Բաշխեց «Պահպանման մերժման» կամ կրճատված DDOS- ի գրոհները դարձան ընդհանուր երեւույթ եւ լուրջ գլխացավանք աշխարհի պաշարների սեփականատերերի համար: Այդ իսկ պատճառով, տեղում DDOS- ի հարձակումներից պաշտպանությունը այսօր լրացուցիչ տարբերակ չէ, այլ նախադրյալների համար, ովքեր ցանկանում են խուսափել տապալումից, հսկայական վնասներից եւ փչացած հեղինակությունից:
Մենք ավելին ենք պատմում մեզ այն մասին, թե որն է հիվանդացումը եւ ինչպես պաշտպանվել:
Ինչ է DDO- ները:
Ծառայության բաժանված մերժումը կամ «պահպանման մերժումը». Հարձակում տեղեկատվական համակարգի վրա, որպեսզի այն չունի օգտագործողի պահանջները մշակելու հնարավորություն: Պարզ բառեր, DDO- ները բաղկացած են վեբ ռեսուրսից կամ երթեւեկային սերվերի ճնշումից, հսկայական թվով աղբյուրներից, ինչը դա անհասանելի է դարձնում: Հաճախ նման հարձակումը իրականացվում է խոշոր ֆիրմայի կամ պետական \u200b\u200bկազմակերպության ցանցային ռեսուրսների աշխատանքներում ընդհատումներ հրահրելու համար
DDoS Attack- ը նման է մեկ այլ տարածված վեբ սպառնալիքի `« Ծառայության ժխտումը, DOS): Միակ տարբերությունն այն է, որ սովորական բաշխված հարձակումը գալիս է մի կետից, եւ DDoS հարձակումը ավելի մեծ է եւ գալիս է տարբեր աղբյուրներից:
DDoS Attack- ի հիմնական նպատակն է այցելուների համար անհասանելի կայք կատարել `արգելափակելով իր աշխատանքը: Բայց կան դեպքեր, երբ նման գրոհներ են արտադրվում `այլ վնասակար հետեւանքներից ուշադրությունը շեղելու համար: DDoS Attack- ը, օրինակ, կարող է իրականացվել անվտանգության համակարգը թալանելիս, կազմակերպության տվյալների բազան տիրանալու համար:
DDoS- ի հարձակումները հայտնվել են 1999 թ.-ին, երբ տեղի են ունեցել մի շարք հարձակումներ խոշոր ընկերությունների կայքերի (Yahoo, Ebay, Amazon, CNN): Այդ ժամանակվանից ի վեր կիբեր հանցագործության այս տեսակը սպառնալիք է զարգացրել համաշխարհային մասշտաբի համար: Փորձագետների կարծիքով, վերջին տարիներին նրանց հաճախականությունը աճել է 2,5 անգամ, իսկ առավելագույն հզորությունը դարձել է 1 TBIT / S: Դդու հարձակման զոհը գոնե մեկ անգամ վեցերորդ ռուսական ընկերությունը դարձավ: Մինչեւ 2020 թվականը նրանց ընդհանուր պատասխանը կհասնի 17 միլիոնի:
Խաղահրապարակում անցկացնել շուրջօրյա պաշտպանությամբ `ամենաարդյունավետ DDoS- ի հարձակումներից:
DDOS- ի հարձակումների պատճառները
- Անձնական թշնամություն: Նա հաճախ ներխուժում է հրահրում կորպորացիաների կամ կառավարական ընկերությունների վրա: Օրինակ, 1999-ին կատարվել է ՀԴԲ կայքերի վրա հարձակումը, որի արդյունքում նրանք ձախողվել են մի քանի շաբաթ: Դա տեղի է ունեցել այն պատճառով, որ ՀԴԲ-ն սկսեց լայնածավալ արշավանքներ հակերների վրա:
- Քաղաքական բողոքի ակցիա: Սովորաբար, նման հարձակումներն իրականացվում են Hactivists- ի հետ. ՏՏ մասնագետներ, որոնք արմատական \u200b\u200bհայացքներ են ունենում քաղաքացիական բողոքի վրա: Հայտնի օրինակը 2007 թ. Էստոնիայի պետական \u200b\u200bգործակալությունների վրա կիբերհարձակումների շարք է: Տալլինում Ազատագրության հուշարձանի քանդման հնարավորությունը, հավանաբար, նրանց կբերի:
- ԺամանցԱյսօր մարդկանց աճող թիվը սիրում է DDOS- ը եւ ցանկանում է փորձել իրենց ուժերը: NewBird-Hackers- ը հաճախ կազմակերպում է հարձակումներ, զվարճանալու համար:
- Շորթում եւ շանտաժ:Հարձակումը վարելուց առաջ հակերները կապված են ռեսուրսի սեփականատիրոջ հետ եւ պահանջում են փրկագնում:
- Մրցույթ: DDoS- ի հարձակումները կարող են պատվիրվել անարդար ընկերությունից `իրենց մրցակիցների վրա ազդելու համար:
Ով է հավանական զոհերը
DDOSS- ը կարող է ոչնչացնել ցանկացած մասշտաբի կայքեր, սկսած սովորական բլոգներից եւ ավարտվում խոշորագույն կորպորացիաներով, բանկերից եւ այլ ֆինանսական հաստատություններով:
«Կասպերսկու լաբորատորիայի» կողմից իրականացված հետազոտության համաձայն, հարձակումը կարող է ընկերությանը արժենալ 1,6 միլիոն դոլար: Սա լուրջ վնաս է, քանի որ հարձակման վեբ ռեսուրսը որոշ ժամանակ չի կարող, այդ իսկ պատճառով կա պարզ:
Ամենից հաճախ կայքերն ու սերվերները տառապում են DDOS- ի հարձակումներից.
- խոշոր ընկերություններ եւ պետական \u200b\u200bգործակալություններ.
- Ֆինանսական հաստատություններ (բանկեր, կառավարման ընկերություններ);
- Կտրոնի ծառայություններ;
- բժշկական հաստատություններ;
- Վճարային համակարգեր;
- Լրատվամիջոցներ եւ տեղեկատվական ագրեգատորներ;
- Առցանց խանութներ եւ էլեկտրոնային առեւտրի ձեռնարկություններ;
- Առցանց խաղեր եւ խաղային ծառայություններ.
- cryptovaya փոխանակում:
Ոչ այնքան վաղուց, սարքավորումները ավելացվել են DDoS-Attacks- ի հաճախակի զոհերի եւ ինտերնետին միացված սարքավորումների տխուր ցուցակում, որոնք ստացել են «Ինտերնետի ինտերնետ, IOT» ընդհանուր անվանումը: Այս ուղղությամբ աճի ամենամեծ դինամիկան ցույց է տալիս կիբերհարձակումներ `խոշոր խանութների կամ առեւտրի կենտրոնների առցանց դրամարկղերի աշխատանքը խախտելու նպատակով:
Աշխատանքային մեխանիզմ
Բոլոր վեբ սերվերներն ունեն իրենց հարցումները, որոնք կարող են միաժամանակ մշակել: Բացի այդ, սահմանը տրամադրվում է ցանցը եւ սերվերը միացնող ալիքի թողունակության համար: Այս սահմանափակումները շրջանցելու համար Zlochyslens- ը համակարգչային ցանց է ստեղծում վնասակար ծրագրաշարով, որը կոչվում է «Botnet» կամ «Zombie ցանց»:
Botnet- ի ստեղծման համար կիբեր-հանցագործները Trojan- ը տարածում են էլեկտրոնային փոստի բաշխման, սոցիալական ցանցերի կամ կայքերի միջոցով: Botnet- ում ընդգրկված համակարգիչները իրենց միջեւ ֆիզիկական կապ չունեն: Դրանք միավորված են միայն «ծառայության» հակերների թիրախներով:
DDoS- ի հարձակման ընթացքում հաքերը ուղարկում է «վարակված» զոմբի համակարգիչների թիմը, եւ նրանք սկսում են վիրավորանքը: Battets- ը առաջացնում է հսկայական երթեւեկություն, որը ունակ է ծանրաբեռնված ցանկացած համակարգ: DDOS- ի համար հիմնական «օբյեկտները» սովորաբար դառնում են սերվերի թողունակություն, DNS սերվեր, ինչպես նաեւ Ինտերնետային կապ:
DDoS գրոհների նշաններ
Երբ հարձակվողների գործողությունները հասնում են իրենց նպատակին, հնարավոր է ակնթարթորեն որոշել ֆայլի ձախողումները կամ այնտեղ տեղադրված ռեսուրսը: Բայց կան մի շարք անուղղակի նշաններ, որոնց համաձայն DDoS հարձակումը կարելի է գտնել հենց իր սկզբում:
- Սերվերի ծրագրակազմը եւ OS- ն սկսվում են հաճախ եւ բացահայտ կարել - կախել, սխալ ավարտված աշխատանք եւ այլն: Ապարատային հզորություն Սերվերներ, կտրուկ տարբերվում են միջին օրական ցուցիչներից:
- Արագ աճը մուտք Երթեւեկություն Մեկ կամ մի շարք նավահանգիստներում:
- Բազմակի ժամանակի Կրկնօրինակված պարզ գործողություններ Հաճախորդները մեկ ռեսուրսի վրա (գնացեք կայք, ֆայլի ներբեռնումը):
- Տեղեկամատյանները վերլուծելու ժամանակ (օգտագործեք օգտագործողի գործողությունների տեղեկամատյաններ) սերվեր, հայտնաբերված Firewall կամ ցանցային սարքեր Շատ հարցումներ Տարբեր աղբյուրների մեկ տեսակ Մեկի համար Նավահանգիստ կամ ծառայություն: Այն պետք է հատկապես զգոն լինի, եթե խնդրանքների հանդիսատեսը կտրուկ տարբերվում է կայքի կամ ծառայության նպատակից:
DDoS-Arafts- ի տեսակների դասակարգում
Արձանագրություն վիրավորական (տրանսպորտի մակարդակ)
DDoS Attack- ը ուղղված է սերվերի կամ վեբ ռեսուրսի ցանցի մակարդակին, ուստի այն հաճախ անվանում են ցանցային շերտի կամ տրանսպորտի մակարդակի հարձակումը: Դրա նպատակն է գերծանրաբեռնված սեղանի տարածքը Firewall- ի վրա ներկառուցված անվտանգության մատյանով (Firewall), կենտրոնական ցանցում կամ համակարգի հավասարակշռման բեռի մեջ:
Տրանսպորտի մակարդակում ամենատարածված DDOS մեթոդը - network անցի ջրհեղեղՆերկերի պահանջների հսկայական հոսքի ստեղծում տարբեր մակարդակներում, որոնց միջոցով ստացող հանգույցը չի կարող հաղթահարել:
Սովորաբար ցանցային ծառայությունը կիրառում է FIFO կանոնը, որի համաձայն համակարգիչը չի անցնում երկրորդ պահանջը պահպանել մինչեւ առաջին գործընթացները: Բայց երբ հարձակվելիս հարցումների քանակն այնքան է մեծանում, որ սարքը ռեսուրսներ չունի, որպեսզի գործը առաջին պահանջով ավարտվի: Արդյունքում, ջրհեղեղը առավելագույնի հասցնում է թողունակությունը հնարավորինս եւ խստորեն վաստակում է հաղորդակցման բոլոր ալիքները:
Network անցի ջրհեղեղի ընդհանուր տեսակները
- Http-flood - Սովորական կամ կոդավորված HTTP հաղորդագրությունների զանգված, միավորելով կապի հանգույցները, ուղարկվում է հարձակողական սերվերին:
- ICMP-Flood- Հարձակվող Botnets- ը պաշտոնական խնդրանքներով ծանրաբեռնում է տուժողի հյուրընկալող մեքենային, որին պարտավոր է արձագանքել արձագանքներ: Այս տեսակի հարձակման անձնական օրինակը - Պսակել:ՋրհեղեղԿամ Smurf Attack Երբ հաղորդակցման ալիքներն լցված են Ping հարցումներով, որոնք օգտագործվում են ցանցի հանգույցի առկայությունը ստուգելու համար: Դա ICMP- ջրհեղեղի սպառնալիքի պատճառով է, համակարգի ադմինիստրատորները հաճախ արգելափակում են ICMP- ի հայցերը `օգտագործելով firewall:
- Syr-lood. - Հարձակումը ազդում է TCP արձանագրության հիմնական մեխանիզմներից մեկի վրա, որը հայտնի է որպես «Եռակի ձեռքսեղմման» սկզբունք («Հայց-պատասխան Ալգորիթմ». Սին փաթեթ - ACK փաթեթ): Տուժածը լցված է կեղծ Syne հարցումների լիսեռով անպատասխան: Օգտագործողի ալիքը խցանված է TCP- ի միացումների հերթով `ելքային կապերից, որոնք սպասում են ACK փաթեթին:
- UDP-Flood - Տուժողի հյուրընկալող մեքենայի պատահական նավահանգիստները լցված են UDP փաթեթներով, որոնց պատասխանները `ծանրաբեռնված ցանցային ռեսուրսները: DNS սերվերին ուղղված UDP- ի մի շարք ջրհեղեղներ կոչվում են Dns-flud..
