է ունենալ առանձին մասնագետ կամ տեղեկատվական անվտանգության մի ամբողջ վարչություն:

Մշտական \u200b\u200bընթերցողները շատ հաճախ հարց են տվել, քանի որ կարող եք խմբագրել տեքստը, եթե ֆայլն ունի PDF ձեւաչափ: Պատասխանը կարելի է գտնել նյութում -

Ձեր տվյալները պաշտպանելու համար կարող եք օգտագործել միջոցների մի ամբողջ շարք: Այս տարբերակներից մեկն է

Եթե \u200b\u200bՁեզ անհրաժեշտ է խմբագրել ձեր առցանց տեսանյութը, մենք պատրաստել ենք հանրաճանաչ ակնարկ:

Ինչու տեղեկատվություն փնտրեք այլ կայքերի վերաբերյալ, եթե մեզանից ամեն ինչ հավաքվի:

DDoS Attack- ի հետ պայքարը. Աշխատանքը ոչ միայն դժվար է, այլեւ հետաքրքրաշարժ: Զարմանալի չէ, որ յուրաքանչյուր Sysadmin առաջին հերթին փորձում է ինքնուրույն կազմակերպել պաշտպանություն. Հատկապես, քանի որ այն դեռ հնարավոր է:

Մենք որոշեցինք օգնել ձեզ այս դժվարին եւ հրատարակել որոշ կարճ, չնչին եւ համընդհանուր խորհրդատվություն ձեր կայքի պաշտպանության վերաբերյալ հարձակումներից: Նվազեցված բաղադրատոմսերը չեն օգնի ձեզ հաղթահարել ցանկացած հարձակումը, բայց վտանգներից շատերը կփրկվեն:

Ճիշտ բաղադրիչները

Կտրուկ ճշմարտությունն այն է, որ շատ կայքեր կարող են տեղադրել բոլոր նրանց, ովքեր ցանկանում են օգտագործել դանդաղորեն սպանելով Apache- ը կամ այսպես կոչված սինհղածածկումը լուծելը Amazon EC2 Cloud- ում բարձրացված վիրտուալ սերվերներ օգտագործելով: Մեր ապագա DDOS- ի պաշտպանության բոլոր խորհուրդները հիմնված են հետեւյալ կարեւոր պայմանների վրա:

1. Հրաժարվեք Windows սերվերից

Պրակտիկան ենթադրում է, որ Windows- ի վրա աշխատող կայքը (2003 կամ 2008-ը անկախ է), DDOS- ի դեպքում դատապարտված է: Ձախողման պատճառը Windows ցանցի կեռակում կայանում է. Երբ կապերը շատ են դառնում, սերվերը, անշուշտ, սկսում է վատ պատասխանել: Մենք չգիտենք, թե ինչու Windows սերվերը աշխատում է այնպիսի իրավիճակներում, որը այդքան հեղինակավոր է, բայց դրանք բախվել են ավելի քան մեկ անգամ եւ ոչ երկուսը: Այդ իսկ պատճառով, այս հոդվածը կշարունակվի այն դեպքում, երբ DDOS հարձակումներից պաշտպանվելու միջոցներով, երբ սերվերը պտտվում է Linux- ում: Եթե \u200b\u200bդուք երջանիկ տերն եք ժամանակակից միջուկի հետ (սկսած 2.6-ից), ապա կօգտագործվեն iptables եւ iPet- ի կոմունալ ծառայություններ, որպես հիմնական գործիքակազմ (արագորեն ավելացնել IP հասցեները): Հաջողության մեկ այլ բանալին պատշաճ եփած ցանցի կեռն է, որը մենք նույնպես կխոսենք:

2. Մաս `Apache

Երկրորդ կարեւոր պայմանը Apache- ի մերժումն է: Եթե \u200b\u200bնույնիսկ մեկ ժամ չեք, ապա արժե apache- ն, ապա գոնե պահեք պահոցային վստահված անձը դրա դիմաց `NGINX կամ LIGHTTPD: Apache «Դա շատ դժվար է ֆայլեր տալը, եւ, նույնիսկ ավելի վատը, այն հիմնարար մակարդակի վրա է (այսինքն, աննկատելիորեն խոցելի է վտանգավոր դանդաղաշարժ հարձակման համար) Դանդաղեցման տեսակները, Apache օգտագործողները եկել են Patch First- ի առաջին հակահամաճարակային, ապա mod_noloris, ապա mod_noloris, ապա mod_rantiloris, mod_limitipconn, mod_reqimeout ... Բայց եթե ուզում եք գիշերը լավ քնել, ավելի հեշտ է վերցնել HTTP սերվեր Կոդի ճարտարապետության մակարդակում դանդաղեցնելու համար: Հետեւաբար, մեր հետագա բոլոր բաղադրատոմսերը հիմնված են ենթադրության վրա, որ առաջնագծում օգտագործվում է NGINX- ը:

Պայքար DDos- ից:

Ինչ կլինի, եթե Դդոսը եկավ: Ավանդական ինքնապաշտպանական տեխնիկան HTTP սերվերի տեղեկամատյան ֆայլը կարդալն է, գրեք նմուշ, Grep- ի համար (բոտերի բոտեր պատրաստելը) եւ արգելեք բոլորին, ովքեր ընկնում են դրա տակ: Այս տեխնիկան կաշխատի ... Եթե հաջողակ եք: Batnets- ը երկու տեսակ է, երկուսն էլ վտանգավոր են, բայց տարբեր ձեւերով: Մեկը ամբողջովին գալիս է կայքում անմիջապես, մյուսը աստիճանաբար է: Առաջինը սպանում է ամեն ինչ եւ անմիջապես, բայց տեղեկամատյանները ամբողջությամբ հայտնվում են տեղեկամատյաններում, եւ եթե դրանք արգելում են եւ զարմացնում եք բոլոր IP հասցեները, ապա հաղթող եք: Երկրորդ Botnet- ը կայքը նրբորեն եւ ուշադիր է, բայց այն պետք է արգելվի այն, գուցե օրվա ընթացքում: Կարեւոր է հասկանալ ցանկացած ադմինիստրատոր. Եթե նախատեսվում է պայքարել GREP- ի դեմ, ապա պետք է պատրաստ լինեք հարձակման դեմ պայքարին մի քանի օր: Ստորեւ ներկայացված են այն խորհուրդները, թե որտեղ կարող եք նախօրոք ծղոտներ դնել, որպեսզի աշնանը այնքան ցավոտ չէ:

