Μιλάμε πολύ για επιθέσεις στον ιστότοπο, χακάρισμα, αλλά δεν αναφέραμε το θέμα του DDOS. Σήμερα διορθώνουμε αυτήν την κατάσταση και σας προσφέρουμε πλήρης αναθεώρησητεχνολογίες για την οργάνωση επιθέσεων DDOS και γνωστά εργαλεία για την εκτέλεση επιθέσεων χάκερ.

Μπορείτε να δείτε τη λίστα με τα διαθέσιμα εργαλεία για επιθέσεις DDOS στο KALI εκτελώντας την εντολή:

kali > /usr/share/exploitdb/platforms/windows/dos

Αυτή η εντολή εμφανίζει μια βάση δεδομένων με εκμεταλλεύσεις για επίθεση σε συστήματα Windows.

Για να δείτε τα διαθέσιμα εργαλεία επίθεσης Linux DDOS, πληκτρολογήστε την εντολή:

/usr/share/exploitdb/platforms/Linux/dos.

2.LOIC

The Low Orbit Ion Cannon (LOIC) Κανόνι ιόντων χαμηλής τροχιάς. Ίσως το πιο δημοφιλές πρόγραμμα DDOS. Μπορεί να στείλει μαζικά αιτήματα μέσω πρωτοκόλλων ICMP και UDP, φράσσοντας έτσι το κανάλι στον διακομιστή του θύματος. Η πιο διάσημη επίθεση LOIC πραγματοποιήθηκε από τους Anonymous το 2009 και στράφηκε κατά των PayPal, Visa, MasterCard ως αντίποινα για την αποκοπή του WikiLeaks από το σύστημα συλλογής δωρεών.

Οι επιθέσεις που οργανώνονται με χρήση LOIC μπορούν να αξιοποιηθούν αποκλείοντας πακέτα UDP και ICMP στον εξοπλισμό δικτύου των παρόχων Διαδικτύου. Μπορείτε να κατεβάσετε το ίδιο το πρόγραμμα LOIC δωρεάν στον ιστότοπο. Αυτό το εργαλείο είναι ενεργοποιημένο Βασισμένο στα Windowsκαι η εργασία με αυτό είναι πολύ απλή, καθορίζετε τις τοποθεσίες του θύματος και πατάτε μόνο ένα κουμπί.

2.HOIC

Το HOIC αναπτύχθηκε κατά τη διάρκεια της Operation Payback από την Praetox από την ίδια ομάδα που δημιούργησε το LOIC. Βασική διαφοράείναι ότι το HOIC χρησιμοποιεί το πρωτόκολλο HTTP και το χρησιμοποιεί για να στείλει μια ροή τυχαιοποιημένων αιτημάτων HTTP GET και POST. Είναι σε θέση να επιτεθεί ταυτόχρονα σε 256 τομείς. Μπορείτε να το κατεβάσετε από το .

3. XOIC

Το XOIC είναι ένα άλλο πολύ απλό εργαλείο DDOS. Ο χρήστης πρέπει απλώς να ορίσει τη διεύθυνση IP του θύματος, να επιλέξει το πρωτόκολλο (HTTP, UDP, ICMP ή TCP) και να πατήσει τη σκανδάλη! Μπορείτε να το κατεβάσετε από

5. HULK

6. UDP Flooder

Το UDP Flooder ανταποκρίνεται στο όνομά του - το εργαλείο έχει σχεδιαστεί για να στέλνει πολλαπλά πακέτα UDP σε έναν στόχο. Το UDP Flooder χρησιμοποιείται συχνά σε επιθέσεις DDOS σε διακομιστές παιχνιδιών για την αποσύνδεση των παικτών από τον διακομιστή. Το πρόγραμμα είναι διαθέσιμο για λήψη στη διεύθυνση.

7. RUDY

8. ToR's Hammer

ToR's Hammer δημιουργήθηκε για να λειτουργεί σε όλη την επιφάνεια δικτύου, προκειμένου να επιτευχθεί μεγαλύτερη ανωνυμία του εισβολέα. Το πρόβλημα με αυτό το εργαλείο είναι ότι το δίκτυο TOR είναι αρκετά αργό και ως εκ τούτου μειώνει την αποτελεσματικότητα μιας επίθεσης DDOS. Μπορείτε να κάνετε λήψη αυτού του προγράμματος DDOS από το Packet Storm ή .

9. Πυλωρής

Το Pyloris είναι ένα άλλο εργαλείο DDoS που χρησιμοποιεί μια νέα προσέγγιση. Επιτρέπει σε έναν εισβολέα να δημιουργήσει το δικό του μοναδικό Αίτημα HTTP. Στη συνέχεια, το πρόγραμμα θα προσπαθήσει να διατηρήσει τη σύνδεση TCP ανοιχτή χρησιμοποιώντας τέτοια αιτήματα, μειώνοντας έτσι τον αριθμό των διαθέσιμων συνδέσεων στον διακομιστή. Όταν το όριο σύνδεσης ενός διακομιστή φτάσει στο όριο του, ο διακομιστής δεν μπορεί πλέον να εξυπηρετεί συνδέσεις και η τοποθεσία καθίσταται μη διαθέσιμη. Αυτό το εργαλείο είναι διαθέσιμο για δωρεάν λήψη από τον ιστότοπο.

10. OWASP Switchblade

Το Open Web Application Security Project (OWASP) και η ProactiveRISK ανέπτυξαν ένα εργαλείο Εργαλείο Switchblade DoSγια τη δοκιμή εφαρμογών WEB για αντίσταση σε επιθέσεις DDoS Έχει τρεις τρόπους λειτουργίας: 1. SSL Half-Open, 2. HTTP Post και 3. Slowloris. Μπορείτε να το κατεβάσετε για έλεγχο από τον ιστότοπο OWASP.

11. ΝΤΑΒΟΣΕΤ

12. GoldenEye HTTP DoS Tool

13.THC-SSL-DOS

Αυτό το πρόγραμμα DDOS (συμπεριλαμβάνεται με το Kali) διαφέρει από τα περισσότερα εργαλεία DDOS στο ότι δεν χρησιμοποιεί εύρος ζώνης Internet και μπορεί να χρησιμοποιηθεί από έναν υπολογιστή. Το THC-SSL-DOS εκμεταλλεύεται μια ευπάθεια στο πρωτόκολλο SSL και μπορεί να διακόψει τη λειτουργία του διακομιστή προορισμού. Εκτός βέβαια και αν έχει αυτή την ευπάθεια. Μπορείτε να κάνετε λήψη του προγράμματος από τον ιστότοπο της THC ή να χρησιμοποιήσετε το KALI Linux όπου αυτό το εργαλείο είναι ήδη εγκατεστημένο.

14. DDOSIM – Εξομοιωτής DDoS επιπέδου 7

Εδώ τελειώνει η κριτική μας, αλλά στο μέλλον θα επιστρέψουμε στο θέμα των επιθέσεων DDOS στις σελίδες του ιστολογίου μας.

Η καταπολέμηση των επιθέσεων DDoS δεν είναι μόνο δύσκολη δουλειά, αλλά και συναρπαστική. Δεν προκαλεί έκπληξη το γεγονός ότι κάθε διαχειριστής συστήματος προσπαθεί πρώτα απ 'όλα να οργανώσει την άμυνα μόνος του - ειδικά επειδή αυτό είναι ακόμα δυνατό.

Αποφασίσαμε να σας βοηθήσουμε σε αυτό το δύσκολο θέμα και να δημοσιεύσουμε μερικές σύντομες, ασήμαντες και μη καθολικές συμβουλές για την προστασία του ιστότοπού σας από επιθέσεις. Οι συνταγές που δίνονται δεν θα σας βοηθήσουν να αντιμετωπίσετε οποιαδήποτε επίθεση, αλλά θα σας προστατεύσουν από τους περισσότερους κινδύνους.

Τα σωστά συστατικά

Η σκληρή αλήθεια είναι ότι ο καθένας μπορεί να καταργήσει πολλούς ιστότοπους χρησιμοποιώντας την επίθεση Slowloris, η οποία σκοτώνει εντελώς τους Apache, ή οργανώνοντας μια λεγόμενη πλημμύρα SYN χρησιμοποιώντας ένα αγρόκτημα εικονικούς διακομιστές, ανυψώθηκε σε ένα λεπτό στο Amazon EC2 cloud. Όλες οι περαιτέρω συμβουλές μας για την προστασία DDoS do-it-yourself βασίζονται στις ακόλουθες σημαντικές προϋποθέσεις.

1. Σταματήστε τη χρήση του Windows Server

Η πρακτική υποδηλώνει ότι ένας ιστότοπος που εκτελείται σε Windows (2003 ή 2008 - δεν έχει σημασία) είναι καταδικασμένος σε περίπτωση DDoS. Ο λόγος για την αποτυχία βρίσκεται στη στοίβα δικτύου των Windows: όταν υπάρχουν πολλές συνδέσεις, ο διακομιστής αρχίζει σίγουρα να αποκρίνεται άσχημα. Δεν ξέρουμε γιατί Windows Serverσε τέτοιες καταστάσεις λειτουργεί τόσο αηδιαστικά, αλλά το έχουμε συναντήσει περισσότερες από μία ή δύο φορές. Για το λόγο αυτό, αυτό το άρθρο θα επικεντρωθεί στα μέσα προστασίας από επιθέσεις DDoS στην περίπτωση που ο διακομιστής εκτελείται σε Linux. Εάν είστε ο τυχερός κάτοχος ενός σχετικά σύγχρονου πυρήνα (ξεκινώντας από το 2.6), τότε τα κύρια εργαλεία θα είναι τα iptables και τα βοηθητικά προγράμματα ipset (για γρήγορη προσθήκη διευθύνσεων IP), με τα οποία μπορείτε να απαγορεύσετε γρήγορα τα bots. Ένα άλλο κλειδί για την επιτυχία είναι μια σωστά προετοιμασμένη στοίβα δικτύου, για την οποία θα μιλήσουμε επίσης αργότερα.