- Մակ ջրհեղեղ - Նպատակը ցանցային սարքավորումն է, որի նավահանգիստները խցանված են «դատարկ» փաթեթների հոսքերով `տարբեր MAC հասցեներ: Անցային անջատիչների վրա DDOS- ի նման միանգամից պաշտպանվելու համար կարգավորեք վավերականության վավերացումը եւ MAC հասցեները զտեք:
Կիրառական մակարդակի գրոհներ (ենթակառուցվածքների մակարդակ)
Այս տեսակը օգտագործվում է այն ժամանակ, երբ անհրաժեշտ է գրավել կամ անջատել ապարատային ռեսուրսները: «Raiders» - ի նպատակը կարող է լինել ինչպես ֆիզիկական, այնպես էլ RAM- ի կամ պրոցեսորի ժամանակ:
Բեռնեք թողունակությունը անհրաժեշտ չէ: Բավական է պարզապես զոհաբերության պրոցեսորը ծանրաբեռնելու կամ այլ կերպ ասած, վերցնել ամբողջ գործընթացի ժամանակը:
DDoS-Attack հավելվածի մակարդակի տեսակները
- Ուղարկել «Ծանրx »Փաթեթներուղղակիորեն գնում է պրոցեսոր: Սարքը չի կարող դիմակավորել բարդ հաշվարկներ եւ սկսում է ձախողվել, դրանով իսկ հաշմանդամություն ունենալով այցելուներին:
- Օգտագործելով սցենարը, սերվերը լցված է «Աղբարկղ» բովանդակություն - Մուտք գործեք «Օգտագործողի մեկնաբանություններ» եւ այլն: Եթե \u200b\u200bհամակարգի ադմինիստրատորը չի սահմանում սերվերի սահմանը, ապա հաքերը կարող է ստեղծել հսկայական ֆայլերի փաթեթներ, որոնք կհանգեցնեն ամբողջ կոշտ սկավառակի լրացման:
- Խնդիրներ Քվոտաների համակարգ, Որոշ սերվերներ օգտագործվում են արտաքին CGI- ինտերֆեյսի ծրագրերի հետ շփվելու համար (ընդհանուր դարպասի միջերես, «Ընդհանուր դարպասի միջերես»): CGI- ի մուտքը ստանալուց հետո հարձակվողը կարող է գրել իր սցենարը, որը կօգտագործի ռեսուրսների մի մասը, օրինակ `պրոցեսորի ժամանակը:
- Անավարտ չեկ Այցելուի տվյալներ: Այն նաեւ հանգեցնում է պրոցեսորի ռեսուրսների երկար կամ նույնիսկ անսահման օգտագործման մինչեւ սպառման:
- Roda երկրորդ հարձակումը, Դա ազդանշանի կեղծ արձագանք է առաջացնում պաշտպանության համակարգում, որը կարող է ինքնաբերաբար փակել ռեսուրսը արտաքին աշխարհից:
Հարձակումներ հայտի մակարդակում
Ծրագրի կոդ ստեղծելիս դիմումների մակարդակի DDOS հարձակումը օգտագործում է բացթողումներ, որոնք ստեղծում են արտաքին ազդեցության համար ծրագրային ապահովման խոցելիություն: Այս տեսակը կարող է վերագրվել նման ընդհանուր հարձակմանը, ինչպիսին է «պինգ մահը» (մահվան պինգ) ավելի մեծ երկարության ICMP փաթեթների զանգվածային ուղարկում է, որը բուֆերային արտահոսք է առաջացնում:
Բայց մասնագիտական \u200b\u200bհակերները հազվադեպ են դիմում ամենապարզ մեթոդին, որպես ծանրաբեռնվածության խողովակների ալիքների: Խոշոր ընկերությունների բարդ համակարգերի հարձակման համար նրանք փորձում են ամբողջությամբ պարզել սերվերի համակարգի կառուցվածքը եւ գրել շահագործում `ծրագիր, հրամանի շղթա, որը հաշվի է առնում տուժողի խոցելիությունը եւ դիմել է համակարգչին:
DNS Attack
- Առաջին խումբը ուղղված է թեթլեւ Բ. ՄիջոցովDNS սերվերներ: Դրանք ներառում են կիբեր հանցագործությունների նման սովորական տեսակներ, ինչպիսիք են զրոյական օրվա հարձակումը («Զրոյական օրվա հարձակումը») եւ արագ հոսքի DNS («արագ հոսք»):
DNS- ի հարձակումների ամենատարածված տեսակներից մեկը կոչվում է DNS-spoofing («DNS-Squeal»): Նրա ընթացքում հարձակվողները փոխարինում են IP հասցեն սերվերի քեշում, օգտագործողին վերահղում են սուզանավային էջին: Տեղափոխելիս հանցագործը ստանում է օգտատիրոջ անունից եւ կարող է օգտագործել դրանք իր շահերով: Օրինակ, 2009-ին DNS գրառումների փոխարինման պատճառով օգտվողները չէին կարող մեկ ժամ գնալ Twitter: Նման հարձակումը ուներ քաղաքական բնույթ: Իրանից հակերների նախազգուշացման հիմնական էջում տեղադրված են սոցիալական ցանցի նախազգուշացման հիմնական էջում, կապված ամերիկյան ագրեսիային - Երկրորդ խումբը DDOS- ի հարձակումներն են, որոնք հանգեցնում են Հաշմանդամություն DNS:- սերվերներ, Եթե \u200b\u200bձախողվում եք, օգտագործողը չի կարողանա գնալ ցանկալի էջ, քանի որ զննարկիչը չի գտնի որոշակի կայքում բնորոշ IP հասցեն:
Դդուի հարձակումներից կանխարգելում եւ պաշտպանություն
Corero ցանցի անվտանգության համաձայն, աշխարհի բոլոր ընկերությունները ենթակա են հարձակման «մերժման մատչելիության»: Ավելին, նրանց թիվը հասնում է 50-ի:
Դդու-հարձակումներից սերվերի պաշտպանությունը չներկայացրած կայքերի սեփականատերերը կարող են ոչ միայն կրել հսկայական կորուստներ, այլեւ հաճախորդների վստահության նվազում, ինչպես նաեւ շուկայում մրցունակություն:
DDoS-Attack- ի դեմ պաշտպանվելու ամենաարդյունավետ միջոցը մատակարարի կողմից տեղադրված ֆիլտրերն են `բարձր թողունակությամբ ինտերնետային ալիքներով: Նրանք իրականացնում են ամբողջ երթեւեկության հետեւողական վերլուծություն եւ հայտնաբերում են կասկածելի ցանցային գործունեությունը կամ սխալը: Զտիչներ կարող են տեղադրվել, ինչպես երթուղիչների մակարդակով, այնպես էլ հատուկ ապարատային սարքերի օգտագործմամբ:
Պաշտպանելու եղանակներ
- Նույնիսկ ծրագրաշարի գրելու փուլում պետք է մտածել կայքի անվտանգության մասին: Ուշադիր Ստուգեք Սխալների եւ խոցելիությունների համար:
- Կանոնավոր ԹարմացրեքԵվ նաեւ հնարավորություն է տալիս վերադառնալ հին տարբերակին, երբ խնդիրներ են առաջանում:
- Զգուշացեք Սահմանափակում մուտք, Կառավարությանն առնչվող ծառայությունները պետք է ամբողջությամբ փակվեն երրորդ կողմի հասանելիությունից: Պաշտպանեք ադմինիստրատորին բարդ գաղտնաբառերով եւ ավելի հաճախ փոխեք դրանք: Delete նջել աշխատողի հաշիվները ժամանակին, ով դուրս եկավ:
- Մուտք դեպի Ադմինիստրատորի միջերես Պետք է իրականացվի բացառապես ներքին ցանցից կամ VPN- ի միջոցով:
- Սկանացրեք համակարգը Խոցելիությունների առկայություն, Ամենավտանգավոր խոցելիության ամենատարբեր ընտրանքները պարբերաբար հրապարակում են OwaSp Top 10 հեղինակավոր վարկանիշը:
- Կիրառել firewall դիմումների համար - WAF (Վեբ դիմում Firewall): Նա զննում է փոխանցվող երթեւեկությունը եւ վերահսկում է պահանջների օրինականությունը:
- Օգտագործում CDN: Բովանդակության առաքման ցանց): Սա ցանցային առաքման ցանց է, որը գործում է բաշխված ցանցով: Մի քանի սերվերների կողմից տեսակավորված երթեւեկությունը, որոնք այցելուներին մուտք գործելիս նվազեցնում են ձգձգումը:
- Վերահսկել մուտքային երթեւեկությունը Մուտքի հսկման ցուցակները (ACL)Եթե \u200b\u200bհստակեցվելու է օբյեկտի մուտք ունեցող անձանց ցուցակը (ծրագիր, գործընթաց կամ ֆայլ), ինչպես նաեւ դրանց դերը:
- Կարող Արգելափակել երթեւեկությունըորը գալիս է հարձակողական սարքերից: Դա արվում է երկու եղանակով. Firewall- ի կամ ACL ցուցակների օգտագործումը: Առաջին դեպքում հատուկ հոսքը արգելափակված է, բայց էկրանները չեն կարող առանձնացնել «դրական» տրաֆիկը «բացասական» -ից: Եվ երկրորդում `երկրորդային արձանագրությունները զտվում են: Հետեւաբար, դա չի օգնի, եթե հաքերը կիրառի առաջնային պահանջներ:
- Պաշտպանեք DNS- ի փչացումից, ձեզ հարկավոր է պարբերաբար Մաքրել քեշի DNS- ը:.
