Ataque DDOS - guia detalhado. O que é um ataque DDoOS, como eles são realizados e métodos de proteção contra eles

Ataques distribuídos da "recusa de manutenção" ou DDOs abreviados, tornaram-se um fenômeno comum e uma séria dor de cabeça para os proprietários de recursos da Internet em todo o mundo. É por isso que a proteção contra ataques DDoS no site é hoje não uma opção adicional, mas um pré-requisito para aqueles que querem evitar o tempo de inatividade, enormes danos e reputação estragada.

Nós nos contamos mais sobre o que é a doença e como se defender.

O que é ddos.

Negação Distribuída de Serviço ou "Recusa Distribuída de Manutenção" - Um ataque ao sistema de informação para que ele não tenha a capacidade de processar solicitações do usuário. Palavras simples, o DDoS consiste em suprimir um recurso da web ou um servidor de tráfego de um grande número de fontes, o que o torna inacessível. Muitas vezes, esse ataque é realizado para provocar interrupções no trabalho de recursos de rede em uma grande organização firme ou estatal

Ataque DDoS é semelhante a outra ameaça comum da Web - "Negação de Serviço, DOS). A única diferença é que o ataque distribuído habitual vem de um ponto, e o ataque DDOS é mais grande e vem de diferentes fontes.

O principal objetivo do ataque DDoS é tornar um site inacessível aos visitantes bloqueando seu trabalho. Mas há casos em que tais ataques são produzidos para distrair a atenção de outros efeitos prejudiciais. O ataque DDOS pode, por exemplo, ser realizado quando hackeando o sistema de segurança para tomar posse do banco de dados da organização.

Os ataques DDOS apareceram em atenção pública em 1999, quando uma série de ataques aos locais de grandes empresas (Yahoo, eBay, Amazon, CNN) ocorreram. Desde então, esse tipo de crime cibernético desenvolveu uma ameaça para uma escala global. De acordo com especialistas, nos últimos anos, sua frequência aumentou 2,5 vezes, e a máxima capacidade foi excedida 1 tbit / s. A vítima do DDoS atacam pelo menos uma vez que a sexta empresa russa se tornou. Em 2020, sua resposta total chegará a 17 milhões.

Hospedagem de playground com proteção redonda do relógio dos ataques de DDoS mais sofisticados.

Causas de ataques DDOS

  1. Animosidade pessoal. Ela muitas vezes empurra intrusos para atacar corporações ou empresas governamentais. Por exemplo, em 1999, um ataque aos sites do FBI foi feito, como resultado de que falharam por várias semanas. Isso aconteceu devido ao fato de que o FBI iniciou uma invasão em larga escala em hackers.
  2. Protesto político. Normalmente, esses ataques são realizados com hactivistas - especialistas em TI com olhares radicais para um protesto civil. O famoso exemplo é uma série de ataques cibernéticos sobre agências governamentais estonian em 2007. A possibilidade da demolição do monumento ao libertador em Tallinn provavelmente poderia causar.
  3. Entretenimento.Hoje, um número crescente de pessoas gostam de DDoS e deseja experimentar sua força. Newbird-hackers muitas vezes organizam ataques para se divertir.
  4. Extorsão e chantagem.Antes de executar o ataque, o hacker está associado ao proprietário do recurso e requer uma redenção.
  5. Concorrência. Os ataques DDOS podem ser encomendados de uma empresa injusta, a fim de influenciar seus concorrentes.

Quem é vítimas em potencial

O DDOSS pode destruir locais de qualquer escala, variando de blogs comuns e terminando com as maiores corporações, bancos e outras instituições financeiras.

De acordo com a pesquisa realizada pelo "Kaspersky Lab", o ataque pode custar uma empresa para 1,6 milhão de dólares. Este é um dano sério, porque o recurso da Web atacado não pode em algum momento, e é por isso que há um simples.

Na maioria das vezes, sites e servidores sofrem de ataques DDOS:

  • grandes empresas e agências governamentais;
  • instituições financeiras (bancos, empresas de gestão);
  • serviços de cupom;
  • instituições médicas;
  • sistemas de pagamento;
  • Agregadores de mídia e informação;
  • lojas on-line e empresas de e-commerce;
  • jogos online e serviços de jogos;
  • trocas de criptovaya.

Não há muito tempo, o equipamento foi adicionado à triste lista de vítimas frequentes de ataques DDOS e o equipamento conectado à Internet, que recebeu o nome total "Internet das coisas" (Internet das coisas, IoT). A maior dinâmica de crescimento nessa direção mostra ataques cibernéticos com o objetivo de violar o trabalho de registros de caixa on-line de grandes lojas ou centros comerciais.

Mecanismo de trabalho

Todos os servidores da Web têm suas próprias consultas que podem processar simultaneamente. Além disso, o limite é fornecido para a largura de banda do canal conectando a rede e o servidor. Para contornar essas restrições, os ZLOCHYSLENS criam uma rede de computadores com software mal-intencionado, chamado "Botnet" ou "Network Zombie".

Para criar um botnet, os cyber-criminais distribuem Trojan por meio de distribuição de e-mail, redes sociais ou sites. Computadores incluídos no botnet não têm conexão física entre si. Eles estão unidos apenas pelo "ministério" alvos do hacker.

Durante o ataque DDoS, o hacker envia a equipe de computadores zumbis "infectados" e começam a ofensiva. Batnets geram uma enorme quantidade de tráfego capaz de sobrecarregar qualquer sistema. Os principais "objetos" para DDOS geralmente estão se tornando uma largura de banda de servidor, um servidor DNS, bem como a própria conexão com a Internet.

Sinais de ataques DDOS

Quando as ações dos atacantes alcançam seu objetivo, é possível determinar instantaneamente as falhas do arquivo ou o recurso colocado lá. Mas há uma série de sinais indiretos, segundo os quais o ataque do DDOS pode ser encontrado em seu começo.

  • Software de servidor e sistema operacional começam com frequência e costurar explicitamente - Pendure, preenchido incorretamente trabalho, etc.
    • poder de hardware Servidores, dinamente diferentes dos indicadores médios diários.
  • Aumento rápido entrada Tráfego Em um ou vários portos.
  • Multi-hora. ações simplificadas duplicadas clientes em um recurso (vá para o site, download de arquivos).
  • Ao analisar os logs (logs de ação do usuário), o servidor, o firewall ou os dispositivos de rede identificados muitos pedidos um tipo de fontes diferentes para um Porto ou serviço. Deve estar alerta especialmente se o público de solicitações for drasticamente diferente do alvo para o site ou serviço.

Classificação de tipos de didos-ataques

Protocolo ofensivo (nível de transporte)

O ataque DDoS é destinado ao nível de rede do servidor ou do recurso da web, por isso é muitas vezes referido como uma camada de rede ou ataque de nível de transporte. Seu objetivo é sobrecarregar um espaço de tabela em um firewall com um log de segurança integrado (firewall), em uma rede central ou em uma carga de balanceamento do sistema.

O método DDoS mais comum no nível de transporte - inundação de redeA criação de um enorme fluxo de solicitações de corante em diferentes níveis, com os quais o nó de recebimento não pode ser copred.

Normalmente, o serviço de rede aplica a regra do FIFO, segundo a qual o computador não prosseguir para manter a segunda solicitação até os primeiros processos. Mas, ao atacar, o número de solicitações é tão aumentado que o dispositivo não tem recursos para concluir a operação com a primeira solicitação. Como resultado, a inundação maximiza a largura de banda, tanto quanto possível e pontua firmemente todos os canais de comunicação.