2. Χωρίστε με τους Apache

Η δεύτερη σημαντική προϋπόθεση είναι η εγκατάλειψη των Apache. Εάν εκτελείτε Apache, τότε τουλάχιστον εγκαταστήστε έναν διακομιστή μεσολάβησης προσωρινής αποθήκευσης μπροστά του - nginx ή lighttpd. Το Apache είναι εξαιρετικά δύσκολο να εξυπηρετήσει αρχεία και, το ακόμη χειρότερο, είναι σε θεμελιώδες επίπεδο (δηλαδή, ανεπανόρθωτα) ευάλωτο στην πιο επικίνδυνη επίθεση Slowloris, η οποία σας επιτρέπει να καταρρίψετε τον διακομιστή με σχεδόν κινητό τηλέφωνο. Για την καταπολέμηση διαφόρων τύπων Slowloris, οι χρήστες Apache έφτιαξαν πρώτα την ενημέρωση κώδικα Anti-slowloris.diff, μετά mod_noloris, μετά mod_antiloris, mod_limitipconn, mod_reqtimeout... Αλλά αν θέλετε να κοιμάστε ήσυχοι τη νύχτα, είναι πιο εύκολο να χρησιμοποιήσετε έναν διακομιστή HTTP που είναι άτρωτο στον Slowloris σε αρχιτεκτονικό επίπεδο κώδικα. Επομένως, όλες οι περαιτέρω συνταγές μας βασίζονται στην υπόθεση ότι το nginx χρησιμοποιείται στο frontend.

Καταπολέμηση DDoS

Τι να κάνετε εάν φτάσει το DDoS; Μια παραδοσιακή τεχνική αυτοάμυνας είναι η ανάγνωση του αρχείου καταγραφής του διακομιστή HTTP, η σύνταξη ενός μοτίβου grep (σύλληψη αιτημάτων για bot) και η απαγόρευση όλων όσων εμπίπτουν σε αυτό. Αυτή η τεχνική θα λειτουργήσει... αν είστε τυχεροί. Υπάρχουν δύο τύποι botnet, και τα δύο επικίνδυνα, αλλά με διαφορετικούς τρόπους. Το ένα έρχεται εντελώς στον ιστότοπο αμέσως, το άλλο σταδιακά. Το πρώτο σκοτώνει τα πάντα με τη μία, αλλά το όλο θέμα εμφανίζεται στα αρχεία καταγραφής και αν τα ζεστάνετε και αποκλείσετε όλες τις διευθύνσεις IP, τότε είστε νικητής. Το δεύτερο botnet επιτίθεται στον ιστότοπο ήπια και προσεκτικά, αλλά μπορεί να χρειαστεί να το απαγορεύσετε για 24 ώρες. Είναι σημαντικό για οποιονδήποτε διαχειριστή να κατανοήσει: εάν σκοπεύετε να πολεμήσετε με το grep, τότε πρέπει να είστε έτοιμοι να αφιερώσετε μερικές μέρες για την καταπολέμηση της επίθεσης. Παρακάτω υπάρχουν συμβουλές για το πού μπορείτε να τοποθετήσετε καλαμάκια εκ των προτέρων για να κάνετε την πτώση λιγότερο επώδυνη.

3. Χρησιμοποιήστε τη μονάδα testcookie

Ίσως η πιο σημαντική, αποτελεσματική και λειτουργική συνταγή σε αυτό το άρθρο. Εάν το DDoS έρθει στον ιστότοπό σας, τότε ο πιο αποτελεσματικός τρόπος για να αντισταθείτε μπορεί να είναι η ενότητα testcookie-nginx, που αναπτύχθηκε από τη habrauser @kyprizel. Η ιδέα είναι απλή. Τις περισσότερες φορές, τα bots που εφαρμόζουν το HTTP flooding είναι αρκετά ανόητα και δεν διαθέτουν μηχανισμούς cookie και ανακατεύθυνσης HTTP. Μερικές φορές συναντάτε πιο προηγμένα - μπορούν να χρησιμοποιήσουν cookie και να επεξεργαστούν ανακατευθύνσεις, αλλά σχεδόν ποτέ ένα bot DoS δεν φέρει πλήρη μηχανή JavaScript (αν και αυτό γίνεται όλο και πιο συνηθισμένο). Το Testcookie-nginx λειτουργεί ως γρήγορο φίλτρο μεταξύ των bots και του backend κατά τη διάρκεια μιας επίθεσης L7 DDoS, επιτρέποντάς σας να φιλτράρετε ανεπιθύμητα αιτήματα. Τι περιλαμβάνεται σε αυτούς τους ελέγχους; Γνωρίζει ο πελάτης πώς να εκτελεί ανακατεύθυνση HTTP, υποστηρίζει JavaScript, είναι το πρόγραμμα περιήγησης που ισχυρίζεται ότι είναι (καθώς το JavaScript είναι διαφορετικό παντού και αν ο πελάτης λέει ότι είναι, ας πούμε, Firefox, τότε μπορούμε να το ελέγξουμε). Η επαλήθευση υλοποιείται με τη χρήση cookies με διάφορες μεθόδους:

• "Set-Cookie" + ανακατεύθυνση με χρήση 301 HTTP Location.
• "Set-Cookie" + ανακατεύθυνση με χρησιμοποιώντας HTML Meta refresh?
• οποιοδήποτε πρότυπο και μπορείτε να χρησιμοποιήσετε JavaScript.

Για να αποφευχθεί η αυτόματη ανάλυση, το cookie επικύρωσης μπορεί να κρυπτογραφηθεί με AES-128 και αργότερα να αποκρυπτογραφηθεί στην πλευρά του προγράμματος-πελάτη JavaScript. ΣΕ νέα έκδοσημονάδα, κατέστη δυνατός ο ορισμός cookie μέσω του Flash, το οποίο σας επιτρέπει επίσης να εξαλείψετε αποτελεσματικά τα bots (τα οποία το Flash, κατά κανόνα, δεν υποστηρίζει), αλλά, ωστόσο, αποκλείει επίσης την πρόσβαση για πολλούς νόμιμους χρήστες (σχεδόν όλους κινητές συσκευές). Αξίζει να σημειωθεί ότι είναι εξαιρετικά εύκολο να ξεκινήσετε τη χρήση του testcookie-nginx. Ο προγραμματιστής, ειδικότερα, παρέχει πολλά ξεκάθαρα παραδείγματαχρήση (για διαφορετικές περιπτώσεις επίθεσης) με δείγματα ρυθμίσεων για το nginx.

Εκτός από τα πλεονεκτήματά του, το testcookie έχει επίσης μειονεκτήματα:

• κόβει όλα τα ρομπότ, συμπεριλαμβανομένου του Googlebot. Εάν σκοπεύετε να διατηρήσετε το testcookie σε μόνιμη βάση, βεβαιωθείτε ότι δεν θα εξαφανιστείτε από τα αποτελέσματα αναζήτησης.
• δημιουργεί προβλήματα στους χρήστες με Links, w3m και παρόμοια προγράμματα περιήγησης.
• δεν προστατεύει από ρομπότ που είναι εξοπλισμένα με πλήρη μηχανή προγράμματος περιήγησης με JavaScript.

Εν ολίγοις, το testcookie_module δεν είναι καθολικό. Βοηθά όμως σε πολλά πράγματα, όπως, για παράδειγμα, πρωτόγονα εργαλεία σε Java και C#. Με αυτόν τον τρόπο κόβετε μέρος της απειλής.

4. Κωδ.444

Ο στόχος των DDoSers είναι συχνά το μέρος του ιστότοπου με την μεγαλύτερη ένταση πόρων. Χαρακτηριστικό παράδειγμα είναι η αναζήτηση, η οποία εκτελεί σύνθετα ερωτήματα βάσης δεδομένων. Φυσικά, οι εισβολείς μπορούν να επωφεληθούν από αυτό φορτώνοντας πολλές δεκάδες χιλιάδες αιτήματα στη μηχανή αναζήτησης ταυτόχρονα. Τι μπορούμε να κάνουμε? Απενεργοποιήστε προσωρινά την αναζήτηση. Παρόλο που οι πελάτες ενδέχεται να μην μπορούν να αναζητήσουν τις πληροφορίες που χρειάζονται χρησιμοποιώντας ενσωματωμένα εργαλεία, ολόκληρη η κύρια τοποθεσία θα παραμείνει λειτουργική μέχρι να βρείτε τη ρίζα όλων των προβλημάτων. Το Nginx υποστηρίζει έναν μη τυπικό κωδικό 444, ο οποίος σας επιτρέπει να κλείσετε απλώς τη σύνδεση και να μην επιστρέψετε τίποτα ως απόκριση:

Τοποθεσία /αναζήτηση (επιστροφή 444; )

Με αυτόν τον τρόπο, μπορείτε, για παράδειγμα, να εφαρμόσετε γρήγορα το φιλτράρισμα κατά διεύθυνση URL. Εάν είστε βέβαιοι ότι τα αιτήματα για τοποθεσία /αναζήτηση προέρχονται μόνο από bots (για παράδειγμα, η εμπιστοσύνη σας βασίζεται στο γεγονός ότι ο ιστότοπός σας δεν διαθέτει καθόλου ενότητα /search), μπορείτε να εγκαταστήσετε το πακέτο ipset στον διακομιστή και να το απαγορεύσετε bots με ένα απλό σενάριο κελύφους:

Ipset -N ban iphash tail -f access.log | ενώ διαβάζετε LINE? κάντε echo "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; έγινε

Εάν η μορφή αρχείου καταγραφής δεν είναι τυπική (δεν είναι συνδυασμένη) ή πρέπει να την απαγορεύσετε βάσει κριτηρίων εκτός από την κατάσταση απόκρισης, ίσως χρειαστεί να αντικαταστήσετε την αποκοπή με μια τυπική έκφραση.