- Օգտագործում Պաշտպանություն սպամի բոտերից - CAPTCHA (CAPTCHA), «Մարդու» ժամանակավոր շրջանակը լրացնելու ձեւերի, recaptcha (տուփ «Ես ռոբոտ չեմ») եւ այլն:
- Հակադարձ հարձակումը, Բոլոր չարամիտ երթեւեկությունը վերահղվում է հարձակվողի: Դա կօգնի ոչ միայն արտացոլել հարձակումը, այլեւ ոչնչացնել հարձակվողի սերվերը:
- Ռեսուրսների տեղավորում ըստ Մի քանի անկախ սերվերներ, Երբ մեկ սերվերից դուրս եք գալիս, մնացածը կապահովի արդյունավետություն:
- Օգտագործելով հաստատված Ապարատային պաշտպանություն DDoS-Attack- ից: Օրինակ, Impletec Icore կամ DefencePro:
- Ընտրեք հոստինգի մատակարար, որի հետ համագործակցում է Հուսալի մատակարար Կիբերանվտանգության ծառայություններ: Հուսալիության չափանիշների շարքում փորձագետները նույնականացնում են. Որակի երաշխիքների առկայությունը, պաշտպանության ապահովում սպառնալիքների առավել ամբողջական տեսականի, շուրջօրյա տեխնիկական աջակցություն, թափանցիկություն (վիճակագրություն եւ վերլուծություն եւ վերլուծություն) Սակագում:
Եզրակացություն
Այս հոդվածում մենք վերանայեցինք, թե ինչ է նշանակում DDoS հարձակումը եւ ինչպես պաշտպանել ձեր կայքը հարձակումներից: Կարեւոր է հիշել, որ նման վնասակար գործողությունները կարող են ձախողվել նույնիսկ ամենաապահով եւ ամենամեծ վեբ ռեսուրսները: Սա լուրջ հետեւանքներ կբերի հսկայական վնասների եւ հաճախորդների կորուստների տեսքով: Ահա թե ինչու, ձեր ռեսուրսը DDoS-Attack- ից ապահովելու համար `իրական առաջադրանք բոլոր առեւտրային կառույցների եւ պետական \u200b\u200bգերատեսչությունների համար:
Want անկանում եք պաշտպանության պրոֆեսիոնալ մակարդակ DDoS-Attack- ի դեմ. Ընտրեք: Մշտական \u200b\u200bմոնիտորինգ եւ շուրջօրյա տեխնիկական աջակցություն:
Վերջերս մենք կարողացանք համոզվել, որ DDoS հարձակումը բավականին ուժեղ զենք էր տեղեկատվական տարածքում: DDOS- ի, բարձր էներգիայի հարձակումների միջոցով դուք կարող եք ոչ միայն անջատել մեկ կամ մի քանի կայքեր, այլեւ խանգարել ցանցի ամբողջ հատվածի աշխատանքը կամ անջատել ինտերնետը փոքր երկրում: Այժմ DDOS- ի հարձակումները տեղի են ունենում ավելի ու ավելի հաճախ, եւ նրանց ուժն ամեն անգամ ավելանում է:
Բայց որն է նման հարձակման էությունը: Ինչ է պատահում ցանցում, երբ այն վազում է, որտեղ է եկել գաղափարը այդ ճանապարհից եւ ինչու է այդքան արդյունավետ: Այս բոլոր հարցերի պատասխանները կգտնեք մեր ընթացիկ հոդվածում:
DDOS- ը կամ բաժանված ժխտումը (պահպանման առանձնացված մերժումը) հարձակումը որոշակի համակարգչի վրա ցանցի վրա, որն այն պատճառ է հանդիսանում այլ օգտվողների պահանջներին չպատասխանելու համար:
Հասկանալու համար, թե ինչ է նշանակում DDoS հարձակումը, պատկերացնենք իրավիճակը. Վեբ սերվերը օգտվողներին տալիս է էջի էջի օգտագործողներին, ասենք, որ էջի ստեղծումը եւ դրա ամբողջ փոխանցումը կարող է աշխատել կես վայրկյան վայրկյանում երկու խնդրանքների հաճախականություն: Եթե \u200b\u200bավելի շատ նման պահանջներ կան, ապա դրանք կվարկվեն եւ վերամշակվելու են հենց վեբ սերվերը անվճար: Բոլոր նոր պահանջները ավելացվում են հերթի ավարտին: Եվ հիմա ես պատկերացնեմ, որ կան շատ պահանջներ, եւ նրանց մեծ մասը գնում է միայն այս սերվերը ծանրաբեռնելու համար:
Եթե \u200b\u200bնոր խնդրանքների ստացման արագությունը գերազանցում է վերամշակման արագությունը, ապա ժամանակի ընթացքում հարցման հերթը այնքան երկար կլինի, որ իրականում նոր պահանջներ չեն մշակվի: Սա DDoS հարձակման հիմնական սկզբունքն է: Նախկինում նման հարցումները ուղարկվել են մեկ IP հասցեից, եւ դա կոչվում էր հղման գրոհ `փաստորեն, սա այն հարցի պատասխանն է, թե որն է DOS- ը: Բայց նման հարձակումներով դուք կարող եք արդյունավետորեն պայքարել, պարզապես ավելացնելով աղբյուրի IP հասցեն կամ կողպեքի ցուցակի մի քանիսը, եւ ցանցի թողունակության սահմանափակումների պատճառով բազմակի սարքը չի առաջացնում բավարար քանակությամբ փաթեթներ `լուրջ սերվեր ծանրաբեռնվածության համար:
Հետեւաբար, այժմ գրոհները կատարվում են անմիջապես միլիոնավոր սարքերից: Distibed անկցված բառը ավելացվել է անվանմանը, պարզվեց, DDOS: Ըստ մեկի, այս սարքերը ոչինչ չեն նշանակում, եւ հնարավոր է միանալ ինտերնետին `ոչ շատ մեծ արագությամբ, բայց երբ նրանք սկսում են միաժամանակ ուղարկել մեկ սերվերի ընդհանուր արագության, նրանք կարող են հասնել մինչեւ 10 տբ / ս. Եվ սա բավականին լուրջ ցուցանիշ է:
Մնում է հասկանալ, թե որտեղ են հարձակվողները պահում այդքան սարքեր, կատարելու իրենց հարձակումները: Սրանք սովորական համակարգիչներ են, կամ զանազան սարքեր, որոնց վրա հարձակվողները կարողացան մուտք գործել: Դա կարող է լինել ցանկացած բան, տեսախցիկներ եւ երթուղիչներ `երկարատեւ թարմացված որոնվածով, կառավարման սարքերի, լավ եւ սովորական օգտագործողներ, ովքեր ինչ-որ կերպ վերցրել են վիրուսը եւ չգիտեն դրա գոյության մասին կամ չեն շտապում ջնջել դրա գոյությունը:
DDoS ATAK- ի տեսակները
DDoS հարձակման երկու հիմնական տեսակ կա, ոմանք կենտրոնացած են հատուկ ծրագրի ծանրաբեռնվածության վրա եւ գրոհներ, որոնք ուղղված են ցանցային ալիքը նպատակային համակարգչին ծանրաբեռնվածության վրա:
Any անկացած ծրագրի գերբեռնվածության վրա հարձակումը նույնպես կոչվում է հարձակումներ 7-ում (OSI ցանցի շահագործման մոդելում `յոթ մակարդակ եւ վերջիններ): Հարձակվողը հարձակվում է մի ծրագրի վրա, որն օգտագործում է շատ սերվերի ռեսուրսներ, ուղարկելով մեծ թվով հարցումներ: Ի վերջո, ծրագիրը ժամանակ չունի բոլոր կապերը մշակելու համար: Այս տեսակները, որոնք մենք համարեցինք ավելի բարձր:
Ինտերնետային հեռուստաալիքի վրա գտնվող DOS գրոհները պահանջում են շատ ավելի շատ ռեսուրսներ, բայց նրանց հետ հաղթահարելը շատ ավելի դժվար է: Եթե \u200b\u200bosi- ի հետ անալոգիա եք առաջացնում, ապա սրանք 3-4 մակարդակի վրա գրոհներ են, այն գտնվում է ալիքի կամ տվյալների փոխանցման արձանագրության վրա: Փաստն այն է, որ ցանկացած ինտերնետ կապ ունի իր արագության սահմանը, որի միջոցով տվյալները կարող են փոխանցվել: Եթե \u200b\u200bկա շատ տվյալներ, ցանցի սարքավորումները, ինչպես հաղորդումը, դրանք կդնի փոխանցման հերթում, եւ եթե տվյալների քանակը եւ դրանց ստացման արագությունը շատ բարձր կլինեն ալիքի արագությամբ, այն ծանրաբեռնված կլինի: Նման դեպքերում տվյալների փոխանցման տոկոսադրույքը կարող է հաշվարկվել Gigabytes- ում `վայրկյանում: Օրինակ, Ինտերնետից ազատվելու դեպքում Լիբերիայի փոքր երկիրը, տվյալների փոխանցման փոխարժեքը մինչեւ 5 տբ / վ: Այնուամենայնիվ, 20-40 Գբ / վը բավարար է ցանցային ենթակառուցվածքների մեծ մասը ծանրաբեռնելու համար:
DDoS հարձակման ծագումը
Վերեւում մենք նայեցինք, թե ինչ են հարձակումները, ինչպես նաեւ DDOS հարձակման մեթոդները, ժամանակն է գնալ իրենց ծագման: Երբեւէ մտածել եք, թե ինչու են այդ հարձակումներն այդքան արդյունավետ: Դրանք հիմնված են ռազմական ռազմավարությունների վրա, որոնք մշակվել եւ ստուգվել են շատ տասնամյակների ընթացքում:
Ընդհանուր առմամբ, տեղեկատվական անվտանգության շատ մոտեցումներից շատերը հիմնված են անցյալի ռազմական ռազմավարությունների վրա: Կան տրոյան վիրուսներ, որոնք նման են հնագույն պայքարին Troy- ի, շղարշային վիրուսների, որոնք գողանում են ձեր ֆայլերը `թշնամու ռեսուրսները սահմանափակող մարման եւ DDOS- ի գրոհները ստանալու համար: Սահմանափակելով հակառակորդի կարողությունը, դուք որոշակի վերահսկողություն եք ստանում դրա հետագա գործողությունների վերաբերյալ: Այս մարտավարությունը շատ լավ է աշխատում, ինչ վերաբերում է ռազմական ստրատեգներին: Այսպես, կիբերհանցագործների համար:
Ռազմական ռազմավարության դեպքում մենք կարող ենք շատ մտածել այն ռեսուրսների տեսակների մասին, որոնք կարող են սահմանափակվել `սահմանափակելով թշնամու հնարավորությունները: Water րի, սննդի եւ շինանյութերի սահմանափակումը պարզապես ոչնչացնելու էր թշնամուն: Համակարգիչները բոլորն այստեղ տարբեր են, կան տարբեր ծառայություններ, ինչպիսիք են DNS- ը, վեբ սերվերը, էլփոստի սերվեր: Նրանց բոլորն ունեն այլ ենթակառուցվածքներ, բայց կա մի բան, որը նրանց միավորում է: Սա ցանց է: Առանց ցանցի, դուք չեք կարողանա մուտք գործել հեռավոր ծառայություն:
Հրամանատարը կարող է թունավորել ջուրը, բերքը այրել եւ կազմակերպել անցակետեր: CyberCriminals- ը կարող է սխալ տվյալներ ուղարկել ծառայության մեջ, ստիպեք պահանջել բոլոր հիշողությունը սպառում կամ ամբողջովին ճնշել ցանցային ամբողջ ալիքը: Պաշտպանության ռազմավարությունները նույնպես ունեն նույն արմատները: Սերվերի ադմինիստրատորը ստիպված կլինի հետեւել մուտքային տրաֆիկին `չարամիտ գտնելու եւ այն արգելափակելու համար, նախքան այն հասնի թիրախային ցանցի կամ ծրագրի:
Հիմնադրամի եւ կայքի ադմինիստրատորի կայք, Վայելեք բաց ծրագրակազմ եւ Linux օպերացիոն համակարգ: Որպես հիմնական OS Այժմ ես օգտագործում եմ Ubuntu- ն: Linux- ից բացի, ինձ հետաքրքրում է այն ամենը, ինչը կապված է տեղեկատվական տեխնոլոգիաների եւ ժամանակակից գիտության հետ:
Եթե \u200b\u200bկարդաք մեր ուղեցույցը եւ իրականացնեք նկարագրված բոլոր տեխնոլոգիաները `ապահովեք ձեր համակարգիչը հաքերային սպառնալիքներից: Մի անտեսեք սա:
Տեղեկատվական անվտանգության ոլորտում DDOS- ի հարձակումները գրավում են էլեկտրոնային սպառնալիքների վարկանիշի առաջատար վայրերից մեկը: Բայց օգտագործողների մեծամասնությունը շատ սահմանափակ գիտելիքներ ունի այս թեմայի մեջ: Այժմ մենք հնարավորինս կփորձենք հնարավորինս եւ մատչելի լինել այս թեման բացահայտելու համար, որպեսզի պատկերացնեք, թե ինչ է իրականացվում էլեկտրոնային սպառնալիքների այս տեսակը, եւ, համապատասխանաբար, ինչպես արդյունավետորեն վարվել: Այսպիսով, ծանոթացեք `DDoS հարձակումը:
Տերմինաբանություն
Նույն լեզվով խոսելու համար մենք պետք է մուտքագրեք պայմաններն ու դրանց սահմանումները:
DOS Attack - Պահպանման մերժման տեսակը: Հետեւաբար անգլերենի կրճատման DOS - ծառայության մերժումը: Ենթածրագրերից մեկը բաշխված հարձակումը է, որը միաժամանակ իրականացվում է մի քանի եւ որպես կանոն, մեծ թվով հաղորդավարներ: Քննարկման մեծ մասը մենք նվիրում ենք այս տարբերակներին, քանի որ DDoS Attack- ը ավելի կործանարար հետեւանքներ է ունենում, եւ էական տարբերություն միայն հարձակման համար օգտագործվող տանտերերի քանակով:
Ձեզ համար ավելի հեշտ դարձնելու համար, Այսպիսի գործողություններ ուղղված են ցանկացած ծառայության ժամանակավոր դադարեցմանը: Այն կարող է լինել առանձին կայք ցանցի, խոշոր ինտերնետ կամ բջջային մատակարար, ինչպես նաեւ առանձին ծառայություն (պլաստիկ քարտեր ստանալը): Որպեսզի հարձակումը հաջողության հասնի, եւ բերեց ապակառուցողական գործողություններ, անհրաժեշտ է այն կատարել մեծ թվով միավորներով (այսուհետ այս պահը կդիտարկվի ավելի մանրամասն): Հետեւաբար «բաշխված հարձակումը»: Բայց էությունը մնում է նույնը `ընդհատել որոշակի համակարգի աշխատանքը:
Պատկերի ամբողջականության համար հարկավոր է հասկանալ, թե ով եւ ինչ նպատակով են նման գործողություններ անում:
Հարձակումներ, ինչպիսիք են «պահպանումը մերժելը», ինչպես համակարգչային այլ հանցագործությունների, պատժվում են օրենքով: Հետեւաբար, նյութը ներկայացված է միայն տեղեկատվական նպատակներով: Դրանք իրականացվում են ՏՏ մասնագետների կողմից, մարդիկ, ովքեր լավ տիրապետում են «համակարգիչների» եւ «Հաշվարկող ցանցերի» թեմաներին, կամ արդեն նորաձեւ են խոսելու, հակերներ: Ըստ էության, այս իրադարձությունը նպատակ ունի շահույթ ստանալ, քանի որ որպես կանոն, DDOS- ի հարձակումները պատվիրել են անբարեխիղճ մրցակիցներին: Տեղին կլինի փոքր օրինակ բերել:
Ենթադրենք, փոքր քաղաքի ծառայությունների շուկայում գործում են ինտերնետի երկու հիմնական մատակարար: Եվ նրանցից մեկը ցանկանում է քամել մրցակիցը: Նրանք պատվիրում են հակերներին, որոնք բաշխում են DOS հարձակումը մրցակցային սերվերի վրա: Իսկ երկրորդ մատակարարը `իր ցանցը ծանրաբեռնելու պատճառով այլեւս ի վիճակի չէ ինտերնետին հասանելի լինել իր օգտագործողներին: Արդյունքում `հաճախորդների կորուստ եւ հեղինակություն: Հաքերները ստանում են իրենց վարձատրությունը, անավարտ մատակարարը `նոր հաճախորդներ:
Բայց դեպքեր չկան, երբ «DDOSE» եւ պարզապես զվարճանքի կամ սպառման հմտությունների համար:
Բաշխված DDoS հարձակումը
Անմիջապես համաձայնենք. Մենք կզբաղվենք համակարգչային հարձակումներով: Հետեւաբար, եթե մենք խոսում ենք մի քանի սարքերի մասին, որոնց հետ հարձակումը կատարվում է, այն կլինի ապօրինի ծրագրաշար ունեցող համակարգիչներ:
Այստեղ տեղին է նաեւ մի փոքր շեղվել. Ըստ էության, ցանկացած ծառայության կամ ծառայության աշխատանքը դադարեցնելու համար հարկավոր է գերազանցել դրա համար առավելագույն բեռը: Ամենահեշտ օրինակը կայքի հասանելիությունն է: Այսպես թե այնպես, այն նախատեսված է որոշակի գագաթնակետի հաճախելիության համար: Եթե \u200b\u200bժամանակի որոշակի պահի դրությամբ կայքը տաս անգամ ավելի շատ մարդ է գնա համապատասխանաբար, սերվերը ի վիճակի չէ մշակել այս քանակը եւ կդադարի աշխատել: Եվ այս պահին կապերը կիրականացվեն մեծ թվով համակարգիչներով: Սա կլինի այն հանգույցները, որոնք քննարկվել են վերեւում:
Տեսնենք, թե ինչպես է այն նայում ներքեւում գտնվող դիագրամում.