Tipos comuns de inundação de rede

  • Inundação HTTP. - Uma massa de mensagens HTTP ordinárias ou criptografadas, os nós de comunicação de pontuação, é enviada para o servidor atacado.
  • Inundação ICMP.- Os botnets do atacante sobrecarrega a máquina anfitriã da vítima por solicitações oficiais a que é obrigado a dar respostas de eco. Exemplo privado deste tipo de ataque - P.inundaçãoou ataque Smurf quando os canais de comunicação são preenchidos com consultas de ping usadas para verificar a disponibilidade do nó da rede. É por causa da ameaça de inundações ICMP, os administradores do sistema geralmente bloqueiam a capacidade de fazer solicitações ICMP usando o firewall.
  • Syn-inundação. - O ataque afeta um dos mecanismos básicos do protocolo TCP, conhecido como princípio de "handshake triplo" ("algoritmo de resposta de solicitação": Syn Package - Pacote Syn-Ack - ACK Package). A vítima é preenchida com o eixo de perguntas falsas sem resposta. O canal de usuário é entupido pela fila TCP-Connections de conexões de saída aguardando o pacote de resposta ACK.
  • Inundação UDP. - Portas aleatórias da máquina host da vítima são preenchidas com pacotes UDP, as respostas a quais sobrecarregar recursos de rede. Uma variedade de inundações UDP direcionadas para o servidor DNS é chamada DNS-flud..
  • Inundação de Mac. - O objetivo é o equipamento de rede, cujas portas são entupidas pelos fluxos de pacotes "vazios" com diferentes endereços MAC. Para proteger contra tal tipo de ataques DDoS em switches de rede, ajuste a validade de validade e filtrar endereços MAC.

Ataques de nível aplicados (nível de infraestrutura)

Esse tipo é usado quando você precisa capturar ou desativar recursos de hardware. O objetivo de "Raiders" pode ser tanto físico quanto de ram ou processador.

Sobrecarregar a largura de banda não é necessária. É suficiente apenas trazer o processador de sacrifício para sobrecarregar ou, em outras palavras, levar todo o tempo do processo.

Tipos de Nível de Aplicação de Ataque DDOS

  • Mandar "Pesadox »pacotes.vindo diretamente para o processador. O dispositivo não pode mascarar cálculos complexos e começa a falhar, desativando assim o acesso ao site para os visitantes.
  • Usando o script, o servidor está preenchido Conteúdo "Lixo" - Arquivos de log, "Comentários de usuário", etc. Se o administrador do sistema não definir o limite no servidor, o hacker poderá criar pacotes de arquivos enormes que resultarão no preenchimento do disco rígido inteiro.
  • Problemas com sistema de cota. Alguns servidores são usados \u200b\u200bpara se comunicar com programas externos de interface CGI (interface de gateway comum, "Interface General Gateway"). Após o recebimento do acesso ao CGI, um invasor pode escrever seu script que usará parte dos recursos, por exemplo - tempo de processador, em seu interesse.
  • Verificação incompleta Dados do visitante. Também leva a um uso longo ou até infinito de recursos do processador até a exaustão.
  • Segundo ataque de rodas.. Isso causa uma resposta falsa do sinal no sistema de proteção, que pode fechar automaticamente o recurso do mundo externo.

Ataques no nível do aplicativo

O ataque DDOS do nível de aplicativos usa omissões ao criar um código de programa que cria uma vulnerabilidade de software para influência externa. Esta espécie pode ser atribuída a um ataque tão comum como "ping de morte" (ping de morte) é um enorme envio dos pacotes ICMP de um longo comprimento que causam estouro do buffer.

Mas os hackers profissionais raramente recorrem a um método mais simples como canais de transferência de sobrecarga. Para o ataque de sistemas complexos de grandes empresas, eles tentam descobrir completamente a estrutura do sistema do servidor e escrever uma exploração - um programa, uma cadeia de comandos, ou uma parte do código do programa que leva em conta a vulnerabilidade da vítima e aplicado ao computador.

Ataque DNS.

  1. O primeiro grupo é destinado a vulnerabunidadee B. DEServidores DNS. Estes incluem tais tipos comuns de crimes cibernéticos, como ataque de dia zero ("ataque zero de dia") e Fast Flux DNS ("fluxo rápido").
    Um dos tipos mais comuns de ataques DNS é chamado DNS-Spoofing ("DNS-Squeal"). Durante ela, os atacantes substituem o endereço IP no cache do servidor, redirecionando o usuário para a página submarina. Ao se mover, o infrator obtém acesso ao nome de usuário do usuário e pode usá-los em seus próprios interesses. Por exemplo, em 2009, devido à substituição de registros DNS, os usuários não poderiam ir ao Twitter por uma hora. Tal ataque tinha um caráter político. Malefactores instalados na página principal da rede social Aviso de hackers do Irã relacionados à agressão americana
  2. O segundo grupo é ataques DDOS que levam a dNS de incapacidade.- servidores. Se você falhar, o usuário não poderá ir para a página desejada, já que o navegador não encontrará o endereço IP inerente em um site específico.

Prevenção e proteção contra ataques DDOS

De acordo com a Segurança da Rede Corero, mais do que todas as empresas do mundo estão sujeitas a ataques "Acesso à Recusa". Além disso, seu número atinge 50.

Os proprietários de sites que não forneceram a proteção do servidor dos DDOS-Ataques não podem apenas incorrer em grandes perdas, mas também uma diminuição na confiança do cliente, bem como à competitividade no mercado.

A maneira mais eficaz de proteger contra o DDoS-Attack é filtros instalados pelo provedor para canais da Internet com alta largura de banda. Eles realizam uma análise consistente de todo o tráfego e detectar atividade ou erro de rede suspeita. Os filtros podem ser instalados, tanto no nível dos roteadores quanto no uso de dispositivos especiais de hardware.

Maneiras de proteger

  1. Mesmo no estágio de escrita de software, você precisa pensar sobre a segurança do site. Cuidadosamente conferido por Para erros e vulnerabilidades.
  2. Regularmente atualização por.E também forneça uma oportunidade para retornar à versão antiga quando ocorrerem problemas.
  3. Ter cuidado com restringindo o acesso. Os serviços relacionados à administração devem ser completamente fechados de acesso de terceiros. Proteja o administrador com senhas complexas e altere-as com mais frequência. Exclua as contas do funcionário em tempo hábil que pare.
  4. Acesso ao interface do administrador. Deve ser realizado exclusivamente da rede interna ou via VPN.
  5. Digitalize o sistema disponibilidade de vulnerabilidades. As opções de vulnerabilidade mais perigosas publicam regularmente a classificação autoritária do OWASP Top 10.
  6. Aplicar firewall para aplicações - WAF (firewall do aplicativo da Web). Ele navegando no tráfego transmitido e monitora a legitimidade dos pedidos.
  7. Usar Cdn. Rede de entrega de conteúdo). Esta é uma rede de entrega de rede operando com uma rede distribuída. Tráfego classificado por vários servidores, o que reduz o atraso ao acessar os visitantes.
  8. Controlar o tráfego recebido usando listas de Controle de Acesso (ACL)onde a lista de pessoas com acesso ao objeto será especificada (programa, processo ou arquivo), bem como sua função.
  9. Posso tráfego de blocosque vem dos dispositivos atacantes. Isso é feito por dois métodos: o uso de firewalls ou listas de ACL. No primeiro caso, um fluxo específico é bloqueado, mas as telas não podem separar o tráfego "positivo" do "negativo". E no segundo - os protocolos secundários são filtrados. Portanto, não se beneficiará se o hacker aplicar solicitações primordiais.
  10. Para proteger contra o Spoofing DNS, você precisa periodicamente limpe o DNS do cache..
  11. Usar proteção contra bots de spam - CAPTCHA (CAPTCHA), "Human" Quadro temporário para preenchimento de formulários, reCAPTCHA (caixa de seleção "Eu não sou um robô"), etc.
  12. Ataque reverso. Todo o tráfego malicioso é redirecionado para um invasor. Ajudará não apenas refletir o ataque, mas também destruir o servidor do atacante.
  13. Alojamento de recursos por vários servidores independentes. Quando você sai de um servidor, o restante garantirá a eficiência.
  14. Usando verificado proteção contra hardware Do ataque DDOS. Por exemplo, Impletec Icore ou DefensePro.
  15. Escolha um provedor de hospedagem colaborando com fornecedor confiável Serviços de segurança cibernética. Entre os critérios de confiabilidade, os especialistas identificam: a presença de garantias de qualidade, garantindo proteção contra a mais completa gama de ameaças, suporte técnico 24 horas por dia, transparência (acesso ao cliente a estatísticas e análises), bem como a falta de malware tarifa.

Conclusão

Neste artigo, revisamos o que o ataque DDoS significa e como proteger seu site de ataques. É importante lembrar que essas ações maliciosas podem falhar até os recursos mais maus e mais magros da web. Isso implicará graves consequências na forma de enormes danos e perdas de clientes. É por isso que, para garantir seu recurso de DDOS-ATAQUES - a tarefa real de todas as estruturas comerciais e agências governamentais.

