Serangan mendistribusikan "penolakan pemeliharaan" atau disingkat DDoS, menjadi fenomena umum dan sakit kepala serius bagi pemilik sumber daya Internet di seluruh dunia. Itulah sebabnya, perlindungan terhadap serangan DDoS di situs ini adalah hari ini bukan pilihan tambahan, tetapi prasyarat bagi mereka yang ingin menghindari downtime, kerusakan besar dan reputasi manja.

Kami memberi tahu kami lebih banyak tentang apa yang merupakan penyakit dan bagaimana membela diri.

Apa itu ddo

Distribusi Denial of Service atau "Penolakan Distribusi Pemeliharaan" - Serangan pada sistem informasi sehingga tidak memiliki kemampuan untuk memproses permintaan pengguna. Kata-kata sederhana, DDO terdiri dalam menekan sumber daya web atau server lalu lintas dari sejumlah besar sumber, yang membuatnya tidak dapat diakses. Seringkali serangan semacam itu dilakukan untuk memprovokasi interupsi dalam pekerjaan sumber daya jaringan di perusahaan besar atau organisasi negara

Serangan DDoS mirip dengan ancaman web umum lainnya - "Penolakan Layanan, DOS). Satu-satunya perbedaan adalah bahwa serangan terdistribusi yang biasa berasal dari satu titik, dan serangan DDoS lebih besar dan berasal dari berbagai sumber.

Tujuan utama serangan DDOS adalah membuat situs web tidak dapat diakses oleh pengunjung dengan menghalangi pekerjaannya. Tetapi ada kasus ketika serangan tersebut diproduksi untuk mengalihkan perhatian dari efek berbahaya lainnya. Serangan DDOS dapat, misalnya, dilakukan ketika meretas sistem keamanan untuk mengambil alih basis data organisasi.

Serangan DDoS muncul dalam perhatian publik pada tahun 1999, ketika serangkaian serangan di situs-situs perusahaan besar (Yahoo, Ebay, Amazon, CNN) terjadi. Sejak itu, kejahatan cyber jenis ini telah mengembangkan ancaman terhadap skala global. Menurut para ahli, dalam beberapa tahun terakhir, frekuensinya telah meningkat 2,5 kali, dan kapasitas maksimal telah melebihi 1 Tbit / s. Korban serangan DDoS setidaknya sekali setiap perusahaan Rusia keenam menjadi. Pada tahun 2020, total respons mereka akan mencapai 17 juta.

Taman bermain hosting dengan perlindungan sepanjang waktu dari serangan DDoS paling canggih.

Penyebab serangan DDOS

1. Permusuhan pribadi. Dia sering mendorong penyusup untuk menyerang perusahaan atau perusahaan pemerintah. Misalnya, pada tahun 1999, serangan terhadap situs web FBI dibuat, sebagai akibatnya mereka gagal selama beberapa minggu. Ini terjadi karena fakta bahwa FBI memulai serangan besar-besaran pada peretas.
2. Protes politik. Biasanya, serangan semacam itu dilakukan dengan para hactivists - spesialis dengan pandangan radikal pada protes sipil. Contoh terkenal adalah serangkaian serangan cyber pada lembaga pemerintah Estonia pada tahun 2007. Kemungkinan pembongkaran monumen kepada pembebas di Tallinn kemungkinan akan menyebabkan mereka.
3. Hiburan.Saat ini, semakin banyak orang menyukai DDo dan ingin mencoba kekuatan mereka. Newbird-hacker sering mengatur serangan untuk bersenang-senang.
4. Pemerasan dan pemerasan.Sebelum menjalankan serangan, peretas dikaitkan dengan pemilik sumber daya dan memerlukan penukaran.
5. Kompetisi. Serangan DDoS dapat dipesan dari perusahaan yang tidak adil untuk memengaruhi pesaing mereka.

Siapa korban potensial

DDOSS dapat menghancurkan situs skala apa pun, mulai dari blog biasa dan berakhir dengan perusahaan terbesar, bank dan lembaga keuangan lainnya.

Menurut penelitian yang dilakukan oleh "Kaspersky Lab", serangan itu dapat menelan biaya perusahaan menjadi 1,6 juta dolar. Ini adalah kerusakan serius, karena sumber daya web yang diserang tidak dapat pada suatu waktu, itulah sebabnya ada yang sederhana.

Paling sering, situs dan server menderita serangan DDoS:

• perusahaan besar dan lembaga pemerintah;
• lembaga keuangan (bank, perusahaan manajemen);
• layanan kupon;
• lembaga medis;
• sistem pembayaran;
• Agregator media dan informasi;
• toko online dan perusahaan e-commerce;
• game Online dan Layanan Gaming;
• cryptovaya bursa.

Belum lama ini, peralatan ditambahkan ke daftar sedih korban serangan DDoS dan peralatan yang terhubung ke Internet, yang menerima total nama "Internet of Things" (Internet of Things, IOT). Dinamika pertumbuhan terbesar dalam arah ini menunjukkan serangan cyber dengan tujuan melanggar pekerjaan register kas online dari toko-toko besar atau pusat perbelanjaan.

Mekanisme kerja.

Semua server web memiliki kueri sendiri yang dapat mereka proses secara bersamaan. Selain itu, batas disediakan untuk bandwidth saluran yang menghubungkan jaringan dan server. Untuk menghindari pembatasan ini, Zlochyslens membuat jaringan komputer dengan perangkat lunak berbahaya, yang disebut "Botnet" atau "Zombie Network".

Untuk membuat botnet, kriminal-cyber mendistribusikan Trojan melalui distribusi email, jejaring sosial atau situs. Komputer yang termasuk dalam botnet tidak memiliki hubungan fisik di antara mereka sendiri. Mereka hanya dipersatukan oleh target "Kementerian" dari peretas.

Selama serangan DDoS, peretas mengirim tim komputer zombie "yang terinfeksi", dan mereka memulai serangan. Betet menghasilkan sejumlah besar lalu lintas yang mampu membebani sistem apa pun. "Objek" utama untuk DDOS biasanya menjadi bandwidth server, server DNS, serta koneksi internet itu sendiri.

Tanda-tanda serangan DDOS

Ketika tindakan penyerang mencapai tujuan mereka, adalah mungkin untuk secara instan menentukan kegagalan file atau sumber daya yang ditempatkan di sana. Tetapi ada sejumlah tanda tidak langsung, yang menurutnya serangan DDoS dapat ditemukan di awal.

• Perangkat lunak server dan OS mulai sering dan secara eksplisit menjahit - Menggantung, bekerja dengan tidak benar, dll.
kekuatan Perangkat Keras Server, sangat berbeda dari indikator harian rata-rata.
• Meningkat cepat masuk Lalu lintas Dalam satu atau sejumlah port.
• Multi-waktu tindakan sederhana duplikat. Pelanggan pada satu sumber daya (buka situs, unduhan file).
• Ketika menganalisis log (log tindakan pengguna), firewall atau perangkat jaringan yang diidentifikasi banyak permintaan Salah satu jenis sumber yang berbeda untuk satu Port atau layanan. Seharusnya sangat waspada jika audiens permintaan sangat berbeda dari target untuk situs atau layanan.

Klasifikasi jenis serangan DDoS

Ofensif Protokol (Tingkat Transport)

Serangan DDOS ditujukan pada tingkat jaringan server atau sumber daya web, sehingga sering disebut sebagai lapisan jaringan atau serangan tingkat transportasi. Tujuannya adalah untuk membebani ruang meja pada firewall dengan log keamanan built-in (firewall), di jaringan pusat atau dalam beban balancing sistem.

Metode DDOS yang paling umum di tingkat transportasi - jaringan BanjirPenciptaan aliran besar permintaan pewarna pada level yang berbeda, yang dengannya simpul penerima tidak dapat dikoleksi.

Biasanya layanan jaringan menerapkan aturan FIFO, yang menurutnya komputer tidak melanjutkan untuk mempertahankan permintaan kedua hingga proses pertama. Tetapi ketika menyerang jumlah permintaan begitu meningkat sehingga perangkat tidak memiliki sumber daya untuk menyelesaikan operasi dengan permintaan pertama. Akibatnya, banjir memaksimalkan bandwidth sebanyak mungkin dan mencetak erat semua saluran komunikasi.

Jenis Banjir Jaringan Umum

• Http-flood. - Massa pesan HTTP biasa atau terenkripsi, skor node komunikasi, dikirim ke server yang diserang.
• ICMP-Flood.- Botnet penyerang membebani mesin host korban dengan permintaan resmi yang diwajibkan untuk memberikan jawaban gema. Contoh pribadi dari jenis serangan ini - P.banjiratau serangan smurf ketika saluran komunikasi diisi dengan permintaan ping yang digunakan untuk memeriksa ketersediaan node jaringan. Itu karena ancaman banjir ICMP, administrator sistem sering menghalangi kemampuan untuk membuat permintaan ICMP menggunakan firewall.
• Syn-flood. - Serangan ini mempengaruhi salah satu mekanisme dasar protokol TCP, yang dikenal sebagai prinsip "triple handshake" ("Algoritma permintaan-jawaban": Paket SYN - Paket ACK SYN-ACK). Korban dipenuhi dengan poros kueri syn palsu yang tidak dijawab. Saluran pengguna tersumbat oleh antrian koneksi TCP dari koneksi keluar menunggu paket ACK respons.
• UDP-Banjir. - Port acak dari mesin host korban diisi dengan paket UDP, jawaban yang membebani sumber daya jaringan. Berbagai banjir UDP yang diarahkan ke server DNS disebut Dns-flud..
• Banjir Mac - Tujuannya adalah peralatan jaringan, pelabuhan yang tersumbat oleh aliran paket "kosong" dengan alamat MAC yang berbeda. Untuk melindungi terhadap jenis serangan DDoS terhadap sakelar jaringan, sesuaikan validasi validitas dan penyaringan alamat MAC.