3. Օգտագործեք TestCookie մոդուլը

Թերեւս սույն հոդվածի ամենակարեւոր, արդյունավետ եւ գործառնական բաղադրատոմսը: Եթե \u200b\u200bDDO- ները գալիս են ձեր կայք, ապա @ KKYPRIZEL COEXLER- ի կողմից մշակված TestCookie-Nginx մոդուլը կարող է դառնալ առավել արդյունավետ միջոց: Գաղափարը պարզ է: Ամենից հաճախ, HTTP ջրհեղեղները իրականացնող բոտերը բավականին հիմար են եւ չունեն http բլիթներ եւ վերահղման մեխանիզմներ: Երբեմն ավելի առաջադեմ. Նման կարող են օգտագործել բլիթներ եւ վերամշակել վերահղումները, բայց գրեթե երբեք dos-bot- ը կրում է լիարժեք JavaScript շարժիչ (չնայած այն ավելի հաճախ եւ ավելի հաճախ է): TestCookie-Nginx- ը աշխատում է որպես արագ ֆիլտր բոտերի եւ L7 DDoS հարձակման ընթացքում, թույլ տալով կտրել աղբի հարցումները: Ինչ է ներառված այս ստուգումներում: Անկախ նրանից, թե հաճախորդը կարող է իրականացնել HTTP վերահղումը, անկախ նրանից, թե JavaScript- ը աջակցում է, արդյոք նա զննարկիչն է, որի համար նա տալիս է ամենուր, եւ եթե հաճախորդը կարող է ասել, որ նա կարող ենք դա ստուգել): Ստուգումը իրականացվում է բլիթներով `օգտագործելով տարբեր մեթոդներ.

• «Սահմանել cookie» + վերահղումը 301 HTTP տեղում.
• «Սեթ-բլիթ» + վերահղում HTML Meta Refresh- ի հետ;
• Կամայական ձեւանմուշ, եւ դուք կարող եք օգտագործել JavaScript- ը:

Ավտոմատ վերլուծությունից խուսափելու համար թխուկների փորձարկումը կարող է կոդավորված լինել AES-128- ի միջոցով եւ հետագայում ապակոդավորված է JavaScript հաճախորդի կողմից: Մոդուլի նոր տարբերակում հնարավոր էր պատրաստել խոհարարներ Flash- ի միջոցով, ինչը թույլ է տալիս նաեւ արդյունավետորեն կտրել բոտերը (որ Flash- ը սովորաբար չի ապահովվում), բայց, այնուամենայնիվ, արգելափակում է շատ օրինական օգտագործողների համար (իրականում բոլոր բջջային սարքերը) ): Հատկանշական է, որ սկսեք օգտագործել TestCookie-Nginx- ը չափազանց պարզ: Մշակողը, մասնավորապես, ղեկավարում է օգտագործման մի քանի հասկանալի օրինակներ (տարբեր հարձակման դեպքերի համար), NGINX- ի կազմաձեւման նմուշներով:

Բացի առավելություններից, TestCookie- ն ունի թերություններ.

• Կտրում է բոլոր բոտերը, ներառյալ Googlebot- ը: Եթե \u200b\u200bնախատեսում եք թեստային հիմունքներով թողնել, համոզվեք, որ դուք չեք անհետանում որոնման արդյունքներից.
• Բրաուզերների հղում ունեցող օգտվողների հետ խնդիրներ է ստեղծում, W3M եւ նրանց նման.
• Չի խնայում բոստերով հագեցած բոտերով `JavaScript- ով լիարժեք զննարկիչ շարժիչով:

Մի խոսքով, TestCookie_Module- ը համընդհանուր չէ: Բայց մի շարք բաներից, օրինակ, օրինակ, primitive գործիքներ Java եւ C # համար, այն օգնում է: Այսպիսով, դուք կտրում եք սպառնալիքի մի մասը:

4. Կոդ 444:

DDos'er- ի նպատակը հաճախ դառնում է կայքի առավել ռեսուրսային մաս: Բնորոշ օրինակ է որոնումը, որը բարդ հարցումներ է կատարում տվյալների բազայում: Բնականաբար, հարձակվողները կարող են օգտվել դրանից, միանգամից գանձելով մի քանի տասնյակ հազարավոր պահանջներ որոնիչին: Ինչ կարող ենք մենք անել? Ժամանակավորապես անջատեք որոնումը: Թող հաճախորդները չկարողանան ներկառուցված միջոցներով որոնել անհրաժեշտ տեղեկատվությունը, բայց ամբողջ հիմնական կայքը կմնա աշխատանքային վիճակում, քանի դեռ չեք գտնի բոլոր խնդիրների արմատը: Nginx- ը աջակցում է 444 ոչ ստանդարտ կոդին, ինչը թույլ է տալիս պարզապես փակել կապը եւ ի պատասխան որեւէ բան տալ.

Գտնվելու վայրը / որոնում (վերադարձ 444;)

Այսպիսով, հնարավոր է, օրինակ, արագորեն իրականացնել url- ի զտումը: Եթե \u200b\u200bվստահ եք, որ գտնվելու վայրը / որոնումը գալիս է միայն բոտերից (օրինակ, ձեր վստահությունը հիմնված է այն փաստի վրա, որ ձեր կայքում չկա բաժանում / արգելքի բոտեր Սցենար

Ipet -n Ban iPhash Tail -f Access.log | Կարդալով գծի. Արեք «$ գիծ» | \\ cut -d "" "" -f3 | Կտրեք -D "" -f2 | GREP -Q 444 && ipset -a Ban "$ (L %% *)»; արված

Եթե \u200b\u200bտեղեկամատյանների ֆայլի ձեւաչափը ոչ ստանդարտ է (ոչ կոմբո), կամ անհրաժեշտ է արգելել այլ նշաններ, քան պատասխան կարգավիճակը, կարող է անհրաժեշտ լինել փոխարինել պարբերաբար արտահայտվելու համար:

5. Banya by GeoD- ի կողմից

444-ի ոչ ստանդարտ արձագանքման կոդը կարող է նաեւ օգտակար լինել Geo- ձեռքբերման վրա հաճախորդների գործառնական արգելքի համար: Դժվար թե կարողանաք սահմանափակել առանձին երկրները, որոնք անհարմար են: Եկեք ասենք, Դժվար թե Դոնի Ռոստով-Օփերասի առցանց խանութում Եգիպտոսում շատ օգտվողներ կան: Սա շատ լավ միջոց չէ (պարզապես ասում է `զզվելի), քանի որ Geoip- ի տվյալները անճիշտ են, եւ Ռոստովները երբեմն հանգստանում են Եգիպտոս: Բայց եթե կորցնելու բան չունեք, ապա հետեւեք հրահանգներին.

