Distribuované útoky "odmietnutie údržby" alebo skrátených DDO, sa stali spoločným javom a vážnou bolesťou hlavy pre majiteľov internetových zdrojov na celom svete. Preto je ochrana proti útokom DDOS na stránke dnes nie je ďalšou možnosťou, ale predpokladom pre tých, ktorí sa chcú vyhnúť prestoje, obrovské škody a pokazenú reputáciu.

Povieme nám viac o tom, čo je ochorenie a ako sa obhajovať.

Čo je DDOS.

Distribuované odmietnutie služby alebo "Distribuované odmietnutie údržby" - útok na informačný systém tak, že nemá schopnosť spracovávať požiadavky používateľa. Jednoduché slová, DDOS pozostáva v potláčaní webového zdroja alebo dopravného servera z obrovského množstva zdrojov, čo ho robí neprístupným. Často sa takýto útok vykonáva, aby vyvolal prerušenia v oblasti práce sieťových zdrojov vo veľkej firme alebo štátnej organizácii

Útok DDOS je podobný inej spoločnej webovej hrozbe - "Odmietnutie služby, DOS). Jediným rozdielom je, že obvyklý distribuovaný útok pochádza z jedného bodu a útok DDOS je viac veľký a pochádza z rôznych zdrojov.

Hlavným cieľom útoku DDOS je vytvoriť webovú stránku neprístupnú návštevníkom tým, že blokuje jej prácu. Existujú však prípady, keď sa takéto útoky vyrábajú s cieľom odvrátiť pozornosť od iných škodlivých účinkov. Útok DDOS môže byť napríklad vykonaný pri hackovaní bezpečnostného systému s cieľom prevziať databázu organizácie.

DDOS útoky sa objavili vo verejnej starostlivosti v roku 1999, keď došlo k sérii útokov na stránky veľkých spoločností (Yahoo, eBay, Amazon, CNN). Odvtedy tento typ kybernetickej trestnej činnosti vyvinula hrozbu pre globálny meradlo. Podľa odborníkov, v posledných rokoch sa ich frekvencia zvýšila 2,5-krát a maximálna kapacita sa prekročila 1 TBIT / s. Obeť útoku DDO aspoň raz každá šiesta ruská spoločnosť sa stala. Do roku 2020 dosiahne ich celková reakcia 17 miliónov.

Hosting detské ihrisko s okrúhlovou hodinskou ochranou z najsofistikovanejších útokov DDOS.

Príčiny útokov DDOS

1. Osobné nepriateľstvo. Často tlačí votrelcov na útočí na spoločnosti alebo vládne spoločnosti. Napríklad v roku 1999 bol vykonaný útok na webových stránkach FBI, v dôsledku čoho niekoľko týždňov zlyhali. Stalo sa to kvôli tomu, že FBI začal rozsiahly nájazd na hackeroch.
2. Politický protest. Typicky sa takéto útoky vykonávajú s hactvistmi - IT špecialistami s radikálnymi pohľadami na civilného protestu. Slávnym príkladom je séria kybernetických útokov na estónskych vládnych agentúrach v roku 2007. Možnosť demolácie pamiatky liberátora v Tallinne pravdepodobne spôsobila.
3. Zábava.Dnes je rastúci počet ľudí rád DDO a chcieť vyskúšať si silu. Newbird-hackeri často usporiadajú útoky, aby sa pobavili.
4. Vydieranie a vydieranie.Pred spustením útoku je hacker spojený s majiteľom zdroja a vyžaduje si vykúpenie.
5. Súťaž. Útoky DDOS možno objednať z nekalej spoločnosti s cieľom ovplyvniť svojich konkurentov.

Kto je potenciálnymi obeťami

DDOS môže zničiť miesta akejkoľvek škály, od bežných blogov a končiacimi s najväčšími spoločnosťami, bankami a inými finančnými inštitúciami.

Podľa výskumu vykonávaného "Kaspersky Lab", útok môže stáť spoločnosť na 1,6 milióna dolárov. Toto je vážne škody, pretože napadnutý webový zdroj nemôžu v určitom čase, čo je dôvod, prečo je jednoduchý.

Najčastejšie, stránky a servery trpia útokmi DDOS:

• veľké spoločnosti a vládne agentúry;
• finančné inštitúcie (banky, správcovské spoločnosti);
• služby kupónu;
• zdravotníckych inštitúcií;
• platobné systémy;
• Médií a informačných agregátorov;
• online obchody a e-commerce podniky;
• online hry a herné služby;
• cryptovaya výmeny.

Nie je to tak dávno, zariadenie bolo pridané do SAD zoznamu častých obetí DDOS-útokov a vybavenia pripojeného na internet, ktorý dostal celkový názov "Internet vecí" (internet vecí, IOT). Najväčšia dynamika rastu v tomto smere ukazuje kybernetické útoky s cieľom porušiť prácu online hotovostných registrov veľkých obchodov alebo nákupných centier.

Pracovný mechanizmus

Všetky webové servery majú svoje vlastné otázky, ktoré môžu spracovať súčasne. Okrem toho je limit zabezpečený pre šírku pásma kanála pripojenie siete a servera. Aby bolo možné obísť tieto obmedzenia, zlochyslans vytvára počítačovú sieť s škodlivým softvérom, nazývaným "botnet" alebo "Zombie Network".

Vytvorenie BOTNET, Cyber-zločincov distribuovať Trojan prostredníctvom distribúcie e-mailov, sociálnych sietí alebo lokalít. Počítače zahrnuté v BOTNET nemajú žiadne fyzické spojenie medzi sebou. Sú zjednotené len "ministerstvom" cieľov hackeru.

Počas útoku DDOS, hacker posiela "infikovaný" tímom Zombie Computers, a začnú ofenzívu. BATNETS generujú obrovské množstvo prevádzky schopnej preťaženia akéhokoľvek systému. Hlavné "objekty" pre DDO sa zvyčajne stávajú šírkou pásma servera, DNS server, ako aj samotné internetové pripojenie.

Známky útokov DDOS

Keď sa akcie útočníkov dostanú do svojho cieľa, je možné okamžite určiť poruchy súboru alebo tam umiestnené zdroje. Existuje však množstvo nepriamych značiek, podľa ktorého DDOS útok možno nájsť vo svojom začiatku.

• Serverový softvér a OS sa začína často a explicitne šiť - visieť, nesprávne dokončená práca atď.
hardvérový výkon Servery, ostro odlišné od priemerných denných ukazovateľov.
• Rýchle zvýšenie prichádzajúci Prevádzka V jednom alebo viacerých prístavoch.
• Viacnásobný duplicitné jednoduché akcie Zákazníci na jednom zdroji (prejdite na stránku, download súborov).
• Pri analýze protokolov (užívateľských akčných protokolov), firewall alebo sieťové zariadenia identifikované mnohé požiadavky jeden typ rôznych zdrojov do jedného Prístavu alebo služby. Mal by byť obzvlášť upozornený, ak je publikum požiadaviek ostro odlišné od cieľa pre stránku alebo službu.

Klasifikácia typov útokov DDOS

OUTENČNÉ PROTIVITY (DOPRAVA)

Útok DDOS je zameraný na úroveň siete serverového alebo webového zdroja, takže sa často označuje ako sieťová vrstva alebo útok na úrovni dopravy. Jeho cieľom je preťaženie tabuľkového priestoru na firewalle so zabudovaným bezpečnostným logom (firewall), v centrálnej sieti alebo v záťaži systému.

Najbežnejšia metóda DDOS na úrovni dopravy - sieťovinaVytvorenie obrovského toku požiadaviek na farbenie na rôznych úrovniach, s ktorými prijímajúci uzol nie je možné kopírovať.

Služba siete zvyčajne aplikuje pravidlo FIFO, podľa ktorého počítač neprejduje na udržanie druhej požiadavky až do prvých procesov. Ale keď útočí na počet žiadostí, je to tak zvýšenie, že zariadenie nemá zdroje na dokončenie operácie s prvou požiadavkou. Výsledkom je, že povodeň maximalizuje šírku pásma čo najviac a pevne skóruje všetky komunikačné kanály.

Spoločné typy sieťových povodní

• Http-povodne - Hmotnosť obyčajných alebo šifrovaných správ HTTP, bodovacej komunikačnej uzly, je odoslaná na útočiaci server.
• ICMP-povodne- Útočník botnet preťaženia hostiteľského stroja obete úradnými požiadavkami, na ktoré je povinná poskytnúť ECHO odpovede. Súkromný príklad tohto typu útoku - P. \\ ting-povodnealebo útok Smurf Ak sú komunikačné kanály vyplnené ping dotazov používané na kontrolu dostupnosti sieťového uzla. Je to kvôli hrozbe záplavy ICMP, správcovia systému často blokujú schopnosť vykonávať požiadavky ICMP pomocou firewallu.
• Syn-povodne. - Útok ovplyvňuje jeden zo základných mechanizmov protokolu TCP, známym ako princíp "Triple Handshake" ("Algorith na požiadanie-Answers": Balík Syn-ACK - balík ACK). Obeť je naplnená hriadeľom falošných dotazov. Užívateľský kanál je upchatý frontom TCP-Connections ROUND z odchádzajúcich pripojení čaká na odpoveď ACK paketu.
• Udp-povodne - Náhodné prístavy hostiteľského stroja obete sú naplnené balíčkami UDP, odpovede, na ktoré zdroje siete preťaženia. Nazýva sa rôzne povodne UDP zamerané na server DNS DNS-FLUD..
• Povodne Mac - Cieľom je sieťové vybavenie, ktorých prístavy sú upchaté prúdmi "prázdnych" paketov s rôznymi MAC adresy. Ak chcete chrániť pred takýmto typom útokov DDOS na sieťové prepínače, upravte validáciu platnosti a filtrovanie MAC adresy.