Serangan level terapan (tingkat infrastruktur)

Jenis ini digunakan ketika Anda perlu menangkap atau menonaktifkan sumber daya perangkat keras. Tujuan "perampok" dapat berupa fisik dan RAM atau waktu prosesor.

Kelebihan bandwidth tidak perlu. Cukup hanya untuk membawa prosesor pengorbanan untuk kelebihan beban atau, dengan kata lain, ambil seluruh waktu proses.

Jenis level aplikasi serangan DDOS

• Kirim "Beratx »paketdatang langsung ke prosesor. Perangkat ini tidak dapat menutupi perhitungan yang kompleks dan mulai gagal, sehingga menonaktifkan akses ke situs ke pengunjung.
• Menggunakan skrip, server diisi Konten "Sampah" - Log file, "Komentar Pengguna", dll. Jika administrator sistem tidak menetapkan batas pada server, maka hacker dapat membuat paket file besar yang akan menghasilkan pengisian seluruh hard disk.
• Masalah dengan sistem kuota. Beberapa server digunakan untuk berkomunikasi dengan program antarmuka CGI eksternal (antarmuka gateway umum, "Antarmuka Gedung Gateway"). Setelah menerima akses ke CGI, penyerang dapat menulis skripnya yang akan menggunakan bagian dari sumber daya, misalnya - waktu prosesor, dengan minatnya.
• Periksa tidak lengkap Data pengunjung. Ini juga mengarah pada penggunaan sumber daya prosesor yang panjang atau bahkan tak terbatas hingga kelelahan.
• Second Roda Attack.. Ini menyebabkan respons palsu dari sinyal dalam sistem perlindungan, yang secara otomatis dapat menutup sumber daya dari dunia luar.

Serangan di tingkat aplikasi

Serangan DDO dari tingkat aplikasi menggunakan kelalaian saat membuat kode program yang menciptakan kerentanan perangkat lunak untuk pengaruh eksternal. Spesies ini dapat dikaitkan dengan serangan umum seperti "Ping Death" (Ping of Death) adalah pengiriman besar-besaran paket ICMP dengan panjang yang lebih besar yang menyebabkan buffer overflow.

Tetapi peretas profesional jarang menggunakan metode paling sederhana sebagai saluran throughput kelebihan beban. Untuk serangan sistem kompleks perusahaan besar, mereka mencoba untuk sepenuhnya mengetahui struktur sistem server dan menulis eksploitasi - program, rantai komando, atau bagian dari kode program yang memperhitungkan kerentanan korban dan diterapkan ke komputer.

Serangan dns.

1. Grup pertama ditujukan vulnerabunity.dan B. OLEHServer DNS. Ini termasuk jenis-jenis kejahatan cyber seperti itu, seperti serangan nol hari ("serangan nol hari") dan Fluks DNS cepat ("Fast Flow").
   Salah satu jenis serangan DNS yang paling umum disebut DNS-spoofing ("DNS-bryeal"). Selama dia, para penyerang mengganti alamat IP di cache server, mengarahkan ulang pengguna ke halaman kapal selam. Saat bergerak, pelaku mendapat akses ke nama pengguna pengguna dan dapat menggunakannya dalam minatnya sendiri. Misalnya, pada tahun 2009, karena substitusi catatan DNS, pengguna tidak bisa pergi ke Twitter selama satu jam. Serangan semacam itu memiliki karakter politik. Factorycors dipasang di halaman utama peringatan jejaring sosial peretas dari Iran terkait dengan agresi Amerika
2. Grup kedua adalah serangan DDoS yang mengarah ke dNS Disabilitas.- Server. Jika Anda gagal, pengguna tidak akan dapat pergi ke halaman yang diinginkan, karena browser tidak akan menemukan alamat IP yang melekat di situs tertentu.

Pencegahan dan Perlindungan terhadap serangan DDoS

Menurut Corero Network Security, lebih dari semua perusahaan di dunia dapat menyerang "akses penolakan". Apalagi jumlah mereka mencapai 50.

Pemilik situs yang tidak menyediakan perlindungan server dari serangan DDoS tidak hanya dapat dikenakan kerugian besar, tetapi juga penurunan kepercayaan pelanggan, serta daya saing di pasar.

Cara paling efektif untuk melindungi terhadap serangan DDoS adalah filter yang dipasang oleh penyedia ke saluran internet dengan bandwidth tinggi. Mereka melakukan analisis yang konsisten dari seluruh lalu lintas dan mendeteksi aktivitas atau kesalahan jaringan yang mencurigakan. Filter dapat diinstal, baik di tingkat router dan menggunakan perangkat perangkat keras khusus.

Cara untuk Melindungi

1. Bahkan pada tahap penulisan perangkat lunak, Anda perlu memikirkan keamanan situs. Dengan hati-hati periksa oleh Untuk kesalahan dan kerentanan.
2. Secara teratur pembaruan olehDan juga memberikan kesempatan untuk kembali ke versi lama ketika masalah terjadi.
3. Hati hati terhadap membatasi akses. Layanan terkait administrasi harus sepenuhnya ditutup dari akses pihak ketiga. Lindungi administrator dengan kata sandi yang kompleks dan ubah lebih sering. Hapus akun karyawan tepat waktu yang berhenti.
4. Akses ke antarmuka administrator. Harus dilakukan secara eksklusif dari jaringan internal atau melalui VPN.
5. Memindai sistem pada ketersediaan kerentanan.. Pilihan kerentanan paling berbahaya secara teratur menerbitkan peringkat otoritatif 10 OWAPT.
6. Menerapkan firewall untuk aplikasi - WAF (firewall aplikasi web). Dia menjelajahi lalu lintas yang ditransmisikan dan memonitor legitimasi permintaan.
7. Menggunakan CDN. Jaringan pengiriman konten). Ini adalah jaringan pengiriman jaringan yang beroperasi dengan jaringan terdistribusi. Lalu lintas diurutkan oleh beberapa server, yang mengurangi keterlambatan saat mengakses pengunjung.
8. Kontrol lalu lintas yang masuk menggunakan daftar Kontrol Akses (ACL)Di mana daftar orang dengan akses ke objek akan ditentukan (program, proses atau file), serta peran mereka.
9. Bisa blokir lalu lintasyang berasal dari perangkat menyerang. Ini dilakukan dengan dua metode: penggunaan firewall atau daftar ACL. Dalam kasus pertama, aliran spesifik diblokir, tetapi layar tidak dapat memisahkan lalu lintas "positif" dari "negatif". Dan pada detik - protokol sekunder disaring. Oleh karena itu, tidak akan mendapat manfaat jika peretas menerapkan permintaan Paramount.
10. Untuk melindungi terhadap spoofing DNS, Anda perlu secara berkala bersihkan cache dns..
11. Menggunakan perlindungan terhadap bot spam - CAPTCHA (CAPTCHA), kerangka kerja sementara "manusia" untuk mengisi formulir, reCAPTCHA (kotak centang "Saya bukan robot"), dll.
12. Membalikkan serangan. Semua lalu lintas jahat diarahkan ke penyerang. Ini akan membantu tidak hanya mencerminkan serangan, tetapi juga menghancurkan server penyerang.
13. Akomodasi sumber daya oleh beberapa server independen. Ketika Anda keluar dari satu server, sisanya akan memastikan efisiensi.
14. Menggunakan Verified. perlindungan Perangkat Keras Dari serangan ddoS. Misalnya, Impletec Icore atau DefensePro.
15. Pilih penyedia hosting yang berkolaborasi dengan supplier yang dapat diandalkan Layanan Cybersecurity. Di antara kriteria keandalan, para ahli mengidentifikasi: Adanya jaminan kualitas, memastikan perlindungan terhadap rangkaian ancaman yang paling lengkap, dukungan teknis sepanjang waktu, transparansi (akses klien ke statistik dan analytics), serta kurangnya malware tarif.

Kesimpulan

Pada artikel ini, kami meninjau apa arti serangan DDoS dan cara melindungi situs Anda dari serangan. Penting untuk diingat bahwa tindakan jahat seperti itu mungkin gagal bahkan sumber daya web teraman dan paling terbesar. Ini akan memerlukan konsekuensi serius dalam bentuk kerusakan besar dan kerugian pelanggan. Itulah sebabnya, untuk mengamankan sumber daya Anda dari serangan DDoS - tugas yang sebenarnya untuk semua struktur komersial dan lembaga pemerintah.

Ingin tingkat perlindungan profesional terhadap serangan DDoS - pilih! Pemantauan berdiri dan dukungan teknis sepanjang waktu.

Baru-baru ini, kami dapat memastikan bahwa serangan DDoS adalah senjata yang agak kuat di ruang informasi. Dengan DDOS, serangan daya tinggi, Anda tidak hanya dapat menonaktifkan satu atau lebih situs, tetapi juga mengganggu pengoperasian seluruh segmen jaringan atau menonaktifkan Internet di negara kecil. Saat ini, serangan DDoS terjadi lebih sering dan kekuatan mereka meningkat setiap kali.