1. Միացեք Nginx Geoip մոդուլին (wiki.nginx.org/httpgeoipmodule):
2. Display ուցադրել Geoust- ի տեղեկատվությունը մուտքի մատյանում:
3. Ավելին, վերը նշված Shell- ի սցենարը, Progrept AccessLog Nginx- ի փոփոխությունը եւ հաճախորդների համար ավելացված աշխարհագրական նշաններ արգելքի մեջ:

Եթե, օրինակ, մեծ մասամբ բոտերը Չինաստանից էին, դա կարող է օգնել:

6. Նյարդային ցանց (POC)

Վերջապես, դուք կարող եք կրկնել @ savetherbtz խաղի փորձը, որը վերցրեց նյարդային ցանցի Pybrain- ը, լցոնեց մուտքը դրա մեջ եւ վերլուծեց հարցումները (habrahabr.ru/336237): Մեթոդ աշխատել, չնայած ոչ համընդհանուր :): Բայց եթե դուք իսկապես գիտեք ձեր կայքի ներդրումը, եւ դուք, որպես համակարգի կառավարիչ, պետք է հնարավորություն ունենաք, որ առավել ողբերգական իրավիճակներում նման գործիքակազմը, որը հիմնված է նյարդային ցանցերի վրա, կօգնի ձեզ , Այս դեպքում չափազանց օգտակար է Access.log- ը նախքան DDOS- ի մեկնարկը «ա, քանի որ այն նկարագրում է օրինական հաճախորդների գրեթե 100% -ը, եւ, հետեւաբար, նյարդային ցանցի վերապատրաստման համար մեծ տվյալների բազա միշտ չէ, որ տեսանելի են:

Խնդրի ախտորոշում

Կայքը չի գործում. Ինչու: Նրա DDoSaim- ը, թե արդյոք ծրագրավորողի կողմից չի նկատվում Jag վրիպակ: Երբեք դեմ չեմ լինի: Մի փնտրեք պատասխան այս հարցին: Եթե \u200b\u200bկարծում եք, որ ձեր կայքը կարող է հարձակվել, կապի ընկերություններ, որոնք կապի համար պաշտպանություն են ապահովում `մի շարք հակա-դդպրոսային ծառայություններ` միացման առաջին օրվա համար `ախտանիշների որոնման համար: Կենտրոնանալ խնդրի վրա: Եթե \u200b\u200bկայքը դանդաղ է գործում կամ ընդհանրապես չի բացվում, դա նշանակում է, որ այն չի ունենա ինչ-որ բան ներկայացումով, եւ - անկախ նրանից, թե ոչ, դուք պարտավոր եք հասկանալ Այն Մենք բազմիցս ականատես ենք եղել, թե ինչպես է ընկերությունը, ձեր կայքի աշխատանքի հետ կապված դժվարություններ, DDoS հարձակման պատճառով, փոխարենը տեղում թույլ կետեր գտնելու փոխարեն, փորձեց պատասխաններ ուղարկել եւ պատժել հարձակվողներին: Թույլ մի տվեք նման սխալներ: Կիբերհանցագործների որոնումը դժվար եւ երկարաժամկետ գործընթաց է, որը բարդ է ինտերնետի կառուցվածքն ու սկզբունքները, եւ կայքի աշխատանքի հետ կապված խնդիրը պետք է արագ լուծվի: Տեխնիկական մասնագետներ պատրաստեք գտնելու, թե ինչն է կայքի կադրի պատճառը ընկած, եւ դիմումը կկարողանա գրել փաստաբաններ:

7. Օգտագործեք պրոֆիլավոր եւ կարգաբերում

Ամենատարածված վեբ կայքերի ստեղծման պլատֆորմի համար - PHP + MySQL - Bottleneck- ը կարող է ստորագրվել հետեւյալ գործիքների միջոցով.

• xdebug Profiler- ը ցույց կտա, թե որ դիմումն անվանում է առավելագույն ժամանակ.
• Ներկառուցված կարգաբերիչ APD- ն եւ սխալի տեղեկամատյանում Debug ելքը կօգնեն պարզել, թե որ ծածկագիրն է իրականացնում այդ մարտահրավերները.
• Շատ դեպքերում շունը թաղված է տվյալների բազայում պահանջների բարդության եւ ծանրության մեջ: Այստեղ կօգնի բացատրել SQL տվյալների բազան, որը ներկառուցված է շարժիչով:

Եթե \u200b\u200bկայքը պատահականորեն ստանձնվի, եւ ոչինչ չեք կորցնի, անջատեք ցանցը, նայեք տեղեկամատյաններին, փորձեք կորցնել դրանք: Եթե \u200b\u200bոչ ստում է, անցեք էջերը, նայեք բազան:

Օրինակ է տրամադրվում PHP- ի համար, բայց գաղափարը վավեր է ցանկացած հարթակի համար: Ծրագրավորման ցանկացած լեզվով ծրագրավորողի ծրագրային ապահովման արտադրանքները պետք է կարողանան արագ կիրառել դեբառը եւ պրոֆիլը: Նախապես պրակտիկա:

8. Չարագործեք սխալները

Վերլուծեք երթեւեկության ծավալը, սերվերի արձագանքման ժամանակը, սխալների քանակը: Դրա համար տես տեղեկամատյանները: Nginx- ում սերվերի արձագանքման ժամանակը գրանցվում է երկու փոփոխականով. Հարցում_ Ժամկետ եւ upstream_response_time. Առաջինը հարցման կատարման լրիվ դրույքն է, ներառյալ ցանցի ձգձգումները օգտագործողի եւ սերվերի միջեւ. Երկրորդ զեկույցները, թե որքանով է պահում (Apache, PHP_FPM, Uwsgi ...): Upstream_response_time արժեքը չափազանց կարեւոր է մեծ թվով դինամիկ բովանդակություն եւ տվյալների բազայի հետ ակտիվ հաղորդակցություն, դրանք չեն կարող անտեսվել: Կարող եք օգտագործել այդպիսի կազմաձեւ, որպես տեղեկամատյան ձեւաչափ.

Log_format xakep_log "$ remote_addr - $ remote_user [$ mime_local]" "" $) "$ status $ body_bytes_te"

Սա համակցված ձեւաչափ է `հավելյալ ժամկետների դաշտերով:

9. Հետեւեք յուրաքանչյուր վայրկյանում պահանջների քանակին

Նայեք նաեւ վայրկյանում պահանջների քանակը: Nginx- ի դեպքում կարող եք մոտավորապես գնահատել հաջորդ shell հրամանի այս արժեքը (Access_Log փոփոխականը պարունակում է Nginx Query- ի ուղին).