Ինչպես տեսնում եք, հակերներն ստացել են մեծ թվով հարմարեցված համակարգիչներ եւ տեղադրել իրենց լրտեսող ծրագրակազմը: Նրա շնորհիվ նա այժմ կարող է կատարել անհրաժեշտ գործողություններ: Մեր դեպքում, DDOS հարձակումը իրականացնելու համար:
Այսպիսով, եթե համակարգչում աշխատելիս չեք համապատասխանում անվտանգության կանոններին, կարող եք անցնել վիրուսային վարակ: Եվ միգուցե ձեր համակարգիչը կօգտագործվի որպես հանգույց, չարամիտ գործողությունների իրականացման համար:
Դուք հարմար կլինեքՀոդվածում մենք նկարագրեցինք անվտանգության որոշ ասպեկտներ:
Բայց ինչպես դրանք կօգտագործվեն, կախված է նրանից, թե ինչ տարբերակ է ընտրվում հարձակվողը
DDoS ATAK- ի դասակարգում:
Հարձակվողների հետեւյալ տեսակները կարող են ձեռնարկվել հարձակվողների կողմից.
- Ծանրաբեռնված թողունակություն, Այսպիսով, ցանցին միացված համակարգիչները կարող են նորմալ շփվել, հաղորդակցման ալիքը, որի միջոցով դրանք կապված են, պետք է նորմալ աշխատեն եւ հատուկ առաջադրանքների համար ապահովեն բավարար պարամետրեր (օրինակ, թողունակություն): Հարձակման այս տեսակը ուղարկվում է ծանրաբեռնված ցանցային հաղորդակցման ալիքներ: Դա ձեռք է բերվում անընդհատ անհապաղ կամ համակարգի տեղեկատվություն ուղարկելու միջոցով (Ping Command)
- Ռեսուրսների սահմանափակումը, Այս տեսակը, որը մենք արդեն դիտարկել ենք վերեւում, օրինակ, կայք մուտք ունենալու համար: Ինչպես նշեցինք. Սերվերը ուներ միաժամանակյա միաժամանակյա մի շարք կապեր լուծելու: Հարձակվողը պետք է ուղարկի մեծ թվով միաժամանակյա մի շարք մի շարք սերվեր: Արդյունքում սերվերը չի հաղթահարելու բեռը եւ կդադարի աշխատել:
- Հարձակում DNS սերվերի վրա, Այս դեպքում DDoS Attack- ը կոչված է նաեւ դադարեցնել կայքը մուտք գործել: Մեկ այլ տարբերակ `օգտագործողին ճիշտ կայքից շտկելը` կեղծ: Դա կարելի է անել անձնական տվյալների առեւանգման նպատակով: Դա ձեռք է բերվում DNS սերվերի վրա հարձակման հետեւանքով եւ IP հասցեները կեղծելու համար: Եկեք վերլուծենք այն օրինակով: Որոշակի բանկն օգտագործում է իր կայքը `ինտերնետում հաշվարկելու համար: Օգտագործողը պետք է գնա դրան եւ մուտքագրեք իր պլաստիկ քարտի տվյալները: Այս տեղեկատվությունը առեւանգելու նպատակով հարձակվողը նմանատիպ կայք է ստեղծում եւ հարձակումը պահում է սերվերի DNS (Անվան սերվերի) վրա: Այս միջոցառման նպատակն է օգտագործողին վերահղել հարձակվողի կայքին, երբ նա փորձում է գնալ բանկի կայքում: Եթե \u200b\u200bդա հաջողվի, օգտագործողը չի կասկածում սպառնալիքը, իր անձնական տվյալները փոխանցում է հարձակվողի կայքում, եւ նա կստանա նրանց հասանելիություն:
- Claw ծրագրաշարի մեջ, Հարձակման այս տեսակը ամենադժվարն է: Հարձակվողները բացահայտում են ծրագրակազմում թերություններ եւ օգտագործում են դրանք համակարգը ոչնչացնելու համար: Նման DDOS հարձակումը պատվիրելու համար անհրաժեշտ կլինի մեծ գումարներ ծախսել:
Ինչպես անցկացնել DDOS հարձակումը ձեր սեփական ձեռքերով
Որպես օրինակ, որոշեցինք ձեզ ցույց տալ, թե ինչպես իրականացնել DDoS Attack, օգտագործելով հատուկ ծրագրակազմ:
Նախ, ներբեռնեք ծրագիրը այս հասցեում: Դրանից հետո գործարկեք այն: Դուք պետք է տեսնեք StartUp պատուհանը.
Դուք պետք է ունենաք նվազագույն պարամետրեր.
- «URL» սյունակում մենք գրում ենք այն կայքի հասցեն, որը մենք ցանկանում ենք հարձակվել
- Այնուհետեւ կտտացրեք «Կողպեք» կոճակը. Մենք կտեսնենք թիրախային ռեսուրսը
- Մենք դնում ենք TCP մեթոդը
- Ընտրեք թելերի քանակը (թելեր)
- Սլայդերի միջոցով ուղարկելու արագությունը բացահայտելը
- Երբ բոլոր պարամետրերն ավարտվեն, կտտացրեք «IMMA LAMIN MAH LAZER» կոճակը
Բոլորը - Հարձակումը սկսվեց: Կրկին կրկնում եմ, բոլոր գործողությունները ներկայացված են տեղեկատվական նպատակներով:
Ինչպես պաշտպանել DDOS- ի հարձակումներից
Դուք հավանաբար արդեն հասկացել եք, որ սպառնալիքների այս տեսակը շատ վտանգավոր է: Եվ, հետեւաբար, շատ կարեւոր է իմանալ պայքարի մեթոդներն ու սկզբունքները եւ կանխել բաշխված հարձակումները:
- Զտիչ համակարգեր տեղադրելը. Առաջադրանք համակարգի ադմինիստրատորների եւ հոստինգի մատակարարների համար
- DDoS Attack- ից պաշտպանական համակարգերի ձեռքբերում (ծրագրային եւ սարքավորումների համալիրներ)
- Օգտագործելով Firewall եւ Access Control ցուցակները (ACL) - Այս միջոցը ուղղված է կասկածելի տրաֆիկի զտմանը:
- Բարձրացնել մատչելի ռեսուրսները եւ ամրագրման համակարգերի տեղադրում
- Պատասխան տեխնիկական եւ իրավական միջոցներ: Մինչեւ հանցագործը քրեական պատասխանատվության ենթարկելը
Տեսանյութը հոդվածին.