5. Απαγορεύουμε με γεωεντοπισμό

Ο μη τυπικός κωδικός απόκρισης 444 μπορεί επίσης να είναι χρήσιμος για τη γρήγορη απαγόρευση πελατών με βάση τα γεωγραφικά χαρακτηριστικά. Μπορείτε να περιορίσετε αυστηρά ορισμένες χώρες που σας κάνουν να νιώθετε άβολα. Για παράδειγμα, είναι απίθανο ένα ηλεκτρονικό κατάστημα φωτογραφικών μηχανών από το Rostov-on-Don να έχει πολλούς χρήστες στην Αίγυπτο. Δεν είναι πολύ καλός τρόπος(για να το πω ωμά, αηδιαστικό), αφού τα δεδομένα GeoIP είναι ανακριβή και οι Ροστοβίτες πετούν μερικές φορές στην Αίγυπτο για διακοπές. Αλλά αν δεν έχετε τίποτα να χάσετε, ακολουθήστε τις οδηγίες:

1. Συνδέστε τη λειτουργική μονάδα GeoIP στο nginx (wiki.nginx.org/HttpGeoipModule).
2. Εμφάνιση πληροφοριών γεωαναφοράς στο αρχείο καταγραφής πρόσβασης.
3. Στη συνέχεια, τροποποιώντας το παραπάνω σενάριο κελύφους, εκτελέστε το accesslog του nginx και προσθέστε στην απαγόρευση πελάτες που εξαιρούνται γεωγραφικά.

Εάν, για παράδειγμα, τα bots ήταν κυρίως από την Κίνα, τότε αυτό μπορεί να βοηθήσει.

6. Νευρωνικό δίκτυο (PoC)

Τέλος, μπορείτε να επαναλάβετε την εμπειρία του χρήστη habra @SaveTheRbtz, ο οποίος πήρε το νευρωνικό δίκτυο PyBrain, έβαλε το αρχείο καταγραφής σε αυτό και ανέλυσε τα ερωτήματα (habrahabr.ru/post/136237). Η μέθοδος λειτουργεί, αν και δεν είναι καθολική :). Αλλά αν γνωρίζετε πραγματικά το εσωτερικό του ιστότοπού σας - και εσείς, πώς Διαχειριστής συστήματος, θα πρέπει, τότε έχετε την ευκαιρία ότι στις πιο τραγικές καταστάσεις μια τέτοια εργαλειοθήκη που βασίζεται σε νευρωνικά δίκτυα, εκπαίδευση και πληροφορίες που συλλέγονται εκ των προτέρων θα σας βοηθήσει. Σε αυτήν την περίπτωση, είναι πολύ χρήσιμο να έχετε το access.log πριν από την έναρξη του DDoS, καθώς περιγράφει σχεδόν το 100% των νόμιμων πελατών και επομένως ένα εξαιρετικό σύνολο δεδομένων για εκπαίδευση νευρικό σύστημα. Επιπλέον, τα bots δεν είναι πάντα ορατά στο αρχείο καταγραφής.

Διάγνωση του προβλήματος

Ο ιστότοπος δεν λειτουργεί - γιατί; Είναι DDoSed ή πρόκειται για σφάλμα κινητήρα που δεν έγινε αντιληπτό από τον προγραμματιστή; Δεν έχει σημασία. Μην ψάχνετε για απάντηση σε αυτή την ερώτηση. Εάν πιστεύετε ότι ο ιστότοπός σας μπορεί να δέχεται επίθεση, επικοινωνήστε με εταιρείες που παρέχουν προστασία από επιθέσεις - μια σειρά από υπηρεσίες anti-DDoS προσφέρουν δωρεάν τις πρώτες ημέρες μετά τη σύνδεση - και μην χάνετε άλλο χρόνο αναζητώντας συμπτώματα. Εστιάστε στο πρόβλημα. Εάν ένας ιστότοπος είναι αργός ή δεν ανοίγει καθόλου, κάτι δεν πάει καλά με την απόδοσή του και - είτε υπάρχει επίθεση DDoS είτε όχι - είναι δική σας ευθύνη ως επαγγελματίας να κατανοήσετε τι την προκαλεί. Έχουμε δει επανειλημμένα πώς μια εταιρεία που αντιμετώπιζε δυσκολίες στη λειτουργία της ιστοσελίδας της λόγω επίθεσης DDoS, αντί να αναζητήσει αδυναμίες στη μηχανή της ιστοσελίδας, προσπάθησε να στείλει δηλώσεις στο Υπουργείο Εσωτερικών για να βρει και να τιμωρήσει τους εισβολείς. Μην κάνετε αυτά τα λάθη. Η εύρεση εγκληματιών στον κυβερνοχώρο είναι μια δύσκολη και χρονοβόρα διαδικασία, που περιπλέκεται από την ίδια τη δομή και τις αρχές λειτουργίας του Διαδικτύου, και το πρόβλημα με τη λειτουργία του ιστότοπου πρέπει να επιλυθεί εγκαίρως. Ζητήστε από ειδικούς τεχνικούς να βρουν τον λόγο για την πτώση της απόδοσης του ιστότοπου και οι δικηγόροι μπορούν να συντάξουν μια δήλωση.

7. Χρησιμοποιήστε ένα προφίλτρο και ένα πρόγραμμα εντοπισμού σφαλμάτων

Για την πιο κοινή πλατφόρμα δημιουργίας ιστότοπου - PHP + MySQL - το σημείο συμφόρησης μπορεί να βρεθεί χρησιμοποιώντας τα ακόλουθα εργαλεία:

• το πρόγραμμα προφίλ Xdebug θα δείξει σε ποιες κλήσεις ξοδεύει τον περισσότερο χρόνο η εφαρμογή.
• Το ενσωματωμένο πρόγραμμα εντοπισμού σφαλμάτων APD και η έξοδος εντοπισμού σφαλμάτων στο αρχείο καταγραφής σφαλμάτων θα σας βοηθήσουν να μάθετε ακριβώς ποιος κώδικας πραγματοποιεί αυτές τις κλήσεις.
• Στις περισσότερες περιπτώσεις, ο σκύλος είναι θαμμένος στην πολυπλοκότητα και τη βαρύτητα των ερωτημάτων της βάσης δεδομένων. Η εξήγηση οδηγία SQL που είναι ενσωματωμένη στη μηχανή βάσης δεδομένων θα βοηθήσει εδώ.

Εάν ο ιστότοπος είναι εκτός λειτουργίας και δεν χάνετε τίποτα, αποσυνδεθείτε από το δίκτυο, δείτε τα αρχεία καταγραφής, δοκιμάστε να τα παίξετε. Εάν δεν υπάρχει, τότε περάστε από τις σελίδες και κοιτάξτε τη βάση.

Το παράδειγμα είναι για PHP, αλλά η ιδέα ισχύει για οποιαδήποτε πλατφόρμα. Ένας προγραμματιστής που γράφει προϊόντα λογισμικού σε οποιαδήποτε γλώσσα προγραμματισμού πρέπει να μπορεί να χρησιμοποιεί γρήγορα τόσο έναν εντοπισμό σφαλμάτων όσο και έναν προγραμματιστή προφίλ. Εξάσκηση εκ των προτέρων!

8. Ανάλυση σφαλμάτων

Αναλύστε τον όγκο της επισκεψιμότητας, τον χρόνο απόκρισης διακομιστή και τον αριθμό των σφαλμάτων. Για να το κάνετε αυτό, δείτε τα αρχεία καταγραφής. Στο nginx, ο χρόνος απόκρισης διακομιστή καταγράφεται στο αρχείο καταγραφής από δύο μεταβλητές: request_time και upstream_response_time. Το πρώτο είναι πλήρης απασχόλησηεκτέλεση αιτήματος, συμπεριλαμβανομένων των καθυστερήσεων δικτύου μεταξύ του χρήστη και του διακομιστή· το δεύτερο λέει πόσο καιρό το backend (Apache, php_fpm, uwsgi...) εκτέλεσε την αίτηση. Η τιμή upstream_response_time είναι εξαιρετικά σημαντική για ιστότοπους με μεγάλο αριθμό δυναμικό περιεχόμενοκαι ενεργή επικοινωνία μεταξύ του frontend και της βάσης δεδομένων, δεν μπορεί να παραμεληθεί. Μπορείτε να χρησιμοποιήσετε την ακόλουθη διαμόρφωση ως μορφή αρχείου καταγραφής:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent """$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Αυτή είναι μια συνδυασμένη μορφή με πρόσθετα πεδία χρονισμού.

9. Παρακολούθηση αιτημάτων ανά δευτερόλεπτο

Δείτε επίσης τον αριθμό των αιτημάτων ανά δευτερόλεπτο. Στην περίπτωση του nginx, μπορείτε να εκτιμήσετε χονδρικά αυτήν την τιμή με την ακόλουθη εντολή φλοιού (η μεταβλητή ACCESS_LOG περιέχει τη διαδρομή προς το αρχείο καταγραφής αιτημάτων nginx σε συνδυασμένη μορφή):

Echo $(($(fgrep -c "$(env LC_ALL=C ημερομηνία --date=@$(($(ημερομηνία \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

Σε σύγκριση με το κανονικό επίπεδο για αυτήν την ώρα της ημέρας, ο αριθμός των αιτημάτων ανά δευτερόλεπτο μπορεί είτε να μειωθεί είτε να αυξηθεί. Αναπτύσσονται εάν έχει φτάσει ένα μεγάλο botnet και πέφτουν εάν το εισερχόμενο botnet έχει καταρρίψει τον ιστότοπο, καθιστώντας τον εντελώς απρόσιτο για τους νόμιμους χρήστες, και ταυτόχρονα το botnet δεν ζητά στατικά, αλλά οι νόμιμοι χρήστες κάνουν. Η πτώση του αριθμού των αιτημάτων παρατηρείται ακριβώς λόγω στατικής. Όμως, με τον ένα ή τον άλλο τρόπο, μιλάμε για σοβαρές αλλαγές στους δείκτες. Όταν αυτό συμβεί ξαφνικά - ενώ προσπαθείτε να λύσετε το πρόβλημα μόνοι σας και αν δεν το δείτε αμέσως στο αρχείο καταγραφής, είναι καλύτερο να ελέγξετε γρήγορα τον κινητήρα και ταυτόχρονα να επικοινωνήσετε με ειδικούς.