Tapi apa esensi dari serangan semacam itu? Apa yang terjadi di jaringan ketika sedang berjalan, di mana ide itu berasal dari sana dan mengapa begitu efektif? Anda akan menemukan jawaban untuk semua pertanyaan ini di artikel kami saat ini.

DDOS atau Distribusi Denial-of-Service (penolakan pemeliharaan terpisah) adalah serangan pada komputer tertentu pada jaringan yang menyebabkannya dengan membebani untuk tidak menanggapi permintaan dari pengguna lain.

Untuk memahami apa arti serangan DDoS, mari kita bayangkan situasinya: server web memberi pengguna pengguna halaman halaman, katakanlah pada pembuatan halaman dan transfer penuh pengguna dibutuhkan setengah detik, maka server kami dapat bekerja secara normal di frekuensi dua permintaan per detik. Jika ada lebih banyak permintaan seperti itu, mereka akan mengantri dan diproses segera setelah server web gratis. Semua permintaan baru ditambahkan ke akhir antrian. Dan sekarang saya akan membayangkan bahwa ada banyak permintaan, dan kebanyakan dari mereka hanya pergi untuk membebani server ini.

Jika kecepatan penerimaan permintaan baru melebihi kecepatan pemrosesan, maka, seiring waktu, antrian kueri akan begitu lama sehingga sebenarnya permintaan baru tidak akan diproses. Ini adalah prinsip utama serangan DDoS. Sebelumnya, permintaan tersebut dikirim dari satu alamat IP dan ini disebut serangan referensi - mati-of-service, pada kenyataannya, ini adalah jawaban untuk pertanyaan tentang apa itu DOS. Tetapi dengan serangan seperti itu Anda dapat bertarung secara efektif, cukup menambahkan alamat IP sumber atau beberapa dalam daftar kunci, dan juga beberapa perangkat karena pembatasan bandwidth jaringan tidak secara fisik menghasilkan jumlah paket yang cukup serius.

Oleh karena itu, sekarang serangan dilakukan segera dari jutaan perangkat. Kata yang didistribusikan ditambahkan ke nama, ternyata - ddo. Menurut satu, perangkat ini tidak berarti apa-apa, dan dimungkinkan untuk terhubung ke Internet dengan kecepatan tidak sangat tinggi, tetapi ketika mereka mulai secara bersamaan mengirim permintaan untuk satu server, mereka dapat mencapai kecepatan total hingga 10 TB / s. Dan ini adalah indikator yang cukup serius.

Tetap memahami di mana para penyerang mengambil begitu banyak perangkat untuk memenuhi serangan mereka. Ini adalah komputer biasa, atau berbagai perangkat IOT yang dapat diakses oleh penyerang. Ini bisa apa saja, camcorder dan router dengan firmware yang panjang, tidak diperbarui, perangkat kontrol, baik, dan pengguna biasa pengguna yang entah bagaimana mengambil virus dan tidak tahu tentang keberadaannya atau tidak terburu-buru untuk menghapusnya.

Jenis DDOS ATAK

Ada dua jenis serangan DDoS utama, beberapa difokuskan pada membebani program dan serangan tertentu yang bertujuan membebani saluran jaringan itu sendiri ke komputer target.

Serangan terhadap kelebihan program apa pun juga disebut serangan di 7 (dalam model operasi jaringan OSI - tujuh level dan yang terakhir adalah tingkat aplikasi individu). Penyerang menyerang suatu program yang menggunakan banyak sumber daya server dengan mengirimkan sejumlah besar permintaan. Pada akhirnya, program tidak punya waktu untuk memproses semua koneksi. Spesies ini kami anggap lebih tinggi.

Serangan DoS pada saluran internet membutuhkan lebih banyak sumber daya, tetapi jauh lebih sulit untuk mengatasinya. Jika Anda menimbulkan analogi dengan OSI, maka ini adalah serangan pada level 3-4, itu pada saluran atau protokol transmisi data. Faktanya adalah bahwa setiap koneksi internet memiliki batas kecepatannya sendiri dengan data yang dapat ditransmisikan. Jika ada banyak data, peralatan jaringan seperti program akan menempatkan mereka dalam antrian transmisi, dan jika jumlah data dan kecepatan kwitansi mereka akan sangat tinggi ke kecepatan saluran, itu akan kelebihan beban. Kecepatan transfer data dalam kasus-kasus tersebut dapat dihitung dalam gigabytes per detik. Misalnya, jika terputus dari Internet sebuah negara kecil Liberia, laju transfer data hingga 5 TB / s. Namun demikian, 20-40 GB / s sudah cukup untuk membebani sebagian besar infrastruktur jaringan.

Asal mula serangan DDoS

Di atas, kami melihat serangan DDoS apa, serta metode serangan DDoS, saatnya untuk pergi ke asal mereka. Pernahkah Anda bertanya-tanya mengapa serangan ini sangat efektif? Mereka didasarkan pada strategi militer yang dikembangkan dan diperiksa selama beberapa dekade.

Secara umum, banyak pendekatan keamanan informasi didasarkan pada strategi militer masa lalu. Ada virus Trojan yang menyerupai pertempuran kuno untuk Troy, virus yang diasti yang mencuri file Anda untuk mendapatkan penebusan dan serangan DDoS membatasi sumber daya musuh. Membatasi kemampuan lawan, Anda mendapatkan kendali atas tindakan selanjutnya. Taktik ini bekerja dengan sangat baik untuk ahli strategi militer. Jadi untuk penjahat cyber.

Dalam kasus strategi militer, kita dapat dengan sangat hanya memikirkan jenis sumber daya yang dapat dibatasi untuk membatasi kemungkinan musuh. Pembatasan air, bahan makanan dan bangunan hanya akan menghancurkan musuh. Semua komputer berbeda di sini ada berbagai layanan, seperti DNS, server web, server email. Semuanya memiliki infrastruktur yang berbeda, tetapi ada sesuatu yang menyatukannya. Ini adalah jaringan. Tanpa jaringan, Anda tidak akan dapat mengakses layanan jarak jauh.

Komandan dapat beracun air, membakar tanaman dan mengatur pos pemeriksaan. Cybercriminals dapat mengirim data yang salah ke layanan, membuatnya perlu mengkonsumsi semua memori atau sepenuhnya membanjiri seluruh saluran jaringan. Strategi perlindungan juga memiliki akar yang sama. Administrator server harus melacak lalu lintas yang masuk untuk menemukan berbahaya dan memblokirnya sebelum mencapai saluran jaringan atau program target.

Situs web pendiri dan administrator situs, menikmati perangkat lunak terbuka dan sistem operasi Linux. Sebagai OS utama sekarang saya menggunakan Ubuntu. Selain Linux, saya tertarik pada semua yang dikaitkan dengan teknologi informasi dan ilmu pengetahuan modern.

Jika Anda membaca panduan kami, dan mengimplementasikan semua teknologi yang dijelaskan - Amankan komputer Anda dari ancaman hacker! Jangan abaikan ini!

Di bidang keamanan informasi, serangan DDoS menempati salah satu tempat terkemuka dalam peringkat ancaman elektronik. Tetapi sebagian besar pengguna memiliki pengetahuan yang sangat terbatas dalam topik ini. Sekarang kita akan mencoba sebanyak mungkin dan dapat diakses untuk mengungkapkan topik ini sehingga Anda dapat membayangkan apa jenis e-ancaman ini dilakukan, dan, dengan demikian, bagaimana menghadapinya secara efektif. Jadi kenakan - serangan DDoS.

Terminologi

Untuk berbicara dalam bahasa yang sama, kita harus memasukkan persyaratan dan definisi mereka.

Serangan dos - jenis penolakan pemeliharaan. Karenanya dispreviasi bahasa Inggris DOS - penolakan layanan. Salah satu subtipe adalah serangan terdistribusi, dilakukan secara bersamaan dengan beberapa, dan sebagai aturan, dengan sejumlah besar host. Kami mencurahkan sebagian besar diskusi terhadap opsi-opsi ini, karena serangan DDoS membawa konsekuensi yang lebih dahsyat, dan perbedaan yang signifikan hanya dalam jumlah host yang digunakan untuk serangan.

Untuk membuatnya lebih mudah bagi Anda untuk mengerti. Tindakan semacam ini ditujukan untuk penghentian sementara dari setiap layanan. Ini bisa menjadi situs web terpisah di jaringan, Internet besar atau penyedia seluler, serta layanan terpisah (menerima kartu plastik). Agar serangan berhasil, dan membawa tindakan destruktif, perlu dilakukan dengan sejumlah besar poin (selanjutnya saat ini akan dipertimbangkan secara lebih rinci). Karenanya "serangan terdistribusi". Tetapi esensi tetap sama - untuk mengganggu pekerjaan sistem tertentu.

Untuk kelengkapan gambar, Anda perlu memahami siapa dan untuk tujuan apa melakukan tindakan seperti itu.

Serangan seperti "penolakan pemeliharaan", seperti kejahatan komputer lainnya, dapat dihukum oleh hukum. Oleh karena itu, bahan disajikan hanya untuk tujuan informasi. Mereka dilakukan oleh spesialis TI, orang-orang yang berpengalaman dalam mata pelajaran "komputer" dan "jaringan komputasi", atau seperti yang sudah dibuat untuk berbicara - peretas. Pada dasarnya, acara ini ditujukan untuk menghasilkan keuntungan, karena sebagai aturan, serangan DDoS memerintahkan pesaing yang tidak bermoral. Akan tepat untuk membawa contoh kecil.