Aplikované útoky úrovne (úroveň infraštruktúry)

Tento typ sa používa, keď potrebujete zachytiť alebo vypnúť zdroje hardvéru. Cieľ "nájazdníkov" môže byť fyzický aj RAM alebo procesor.

Preťaženie šírku pásma nie je potrebná. Stačí len preto, aby sa obetovať procesor na preťaženie alebo inými slovami, vezmite si celý čas procesu.

Typy úrovne aplikácie DDOS-útoku

• Poslať "Ťažkéx "paketypriamo do procesora. Zariadenie nemôže maskovať komplexné výpočty a začne zlyhať, čím sa zablokuje prístup na miesto pre návštevníkov.
• Pomocou skriptu je server naplnený Obsah "Trash" - protokolové súbory, "Komentáre používateľa" atď. Ak správca systému nenastavuje limit na server, potom môže hacker vytvoriť obrovské balíčky súborov, ktoré budú mať za následok vyplnenie celého pevného disku.
• Problémy s systém kvót. Niektoré servery sa používajú na komunikáciu s externými programami CGI-Interface (Common Gateway Interface, "General Gateway Interface"). Po prijatí prístupu k CGI môže útočník napísať svoj skript, ktorý bude používať časť zdrojov, napríklad - proces procesora, vo svojom záujme.
• Neúplná kontrola Návštevné údaje. To tiež vedie k dlhému alebo dokonca nekonečnému využívaniu zdrojov procesora až do vyčerpania.
• Druhý útok RODA. Spôsobuje falošnú reakciu signálu v systéme ochrany, ktorý môže automaticky zatvoriť zdroj z vonkajšieho sveta.

Útoky na úrovni aplikácie

Útok pre DDOS úrovne aplikácií používa opomenutia pri vytváraní programového kódu, ktorý vytvára zraniteľnosť softvéru pre vonkajší vplyv. Tento druh možno pripísať takémuto spoločnému útoku ako "ping smrť" (ping smrti) je masívne odosielanie ICMP-paketov väčšej dĺžky, ktorá spôsobuje prepad pufra.

Ale profesionálne hackeri sa zriedka uchýlili k najjednoduchšej metóde ako preťaženie priepustných kanálov. Pre útok komplexných systémov veľkých spoločností sa snažia úplne zistiť štruktúru systému servera a napísať Exploit - program, reťazec príkazov alebo časť programu, ktorý berie do úvahy zraniteľnosť obete a aplikované na počítač.

Útok DNS

1. Prvá skupina je zameraná na zraniteľnosťa B. ZaDNS servery. Patrí medzi ne takéto bežné typy počítačových trestných činov, ako je to nulový denný útok ("útok nulového dňa") a rýchly tok DNS ("rýchly tok").
   Jedným z najbežnejších typov útokov DNS sa nazýva DNS-Spoofing ("DNS-Squeal"). Útočníci počas nej nahradia IP adresu v pamäti servera, presmerovanie používateľa na stránku ponorky. Pri pohybe sa páchateľ dostane prístup k užívateľskému mena používateľa a môže ich použiť vo svojich vlastných záujmoch. Napríklad v roku 2009, kvôli nahradeniu záznamov DNS, užívatelia nemohli ísť na Twitter na hodinu. Takýto útok mal politický charakter. Malejpisy nainštalované na hlavnej stránke sociálnej siete varovania hackerov z Iránu súvisiacich s americkou agresiou
2. Druhou skupinou je útoky DDO, ktoré vedú zdravotné údaje DNS.- servery. Ak zlyhá, používateľ nebude môcť prejsť na požadovanú stránku, pretože prehliadač nenájde IP adresu, ktorá je súčasťou konkrétneho miesta.

Prevencia a ochrana proti útokom DDOS

Podľa bezpečnosti siete Corero, viac ako všetky spoločnosti na svete podliehajú útokom "odmietnutie prístupu". Okrem toho ich číslo dosiahne 50.

Majitelia lokalít, ktoré neposkytli ochranu servera z útokov DDOS, môžu nielen vzniknúť obrovské straty, ale aj pokles dôvery zákazníkov, ako aj konkurencieschopnosť na trhu.

Najefektívnejší spôsob ochrany pred DDOS-útokom je filtre nainštalovaný poskytovateľom na internetové kanály s vysokou šírkou pásma. Vykonávajú konzistentnú analýzu celej prevádzky a detekujú podozrivú sieťovú aktivitu alebo chybu. Filtre môžu byť nainštalované, a to ako na úrovni smerovačov a používanie špeciálnych hardvérových zariadení.

Spôsoby, ako chrániť

1. Aj v štádiu písania softvéru musíte premýšľať o bezpečnosti stránky. Opatrne kontrolovať Pre chyby a zraniteľnosti.
2. Pravidelne aktualizovaťA tiež poskytnúť príležitosť vrátiť sa do starej verzie, keď sa vyskytnú problémy.
3. Dávaj pozor na obmedzenie prístupu. Správa súvisiace služby musia byť úplne uzavreté z prístupu tretej strany. Chráňte správcu komplexnými heslami a častejšie ich zmeňte. Vymazať zamestnancov účty včas, ktorý prestane.
4. Prístup k rozhranie administrátora Musí byť vykonaná výlučne z vnútornej siete alebo prostredníctvom VPN.
5. Skenujte systém dostupnosť zraniteľnosti. Najčastejšie možnosti zraniteľnosti pravidelne publikujú autoritatívne hodnotenie OwaSAPE TOP 10.
6. Platiť firewall pre aplikácie - WAF (Webová aplikácia Firewall). Prehliadanie prenášaného dopravy a monitoruje legitímnosť požiadaviek.
7. Použitie CDN. Sieťová sieť). Toto je sieťová sieťová sieť pracujúca s distribuovanou sieťou. Doprava zoradená niekoľkými servermi, čo znižuje oneskorenie pri prístupe k návštevníkom.
8. Ovládajte prichádzajúcu návštevnosť zoznamy riadenia prístupu (ACL)Ak bude uvedený zoznam osôb s prístupom k objektu (program, proces alebo súbor), ako aj ich úloha.
9. Môcť blokovať prevádzkuktorý pochádza z útočiacich zariadení. To sa vykonáva pomocou dvoch metód: používanie firewallov alebo zoznamov ACL. V prvom prípade je blokovaný špecifický tok, ale obrazovky nemôžu oddeliť "pozitívnu" prevádzku z "negatívneho". A v druhom - sekundárne protokoly sa filtrujú. Preto to nebude mať prospech, ak hacker aplikuje prvoradé požiadavky.
10. Ak chcete chrániť pred spoofingom DNS, potrebujete pravidelne vyčistite cache DNS..
11. Použitie ochrana pred spamovými robotmi - captcha (captcha), "ľudský" dočasný rámec pre plnenie foriem, recAPTCHA (začiarkavacie políčko "Nie som robot"), atď.
12. Reverzný útok. Všetka škodlivá prevádzka je presmerovaná na útočníkovi. Pomôže to nielen odrážať útok, ale tiež zničiť server útočníka.
13. Zdroje ubytovanie podľa niekoľko nezávislých serverov. Keď ukončíte jeden server, zostávajúca účinnosť.
14. Použitie overeného ochrana hardvéru Z útoku DDOS. Napríklad Impletec ikony alebo obranypro.
15. Vyberte si poskytovateľa hostingu spoluprácu spoľahlivý dodávateľ Služby CyberSecurity. Medzi kritériá spoľahlivosti, odborníci identifikujú: prítomnosť kvalitných záruk, zabezpečenie ochrany pred najúplnejšou škálou hrozieb, technickej podpory zaokrúhľovania, transparentnosti (prístup klienta k štatistike a analytike), ako aj nedostatok škodlivého softvéru tarifné.

Záver

V tomto článku sme preskúmali, čo znamená útok DDOS a ako chrániť vaše stránky pred útokmi. Je dôležité si uvedomiť, že takéto škodlivé akcie môžu zlyhať ani najbezpečnejšie a najväčšie webové zdroje. To bude znamenať vážne následky vo forme obrovských škôd a straty zákazníkov. To je dôvod, prečo zabezpečiť svoj zdroj z útokov DDOS - skutočnú úlohu pre všetky obchodné štruktúry a vládne agentúry.

Chcete profesionálnu úroveň ochrany pred DDOS-útokmi - Vyberte si! Stále monitorovanie a technická podpora zaokrúhľovania.