10. Μην ξεχνάτε το tcpdump

Πολλοί άνθρωποι ξεχνούν ότι το tcpdump είναι ένα φοβερό διαγνωστικό εργαλείο. Θα σας δώσω μερικά παραδείγματα. Τον Δεκέμβριο του 2011, ανακαλύφθηκε ένα σφάλμα στον πυρήνα του Linux όταν άνοιξε μια σύνδεση TCP όταν ορίστηκαν οι σημαίες του τμήματος TCP SYN και RST. Η πρώτη αναφορά σφάλματος στάλθηκε από τον διαχειριστή του συστήματος από τη Ρωσία, ο πόρος του οποίου δέχτηκε επίθεση με αυτήν τη μέθοδο - οι εισβολείς έμαθαν για την ευπάθεια μπροστά σε ολόκληρο τον κόσμο. Προφανώς, αυτή η διάγνωση τον βοήθησε. Ένα άλλο παράδειγμα: το nginx έχει μια όχι πολύ ευχάριστη ιδιότητα - γράφει στο αρχείο καταγραφής μόνο μετά την πλήρη επεξεργασία του αιτήματος. Υπάρχουν περιπτώσεις όπου ο ιστότοπος είναι εκτός λειτουργίας, τίποτα δεν λειτουργεί και δεν υπάρχει τίποτα στα αρχεία καταγραφής. Αυτό συμβαίνει γιατί όλα τα αιτήματα που αυτή τη στιγμήφορτώνουν τον διακομιστή, δεν έχουν ολοκληρωθεί ακόμη. Το Tcpdump θα βοηθήσει και εδώ.

Είναι τόσο καλό που συμβούλεψα τους ανθρώπους να μην χρησιμοποιούν δυαδικά πρωτόκολλα μέχρι να βεβαιωθούν ότι όλα είναι εντάξει - τελικά, τα πρωτόκολλα κειμένου είναι εύκολο να εντοπιστούν με το tcpdump, αλλά τα δυαδικά δεν είναι καλό ως διαγνωστικό εργαλείο – ως μέσο διατήρησης της παραγωγής» και είναι τρομακτικός. Μπορεί εύκολα να χάσει πολλά πακέτα ταυτόχρονα και να καταστρέψει το ιστορικό χρήστη σας. Είναι βολικό να κοιτάξετε την απόδοσή του και είναι χρήσιμο για χειροκίνητα διαγνωστικά και απαγορεύσεις, αλλά προσπαθήστε να μην βασίζετε τίποτα κρίσιμο σε αυτό. Ένα άλλο αγαπημένο εργαλείο για "θάψιμο αιτημάτων" - το ngrep - γενικά από προεπιλογή προσπαθεί να ζητήσει περίπου δύο gigabyte μη ανταλλάξιμης μνήμης και μόνο τότε αρχίζει να μειώνει τις απαιτήσεις του.

11. Επίθεση ή όχι;

Πώς να διακρίνετε μια επίθεση DDoS, για παράδειγμα, από ένα εφέ διαφημιστική καμπάνια? Αυτή η ερώτηση μπορεί να φαίνεται αστεία, αλλά το θέμα δεν είναι λιγότερο περίπλοκο. Υπάρχουν αρκετά αστείες περιπτώσεις. Μερικά καλά παιδιά, όταν ζόρισαν τον εαυτό τους και μπέρδεψαν καλά την προσωρινή αποθήκευση, ο ιστότοπος χάθηκε για μερικές μέρες. Αποδείχθηκε ότι για αρκετούς μήνες αυτός ο ιστότοπος είχε υποβληθεί σε αθόρυβη επεξεργασία δεδομένων από ορισμένους Γερμανούς και πριν βελτιστοποιηθεί η προσωρινή αποθήκευση, οι σελίδες του ιστότοπου αυτών των Γερμανών με όλες τις φωτογραφίες χρειάστηκαν πολύ χρόνο για να φορτωθούν. Όταν η σελίδα άρχισε να εξυπηρετείται από την προσωρινή μνήμη αμέσως, το bot, το οποίο δεν είχε χρονικά όρια, άρχισε επίσης να τα συλλέγει αμέσως. Ήταν δύσκολο. Η περίπτωση είναι ιδιαίτερα δύσκολη για τον λόγο ότι εάν εσείς οι ίδιοι αλλάξατε τη ρύθμιση (ενεργοποιήσατε την προσωρινή αποθήκευση) και ο ιστότοπος σταμάτησε να λειτουργεί μετά από αυτό, τότε ποιος, κατά τη γνώμη σας και του αφεντικού σας, φταίει; Ακριβώς. Εάν βλέπετε μια απότομη αύξηση στον αριθμό των αιτημάτων, τότε δείτε π.χ. Google Analyticsποιος ήρθε σε ποιες σελίδες.

Συντονισμός διακομιστή Ιστού

Ποια άλλα βασικά σημεία υπάρχουν; Φυσικά, μπορείτε να εγκαταστήσετε το προεπιλεγμένο nginx και να ελπίζετε ότι όλα θα πάνε καλά. Ωστόσο, τα πράγματα δεν πάνε πάντα καλά. Επομένως, ο διαχειριστής οποιουδήποτε διακομιστή πρέπει να αφιερώσει πολύ χρόνο στη βελτίωση και τη ρύθμιση του nginx.

12. Περιορίστε τους πόρους (μεγέθη buffer) στο nginx

Τι πρέπει να θυμάστε πρώτα; Κάθε πόρος έχει ένα όριο. Πρώτα απ 'όλα, αυτό αφορά τη μνήμη RAM. Επομένως, τα μεγέθη των κεφαλίδων και όλων των χρησιμοποιούμενων buffer πρέπει να περιορίζονται σε επαρκείς τιμές για τον πελάτη και ολόκληρο τον διακομιστή. Πρέπει να είναι καταχωρημένα στη διαμόρφωση nginx.

• client_header_buffer_size_ _ Ορίζει το μέγεθος του buffer για την ανάγνωση της κεφαλίδας αιτήματος πελάτη. Εάν η γραμμή αιτήματος ή το πεδίο κεφαλίδας αιτήματος δεν ταιριάζει εξ ολοκλήρου σε αυτό το buffer, τότε εκχωρούνται μεγαλύτερα buffers, που καθορίζονται από την οδηγία large_client_header_buffers.
• large_client_header_buffersΟρίζει τον μέγιστο αριθμό και το μέγεθος των buffer για την ανάγνωση μιας μεγάλης κεφαλίδας αιτήματος πελάτη.
• client_body_buffer_sizeΟρίζει το μέγεθος του buffer για την ανάγνωση του σώματος αιτήματος πελάτη. Εάν το σώμα του αιτήματος είναι μεγαλύτερο από το καθορισμένο buffer, τότε ολόκληρο το σώμα του αιτήματος ή μόνο μέρος του εγγράφεται σε ένα προσωρινό αρχείο.
• client_max_body_sizeΟρίζει το μέγιστο επιτρεπόμενο μέγεθος σώματος αιτήματος πελάτη, που καθορίζεται στο πεδίο "Μήκος περιεχομένου" της κεφαλίδας αιτήματος. Εάν το μέγεθος είναι μεγαλύτερο από το καθορισμένο, τότε το σφάλμα 413 (Request Entity Too Large) επιστρέφεται στον πελάτη.

13. Ρύθμιση χρονικών ορίων στο nginx

Ο χρόνος είναι επίσης ένας πόρος. Επομένως, το επόμενο σημαντικό βήμα θα πρέπει να είναι να ορίσετε όλα τα χρονικά όρια, τα οποία και πάλι είναι πολύ σημαντικό να καθοριστούν προσεκτικά στις ρυθμίσεις του nginx.

• reset_timedout_connection ενεργοποιημένο?Βοηθά στην αντιμετώπιση των υποδοχών που έχουν κολλήσει στη φάση FIN-WAIT.
• client_header_timeoutΟρίζει το χρονικό όριο κατά την ανάγνωση της κεφαλίδας αιτήματος πελάτη.
• client_body_timeoutΡυθμίζει το χρονικό όριο κατά την ανάγνωση του σώματος ενός αιτήματος πελάτη.
• keepalive_timeoutΟρίζει το χρονικό όριο κατά το οποίο η σύνδεση διατήρησης ζωντανής λειτουργίας με τον πελάτη δεν θα κλείσει από την πλευρά του διακομιστή. Πολλοί άνθρωποι φοβούνται να θέσουν μεγάλες αξίες εδώ, αλλά δεν είμαστε σίγουροι ότι αυτός ο φόβος είναι δικαιολογημένος. Προαιρετικά, μπορείτε να ορίσετε μια τιμή χρονικού ορίου στην κεφαλίδα Keep-Alive HTTP, αλλά Internet Explorerδιάσημος επειδή αγνοεί αυτό το νόημα
• send_timeoutΟρίζει το χρονικό όριο κατά την αποστολή μιας απάντησης στον πελάτη. Εάν μετά από αυτό το διάστημα ο πελάτης δεν αποδεχτεί τίποτα, η σύνδεση θα κλείσει.

Αμέσως το ερώτημα είναι: ποιες παράμετροι των buffer και των timeouts είναι σωστές; Δεν υπάρχει καθολική συνταγή εδώ, κάθε κατάσταση έχει τη δική της. Αλλά υπάρχει μια αποδεδειγμένη προσέγγιση. Είναι απαραίτητο να ορίσετε τις ελάχιστες τιμές στις οποίες ο ιστότοπος παραμένει λειτουργικός (σε καιρό ειρήνης), δηλαδή, οι σελίδες εξυπηρετούνται και υποβάλλονται σε επεξεργασία αιτήματα. Αυτό καθορίζεται μόνο με δοκιμές - τόσο από επιτραπέζιους υπολογιστές όσο και από φορητές συσκευές. Αλγόριθμος για την εύρεση των τιμών κάθε παραμέτρου (μέγεθος buffer ή χρονικό όριο):

1. Ορίζουμε την μαθηματικά ελάχιστη τιμή της παραμέτρου.
2. Αρχίζουμε να εκτελούμε δοκιμές ιστότοπου.
3. Εάν όλη η λειτουργικότητα του ιστότοπου λειτουργεί χωρίς προβλήματα, ορίζεται η παράμετρος. Εάν όχι, αυξήστε την τιμή της παραμέτρου και μεταβείτε στο βήμα 2.
4. Εάν η τιμή της παραμέτρου υπερβαίνει ακόμη και την προεπιλεγμένη τιμή, αυτό είναι ένας λόγος για συζήτηση στην ομάδα ανάπτυξης.