Եզրակացություն
Այժմ դուք հավանաբար հասկանում եք DDoS հարձակումների ողջ վտանգը: Իրենց ռեսուրսների անվտանգությունն ապահովելու համար անհրաժեշտ է շատ պատասխանատու մոտենալ, առանց խնայելու ժամանակը, ուժերը եւ փողը: Նույնիսկ ավելի լավ է ունենալ առանձին մասնագետ կամ տեղեկատվական անվտանգության մի ամբողջ վարչություն:
Մշտական \u200b\u200bընթերցողները շատ հաճախ հարց են տվել, քանի որ կարող եք խմբագրել տեքստը, եթե ֆայլն ունի PDF ձեւաչափ: Պատասխանը կարելի է գտնել նյութում -
Ձեր տվյալները պաշտպանելու համար կարող եք օգտագործել միջոցների մի ամբողջ շարք: Այս տարբերակներից մեկն է
Եթե \u200b\u200bՁեզ անհրաժեշտ է խմբագրել ձեր առցանց տեսանյութը, մենք պատրաստել ենք հանրաճանաչ ակնարկ:
Ինչու տեղեկատվություն փնտրեք այլ կայքերի վերաբերյալ, եթե մեզանից ամեն ինչ հավաքվի:
DDoS Attack- ի հետ պայքարը. Աշխատանքը ոչ միայն դժվար է, այլեւ հետաքրքրաշարժ: Զարմանալի չէ, որ յուրաքանչյուր Sysadmin առաջին հերթին փորձում է ինքնուրույն կազմակերպել պաշտպանություն. Հատկապես, քանի որ այն դեռ հնարավոր է:
Մենք որոշեցինք օգնել ձեզ այս դժվարին եւ հրատարակել որոշ կարճ, չնչին եւ համընդհանուր խորհրդատվություն ձեր կայքի պաշտպանության վերաբերյալ հարձակումներից: Նվազեցված բաղադրատոմսերը չեն օգնի ձեզ հաղթահարել ցանկացած հարձակումը, բայց վտանգներից շատերը կփրկվեն:
Ճիշտ բաղադրիչները
Կտրուկ ճշմարտությունն այն է, որ շատ կայքեր կարող են տեղադրել բոլոր նրանց, ովքեր ցանկանում են օգտագործել դանդաղորեն սպանելով Apache- ը կամ այսպես կոչված սինհղածածկումը լուծելը Amazon EC2 Cloud- ում բարձրացված վիրտուալ սերվերներ օգտագործելով: Մեր ապագա DDOS- ի պաշտպանության բոլոր խորհուրդները հիմնված են հետեւյալ կարեւոր պայմանների վրա:
1. Հրաժարվեք Windows սերվերից
Պրակտիկան ենթադրում է, որ Windows- ի վրա աշխատող կայքը (2003 կամ 2008-ը անկախ է), DDOS- ի դեպքում դատապարտված է: Ձախողման պատճառը Windows ցանցի կեռակում կայանում է. Երբ կապերը շատ են դառնում, սերվերը, անշուշտ, սկսում է վատ պատասխանել: Մենք չգիտենք, թե ինչու Windows սերվերը աշխատում է այնպիսի իրավիճակներում, որը այդքան հեղինակավոր է, բայց դրանք բախվել են ավելի քան մեկ անգամ եւ ոչ երկուսը: Այդ իսկ պատճառով, այս հոդվածը կշարունակվի այն դեպքում, երբ DDOS հարձակումներից պաշտպանվելու միջոցներով, երբ սերվերը պտտվում է Linux- ում: Եթե \u200b\u200bդուք երջանիկ տերն եք ժամանակակից միջուկի հետ (սկսած 2.6-ից), ապա կօգտագործվեն iptables եւ iPet- ի կոմունալ ծառայություններ, որպես հիմնական գործիքակազմ (արագորեն ավելացնել IP հասցեները): Հաջողության մեկ այլ բանալին պատշաճ եփած ցանցի կեռն է, որը մենք նույնպես կխոսենք:
2. Մաս `Apache
Երկրորդ կարեւոր պայմանը Apache- ի մերժումն է: Եթե \u200b\u200bնույնիսկ մեկ ժամ չեք, ապա արժե apache- ն, ապա գոնե պահեք պահոցային վստահված անձը դրա դիմաց `NGINX կամ LIGHTTPD: Apache «Դա շատ դժվար է ֆայլեր տալը, եւ, նույնիսկ ավելի վատը, այն հիմնարար մակարդակի վրա է (այսինքն, աննկատելիորեն խոցելի է վտանգավոր դանդաղաշարժ հարձակման համար) Դանդաղեցման տեսակները, Apache օգտագործողները եկել են Patch First- ի առաջին հակահամաճարակային, ապա mod_noloris, ապա mod_noloris, ապա mod_rantiloris, mod_limitipconn, mod_reqimeout ... Բայց եթե ուզում եք գիշերը լավ քնել, ավելի հեշտ է վերցնել HTTP սերվեր Կոդի ճարտարապետության մակարդակում դանդաղեցնելու համար: Հետեւաբար, մեր հետագա բոլոր բաղադրատոմսերը հիմնված են ենթադրության վրա, որ առաջնագծում օգտագործվում է NGINX- ը:
Պայքար DDos- ից:
Ինչ կլինի, եթե Դդոսը եկավ: Ավանդական ինքնապաշտպանական տեխնիկան HTTP սերվերի տեղեկամատյան ֆայլը կարդալն է, գրեք նմուշ, Grep- ի համար (բոտերի բոտեր պատրաստելը) եւ արգելեք բոլորին, ովքեր ընկնում են դրա տակ: Այս տեխնիկան կաշխատի ... Եթե հաջողակ եք: Batnets- ը երկու տեսակ է, երկուսն էլ վտանգավոր են, բայց տարբեր ձեւերով: Մեկը ամբողջովին գալիս է կայքում անմիջապես, մյուսը աստիճանաբար է: Առաջինը սպանում է ամեն ինչ եւ անմիջապես, բայց տեղեկամատյանները ամբողջությամբ հայտնվում են տեղեկամատյաններում, եւ եթե դրանք արգելում են եւ զարմացնում եք բոլոր IP հասցեները, ապա հաղթող եք: Երկրորդ Botnet- ը կայքը նրբորեն եւ ուշադիր է, բայց այն պետք է արգելվի այն, գուցե օրվա ընթացքում: Կարեւոր է հասկանալ ցանկացած ադմինիստրատոր. Եթե նախատեսվում է պայքարել GREP- ի դեմ, ապա պետք է պատրաստ լինեք հարձակման դեմ պայքարին մի քանի օր: Ստորեւ ներկայացված են այն խորհուրդները, թե որտեղ կարող եք նախօրոք ծղոտներ դնել, որպեսզի աշնանը այնքան ցավոտ չէ:
3. Օգտագործեք TestCookie մոդուլը
Թերեւս սույն հոդվածի ամենակարեւոր, արդյունավետ եւ գործառնական բաղադրատոմսը: Եթե \u200b\u200bDDO- ները գալիս են ձեր կայք, ապա @ KKYPRIZEL COEXLER- ի կողմից մշակված TestCookie-Nginx մոդուլը կարող է դառնալ առավել արդյունավետ միջոց: Գաղափարը պարզ է: Ամենից հաճախ, HTTP ջրհեղեղները իրականացնող բոտերը բավականին հիմար են եւ չունեն http բլիթներ եւ վերահղման մեխանիզմներ: Երբեմն ավելի առաջադեմ. Նման կարող են օգտագործել բլիթներ եւ վերամշակել վերահղումները, բայց գրեթե երբեք dos-bot- ը կրում է լիարժեք JavaScript շարժիչ (չնայած այն ավելի հաճախ եւ ավելի հաճախ է): TestCookie-Nginx- ը աշխատում է որպես արագ ֆիլտր բոտերի եւ L7 DDoS հարձակման ընթացքում, թույլ տալով կտրել աղբի հարցումները: Ինչ է ներառված այս ստուգումներում: Անկախ նրանից, թե հաճախորդը կարող է իրականացնել HTTP վերահղումը, անկախ նրանից, թե JavaScript- ը աջակցում է, արդյոք նա զննարկիչն է, որի համար նա տալիս է ամենուր, եւ եթե հաճախորդը կարող է ասել, որ նա կարող ենք դա ստուգել): Ստուգումը իրականացվում է բլիթներով `օգտագործելով տարբեր մեթոդներ.
- «Սահմանել cookie» + վերահղումը 301 HTTP տեղում.
- «Սեթ-բլիթ» + վերահղում HTML Meta Refresh- ի հետ;
- Կամայական ձեւանմուշ, եւ դուք կարող եք օգտագործել JavaScript- ը:
Ավտոմատ վերլուծությունից խուսափելու համար թխուկների փորձարկումը կարող է կոդավորված լինել AES-128- ի միջոցով եւ հետագայում ապակոդավորված է JavaScript հաճախորդի կողմից: Մոդուլի նոր տարբերակում հնարավոր էր պատրաստել խոհարարներ Flash- ի միջոցով, ինչը թույլ է տալիս նաեւ արդյունավետորեն կտրել բոտերը (որ Flash- ը սովորաբար չի ապահովվում), բայց, այնուամենայնիվ, արգելափակում է շատ օրինական օգտագործողների համար (իրականում բոլոր բջջային սարքերը) ): Հատկանշական է, որ սկսեք օգտագործել TestCookie-Nginx- ը չափազանց պարզ: Մշակողը, մասնավորապես, ղեկավարում է օգտագործման մի քանի հասկանալի օրինակներ (տարբեր հարձակման դեպքերի համար), NGINX- ի կազմաձեւման նմուշներով:
Բացի առավելություններից, TestCookie- ն ունի թերություններ.
- Կտրում է բոլոր բոտերը, ներառյալ Googlebot- ը: Եթե \u200b\u200bնախատեսում եք թեստային հիմունքներով թողնել, համոզվեք, որ դուք չեք անհետանում որոնման արդյունքներից.
- Բրաուզերների հղում ունեցող օգտվողների հետ խնդիրներ է ստեղծում, W3M եւ նրանց նման.
- Չի խնայում բոստերով հագեցած բոտերով `JavaScript- ով լիարժեք զննարկիչ շարժիչով:
Մի խոսքով, TestCookie_Module- ը համընդհանուր չէ: Բայց մի շարք բաներից, օրինակ, օրինակ, primitive գործիքներ Java եւ C # համար, այն օգնում է: Այսպիսով, դուք կտրում եք սպառնալիքի մի մասը:
4. Կոդ 444:
DDos'er- ի նպատակը հաճախ դառնում է կայքի առավել ռեսուրսային մաս: Բնորոշ օրինակ է որոնումը, որը բարդ հարցումներ է կատարում տվյալների բազայում: Բնականաբար, հարձակվողները կարող են օգտվել դրանից, միանգամից գանձելով մի քանի տասնյակ հազարավոր պահանջներ որոնիչին: Ինչ կարող ենք մենք անել? Ժամանակավորապես անջատեք որոնումը: Թող հաճախորդները չկարողանան ներկառուցված միջոցներով որոնել անհրաժեշտ տեղեկատվությունը, բայց ամբողջ հիմնական կայքը կմնա աշխատանքային վիճակում, քանի դեռ չեք գտնի բոլոր խնդիրների արմատը: Nginx- ը աջակցում է 444 ոչ ստանդարտ կոդին, ինչը թույլ է տալիս պարզապես փակել կապը եւ ի պատասխան որեւէ բան տալ.
Գտնվելու վայրը / որոնում (վերադարձ 444;)
Այսպիսով, հնարավոր է, օրինակ, արագորեն իրականացնել url- ի զտումը: Եթե \u200b\u200bվստահ եք, որ գտնվելու վայրը / որոնումը գալիս է միայն բոտերից (օրինակ, ձեր վստահությունը հիմնված է այն փաստի վրա, որ ձեր կայքում չկա բաժանում / արգելքի բոտեր Սցենար
Ipet -n Ban iPhash Tail -f Access.log | Կարդալով գծի. Արեք «$ գիծ» | \\ cut -d "" "" -f3 | Կտրեք -D "" -f2 | GREP -Q 444 && ipset -a Ban "$ (L %% *)»; արված
Եթե \u200b\u200bտեղեկամատյանների ֆայլի ձեւաչափը ոչ ստանդարտ է (ոչ կոմբո), կամ անհրաժեշտ է արգելել այլ նշաններ, քան պատասխան կարգավիճակը, կարող է անհրաժեշտ լինել փոխարինել պարբերաբար արտահայտվելու համար:
5. Banya by GeoD- ի կողմից
444-ի ոչ ստանդարտ արձագանքման կոդը կարող է նաեւ օգտակար լինել Geo- ձեռքբերման վրա հաճախորդների գործառնական արգելքի համար: Դժվար թե կարողանաք սահմանափակել առանձին երկրները, որոնք անհարմար են: Եկեք ասենք, Դժվար թե Դոնի Ռոստով-Օփերասի առցանց խանութում Եգիպտոսում շատ օգտվողներ կան: Սա շատ լավ միջոց չէ (պարզապես ասում է `զզվելի), քանի որ Geoip- ի տվյալները անճիշտ են, եւ Ռոստովները երբեմն հանգստանում են Եգիպտոս: Բայց եթե կորցնելու բան չունեք, ապա հետեւեք հրահանգներին.
- Միացեք Nginx Geoip մոդուլին (wiki.nginx.org/httpgeoipmodule):
- Display ուցադրել Geoust- ի տեղեկատվությունը մուտքի մատյանում:
- Ավելին, վերը նշված Shell- ի սցենարը, Progrept AccessLog Nginx- ի փոփոխությունը եւ հաճախորդների համար ավելացված աշխարհագրական նշաններ արգելքի մեջ:
Եթե, օրինակ, մեծ մասամբ բոտերը Չինաստանից էին, դա կարող է օգնել:
6. Նյարդային ցանց (POC)
Վերջապես, դուք կարող եք կրկնել @ savetherbtz խաղի փորձը, որը վերցրեց նյարդային ցանցի Pybrain- ը, լցոնեց մուտքը դրա մեջ եւ վերլուծեց հարցումները (habrahabr.ru/336237): Մեթոդ աշխատել, չնայած ոչ համընդհանուր :): Բայց եթե դուք իսկապես գիտեք ձեր կայքի ներդրումը, եւ դուք, որպես համակարգի կառավարիչ, պետք է հնարավորություն ունենաք, որ առավել ողբերգական իրավիճակներում նման գործիքակազմը, որը հիմնված է նյարդային ցանցերի վրա, կօգնի ձեզ , Այս դեպքում չափազանց օգտակար է Access.log- ը նախքան DDOS- ի մեկնարկը «ա, քանի որ այն նկարագրում է օրինական հաճախորդների գրեթե 100% -ը, եւ, հետեւաբար, նյարդային ցանցի վերապատրաստման համար մեծ տվյալների բազա միշտ չէ, որ տեսանելի են:
Խնդրի ախտորոշում
Կայքը չի գործում. Ինչու: Նրա DDoSaim- ը, թե արդյոք ծրագրավորողի կողմից չի նկատվում Jag վրիպակ: Երբեք դեմ չեմ լինի: Մի փնտրեք պատասխան այս հարցին: Եթե \u200b\u200bկարծում եք, որ ձեր կայքը կարող է հարձակվել, կապի ընկերություններ, որոնք կապի համար պաշտպանություն են ապահովում `մի շարք հակա-դդպրոսային ծառայություններ` միացման առաջին օրվա համար `ախտանիշների որոնման համար: Կենտրոնանալ խնդրի վրա: Եթե \u200b\u200bկայքը դանդաղ է գործում կամ ընդհանրապես չի բացվում, դա նշանակում է, որ այն չի ունենա ինչ-որ բան ներկայացումով, եւ - անկախ նրանից, թե ոչ, դուք պարտավոր եք հասկանալ Այն Մենք բազմիցս ականատես ենք եղել, թե ինչպես է ընկերությունը, ձեր կայքի աշխատանքի հետ կապված դժվարություններ, DDoS հարձակման պատճառով, փոխարենը տեղում թույլ կետեր գտնելու փոխարեն, փորձեց պատասխաններ ուղարկել եւ պատժել հարձակվողներին: Թույլ մի տվեք նման սխալներ: Կիբերհանցագործների որոնումը դժվար եւ երկարաժամկետ գործընթաց է, որը բարդ է ինտերնետի կառուցվածքն ու սկզբունքները, եւ կայքի աշխատանքի հետ կապված խնդիրը պետք է արագ լուծվի: Տեխնիկական մասնագետներ պատրաստեք գտնելու, թե ինչն է կայքի կադրի պատճառը ընկած, եւ դիմումը կկարողանա գրել փաստաբաններ:
7. Օգտագործեք պրոֆիլավոր եւ կարգաբերում
Ամենատարածված վեբ կայքերի ստեղծման պլատֆորմի համար - PHP + MySQL - Bottleneck- ը կարող է ստորագրվել հետեւյալ գործիքների միջոցով.