Nedávno sme sa mohli uistiť, že útok DDOS bol v informačnom priestore pomerne silnou zbraňou. S DDOS, vysokými výkonovými útokmi, môžete nielen vypnúť jednu alebo viac stránok, ale tiež narušiť prevádzku celého segmentu siete alebo zakázať internet v malej krajine. V súčasnosti sa DDOS útoky vyskytujú viac a častejšie a ich výkon sa zvyšuje zakaždým.

Ale čo je podstata takéhoto útoku? Čo sa stane v sieti, keď je spustený, kde pochádzala myšlienka z tej cesty a prečo je to tak efektívne? Nájdete odpovede na všetky tieto otázky v našom aktuálnom článku.

DDO alebo distribuované odmietnutie-service (oddelené odmietnutie údržby) je útok na konkrétny počítač v sieti, ktorý spôsobuje, že preťažením nereaguje na požiadavky iných používateľov.

Ak chcete pochopiť, čo znamená, že DDOS útok znamená, pozrime si situáciu: webový server dáva užívateľom strán stránky stránky stránky, poďme na vytvorenie stránky a plného prevodu používateľa trvá pol sekundy, potom naše server môže pracovať normálne na Frekvencia dvoch požiadaviek za sekundu. Ak existuje viac takýchto žiadostí, budú frontované a spracované hneď, ako je webový server slobodný. Na koniec frontu sa pridajú všetky nové požiadavky. A teraz si predstaviť, že existuje veľa požiadaviek a väčšina z nich idú len na preťaženie tohto servera.

Ak rýchlosť prijímania nových požiadaviek prekročí rýchlosť spracovania, potom časom bude front dotazu tak dlho, že skutočne nové požiadavky nebudú spracované. Toto je hlavná zásada útoku DDOS. Predtým boli takéto žiadosti odoslané z jednej IP adresy a to bolo nazývané referenčný útok - mŕtve služby, v skutočnosti je to odpoveď na otázku, čo je DOS. Ale s takýmito útokmi môžete efektívne bojovať, jednoducho pridávať IP adresu zdroja alebo niekoľkých v zozname uzamknutých, a tiež viacnásobné zariadenie vďaka obmedzeniam šírky pásma siete nefunguje dostatočný počet paketov na preťaženie vážneho servera.

Preto sa útoky vykonávajú okamžite z miliónov zariadení. Slovo distribuované bolo pridané do mena, ukázalo sa - DDO. Podľa jedného, \u200b\u200btieto zariadenia neznamená nič, a je možné pripojiť sa k internetu s nie veľmi vysokou rýchlosťou, ale keď začnú súčasne posielať požiadavky na jeden server, môžu dosiahnuť celkovú rýchlosť až 10 TB / s. A to je celkom vážny indikátor.

Zostáva pochopiť, kde útočníci berú toľko zariadení, aby splnili svoje útoky. Ide o bežné počítače, alebo rôzne iOT zariadenia, ku ktorým boli útočníci schopní pristupovať. Môže to byť čokoľvek, videokamery a smerovače s dlhodobým aktualizovaným firmvérom, riadiacimi zariadeniami, dobre a obyčajnými užívateľmi používateľov, ktorí nejako zdvihli vírus a nevedia o svojej existencii alebo v žiadnom zhone vymazať.

Typy DDOS ATAK

Existujú dva hlavné typy útokov DDOS, niektoré sú zamerané na preťaženie špecifického programu a útokov zameraných na preťaženie sieťového kanála samotného na cieľový počítač.

Útoky na preťaženie akéhokoľvek programu sa nazývajú aj útoky v 7 (v modeli prevádzky OSI siete - sedem úrovní a tieto sú úrovne jednotlivých aplikácií). Útočník útočí na program, ktorý používa mnoho zdrojov serverov zaslaním veľkého počtu požiadaviek. Nakoniec program nemá čas na spracovanie všetkých pripojení. Tento druh sme považovali za vyššie.

Dos útoky na internetový kanál vyžadujú oveľa viac zdrojov, ale je oveľa ťažšie vyrovnať sa s nimi. Ak predstavujete analógiu s OSI, potom sú to útoky na 3-4 úrovne, je na protokole pre prenos kanálov alebo údajov. Faktom je, že akékoľvek internetové pripojenie má svoj vlastný rýchlostný limit, s ktorým možno prenášať údaje. Ak je veľa údajov, sieťové vybavenie rovnako ako program ich umiestni do frontu prevodovky, a ak množstvo údajov a rýchlosť ich prijatia bude veľmi vysoká na rýchlosti kanála, bude preťažená. Rýchlosť prenosu dát v takýchto prípadoch sa môže vypočítať v gigabajtoch za sekundu. Napríklad v prípade odpojenia z internetu malej krajiny Libérie bola rýchlosť prenosu dát až 5 TB / s. Avšak, 20-40 GB / S stačí na preťaženie väčšiny sieťových infraštruktúr.

Pôvodom útoku DDOS

Vyššie sme sa pozreli na to, čo DDOS útoky, ako aj metódy útoku DDOS, je čas ísť do ich pôvodu. Zaujímali ste sa niekedy, prečo sú tieto útoky tak účinné? Sú založené na vojenských stratégiách, ktoré boli vyvinuté a kontrolované mnoho desaťročí.

Všeobecne platí, že mnohé z prístupov k bezpečnosti informácií sú založené na vojenských stratégiách minulosti. Existujú trójske vírusy, ktoré sa podobajú starovekej bitke o Troy, extrortubilné vírusy, ktoré ukradnú vaše súbory, aby sa vykúpenie a útoky DDOS obmedzili nepriateľské zdroje. Obmedzenie schopnosti súpera, dostanete určitú kontrolu nad svojimi následnými akciami. Táto taktika funguje veľmi dobre ako vojenských stratégov. Takže pre cybercriminals.

V prípade vojenskej stratégie môžeme veľmi premýšľať o typoch zdrojov, ktoré môžu byť obmedzené na obmedzenie možností nepriateľa. Obmedzenie vody, potravín a stavebných materiálov by jednoducho zničilo nepriateľa. Počítače sú tu rôzne, existujú rôzne služby, ako napríklad DNS, webový server, e-mailový server. Všetci majú inú infraštruktúru, ale je tu niečo, čo ich spája. Toto je sieť. Bez siete nebudete môcť pristupovať k vzdialenému servisu.

Veliteľ môže otráviť vodu, spáliť plodiny a usporiadať kontrolné body. Cybercriminals môžu posielať nesprávne údaje do služby, aby to trvalo konzumovať všetky pamäť alebo úplne premôcť celý sieťový kanál. Stratégie ochrany majú tiež rovnaké korene. Správca servera bude musieť sledovať prichádzajúcu návštevnosť, aby ste našli škodlivé a zablokovali ho skôr, ako dosiahne cieľový sieťový kanál alebo program.

Zakladateľ a webová stránka administrátora stránok, vychutnať si otvorený softvér a operačný systém Linux. Ako hlavné operenie teraz používam Ubuntu. Okrem Linuxu sa zaujímam o všetko, čo je spojené s informačnými technológiami a modernou vede.

Ak čítate náš sprievodca, a implementovať všetky opísané technológie - zabezpečte svoj počítač z hrozieb hackerov! Nezanedbávajte toto!

V oblasti informačnej bezpečnosti, DDOS útoky zaberajú jeden z popredných miest v elektronickej hodnote hrozieb. Väčšina používateľov však má v tejto téme veľmi obmedzené znalosti. Teraz sa budeme snažiť čo najviac a prístupné na zverejnenie tejto témy, takže si dokážete predstaviť, aký tento typ e-hrozby sa vykonáva, a preto, ako sa s ňou efektívne vysporiadať. Zoznámte sa - DDOS útok.

Terminológia

Hovoriť v tom istom jazyku, musíme zadať podmienky a ich definície.

DOS útok - typ odmietnutia údržby. Preto anglická skratka DOS - odmietnutie služby. Jedným z podtypov je distribuovaný útok, ktorý sa vykonáva súčasne s niekoľkými a spravidla s veľkým počtom hostiteľov. Venujeme objem diskusie k týmto možnostiam, pretože útok DDOS nesie viac zničujúce následky a významný rozdiel len v počte hostiteľov používaných na útok.

Uľahčiť vám to pochopiť. Tento druh akcie je zameraný na dočasné ukončenie akejkoľvek služby. Môže to byť samostatná webová stránka v sieti, veľkému internetu alebo mobilného poskytovateľa, ako aj samostatnej služby (prijímajúce plastové karty). Aby bol útok uspieť, a priniesol deštruktívne opatrenia, je potrebné ho vykonávať s veľkým počtom bodov (ďalej len tento okamih bude podrobnejšie posudzovaný). Preto "distribuovaný útok". Essencia však zostáva rovnaká - prerušiť prácu určitého systému.

Na úplnosť obrázku musíte pochopiť, kto a na aký účel takéto akcie.

Útoky, ako je "odmietnutie údržby", podobne ako iné počítačové zločiny, sú podľa zákona trestné. Preto je materiál prezentovaný len na informačné účely. Vykonávajú IT špecialisti, ľudia, ktorí sú dobre povedané v témach "počítačov" a "výpočtových sietí", alebo ako už módne hovoriť - hackeri. V podstate je táto udalosť zameraná na dosiahnutie zisku, pretože DDOS útoky nariadili bezohľadným konkurentom. Bude vhodné priniesť malý príklad.