Σε ορισμένες περιπτώσεις, μια αναθεώρηση αυτών των παραμέτρων θα πρέπει να οδηγήσει σε ανακατασκευή/επανασχεδιασμό του ιστότοπου. Για παράδειγμα, εάν ένας ιστότοπος δεν λειτουργεί χωρίς αιτήματα μεγάλης ψηφοφορίας AJAX τριών λεπτών, τότε δεν χρειάζεται να αυξήσετε το χρονικό όριο, αλλά να αντικαταστήσετε τη μακροχρόνια ψηφοφορία με κάτι άλλο - ένα botnet 20 χιλιάδων μηχανών, που στηρίζονται σε αιτήματα για τρία λεπτά, θα σκοτώσει εύκολα τον μέσο φθηνό διακομιστή.

14. Περιορίστε τις συνδέσεις στο nginx (limit_conn και limit_req)

Το Nginx έχει επίσης τη δυνατότητα να περιορίζει συνδέσεις, αιτήματα κ.λπ. Εάν δεν είστε σίγουροι πώς θα συμπεριφέρεται ένα συγκεκριμένο τμήμα του ιστότοπού σας, τότε στην ιδανική περίπτωση θα πρέπει να το δοκιμάσετε, να κατανοήσετε πόσα αιτήματα θα χειριστεί και να το γράψετε στη διαμόρφωση του nginx. Είναι ένα πράγμα όταν ο ιστότοπος είναι εκτός λειτουργίας και μπορείτε να έρθετε και να τον παραλάβετε. Και είναι εντελώς διαφορετικό το θέμα όταν πέφτει σε τέτοιο βαθμό που ο διακομιστής πηγαίνει σε swap. Σε αυτήν την περίπτωση, είναι συχνά πιο εύκολο να κάνετε επανεκκίνηση παρά να περιμένετε τη θριαμβευτική επιστροφή του.

Ας υποθέσουμε ότι ο ιστότοπος έχει ενότητες με περιγραφικά ονόματα /download και /search. Ταυτόχρονα εμείς:

• δεν θέλουμε τα bots (ή άτομα με υπερβολικά ζηλωτούς διαχειριστές αναδρομικών λήψεων) να γεμίζουν τον πίνακα σύνδεσης TCP με τις λήψεις τους.
• δεν θέλουμε bots (ή αδέσποτα ερπυστριοφόρα μηχανές αναζήτησης) εξάντλησε τους υπολογιστικούς πόρους του DBMS με πολλά ερωτήματα αναζήτησης.

Για αυτούς τους σκοπούς, θα λειτουργήσει η ακόλουθη διαμόρφωση:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; διακομιστής ( location /download/ ( limit_conn download_c 1; # Other configuration zone zone= limit_ location / search_r burst=5 # Άλλη θέση διαμόρφωσης ) )

Συνήθως έχει άμεσο νόημα να ορίσετε περιορισμούς limit_conn και limit_req για τοποθεσίες όπου βρίσκονται σενάρια που είναι ακριβά στην εκτέλεση (το παράδειγμα δείχνει μια αναζήτηση και αυτό δεν είναι χωρίς λόγο). Οι περιορισμοί πρέπει να επιλέγονται με βάση τα αποτελέσματα δοκιμών φορτίου και παλινδρόμησης, καθώς και την κοινή λογική.

Σημειώστε την παράμετρο 10m στο παράδειγμα. Σημαίνει ότι ένα λεξικό με buffer 10 megabyte και όχι ένα megabyte περισσότερο θα διατεθεί για τον υπολογισμό αυτού του ορίου. Σε αυτήν τη διαμόρφωση, αυτό θα επιτρέψει την παρακολούθηση 320.000 περιόδων TCP. Για τη βελτιστοποίηση του αποτυπώματος μνήμης, η μεταβλητή $binary_remote_addr χρησιμοποιείται ως κλειδί στο λεξικό, το οποίο περιέχει τη διεύθυνση IP του χρήστη σε δυαδική μορφή και καταλαμβάνει λιγότερη μνήμη από την κανονική μεταβλητή συμβολοσειράς $remote_addr. Θα πρέπει να σημειωθεί ότι η δεύτερη παράμετρος στην οδηγία limit_req_zone μπορεί να είναι όχι μόνο IP, αλλά και οποιαδήποτε άλλη μεταβλητή nginx διαθέσιμη σε αυτό το πλαίσιο - για παράδειγμα, στην περίπτωση που δεν θέλετε να παρέχετε μια πιο ήπια λειτουργία για τον διακομιστή μεσολάβησης, μπορείτε να χρησιμοποιήσετε το $binary_remote_addr$http_user_agent ή το $binary_remote_addr$http_cookie_myc00kiez - αλλά πρέπει να χρησιμοποιείτε τέτοιες δομές με προσοχή, καθώς, σε αντίθεση με το $binary_remote_addr 32-bit, αυτές οι μεταβλητές μπορεί να είναι σημαντικά μεγαλύτερες και το "10m μπορεί να δηλωθεί ξαφνικά".

Τάσεις DDoS

1. Η δύναμη των επιθέσεων στο δίκτυο και στο επίπεδο μεταφοράς αυξάνεται συνεχώς. Η δυνατότητα μιας μέσης επίθεσης πλημμύρας SYN έχει ήδη φτάσει τα 10 εκατομμύρια πακέτα ανά δευτερόλεπτο.
2. Ιδιαίτερα σε ζήτηση σε Πρόσφαταχρησιμοποιήστε επιθέσεις DNS. Η πλημμύρα UDP με έγκυρα ερωτήματα DNS με πλαστές διευθύνσεις IP πηγής είναι μια από τις πιο εύκολες επιθέσεις στην εφαρμογή και δύσκολο να αντιμετωπιστούν. Πολλές μεγάλες ρωσικές εταιρείες (συμπεριλαμβανομένων των εταιρειών φιλοξενίας) αντιμετώπισαν πρόσφατα προβλήματα ως αποτέλεσμα επιθέσεων στους διακομιστές DNS τους. Όσο προχωράτε, τόσο περισσότερες τέτοιες επιθέσεις θα υπάρχουν και η δύναμή τους θα αυξάνεται.
3. Κρίνοντας από εξωτερικά σημάδια, τα περισσότερα botnet δεν ελέγχονται κεντρικά, αλλά μέσω ενός δικτύου peer-to-peer. Αυτό δίνει στους εισβολείς την ευκαιρία να συγχρονίσουν τις ενέργειες του botnet με την πάροδο του χρόνου - εάν προηγουμένως οι εντολές ελέγχου διανεμήθηκαν σε ένα botnet 5 χιλιάδων μηχανών σε δεκάδες λεπτά, τώρα μετράνε τα δευτερόλεπτα και ο ιστότοπός σας μπορεί απροσδόκητα να έχει μια στιγμιαία εκατονταπλάσια αύξηση στον αριθμό των αιτημάτων .
4. Το μερίδιο των bots που είναι εξοπλισμένα με μια πλήρη μηχανή προγράμματος περιήγησης με JavaScript είναι ακόμα μικρό, αλλά συνεχώς αυξάνεται. Μια τέτοια επίθεση είναι πιο δύσκολο να αποκρουστεί με ενσωματωμένα αυτοσχέδια μέσα, επομένως όσοι κάνουν DIY θα πρέπει να παρακολουθούν αυτήν την τάση με προσοχή.

προετοιμασία του ΛΣ

εκτός λεπτό συντονισμό nginx, πρέπει να φροντίσεις τις ρυθμίσεις στοίβα δικτύουσυστήματα. Τουλάχιστον, ενεργοποιήστε αμέσως τα net.ipv4.tcp_syncookies στο sysctl για να προστατευθείτε αμέσως από μια μικρή επίθεση SYN-flood.

15. Συντονίστε τον πυρήνα

Δώστε προσοχή στις πιο προηγμένες ρυθμίσεις του τμήματος δικτύου (πυρήνα), πάλι όσον αφορά τα χρονικά όρια και τη μνήμη. Υπάρχουν πιο σημαντικά και λιγότερο σημαντικά. Πρώτα απ 'όλα, πρέπει να δώσετε προσοχή:

• net.ipv4.tcp_fin_timeoutΟ χρόνος που θα περάσει η πρίζα στη φάση TCP FIN-WAIT-2 (αναμονή για το τμήμα FIN/ACK).
• net.ipv4.tcp_(,r,w)memΗ υποδοχή TCP λαμβάνει μέγεθος buffer. Τρεις τιμές: ελάχιστη, προεπιλογή και μέγιστη.
• net.core.(r,w)mem_maxΤο ίδιο ισχύει και για τα buffer που δεν είναι TCP.

Με ένα κανάλι 100 Mbit/s, οι προεπιλεγμένες τιμές εξακολουθούν να είναι κατά κάποιο τρόπο κατάλληλες. αλλά αν έχετε διαθέσιμο τουλάχιστον ένα gigabit ανά δευτερόλεπτο, τότε είναι καλύτερα να χρησιμοποιήσετε κάτι σαν:

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctlw.69 4 3 4 3 4 3 860 8" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Αναθεώρηση /proc/sys/net/**

Είναι ιδανικό να εξετάσετε όλες τις παραμέτρους στο /proc/sys/net/**. Πρέπει να δούμε πόσο διαφορετικά είναι από τα προεπιλεγμένα και να καταλάβουμε πόσο επαρκώς έχουν ρυθμιστεί. Ένας προγραμματιστής Linux (ή διαχειριστής συστήματος) που κατανοεί τη λειτουργία της υπηρεσίας Διαδικτύου υπό τον έλεγχό του και θέλει να τη βελτιστοποιήσει θα πρέπει να διαβάσει με ενδιαφέρον την τεκμηρίωση όλων των παραμέτρων της στοίβας δικτύου πυρήνα. Ίσως βρει εκεί μεταβλητές για συγκεκριμένες τοποθεσίες που θα βοηθήσουν όχι μόνο στην προστασία του ιστότοπου από εισβολείς, αλλά και στην επιτάχυνση της λειτουργίας του.

Μην φοβάσαι!