- xdebug Profiler- ը ցույց կտա, թե որ դիմումն անվանում է առավելագույն ժամանակ.
- Ներկառուցված կարգաբերիչ APD- ն եւ սխալի տեղեկամատյանում Debug ելքը կօգնեն պարզել, թե որ ծածկագիրն է իրականացնում այդ մարտահրավերները.
- Շատ դեպքերում շունը թաղված է տվյալների բազայում պահանջների բարդության եւ ծանրության մեջ: Այստեղ կօգնի բացատրել SQL տվյալների բազան, որը ներկառուցված է շարժիչով:
Եթե \u200b\u200bկայքը պատահականորեն ստանձնվի, եւ ոչինչ չեք կորցնի, անջատեք ցանցը, նայեք տեղեկամատյաններին, փորձեք կորցնել դրանք: Եթե \u200b\u200bոչ ստում է, անցեք էջերը, նայեք բազան:
Օրինակ է տրամադրվում PHP- ի համար, բայց գաղափարը վավեր է ցանկացած հարթակի համար: Ծրագրավորման ցանկացած լեզվով ծրագրավորողի ծրագրային ապահովման արտադրանքները պետք է կարողանան արագ կիրառել դեբառը եւ պրոֆիլը: Նախապես պրակտիկա:
8. Չարագործեք սխալները
Վերլուծեք երթեւեկության ծավալը, սերվերի արձագանքման ժամանակը, սխալների քանակը: Դրա համար տես տեղեկամատյանները: Nginx- ում սերվերի արձագանքման ժամանակը գրանցվում է երկու փոփոխականով. Հարցում_ Ժամկետ եւ upstream_response_time. Առաջինը հարցման կատարման լրիվ դրույքն է, ներառյալ ցանցի ձգձգումները օգտագործողի եւ սերվերի միջեւ. Երկրորդ զեկույցները, թե որքանով է պահում (Apache, PHP_FPM, Uwsgi ...): Upstream_response_time արժեքը չափազանց կարեւոր է մեծ թվով դինամիկ բովանդակություն եւ տվյալների բազայի հետ ակտիվ հաղորդակցություն, դրանք չեն կարող անտեսվել: Կարող եք օգտագործել այդպիսի կազմաձեւ, որպես տեղեկամատյան ձեւաչափ.
Log_format xakep_log "$ remote_addr - $ remote_user [$ mime_local]" "" $) "$ status $ body_bytes_te"
Սա համակցված ձեւաչափ է `հավելյալ ժամկետների դաշտերով:
9. Հետեւեք յուրաքանչյուր վայրկյանում պահանջների քանակին
Նայեք նաեւ վայրկյանում պահանջների քանակը: Nginx- ի դեպքում կարող եք մոտավորապես գնահատել հաջորդ shell հրամանի այս արժեքը (Access_Log փոփոխականը պարունակում է Nginx Query- ի ուղին).
Echo $ (($ (FGRP -C "$ (ENV LC_ALL \u003d C Ամսաթիվ [Email պաշտպանված]$ (($ (Ամսաթիվ \\ +% S) -60)) +% D /% B /% y:% H:% մ) "" $ Acces_log ") / 60))
Այս ժամանակի նորմալ համեմատությամբ, վայրկյանների համար պահանջների քանակը կարող է ընկնել եւ աճել: Նրանք աճում են այն դեպքում, երբ մեծ բոտետ եկավ, եւ ընկնում է, եթե հաղթական բոտետը փաթաթեց կայքը, այն ամբողջովին անհասանելի դարձնելով օրինական օգտագործողների համար, եւ միեւնույն ժամանակ պահանջվում է ստայնականություն: Հարցումների անկումը նկատվում է միայն ստատիկ կազմելու պատճառով: Բայց, այս կամ այն \u200b\u200bկերպ մենք խոսում ենք ցուցանիշների լուրջ փոփոխությունների մասին: Երբ դա տեղի է ունենում հանկարծակի, մինչդեռ դուք փորձում եք ինքնուրույն լուծել խնդիրը, եւ եթե այն անմիջապես չտեսնեք մատյանում, ավելի լավ է արագ ստուգել մասնագետներին եւ զուգահեռ կապվել մասնագետների հետ:
10. Մի մոռացեք TCPDump- ի մասին
Շատերը մոռանում են, որ TCPDump- ը հիասքանչ ախտորոշիչ գործիք է: Ես կտամ մի քանի օրինակ: 2011-ի դեկտեմբերին Linux միջուկի մեջ մի վրիպակ հայտնաբերվեց, երբ այն բացեց TCP միացում, երբ ցուցադրվեցին Syn and RST TCP հատվածի դրոշները: Առաջին Բաժեպորտը ուղարկեց համակարգի կառավարիչը Ռուսաստանից, որի ռեսուրսը հարձակվեց այս մեթոդով, - հարձակվողները իմացան խոցելիության մասին, քան ամբողջ աշխարհը: Նրա համար ակնհայտ է, որ նման ախտորոշումը օգնեց: Մեկ այլ օրինակ. Nginx- ը մեկը շատ հաճելի սեփականություն չէ. Նա գրում է մատյանում միայն ամբողջական խնդրանքով լիարժեք հասկանալուց հետո: Կա իրավիճակներ, երբ կայքը կայանում է, ոչինչ չի գործում, եւ տեղեկամատյաններում ոչինչ չկա: Բոլորը, քանի որ բոլոր պահանջները, որոնք ներկայումս ներբեռնում են սերվերը, դեռ չեն կատարվում: TCPDump- ը կօգնի այստեղ:
Այնքան լավն է, որ ես խորհուրդ տվեցի, որ մարդիկ չօգտագործեն երկուական արձանագրություններ, նախքան նրանք նվաճեն, որ ամեն ինչ կարգավորված է, քանի որ տեքստային արձանագրությունները կկազմեն TCPDump »OM- ը, սակարդը, լավ է Ախտորոշում - որպես արտադրության պահպանման միջոց », եւ նա սարսափելի է: Այն հեշտությամբ կարող է միանգամից կորցնել մի քանի փաթեթ եւ փչացնել ձեզ օգտագործողի պատմությունը: Հարմար է դիտել նրա եզրակացությունը, եւ դա օգտակար կլինի ձեռքով ախտորոշման եւ արգելքի համար, բայց փորձեք որեւէ բան չբարձրացնել դրա վրա: Մեկ այլ սիրված միջոցներ `« Փոփոխությունները «ամրացնելու» համար - NGREP - Ընդհանուր առմամբ, լռելյայն, այն փորձում է պահանջել պահանջել երկու գիգաբայթ անհոգ հիշողություն եւ միայն դրանից հետո սկսում է նվազեցնել դրա պահանջները:
11. Հարձակումը, թե ոչ:
Ինչպես տարբերակել DDoS հարձակումը, օրինակ, գովազդային արշավի ազդեցությունից: Այս հարցը կարող է ծիծաղելի թվալ, բայց այս թեման ոչ պակաս բարդ է: Կան բավականին հետաքրքրասեր դեպքեր: Որոշ լավ տղաներում, երբ նրանք լարեցին եւ մանրակրկիտ պտտվեցին պահոցով, կայքը վազում է մի քանի օր: Պարզվել է, որ մի քանի ամսվա ընթացքում այս կայքը աննկատ է որոշ գերմանացիների տվյալներով եւ նախքան կայքի էջի պահոցը օպտիմալացումը, այս գերմանացիները բավականին երկար ժամանակ բեռնված էին բոլոր նկարներով: Երբ էջը անմիջապես սկսեց Քեշայից թողարկվել, բոտը, որը արթուն ժամանակ չէր ունեցել, նույնպես սկսեց դրանք անմիջապես հավաքել: Դժվար էր: Գործը հատկապես դժվար է այն պատճառով, որ եթե դուք ինքներդ եք փոխել պարամետրը (շրջվել է պահոցից), եւ այդ վայրում դադարեցրել է աշխատանքը, ապա ով է մեղավոր: Ճիշտ: Եթե \u200b\u200bդիտում եք հարցումների քանակի կտրուկ աճ, ապա տեսեք, օրինակ, Google Analytics- ում, ովքեր եկել են այդ էջերում:
Վեբ սերվերի թյունինգ
Որոնք են հիմնական կետերը: Իհարկե, դուք կարող եք տեղադրել «Default» Nginx- ը եւ հույս ունենալ, որ լավ կլինեք: Այնուամենայնիվ, դա միշտ էլ լավ չի լինում: Հետեւաբար, ցանկացած սերվերի ադմինիստրատորը պետք է շատ ժամանակ հատկացնի նրբագեղության եւ կարգաբերելու nginx:
12. սահմանափակել ռեսուրսները (բուֆերային չափերը) NGINX- ում
Ինչի համար պետք է նախ հիշել: Յուրաքանչյուր ռեսուրս ունի սահման: Առաջին հերթին, դա վերաբերում է RAM- ին: Հետեւաբար, վերնագրերի չափերը եւ բոլոր օգտագործված բուֆերները պետք է սահմանափակվեն հաճախորդի եւ սերվերի համարժեք արժեքներով: Դրանք պետք է սահմանվեն Nginx կազմաձեւում:
- client_header_buffer_size__ Նշում է բուֆերի չափը `հաճախորդի պահանջի վերնագիրը կարդալու համար: Եթե \u200b\u200bհարցման գիծը կամ հարցման վերնագրի դաշտը ամբողջությամբ տեղադրված չեն այս բուֆերային, ապա հատկացվում են մեծ_Կլյուտ_հայջեր_Բաֆֆերների հրահանգի կողմից նշված ավելի մեծ բուֆերները:
- large_client_header_buffers. Հաճախորդի պահանջի վերնագիր կարդալու համար սահմանում է առավելագույն քանակի եւ բուֆերի չափը:
- client_body_buffer_size Հաճախորդին պահանջելու մարմնի ընթերցման համար նշում է բուֆերի չափը: Եթե \u200b\u200bհարցման մարմինը ավելի մեծ է, քան ցանկալի բուֆերը, ապա ամբողջ հարցման մարմինը կամ միայն այն մասը, որը այն գրված է ժամանակավոր ֆայլի վրա:
- client_max_body_size Նշում է հարցման վերնագրի «Բովանդակության երկարություն» դաշտում նշված հաճախորդի խնդրանքով մարմնի առավելագույն թույլատրելի մարմնի չափը: Եթե \u200b\u200bչափը ավելի հստակեցված է, ապա հաճախորդը վերադարձնում է 413 սխալ (հայցադիմում է կազմակերպությունը չափազանց մեծ):
13. Անհատականացրեք NGINX- ի ժամկետները
Ռեսուրսը ժամանակն է: Հետեւաբար, հաջորդ կարեւոր քայլը պետք է լինի տեղադրել բոլոր ժամանակացույցերը, որոնք կրկին շատ կարեւոր են նողկալիորեն գրանցվել NGINX պարամետրերում:
- reset_timedout_connection on; Օգնում է պայքարել պատկանելիության փուլում կախված վարդակների դեմ:
- client_header_timeout. Հաճախորդին պահանջելիս նշում է ժամանակացույցը:
- client_body_timeout. Հաճախորդի պահանջի մարմնին կարդալիս նշում է ժամկետը:
- keepalive_timeout: Սահմանում է այն ժամկետը, որի ընթացքում հաճախորդի հետ պահվող կապը չի փակվի սերվերի կողմից: Շատերը վախենում են մեծ նշանակություն տալ այստեղ, բայց մենք վստահ չենք, որ այս վախը արդարացված է: Ընտրովի, դուք կարող եք սահմանել պահուստի արժեքը պահող HTTP վերնագրում, բայց Internet Explorer- ը հայտնի է այս արժեքը անտեսելու համար:
- send_timeout. Հաճախորդին պատասխանը հանձնելիս նշում է ժամկետ: Եթե \u200b\u200bայս անգամ հաճախորդը ոչինչ չի ընդունի, կապը կփակվի:
Անմիջապես հարց. Բուֆերների եւ ժամանակաշրջանի որ պարամետրերը ճիշտ են: Այստեղ համընդհանուր բաղադրատոմս չկա, յուրաքանչյուր իրավիճակում նրանք իրենցն են: Բայց կա ապացուցված մոտեցում: Դուք պետք է սահմանեք այն նվազագույն արժեքները, որոնցում կայքը մնում է աշխատանքային վիճակում (խաղաղության մեջ), այսինքն, էջերը տրվում են, եւ պահանջները մշակվում են: Սա որոշվում է միայն փորձարկմամբ `ինչպես աշխատասեղաններ, այնպես էլ բջջային սարքերից: Ալգորիթմ յուրաքանչյուր պարամետրի արժեքներ գտնելու համար (բուֆերային չափ կամ դադարեցում).