Predpokladajme, že na trhu služieb malého mesta sú dvaja hlavní poskytovatelia internetu. A jeden z nich chce stlačiť pretekár. Objednávajú sa v hackeroch distribuovaných DOS útok na konkurenčný server. A druhý poskytovateľ z dôvodu preťaženia jeho siete už nie je schopný poskytnúť prístup k internetu svojim používateľom. Výsledkom - strata zákazníkov a reputácie. Hackeri dostávajú svoju odmenu, nedokončenú poskytovateľa - nových zákazníkov.

Ale neexistujú žiadne prípady, keď "ddose" a len pre zábavné alebo výfukové zručnosti.

Distribuovaný útok DDOS

Poďme okamžite súhlasiť - budeme sa zaoberať počítačovými útokmi. Preto, ak hovoríme o niekoľkých zariadeniach, s ktorými sa útok vykonáva, bude to počítače s nelegálnym softvérom.

Tu je tiež vhodné urobiť miernu odbočku. V podstate, aby ste zastavili prácu akejkoľvek služby alebo služby, musíte prevýšiť maximálne zaťaženie. Najjednoduchší príklad je prístup na webovú stránku. Jedným alebo iným spôsobom je určený pre určitú maximálnu účasť. Ak v určitom okamihu času, stránka pôjde na miesto desaťkrát viac ľudí, resp. Server nie je schopný spracovať toto množstvo informácií a prestane fungovať. A spojenia v tomto bode budú vykonané s veľkým počtom počítačov. To bude veľmi uzly, ktoré boli diskutované vyššie.

Pozrime sa, ako to vyzerá na diagrame nižšie:

Ako vidíte, Hacker dostal veľký počet vlastných počítačov a nainštaloval ich spyware softvér. Vďaka nemu môže teraz vykonať potrebné akcie. V našom prípade vykonať útok DDOS.

Ak teda nedodržiavate bezpečnostné pravidlá pri práci v počítači, môžete podstúpiť vírusovú infekciu. A možno bude váš počítač použitý ako uzol, na implementáciu škodlivých akcií.

Prídete šikovný: Opísali sme niektoré aspekty bezpečnosti v článku.

Ako sa však použijú, závisí od toho, akú možnosť je útočník vybratý

Klasifikácia DDOS ATAK.

Útočníci môžu prijať tieto typy útokov:

1. Šírka pásma preťaženia. Takže počítače pripojené k sieti by mohli normálne spolupracovať, komunikačný kanál, cez ktorý sú pripojené, by mali fungovať normálne a poskytnúť dostatočné parametre pre konkrétne úlohy (napríklad šírku pásma). Tento typ útoku sa odosiela na preťaženie sieťových komunikačných kanálov. To sa dosahuje neustále odosielaním nekoherentných alebo systémových informácií (príkaz ping)
2. Obmedzenie zdrojov. Tento typ sme už považovali za vyššie uvedené, v príklade s prístupom na webovú stránku. Ako sme poznamenali - server mal schopnosť zvládnuť obmedzený počet simultánnych pripojení. Útočník musí odoslať veľký počet simultánnych pripojení k serveru. Výsledkom je, že server sa nebude vyrovnať s zaťažením a prestane fungovať.
3. Útok na server DNS. V tomto prípade je útok DDOS navrhnutý tak, aby tiež prestal prístup k webovej stránke. Ďalšou možnosťou je presmerovať používateľa z pravého miesta na falošné. To možno urobiť s cieľom unesenia osobných údajov. To sa dosahuje útokom na serveri DNS a nahradenie IP adries falošného. Analyzujme ho na príklade. Určitá banka používa svoju webovú stránku na výpočet cez internet. Užívateľ na to musí ísť a zadať údaje svojej plastovej karty. Útočník s cieľom únosu týchto informácií vytvára podobnú stránku, a drží útok na server DNS (názov servera). Účelom tohto podujatia je presmerovať používateľa na miesto útočníka, keď sa pokúsi ísť na webovú stránku banky. Ak sa to podarí, užívateľ nemá podozrenie, že hrozba, zavádza svoje osobné údaje na mieste útočníka a dostane k nim prístup.
4. V softvéri. Tento typ útoku je najťažší. Útočníci odhaľujú chyby v softvéri a používajú ich na zničenie systému. Ak chcete objednať takýto útok DDOS, bude potrebné stráviť veľa peňazí.

Ako stráviť útok DDOS s vlastnými rukami

Ako príklad sme sa rozhodli ukázať, ako implementovať útok DDOS pomocou špeciálneho softvéru.

Najprv si stiahnite program na tejto adrese. Potom ho spustite. Musíte vidieť okno Startup:

Musíte držať minimálne nastavenia:

1. V stĺpci "URL" píšeme adresu stránky, ktorú chceme dať útok
2. Potom kliknite na tlačidlo "Zámok na" - Uvidíme cieľový zdroj
3. Dali sme metódu TCP
4. Vyberte počet nití (nite)
5. Vystavenie rýchlosti odosielania pomocou posúvača
6. Keď sú všetky nastavenia dokončené, kliknite na tlačidlo "IMMA CHARGGA MAH LAZER"

Všetko - útok začal. Opäť opakujem, všetky akcie sú prezentované na informačné účely.

Ako chrániť proti útokom DDOS

Pravdepodobne ste pochopili, že tento typ hrozieb je veľmi nebezpečný. A preto je veľmi dôležité poznať metódy a princípy boja a zabrániť distribuovaným útokom.

1. Nastavenie filtračných systémov - Úloha pre administrátorov systému a poskytovateľov hostingu
2. Získavanie ochranných systémov z útokov DDOS (softvérové \u200b\u200ba hardvérové \u200b\u200bkomplexy)
3. Používanie zoznamov brány firewall a prístupu (ACL) - toto opatrenie je zamerané na filtrovanie podozrivého premávky.
4. Zvýšiť dostupné zdroje a inštalácia rezervačných systémov
5. Technické a právne opatrenia. Až príťažlivosti páchateľa na trestnú zodpovednosť

Video do článku:

Záver

Teraz pravdepodobne chápete všetko nebezpečenstvo útokov DDOS. Na zabezpečenie bezpečnosti svojich zdrojov je potrebné pristupovať veľmi zodpovedne, bez šetriaceho času, silám a peňazí. Je ešte lepšie mať samostatný špecialista alebo celé oddelenie informačnej bezpečnosti.

Trvalé čitatelia veľmi často položili otázku, pretože môžete upraviť text, ak súbor má formát PDF. Odpoveď nájdete v materiáli -

Na ochranu vašich údajov môžete použiť celý rad opatrení. Jedna z týchto možností je

Ak potrebujete upraviť svoje online video, pripravili sme prehľad o populárnom.

Prečo sa pozrite na informácie o iných stránkach, ak sa od nás zozbiera?

Boj s útokmi DDOS - práca je nielen zložitá, ale aj fascinujúca. Nie je prekvapujúce, že každý SYSADMIN sa najprv snaží organizovať obranu na vlastné - najmä preto, že je to stále možné.

Rozhodli sme sa vám pomôcť s týmto ťažkým a publikovať krátke, triviálne a univerzálne rady o ochrane vašich stránok pred útokmi. Znížené recepty vám nepomôžu vyrovnať sa s akoukoľvek útokom, ale z väčšiny nebezpečenstiev budú spasení.

Správne prísady

Krytá pravda je, že mnohé stránky môžu dať každého, kto chce používať pomalý útok, pevne zabíjať Apache, alebo usadzovanie tzv Všetky naše budúce tipy na ochranu DDO sú založené na nasledujúcich dôležitých podmienkach.

1. Odpojte systém Windows Server

Prax navrhuje, aby stránka, ktorá funguje na Windows (2003 alebo 2008, nie je bez ohľadu na to), v prípade DDoS je odsúdený na. Dôvod zlyhania spočíva v Windows Network Stack: Keď sa pripojenie stanú veľa, server určite začne reagovať zle. Nevieme, prečo Windows Server funguje v takýchto situáciách tak renomovaných, ale narazili na to viac ako raz a nie dva. Z tohto dôvodu tento článok pôjde o prostriedky ochrany proti útokom DDO v prípade, keď sa server točí na Linuxe. Ak ste šťastný majiteľ s moderným jadrom (počnúc od 2.6), potom bude iptables a nástroje iPset použijú ako primárny nástroj Toolkit (rýchlo pridať IP adresy), s ktorým môžete rýchlo zakázať roboty. Ďalším kľúčom k úspechu je správne varená sieťová zásoba, ktorú budeme tiež hovoriť.