Misalkan di pasar layanan kota kecil ada dua penyedia internet utama. Dan salah satu dari mereka ingin memeras pesaing. Mereka memesan pada peretas mendistribusikan serangan DOS pada server pesaing. Dan penyedia kedua karena overloading jaringannya tidak lagi mampu menyediakan akses ke Internet kepada penggunanya. Akibatnya - kehilangan pelanggan dan reputasi. Peretas menerima remunerasi mereka, penyedia yang belum selesai - pelanggan baru.

Tetapi tidak ada kasus ketika "Ddose" dan hanya untuk bersenang-senang, atau mengatasi keterampilan.

Serangan DDoS terdistribusi

Mari kita segera setuju - kita akan berurusan dengan serangan komputer. Oleh karena itu, jika kita berbicara tentang beberapa perangkat yang dilakukan serangan dilakukan, itu akan menjadi komputer dengan perangkat lunak ilegal.

Di sini juga tepat untuk membuat sedikit penyimpangan. Intinya, untuk menghentikan pekerjaan layanan atau layanan apa pun, Anda perlu melampaui beban maksimum untuk itu. Contoh termudah adalah akses ke situs web. Salah satu atau lain cara, itu dirancang untuk kehadiran puncak tertentu. Jika pada titik waktu tertentu, situs akan pergi ke situs masing-masing sepuluh kali lebih banyak orang, server tidak dapat memproses jumlah informasi ini, dan akan berhenti bekerja. Dan koneksi pada saat ini akan dilakukan dengan sejumlah besar komputer. Ini akan menjadi node yang dibahas di atas.

Mari kita lihat bagaimana tampilannya di diagram di bawah ini:

Seperti yang Anda lihat, hacker menerima sejumlah besar komputer khusus, dan menginstal perangkat lunak spyware mereka. Berkat dia, dia sekarang dapat melakukan tindakan yang diperlukan. Dalam kasus kami, untuk melakukan serangan DDoS.

Dengan demikian, jika Anda tidak mematuhi aturan keamanan saat bekerja di komputer, Anda dapat menjalani infeksi virus. Dan mungkin komputer Anda akan digunakan sebagai simpul, untuk implementasi tindakan jahat.

Anda akan berguna: Kami menggambarkan beberapa aspek keamanan, dalam artikel.

Tetapi bagaimana mereka akan digunakan tergantung pada opsi apa yang dipilih penyerang

Klasifikasi DDOS ATAK.

Jenis serangan berikut dapat diambil oleh penyerang:

1. Bandwidth yang berlebihan. Sehingga komputer yang terhubung ke jaringan dapat berinteraksi secara normal, saluran komunikasi di mana mereka terhubung harus bekerja secara normal, dan menyediakan parameter yang memadai untuk tugas-tugas tertentu (misalnya, bandwidth). Jenis serangan ini dikirim ke overload saluran komunikasi jaringan. Ini dicapai dengan terus mengirimkan informasi yang tidak koheren atau sistem (perintah ping)
2. Pembatasan sumber daya. Jenis ini kami telah mempertimbangkan di atas, dalam contoh dengan akses ke situs web. Seperti yang kami catat - server memiliki kemampuan untuk menangani sejumlah koneksi simultan terbatas. Seorang penyerang harus mengirim sejumlah besar koneksi simultan ke server. Akibatnya, server tidak akan mengatasi beban, dan akan berhenti bekerja.
3. Serangan pada server DNS. Dalam hal ini, serangan DDOS dirancang untuk juga berhenti mengakses situs web. Pilihan lain adalah mengarahkan pengguna dari situs yang tepat untuk memalsukan. Ini dapat dilakukan dengan tujuan menculik data pribadi. Ini dicapai dengan serangan pada server DNS, dan mengganti alamat IP untuk memalsukan. Mari kita analisis pada contoh. Bank tertentu menggunakan situs webnya untuk menghitung melalui Internet. Pengguna perlu pergi ke sana, dan memasukkan data kartu plastiknya. Seorang penyerang dengan tujuan menculik informasi ini menciptakan situs yang sama, dan memegang serangan pada server DNS (server nama). Tujuan dari acara ini adalah untuk mengarahkan ulang pengguna ke situs penyerang ketika ia mencoba untuk pergi ke situs web Bank. Jika berhasil, pengguna tidak mencurigai ancaman, memperkenalkan data pribadinya di situs penyerang, dan ia akan menerima akses ke mereka.
4. Cacat dalam perangkat lunak. Jenis serangan ini adalah yang paling sulit. Para penyerang mengungkapkan kekurangan dalam perangkat lunak, dan menggunakannya untuk menghancurkan sistem. Untuk memesan serangan DDoS seperti itu, perlu menghabiskan banyak uang.

Cara Menghabiskan Serangan DDoS dengan tangan Anda sendiri

Sebagai contoh, kami memutuskan untuk menunjukkan kepada Anda bagaimana menerapkan serangan DDoS menggunakan perangkat lunak khusus.

Pertama, unduh program di alamat ini. Setelah itu, luncurkan. Anda harus melihat jendela startup:

Anda perlu menyimpan pengaturan minimal:

1. Di kolom "URL" kami menulis alamat situs yang ingin kami serang
2. Kemudian klik tombol "Kunci" - kita akan melihat sumber daya target
3. Kami meletakkan metode TCP
4. Pilih jumlah utas (utas)
5. Mengekspos kecepatan pengiriman menggunakan slider
6. Ketika semua pengaturan selesai, klik tombol "Imma Chargin Mah Lazer"

Semua - serangan dimulai. Saya ulangi sekali lagi, semua tindakan disajikan untuk tujuan informasi.

Cara Melindungi Terhadap Serangan DDoS

Anda mungkin sudah mengerti bahwa jenis ancaman ini sangat berbahaya. Dan karena itu sangat penting untuk mengetahui metode dan prinsip-prinsip perjuangan dan mencegah serangan terdistribusi.

1. Pengaturan Sistem Penyaringan - Tugas untuk Administrator Sistem dan Penyedia Hosting
2. Akuisisi sistem perlindungan dari serangan DDoS (perangkat lunak dan perangkat keras)
3. Menggunakan daftar kontrol firewall dan akses (ACL) - ukuran ini bertujuan untuk memfilter lalu lintas mencurigakan.
4. Meningkatkan sumber daya yang tersedia, dan menginstal sistem reservasi
5. Tanggapan Teknis dan Tindakan Hukum. Hingga daya tarik pelaku ke kewajiban pidana

Video ke artikel:

Kesimpulan

Sekarang Anda mungkin mengerti semua bahaya serangan DDoS. Untuk memastikan keamanan sumber daya mereka, perlu didekati dengan sangat bertanggung jawab, tanpa hemat waktu, kekuatan dan uang. Bahkan lebih baik memiliki spesialis terpisah, atau seluruh departemen keamanan informasi.

Pembaca permanen sangat sering mengajukan pertanyaan karena Anda dapat mengedit teks jika file memiliki format PDF. Jawabannya dapat ditemukan di materi -

Untuk melindungi data Anda, Anda dapat menggunakan berbagai ukuran. Salah satu opsi ini adalah

Jika Anda perlu mengedit video online Anda, kami telah menyiapkan gambaran umum yang populer.

Mengapa mencari informasi di situs lain, jika semuanya dikumpulkan dari kami?

Berkelahi dengan serangan DDoS - Pekerjaan tidak hanya sulit, tetapi juga menarik. Tidak mengherankan bahwa setiap sysadmin pertama kali mencoba mengatur pertahanan sendiri - terutama karena masih memungkinkan.

Kami memutuskan untuk membantu Anda dengan ini sulit dan menerbitkan beberapa saran pendek, sepele, dan universal tentang perlindungan situs Anda dari serangan. Resep yang dikurangi tidak akan membantu Anda mengatasi serangan apa pun, tetapi dari sebagian besar bahaya mereka akan diselamatkan.

Bahan yang tepat

Kebenaran yang keras adalah bahwa banyak situs dapat menempatkan siapa pun yang ingin menggunakan serangan slowloris, membunuh Apache dengan erat, atau menyelesaikan apa yang disebut banjir SYN menggunakan pertanian server virtual yang diangkat per menit di awan Amazon EC2. Semua tips perlindungan DDoS masa depan kami didasarkan pada kondisi penting berikut.

1. Menolak Windows Server

Praktek menunjukkan bahwa situs yang bekerja pada Windows (2003 atau 2008 tidak masalah), dalam kasus DDoS ditakdirkan. Alasan kegagalan terletak pada stack jaringan Windows: Ketika koneksi menjadi banyak, server tentu mulai merespons dengan buruk. Kami tidak tahu mengapa Windows Server bekerja dalam situasi seperti itu sehingga memiliki reputasi, tetapi mereka telah menemukannya lebih dari sekali dan bukan dua. Untuk alasan ini, artikel ini akan berjalan dengan sarana perlindungan terhadap serangan DDoS dalam kasus ketika server berputar di Linux. Jika Anda adalah pemilik yang bahagia dengan kernel kontemporer (mulai dari 2.6), maka utilitas iptables dan ipset akan digunakan sebagai toolkit utama (untuk dengan cepat menambahkan alamat IP), yang dengannya Anda dapat dengan cepat melarang bot. Kunci lain untuk sukses adalah tumpukan jaringan yang dimasak dengan benar, yang juga akan kita ucapkan lebih lanjut.