Quer um nível profissional de proteção contra didos-ataques - escolha! Monitoramento permanente e suporte técnico redondas.

Recentemente, fomos capazes de ter certeza de que o ataque DDOS era uma arma bastante forte no espaço da informação. Com DDoS, ataques de alta potência, você não pode apenas desativar um ou mais sites, mas também interromper a operação de todo o segmento de rede ou desativar a Internet em um pequeno país. Hoje em dia, os ataques DDOS ocorrem cada vez mais e seus aumentos de energia a cada vez.

Mas qual é a essência de tal ataque? O que acontece na rede quando está correndo, onde veio a ideia dessa maneira e por que é tão eficaz? Você encontrará respostas para todas essas perguntas em nosso artigo atual.

DDoS ou Distributed Negial-Service (Recusa separada da manutenção) é um ataque em um computador específico em uma rede que o provoca sobrecarregando para não responder a solicitações de outros usuários.

Para entender o que o DDoS Ataque significa, vamos imaginar a situação: o servidor da Web fornece aos usuários de uma página de página, digamos à criação de uma página e a transferência completa do usuário leva meio segundo, então nosso servidor pode funcionar normalmente em uma frequência de duas solicitações por segundo. Se houver mais tais solicitações, eles serão enfileirados e processados \u200b\u200bassim que o servidor da Web estiver livre. Todas as novas solicitações são adicionadas ao final da fila. E agora vou imaginar que há muitos pedidos, e a maioria deles só vai sobrecarregar este servidor.

Se a velocidade do recebimento de novas solicitações exceder a velocidade de processamento, então, ao longo do tempo, a fila de consulta será tão longa que, na verdade, novas solicitações não serão processadas. Este é o principal princípio do ataque dos DDOS. Anteriormente, tais pedidos foram enviados de um endereço IP e isso foi chamado de ataque de referência - morto de serviço, na verdade, esta é a resposta para a questão do que é. Mas com esses ataques você pode efetivamente lutar, simplesmente adicionando o endereço IP da fonte ou vários na lista de bloqueio, e também um dispositivo múltiplo devido às restrições de largura de banda de rede não gera fisicamente um número suficiente de pacotes para sobrecarregar um servidor sério.

Portanto, agora os ataques são executados imediatamente a partir de milhões de dispositivos. A palavra distribuída foi adicionada ao nome, acabou - DDoS. De acordo com um, esses dispositivos não significam nada, e é possível conectar-se à Internet sem velocidade muito alta, mas quando eles começam a enviar solicitações simultaneamente para um servidor, eles podem obter uma velocidade total de até 10 TB / s. E isso é um indicador bastante sério.

Resta entender onde os atacantes levam tantos dispositivos para cumprir seus ataques. Estes são computadores comuns, ou vários dispositivos IOT aos quais os invasores conseguiram acessar. Pode ser qualquer coisa, filmadoras e roteadores com um firmware, dispositivos de controle, bem e usuários comuns de usuários que de alguma forma pegaram o vírus e não sabem sobre sua existência ou não há pressa para excluí-lo.

Tipos de DDOS ATAK

Existem dois tipos principais de ataques DDOS, alguns são focados em sobrecarregar um programa e ataques específicos destinados a sobrecarregar o próprio canal de rede para o computador de destino.

Os ataques à sobrecarga de qualquer programa também são chamados de ataques em 7 (no modelo de operação da rede OSI - sete níveis e os últimos são níveis de aplicativos individuais). O invasor ataca um programa que usa muitos recursos do servidor enviando um grande número de solicitações. No final, o programa não tem tempo para processar todas as conexões. Esta espécie que consideramos maior.

Os ataques do canal da Internet exigem muito mais recursos, mas é muito mais difícil lidar com eles. Se você representar uma analogia com OSI, esses são os ataques no nível de 3-4, ele está em um protocolo de transmissão de canal ou de dados. O fato é que qualquer conexão com a Internet tem seu próprio limite de velocidade com o qual os dados podem ser transmitidos. Se houver muitos dados, o equipamento de rede assim como o programa os colocará na fila de transmissão, e se a quantidade de dados e a velocidade de seu recibo serão muito altas para a velocidade do canal, ela será sobrecarregada. A taxa de transferência de dados nesses casos pode ser calculada em gigabytes por segundo. Por exemplo, em caso de desconexão da Internet, um pequeno país da Libéria, a taxa de transferência de dados foi de até 5 TB / s. No entanto, 20-40 GB / s é suficiente para sobrecarregar a maioria das infraestruturas de rede.

A origem do ataque DDOS

Acima, olhamos para o que os didos atacam, assim como os métodos do ataque DDoS, é hora de ir à sua origem. Você já se perguntou por que esses ataques são tão eficazes? Eles são baseados em estratégias militares que foram desenvolvidas e verificadas por muitas décadas.

Em geral, muitas das abordagens para a segurança da informação são baseadas em estratégias militares do passado. Há vírus de Tróia que se assemelham à antiga batalha por troy, vírus extorsivos que roubam seus arquivos para obter o resgate e os ataques DDOS restringindo os recursos inimigos. Limitando a capacidade do adversário, você recebe algum controle sobre suas ações subseqüentes. Esta tática funciona muito bem como para estrategistas militares. Então, para cibercriminosos.

No caso da estratégia militar, podemos muito pensar nos tipos de recursos que podem ser limitados a limitar as possibilidades do inimigo. A restrição de água, alimentos e materiais de construção simplesmente destruiria o inimigo. Os computadores são todos diferentes aqui existem vários serviços, como DNS, um servidor da Web, um servidor de email. Todos eles têm uma infraestrutura diferente, mas há algo que os une. Esta é uma rede. Sem uma rede, você não poderá acessar o serviço remoto.

O comandante pode envenenar a água, queimar culturas e organizar pontos de verificação. Os cibercriminosos podem enviar dados incorretos para o serviço, faça com que seja necessário para consumir toda a memória ou completamente overwhelm todo o canal de rede. Estratégias de proteção também têm as mesmas raízes. O administrador do servidor terá que rastrear o tráfego de entrada para encontrar maliciosos e bloqueá-lo antes de atingir o canal ou programa de rede de destino.

Fundador e site de administrador do site, desfrute de software aberto e sistema operacional Linux. Como o sistema operacional agora eu uso o Ubuntu. Além do Linux, estou interessado em tudo o que está associado à tecnologia da informação e à ciência moderna.

Se você ler nosso guia, e implementar todas as tecnologias descritas - proteger seu computador contra ameaças de hackers! Não negligencie isso!

No campo da segurança da informação, os ataques DDOS ocupam um dos principais locais da classificação de ameaça eletrônica. Mas a maioria dos usuários tem conhecimento muito limitado neste tópico. Agora vamos tentar o máximo possível e acessível para divulgar este tópico para que você possa imaginar o que esse tipo de ameaça eletrônico é realizado e, em conformidade, como lidar com isso efetivamente. Então, fique familiarizado - ataque DDOS.

Terminologia

Para falar na mesma língua, devemos inserir os termos e suas definições.

DOS ATAQUE - Tipo de recusa de manutenção. Daí a abreviação inglesa dos - negação do serviço. Um dos subtipos é um ataque distribuído, realizado simultaneamente com vários, e por via de regra, com um grande número de hosts. Devolvamos a maior parte da discussão a essas opções, porque o ataque DDoS realiza conseqüências mais devastadoras e uma diferença significativa apenas no número de hosts usados \u200b\u200bpara ataque.

Para tornar mais fácil para você entender. Esse tipo de ação é destinado à rescisão temporária de qualquer serviço. Pode ser um site separado em uma rede, uma grande Internet ou provedor celular, bem como um serviço separado (recebendo cartões de plástico). Para que o ataque tenha sucesso, e trouxe ações destrutivas, é necessário executá-lo com um grande número de pontos (doravante este momento será considerado com mais detalhes). Daí o "ataque distribuído". Mas a essência continua sendo a mesma - para interromper o trabalho de um determinado sistema.

Para a integridade da imagem, você precisa entender quem e para que fins dessas ações.