2. Časť s Apache

Druhou dôležitou podmienkou je odmietnutie Apache. Ak ešte nie ste hodinu, stojí za to Apache, potom aspoň vložte do pamäte caching proxy pred ňou - Nginx alebo LightTPD. Apache "Je mimoriadne ťažké dať súbory, a ešte horšie, je to na základnej úrovni (to znamená, že nie je ohrozený pre nebezpečný spomalený útok, ktorý vám umožní ukončiť server takmer z mobilného telefónu. Bojovať proti rôznym Typy Shulloris, Apache Používatelia prišli s patch prvým anti-Slowlorisdiff, potom mod_noloris, potom mod_antiloris, mod_limitipconn, mod_reqtimeout ... ale ak chcete dobre spať v noci, je ľahšie vziať http server, nezraniteľný spomalenie na úrovni kódu architektúry. Preto sú všetky naše ďalšie recepty založené na predpoklade, že na prednej strane sa používa nginx.

Bojovať z DDOs.

Čo ak ddos \u200b\u200bprišiel? Tradičnou technikou sebaobrany je čítať súbor protokolu HTTP Server, napíšte vzor pre Grep (robotovanie robotov) a zakázať každého, kto spadne pod ňou. Táto technika bude fungovať ... ak máte šťastie. Batnets sú dva typy, obe sú nebezpečné, ale rôznymi spôsobmi. Jeden úplne prichádza na stránku okamžite, druhý je postupne. Prvý prvé zabíja všetko a hneď, ale logy sa objavujú v protokoloch úplne, a ak im zakazujete a ohnite všetky IP adresy, potom ste víťaz. Druhý botnet položí lokalitu jemne a starostlivo, ale bude musieť zakázať, možno počas dňa. Je dôležité pochopiť akúkoľvek správcovi: Ak sa plánuje bojovať proti grep, potom musíte byť pripravení venovať boj proti útoku na pár dní. Nižšie sú uvedené rady, kde môžete dať slamky vopred, aby to nebolo tak bolestivé pádu.

3. Použite modul testcookie

Možno najdôležitejší, účinný a prevádzkový recept tohto článku. Ak DDOS príde na vaše stránky, potom sa môže stať najúčinnejším spôsobom, ktorý sa môže stať modul @KYPRIZEL COEXLER. Myšlienka je jednoduchá. Najčastejšie sú roboty, ktoré implementujú povodne HTTP, skôr hlúpy a nemajú http cookies a presmerovanie mechanizmov. Niekedy pokročilejší - taký môže používať cookies a presmerovanie procesov, ale takmer nikdy nedosadzujte s plnohodnotným javascriptovým motorom (aj keď je stále častejšie a častejšie). Testcokie-Nginx funguje ako rýchly filter medzi robotmi a backend počas L7 DDOS útoku, čo vám umožní odrezať dotazy na odpadky. Čo je súčasťou týchto kontrol? Či je Klient schopný vykonať presmerovanie HTTP, či JavaScript podporuje, či je prehliadač, pre ktorý sa vydáva (pretože JavaScript je iný, a ak klient hovorí, že on, povedzme Firefox, potom môžeme skontrolovať). Kontrola je implementovaná s cookies pomocou rôznych metód:

• "Set-cookie" + presmerovanie s 301 http umiestnením;
• "SET-COOKIE" + presmerovanie s obnovením HTML Meta;
• Ľubovoľná šablóna a môžete použiť JavaScript.

Aby sa zabránilo automatickému analyzácii, testovanie cookies môžu byť šifrované pomocou AES-128 a neskôr sa dešifruje na strane klienta JavaScript. V novej verzii modulu bolo možné nainštalovať kuchári cez blesk, ktorý vám tiež umožňuje efektívne rezané roboty (ktoré blesk zvyčajne nie je podporovaný), ale tiež tiež blokuje prístup pre mnoho legitímnych užívateľov (vlastne všetky mobilné zariadenia ). Je pozoruhodné, že začnite používať testccookie-nginx extrémne jednoduchý. Najmä vývojár vedie niekoľko zrozumiteľných príkladov použitia (pre rôzne prípady útoku) so vzorkami konfigurácií pre NGINX.

Okrem výhod, testccookie má nevýhody:

• znižuje všetky roboty, vrátane GoogleBot. Ak plánujete opustiť testccookie na priebežnom základe, uistite sa, že z výsledkov vyhľadávania nezmiznete;
• vytvára problémy s užívateľmi s odkazmi na prehliadače, W3M a ich radi;
• nespokojuje sa z robotov vybavených plnohodnotným prehliadačom s Javascriptom.

Stručne povedané, testcookie_module nie je univerzálny. Ale z množstva vecí, ako napríklad primitívne nástroje pre Java a C #, pomáha. Takže ste znížili časť hrozby.

4. Kód 444.

Účelom DDOS'ERS sa často stáva najznámejšou časťou siete. Typickým príkladom je vyhľadávanie, ktoré vykonáva komplexné dotazy do databázy. Samozrejme, útočníci môžu využiť to, pričom narazili niekoľko desiatok tisícov požiadaviek na vyhľadávač naraz. Čo môžeme urobiť? Dočasne vypnite vyhľadávanie. Nechajte zákazníci schopní vyhľadávať potrebné informácie zabudovanými prostriedkami, ale celá hlavná stránka zostane v pracovnom stave, kým nenájdete koreň všetkých problémov. NGINX podporuje neštandardný kód 444, ktorý vám umožní jednoducho zatvoriť pripojenie a nie dať nič v reakcii:

Umiestnenie / vyhľadávanie (návrat 444;)

Je teda možné, napríklad rýchlo implementovať filtrovanie na adrese URL. Ak ste presvedčení, že požiadavky na umiestnenie / vyhľadávanie prichádzajú len z robotov (napríklad vaša dôvera je založená na tom, že nie je žiadny oddiel / vyhľadávanie na vašich stránkach), môžete nainštalovať balík iPset a zákaz botov s jednoduchým plášťom Skript:

IPset -n Ban Iphash chvost -f Access.log | Kým READ LINE; Do echo "$ line" | cut -d "" "-F3 | CUT -D -D" "-F2 | Grep -Q 444 && IPset -A zákaz" $ (L %% *) ";

Ak je formát protokolového súboru neštandardný (nie combo), alebo je potrebné zakázať iné príznaky ako stav odpovede, môže byť potrebné nahradiť rezu, aby pravidelne expresné.

5. Banya od geoda

Non-štandardný kód odpovede 444 môže tiež prichádzať pre operačný zákaz klientov na geo-akvizície. Sotva môžete obmedziť jednotlivé krajiny, ktoré sú nepohodlné. Povedzme, sotva v online obchode kamery z Rostov-on-Don existuje mnoho používateľov v Egypte. To nie je veľmi dobrý spôsob (len povedzte - nechutné), pretože údaje GeOIP sú nepresné, a Rostovs niekedy lietajú do Egypta na odpočinok. Ale ak nemáte čo stratiť, potom postupujte podľa pokynov:

1. Pripojte sa k modulu NGINX GEOIP (wiki.nginx.org/httpgeoipmodule).
2. Zobrazte informácie Geotherov v Access log.
3. Ďalej, modifikovať vyššie uvedený skript Shell, Progrep AccessLog Nginx a pridajte scatelované geografické znaky zákazníkov do zákazu.

Ak sú napríklad roboty z väčšej časti z Číny, môže pomôcť.

6. Neurálna sieť (POC)

Nakoniec môžete opakovať skúsenosť hry @SaveTeterbtz, ktorá vzala neurónové siete Pybrain, plnené prihlásenie do neho a analyzovali požiadavky (Habrahabr.ru/post/136237). Metóda, ktorá nie je univerzálna :). Ale ak naozaj poznáte interiéry vašich stránok - a vy, ako správca systému, by mal - potom máte šancu, že vo väčšine tragických situáciách takýto súbor nástrojov založený na neurónových sieťach, učenie a zhromaždení vopred vám pomôžu . V tomto prípade je mimoriadne užitočné mať prístup.Log pred začiatkom DDOs "A, ako to opisuje takmer 100% legitímnych zákazníkov, a preto je veľký súbor údajov pre odbornú prípravu neurónovej siete. Okrem toho oči v bare nie sú vždy viditeľné.

Diagnostika problému

Stránka nefunguje - prečo? Jeho ddosaim alebo je to Jag chyba, ktorú si všimol programátor? Nevadí. Nehľadajte odpoveď na túto otázku. Ak si myslíte, že vaše stránky môžu zaútočiť, kontaktné spoločnosti, ktoré poskytujú ochranu pred útokmi - niekoľko služieb anti-DDOS na prvý deň po pripojení voľné - a nestrácajú viac času na hľadaní príznakov. Zamerajte sa na problém. Ak stránka pracuje pomaly alebo sa vôbec neotvorí, to znamená, že nemá niečo v poradí s výkonom, a - bez ohľadu na to, či útok DDOS idú alebo nie, - vy, ako profesionál, sú povinní pochopiť, čo spôsobilo to. Opakovane sme boli svedkami toho, ako spoločnosť, ktorá zažíva ťažkosti s prácou vašich stránok, pretože DDOS útoku, namiesto toho, aby hľadelo slabé miesta v mieste motore, snažil sa posielať vyhlásenia ministerstvu vnútorných záležitostí nájsť a potrestať útočníkov. Nedovoľte, aby takéto chyby. Hľadanie cybercriminálov je ťažké a dlhodobý proces komplikovaný štruktúrou a princípmi internetu, a problém s prácou stránky je potrebné rýchlo vyriešiť. Urobte technických špecialistov, aby zistili, aká príčina padnutia na padnutie stránky lži a aplikácia bude schopná písať právnikov.