2. Bagian dengan Apache

Kondisi penting kedua adalah penolakan Apache. Jika Anda bahkan tidak satu jam, itu layak Apache, maka setidaknya letakkan proxy caching di depannya - nginx atau lighttpd. Apache "sangat sulit untuk memberikan file, dan, lebih buruk lagi, itu pada tingkat fundamental (yaitu, yang tak terbanjangan rentan terhadap serangan slowloris yang berbahaya, yang memungkinkan Anda untuk mengakhiri server hampir dari ponsel. Untuk memerangi berbagai Jenis Slowloris, Pengguna Apache muncul dengan tambalan pertama anti-slowloris.diff, lalu mod_noloris, lalu mod_antiloris, mod_limitipconn, mod_reqtimeout ... tetapi jika Anda ingin tidur nyenyak di malam hari, lebih mudah untuk mengambil server HTTP, kebal. Untuk Slowloris pada tingkat arsitektur kode. Oleh karena itu, semua resep selanjutnya didasarkan pada asumsi, bahwa NGINX digunakan di bagian depan.

Berkelahi dari ddo.

Bagaimana jika ddo datang? Teknik pertahanan diri tradisional adalah membaca file log server HTTP, menulis pola untuk grep (membuat bot bot) dan melarang semua orang yang jatuh di bawahnya. Teknik ini akan berhasil ... Jika Anda beruntung. Betets adalah dua jenis, keduanya berbahaya, tetapi dengan cara yang berbeda. Seseorang sepenuhnya datang ke situs secara instan, yang lain secara bertahap. Yang pertama membunuh segalanya dan segera, tetapi log muncul di log sepenuhnya, dan jika Anda melarangnya dan memukau semua alamat IP, maka Anda adalah pemenang. Botnet kedua meletakkan situs dengan lembut dan hati-hati, tetapi harus melarangnya, mungkin pada siang hari. Penting untuk memahami administrator apa pun: Jika direncanakan untuk melawan Grep, maka Anda harus siap untuk mengabdikan diri dengan perang melawan serangan beberapa hari. Di bawah ini adalah saran di mana Anda dapat menempatkan sedotan di muka sehingga tidak begitu menyakitkan untuk jatuh.

3. Gunakan modul testcookie

Mungkin resep paling penting, efektif dan operasional dari artikel ini. Jika DDOS datang ke situs Anda, maka modul TestCookie-nginx yang dikembangkan oleh @KyPrizel Coeksler dapat menjadi cara yang paling efisien. Sebuah ide sederhana. Paling sering, bot yang menerapkan banjir HTTP agak bodoh dan tidak memiliki cookie HTTP dan mekanisme pengalihan. Kadang-kadang lebih maju - seperti dapat menggunakan cookie dan proses pengalihan, tetapi hampir tidak pernah DOS-BOT membawa mesin JavaScript lengkap (meskipun lebih sering lebih sering dan lebih sering). TestCookie-nginx berfungsi sebagai filter cepat antara bot dan backend selama serangan L7 DDoS, memungkinkan Anda untuk memotong kueri sampah. Apa yang termasuk dalam pemeriksaan ini? Apakah klien dapat menjalankan Redirect HTTP, apakah JavaScript mendukung apakah ia adalah browser yang memberikannya (karena JavaScript berbeda di mana-mana dan jika klien mengatakan bahwa dia, katakanlah Firefox, maka kita dapat memeriksanya). Cek diimplementasikan dengan cookie menggunakan metode yang berbeda:

• "Set-Cookie" + Redirect dengan 301 lokasi HTTP;
• "Set-Cookie" + Redirect dengan HTML Meta Refresh;
• template sewenang-wenang, dan Anda dapat menggunakan javascript.

Untuk menghindari parsing otomatis, cookie pengujian dapat dienkripsi menggunakan AES-128 dan kemudian didekripsi di sisi klien JavaScript. Dalam versi baru modul, dimungkinkan untuk menginstal koki melalui flash, yang juga memungkinkan Anda untuk memotong bot secara efektif (yang biasanya tidak didukung), tetapi, namun, juga memblokir akses untuk banyak pengguna yang sah (sebenarnya semua perangkat seluler ). Perlu dicatat bahwa mulai menggunakan testcookie-nginx sangat sederhana. Pengembang, khususnya, memimpin beberapa contoh penggunaan yang dapat dimengerti (untuk kasus serangan yang berbeda) dengan sampel konfigurasi untuk nginx.

Selain keunggulan, TestCookie memiliki kerugian:

• potong semua bot, termasuk googlebot. Jika Anda berencana untuk meninggalkan TestCookie secara berkelanjutan, pastikan Anda tidak menghilang dari hasil pencarian;
• membuat masalah dengan pengguna dengan tautan browser, W3M dan mereka suka;
• tidak menyimpan dari bot yang dilengkapi dengan mesin browser penuh dengan JavaScript.

Singkatnya, testcookie_module tidak universal. Tetapi dari sejumlah hal, seperti, misalnya, alat primitif untuk Java dan C #, itu membantu. Jadi Anda memotong bagian dari ancaman.

4. Kode 444.

Tujuan ddoS'ers sering menjadi bagian paling intensif sumber daya dari situs tersebut. Contoh khas adalah pencarian yang melakukan kueri kompleks ke database. Secara alami, penyerang dapat memanfaatkan ini, setelah menagih beberapa puluhan ribu permintaan ke mesin pencari sekaligus. Apa yang bisa kita lakukan? Nonaktifkan pencarian sementara. Biarkan pelanggan tidak akan dapat mencari informasi yang diperlukan dengan cara built-in, tetapi seluruh situs utama akan tetap dalam kondisi kerja sampai Anda menemukan root dari semua masalah. Nginx mendukung kode non-standar 444, yang memungkinkan Anda untuk menutup koneksi dan tidak memberikan apa pun sebagai tanggapan:

Lokasi / Pencarian (Return 444;)

Dengan demikian, misalnya, misalnya, untuk dengan cepat menerapkan pemfilteran pada URL. Jika Anda yakin bahwa permintaan ke lokasi / pencarian hanya berasal dari bot (misalnya, kepercayaan diri Anda didasarkan pada fakta bahwa tidak ada partisi / pencarian di situs Anda), Anda dapat menginstal paket Ipset dan Ban Bot dengan shell sederhana naskah:

Ipset -n ban iPhash -f Access.log | Saat membaca baris; Lakukan echo "$ line" | \\ cut -d "" "-f3 | potong -d" "-f2 | grep -q 444 && ipset -a ban" $ (l %% *) "; selesai

Jika format file log adalah non-standar (bukan kombo) atau perlu untuk melarang tanda-tanda lain dari status jawaban, mungkin perlu untuk menggantikan potongan untuk secara teratur mengungkapkan.

5. Banya oleh geod

Kode tanggapan non-standar 444 juga dapat berguna untuk larangan operasional klien pada geo-akuisisi. Anda hampir tidak dapat membatasi masing-masing negara yang tidak nyaman. Katakanlah, hampir tidak di toko kamera online dari Rostov-on-Don ada banyak pengguna di Mesir. Ini bukan cara yang sangat baik (katakan saja - menjijikkan), karena data geoip tidak akurat, dan Rostov terkadang terbang ke Mesir untuk beristirahat. Tetapi jika Anda tidak akan rugi, maka ikuti instruksi:

1. Hubungkan ke Nginx Geoip Module (wiki.nginx.org/httpgeoipmodule).
2. Tampilkan informasi geother dalam log akses.
3. Selanjutnya, memodifikasi skrip shell di atas, usahanya mengakses Nginx dan menambahkan tanda-tanda geografis pelanggan yang sfatelasi menjadi larangan.

Jika, misalnya, bot untuk sebagian besar berasal dari Cina, itu dapat membantu.

6. Jaringan Saraf (POC)

Akhirnya, Anda dapat mengulangi pengalaman game @SavetherbtBz, yang mengambil jaringan saraf pybrain, memasukkan log ke dalamnya dan menganalisis permintaan (habrahabr.ru/post/136237). Metode bekerja, meskipun tidak universal :). Tetapi jika Anda benar-benar tahu bagian dalam situs Anda - dan Anda, sebagai administrator sistem, harus, - maka Anda memiliki kesempatan bahwa dalam situasi paling tragis seperti toolkit berdasarkan pada jaringan saraf, belajar dan dikumpulkan dalam informasi muka akan membantu Anda . Dalam hal ini, sangat berguna untuk memiliki akses. Log sebelum dimulainya DDOS "A, karena menggambarkan hampir 100% pelanggan yang sah, dan oleh karena itu, dataset yang hebat untuk melatih jaringan saraf. Selain itu, mata di bar tidak selalu terlihat.

Diagnostik masalah

Situs tidak berfungsi - mengapa? Ddosaim atau itu bug jag yang tidak diperhatikan oleh seorang programmer? Lupakan. Jangan mencari respons terhadap pertanyaan ini. Jika Anda berpikir bahwa situs Anda dapat menyerang, menghubungi perusahaan yang memberikan perlindungan dari serangan - sejumlah layanan anti-DDOS untuk hari pertama setelah koneksi gratis - dan jangan buang lebih banyak waktu untuk mencari gejala. Fokus pada masalahnya. Jika situs bekerja perlahan atau tidak terbuka sama sekali, itu berarti bahwa itu tidak memiliki sesuatu secara berurutan dengan kinerja, dan - terlepas dari apakah serangan DDoS berjalan atau tidak, - Anda, sebagai seorang profesional, wajib memahami apa yang disebabkan saya t. Kami telah berulang kali menyaksikan bagaimana perusahaan, mengalami kesulitan dengan pekerjaan situs Anda karena serangan DDoS, alih-alih menemukan titik lemah di mesin situs mencoba mengirim pernyataan ke Kementerian Dalam Negeri untuk menemukan dan menghukum penyerang. Jangan biarkan kesalahan seperti itu. Pencarian cybercriminal adalah proses jangka panjang dan jangka panjang yang rumit oleh struktur dan prinsip-prinsip Internet, dan masalah dengan pekerjaan situs perlu diselesaikan dengan cepat. Buat spesialis teknis untuk menemukan apa penyebab kejatuhan kinerja situs, dan aplikasi akan dapat menulis pengacara.