Ataques como "recusa de manutenção", como outros crimes de computador, são puníveis por lei. Portanto, o material é apresentado apenas para fins informativos. Eles são realizados por especialistas em TI, pessoas que são bem versadas nos assuntos de "computadores" e "redes de computação", ou como já feitos para falar - hackers. Basicamente, este evento tem como objetivo fazer lucro, porque como regra, os ataques DDOS solicitaram concorrentes inescrupulosos. Será apropriado trazer um pequeno exemplo.

Suponha que no mercado de serviços de uma pequena cidade existam dois principais provedores de internet. E um deles quer espremer um concorrente. Eles pedem em hackers distribuídos o ataque do DOS em um servidor concorrente. E o segundo provedor devido a sobrecarga de sua rede não é mais capaz de fornecer acesso à Internet para seus usuários. Como resultado - a perda de clientes e reputação. Os hackers recebem sua remuneração, provedor inacabado - novos clientes.

Mas não há casos em que "Ddose" e apenas por habilidades divertidas ou de escape.

Ataque DDOS distribuído.

Vamos concordar imediatamente - vamos lidar com ataques de computador. Portanto, se estamos falando de vários dispositivos com os quais o ataque é realizado, será computadores com software ilegal.

Aqui também é apropriado fazer uma ligeira digressão. Em essência, a fim de parar o trabalho de qualquer serviço ou serviço, você precisa exceder a carga máxima para ela. O exemplo mais fácil é o acesso ao site. Uma maneira ou outra, é projetada para um certo atendimento de pico. Se em um determinado momento, o site irá para o site dez vezes mais pessoas, respectivamente, o servidor não é capaz de processar essa quantidade de informação e parará de funcionar. E as conexões neste ponto serão realizadas com um grande número de computadores. Este será os próprios nós que foram discutidos acima.

Vamos ver como ele se parece no diagrama abaixo:

Como você pode ver, o hacker recebeu um grande número de computadores personalizados e instalou seu software de spyware. Graças a ele, ele agora pode executar as ações necessárias. No nosso caso, para realizar um ataque DDoS.

Assim, se você não cumprir as regras de segurança ao trabalhar em um computador, poderá sofrer infecção viral. E talvez o seu computador seja usado como um nó, para a implementação de ações maliciosas.

Você virá a prática: Descrevemos alguns aspectos da segurança, no artigo.

Mas como serão usados \u200b\u200bdependem de qual opção o invasor é selecionado

Classificação de DDOS ATAK.

Os seguintes tipos de ataques podem ser tomados por invasores:

  1. Largura de banda de sobrecarga. Para que os computadores conectados à rede pudessem interagir normalmente, o canal de comunicação pelos quais eles estão conectados devem funcionar normalmente e fornecer parâmetros suficientes para tarefas específicas (por exemplo, largura de banda). Este tipo de ataque é enviado para sobrecarregar os canais de comunicação de rede. Isso é alcançado constantemente enviando informações incoerentes ou do sistema (comando ping)
  2. Restrição de recursos. Este tipo já consideramos acima, no exemplo com acesso ao site. Como observamos - o servidor tinha a capacidade de lidar com um número limitado de conexões simultâneas. Um invasor deve enviar um grande número de conexões simultâneas para o servidor. Como resultado, o servidor não lidará com a carga e parará de funcionar.
  3. Ataque no servidor DNS. Nesse caso, o ataque DDoS é projetado para também parar de acessar o site. Outra opção é redirecionar o usuário do site certo para falsificar. Isso pode ser feito com o objetivo de abduzir dados pessoais. Isso é alcançado pelo ataque no servidor DNS e a substituição de endereços IP finge. Vamos analisá-lo no exemplo. Um determinado banco usa seu site para calcular pela Internet. O usuário precisa ir a ele e inserir os dados de seu cartão de plástico. Um invasor com o propósito de sequestrar essas informações cria um site similar e mantém um ataque no servidor DNS (servidor Name). O objetivo deste evento é redirecionar o usuário para o site de um atacante quando ele tentar ir ao site do banco. Se for bem sucedido, o usuário não suspeita da ameaça, introduz seus dados pessoais sobre o site do atacante, e ele receberá acesso a eles.
  4. Falha no software. Este tipo de ataque é o mais difícil. Os atacantes revelam falhas em software e os usam para destruir o sistema. Para encomendar um ataque de DDoS, será necessário gastar muito dinheiro.

Como passar um ataque DDoS com suas próprias mãos

Como exemplo, decidimos mostrar como implementar um ataque DDoS usando software especial.

Primeiro, baixe o programa neste endereço. Depois disso, lance-o. Você deve ver a janela de inicialização:

Você precisa realizar configurações mínimas:

  1. Na coluna "URL", escrevemos o endereço do site que queremos colocar um ataque
  2. Em seguida, clique no botão "Bloquear" - veremos o recurso de destino
  3. Colocamos o método TCP
  4. Escolha o número de threads (threads)
  5. Expondo a velocidade de envio usando um controle deslizante
  6. Quando todas as configurações forem concluídas, clique no botão "Imma Chargin MAH Lazer"

Todos - o ataque começou. Repito mais uma vez, todas as ações são apresentadas para fins informativos.

Como proteger contra ataques DDOS

Você provavelmente já entendeu que esse tipo de ameaça é muito perigoso. E, portanto, é muito importante conhecer os métodos e princípios de luta e impedir ataques distribuídos.

  1. Configurando sistemas de filtragem - Tarefa para administradores de sistema e provedores de hospedagem
  2. Aquisição de sistemas de proteção contra ataques DDoS (complexos de software e hardware)
  3. Usando firewall e listas de controle de acesso (ACL) - esta medida é destinada a filtrar o tráfego suspeito.
  4. Aumentar os recursos disponíveis e instalar sistemas de reserva
  5. Responder medidas técnicas e legais. Até a atração do perpetrador à responsabilidade criminal

Vídeo para o artigo:

Conclusão

Agora você provavelmente entende todo o perigo dos ataques DDOS. Para garantir a segurança de seus recursos, é necessário abordar de maneira muito responsável, sem poupar tempo, forças e dinheiro. É ainda melhor ter um especialista separado, ou todo um departamento de segurança da informação.

Os leitores permanentes fizeram muitas vezes a pergunta, pois você pode editar o texto se o arquivo tiver o formato PDF. A resposta pode ser encontrada no material -

Para proteger seus dados, você pode usar toda uma gama de medidas. Uma dessas opções é

Se você precisar editar seu vídeo on-line, preparamos uma visão geral do popular.

Por que procurar informações sobre outros sites, se tudo for coletado de nós?

Lutando com ataques DDOS - O trabalho não é apenas difícil, mas também fascinante. Não é de surpreender que cada sysadmin primeiro esteja tentando organizar a defesa por conta própria - especialmente desde que ainda é possível.

Decidimos ajudá-lo com isso difícil e publicar alguns conselhos curtos, triviais e universais sobre a proteção do seu site de ataques. As receitas reduzidas não ajudarão você a lidar com qualquer ataque, mas da maioria dos perigos que serão salvos.

Ingredientes certos

A verdadeira verdade é que muitos sites podem colocar qualquer um que queira usar o ataque de sloworis, matando firmemente o Apache ou resolvendo o chamado Syn Inundação usando um farm de servidores virtuais levantados por minuto na nuvem Amazon EC2. Todas as nossas futuras dicas de proteção DDOS são baseadas nas seguintes condições importantes.

1. Recusar o Windows Server

A prática sugere que o site que funciona no Windows (2003 ou 2008 é não importa), no caso do DDOs é condenado. O motivo da falha está na pilha de rede do Windows: Quando as conexões se tornam muito, o servidor certamente começa a responder mal. Não sabemos porque o Windows Server funciona em tais situações tão respeitáveis, mas eles se deparam com isso mais de uma vez e não dois. Por esta razão, este artigo irá sobre os meios de proteção contra ataques DDoS no caso quando o servidor está girando no Linux. Se você é um proprietário feliz com um kernel contemporâneo (a partir de 2.6), os IPTables e Utilitários de Ipset serão usados \u200b\u200bcomo o principal kit de ferramentas (para adicionar rapidamente endereços IP), com os quais você pode processar rapidamente bots. Outra chave para o sucesso é uma pilha de rede adequadamente cozida, que também falaremos mais.