- Ես ցուցադրում եմ մաթեմատիկորեն նվազագույն պարամետր արժեք:
- Գործարկել կայքի փորձարկման գործարկումը:
- Եթե \u200b\u200bկայքի ամբողջ գործառույթը աշխատում է առանց խնդիրների, պարամետրը սահմանված է: Եթե \u200b\u200bոչ, մենք մեծացնում ենք պարամետրերի արժեքը եւ գնում ենք 2-րդ կետի:
- Եթե \u200b\u200bպարամետրի արժեքը գերազանցում է նույնիսկ լռելյայն արժեքը զարգացման թիմում քննարկման հիմք է:
Որոշ դեպքերում այս պարամետրերի աուդիտը պետք է հանգեցնի վերափոխման / օգտագործողի վերափոխմանը: Օրինակ, եթե կայքը չի աշխատում առանց երեք րոպե տեւողությամբ ընտրության պահանջների, ապա հարկավոր է ժամանակ բարձրացնել, բայց երկար ընտրատեղամանք `այլ բան փոխարինելու համար, որոնք կախված են երեք րոպե Սպանեք միջին էժան սերվերը:
14. սահմանափակել միացությունները Nginx- ում (Limit_Conn եւ Limit_req)
Nginx- ը նաեւ հնարավորություն ունի սահմանափակել կապերը, պահանջները եւ այլն: Եթե \u200b\u200bվստահ չեք, թե ինչպես է ձեր կայքի որոշակի մասը պահում, իդեալականորեն, պետք է այն փորձարկեք, հասկացեք, թե որքան պահանջներ կդառնա, եւ գրանցվելու է այն նկերագով: Դա մի բան է, երբ կայքը կայանում է, եւ կարող եք գալ եւ բարձրացնել այն: Եվ մեկ այլ բան է `երբ նա կգնա այնպիսի աստիճանի, որ սերվերը գնացել է փոխանակման: Այս դեպքում հաճախ ավելի հեշտ է վերագործարկել, քան սպասել իր հաղթական վերադարձին:
Ենթադրենք, որ կայքը բաժիններ ունի խոսակցական անուններով / ներբեռնում եւ / որոնումներով: Միեւնույն ժամանակ մենք.
- Մենք չենք ուզում բոտեր (կամ ճնշված ռեկուրսիվ ներբեռնման կառավարիչներով), որպեսզի մեզ ներլցումներ բերեք TCP կապերի սեղան:
- Մենք չենք ցանկանում, որ բոտերը (կամ որոնիչների թռչող ճարմանդները) սպառել են DBMS հաշվարկային ռեսուրսները բազմաթիվ որոնման հարցումներով:
Այս նպատակների համար կօգտագործվի հետեւյալ տիպի կազմաձեւը.
Http (limit_conn_zone $ binary_remote_addr գոտի \u003d ներբեռնված_C: 10 մ; 10 մ; search_r Burst \u003d 5; այլ տեղորոշման կազմաձեւում))))
Այն սովորաբար ունի ուղղակի իմաստ, սահմանափակումների սահմանափակումներ սահմանելու համար եւ Limit_req տեղանքների համար, որոնցում կան թանկ սցենարներ (օրինակ, որոնումը): Պետք է ընտրվեն սահմանափակումներ, առաջնորդվելով բեռի եւ ռեգրեսիայի փորձարկման արդյունքներով, ինչպես նաեւ ընդհանուր իմաստով:
Վերադրեք մեծ ուշադրություն 10 մ պարամետրին: Դա նշանակում է, որ այս սահմանի հաշվարկը կներկայացվի 10 մեգաբայթ եւ մեգաբայթից ավելի բուֆերային բառարան: Այս կազմաձեւում դա ձեզ թույլ կտա հետեւել TCP 320,000 նիստերին: Օպտիմալացնել հնարավորությունը որպես հիմնական բառարանում, $ Binary_remote_addr փոփոխական, որը պարունակում է օգտագործողի IP հասցեն երկուական ձեւով եւ տեւում է ավելի քիչ հիշողություն, քան սովորական լարային փոփոխական $ Remote_addr: Հարկ է նշել, որ Limit_req_zone հրահանգի երկրորդ պարամետրը կարող է լինել ոչ միայն IP- ն, այլեւ այս համատեքստում առկա ցանկացած այլ փոփոխական, օրինակ, այն դեպքում, երբ դուք չեք ցանկանում ավելի խնայող վստահված անձի ռեժիմ ապահովել, կարող եք Օգտագործեք $ binary_remote_addr $ http_user_agent կամ $ Binary_remote_addr $ http_cookie_myc00kiez - բայց անհրաժեշտ է օգտագործել այդպիսի ձեւավորումներ զգուշությամբ, քանի որ, ի տարբերություն 32-բիթանոց $ Binary_Remote_Addr- ի, այս փոփոխականները կարող են զգալիորեն երկար լինել:
Թրենդներ DDOS- ում:
- Անընդհատ աճում է ցանցի եւ տրանսպորտի մակարդակի գրոհների ուժը: Syn-Flood Attack Attack Attack- ի ներուժը արդեն հասել է 10 միլիոն փաթեթ վայրկյանում:
- Հատուկ պահանջարկ Վերջերս վայելում են DNS- ի գրոհները: UDP ջրհեղեղի վավեր DNS հարցումները spoof'led աղբյուրի IP հասցեներով ամենատարածվածներից մեկն են եւ բարդացնում են հարձակումները հակահարձակման առումով: Շատ խոշոր ռուսաստանյան ընկերություններ (ներառյալ հյուրընկալումը) վերջին խնդիրների արդյունքում զգացել են իրենց DNS սերվերների վրա գրոհների արդյունքում: Որքան հեռու լինեն այդպիսի հարձակումներն ավելի շատ կլինեն, եւ նրանց ուժը կաճի:
- Դատելով արտաքին առանձնահատկություններից, բուլների մեծ մասը չի կառավարվում կենտրոնական, բայց հասակակիցների հասակակիցների միջոցով: Սա հարձակվողներին հնարավորություն է տալիս ժամանակին համաժամեցնել Botnet- ի գործողությունները. Եթե ավելի վաղ ղեկավարության թիմերը տասնյակ րոպեների ընթացքում տարածվեցին 5 հազար մեքենայի բոտետրում, այժմ օրինագիծը կարող է անսպասելիորեն զգալ ակնթարթային լուսանկարչական պահանջների քանակի աճ:
- Բոտերի մասնաբաժինը, որը հագեցած է լիարժեք զննարկչի շարժիչով JavaScript- ով, դեռ փոքր է, բայց շարունակաբար աճում է: Նման հարձակումը ավելի դժվար է նոկաուտի մեջ դնել ներկառուցված արհեստները, ուստի ինքնահոսությունները պետք է վախենան հետեւեն այս միտմանը:
Պատրաստում է ՕՀ-ն:
Ի լրումն NGINX- ի նուրբ պարամետրից, դուք պետք է հոգ տանել համակարգի ցանցային կեռիկի պարամետրերի մասին: Համենայն դեպս - անմիջապես միացրեք Net.IPV4.tcp_syncookies- ը Systl- ում, որպեսզի պաշտպանվեք փոքր չափի Syn-սննդի հարձակման մասին:
15. TYI բակ
Ուշադրություն դարձրեք ցանցի մասի (միջուկի) ավելի առաջադեմ պարամետրերին (միջուկ), ըստ ժամկետների եւ հիշողության: Կան ավելի կարեւոր եւ պակաս կարեւոր: Առաջին հերթին, դուք պետք է ուշադրություն դարձնեք.
- net.ipv4.tcp_fin_timeout. Ժամանակը, որ վարդակից կանցկացնի Fin-Wait-2 TCP փուլում (սպասում է Fin / ACK հատվածի):
- nET.IPV4.TCP _ (, R, W) MEM TCP վարդակներ, որոնք ստանում են բուֆերային չափ: Երեք արժեք, նվազագույն, լռելյայն արժեք եւ առավելագույն:
- net.core. (R, w) mem_max Նույնը ոչ թե TCP բուֆերների համար:
100 Մբիթ / վրկ ալիքով լռելյայն արժեքները ինչ-որ կերպ հարմար են. Բայց եթե գոնե գոնե գիգաբիթ ունեք, ապա ավելի լավ է օգտագործել նման բան.
Systl -w net.core.rmem_max \u003d 8388608 systl -w net.core.wmem_max \u003d 8388608 systl -w net.ipv4.tcp_rmem \u003d "systl -w net.ipv4.tcp_wmem" systl - w net.ipv4.tcp_fin_time \u003d 10
16. Վերանայումը / PROC / SYS / NET / **
Իդեալական է սովորել բոլոր պարամետրերը / proc / sys / net / **: Անհրաժեշտ է տեսնել, թե որքան տարբեր են դրանք լռելյայնից եւ հասկանում են, թե որքան պատշաճ կերպով ցուցադրվում են: Linux մշակող (կամ համակարգի ադմինիստրատոր), որը ապամոնտաժում է դրան ենթակա ինտերնետի ծառայությանը եւ ցանկանում է այն օպտիմիզացնել, պետք է հետաքրքրությամբ կարդա միջուկային էներգիայի բոլոր պարամետրերի փաստաթղթերը: Գուցե այն կգտնի իր կայքի համար հատուկ փոփոխականներ, որոնք կօգնեն ոչ միայն պաշտպանել կայքը ներխուժողներից, այլեւ արագացնել նրա աշխատանքը:
Մի վախեցեք:
Հաջորդ DDoS-Attacks- ը օրեցօր էլ, էլեկտրոնային առեւտուրը հանգեցնում է լրատվամիջոցներին, լրատվամիջոցները ցնցում են, վճարման ամենամեծ համակարգերը ուղարկվում են նոկաուտ: Միլիոնավոր ինտերնետ օգտագործողներ կորցնում են կարեւոր տեղեկատվության մատչելիությունը: Սպառնալիքը հրատապ է, այնպես որ դուք պետք է բավարարեք դրան կատարմամբ: Կատարեք ձեր տնային աշխատանքը, մի վախեցեք եւ գլուխդ սառը պահեք: Դուք առաջինը չեք եւ ոչ թե վերջինը, ով կհանդիպի DDoS հարձակման իրենց կայքում, եւ ձեր ուժերում, առաջնորդվելով իրենց գիտելիքներով եւ ընդհանուր իմաստով, նվազեցնել նվազագույնի հետեւանքները:
DDoS հարձակումը: Բացատրություն եւ օրինակ:
Ողջույն բոլորին. Սա բլոգի համակարգիչ է 76, եւ այժմ Հաքեր արվեստի հիմնադրման հաջորդ հոդվածը: Այսօր մենք կխոսենք այն մասին, թե ինչ է DDoS հարձակումը պարզ բառեր եւ օրինակներ: Հատուկ պայմաններով շտապելուց առաջ կլինի ներածություն, որը հասկանալի է բոլորի համար:
Ինչու է DDoS հարձակումը:
WiFi Hacking- ը օգտագործվում է Wirewire գաղտնաբառ ընտրելու համար: Ձեւաթղթով հարձակումները թույլ կտան լսել ինտերնետային երթեւեկությունը: Հատկության հետագա բեռնման հետ կապված խոցելիության վերլուծությունը հնարավոր է դարձնում գրավել թիրախային համակարգիչը: Ինչ է անում DDOS հարձակումը: Դրա նպատակը, ի վերջո, օրինական սեփականատիրոջ նկատմամբ ռեսուրս ունենալու իրավունքների ընտրություն է: Ես չեմ նշանակում, որ կայքը կամ բլոգը, որը դուք չեք պատկանում: Սա իմաստ ունի, որ ձեր կայքում հաջող հարձակման դեպքում, դուք Կորցրեք նրանց վերահսկողության հնարավորությունը, Գոնե որոշ ժամանակ:
Այնուամենայնիվ, ժամանակակից մեկնաբանության մեջ DDoS հարձակումը առավել հաճախ օգտագործվում է ցանկացած ծառայության բնականոն աշխատանքը խախտելու համար: Հակերային խմբերը, որոնց անունները անընդհատ լսում են, հարձակումներ են հասցնում խոշոր կառավարության կամ հանրային կայքերի վրա, մեկ կամ մեկ այլ խնդիրների վրա ուշադրություն գրավելու համար: Բայց գրեթե միշտ նման հարձակումների համար զուտ առեւտուրային հետաքրքրություն է. Մրցակիցների կամ հասարակ պրակտիկայի աշխատանքը `լիովին անպարկեշտ անթափանց վայրերով: DDOS- ի հիմնական հայեցակարգն այն է, որ հսկայական թվով օգտվողներ միանգամից գծված են կայքին, կամ ավելի ճիշտ, համակարգիչների մի մասի վրա, բոտեր, որոնք պահում են սերվերի վրա: Մենք հաճախ լսում ենք «Կայքը անհասանելի է» արտահայտությունը, բայց քչերը, ովքեր կարծում են, որ իրականում իրականում այս ձեւակերպման համար է: Դե, հիմա գիտեք:
DDoS Attack - Ընտրանքներ
Տարբերակ 1.