7. Gunakan Profiler dan Debugger

Untuk platform pembuatan situs web yang paling umum - PHP + MySQL - hambatan dapat ditandatangani menggunakan alat-alat berikut:

• xdebug Profiler akan menunjukkan panggilan mana yang dihabiskan aplikasi paling banyak;
• built-in debugger APD dan output debug di log kesalahan akan membantu untuk mengetahui kode mana yang melakukan tantangan ini;
• dalam kebanyakan kasus, anjing dimakamkan dalam kompleksitas dan berat permintaan ke basis data. Di sini akan membantu menjelaskan basis data SQL yang tertanam di mesin.

Jika situs ini dibohongi secara kebetulan dan Anda tidak akan kehilangan apa-apa, matikan jaringan, lihat log, cobalah untuk kehilangan mereka. Jika tidak berbohong, pergi melalui halaman, lihat pangkalan.

Contoh disediakan untuk PHP, tetapi idenya berlaku untuk platform apa pun. Pengembang produk perangkat lunak pada bahasa pemrograman apa pun harus dapat dengan cepat menerapkan debugger, dan profiler. Berlatih terlebih dahulu!

8. Menganalisis kesalahan

Menganalisis volume lalu lintas, waktu respons server, jumlah kesalahan. Untuk ini, lihat log. Di nginx, waktu respons server diperbaiki di log dengan dua variabel: request_time dan upstream_response_time. Yang pertama adalah penuh waktu eksekusi kueri, termasuk keterlambatan jaringan antara pengguna dan server; Laporan kedua berapa banyak backend (Apache, PHP_FPM, UWSGI ...) berfungsi sebagai permintaan. Nilai upstream_response_time sangat penting untuk situs dengan sejumlah besar konten dinamis dan komunikasi aktif dengan database, mereka tidak dapat diabaikan. Anda dapat menggunakan konfigurasi seperti format log:

Log_format xakep_log "$ remote_addr - $ remote_user [$ time_local]" "" $ Permintaan "$ status $ body_bytes_sent" "$ http_referer" "$ http_user_AGENT" $ upstream_response_time ";

Ini adalah format gabungan dengan bidang waktu yang ditambahkan.

9. Lacak jumlah permintaan per detik

Lihat juga jumlah permintaan per detik. Dalam kasus nginx, Anda dapat secara kasar dapat memperkirakan nilai ini dari perintah shell berikutnya (variabel access_log berisi path ke log kueri nginx dalam format gabungan):

Echo $ (($ (fgrep -c "$ (env lc_all \u003d c tanggal [Dilindungi Email]$ (($ (Tanggal \\ +% s) -60)) +% d /% b /% y:% H:% m) "" $ access_log ") / 60))

Dibandingkan dengan normal untuk waktu ini, jumlah permintaan per detik mungkin jatuh dan tumbuh. Mereka tumbuh jika botnet besar datang, dan jatuh, jika botnet yang menang telah membungkus situs itu, membuatnya benar-benar tidak dapat diakses oleh pengguna yang sah, dan pada saat yang sama itu tidak meminta statika, dan pengguna yang sah diminta. Penurunan kueri diamati hanya karena statika. Tapi, satu atau lain cara, kita berbicara tentang perubahan serius dalam indikator. Ketika ini terjadi tiba-tiba - saat Anda mencoba untuk menyelesaikan masalah sendiri dan jika Anda tidak melihatnya segera di log, lebih baik untuk dengan cepat memeriksa mesin dan menghubungi spesialis secara paralel.

10. Jangan lupa tentang TCPDump

Banyak orang lupa bahwa TCPDump adalah alat diagnostik yang luar biasa. Saya akan memberikan beberapa contoh. Pada bulan Desember 2011, sebuah bug di kernel Linux ditemukan ketika membuka koneksi TCP ketika bendera segmen SYN dan RST TCP ditampilkan. Bageport pertama mengirim administrator sistem dari Rusia, yang sumbernya diserang oleh metode ini, - para penyerang belajar tentang kerentanan lebih awal dari seluruh dunia. Jelas baginya bahwa diagnosis seperti itu membantu. Contoh lain: nginx memiliki satu bukan properti yang sangat bagus - ia menulis di log hanya setelah permintaan penuh dipahami sepenuhnya. Ada situasi ketika situs terletak, tidak ada yang berfungsi dan tidak ada dalam log. Semua karena semua permintaan yang saat ini mengunduh server belum terpenuhi. TCPDump akan membantu di sini.

Sangat baik bahwa saya menyarankan orang-orang tidak menggunakan protokol biner sebelum mereka menaklukkan bahwa semuanya beres, - karena protokol teks akan utang TCPDump "Om mudah, dan biner - no. Namun, sniffer baik sebagai sarana Diagnosis - sebagai sarana untuk menjaga produksi "dan dia mengerikan. Itu dapat dengan mudah kehilangan beberapa paket sekaligus dan memanjakan Anda sejarah pengguna. Lebih mudah untuk menonton kesimpulannya, dan itu akan berguna untuk diagnostik manual dan larangan, tetapi cobalah untuk tidak mendasarkan apa pun yang kritis di atasnya. Sarana favorit lain untuk "mengencangkan permintaan" - Ngrep - secara umum, secara default, ia mencoba untuk meminta di area dua gigabytes memori yang tidak dialamatkan dan baru kemudian mulai mengurangi persyaratannya.

11. Serang atau tidak?

Bagaimana cara membedakan serangan DDoS, misalnya, dari efek kampanye iklan? Pertanyaan ini mungkin tampak lucu, tetapi topik ini tidak kalah rumit. Ada kasus yang cukup ingin tahu. Pada beberapa orang baik, ketika mereka tegang dan benar-benar mengacaukan caching, situs berjalan selama beberapa hari. Ternyata dalam beberapa bulan situs ini tanpa disadari oleh data beberapa Jerman dan sebelum mengoptimalkan caching dari halaman situs, Jerman ini dimuat dengan semua gambar untuk waktu yang cukup lama. Ketika halaman mulai dikeluarkan dari Kesha secara instan, bot, yang tidak memiliki waktu terjaga, juga mulai mengumpulkannya secara instan. Itu sulit. Kasus ini sangat sulit karena alasan bahwa jika Anda sendiri mengubah pengaturan (dihidupkan caching) dan situs setelah itu berhenti bekerja, lalu siapa, menurut Anda, adalah untuk disalahkan? Persis. Jika Anda menonton peningkatan tajam dalam jumlah permintaan, maka lihat, misalnya, di Google Analytics, yang datang ke halaman mana.

Tuning Server Web.

Apa yang lainnya adalah poin utama? Tentu saja, Anda dapat meletakkan nginx "default" dan berharap bahwa Anda akan baik-baik saja. Namun, itu selalu tidak terjadi dengan baik. Oleh karena itu, administrator server mana pun harus mencurahkan banyak waktu untuk memperbaiki dan menyetel nginx.

12. Batasi Sumber Daya (Ukuran Buffer) di Nginx

Apa yang perlu Anda ingat terlebih dahulu? Setiap sumber daya memiliki batas. Pertama-tama, itu menyangkut RAM. Oleh karena itu, ukuran header dan semua buffer bekas perlu terbatas pada nilai yang memadai pada klien dan server sepenuhnya. Mereka harus diresepkan dalam konfigurasi nginx.

• client_header_buffer_size__ Menentukan ukuran buffer untuk membaca header permintaan klien. Jika garis kueri atau bidang tajuk kueri tidak sepenuhnya ditempatkan di buffer ini, buffer yang lebih besar yang ditentukan oleh arahan besar_client_header_buffer dialokasikan.
• besar_client_header_buffer. Mengatur jumlah maksimum dan ukuran buffer untuk membaca header permintaan klien besar.
• client_body_buffer_size. Menentukan ukuran buffer untuk membaca bodi permintaan klien. Jika tubuh kueri lebih besar dari buffer yang diinginkan, maka seluruh tubuh kueri atau hanya bagian yang ditulis ke file sementara.
• client_max_body_size. Menentukan ukuran tubuh maksimum yang diijinkan dari permintaan klien, yang ditentukan dalam bidang "panjang konten" dari header kueri. Jika ukurannya lebih ditentukan, maka klien mengembalikan kesalahan 413 (meminta entitas terlalu besar).

13. Kustomisasi batas waktu di Nginx

Sumber daya adalah waktu. Oleh karena itu, langkah penting berikutnya adalah untuk menginstal semua batas waktu, yang lagi-lagi sangat penting untuk mendaftar secara nyali di pengaturan nginx.

• reset_timedout_connection pada; Membantu melawan soket tergantung pada fase tunggu fin.
• client_header_timeout. Menentukan batas waktu ketika membaca header permintaan klien.
• client_body_timeout. Menentukan batas waktu ketika membaca tubuh permintaan klien.
• keepalanve_Timeout. Mengatur batas waktu di mana koneksi tetap hidup dengan klien tidak akan ditutup dari sisi server. Banyak yang takut menanyakan kepentingan besar di sini, tetapi kami tidak yakin bahwa ketakutan ini dibenarkan. Secara opsional, Anda dapat mengatur nilai batas waktu dalam header HTTP tetap hidup, tetapi Internet Explorer terkenal karena mengabaikan nilai ini.
• send_timeout. Menentukan batas waktu ketika melewati jawaban kepada klien. Jika setelah waktu ini klien tidak akan menerima apa pun, koneksi akan ditutup.