2. Parte com o Apache

A segunda condição importante é a recusa do Apache. Se você não é nem uma hora, vale a pena apache, pelo menos, coloque um proxy em cache na frente dele - Nginx ou LighttpD. Apache "É extremamente difícil de dar arquivos e, ainda pior, está no nível fundamental (isto é, irrevivelmente vulnerável para um perigoso ataque de lentos, que permite acabar o servidor quase de um celular. Para combater vários Tipos de Sloworis, os usuários do Apache aumentaram com o patch primeiro anti-slowloris.diff, depois mod_noloris, depois mod_antiloris, mod_limitipconn, mod_reqtimeout ... mas se você quiser dormir bem à noite, é mais fácil fazer um servidor HTTP, invulnerável Para sloworis no nível de arquitetura de código. Portanto, todas as nossas novas receitas são baseadas na suposição, que o Nginx é usado na frente.

Lutar contra ddos.

E se os DDOS vieram? A tradicional técnica de autodefesa é ler o arquivo de log do servidor HTTP, escrever um padrão para Grep (fazendo bots de bots) e proibir todos que se enquadram. Essa técnica funcionará ... se você tiver sorte. Batnets são dois tipos, ambos são perigosos, mas de diferentes maneiras. Um inteiramente chega ao site instantaneamente, o outro é gradualmente. O primeiro mata tudo e imediatamente, mas os logs aparecem completamente nos logs, e se você os proibir e surpreender todos os endereços IP, então você é um vencedor. O segundo botnet estabelece o site gentilmente e com cuidado, mas terá que proibir isso, talvez durante o dia. É importante entender qualquer administrador: se é planejado para lutar contra o Grep, então você precisa estar pronto para se dedicar à luta contra o ataque um par de dias. Abaixo estão os conselhos sobre onde você pode colocar palhetas com antecedência para que não seja tão doloroso cair.

3. Use o módulo testcookie

Talvez a receita mais importante, eficaz e operacional deste artigo. Se o DDoS chegar ao seu site, o módulo testcookie-nginx desenvolvido pelo @kyprizel CoExler pode se tornar a maneira mais eficiente. Uma ideia é simples. Na maioria das vezes, os bots que implementam inundações HTTP são bastante estúpidos e não têm cookies HTTP e mecanismos de redirecionamento. Às vezes mais avançado - tais podem usar cookies e redirecionamentos de processos, mas quase nunca do-bot carrega um motor JavaScript completo (embora seja cada vez mais frequentemente). TestCookie-Nginx funciona como um filtro rápido entre bots e back-end durante o ataque L7 DDoS, permitindo que você corte as consultas de lixo. O que está incluído nessas verificações? Se o cliente é capaz de executar o redirecionamento HTTP, se o JavaScript suporta se ele é o navegador para o qual ele desiste (já que o JavaScript é diferente em todos os lugares e se o cliente disser que ele, digamos que o Firefox, então podemos verificar). A verificação é implementada com cookies usando diferentes métodos:

  • "Set-cookie" + redirecionar com 301 localização HTTP;
  • "Set-cookie" + redirecionar com a HTML Meta Refresh;
  • um modelo arbitrário, e você pode usar o Javascript.

Para evitar a análise automática, os cookies de testes podem ser criptografados usando AES-128 e posteriormente descriptografado no lado do cliente JavaScript. Na nova versão do módulo, foi possível instalar cozinheiros através do Flash, que também permite reduzir efetivamente os bots (que o flash geralmente não é suportado), mas, no entanto, também bloqueia o acesso para muitos usuários legítimos (na verdade todos os dispositivos móveis ). Vale ressaltar que começar a usar testcookie-nginx extremamente simples. O desenvolvedor, em particular, leva vários exemplos compreensíveis de uso (para casos de ataque diferentes) com amostras de configurações para o NGINX.

Além das vantagens, o TestCookie tem desvantagens:

  • corta todos os bots, incluindo o Googlebot. Se você pretende deixar o Testcookie em uma base contínua, certifique-se de não desaparecer dos resultados da pesquisa;
  • cria problemas com os usuários com os links dos navegadores, W3M e eles como;
  • não salva a partir de bots equipados com um mecanismo de navegador completo com JavaScript.

Em suma, Testcookie_Module não é universal. Mas de várias coisas, como, por exemplo, ferramentas primitivas para Java e C #, ajuda. Então você corta parte da ameaça.

4. Código 444.

O objetivo dos DDOSs geralmente se torna a parte mais intensiva de recursos do site. Um exemplo típico é uma pesquisa que executa consultas complexas para o banco de dados. Naturalmente, os atacantes podem aproveitar isso, tendo cobrado várias dezenas de milhares de pedidos para o mecanismo de busca de uma só vez. O que podemos fazer? Desativar temporariamente a pesquisa. Deixe os clientes não poderão procurar as informações necessárias por meios incorporados, mas todo o site principal permanecerá na condição de trabalho até encontrar a raiz de todos os problemas. Nginx suporta código não padrão 444, que permite simplesmente fechar a conexão e não dar nada em resposta:

Localização / pesquisa (return 444;)

Assim, é possível, por exemplo, implementar rapidamente a filtragem no URL. Se você está confiante de que solicita a localização / pesquisa apenas de bots (por exemplo, sua confiança é baseada no fato de que não há partição / pesquisa em seu site), você pode instalar o pacote de IPSet e banir bots com um shell simples roteiro:

IPSET -N Ban iPhash Tail -f Access.log | Enquanto a linha de leitura; Echo "$ line" | \\ Cut -d "" "-F3 | Cut -d" "-f2 | grep -q 444 && ipset -a ban" $ (l %% *) ";

Se o formato do arquivo de log não for padrão (não combo) ou é necessário banir outros sinais do que o status de resposta, pode ser necessário substituir o corte regularmente expressar.

5. Banya por Geod

O código de resposta não padrão 444 também pode ser útil para a proibição operacional dos clientes na geo-aquisição. Você dificilmente pode limitar os países individuais inconvenientes. Digamos, dificilmente na loja online de câmeras de Rostov-on-Don Há muitos usuários no Egito. Esta não é uma maneira muito boa (apenas diga - nojento), já que os dados geOIP são imprecisos, e Rostovs às vezes voam para o Egito para descansar. Mas se você não tem nada a perder, siga as instruções:

  1. Conecte-se ao módulo NGINX GeoIP (Wiki.nginx.org/httpgeoipmodule).
  2. Exibir informações do GEOTHO no log de acesso.
  3. Além disso, modificando o script de shell acima, o AccessLog Nginx da Progress e adicione sinais geográficos sfatelados de clientes em uma proibição.

Se, por exemplo, os bots para a maior parte eram da China, ele pode ajudar.

6. Rede Neural (POC)

Finalmente, você pode repetir a experiência do jogo @savettbtz, que levou a rede neural Pybrain, enchida o log nele e analisou os pedidos (Habrahabr.ru/post/136237). Método de trabalho, embora não universal :). Mas se você realmente conhece o interior do seu site - e você, como administrador do sistema, deve, então você tem uma chance de que, nas situações mais trágicas, tal kit de ferramentas com base em redes neurais, aprendizagem e coletadas com antecedência, ajudará você . Nesse caso, é extremamente útil ter acesso.log antes do início do DDoS "A, como descreve quase 100% dos clientes legítimos, e, portanto, um grande conjunto de dados para treinar uma rede neural. Além disso, os olhos no bar nem sempre são visíveis.

Diagnóstico do problema

O site não funciona - por quê? Seu ddosim ou é um bug do jag não notado por um programador? Deixa pra lá. Não procure uma resposta a esta pergunta. Se você acha que o seu site pode atacar, entre em contato com empresas que fornecem proteção contra ataques - um número de serviços anti-DDOS para o primeiro dia após a conexão são gratuitos - e não perca mais tempo na busca por sintomas. Concentre-se no problema. Se o site funcionar lentamente ou não abrir, isso significa que não tem algo em ordem com desempenho, e - independentemente de o ataque do DDoS ou não, - você, como profissional, é obrigado a entender o que causou isto. Temos repetidamente como a empresa, experimentando dificuldades com o trabalho de seu site por causa do ataque do DDoS, em vez de encontrar pontos fracos no motor do site tentou enviar declarações para o Ministério dos Assuntos Internos para encontrar e punir atacantes. Não permita tais erros. A busca por cibercriminosos é um processo difícil e de longo prazo complicado pela estrutura e princípios da Internet, e o problema com o trabalho do site precisa ser resolvido rapidamente. Faça especialistas técnicos para descobrir qual é a causa da queda de desempenho do site, e a aplicação será capaz de escrever advogados.