7. Použite profilovač a debugger

Pre najbežnejšiu tvorbu webovej stránky - PHP + MySQL - Bottlenck je možné podpísať pomocou nasledujúcich nástrojov:

• xdebug Profiler ukáže, ktorý volá aplikáciu najviac času;
• vstavaný debugger APD a ladiaci výstup v protokole chýb pomôže zistiť, ktorý kód vykonáva tieto výzvy;
• vo väčšine prípadov je pes pochovaný v zložitosti a hmotnosti žiadostí do databázy. Tu pomôže vysvetliť SQL databázu vloženú do motora.

Ak je stránka klamaná náhodou a nestratíte nič, vypnite sieť, pozrite sa na protokoly, skúste ich stratiť. Ak nie leží, prejdite cez stránky, pozrite sa na základňu.

Príklad je poskytovaný pre PHP, ale myšlienka je platná pre akúkoľvek platformu. Softvérové \u200b\u200bprodukty pre vývojárov na akomkoľvek programovacom jazyku by mali byť schopné rýchlo aplikovať debugger a profiler. Prax vopred!

8. Analyzujte chyby

Analyzujte objem premávky, čas odozvy servera, počet chýb. Na tento účel nájdete v protokoloch. V NGINX je čas odozvy servera fixovaný v protokole s dvoma premennými: požiadavka_time a upstream_response_time. Prvým je plný úväzok vykonania dotazu, vrátane oneskorenia siete medzi užívateľom a serverom; Druhé správy, koľko backend (Apache, PHP_FPM, UWSGI ...) slúžil ako žiadosť. Upstream_response_time hodnota je mimoriadne dôležitá pre stránky s veľkým počtom dynamického obsahu a aktívnej komunikácie s databázou, nemôžu byť zanedbané. Takáto konfigurácia môžete použiť ako formát denníka:

Log_format xaddr - $ remote_user [$ time_local] "" "$ questing" $ status $ bod_bytes_sent "" $ http_referer "" $ http_user_agent "$ http_ser_ser_agen_response_time" $ \u200b\u200bupstream_response_time ";

Toto je kombinovaný formát s pridanými časovacími poliami.

9. Sledujte počet žiadostí za sekundu

Pozrite sa aj na počet žiadostí za sekundu. V prípade NGINX môžete túto hodnotu nasledujúceho príkazu shellu zhruba odhadnúť (premenná ACCESS_LOG obsahuje cestu k prihlásiu do dotazu NGINX v kombinovanom formáte):

ECHO $ \u200b\u200b(($ (FGGEP -C "$ (env lc_all \u003d c dátum [Chránené e-mail]$ (($ (DATE +% S) -60)) +% D /% B /% Y:% H:% M) "" $ ACCESS_LOG ") / 60))

V porovnaní s normálnym pre tento čas sa počet žiadostí za sekundu môže pád a rast. Rastú v prípade, že prišiel veľký botnet, a jeseň, ak by víťazný botnet zabalila na stránke, čím bola úplne nedostupná pre legitímnych používateľov, a zároveň nepožiada o statiku a žiadajú o legitímne používatelia. Drop v otázkach je pozorovaný len kvôli statike. Ale jedným alebo iným hovoríme o vážnych zmenách indikátorov. Keď sa to stane náhle - kým sa snažíte vyriešiť problém na vlastnú päsť a ak ho nevideme okamžite v protokole, je lepšie rýchlo skontrolovať motor a obrátiť sa na špecialistov paralelne.

10. Nezabudnite na TCPDUMP

Mnoho ľudí zabudne, že Tcpdump je úžasný diagnostický nástroj. Dám pár príkladov. V decembri 2011 bola objavená chyba v Linuxovom jadre, keď otvorila pripojenie TCP, keď sa zobrazili vlajky SYN a RST TCP segmentové segmenty. Prvý BAGEPORT poslal správcu systému z Ruska, ktorej zdroj bol napadnutý touto metódou, - útočníci sa dozvedeli o zraniteľnostiach skôr ako celý svet. Je zrejmé, že takáto diagnóza pomohla. Ďalší príklad: Nginx má jeden, nie je veľmi pekný majetok - zapíše v protokole až po úplnom požiadavke je plne pochopený. Existujú situácie, keď sa stránka leží, nič nefunguje a nie je nič v protokoloch. Všetko, pretože všetky požiadavky, ktoré práve preberajú server, ešte nie sú splnené. Tcpdump tu pomôže.

Je tak dobré, že som odporučil ľuďom, aby som nepoužívali binárne protokoly predtým, ako sa dobylieva, že všetko je v poriadku, - pretože textové protokoly budú dlhovať Tcpdump "OM je ľahké a binárne - nie. Avšak, sniffer je dobrý ako prostriedok Diagnóza - ako prostriedok na udržanie výroby "a je hrozný. To môže ľahko stratiť niekoľko paketov naraz a pokaziť vám históriu používateľa. Je vhodné sledovať jeho záver, a to bude v poriadku pre manuálnu diagnostiku a zákaz, ale snažte sa na ňom založiť nič kritické. Ďalším obľúbeným prostriedkom na "žiadosti o upevnenie" - NGREP - Vo všeobecnosti sa v predvolenom nastavení snaží požiadať v oblasti dvoch gigabajtov nepovažovanej pamäte a potom sa začne znižovať svoje požiadavky.

11. Útok alebo nie?

Ako rozlišovať útok DDOS, napríklad z efekt reklamnej kampane? Táto otázka sa môže zdať zábavná, ale táto téma nie je menej komplikovaná. Existujú dosť zvláštne prípady. V niektorých dobrých chlapci, keď napäté a dôkladne priskrutkované cache, stránka beží na pár dní. Ukázalo sa, že v priebehu niekoľkých mesiacov je táto stránka bez povšimnutia údajmi niektorých Nemcov a pred optimalizáciou cache stránky stránky, títo Nemci boli načítaní všetkými obrázkami na dlhú dobu. Keď sa stránka začala vydávať z Kesha okamžite, topánok, ktorý nemal čas bdelý, začal ich okamžite zbierať. Bolo to ťažké. Prípad je obzvlášť ťažké z dôvodu, že ak sami zmenilo nastavenie (zapnuté do pamäte cache) a stránky po tom, kto prestal pracovať, potom kto je podľa vášho názoru viniť? Presne. Ak sledujete prudký nárast počtu požiadaviek, potom sa pozrite napríklad v službe Google Analytics, ktorý prišiel na ktoré strany.

Tuning webového servera

Aké ďalšie sú kľúčové body? Samozrejme, môžete dať "predvolené" ngginx a dúfam, že budete v poriadku. Vždy sa však nestane dobre. Preto správca akéhokoľvek servera musí venovať veľa času na jemné ladenie a ladenie nginx.

12. Limitné zdroje (veľkosti vyrovnávacej pamäte) v NGINX

Čo potrebujete najprv zapamätať? Každý zdroj má limit. V prvom rade sa týka RAM. Veľkosti hlavičiek a všetkých použitých pufrov je preto potrebné obmedziť na primerané hodnoty na klientovi a serveri úplne. Musia byť predpísané v NGINX CONFIGU.

• client_header_buffer_size__ Určuje veľkosť vyrovnávacej pamäte na čítanie hlavičky žiadosti o klienta. Ak v tomto pufri nie je úplne umiestnená dotazová čiara alebo pole dotazov, sa prideľujú väčšie vyrovnávacie pamäte špecifikované značkou veľkokapacitných smernice LACKO_CLIENT_HEADER_BUFFERS.
• veľký_client_head_bufers Nastaví maximálnu veľkosť čísla a vyrovnávacej pamäte na čítanie veľkej hlavičky požiadavky na klienta.
• client_body_buffer_size Určuje veľkosť vyrovnávacej pamäte na čítanie karosérie požiadaviek klienta. Ak je telo dotazu väčšie ako požadovaný pufor, potom celé telo dotazu alebo len časť je zapísaná do dočasného súboru.
• client_max_body_size Určuje maximálnu povolenú veľkosť tela požiadavky klienta, zadaná v poli "Dĺžka obsahu" hlavičky dotazu. Ak je veľkosť špecifikovaná, potom klient vráti 413 chybu (žiadosť o subjekt príliš veľký).

13. Prispôsobte časové limity v NGINX

Zdroj je čas. Nasledujúcim dôležitým krokom by preto malo byť inštalácia všetkých časových limitov, ktoré opäť je veľmi dôležité, aby sa pohyboval v nastaveniach NGINX.