Segera Pertanyaannya: Parameter buffer dan timeout apa yang benar? Tidak ada resep universal di sini, di setiap situasi mereka sendiri. Tetapi ada pendekatan yang terbukti. Anda perlu mengatur nilai minimum di mana situs tetap dalam kondisi kerja (dalam masa damai), yaitu, halaman yang diberikan dan permintaan diproses. Ini hanya ditentukan oleh pengujian - baik dari desktop dan dari perangkat seluler. Algoritma untuk menemukan nilai dari setiap parameter (ukuran buffer atau batas waktu):

1. Saya menunjukkan nilai parameter minimal secara matematis.
2. Jalankan uji situs berjalan.
3. Jika seluruh fungsionalitas situs berfungsi tanpa masalah - parameter didefinisikan. Jika tidak, kami meningkatkan nilai parameter dan pergi ke ayat 2.
4. Jika nilai parameter melebihi bahkan nilai default adalah alasan untuk diskusi di tim pengembang.

Dalam beberapa kasus, audit parameter ini harus mengarah pada desain ulang / pengguna mendesain ulang. Misalnya, jika situs tidak berfungsi tanpa tiga menit permintaan pemungutan suara Ajax, maka Anda tidak perlu menaikkan waktu habis, tetapi polling panjang untuk menggantikan sesuatu yang lain - botnet dalam 20 ribu mobil tergantung pada permintaan selama tiga menit, mudah Bunuh rata-rata server murah.

14. Batasi Senyawa di Nginx (Limit_conn dan Limit_Req)

NGINX juga memiliki kemampuan untuk membatasi koneksi, permintaan, dan sebagainya. Jika Anda tidak yakin bagaimana bagian tertentu dari situs Anda berperilaku, idealnya, Anda perlu mengujinya, memahami berapa banyak permintaan yang akan bertahan, dan mendaftarkannya dalam konfigurasi nginx. Itu satu hal ketika situs itu terletak dan Anda bisa datang dan menaikkannya. Dan hal lain adalah - ketika dia akan sampai sedemikian rupa sehingga server pergi untuk bertukar. Dalam hal ini, seringkali lebih mudah untuk reboot daripada menunggu kembalinya kemenangan.

Misalkan situs memiliki bagian dengan nama-nama / unduhan dan / pencarian. Pada saat yang sama kita:

• kami tidak ingin bot (atau orang-orang dengan manajer unduhan rekursif yang luar biasa) untuk membawa kami tabel koneksi TCP dengan unduhan mereka;
• kami tidak ingin bot (atau crane flying crane mesin pencari) menghabiskan sumber daya komputasi DBMS dengan beberapa permintaan pencarian.

Untuk tujuan ini, konfigurasi jenis berikut akan digunakan:

Http (limit_conn_zone $ binary_remote_addr zona \u003d download_c: 10m; limit_req_zone $ binary_remote_addr zona \u003d search_r: 10m \\ rate \u003d 1r / s; server (limit_conn download_c 1; # LOTENT_REQ ZONE \u003d search_r burst \u003d 5; konfigurasi lokasi lain)))

Biasanya memiliki arti langsung untuk menetapkan batasan limit_conn dan limit_req untuk lokasi, di mana ada skrip mahal (dalam contoh pencarian ditentukan, dan ini tidak menguntungkan). Pembatasan harus dipilih, dipandu oleh hasil pengujian beban dan regresi, serta akal sehat.

Perhatikan parameter 10m dalam contoh. Ini berarti bahwa perhitungan batas ini akan menyoroti kamus dengan buffer 10 megabyte dan megabyte lebih banyak. Dalam konfigurasi ini, ini akan memungkinkan Anda untuk melacak 320.000 sesi TCP. Untuk mengoptimalkan memori yang ditempati sebagai kunci dalam kamus, variabel $ binary_remote_addr, yang berisi alamat IP pengguna dalam bentuk biner dan membutuhkan lebih sedikit memori daripada variabel string biasa $ remote_addr. Perlu dicatat bahwa parameter kedua ke limit_req_zone directive tidak hanya ip, tetapi juga variabel lain nginx yang tersedia dalam konteks ini misalnya, dalam kasus ketika Anda tidak ingin memberikan mode proxy yang lebih hemat, Anda bisa Gunakan $ binary_remote_addr $ http_user_agent atau $ binary_remote_addr $ http_cookie_myc00kiez - tetapi perlu untuk menggunakan desain seperti itu dengan hati-hati, tidak seperti $ 32-bit $ binary_remote_addr, variabel-variabel ini dapat dipertahankan secara signifikan lebih lama dan "10m" dapat dipertahankan.

Tren di DDOS.

1. Terus menumbuhkan kekuatan jaringan dan serangan tingkat transportasi. Potensi serangan serangan Syn-Flood rata-rata telah mencapai 10 juta paket per detik.
2. Permintaan khusus baru-baru ini menikmati serangan terhadap DNS. Banjir UDP Berlaku Permintaan DNS dengan alamat IP spoof'led adalah salah satu yang paling umum dalam implementasi dan rumit dalam hal serangan melawan. Banyak perusahaan besar Rusia (termasuk hosting) telah berpengalaman dalam masalah baru-baru ini sebagai akibat dari serangan pada server DNS mereka. Semakin jauh, serangan-serangan tersebut akan lebih, dan kekuatan mereka akan tumbuh.
3. Dilihat oleh fitur eksternal, sebagian besar botnet tidak dikelola secara terpusat, tetapi melalui jaringan peer-to-peer. Ini memberi para penyerang kesempatan untuk menyinkronkan tindakan botnet dalam waktu - jika sebelumnya tim manajemen menyebar di botnet 5 ribu mobil selama puluhan menit, sekarang tagihan berjalan selama beberapa detik, dan situs Anda mungkin secara tak terduga mengalami fotografi instan meningkatkan jumlah permintaan.
4. Bagian dari bot, dilengkapi dengan mesin browser penuh dengan JavaScript, masih kecil, tetapi terus tumbuh. Serangan semacam itu lebih sulit untuk merobohkan kerajinan tangan bawaan, sehingga relokitas sendiri harus mengikuti tren ini dengan ketakutan.

mempersiapkan OS.

Selain pengaturan halus nginx, Anda perlu mengurus pengaturan tumpukan jaringan sistem. Setidaknya - segera nyalakan net.ipv4.tcp_syncookies di SYSTL, untuk melindungi diri dari serangan Syn-food dengan ukuran kecil.

15. Tyi Yard.

Perhatikan pengaturan bagian jaringan yang lebih canggih (kernel) lagi berdasarkan batas waktu dan memori. Ada yang lebih penting dan kurang penting. Pertama-tama, Anda perlu memperhatikan:

• net.ipv4.tcp_fin_timeout. Waktu soket akan dihabiskan dalam fase tcp fin-wait-2 (menunggu segmen sirip / ack).
• net.ipv4.tcp _ (, r, w) mem Soket TCP menerima ukuran buffer. Tiga nilai: minimum, nilai default dan maksimum.
• net.core. (R, w) mem_max Sama untuk Buffer TCP.

Dengan saluran 100 Mbps, nilai default entah bagaimana cocok; Tetapi jika Anda memiliki setidaknya gigabit dalam candida, maka lebih baik menggunakan sesuatu seperti:

Systl -w net.core.rmem_max \u003d 8388608 systl -w net.core.wmem_max \u003d 8388608 systl -w net.ipv4.tcp_rmem \u003d "4096 87380 8388608" systl -w net.ipv4.tcp_wmem \u003d "4096 65536 8388608" SYSTL - w net.ipv4.tcp_fin_timeout \u003d 10

16. Revisi / Proc / Sys / Net / **

Ideal untuk mempelajari semua parameter / proc / sys / net / **. Perlu untuk melihat seberapa berbeda mereka berbeda dari default, dan memahami seberapa memamerkannya. Pengembang Linux (atau Administrator Sistem), yang membongkar layanan Internet tunduk pada TI dan ingin mengoptimalkannya, harus membaca dokumentasi semua parameter tumpukan tenaga nuklir dengan bunga. Mungkin akan menemukan variabel khusus untuk situsnya, yang akan membantu tidak hanya melindungi situs dari penyusup, tetapi juga mempercepat pekerjaannya.

Jangan takut!

Sukses DDOS-serangan hari demi hari, e-commerce memuaskan media, media bergetar, sistem pembayaran terbesar dikirim ke KO. Jutaan pengguna internet kehilangan akses ke informasi penting. Ancamannya mendesak, jadi Anda perlu memenuhi itu dalam pemenuhan. Lakukan pekerjaan rumah Anda, jangan takut dan menjaga kepala Anda tetap dingin. Anda bukan yang pertama dan bukan yang terakhir yang akan menghadapi serangan DDoS di situs web mereka, dan dalam kekuatan Anda, dipandu oleh pengetahuan mereka dan akal sehat, untuk mengurangi konsekuensi serangan seminimal mungkin.

Serangan ddoS. Penjelasan dan contoh.