Οι επιτυχημένες επιθέσεις DDoS μέρα με τη μέρα σβήνουν το ηλεκτρονικό εμπόριο, κλονίζουν τα μέσα ενημέρωσης και αποκλείουν τα μεγαλύτερα συστήματα πληρωμών με ένα χτύπημα. Εκατομμύρια χρήστες του Διαδικτύου χάνουν την πρόσβαση σε κρίσιμες πληροφορίες. Η απειλή είναι επείγουσα, επομένως πρέπει να την αντιμετωπίσουμε κατά μέτωπο. Κάντε τα μαθήματά σας, μην φοβάστε και έχετε το κεφάλι σας ήσυχο. Δεν είστε ο πρώτος και ούτε ο τελευταίος που θα αντιμετωπίσει επίθεση DDoS στον ιστότοπό σας και είναι στη δύναμή σας, με γνώμονα τις γνώσεις και την κοινή λογική σας, να μειώσετε τις συνέπειες της επίθεσης στο ελάχιστο.

Οι κατανεμημένες επιθέσεις άρνησης υπηρεσίας, ή εν συντομία DDoS, έχουν γίνει ένα σύνηθες φαινόμενο και ένας σημαντικός πονοκέφαλος για τους ιδιοκτήτες πόρων του Διαδικτύου σε όλο τον κόσμο. Αυτός είναι ο λόγος για τον οποίο η προστασία από επιθέσεις DDoS σε έναν ιστότοπο δεν αποτελεί επιλογή σήμερα. πρόσθετη επιλογή, αλλά προϋπόθεση για όσους θέλουν να αποφύγουν τις διακοπές λειτουργίας, τις τεράστιες απώλειες και την πληγωμένη φήμη.

Θα σας πούμε με περισσότερες λεπτομέρειες τι είναι αυτή η ασθένεια και πώς να προστατευτείτε από αυτήν.

Τι είναι το DDoS

Κατανεμημένη άρνηση υπηρεσίας ή «Διανεμημένη άρνηση υπηρεσίας» - μια επίθεση σε σύστημα πληροφορίωνώστε να μην μπορεί να επεξεργαστεί αιτήματα χρηστών. Με απλά λόγια, το DDoS συνεπάγεται τη συντριβή ενός πόρου ιστού ή διακομιστή με κίνηση από έναν τεράστιο αριθμό πηγών, καθιστώντας τον μη διαθέσιμο. Συχνά μια τέτοια επίθεση πραγματοποιείται για να προκαλέσει διακοπές στη λειτουργία των πόρων δικτύου σε μια μεγάλη εταιρεία ή κυβερνητικό οργανισμό

Μια επίθεση DDoS είναι παρόμοια με μια άλλη κοινή απειλή ιστού, την άρνηση υπηρεσίας (DoS). Η μόνη διαφορά είναι ότι μια τυπική κατανεμημένη επίθεση προέρχεται από ένα σημείο, ενώ μια επίθεση DDos είναι πιο διαδεδομένη και προέρχεται από διαφορετικές πηγές.

Ο κύριος στόχος μιας επίθεσης DDoS είναι να καταστήσει έναν ιστότοπο απρόσιτο στους επισκέπτες εμποδίζοντας τη λειτουργία του. Υπάρχουν όμως φορές που γίνονται τέτοιες επιθέσεις για να αποσπάσουν την προσοχή από άλλες επιβλαβείς επιρροές. Μια επίθεση DDoS μπορεί, για παράδειγμα, να πραγματοποιηθεί όταν παραβιάζεται ένα σύστημα ασφαλείας προκειμένου να καταληφθεί η βάση δεδομένων ενός οργανισμού.

Οι επιθέσεις DDoS ήρθαν στην προσοχή του κοινού το 1999, όταν μια σειρά από επιθέσεις σημειώθηκαν σε ιστότοπους μεγάλων εταιρειών (Yahoo, eBay, Amazon, CNN). Από τότε, αυτό το είδος εγκλήματος στον κυβερνοχώρο έχει εξελιχθεί σε παγκόσμια απειλή. Σύμφωνα με τους ειδικούς, τα τελευταία χρόνια η συχνότητά τους έχει αυξηθεί 2,5 φορές, και η μέγιστη ισχύς άρχισε να ξεπερνά το 1 Tbit/sec. Κάθε έκτη ρωσική εταιρεία έχει πέσει θύμα επίθεσης DDoS τουλάχιστον μία φορά. Μέχρι το 2020, ο συνολικός αριθμός τους θα φτάσει τα 17 εκατομμύρια.

Μια πλατφόρμα φιλοξενίας με προστασία 24/7 από τις πιο εξελιγμένες επιθέσεις DDoS.

Λόγοι επιθέσεων DDoS

1. Προσωπική εχθρότητα.Συχνά ενθαρρύνει τους επιτιθέμενους να επιτεθούν σε εταιρείες ή κυβερνητικές εταιρείες. Για παράδειγμα, το 1999, οι ιστοσελίδες του FBI δέχθηκαν επίθεση, με αποτέλεσμα να καταστραφούν για αρκετές εβδομάδες. Αυτό συνέβη επειδή το FBI εξαπέλυσε μια μεγάλης κλίμακας επιδρομή σε χάκερ.
2. Πολιτική διαμαρτυρία.Τυπικά, τέτοιες επιθέσεις πραγματοποιούνται από hacktivists - ειδικούς πληροφορικής με ριζοσπαστικές απόψεις για την πολιτική διαμαρτυρία. Ένα πολύ γνωστό παράδειγμα είναι μια σειρά επιθέσεων στον κυβερνοχώρο σε κυβερνητικές υπηρεσίες της Εσθονίας το 2007. Δικα τους πιθανή αιτίαχρησίμευσε ως ευκαιρία για την κατεδάφιση του Μνημείου του Στρατιώτη-Απελευθερωτή στο Ταλίν.
3. Ψυχαγωγία.Αυτό είναι όλο σήμερα μεγάλη ποσότηταοι άνθρωποι ενδιαφέρονται για το DDoS και θέλουν να δοκιμάσουν τις δυνάμεις τους σε αυτό. Οι νέοι χάκερ εξαπολύουν συχνά επιθέσεις για διασκέδαση.
4. Εκβιασμός και εκβιασμός.Πριν ξεκινήσει μια επίθεση, ο χάκερ επικοινωνεί με τον ιδιοκτήτη του πόρου και απαιτεί λύτρα.
5. Ανταγωνισμός.Οι επιθέσεις DDoS μπορούν να παραγγελθούν από μια αδίστακτη εταιρεία προκειμένου να επηρεάσουν τους ανταγωνιστές της.

Ποια είναι τα πιθανά θύματα;

Το DDoS μπορεί να καταστρέψει ιστότοπους οποιουδήποτε μεγέθους, από συνηθισμένα ιστολόγια μέχρι τις μεγαλύτερες εταιρείες, τράπεζες και άλλα χρηματοπιστωτικά ιδρύματα.

Σύμφωνα με έρευνα που διεξήχθη από την Kaspersky Lab, μια επίθεση θα μπορούσε να κοστίσει σε μια εταιρεία έως και 1,6 εκατομμύρια δολάρια. Αυτό είναι σοβαρή ζημιά, επειδή ο πόρος ιστού που δέχεται επίθεση δεν μπορεί να εξυπηρετηθεί για κάποιο χρονικό διάστημα, προκαλώντας διακοπές λειτουργίας.

Τις περισσότερες φορές, οι ιστότοποι και οι διακομιστές υποφέρουν από επιθέσεις DDoS:

• μεγάλες εταιρείες και κρατικές υπηρεσίες·
• χρηματοπιστωτικά ιδρύματα (τράπεζες, εταιρείες διαχείρισης).
• Υπηρεσίες κουπονιών·
• ιατρικά ιδρύματα·
• συστήματα πληρωμών·
• Συγκροτητές μέσων και πληροφοριών·
• ηλεκτρονικά καταστήματα και επιχειρήσεις ηλεκτρονικού εμπορίου·
• διαδικτυακά παιχνίδια και υπηρεσίες τυχερών παιχνιδιών·
• ανταλλαγές κρυπτονομισμάτων.

Πριν από λίγο καιρό, ο εξοπλισμός που συνδέεται με το Διαδίκτυο, που συλλογικά ονομάζεται «Internet of Things» (IoT), προστέθηκε στη θλιβερή λίστα των συχνών θυμάτων των επιθέσεων DDoS. Η μεγαλύτερη δυναμική ανάπτυξης σε αυτόν τον τομέα φαίνεται από επιθέσεις στον κυβερνοχώρο που στοχεύουν στη διακοπή των ηλεκτρονικών ταμειακών μηχανών μεγάλων καταστημάτων ή εμπορικών κέντρων.

Μηχανισμός λειτουργίας

Όλοι οι διακομιστές ιστού έχουν τα όριά τους στον αριθμό των αιτημάτων που μπορούν να επεξεργαστούν ταυτόχρονα. Επιπλέον, υπάρχει όριο στο εύρος ζώνης του καναλιού που συνδέει το Δίκτυο και τον διακομιστή. Για να παρακάμψουν αυτούς τους περιορισμούς, οι εισβολείς δημιουργούν δίκτυο υπολογιστώνμε κακόβουλο λογισμικό, που ονομάζεται «botnet» ή «δίκτυο ζόμπι».

Για να δημιουργήσουν ένα botnet, οι εγκληματίες του κυβερνοχώρου διανέμουν το Trojan μέσω ενημερωτικών δελτίων ηλεκτρονικού ταχυδρομείου, κοινωνικών δικτύων ή ιστότοπων. Οι υπολογιστές που περιλαμβάνονται στο botnet δεν διαθέτουν φυσική σύνδεσημεταξύ τους. Ενώνονται μόνο «υπηρετώντας» τους στόχους του ιδιοκτήτη χάκερ.

Κατά τη διάρκεια μιας επίθεσης DDoS, ένας χάκερ στέλνει εντολές σε «μολυσμένους» υπολογιστές ζόμπι και αυτοί εξαπολύουν επίθεση. Τα botnet δημιουργούν τεράστιο όγκο επισκεψιμότητας που μπορεί να υπερφορτώσει οποιοδήποτε σύστημα. Τα κύρια «αντικείμενα» για το DDoS είναι συνήθως το εύρος ζώνης διακομιστή, ο διακομιστής DNS και η ίδια η σύνδεση στο Διαδίκτυο.