7. Use profiler e depurador

Para a plataforma de criação de site mais comum - PHP + MySQL - Um gargalo pode ser assinado usando as seguintes ferramentas:

  • o XdeBug Profiler mostrará quais chamadas o aplicativo gasta mais tempo;
  • o depurador incorporado APD e a saída de depuração no log de erros ajudará a descobrir qual código realiza esses desafios;
  • na maioria dos casos, o cão é enterrado na complexidade e peso de solicitações para o banco de dados. Aqui irá ajudar o banco de dados SQL explicativo incorporado no motor.

Se o site for mentido por acaso e você não perderá nada, desligue a rede, veja os logs, tente perdê-los. Se não mentiras, passe pelas páginas, olhe para a base.

Um exemplo é fornecido para PHP, mas a ideia é válida para qualquer plataforma. O desenvolvedor que escrever produtos de software em qualquer linguagem de programação deve ser capaz de aplicar rapidamente o depurador e o profiler. Pratique com antecedência!

8. Analise erros

Analise o volume de tráfego, o tempo de resposta do servidor, o número de erros. Para isso, veja logs. No NGINX, o tempo de resposta do servidor é corrigido no log com duas variáveis: request_time e upstream_response_time. O primeiro é o período integral de execução da consulta, incluindo atrasos na rede entre o usuário e o servidor; O segundo relata quanto backend (apache, php_fpm, uwsgi ...) serviu como pedido. O valor upstream_response_time é extremamente importante para sites com um grande número de conteúdo dinâmico e comunicação ativa com o banco de dados, eles não podem ser negligenciados. Você pode usar uma configuração como um formato de log:

LOG_FORMAT XakeP_Log "$ REMOTE_ADDR - $ REMOTE_USER [$ time_local]" "$ Solicitar" $ status $ body_bytes_sent "" $ http_referer "$ http_user_agent" $ solicitar_time \\ $ upstream_response_time ";

Este é um formato combinado com os campos de tempo adicionados.

9. Acompanhe o número de solicitações por segundo

Também olhe para o número de solicitações por segundo. No caso do NGINX, você pode estimar aproximadamente esse valor do próximo comando Shell (a variável Access_Log contém o caminho para o log de consulta Nginx no formato combinado):

Echo $ ($ (fgrep -c "$ (env lc_all \u003d c date [E-mail protegido]$ ($ (Data \\ +% s) -60)) +% d /% b /% y:% h:% m) "" $ Access_log ") / 60)

Comparado ao normal para esse período, o número de solicitações por segundo pode cair como cair e crescer. Eles crescem no caso de uma grande botnet veio e cair, se o botnet vitorioso tiver colocado o site, tornando-o completamente inacessível a usuários legítimos e, ao mesmo tempo, não solicitar estatísticas, e os usuários legítimos são solicitados. A queda nas consultas é observada apenas devido às estáticas. Mas, de uma forma ou de outra, estamos falando de mudanças graves nos indicadores. Quando isso acontece de repente - enquanto você está tentando resolver o problema sozinho e se você não vê imediatamente no log, é melhor verificar rapidamente o motor e entrar em contato com os especialistas em paralelo.

10. Não se esqueça de tcpdump

Muitas pessoas esquecem que o TCPDUMP é uma ferramenta de diagnóstico incrível. Eu vou dar alguns exemplos. Em dezembro de 2011, foi descoberto um bug no kernel do Linux quando abriu uma conexão TCP quando os sinalizadores do segmento TCP Syn e RST foram exibidos. O primeiro Bageptutor enviou o administrador do sistema da Rússia, cujo recurso foi atacado por esse método, - os atacantes aprenderam sobre vulnerabilidades mais cedo do que o mundo inteiro. É óbvio para ele que tal diagnóstico ajudou. Outro exemplo: Nginx tem um não é uma propriedade muito agradável - ele escreve no log somente após a solicitação completa é totalmente compreendida. Há situações em que o site está, nada funciona e não há nada nos troncos. Tudo porque todas as solicitações que fazem o download no servidor ainda não estão preenchidas. Tcpdump vai ajudar aqui.

É tão bom que eu aconselhei que as pessoas não usem protocolos binários antes de conquistar que tudo está em ordem, - porque os protocolos de texto serão dívidas TCPdump "Om é fácil e binário - não. No entanto, o sniffer é bom como um meio de diagnóstico - como meio de manter a produção "e ele é terrível. Pode facilmente perder vários pacotes de uma só vez e estragar a história do usuário. É conveniente assistir sua conclusão, e será útil para diagnósticos manuais e uma proibição, mas tentar não basear nada crítico nele. Outro meio favorito para "fixar solicitações" - Ngrep - Em geral, por padrão, ele está tentando solicitar na área de dois gigabytes de memória inavalada e só então começa a reduzir seus requisitos.

11. Ataque ou não?

Como distinguir um ataque DDoS, por exemplo, do efeito de uma campanha publicitária? Esta questão pode parecer engraçada, mas este tópico não é menos complicado. Existem casos bastante curiosos. Em alguns bons caras, quando eles se esforçaram e apertar completamente o cache, o site é executado por alguns dias. Descobriu-se que, dentro de alguns meses, este site é despercebido pelos dados de alguns alemães e antes de otimizar o cache da página do site, esses alemães foram carregados com todas as fotos por um bom tempo. Quando a página começou a ser emitida de Kesha instantaneamente, o bot, que não tinha tempo acordado, também começou a recolhê-los instantaneamente. Foi difícil. O caso é particularmente difícil pela razão que, se você mesmo mudou a configuração (ligada em cache) e o site depois que parou de funcionar, quem, em sua opinião, é culpar? Exatamente. Se você estiver assistindo a um aumento acentuado no número de solicitações, procure, por exemplo, no Google Analytics, que veio a quais páginas.

Tuning de servidor web.

O que outros são pontos-chave? Claro, você pode colocar o "padrão" nginx e espero que você esteja bem. No entanto, sempre não acontece bem. Portanto, o administrador de qualquer servidor deve dedicar muito tempo a ajustar e ajustar nginx.

12. Limite de recursos (tamanhos de buffer) em NginX

O que você precisa lembrar primeiro? Cada recurso tem um limite. Primeiro de tudo, diz respeito a RAM. Portanto, os tamanhos de cabeçalhos e todos os buffers usados \u200b\u200bprecisam ser limitados a valores adequados no cliente e ao servidor inteiramente. Eles devem ser prescritos na configuração NGINX.

  • client_Header_Buffer_size__ Especifica o tamanho do buffer para ler o cabeçalho da solicitação do cliente. Se a linha de consulta ou o campo de cabeçalho de consulta não estiver totalmente colocado neste buffer, os buffers maiores especificados pela diretiva Grande_Client_Header_Buffer são alocados.
  • grande_client_header_buffers. Define o número máximo e o tamanho do buffer para ler um cabeçalho de solicitação de grande cliente.
  • client_body_buffer_size. Especifica o tamanho do buffer para ler o corpo de solicitação do cliente. Se o corpo de consulta for maior que o buffer desejado, todo o corpo da consulta ou apenas parte é gravado em um arquivo temporário.
  • client_max_body_size. Especifica o tamanho do corpo máximo permitido da solicitação do cliente, especificada no campo "Content-Comprimento" do cabeçalho da consulta. Se o tamanho for mais especificado, o cliente retornará 413 erro (Solicitar entidade muito grande).

13. Personalize os tempos limite em Nginx

O recurso é a hora. Portanto, o próximo passo importante deve ser instalar todos os tempos limite, que mais uma vez é muito importante se registrar bem nas configurações do NGINX.

  • reset_timedout_connection on; Ajuda a combater soquetes penduradas na fase de espera finas.
  • client_header_timeout. Especifica um tempo limite ao ler o cabeçalho da solicitação do cliente.
  • client_body_timeout. Especifica um tempo limite ao ler o corpo de solicitação do cliente.
  • keepalive_Timeout. Define o tempo limite durante o qual a conexão mantém-aliva ao cliente não será fechada do lado do servidor. Muitos têm medo de pedir uma grande importância aqui, mas não temos certeza de que esse medo é justificado. Opcionalmente, você pode definir o valor de tempo limite no cabeçalho HTTP mantém-vivo, mas o Internet Explorer é famoso por ignorar esse valor.
  • send_timeout. Especifica um tempo limite ao passar uma resposta para o cliente. Se, após esse tempo, o cliente não aceitará nada, a conexão será fechada.