Halo semuanya. Ini adalah komputer blog76, dan sekarang artikel selanjutnya tentang fondasi Seni Hacker. Hari ini kita akan berbicara tentang apa serangan DDoS kata-kata dan contoh sederhana. Sebelum bergegas dengan ketentuan khusus, akan ada perkenalan yang dapat dimengerti semua orang.

Mengapa DDoS menyerang?

Peretasan WiFi digunakan untuk memilih kata sandi Wirewire. Serangan dalam bentuk "akan memungkinkan mendengarkan lalu lintas internet. Analisis kerentanan dengan pemuatan selanjutnya dari spesifik memungkinkan untuk menangkap komputer target. Apa yang dilakukan serangan DDoS? Tujuannya pada akhirnya - pemilihan hak untuk memiliki sumber daya di pemilik sah. Saya tidak bermaksud bahwa situs atau blog Anda tidak akan menjadi milik. Ini dalam arti bahwa dalam kasus serangan yang berhasil di situs Anda, Anda kehilangan kesempatan bagi mereka untuk mengendalikan. Setidaknya untuk sementara.

Namun, dalam interpretasi modern, serangan DDoS paling sering digunakan untuk melanggar operasi normal dari setiap layanan. Grup peretas, nama-nama yang terus-menerus sedang mendengar, melakukan serangan terhadap pemerintah utama atau situs publik untuk menarik perhatian pada satu atau masalah lain. Tetapi hampir selalu untuk serangan semacam itu adalah minat Mercantile murni: karya pesaing atau pranks sederhana dengan situs yang benar-benar tidak terlindungi. Konsep utama DDOS adalah bahwa sejumlah besar pengguna ditarik ke situs sekaligus, atau lebih tepatnya kueri pada bagian komputer - Bot, yang membuat beban di server di udara. Kita sering mendengar ungkapan "situs tidak tersedia", tetapi hanya sedikit yang berpikir itu sebenarnya pada kenyataannya untuk kata-kata ini. Nah, sekarang Anda tahu.

Serangan DDoS - Opsi

Pilihan 1.

para pemain berkerumun di pintu masuk

Bayangkan Anda memainkan game online multiplayer. Ribuan pemain bermain dengan Anda. Dan dengan kebanyakan dari mereka Anda akrab. Anda sedang mendiskusikan detailnya dan menghabiskan tindakan berikut. Anda semua pada saat yang sama pergi ke situs dan membuat karakter dengan set karakteristik yang sama. Mereka mengelompokkan di satu tempat, memblokir dengan jumlah karakter mereka yang dibuat secara simultan akses ke objek dalam permainan ke seluruh pengguna Conspicing yang tidak dicurigai tentang kolusi Anda.

Pilihan 2.

Bayangkan seseorang memutuskan untuk memecahkan layanan bus di kota pada rute tertentu untuk mencegah penumpang hati nurani untuk penggunaan layanan transportasi umum. Ribuan teman Anda berada pada saat yang sama untuk berhenti di awal rute yang ditentukan dan naik tanpa tujuan di semua mesin dari akhir hingga final hingga uang habis. Perjalanan dibayar, tetapi tidak ada yang keluar dengan satu perhentian, kecuali untuk tujuan tujuan. Dan penumpang lainnya, berdiri di perantara perantara, terlihat sedih untuk menghilangkan minibus setelah, gagal mengalir ke dalam bus yang dinilai. Semua: Semua pemilik taksi, dan penumpang potensial.

Pada kenyataannya, opsi-opsi ini tidak secara fisik dikonversi menjadi kehidupan. Namun, di dunia virtual teman Anda, mereka dapat menggantikan komputer pengguna yang tidak adil yang tidak mengganggu setidaknya untuk melindungi komputer atau laptop mereka. Dan mayoritas yang luar biasa. Program untuk serangkaian serangan DDoS. Apakah layak mengingatkan bahwa tindakan tersebut ilegal. Dan serangan DDoS yang disiapkan secara konyol, tidak masalah dengan keberhasilan apa yang dihabiskan, mendeteksi dan mengharahkan.

Bagaimana serangan DDoS?

Klik pada tautan situs, browser Anda mengirimkan permintaan ke server untuk menampilkan halaman yang diinginkan. Permintaan ini dinyatakan sebagai paket data. Dan bahkan tidak satu, tetapi seluruh paket paket! Bagaimanapun, volume data yang ditransmisikan pada saluran selalu terbatas pada lebar tertentu. Dan volume data yang dikembalikan oleh server tidak dapat dibandingkan lebih dari yang terkandung dalam permintaan Anda. Di server itu mengambil kekuatan dan sarana. Server yang lebih kuat, semakin mahal biaya untuk pemilik dan layanan yang lebih mahal diberikan kepada mereka. Server modern dengan mudah mengatasi dengan meningkatnya masuknya pengunjung. Tetapi untuk salah satu server, masih ada sejumlah besar pengguna yang ingin membiasakan diri dengan konten situs. The Clearer Situasi dengan server yang menyediakan layanan untuk situs hosting. Sedikit, dan korban-situs terputus dari layanan, agar tidak membebani prosesor yang melayani ribuan situs lain yang terletak di hosting yang sama. Pekerjaan situs berhenti sampai serangan DDoS berhenti. Nah, bayangkan Anda mulai me-restart halaman halaman seribu kali per detik (DOS). Dan ribuan teman Anda membuat komputer kami hal yang sama (DOS atau DDOS terstrim) ... Server besar telah belajar untuk menyadari bahwa serangan DDoS dimulai, dan menangkalnya. Namun, peretas juga meningkatkan pendekatan mereka. Jadi dalam kerangka artikel ini, apa serangan DDoS lebih diungkapkan, saya tidak bisa menjelaskan.

Apa itu serangan DDoS yang dapat Anda temukan dan coba sekarang.

PERHATIAN. Jika Anda memutuskan untuk mencoba, semua data yang belum disimpan akan hilang, tombol akan membutuhkan tombol untuk kembali ke status operasi. Reset.. Tetapi Anda dapat mengetahui apa yang sebenarnya "terasa" server yang diserang. Contoh eksposisi dari paragraf di bawah ini, dan sekarang - perintah sederhana untuk sistem arus berlebih.

• Untuk Linux di terminal, ketikkan perintah:

:(){ :|:& };:

Sistem akan menolak untuk bekerja.

• Untuk Windows, saya mengusulkan untuk membuat file bat di notebook dengan kode:

: 1 Mulai GOTO 1

Beri nama tipe ddoS.bat.

Jelaskan arti kedua tim, saya pikir itu tidak layak. Itu bisa dilihat dalam tampilan tak bersenjata. Kedua tim membuat sistem melaksanakan skrip dan segera mengulanginya, merujuk pada awal skrip. Mengingat kecepatan eksekusi, sistem jatuh dalam beberapa detik menjadi pingsan. Permainan., seperti yang mereka katakan, lebih.

Serangan DDoS menggunakan program.

Untuk contoh yang lebih visual, gunakan Program Cannon Ion Orbit Rendah (Gun ion dengan orbit rendah). Atau LOIC.. Distribusi yang paling banyak diunduh terletak di alamat (kami bekerja di Windows):

https://sourceforge.net/Projects/loic/

PERHATIAN ! Antivirus Anda harus menanggapi file sebagai jahat. Ini normal: Anda sudah tahu apa yang mereka ayunkan. Dalam database tanda tangan, itu ditandai sebagai generator banjir - diterjemahkan ke dalam Rusia ini adalah tujuan akhir dari Banding Infinite ke alamat jaringan tertentu. Saya pribadi tidak melihat virus atau Trojanov. Tetapi Anda berhak untuk meragukan dan menunda pengunduhan.

Sejak mengabaikan pengguna melempar sumber daya pada file jahat, sumber forge akan memperkuat Anda ke halaman berikutnya dengan tautan langsung ke file:

Akibatnya, saya berhasil mengunduh utilitas hanya melalui.

Jendela program terlihat seperti ini:

Paragraf 1 Pilih Target akan memungkinkan penyerang untuk fokus pada tujuan tertentu (alamat IP atau URL situs web masuk), paragraf 3 Opsi serangan. akan memungkinkan Anda untuk memilih port yang diserang, protokol ( Metode.) Dari tiga TCP, UDP dan HTTP. Di bidang Pesan TCP / UDP, Anda dapat memasukkan pesan untuk diserang. Setelah serangan dilakukan dimulai dengan menekan tombol. Imma Chargin Mah Lazer (Ini adalah frasa di tepi busuk dari yang populer sekali komik–memamah; Kartu Amerika dalam program, omong-omong, beberapa). Segala sesuatu.

Peringatan

Opsi ini hanya berlaku untuk host lokal. Itu sebabnya:

• ini melanggar hukum di situs orang lain, dan untuk itu di Barat sudah benar-benar duduk (dan oleh karena itu, mereka akan segera menanam di sini)
• alamat dari mana banjir akan dihitung dengan cepat, mengeluh kepada penyedia, dan dia akan membuat Anda peringatan dan mengingatkan Anda tentang item pertama
• dalam jaringan dengan bandwidth rendah (yaitu, dalam semua domestik), benda itu tidak akan berfungsi. Dengan jaringan TOR semuanya sama.
• jika Anda mengkonfigurasinya dengan benar, Anda akan dengan cepat mencetak saluran komunikasi Anda, membahayakan seseorang. Jadi ini adalah pilihan ketika pir mengalahkan petinju, dan bukan yang sebaliknya. Dan opsi dengan proxy akan meneruskan prinsip yang sama: banjir pada bagian Anda tidak menyukai siapa pun.

Baca: 9 326