Խաղացողները հավաքվում են մուտքի մոտ
Պատկերացրեք, որ դուք խաղում եք Multiplayer օնլայն խաղ: Հազարավոր խաղացողներ խաղում են ձեզ հետ: Եվ նրանց մեծամասնության դեպքում դուք ծանոթ եք: Դուք քննարկում եք մանրամասները եւ ծախսում հետեւյալ գործողությունները: Դուք բոլորս միեւնույն ժամանակ գնում եք կայք եւ ստեղծեք բնութագիր նույն շարք բնութագրերով: Նրանք խմբավորում են մեկ վայրում, որոնք արգելափակում են իրենց միաժամանակ ստեղծված նիշերի քանակը խաղի մեջ գտնվող առարկաների հասանելիության մնացած մասերին, որոնք կասկածվում են ձեր գաղափարի մասին:
Ընտրանք 2.
Պատկերացրեք, որ ինչ-որ մեկը որոշեց ներխուժել ավտոբուսի ծառայությունը քաղաքում հատուկ երթուղով, որպեսզի բարեխիղճ ուղեւորները կանխեն հասարակական տրանսպորտի ծառայությունների օգտագործումը: Հազարավոր ձեր ընկերները միեւնույն ժամանակ կանգ են առնում նշված երթուղու սկզբում եւ աննպատակ լողան բոլոր մեքենաներում `վերջնականից մինչեւ վերջ, մինչեւ փողը սպառվի: Ուղեւորությունը վճարվում է, բայց ոչ ոք չի դուրս գալիս մեկ կանգառում, բացառությամբ նպատակակետի նպատակակետին: Եվ այլ ուղեւորներ, որոնք կանգնած են միջանկյալ կանգառներով, ցավոք նայեք, որ հետո հեռացված միկրոավտոբուսները, չկարողանալով թափվել խփած ավտոբուսների մեջ: Բոլորը, բոլոր տաքսի տերերը եւ հավանական ուղեւորները:
Իրականում այս ընտրանքները ֆիզիկապես չեն վերածվում կյանքի: Այնուամենայնիվ, ձեր ընկերների վիրտուալ աշխարհում նրանք կարող են փոխարինել անարդար օգտագործողների համակարգիչներին, ովքեր գոնե չեն անհանգստացնում իրենց համակարգիչը կամ նոութբուքը պաշտպանելու համար: Եւ այդպիսի ճնշող մեծամասնությունը: DDoS հարձակման հավաքածուի ծրագրեր: Հարկ է հիշեցնել, որ նման գործողությունները անօրինական են: Եվ ծիծաղելի պատրաստված DDoS հարձակումը, դա նշանակություն չունի ծախսված հաջողության, հայտնաբերելու եւ պատժելի:
Ինչպես է DDOS հարձակումը:
Կտտացրեք Կայքի հղումը, ձեր զննարկիչը հայցը ուղարկում է սերվերին `ցանկալի էջը ցուցադրելու համար: Այս խնդրանքը արտահայտվում է որպես տվյալների փաթեթ: Եվ ոչ նույնիսկ մեկ, այլ փաթեթային մի ամբողջ փաթեթ: Ամեն դեպքում, ալիքով փոխանցվող տվյալների ծավալը միշտ սահմանափակվում է որոշակի լայնությամբ: Եվ սերվերի կողմից վերադարձված տվյալների ծավալը անգործունակ է ավելին, քան ձեր պահանջով պարունակվողները: Սերվերում այն \u200b\u200bուժն ու միջոցներն է պահանջում: Ավելի ուժեղ սերվերը, այնքան ավելի թանկ է տերը սեփականատիրոջ եւ նրանց տրված ավելի թանկ ծառայությունների համար: Ժամանակակից սերվերները հեշտությամբ հաղթահարում են այցելուի ներհոսքը կտրուկ աճի հետ: Բայց սերվերներից որեւէ մեկի համար դեռեւս կա կրիտիկական քանակ, ովքեր ցանկանում են ծանոթանալ կայքի բովանդակությանը: Որքան ավելի պարզ է իրավիճակը սերվերի հետ, որը ծառայություններ է մատուցում հոստինգի կայքերի համար: Մի փոքր, եւ կայքը, զոհը անջատվում է ծառայությունից, որպեսզի գերլիկաբաժնի վերամշակողներ, որոնք ծառայում են նույն հոստինգի վրա գտնվող հազարավոր այլ կայքեր: Կայքի աշխատանքը դադարում է մինչեւ DDoS հարձակումը դադարի: Պատկերացրեք, որ դուք սկսում եք վերագործարկել էջի ցանկացած էջերից որեւէ մեկը հազար անգամ (DOS): Եվ ձեր հազարավոր ընկերները մեր համակարգիչները կազմում են նույն բանը (նավարկվող DOS կամ DDOS) ... Խոշոր սերվերները սովորել են ճանաչել, որ DDoS հարձակումը սկսվել է եւ հակադարձել այն: Այնուամենայնիվ, հակերները նաեւ բարելավում են իրենց մոտեցումները: Այսպիսով, այս հոդվածի շրջանակներում, թե ինչ է ավելի շատ բացահայտում DDoS հարձակումը, ես չեմ կարող բացատրել:
Ինչ է DDoS հարձակումը, որը կարող եք սովորել եւ փորձել հենց հիմա:
Ուշադրություն: Եթե \u200b\u200bորոշեք փորձել, բոլոր չպահպանված տվյալները կկորչվեն, կոճակը պետք է կոճակին անհրաժեշտ լինի, գործառնական կարգավիճակի վերադառնալու համար: Վերականգնել:, Բայց կարող եք պարզել, թե որն է հենց «զգում» սերվերը, որը հարձակվել է: Ստորեւ բերված պարբերության բացահայտում եւ այժմ `գերբեռնված համակարգի պարզ հրամաններ:
- Linux- ի համար տերմինալում մուտքագրեք հրամանը.
Համակարգը կհրաժարվի աշխատելուց:
- Windows- ի համար ես առաջարկում եմ նոթատետրում ստեղծել նոթատետրում `կոդով.
Անվանեք Type DDOS.Bat- ը:
Բացատրեք երկու թիմերի իմաստը, կարծում եմ, որ դա արժանի չէ: Դա կարելի է տեսնել անզեն տեսքով: Երկու թիմերն էլ ստիպում են համակարգը կատարել սցենարը եւ անմիջապես կրկնել այն, վկայակոչելով սցենարի սկիզբը: Հաշվի առնելով կատարման արագությունը, համակարգը մի քանի վայրկյանում ընկնում է հիմարության մեջ: Խաղ., ինչպես ասում են, վերեւ.
DDoS Attack օգտագործելով ծրագրեր:
Ավելի տեսողական օրինակով օգտագործեք Low Orbit Ion Cannon ծրագիրը (Ion Gun- ը ցածր ուղեծրով): Կամ Լուր, Առավել բեռնվող բաշխումը գտնվում է հասցեում (մենք աշխատում ենք Windows- ում).
https://sourceforge.net/projects/loic/
Ուշադրություն Ձեր հակավիրուսը պետք է պատասխանի ֆայլին որպես չարամիտ: Սա նորմալ է. Դուք արդեն գիտեք, թե ինչ են պտտվում: Ստորագրման տվյալների բազայում այն \u200b\u200bնշվում է որպես ջրհեղեղի գեներատոր `ռուսերեն թարգմանված, սա անսահման կոչերի վերջնական նպատակն է հատուկ ցանցի հասցեին: Ես անձամբ չէի նկատել ոչ վիրուսներ, ոչ Տրոյանովին: Բայց դուք իրավունք ունեք կասկածել եւ հետաձգել ներբեռնումը:
Քանի որ անտեսման օգտվողները ռեսուրսը նետում են վնասակար ֆայլի վրա, աղբյուրի կեղծիքը ձեզ կթարմացնի հաջորդ էջը, ֆայլի ուղղակի հղումով:
Արդյունքում, ես կարողացա ներբեռնել կոմունալը միայն միջոցով:
Ծրագրի պատուհանը այսպիսին է.
1-ին կետ Ընտրեք թիրախը թույլ կտա հարձակվողին կենտրոնանալ հատուկ նպատակների վրա (IP հասցե կամ կայքի URL մուտքիչ), 3-րդ կետ 3 Հարձակման ընտրանքներ: Ձեզ հնարավորություն կտա ընտրել հարձակվող նավահանգիստ, արձանագրություն ( Մեթոդ:) TCP- ից, UDP- ից եւ HTTP- ից: TCP / UDP հաղորդագրության դաշտում կարող եք հաղորդագրություն մուտքագրել հարձակման համար: Հարձակումը կատարելուց հետո սկսվում է կոճակը սեղմելով: Imma Lawin Mah Lazer (Սա բառակապակցությունն է, որը տեղի է ունեցել FOOL- ի եզրին մեկ անգամ զավեշտական–Հաստատում; Ծրագրում ամերիկյան գորգը, ի դեպ, բավականին քիչ): Ամեն ինչ:
Նախազգուշացում
Այս տարբերակը միայն տեղական հյուրընկալողի համար պահելն է: Ահա թե ինչու:
- Սա անօրինական է այլ մարդկանց կայքերի դեմ, եւ դրա համար Արեւմուտքում արդեն իսկ նստած է (եւ, հետեւաբար, նրանք շուտով տնկելու են այստեղ)
- Հասցեն, որից ջրհեղեղը գալիս է, արագ հաշվարկվելու է, բողոքելու է մատակարարին, եւ նա ձեզ նախազգուշացում կդարձնի եւ հիշեցնի առաջին կետի մասին
- low ածր թողունակությամբ ցանցերում (այսինքն `ամբողջ կյանքի ընթացքում), բանը չի գործի: Tor ցանցի միջոցով միեւնույն է:
- Եթե \u200b\u200bճիշտ կազմաձեւեք այն պատշաճ կերպով, ապա արագ կխարդեք ձեր հաղորդակցման ալիքը, ինչ-որ մեկին վնասը: Այսպիսով, սա հենց այն տարբերակն է, երբ տանձը ծեծում է բռնցքամարտիկին, եւ ոչ թե հակառակը: Եվ վստահված անձը կանցնի նույն սկզբունքով. Ձեր կողմից ջրհեղեղը դուր չի գալիս որեւէ մեկին:
Կարդացեք, 9 326