• reset_timedout_connection; Pomáha bojovať s zásuvkami visiacimi v fáze čakania.
• client_header_Timeout. Určuje časový limit pri čítaní hlavičky požiadavky klienta.
• client_body_Timeout. Určuje časový limit pri čítaní karosérie požiadaviek klienta.
• keepalive_timeout. Nastaví časový limit, počas ktorého nebude držané spojenie s klientom zatvorené zo strany servera. Mnohí sa bojí pýtať veľký význam tu, ale nie sme si istí, že tento strach je oprávnený. Voliteľne môžete nastaviť hodnotu časového limitu v hlavičke HTTP-ALIVE HTTP, ale Internet Explorer je známy pre ignorovanie tejto hodnoty.
• send_timeout. Určuje časový limit pri prechode na odpoveď na klienta. Ak po tomto čase klient nič neakceptuje, pripojenie bude zatvorené.

Ihneď otázka: Aké parametre vyrovnávacích pamätí a časových čias sú správne? Nie je tu žiadny univerzálny recept, v každej situácii sú ich vlastné. Existuje však osvedčený prístup. Musíte nastaviť minimálne hodnoty, na ktoré si stránka zostane v pracovnom stave (v mieroch), to znamená, že stránky sú uvedené a požiadavky sa spracúvajú. Toto je určené len testovaním - z desktopov a z mobilných zariadení. Algoritmus pre vyhľadávanie hodnôt každého parametra (veľkosť vyrovnávacej pamäte alebo časový limit):

1. Vykazujem matematicky minimálnu hodnotu parametra.
2. Spustite testovací beh stránky.
3. Ak celá funkcia lokality funguje bez problémov - je definovaný parameter. Ak nie, zvýšime hodnotu parametra a prejdite na článok 2.
4. Ak hodnota parametra presiahne aj predvolenú hodnotu, je dôvodom diskusie v tíme Developer.

V niektorých prípadoch by audit týchto parametrov mal viesť k refaktoritu / redesign používateľa. Napríklad, ak stránka nefunguje bez troch minút ajax dlhých žiadostí o hlasovanie, potom nemusíte zvýšiť časový limit, ale dlhé hlasovanie nahradiť niečo iné - botnety v 20 tisíc automobiloch visí na požiadanie o tri minúty, ľahko Zabite priemerný lacný server.

14. Obmedzte zlúčeniny v NGINX (limit_conn a limit_req)

NIGHINX má tiež schopnosť obmedziť pripojenia, požiadavky a tak ďalej. Ak si nie ste istí, ako sa určitá časť vašej stránky správa, ideálne, musíte ho otestovať, pochopiť, koľko požiadaviek bude vydržať a zaregistrovať ho v konfigurácii NGINX. Je to jedna vec, keď sa stránka leží a môžete prísť a zdvihnúť. A ďalšia vec je - keď pôjde do takej miery, že server šiel swap. V tomto prípade je často ľahšie reštartovať, než čakať na jeho triumfálne návrat.

Predpokladajme, že stránka má sekcie s rozprávanými menami / sťahovaním a / vyhľadávaním. Zároveň sme:

• nechceme roboty (alebo ľudí s ohromenými rekurzívnymi manažérmi na stiahnutie), aby nám priniesol tabuľku pripojení TCP s ich sťahovaním;
• nechceme roboty (alebo lietajúce žeriavy vo vyhľadávačoch) vyčerpané výpočtové zdroje DBMS viacerými vyhľadávacími dopytami.

Na tieto účely sa použije konfigurácia nasledujúceho typu:

Http (limit_conn_zone $ binary_REMOTE_ADDR ZONE \u003d Download_c: 10m; limit_req_zone $ BINING_REMOTE_ADDR ZONE \u003d SEARCH_R: 10m Hľadanie \u003d 1r / s; server (umiestnenie / download / (limit_conn sťahovanie) search_r burst \u003d 5; iná konfigurácia umiestnenia)))

Zvyčajne má priamy význam na vytvorenie obmedzení limit_conn a obmedzenia_req pre miesta, v ktorých sú drahé skripty (v príklade je určené vyhľadávanie, a to nie je ziskové). Obmedzenia musia byť zvolené, vedené výsledkami zaťaženia a regresného testovania, ako aj zdravým rozumom.

V príklade dávajte pozor na parameter 10m. Znamená to, že výpočet tohto limitu zvýrazní slovník s pufrom 10 megabajtov a megabajtom viac. V tejto konfigurácii vám to umožní sledovať 320 000 TCP relácie. Ak chcete optimalizovať pamäť obsadenú ako kľúč v slovníku, $ binary_Remote_addr premenná, ktorá obsahuje IP adresu používateľa v binárnom formulári a berie menej pamäte ako obvyklá premenná reťazca $ Remote_addr. Treba poznamenať, že druhý parameter smernice LIMNT_REQ_ZONE môže byť nielen IP, ale aj akákoľvek iná premenná nginx, ktorá je k dispozícii v tomto kontexte, je napríklad v prípade, keď nechcete poskytnúť viac šetriaceho režimu proxy, môžete Použite $ BINARY_REMOTE_ADDR $ HTTP_USER_AGENT alebo $ BINING_COOKIE_MOTE_ADDR $ http_cookie_myc00kiez - ale je potrebné použiť takéto návrhy s opatrnosťou, pretože na rozdiel od 32-bitové $ binary_Remote_addr, tieto premenné môžu byť výrazne dlhšie a "10m" deklarované môže byť udržiavané.

Trendy v DDO.

1. Neustále rastie silu útokov siete a dopravných úrovní. Potenciál priemerného záchvatu syn-povodňového útoku už dosiahol 10 miliónov balíkov za sekundu.
2. Špeciálny dopyt Nedávno sa teší útoky na DNS. UDP povodne platné DNS požiadavky s spoof'led zdrojovými IP adresy je jednou z najbežnejších implementácií a komplikovaných, pokiaľ ide o boj proti útokom. Mnohé veľké ruské spoločnosti (vrátane hostingu) zažili v nedávnych problémoch v dôsledku útokov na svojich serveroch DNS. Ďalej, tie takéto útoky budú viac, a ich moc pôjde.
3. Súdiac podľa externých funkcií, väčšina botnetov nie je spravovaná centrálne, ale cez sieť peer-to-peer. To dáva útočníkom možnosť synchronizovať akcie botnetu v čase - ak už skôr manažérske tímy rozšírili na botnet 5 tisíc áut pre desiatky minút, teraz účet sa chystá na sekundy, a vaše stránky môžu neočakávane zažiť okamžité fotografické zvýšenie počtu požiadaviek.
4. Podiel robotov, vybavený plnohodnotným prehliadačom s Javascriptom, je stále malý, ale neustále rastie. Takýto útok je ťažšie klepal z vstavaných remesiel, takže sebahodnotenie musí nasledovať tento trend so strachom.

príprava OS.

Okrem jemného nastavenia NGINX sa musíte starať o nastavenia stohu siete systému. Aspoň - okamžite zapnite net.ipv4.tcp_syncookies v Systl, aby ste sa chránili pred útokom syn-potravy malej veľkosti.

15. TYI YARD

Dávajte pozor na ďalšie pokročilejšie nastavenia sieťovej časti (jadro) opäť časom a pamäťou. Existuje dôležitejšie a menej dôležité. Po prvé, musíte venovať pozornosť:

• net.ipv4.tcp_fin_timeout. Čas, ktorý zásuvka strávi v fáze TCP-2-2 TCP (čaká na segment FIN / ACK).
• net.ipv4.tcp _ (, R, W) MEM TCP Zásuvky, ktoré dostávajú veľkosť vyrovnávacej pamäte. Tri hodnoty: Minimálna, predvolená hodnota a maximum.
• net.core. (R, W) MEM_MAX Rovnako ako TCP pufre.

S kanálom 100 Mbps sú predvolené hodnoty vhodné; Ale ak máte aspoň gigabit v candide, potom je lepšie použiť niečo ako:

Systl -w -w net.core.rmem_max \u003d 8388608 Systl -w NET.CORE.WMEM_MAX \u003d 8388608 SYSTL -W NET.IPV4.TCP_RMEM \u003d "4096 87380 8388608" SYSTL -W -W NET.IPV4.TCP_WMEM \u003d "4096 65536 8388608" Systl - w nt.ipv4.tcp_fin_timeout \u003d 10

16. Revízia / Proc / SYS / NET / **

Ideálne naučiť sa všetky parametre / proc / sys / net / **. Je potrebné vidieť, ako sa líšia od predvoleného nastavenia a pochopia, ako primerane vystavené. Developer Linux (alebo správca systému), ktorý demontuje internetový servis, ktorý je predmetom, a chce ho optimalizovať, by si mali prečítať dokumentáciu všetkých parametrov zásobníka jadrovej energie so záujmom. Možno, že nájde premenné špecifické pre jeho stránku, čo pomôže nielen chrániť miesto pred votrelcami, ale tiež urýchliť svoju prácu.

Neboj sa!

Úspešné DDOS-útoky Deň Po dni, E-Commerce uhasí médiá, médiá, ktoré sú poslané najväčšie platobné systémy. Milióny užívateľov internetu strácajú prístup k kritickým informáciám. Hrozba je naliehavá, takže sa ho musíte stretnúť v plnení. Vykonajte svoje domáce úlohy, nebojte sa a udržujte svoju hlavu. Nie ste prvý a nie posledný, kto sa stretne s útokom DDOS na ich webovej stránke, a vo vašej silu, vedenej ich vedomostiam a zdravým rozumom, znížiť následky útoku na minimum.