Imediatamente a questão: Quais parâmetros de buffers e tempo limite estão corretos? Não há receita universal aqui, em todas as situações, elas são suas. Mas há uma abordagem comprovada. Você precisa definir os valores mínimos em que o site permanece em uma condição de trabalho (no PeaCetime), ou seja, as páginas são dadas e as solicitações são processadas. Isso é determinado apenas testando - ambos de desktops e de dispositivos móveis. Algoritmo para encontrar valores de cada parâmetro (tamanho ou tempo limite do buffer):

  1. Eu exibe o valor matemático de parâmetros matematicamente.
  2. Execute o teste do site.
  3. Se toda a funcionalidade do site funcionar sem problemas - o parâmetro é definido. Se não, aumentamos o valor do parâmetro e vá para a cláusula 2.
  4. Se o valor do parâmetro exceder mesmo o valor padrão é um motivo para discussão na equipe do desenvolvedor.

Em alguns casos, a auditoria desses parâmetros deve levar ao redesenho de refatoração / usuário. Por exemplo, se o site não funcionar sem três minutos AJAX Long Polling Solicitações, você não precisa aumentar o tempo limite, mas muito votação para substituir outra coisa - botnets em 20 mil carros pendurados em pedidos por três minutos, fácil de Mate o servidor barato médio.

14. Limite de compostos em NGINX (Limit_Conn e Limit_REQ)

O Nginx também tem a capacidade de limitar as conexões, solicitações e assim por diante. Se você não tem certeza de como uma certa parte do seu site se comporta, idealmente, você precisa testá-lo, entender quantas solicitações ele irá suportar e registrá-lo na configuração do Nginx. Uma coisa é quando o site está e você pode vir e levantá-lo. E outra coisa é - quando ele irá a tal ponto que o servidor foi para trocar. Nesse caso, muitas vezes é mais fácil reiniciar do que aguardar seu retorno triunfante.

Suponha que o site tenha seções com nomes / download e / pesquisar. Ao mesmo tempo nós:

  • nós não queremos bots (ou pessoas por gerenciadores de downloads recursivos) para nos trazer uma tabela de conexões TCP com seus downloads;
  • não queremos bots (ou guindastes voadores de mecanismos de busca) esgotados os recursos de computação do DBMS por várias consultas de pesquisa.

Para esses fins, a configuração do tipo seguinte será usada:

Http (limit_conn_zone $ binary_remote_addr zona \u003d download_c: 10m; limit_req_zone $ binary_remote_addr zona \u003d Search_r: 10m \\ rate \u003d 1r / s; servidor (local / download / (limit_conn download_c 1; # outro local de configuração) localização / pesquisa / (limit_req zone \u003d Busca_r burst \u003d 5; outra configuração de localização)))

Geralmente, ele tem um significado direto para estabelecer limitações Limit_conn e Limit_REQ para locais, nos quais existem scripts caros (no exemplo a pesquisa é especificada, e isso não é lucrativo). As restrições devem ser escolhidas, guiadas pelos resultados do teste de carga e regressão, bem como do senso comum.

Preste atenção ao parâmetro 10m no exemplo. Isso significa que o cálculo desse limite destacará um dicionário com um buffer de 10 megabytes e um megabyte mais. Nesta configuração, isso permitirá que você acompanhe 320.000 sessões TCP. Para otimizar a memória ocupada como uma chave no dicionário, a variável $ binary_remote_addr, que contém o endereço IP do usuário no formulário binário e leva menos memória do que a variável de string usual $ REMOTE_ADDR. Deve-se notar que o segundo parâmetro para a directiva limit_req_zone pode não ser apenas ip, mas também qualquer outra variável NGINX disponível neste contexto é, por exemplo, no caso quando você não deseja fornecer um modo de proxy mais surgido, você pode Use $ binary_remote_addrd ou $ binary_remote_addr $ http_cookie_myc00kiez - mas é necessário usar esses desenhos com cautela, pois, ao contrário de 32 bits $ Binary_Remote_Addr, essas variáveis \u200b\u200bpodem ser significativamente mais longas e a "10m" declarada pode ser sustentada.

Tendências em ddos.

  1. Continuamente cresce o poder dos ataques de rede e de transporte. O potencial do ataque médio de ataque de enchentes já alcançou 10 milhões de pacotes por segundo.
  2. Demanda especial recentemente desfrutar de ataques ao DNS. As solicitações de DNS válidas de inundação UDP com endereços IP de origem spoof'led são uma das mais comuns em implementações e complicadas em termos de contraificação de ataques. Muitas grandes empresas russas (incluindo hospedagem) foram experimentadas em problemas recentes como resultado de ataques em seus servidores DNS. Quanto mais longe, esses ataques serão mais, e seu poder crescerá.
  3. A julgar pelos recursos externos, a maioria dos botnets não é gerenciada centralmente, mas através da rede peer-to-peer. Isso dá aos invesores a oportunidade de sincronizar as ações da botnet no tempo - se anteriormente as equipes de gerenciamento se espalharem em um botnet de 5 mil carros para dezenas de minutos, agora a conta está indo por segundos, e seu site pode inesperadamente experimentar uma fotográfica instantânea aumento no número de solicitações.
  4. A participação de bots, equipada com um mecanismo de navegador completo com JavaScript, ainda é pequena, mas continuamente cresce. Tal ataque é mais difícil derrubar os artesanatos embutidos, então a auto-relocidades deve seguir essa tendência com medo.

preparando o sistema operacional.

Além da configuração fina de Nginx, você precisa cuidar das configurações da pilha de rede do sistema. Pelo menos - ligue imediatamente a net.ipv4.tcp_syncookies em Systl, para se proteger do ataque syn-food de um pequeno tamanho.

15. Tyi Yard.

Preste atenção às configurações mais avançadas da parte da rede (kernel) novamente por time-outs e memória. Existem mais importantes e menos importantes. Primeiro de tudo, você precisa prestar atenção:

  • net.ipv4.tcp_fin_timeout. O tempo que o soquete gastará na fase TCP da Fin-Wait-2 (aguardando o segmento FIN / ACK).
  • net.ipv4.tcp _ (, r, w) mem Soquetes TCP recebendo tamanho do buffer. Três valores: mínimo, valor padrão e máximo.
  • net.core. (R, w) mem_max O mesmo para não tampões TCP.

Com um canal de 100 Mbps, os valores padrão são de alguma forma adequados; Mas se você tem pelo menos gigabit no Candide, então é melhor usar algo como:

Systl -w net.core.rmem_max \u003d 8388608 systl -w net.core.wmem_max \u003d 8388608 systl -w net.ipv4.tcp_rmem \u003d "4096 87380 8388608" systl -w net.ipv4.tcp_wmem \u003d "4096 65536 8388608" SYSTL - w net.ipv4.tcp_fin_timeout \u003d 10

16. Revisão / proc / sys / net / **

Ideal para aprender todos os parâmetros / proc / sys / net / **. É necessário ver o quão diferentes diferem do padrão e entendem o quão adequadamente exibido. Desenvolvedor Linux (ou Administrador do Sistema), que desmonta o serviço de Internet sujeito a ele e quer otimizá-lo, deve ler a documentação de todos os parâmetros da pilha de energia nuclear com juros. Talvez encontrará variáveis \u200b\u200bespecíficas para o seu site, o que ajudará não apenas a proteger o site de intrusos, mas também acelerar seu trabalho.

Não fique assustado!

DDo-ataque bem sucedido dia após dia, o e-commerce saciam a mídia, a mídia shakes, os maiores sistemas de pagamento são enviados para nocaute. Milhões de usuários da Internet perdem o acesso a informações críticas. A ameaça é urgente, então você precisa encontrá-lo em cumprimento. Execute sua lição de casa, não tenha medo e mantenha a cabeça fria. Você não é o primeiro e não o último que encontrará um ataque DDoS em seu site, e em seu poder, guiado por seu conhecimento e senso comum, para reduzir as conseqüências do ataque ao mínimo.