Σημάδια επίθεσης DDoS

Όταν οι ενέργειες των εισβολέων επιτυγχάνουν τον στόχο τους, αυτό μπορεί να προσδιοριστεί άμεσα από αστοχίες στη λειτουργία του διακομιστή ή του πόρου που φιλοξενείται εκεί. Αλλά υπάρχουν μια σειρά από έμμεσες ενδείξεις με τις οποίες μπορείτε να μάθετε για μια επίθεση DDoS στην αρχή.

• Το λογισμικό διακομιστή και το λειτουργικό σύστημα ξεκινούν συχνά και ξεκάθαρα αποτυγχάνουν- πάγωμα, λανθασμένη απενεργοποίηση κ.λπ.
χωρητικότητα υλικούδιακομιστή, ο οποίος διαφέρει σημαντικά από τον ημερήσιο μέσο όρο.
• Γρήγορη αύξηση εισερχόμενοςΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣσε μία ή περισσότερες θύρες.
• Επανειλημμένα διπλότυπες ενέργειες του ίδιου τύπουπελάτες σε έναν πόρο (μετάβαση σε ιστότοπο, μεταφόρτωση αρχείου).
• Κατά την ανάλυση αρχείων καταγραφής (καταγραφή ενεργειών χρήστη) ενός διακομιστή, τείχους προστασίας ή συσκευές δικτύουαποκάλυψε πολλά αιτήματαίδιο είδος από διαφορετικές πηγές σε έναλιμάνι ή υπηρεσία. Θα πρέπει να είστε ιδιαίτερα προσεκτικοί εάν το κοινό των αιτημάτων διαφέρει σημαντικά από τον στόχο για τον ιστότοπο ή την υπηρεσία.

Ταξινόμηση τύπων επιθέσεων DDoS

Προσβλητικό πρωτόκολλο (επίπεδο μεταφοράς)

Μια επίθεση DDoS στοχεύει στο επίπεδο δικτύου ενός διακομιστή ή ενός πόρου Ιστού, επομένως ονομάζεται συχνά επίθεση επιπέδου δικτύου ή επιπέδου μεταφοράς. Σκοπός του είναι να υπερφορτώνει τον χώρο του πίνακα σε ένα τείχος προστασίας που βασίζεται σε log, ένα κεντρικό δίκτυο ή ένα σύστημα εξισορρόπησης φορτίου.

Η πιο κοινή Μέθοδος DDoSσε επίπεδο μεταφορών - πλημμύρα δικτύου, δημιουργώντας μια τεράστια ροή εικονικών αιτημάτων σε διαφορετικά επίπεδα που ο κόμβος λήψης φυσικά δεν μπορεί να χειριστεί.

Συνήθως υπηρεσία δικτύουεφαρμόζει τον κανόνα FIFO, σύμφωνα με τον οποίο ο υπολογιστής δεν προχωρά στην εξυπηρέτηση του δεύτερου αιτήματος μέχρι να επεξεργαστεί το πρώτο. Αλλά κατά τη διάρκεια μιας επίθεσης, ο αριθμός των αιτημάτων αυξάνεται τόσο πολύ που η συσκευή δεν έχει αρκετούς πόρους για να ολοκληρώσει το πρώτο αίτημα. Ως αποτέλεσμα, η πλημμύρα κορεστεί το εύρος ζώνης όσο το δυνατόν περισσότερο και φράζει εντελώς όλα τα κανάλια επικοινωνίας.

Συνήθεις τύποι πλημμυρών δικτύου

• HTTP πλημμύρα- μια μάζα κανονικών ή κρυπτογραφημένων μηνυμάτων HTTP αποστέλλονται στον διακομιστή που δέχεται επίθεση, φράζοντας τους κόμβους επικοινωνίας.
• Πλημμύρα ICMP- Το botnet του εισβολέα υπερφορτώνει τον κεντρικό υπολογιστή του θύματος με αιτήματα υπηρεσιών, στα οποία είναι υποχρεωμένο να παρέχει απαντήσεις ηχούς. Ένα ιδιαίτερο παράδειγμα αυτού του τύπου επίθεσης είναι Ππλημμύραή επίθεση Στρουμφ, όταν τα κανάλια επικοινωνίας γεμίζουν με αιτήματα ping που χρησιμοποιούνται για τον έλεγχο της διαθεσιμότητας ενός κόμβου δικτύου. Ακριβώς λόγω της απειλής πλημμύρας του ICMP, οι διαχειριστές συστήματος συχνά αποκλείουν εντελώς τη δυνατότητα υποβολής αιτημάτων ICMP χρησιμοποιώντας ένα τείχος προστασίας.
• πλημμύρα ΣΥΝ- η επίθεση επηρεάζει έναν από τους βασικούς μηχανισμούς του πρωτοκόλλου TCP, γνωστό ως αρχή «τριπλής χειραψίας» (αλγόριθμος αιτήματος-απόκρισης: πακέτο SYN – πακέτο SYN-ACK – πακέτο ACK). Το θύμα βομβαρδίζεται με μια πλημμύρα πλαστών αιτημάτων SYN χωρίς απάντηση. Το κανάλι του χρήστη είναι φραγμένο με μια ουρά συνδέσεων TCP από εξερχόμενες συνδέσεις που περιμένουν ένα πακέτο ACK απόκρισης.
• Πλημμύρα UDP- οι τυχαίες θύρες της μηχανής υποδοχής του θύματος πλημμυρίζουν με πακέτα UDP, οι απαντήσεις στις οποίες υπερφορτώνουν τους πόρους του δικτύου. Καλείται ένας τύπος πλημμύρας UDP που κατευθύνεται σε διακομιστή DNS Πλημμύρα DNS.
• Πλημμύρα MAC- ο στόχος είναι υλικό δικτύου, των οποίων οι θύρες είναι φραγμένες με ροές «κενών» πακέτων με διαφορετικές διευθύνσεις MAC. Για προστασία από αυτού του τύπου επιθέσεις DDoS, οι διακόπτες δικτύου έχουν ρυθμιστεί για να ελέγχουν την εγκυρότητα και να φιλτράρουν τις διευθύνσεις MAC.

Επιθέσεις επιπέδου εφαρμογής (επίπεδο υποδομής)

Αυτή η παραλλαγή χρησιμοποιείται όταν είναι απαραίτητο να γίνει κατάσχεση ή απενεργοποίηση πόρων υλικού. Ο στόχος των «επιδρομέων» μπορεί να είναι τόσο φυσικός όσο και ΕΜΒΟΛΟή χρόνο CPU.

Δεν χρειάζεται να υπερφορτώνετε το εύρος ζώνης. Αρκεί απλώς να προκαλέσετε υπερφόρτωση του επεξεργαστή του θύματος ή, με άλλα λόγια, να καταλάβετε ολόκληρο τον χρόνο της διαδικασίας.

Τύποι επιθέσεων DDoS σε επίπεδο εφαρμογής

• Επιστολή "βαρύςΧ"πακέτα, έρχονται απευθείας στον επεξεργαστή. Η συσκευή δεν μπορεί να αντιμετωπίσει πολύπλοκους υπολογισμούς και αρχίζει να αποτυγχάνει, εμποδίζοντας έτσι τους επισκέπτες να έχουν πρόσβαση στον ιστότοπο.
• Χρησιμοποιώντας ένα σενάριο, ο διακομιστής γεμίζει περιεχόμενο «σκουπίδια».- αρχεία καταγραφής, «σχόλια χρηστών» κ.λπ. Εάν ο διαχειριστής του συστήματος δεν έχει θέσει όριο στον διακομιστή, τότε ένας χάκερ μπορεί να δημιουργήσει τεράστιες παρτίδες αρχείων που θα γεμίσουν ολόκληρο τον σκληρό δίσκο.
• Προβλήματα με σύστημα ποσοστώσεων. Μερικοί διακομιστές χρησιμοποιούν για επικοινωνία εξωτερικά προγράμματαΔιεπαφή CGI (Common Gateway Interface, " κοινή διεπαφήπύλη"). Όταν αποκτά πρόσβαση στο CGI, ένας εισβολέας μπορεί να γράψει το δικό του σενάριο, το οποίο θα χρησιμοποιήσει ορισμένους από τους πόρους, για παράδειγμα, τον χρόνο του επεξεργαστή, για τα συμφέροντά του.
• Ημιτελής έλεγχοςδεδομένα επισκεπτών. Αυτό οδηγεί επίσης σε παρατεταμένη ή ακόμα και ατελείωτη χρήση των πόρων του επεξεργαστή μέχρι να εξαντληθούν.
• Επίθεση δεύτερου τύπου. Προκαλεί ψευδή συναγερμό στο σύστημα ασφαλείας, το οποίο μπορεί να κλείσει αυτόματα τον πόρο από τον έξω κόσμο.

Επιθέσεις σε επίπεδο εφαρμογής

Επίθεση DDoS στο επίπεδο εφαρμογής εκμεταλλεύεται παραλείψεις στη δημιουργία του κώδικα προγράμματος, το οποίο δημιουργεί ευπάθεια λογισμικού σε εξωτερική επιρροή. ΠΡΟΣ ΤΗΝ αυτό το είδοςΚάποιος μπορεί να συμπεριλάβει μια τέτοια κοινή επίθεση όπως το "Ping of death" - μαζική αποστολή μεγαλύτερων πακέτων ICMP στον υπολογιστή του θύματος, προκαλώντας υπερχείλιση buffer.

Αλλά οι επαγγελματίες χάκερ σπάνια καταφεύγουν σε μια τόσο απλή μέθοδο όπως η υπερφόρτωση καναλιών εύρους ζώνης. Για να επιτεθούν σε πολύπλοκα συστήματα μεγάλων εταιρειών, προσπαθούν να κατανοήσουν πλήρως τη δομή του συστήματος του διακομιστή και να γράψουν ένα exploit - ένα πρόγραμμα, μια αλυσίδα εντολών ή μέρος του κώδικα προγράμματος που λαμβάνει υπόψη την ευπάθεια του λογισμικού του θύματος και χρησιμοποιείται για επίθεση ο υπολογιστής.