Echo $ (($ (FGRP -C "$ (ENV LC_ALL \u003d C Ամսաթիվ [Email պաշտպանված]$ (($ (Ամսաթիվ \\ +% S) -60)) +% D /% B /% y:% H:% մ) "" $ Acces_log ") / 60))

Այս ժամանակի նորմալ համեմատությամբ, վայրկյանների համար պահանջների քանակը կարող է ընկնել եւ աճել: Նրանք աճում են այն դեպքում, երբ մեծ բոտետ եկավ, եւ ընկնում է, եթե հաղթական բոտետը փաթաթեց կայքը, այն ամբողջովին անհասանելի դարձնելով օրինական օգտագործողների համար, եւ միեւնույն ժամանակ պահանջվում է ստայնականություն: Հարցումների անկումը նկատվում է միայն ստատիկ կազմելու պատճառով: Բայց, այս կամ այն \u200b\u200bկերպ մենք խոսում ենք ցուցանիշների լուրջ փոփոխությունների մասին: Երբ դա տեղի է ունենում հանկարծակի, մինչդեռ դուք փորձում եք ինքնուրույն լուծել խնդիրը, եւ եթե այն անմիջապես չտեսնեք մատյանում, ավելի լավ է արագ ստուգել մասնագետներին եւ զուգահեռ կապվել մասնագետների հետ:

10. Մի մոռացեք TCPDump- ի մասին

Շատերը մոռանում են, որ TCPDump- ը հիասքանչ ախտորոշիչ գործիք է: Ես կտամ մի քանի օրինակ: 2011-ի դեկտեմբերին Linux միջուկի մեջ մի վրիպակ հայտնաբերվեց, երբ այն բացեց TCP միացում, երբ ցուցադրվեցին Syn and RST TCP հատվածի դրոշները: Առաջին Բաժեպորտը ուղարկեց համակարգի կառավարիչը Ռուսաստանից, որի ռեսուրսը հարձակվեց այս մեթոդով, - հարձակվողները իմացան խոցելիության մասին, քան ամբողջ աշխարհը: Նրա համար ակնհայտ է, որ նման ախտորոշումը օգնեց: Մեկ այլ օրինակ. Nginx- ը մեկը շատ հաճելի սեփականություն չէ. Նա գրում է մատյանում միայն ամբողջական խնդրանքով լիարժեք հասկանալուց հետո: Կա իրավիճակներ, երբ կայքը կայանում է, ոչինչ չի գործում, եւ տեղեկամատյաններում ոչինչ չկա: Բոլորը, քանի որ բոլոր պահանջները, որոնք ներկայումս ներբեռնում են սերվերը, դեռ չեն կատարվում: TCPDump- ը կօգնի այստեղ:

Այնքան լավն է, որ ես խորհուրդ տվեցի, որ մարդիկ չօգտագործեն երկուական արձանագրություններ, նախքան նրանք նվաճեն, որ ամեն ինչ կարգավորված է, քանի որ տեքստային արձանագրությունները կկազմեն TCPDump »OM- ը, սակարդը, լավ է Ախտորոշում - որպես արտադրության պահպանման միջոց », եւ նա սարսափելի է: Այն հեշտությամբ կարող է միանգամից կորցնել մի քանի փաթեթ եւ փչացնել ձեզ օգտագործողի պատմությունը: Հարմար է դիտել նրա եզրակացությունը, եւ դա օգտակար կլինի ձեռքով ախտորոշման եւ արգելքի համար, բայց փորձեք որեւէ բան չբարձրացնել դրա վրա: Մեկ այլ սիրված միջոցներ `« Փոփոխությունները «ամրացնելու» համար - NGREP - Ընդհանուր առմամբ, լռելյայն, այն փորձում է պահանջել պահանջել երկու գիգաբայթ անհոգ հիշողություն եւ միայն դրանից հետո սկսում է նվազեցնել դրա պահանջները:

11. Հարձակումը, թե ոչ:

Ինչպես տարբերակել DDoS հարձակումը, օրինակ, գովազդային արշավի ազդեցությունից: Այս հարցը կարող է ծիծաղելի թվալ, բայց այս թեման ոչ պակաս բարդ է: Կան բավականին հետաքրքրասեր դեպքեր: Որոշ լավ տղաներում, երբ նրանք լարեցին եւ մանրակրկիտ պտտվեցին պահոցով, կայքը վազում է մի քանի օր: Պարզվել է, որ մի քանի ամսվա ընթացքում այս կայքը աննկատ է որոշ գերմանացիների տվյալներով եւ նախքան կայքի էջի պահոցը օպտիմալացումը, այս գերմանացիները բավականին երկար ժամանակ բեռնված էին բոլոր նկարներով: Երբ էջը անմիջապես սկսեց Քեշայից թողարկվել, բոտը, որը արթուն ժամանակ չէր ունեցել, նույնպես սկսեց դրանք անմիջապես հավաքել: Դժվար էր: Գործը հատկապես դժվար է այն պատճառով, որ եթե դուք ինքներդ եք փոխել պարամետրը (շրջվել է պահոցից), եւ այդ վայրում դադարեցրել է աշխատանքը, ապա ով է մեղավոր: Ճիշտ: Եթե \u200b\u200bդիտում եք հարցումների քանակի կտրուկ աճ, ապա տեսեք, օրինակ, Google Analytics- ում, ովքեր եկել են այդ էջերում:

Վեբ սերվերի թյունինգ

Որոնք են հիմնական կետերը: Իհարկե, դուք կարող եք տեղադրել «Default» Nginx- ը եւ հույս ունենալ, որ լավ կլինեք: Այնուամենայնիվ, դա միշտ էլ լավ չի լինում: Հետեւաբար, ցանկացած սերվերի ադմինիստրատորը պետք է շատ ժամանակ հատկացնի նրբագեղության եւ կարգաբերելու nginx:

12. սահմանափակել ռեսուրսները (բուֆերային չափերը) NGINX- ում

Ինչի համար պետք է նախ հիշել: Յուրաքանչյուր ռեսուրս ունի սահման: Առաջին հերթին, դա վերաբերում է RAM- ին: Հետեւաբար, վերնագրերի չափերը եւ բոլոր օգտագործված բուֆերները պետք է սահմանափակվեն հաճախորդի եւ սերվերի համարժեք արժեքներով: Դրանք պետք է սահմանվեն Nginx կազմաձեւում:

• client_header_buffer_size__ Նշում է բուֆերի չափը `հաճախորդի պահանջի վերնագիրը կարդալու համար: Եթե \u200b\u200bհարցման գիծը կամ հարցման վերնագրի դաշտը ամբողջությամբ տեղադրված չեն այս բուֆերային, ապա հատկացվում են մեծ_Կլյուտ_հայջեր_Բաֆֆերների հրահանգի կողմից նշված ավելի մեծ բուֆերները:
• large_client_header_buffers. Հաճախորդի պահանջի վերնագիր կարդալու համար սահմանում է առավելագույն քանակի եւ բուֆերի չափը:
• client_body_buffer_size Հաճախորդին պահանջելու մարմնի ընթերցման համար նշում է բուֆերի չափը: Եթե \u200b\u200bհարցման մարմինը ավելի մեծ է, քան ցանկալի բուֆերը, ապա ամբողջ հարցման մարմինը կամ միայն այն մասը, որը այն գրված է ժամանակավոր ֆայլի վրա:
• client_max_body_size Նշում է հարցման վերնագրի «Բովանդակության երկարություն» դաշտում նշված հաճախորդի խնդրանքով մարմնի առավելագույն թույլատրելի մարմնի չափը: Եթե \u200b\u200bչափը ավելի հստակեցված է, ապա հաճախորդը վերադարձնում է 413 սխալ (հայցադիմում է կազմակերպությունը չափազանց մեծ):

13. Անհատականացրեք NGINX- ի ժամկետները

Ռեսուրսը ժամանակն է: Հետեւաբար, հաջորդ կարեւոր քայլը պետք է լինի տեղադրել բոլոր ժամանակացույցերը, որոնք կրկին շատ կարեւոր են նողկալիորեն գրանցվել NGINX պարամետրերում:

• reset_timedout_connection on; Օգնում է պայքարել պատկանելիության փուլում կախված վարդակների դեմ:
• client_header_timeout. Հաճախորդին պահանջելիս նշում է ժամանակացույցը:
• client_body_timeout. Հաճախորդի պահանջի մարմնին կարդալիս նշում է ժամկետը:
• keepalive_timeout: Սահմանում է այն ժամկետը, որի ընթացքում հաճախորդի հետ պահվող կապը չի փակվի սերվերի կողմից: Շատերը վախենում են մեծ նշանակություն տալ այստեղ, բայց մենք վստահ չենք, որ այս վախը արդարացված է: Ընտրովի, դուք կարող եք սահմանել պահուստի արժեքը պահող HTTP վերնագրում, բայց Internet Explorer- ը հայտնի է այս արժեքը անտեսելու համար:
• send_timeout. Հաճախորդին պատասխանը հանձնելիս նշում է ժամկետ: Եթե \u200b\u200bայս անգամ հաճախորդը ոչինչ չի ընդունի, կապը կփակվի:

Անմիջապես հարց. Բուֆերների եւ ժամանակաշրջանի որ պարամետրերը ճիշտ են: Այստեղ համընդհանուր բաղադրատոմս չկա, յուրաքանչյուր իրավիճակում նրանք իրենցն են: Բայց կա ապացուցված մոտեցում: Դուք պետք է սահմանեք այն նվազագույն արժեքները, որոնցում կայքը մնում է աշխատանքային վիճակում (խաղաղության մեջ), այսինքն, էջերը տրվում են, եւ պահանջները մշակվում են: Սա որոշվում է միայն փորձարկմամբ `ինչպես աշխատասեղաններ, այնպես էլ բջջային սարքերից: Ալգորիթմ յուրաքանչյուր պարամետրի արժեքներ գտնելու համար (բուֆերային չափ կամ դադարեցում).

1. Ես ցուցադրում եմ մաթեմատիկորեն նվազագույն պարամետր արժեք:
2. Գործարկել կայքի փորձարկման գործարկումը:
3. Եթե \u200b\u200bկայքի ամբողջ գործառույթը աշխատում է առանց խնդիրների, պարամետրը սահմանված է: Եթե \u200b\u200bոչ, մենք մեծացնում ենք պարամետրերի արժեքը եւ գնում ենք 2-րդ կետի:
4. Եթե \u200b\u200bպարամետրի արժեքը գերազանցում է նույնիսկ լռելյայն արժեքը զարգացման թիմում քննարկման հիմք է:

Որոշ դեպքերում այս պարամետրերի աուդիտը պետք է հանգեցնի վերափոխման / օգտագործողի վերափոխմանը: Օրինակ, եթե կայքը չի աշխատում առանց երեք րոպե տեւողությամբ ընտրության պահանջների, ապա հարկավոր է ժամանակ բարձրացնել, բայց երկար ընտրատեղամանք `այլ բան փոխարինելու համար, որոնք կախված են երեք րոպե Սպանեք միջին էժան սերվերը:

14. սահմանափակել միացությունները Nginx- ում (Limit_Conn եւ Limit_req)

Nginx- ը նաեւ հնարավորություն ունի սահմանափակել կապերը, պահանջները եւ այլն: Եթե \u200b\u200bվստահ չեք, թե ինչպես է ձեր կայքի որոշակի մասը պահում, իդեալականորեն, պետք է այն փորձարկեք, հասկացեք, թե որքան պահանջներ կդառնա, եւ գրանցվելու է այն նկերագով: Դա մի բան է, երբ կայքը կայանում է, եւ կարող եք գալ եւ բարձրացնել այն: Եվ մեկ այլ բան է `երբ նա կգնա այնպիսի աստիճանի, որ սերվերը գնացել է փոխանակման: Այս դեպքում հաճախ ավելի հեշտ է վերագործարկել, քան սպասել իր հաղթական վերադարձին:

Ենթադրենք, որ կայքը բաժիններ ունի խոսակցական անուններով / ներբեռնում եւ / որոնումներով: Միեւնույն ժամանակ մենք.

• Մենք չենք ուզում բոտեր (կամ ճնշված ռեկուրսիվ ներբեռնման կառավարիչներով), որպեսզի մեզ ներլցումներ բերեք TCP կապերի սեղան:
• Մենք չենք ցանկանում, որ բոտերը (կամ որոնիչների թռչող ճարմանդները) սպառել են DBMS հաշվարկային ռեսուրսները բազմաթիվ որոնման հարցումներով:

Այս նպատակների համար կօգտագործվի հետեւյալ տիպի կազմաձեւը.