Ataque DDOS. Explicação e exemplo.

Olá a todos. Este é um blog informático76, e agora o próximo artigo sobre as fundações do Hacker Art. Hoje vamos falar sobre o que o ataque DDOS é simples palavras e exemplos. Antes de correr com termos especiais, haverá uma introdução que é compreensível para todos.

Por que o ataque DDOS?

O hacking WiFi é usado para escolher uma senha de fios. Ataques no formulário "permitirão ouvir o tráfego da Internet. A análise de vulnerabilidades com o carregamento subseqüente de um específico possibilita capturar o computador-alvo. O que o ataque DDOS faz? Seu objetivo é finalmente - a seleção dos direitos de possuir um recurso no proprietário legítimo. Eu não quero dizer que o site ou blog você não pertença. Isto é no sentido de que, no caso de um ataque de sucesso em seu site, você perder a oportunidade para eles controlar. Pelo menos por enquanto.

No entanto, na interpretação moderna, o ataque DDOS é mais usado para violar a operação normal de qualquer serviço. Grupos de hackers, cujos nomes estão constantemente na audição, fazem ataques aos principais governos ou locais públicos, a fim de chamar a atenção para um ou outro problema. Mas quase sempre para tais ataques é puramente mercantil juros: o trabalho de concorrentes ou brincadeiras simples com sites completamente desprotegidos. O principal conceito dos DDOs é que um grande número de usuários é atraído para o site de cada vez, ou melhor consultas por parte dos computadores - bots, o que torna a carga no servidor em Airs. Muitas vezes ouvimos a expressão "site não está disponível", mas poucos que acham que é de fato, de fato para essa redação. Bem, agora você sabe.

Ataque DDOS - Opções

Opção 1.

jogadores multidão na entrada

Imagine que você toca um jogo online multiplayer. Milhares de jogadores brincam com você. E com a maioria deles você é familiar. Você está discutindo os detalhes e gasta as seguintes ações. Todos vocês ao mesmo tempo vêm ao site e criam um personagem com o mesmo conjunto de características. Eles agrupam em um só lugar, bloqueando com o número de caracteres criados simultaneamente, acesso a objetos no jogo para o restante dos usuários que conspicam que não são suspeitos de seu conluio.

Opção 2.


Imagine que alguém decidisse quebrar o serviço de ônibus na cidade em uma rota específica, a fim de evitar que os passageiros conscientes ao uso de serviços de transporte público. Milhares de seus amigos estão ao mesmo tempo para parar no início da rota especificada e andar sem rumo em todas as máquinas do último para o final até que o dinheiro esteja se esgotando. A viagem é paga, mas ninguém sai em uma parada, exceto pelo destino de destino. E outros passageiros, de pé em paradas intermediárias, parecem tristemente para a remoção de microônibus depois, deixando de derramar nos ônibus marcados. Todos: todos os proprietários de táxis e possíveis passageiros.

Na realidade, essas opções não são fisicamente convertidas na vida. No entanto, no mundo virtual de seus amigos, eles podem substituir computadores de usuários injustos que não se incomodam pelo menos para proteger seu computador ou laptop. E tal maioria esmagadora. Programas para o conjunto de ataques DDOS. Vale a pena lembrar que tais ações são ilegais. E o ridículo preparou o ataque DDOS, não importa com que sucesso gasto, detecta e punível.

Como o ataque DDOS?

Clique no link do site, seu navegador envia a solicitação para o servidor para exibir a página desejada. Esta solicitação é expressa como um pacote de dados. E nem mesmo um, mas um pacote de pacote inteiro! Em qualquer caso, o volume de dados transmitidos no canal é sempre limitado a uma determinada largura. E o volume de dados retornados pelo servidor é incomensurável mais do que aqueles contidos em sua solicitação. No servidor, é preciso força e meios. O servidor mais forte, os custos mais caros de TI para o proprietário e os serviços mais caros fornecidos a eles. Servidores modernos lidar facilmente com um influxo visitante acentuado. Mas para qualquer um dos servidores, ainda há uma quantidade crítica de usuários que querem se familiarizar com o conteúdo do site. Quanto mais clara a situação com o servidor que fornece serviços para hospedagem de sites. Ligeiramente, e a vítima do site é desconectada do serviço, a fim de não sobrecarregar processadores que servem milhares de outros sites localizados na mesma hospedagem. O trabalho do site pára até que o ataque DDOS pare. Bem, imagine que você começa a reiniciar qualquer uma das páginas páginas mil vezes por segundo (DOS). E milhares de seus amigos fazem em nossos computadores a mesma coisa (DOS DOS DOS ou DDOS distribuídos) ... grandes servidores aprenderam a reconhecer que o ataque DDoS começou e o neutralizá-lo. No entanto, os hackers também melhoram suas abordagens. Portanto, no âmbito deste artigo, o que um ataque DDoS é mais divulgado, eu não posso explicar.

O que é um ataque do DDoS que você pode descobrir e tentar agora.

ATENÇÃO. Se você decidir tentar, todos os dados não salvos serão perdidos, o botão precisará de um botão para retornar ao status operacional. Redefinir.. Mas você pode descobrir o que exatamente "sente" o servidor que atacou. Um exemplo exposto de um parágrafo abaixo e agora - comandos simples para sistema de sobrecorrente.

  • Para o Linux no terminal, digite o comando:
:(){ :|:& };:

O sistema se recusará a trabalhar.

  • Para Windows, proponho criar um arquivo BAT em um notebook com um código:
: 1 Comece goto 1

Nomeie o tipo DDOS.BAT.

Explique o significado de ambas as equipes, acho que não vale a pena. Pode ser visto no olhar desarmado. Ambas as equipes fazem o sistema executar o script e imediatamente repeti-lo, referindo-se ao início do script. Dada a velocidade de execução, o sistema cai em alguns segundos em um estupor. Jogo., como eles dizem, sobre.

Ataque DDOS usando programas.

Para um exemplo mais visual, use o programa de canhão de íon baixo (pistola iônica com órbita baixa). Ou Loic.. A distribuição mais baixável está localizada no endereço (trabalhamos no Windows):

https://sourceforge.net/projects/LOIC/

ATENÇÃO ! Seu antivírus deve responder ao arquivo tão malicioso. Isso é normal: você já sabe o que eles balançam. No banco de dados de assinatura, é marcado como um gerador de inundação - traduzido para o russo Este é o objetivo final de apelos infinitos a um endereço de rede específico. Eu pessoalmente não notei nenhum vírus nem Trojanov. Mas você tem o direito de duvidar e adiar o download.

Como os usuários negligenciados jogam o recurso em arquivo malicioso, a Source Forge irá reforçá-lo à próxima página com um link direto para o arquivo:

Como resultado, consegui baixar o utilitário apenas através.

A janela do programa se parece com isso:

Parágrafo 1 Selecionar o alvo permitirá que um invasor se concentre em um propósito específico (endereço IP ou URL do site), parágrafo 3 Opções de ataque. permitirá que você selecione uma porta atacada, protocolo ( Método.) De três TCP, UDP e HTTP. No campo Mensagem TCP / UDP, você pode inserir uma mensagem para os atacados. Depois que o ataque tiver feito pressionando o botão. Imma chargin mah lazer (Esta é a frase na borda da falta do popular uma vez quadrinhomem.; Tapete americano no programa, pelo caminho, muito poucos). Tudo.

Aviso

Esta opção é segurar apenas para um host local. É por isso:

  • isso é ilegal contra os sites de outras pessoas, e para isso no Ocidente já está realmente sentado (e, portanto, eles vão plantar em breve aqui)
  • o endereço do qual a inundação é que será calculada rapidamente, reclamar ao provedor, e ele fará de você um aviso e lembrá-lo sobre o primeiro item
  • em redes com baixa largura de banda (isto é, em todos os domésticos), a coisa não funcionará. Com a rede Tor é tudo a mesma coisa.
  • se você configurá-lo corretamente, você rapidamente marcará seu canal de comunicação, o dano a alguém. Então esta é exatamente a opção quando a pêra bate no boxeador e não o oposto. E a opção com um proxy passará no mesmo princípio: a inundação da sua parte não gosta de ninguém.

Leia: 9 326

Artigos similares