Útok DDOS. Vysvetlenie a príklad.

Ahojte všetci. Jedná sa o blog Computer76 a teraz ďalší článok o základoch hackerového umenia. Dnes budeme hovoriť o tom, čo DDOS útok je jednoduchými slovami a príkladmi. Pred ponáhľaním sa so špeciálnymi podmienkami bude úvod, ktorý je pre každého pochopiteľný.

Prečo je DDOS útok?

WiFi hacking sa používa na vyzdvihnutie hesla drôtu. Útoky vo formulári "umožní počúvať internetovú prevádzku. Analýza zraniteľnosti s následným zaťažením konkrétneho systému umožňuje zachytiť cieľový počítač. Čo robí DDOS útok? Jeho cieľom je v konečnom dôsledku - výber práv na vlastné zdroje na legitímnom majiteľa. Nemyslím na to, že stránka alebo blog nepatrí. To je v tom zmysle, že v prípade úspešného útoku na vašich stránkach stratiť možnosť kontrolovať. Aspoň na chvíľu.

Avšak, v modernej interpretácii, útok DDOS sa najčastejšie používa na porušovanie normálnej prevádzky akejkoľvek služby. Skupiny hackerov, ktorých mená sú neustále na vypočutí, robia útoky na hlavné vládne alebo verejné stránky s cieľom upozorniť na jednu alebo iné problémy. Ale takmer vždy pre takéto útoky je čisto mercantile záujem: práca konkurentov alebo jednoduchých žartov s úplne neslušne nechránenými miestami. Hlavným konceptom DDO je, že obrovské množstvo používateľov sú nakreslené na stránku naraz, alebo skôr dotazy na strane počítačov - roboty, čo robí zaťaženie na serveri vo vzduchoch. Často počujeme výraz "lokalita nie je k dispozícii", ale len málo, ktoré si myslí, že je v skutočnosti v skutočnosti pre toto znenie. No, teraz viete.

DDOS útok - možnosti

Možnosť 1.

hráči dav pri vchode

Predstavte si, že hráte multiplayer online hru. Tisíce hráčov s vami hrajú. A s väčšinou z nich ste oboznámení. Diskutujete o podrobnostiach a strávte tieto akcie. Všetci ste v rovnakom čase prejdite na stránku a vytvorte si znak s rovnakou sadou vlastností. Skupinu na jednom mieste, blokovanie ich počtom súčasne vytvorených znakov prístup k objektom v hre na zvyšok sprchajúcich používateľov, ktorí nie sú podozrivé o vašej tajnej dohode.

Možnosť 2.

Predstavte si, že sa niekto rozhodol prerušiť autobusovú dopravu v meste na konkrétnej trase, aby sa zabránilo cestujúcim svedomí k využívaniu služieb verejnej dopravy. Tisíce vašich priateľov sú zároveň zastaviť na začiatku zadanej trasy a jazdu bezcieľne vo všetkých počítačoch z konečného k konekčnému záveru, kým sa peniaze nevyberajú. Výlet sa platí, ale nikto nevychádza na jednu zastávku, okrem cieľového cieľa. A ostatní cestujúci, stojaci na medziľahlých zastávkach, sa smutne pozerajú na odstránenie mikrobusov potom, aby sa naleje do autobusov zaznamenaných. Všetci: Všetci majitelia taxíkov a potenciálni cestujúci.

V skutočnosti tieto možnosti nie sú fyzicky prestavané na život. Avšak, vo virtuálnom svete vašich priateľov, môžu nahradiť počítače nekalých používateľov, ktorí sa neobťažujú aspoň na ochranu počítača alebo notebooku. A taká ohromujúca väčšina. Programy pre nastavenie útoku DDOS. Stojí za to pripomenúť, že takéto opatrenia sú nezákonné. A smiešny pripravený DDOS útok, nezáleží na tom, aký úspech vynaložil, detekuje a trestné.

Ako je útok DDOS?

Kliknite na odkaz na stránke, prehliadač odošle požiadavku na server, aby sa zobrazila požadovaná stránka. Táto požiadavka je vyjadrená ako dátový paket. A ani jeden, ale celý balík balíčkov! V každom prípade je objem prenášaných údajov na kanáli vždy obmedzený na určitú šírku. A objem dát vrátených serverom je nespokojný viac ako tie, ktoré sú obsiahnuté vo vašej žiadosti. Na serveri trvá silu a prostriedky. Silnejší server, tým drahšie IT náklady pre majiteľa a drahšie služby, ktoré im poskytli. Moderné servery sa ľahko vyrovnávajú s ostro zvýšeným prílevom návštevníka. Ale pre niektorý zo serverov, stále existuje kritické množstvo užívateľov, ktorí sa chcú oboznámiť s obsahom stránky. Čím jasnejšia situácia so serverom, ktorá poskytuje služby pre hosting stránky. Mierne a obeť lokality je odpojená od služby, aby nedošlo k preťaženiu procesorov, ktoré slúžia tisícom iných stránok umiestnených na rovnakom hostingu. Práca stránky sa zastaví, kým sa DDOS útok zastaví. No, predstavte si, že začnete reštartovať všetky strany stránky tisíckrát za sekundu (DOS). A tisíce vašich priateľov robia na našich počítačoch to isté (discibuted DOS alebo DDO) ... Veľké servery sa naučili uznať, že útok DDOS začal a pôsobí proti. Avšak hackeri tiež zlepšujú svoje prístupy. Takže v rámci tohto článku, čo je útok DDOS viac zverejnený, nemôžem vysvetliť.

Čo je to útok DDOS, ktorý sa môžete naučiť a skúsiť práve teraz.

Pozornosť. Ak sa rozhodnete vyskúšať, všetky neuložené údaje sa stratia, tlačidlo sa vrátite na tlačidlo Pre návrat do prevádzkového stavu. Reset.. Ale môžete zistiť, čo presne "cíti" server, ktorý zaútočil. Odkrytý príklad odseku nižšie a teraz - jednoduché príkazy na nadprúdový systém.

• Pre Linux v termináli zadajte príkaz:

:(){ :|:& };:

Systém odmietne pracovať.

• Pre systém Windows navrhujem vytvoriť súbor BAT v notebooku s kódom:

: 1 štart goto 1

Názov typu ddos.bat.

Vysvetlite význam oboch tímov, myslím, že to nestojí za to. To možno vidieť v neozbrojenom vzhľade. Oba tímy robia systém vykonať skript a okamžite ho opakujú, s odkazom na začiatok skriptu. Vzhľadom na rýchlosť vykonania, systém spadá do niekoľkých sekúnd do strhu. Hra., ako vravia, nadmerný.

DDOS útok pomocou programov.

Pre viac zrakového príkladu použite program s nízkym orbitálnym ionovým programom (iónová pištoľ s nízkou dráhou). Alebo Loic. Najviac stiahnuteľná distribúcia sa nachádza na adrese (pracujeme v systéme Windows):

https://sourceforge.net/projects/loic/

Pozor! Váš antivírus musí odpovedať na súbor ako škodlivý. Toto je normálne: už viete, čo sa hojdajú. V databáze podpisov je označená ako povodňový generátor - preložený do ruštiny je to konečný cieľ nekonečných osloví na konkrétnu sieťovú adresu. Osobne som si nevšimol žiadne vírusy ani Trojanov. Ale máte nárok na pochybnosti a odložíte stiahnutie.

Keďže zanedbávajú užívatelia hádzať zdroj na škodlivý súbor, zdroj Forge vám posilní na ďalšiu stránku s priamym odkazom na súbor:

V dôsledku toho som sa podarilo stiahnuť len prostredníctvom.

Okno programu vyzerá takto:

Odsek 1 Vyberte cieľ umožní útočníkovi sa zamerať na konkrétny účel (adresa IP alebo adresa adresa webovej stránky), odsek 3 Možnosti útoku. Umožní vám vybrať napadnutý prístav, protokol ( Metóda.) Z troch TCP, UDP a HTTP. V poli správ TCP / UDP môžete zadať správu pre zaútočili. Po vykonaní útoku začína stlačením tlačidla. IMMA CHARGINA MAH LAZER (Toto je fráza na okraji faulu z populárneho raz komický–mem; \\ T Americká rohož v programe, cez cestu, pomerne pár). Všetko.

Pozor

Touto možnosťou je držať len pre miestny hostiteľa. Preto:

• to je nezákonné proti miestam iných ľudí, a na západ je už naozaj sedí (a preto tu budú čoskoro zasadiť)
• adresa, z ktorej sa povodne prichádza, sa vypočíta rýchlo, sťažujú sa na poskytovateľa a urobí vám upozornenie a pripomíname vám prvú položku
• v sieťach s nízkou šírkou pásma (to znamená vo všetkých domácich), vec nebude fungovať. S sieťou TOR je rovnaká.
• ak ho správne konfigurujete, rýchlo skóre váš komunikačný kanál, poškodenie niekomu. Takže toto je presne možnosť, keď hruška bije boxer, a nie opak. A možnosť s proxy prejde na rovnaký princíp: povodeň na vašej strane nie je rád nikoho.

Čítať: 9 326