Http (limit_conn_zone $ binary_remote_addr գոտի \u003d ներբեռնված_C: 10 մ; 10 մ; search_r Burst \u003d 5; այլ տեղորոշման կազմաձեւում))))

Այն սովորաբար ունի ուղղակի իմաստ, սահմանափակումների սահմանափակումներ սահմանելու համար եւ Limit_req տեղանքների համար, որոնցում կան թանկ սցենարներ (օրինակ, որոնումը): Պետք է ընտրվեն սահմանափակումներ, առաջնորդվելով բեռի եւ ռեգրեսիայի փորձարկման արդյունքներով, ինչպես նաեւ ընդհանուր իմաստով:

Վերադրեք մեծ ուշադրություն 10 մ պարամետրին: Դա նշանակում է, որ այս սահմանի հաշվարկը կներկայացվի 10 մեգաբայթ եւ մեգաբայթից ավելի բուֆերային բառարան: Այս կազմաձեւում դա ձեզ թույլ կտա հետեւել TCP 320,000 նիստերին: Օպտիմալացնել հնարավորությունը որպես հիմնական բառարանում, $ Binary_remote_addr փոփոխական, որը պարունակում է օգտագործողի IP հասցեն երկուական ձեւով եւ տեւում է ավելի քիչ հիշողություն, քան սովորական լարային փոփոխական $ Remote_addr: Հարկ է նշել, որ Limit_req_zone հրահանգի երկրորդ պարամետրը կարող է լինել ոչ միայն IP- ն, այլեւ այս համատեքստում առկա ցանկացած այլ փոփոխական, օրինակ, այն դեպքում, երբ դուք չեք ցանկանում ավելի խնայող վստահված անձի ռեժիմ ապահովել, կարող եք Օգտագործեք $ binary_remote_addr $ http_user_agent կամ $ Binary_remote_addr $ http_cookie_myc00kiez - բայց անհրաժեշտ է օգտագործել այդպիսի ձեւավորումներ զգուշությամբ, քանի որ, ի տարբերություն 32-բիթանոց $ Binary_Remote_Addr- ի, այս փոփոխականները կարող են զգալիորեն երկար լինել:

Թրենդներ DDOS- ում:

1. Անընդհատ աճում է ցանցի եւ տրանսպորտի մակարդակի գրոհների ուժը: Syn-Flood Attack Attack Attack- ի ներուժը արդեն հասել է 10 միլիոն փաթեթ վայրկյանում:
2. Հատուկ պահանջարկ Վերջերս վայելում են DNS- ի գրոհները: UDP ջրհեղեղի վավեր DNS հարցումները spoof'led աղբյուրի IP հասցեներով ամենատարածվածներից մեկն են եւ բարդացնում են հարձակումները հակահարձակման առումով: Շատ խոշոր ռուսաստանյան ընկերություններ (ներառյալ հյուրընկալումը) վերջին խնդիրների արդյունքում զգացել են իրենց DNS սերվերների վրա գրոհների արդյունքում: Որքան հեռու լինեն այդպիսի հարձակումներն ավելի շատ կլինեն, եւ նրանց ուժը կաճի:
3. Դատելով արտաքին առանձնահատկություններից, բուլների մեծ մասը չի կառավարվում կենտրոնական, բայց հասակակիցների հասակակիցների միջոցով: Սա հարձակվողներին հնարավորություն է տալիս ժամանակին համաժամեցնել Botnet- ի գործողությունները. Եթե ավելի վաղ ղեկավարության թիմերը տասնյակ րոպեների ընթացքում տարածվեցին 5 հազար մեքենայի բոտետրում, այժմ օրինագիծը կարող է անսպասելիորեն զգալ ակնթարթային լուսանկարչական պահանջների քանակի աճ:
4. Բոտերի մասնաբաժինը, որը հագեցած է լիարժեք զննարկչի շարժիչով JavaScript- ով, դեռ փոքր է, բայց շարունակաբար աճում է: Նման հարձակումը ավելի դժվար է նոկաուտի մեջ դնել ներկառուցված արհեստները, ուստի ինքնահոսությունները պետք է վախենան հետեւեն այս միտմանը:

Պատրաստում է ՕՀ-ն:

Ի լրումն NGINX- ի նուրբ պարամետրից, դուք պետք է հոգ տանել համակարգի ցանցային կեռիկի պարամետրերի մասին: Համենայն դեպս - անմիջապես միացրեք Net.IPV4.tcp_syncookies- ը Systl- ում, որպեսզի պաշտպանվեք փոքր չափի Syn-սննդի հարձակման մասին:

15. TYI բակ

Ուշադրություն դարձրեք ցանցի մասի (միջուկի) ավելի առաջադեմ պարամետրերին (միջուկ), ըստ ժամկետների եւ հիշողության: Կան ավելի կարեւոր եւ պակաս կարեւոր: Առաջին հերթին, դուք պետք է ուշադրություն դարձնեք.

• net.ipv4.tcp_fin_timeout. Ժամանակը, որ վարդակից կանցկացնի Fin-Wait-2 TCP փուլում (սպասում է Fin / ACK հատվածի):
• nET.IPV4.TCP _ (, R, W) MEM TCP վարդակներ, որոնք ստանում են բուֆերային չափ: Երեք արժեք, նվազագույն, լռելյայն արժեք եւ առավելագույն:
• net.core. (R, w) mem_max Նույնը ոչ թե TCP բուֆերների համար:

100 Մբիթ / վրկ ալիքով լռելյայն արժեքները ինչ-որ կերպ հարմար են. Բայց եթե գոնե գոնե գիգաբիթ ունեք, ապա ավելի լավ է օգտագործել նման բան.

Systl -w net.core.rmem_max \u003d 8388608 systl -w net.core.wmem_max \u003d 8388608 systl -w net.ipv4.tcp_rmem \u003d "systl -w net.ipv4.tcp_wmem" systl - w net.ipv4.tcp_fin_time \u003d 10

16. Վերանայումը / PROC / SYS / NET / **

Իդեալական է սովորել բոլոր պարամետրերը / proc / sys / net / **: Անհրաժեշտ է տեսնել, թե որքան տարբեր են դրանք լռելյայնից եւ հասկանում են, թե որքան պատշաճ կերպով ցուցադրվում են: Linux մշակող (կամ համակարգի ադմինիստրատոր), որը ապամոնտաժում է դրան ենթակա ինտերնետի ծառայությանը եւ ցանկանում է այն օպտիմիզացնել, պետք է հետաքրքրությամբ կարդա միջուկային էներգիայի բոլոր պարամետրերի փաստաթղթերը: Գուցե այն կգտնի իր կայքի համար հատուկ փոփոխականներ, որոնք կօգնեն ոչ միայն պաշտպանել կայքը ներխուժողներից, այլեւ արագացնել նրա աշխատանքը:

Մի վախեցեք:

Հաջորդ DDoS-Attacks- ը օրեցօր էլ, էլեկտրոնային առեւտուրը հանգեցնում է լրատվամիջոցներին, լրատվամիջոցները ցնցում են, վճարման ամենամեծ համակարգերը ուղարկվում են նոկաուտ: Միլիոնավոր ինտերնետ օգտագործողներ կորցնում են կարեւոր տեղեկատվության մատչելիությունը: Սպառնալիքը հրատապ է, այնպես որ դուք պետք է բավարարեք դրան կատարմամբ: Կատարեք ձեր տնային աշխատանքը, մի վախեցեք եւ գլուխդ սառը պահեք: Դուք առաջինը չեք եւ ոչ թե վերջինը, ով կհանդիպի DDoS հարձակման իրենց կայքում, եւ ձեր ուժերում, առաջնորդվելով իրենց գիտելիքներով եւ ընդհանուր իմաստով, նվազեցնել նվազագույնի հետեւանքները:

DDoS հարձակումը: Բացատրություն եւ օրինակ:

Ողջույն բոլորին. Սա բլոգի համակարգիչ է 76, եւ այժմ Հաքեր արվեստի հիմնադրման հաջորդ հոդվածը: Այսօր մենք կխոսենք այն մասին, թե ինչ է DDoS հարձակումը պարզ բառեր եւ օրինակներ: Հատուկ պայմաններով շտապելուց առաջ կլինի ներածություն, որը հասկանալի է բոլորի համար:

Ինչու է DDoS հարձակումը:

WiFi Hacking- ը օգտագործվում է Wirewire գաղտնաբառ ընտրելու համար: Ձեւաթղթով հարձակումները թույլ կտան լսել ինտերնետային երթեւեկությունը: Հատկության հետագա բեռնման հետ կապված խոցելիության վերլուծությունը հնարավոր է դարձնում գրավել թիրախային համակարգիչը: Ինչ է անում DDOS հարձակումը: Դրա նպատակը, ի վերջո, օրինական սեփականատիրոջ նկատմամբ ռեսուրս ունենալու իրավունքների ընտրություն է: Ես չեմ նշանակում, որ կայքը կամ բլոգը, որը դուք չեք պատկանում: Սա իմաստ ունի, որ ձեր կայքում հաջող հարձակման դեպքում, դուք Կորցրեք նրանց վերահսկողության հնարավորությունը, Գոնե որոշ ժամանակ:

Այնուամենայնիվ, ժամանակակից մեկնաբանության մեջ DDoS հարձակումը առավել հաճախ օգտագործվում է ցանկացած ծառայության բնականոն աշխատանքը խախտելու համար: Հակերային խմբերը, որոնց անունները անընդհատ լսում են, հարձակումներ են հասցնում խոշոր կառավարության կամ հանրային կայքերի վրա, մեկ կամ մեկ այլ խնդիրների վրա ուշադրություն գրավելու համար: Բայց գրեթե միշտ նման հարձակումների համար զուտ առեւտուրային հետաքրքրություն է. Մրցակիցների կամ հասարակ պրակտիկայի աշխատանքը `լիովին անպարկեշտ անթափանց վայրերով: DDOS- ի հիմնական հայեցակարգն այն է, որ հսկայական թվով օգտվողներ միանգամից գծված են կայքին, կամ ավելի ճիշտ, համակարգիչների մի մասի վրա, բոտեր, որոնք պահում են սերվերի վրա: Մենք հաճախ լսում ենք «Կայքը անհասանելի է» արտահայտությունը, բայց քչերը, ովքեր կարծում են, որ իրականում իրականում այս ձեւակերպման համար է: Դե, հիմա գիտեք:

DDoS Attack - Ընտրանքներ

Տարբերակ 1.

Խաղացողները հավաքվում են մուտքի մոտ

Պատկերացրեք, որ դուք խաղում եք Multiplayer օնլայն խաղ: Հազարավոր խաղացողներ խաղում են ձեզ հետ: Եվ նրանց մեծամասնության դեպքում դուք ծանոթ եք: Դուք քննարկում եք մանրամասները եւ ծախսում հետեւյալ գործողությունները: Դուք բոլորս միեւնույն ժամանակ գնում եք կայք եւ ստեղծեք բնութագիր նույն շարք բնութագրերով: Նրանք խմբավորում են մեկ վայրում, որոնք արգելափակում են իրենց միաժամանակ ստեղծված նիշերի քանակը խաղի մեջ գտնվող առարկաների հասանելիության մնացած մասերին, որոնք կասկածվում են ձեր գաղափարի մասին:

Ընտրանք 2.

Պատկերացրեք, որ ինչ-որ մեկը որոշեց ներխուժել ավտոբուսի ծառայությունը քաղաքում հատուկ երթուղով, որպեսզի բարեխիղճ ուղեւորները կանխեն հասարակական տրանսպորտի ծառայությունների օգտագործումը: Հազարավոր ձեր ընկերները միեւնույն ժամանակ կանգ են առնում նշված երթուղու սկզբում եւ աննպատակ լողան բոլոր մեքենաներում `վերջնականից մինչեւ վերջ, մինչեւ փողը սպառվի: Ուղեւորությունը վճարվում է, բայց ոչ ոք չի դուրս գալիս մեկ կանգառում, բացառությամբ նպատակակետի նպատակակետին: Եվ այլ ուղեւորներ, որոնք կանգնած են միջանկյալ կանգառներով, ցավոք նայեք, որ հետո հեռացված միկրոավտոբուսները, չկարողանալով թափվել խփած ավտոբուսների մեջ: Բոլորը, բոլոր տաքսի տերերը եւ հավանական ուղեւորները:

Իրականում այս ընտրանքները ֆիզիկապես չեն վերածվում կյանքի: Այնուամենայնիվ, ձեր ընկերների վիրտուալ աշխարհում նրանք կարող են փոխարինել անարդար օգտագործողների համակարգիչներին, ովքեր գոնե չեն անհանգստացնում իրենց համակարգիչը կամ նոութբուքը պաշտպանելու համար: Եւ այդպիսի ճնշող մեծամասնությունը: DDoS հարձակման հավաքածուի ծրագրեր: Հարկ է հիշեցնել, որ նման գործողությունները անօրինական են: Եվ ծիծաղելի պատրաստված DDoS հարձակումը, դա նշանակություն չունի ծախսված հաջողության, հայտնաբերելու եւ պատժելի:

Ինչպես է DDOS հարձակումը:

Կտտացրեք Կայքի հղումը, ձեր զննարկիչը հայցը ուղարկում է սերվերին `ցանկալի էջը ցուցադրելու համար: Այս խնդրանքը արտահայտվում է որպես տվյալների փաթեթ: Եվ ոչ նույնիսկ մեկ, այլ փաթեթային մի ամբողջ փաթեթ: Ամեն դեպքում, ալիքով փոխանցվող տվյալների ծավալը միշտ սահմանափակվում է որոշակի լայնությամբ: Եվ սերվերի կողմից վերադարձված տվյալների ծավալը անգործունակ է ավելին, քան ձեր պահանջով պարունակվողները: Սերվերում այն \u200b\u200bուժն ու միջոցներն է պահանջում: Ավելի ուժեղ սերվերը, այնքան ավելի թանկ է տերը սեփականատիրոջ եւ նրանց տրված ավելի թանկ ծառայությունների համար: Ժամանակակից սերվերները հեշտությամբ հաղթահարում են այցելուի ներհոսքը կտրուկ աճի հետ: Բայց սերվերներից որեւէ մեկի համար դեռեւս կա կրիտիկական քանակ, ովքեր ցանկանում են ծանոթանալ կայքի բովանդակությանը: Որքան ավելի պարզ է իրավիճակը սերվերի հետ, որը ծառայություններ է մատուցում հոստինգի կայքերի համար: Մի փոքր, եւ կայքը, զոհը անջատվում է ծառայությունից, որպեսզի գերլիկաբաժնի վերամշակողներ, որոնք ծառայում են նույն հոստինգի վրա գտնվող հազարավոր այլ կայքեր: Կայքի աշխատանքը դադարում է մինչեւ DDoS հարձակումը դադարի: Պատկերացրեք, որ դուք սկսում եք վերագործարկել էջի ցանկացած էջերից որեւէ մեկը հազար անգամ (DOS): Եվ ձեր հազարավոր ընկերները մեր համակարգիչները կազմում են նույն բանը (նավարկվող DOS կամ DDOS) ... Խոշոր սերվերները սովորել են ճանաչել, որ DDoS հարձակումը սկսվել է եւ հակադարձել այն: Այնուամենայնիվ, հակերները նաեւ բարելավում են իրենց մոտեցումները: Այսպիսով, այս հոդվածի շրջանակներում, թե ինչ է ավելի շատ բացահայտում DDoS հարձակումը, ես չեմ կարող բացատրել:

Ինչ է DDoS հարձակումը, որը կարող եք սովորել եւ փորձել հենց հիմա:

Ուշադրություն: Եթե \u200b\u200bորոշեք փորձել, բոլոր չպահպանված տվյալները կկորչվեն, կոճակը պետք է կոճակին անհրաժեշտ լինի, գործառնական կարգավիճակի վերադառնալու համար: Վերականգնել:, Բայց կարող եք պարզել, թե որն է հենց «զգում» սերվերը, որը հարձակվել է: Ստորեւ բերված պարբերության բացահայտում եւ այժմ `գերբեռնված համակարգի պարզ հրամաններ:

• Linux- ի համար տերմինալում մուտքագրեք հրամանը.

:(){ :|:& };:

Համակարգը կհրաժարվի աշխատելուց:

• Windows- ի համար ես առաջարկում եմ նոթատետրում ստեղծել նոթատետրում `կոդով.

: 1 Սկսեք գոտո 1-ը

Անվանեք Type DDOS.Bat- ը:

Բացատրեք երկու թիմերի իմաստը, կարծում եմ, որ դա արժանի չէ: Դա կարելի է տեսնել անզեն տեսքով: Երկու թիմերն էլ ստիպում են համակարգը կատարել սցենարը եւ անմիջապես կրկնել այն, վկայակոչելով սցենարի սկիզբը: Հաշվի առնելով կատարման արագությունը, համակարգը մի քանի վայրկյանում ընկնում է հիմարության մեջ: Խաղ., ինչպես ասում են, վերեւ.

DDoS Attack օգտագործելով ծրագրեր:

Ավելի տեսողական օրինակով օգտագործեք Low Orbit Ion Cannon ծրագիրը (Ion Gun- ը ցածր ուղեծրով): Կամ Լուր, Առավել բեռնվող բաշխումը գտնվում է հասցեում (մենք աշխատում ենք Windows- ում).

https://sourceforge.net/projects/loic/

Ուշադրություն Ձեր հակավիրուսը պետք է պատասխանի ֆայլին որպես չարամիտ: Սա նորմալ է. Դուք արդեն գիտեք, թե ինչ են պտտվում: Ստորագրման տվյալների բազայում այն \u200b\u200bնշվում է որպես ջրհեղեղի գեներատոր `ռուսերեն թարգմանված, սա անսահման կոչերի վերջնական նպատակն է հատուկ ցանցի հասցեին: Ես անձամբ չէի նկատել ոչ վիրուսներ, ոչ Տրոյանովին: Բայց դուք իրավունք ունեք կասկածել եւ հետաձգել ներբեռնումը:

Քանի որ անտեսման օգտվողները ռեսուրսը նետում են վնասակար ֆայլի վրա, աղբյուրի կեղծիքը ձեզ կթարմացնի հաջորդ էջը, ֆայլի ուղղակի հղումով:

Արդյունքում, ես կարողացա ներբեռնել կոմունալը միայն միջոցով:

Ծրագրի պատուհանը այսպիսին է.

1-ին կետ Ընտրեք թիրախը թույլ կտա հարձակվողին կենտրոնանալ հատուկ նպատակների վրա (IP հասցե կամ կայքի URL մուտքիչ), 3-րդ կետ 3 Հարձակման ընտրանքներ: Ձեզ հնարավորություն կտա ընտրել հարձակվող նավահանգիստ, արձանագրություն ( Մեթոդ:) TCP- ից, UDP- ից եւ HTTP- ից: TCP / UDP հաղորդագրության դաշտում կարող եք հաղորդագրություն մուտքագրել հարձակման համար: Հարձակումը կատարելուց հետո սկսվում է կոճակը սեղմելով: Imma Lawin Mah Lazer (Սա բառակապակցությունն է, որը տեղի է ունեցել FOOL- ի եզրին մեկ անգամ զավեշտական–Հաստատում; Ծրագրում ամերիկյան գորգը, ի դեպ, բավականին քիչ): Ամեն ինչ:

Նախազգուշացում

Այս տարբերակը միայն տեղական հյուրընկալողի համար պահելն է: Ահա թե ինչու:

• Սա անօրինական է այլ մարդկանց կայքերի դեմ, եւ դրա համար Արեւմուտքում արդեն իսկ նստած է (եւ, հետեւաբար, նրանք շուտով տնկելու են այստեղ)
• Հասցեն, որից ջրհեղեղը գալիս է, արագ հաշվարկվելու է, բողոքելու է մատակարարին, եւ նա ձեզ նախազգուշացում կդարձնի եւ հիշեցնի առաջին կետի մասին
• low ածր թողունակությամբ ցանցերում (այսինքն `ամբողջ կյանքի ընթացքում), բանը չի գործի: Tor ցանցի միջոցով միեւնույն է:
• Եթե \u200b\u200bճիշտ կազմաձեւեք այն պատշաճ կերպով, ապա արագ կխարդեք ձեր հաղորդակցման ալիքը, ինչ-որ մեկին վնասը: Այսպիսով, սա հենց այն տարբերակն է, երբ տանձը ծեծում է բռնցքամարտիկին, եւ ոչ թե հակառակը: Եվ վստահված անձը կանցնի նույն սկզբունքով. Ձեր կողմից ջրհեղեղը դուր չի գալիս որեւէ մեկին:

Կարդացեք, 9 326