Επιθέσεις DNS

1. Η πρώτη ομάδα απευθύνεται τρωτόκαι στοΜΕδιακομιστές DNS. Αυτά περιλαμβάνουν συνηθισμένους τύπους εγκλημάτων στον κυβερνοχώρο όπως η επίθεση Zero-day και το Fast Flux DNS.
   Ένας από τους πιο συνηθισμένους τύπους επιθέσεων DNS ονομάζεται DNS-Spoofing. Κατά τη διάρκεια αυτής, οι εισβολείς αντικαθιστούν τη διεύθυνση IP στη μνήμη cache του διακομιστή, ανακατευθύνοντας τον χρήστη σε μια ψεύτικη σελίδα. Κατά τη μετάβαση, ο εγκληματίας αποκτά πρόσβαση στα προσωπικά δεδομένα του χρήστη και μπορεί να τα χρησιμοποιήσει προς όφελός του. Για παράδειγμα, το 2009, λόγω πλαστογράφησης αρχείων DNS, οι χρήστες δεν μπορούσαν να έχουν πρόσβαση στο Twitter για μία ώρα. Αυτή η επίθεση είχε πολιτικό χαρακτήρα. Οι επιτιθέμενοι εγκατέστησαν αρχική σελίδα κοινωνικό δίκτυοπροειδοποιήσεις από Ιρανούς χάκερ που σχετίζονται με την αμερικανική επιθετικότητα
2. Η δεύτερη ομάδα είναι οι επιθέσεις DDoS, οι οποίες οδηγούν σε Αλειτουργία DNS-διακομιστές. Εάν αποτύχουν, ο χρήστης δεν θα μπορεί να συνδεθεί. επιθυμητή σελίδα, καθώς το πρόγραμμα περιήγησης δεν θα βρει τη διεύθυνση IP συγκεκριμένη για έναν συγκεκριμένο ιστότοπο.

Πρόληψη και προστασία από επιθέσεις DDoS

Σύμφωνα με την Corero Network Security, περισσότερες από ⅔ όλων των εταιρειών στον κόσμο υπόκεινται σε επιθέσεις άρνησης πρόσβασης κάθε μήνα. Επιπλέον, ο αριθμός τους φτάνει τους 50.

Οι ιδιοκτήτες ιστοτόπων που δεν παρέχουν προστασία διακομιστή από επιθέσεις DDoS μπορεί όχι μόνο να υποστούν τεράστιες απώλειες, αλλά και μείωση της εμπιστοσύνης των πελατών, καθώς και της ανταγωνιστικότητας στην αγορά.

Πλέον αποτελεσματική μέθοδοςπροστασία από επιθέσεις DDoS - φίλτρα εγκατεστημένα από τον πάροχο σε κανάλια Διαδικτύου με υψηλό εύρος ζώνης. Διεξάγουν μια συνεπή ανάλυση όλης της κίνησης και εντοπίζουν ύποπτες δραστηριότητες ή σφάλματα δικτύου. Τα φίλτρα μπορούν να εγκατασταθούν τόσο σε επίπεδο δρομολογητή όσο και χρησιμοποιώντας ειδικές συσκευές υλικού.

Μέθοδοι προστασίας

1. Ακόμα στο στάδιο της συγγραφής λογισμικόΠρέπει να σκεφτείτε την ασφάλεια του ιστότοπου. Διεξοδικά ελέγξτε το λογισμικόγια λάθη και τρωτά σημεία.
2. Τακτικά ενημερώστε το λογισμικόκαι παρέχει επίσης την ευκαιρία να επιστρέψετε παλιά εκδοχήεάν προκύψουν προβλήματα.
3. Ακολουθηστε περιορισμούς πρόσβασης. Οι υπηρεσίες που σχετίζονται με τη διαχείριση θα πρέπει να είναι εντελώς κλειστές από πρόσβαση τρίτων. Προστατέψτε τον λογαριασμό διαχειριστή σας σύνθετους κωδικούς πρόσβασηςκαι να τα αλλάζετε πιο συχνά. Διαγράψτε αμέσως τους λογαριασμούς των υπαλλήλων που παραιτήθηκαν.
4. Πρόσβαση σε διεπαφή διαχειριστήθα πρέπει να πραγματοποιείται αποκλειστικά από εσωτερικό δίκτυοή μέσω VPN.
5. Σαρώστε το σύστημα για παρουσία τρωτών σημείων. Τα πιο επικίνδυνα τρωτά σημεία δημοσιεύονται τακτικά από την έγκυρη βαθμολογία OWASP Top 10.
6. Ισχύουν τείχος προστασίας εφαρμογών- WAF (Web Application Firewall). Ελέγχει τη μεταδιδόμενη κίνηση και παρακολουθεί τη νομιμότητα των αιτημάτων.
7. Χρήση CDN(Δίκτυο παράδοσης περιεχομένου). Είναι ένα δίκτυο παράδοσης περιεχομένου που λειτουργεί χρησιμοποιώντας ένα κατανεμημένο δίκτυο. Η επισκεψιμότητα ταξινομείται σε πολλούς διακομιστές, γεγονός που μειώνει τον λανθάνοντα χρόνο κατά την πρόσβαση των επισκεπτών.
8. Ελέγξτε την εισερχόμενη κίνηση με λίστες ελέγχου πρόσβασης (ACL), το οποίο θα υποδεικνύει μια λίστα ατόμων που έχουν πρόσβαση στο αντικείμενο (πρόγραμμα, διαδικασία ή αρχείο), καθώς και τους ρόλους τους.
9. Μπορώ μπλοκάρει την κυκλοφορία, που προέρχεται από συσκευές επίθεσης. Αυτό γίνεται με δύο τρόπους: χρησιμοποιώντας τείχη προστασίαςή ACL. Στην πρώτη περίπτωση, μια συγκεκριμένη ροή μπλοκάρεται, αλλά οι οθόνες δεν μπορούν να διαχωρίσουν τη «θετική» κίνηση από την «αρνητική» κίνηση. Και στο δεύτερο φιλτράρονται δευτερεύοντα πρωτόκολλα. Επομένως, δεν θα είναι χρήσιμο εάν ο χάκερ χρησιμοποιεί ερωτήματα προτεραιότητας.
10. Για να προστατευτείτε από πλαστογράφηση DNS, πρέπει να το κάνετε περιοδικά διαγραφή της προσωρινής μνήμης DNS.
11. Χρήση προστασία από spam bots- captcha, «ανθρώπινα» χρονικά πλαίσια για τη συμπλήρωση εντύπων, reCaptcha (επιλέξτε «Δεν είμαι ρομπότ») κ.λπ.
12. Αντίστροφη επίθεση. Όλη η κακόβουλη κυκλοφορία ανακατευθύνεται στον εισβολέα. Θα βοηθήσει όχι μόνο να αποκρούσει μια επίθεση, αλλά και να καταστρέψει τον διακομιστή του εισβολέα.
13. Τοποθέτηση πόρων σε αρκετούς ανεξάρτητους διακομιστές. Εάν ένας διακομιστής αποτύχει, οι υπόλοιποι θα εξασφαλίσουν τη λειτουργία.
14. Χρησιμοποιώντας αποδεδειγμένα προστασία υλικούαπό επιθέσεις DDoS. Για παράδειγμα, Impletec iCore ή DefensePro.
15. Επιλέξτε έναν πάροχο φιλοξενίας με τον οποίο συνεργάζεται αξιόπιστος προμηθευτήςυπηρεσίες κυβερνοασφάλειας. Μεταξύ των κριτηρίων αξιοπιστίας, οι ειδικοί επισημαίνουν: την παρουσία εγγυήσεων ποιότητας, την παροχή προστασίας έναντι του πλήρους φάσματος απειλών, την τεχνική υποστήριξη όλο το εικοσιτετράωρο, τη διαφάνεια (πρόσβαση του πελάτη σε στατιστικά και αναλυτικά στοιχεία) και την απουσία τιμολογίων για κακόβουλη κίνηση .

συμπέρασμα

Σε αυτό το άρθρο, εξετάσαμε τι σημαίνει επίθεση DDoS και πώς να προστατεύσετε τον ιστότοπό σας από επιθέσεις. Είναι σημαντικό να θυμάστε ότι τέτοιες κακόβουλες ενέργειες μπορούν να καταστρέψουν ακόμη και τους ασφαλέστερους και μεγαλύτερους πόρους ιστού. Αυτό θα έχει σοβαρές συνέπειες με τη μορφή τεράστιων απωλειών και απώλειας πελατών. Αυτός είναι ο λόγος για τον οποίο, η προστασία του πόρου σας από επιθέσεις DDoS είναι μια επείγουσα αποστολή για όλες τις εμπορικές δομές και τις κρατικές υπηρεσίες.

Εάν θέλετε ένα επαγγελματικό επίπεδο προστασίας από επιθέσεις DDoS - επιλέξτε! Συνεχής παρακολούθηση και 24/7 τεχνική υποστήριξη.

Όλο και περισσότερο, εδώ κι εκεί στις επίσημες ανακοινώσεις από παρόχους φιλοξενίας, γίνονται αναφορές σε ανακλώμενες επιθέσεις DDoS. Όλο και περισσότερο, οι χρήστες, όταν ανακαλύπτουν τη μη προσβασιμότητα του ιστότοπού τους, αναλαμβάνουν αμέσως DDoS. Πράγματι, στις αρχές Μαρτίου, το Runet γνώρισε ένα ολόκληρο κύμα τέτοιων επιθέσεων. Παράλληλα, οι ειδικοί διαβεβαιώνουν ότι η διασκέδαση μόλις αρχίζει. Είναι απλά αδύνατο να αγνοήσουμε ένα φαινόμενο τόσο επίκαιρο, απειλητικό και ιντριγκαδόρικο. Ας μιλήσουμε λοιπόν σήμερα για μύθους και γεγονότα σχετικά με το DDoS. Από την πλευρά του παρόχου φιλοξενίας, φυσικά.

Αξέχαστη μέρα

Στις 20 Νοεμβρίου 2013, για πρώτη φορά στην 8χρονη ιστορία της εταιρείας μας, ολόκληρη η τεχνική πλατφόρμα δεν ήταν διαθέσιμη για αρκετές ώρες λόγω μιας άνευ προηγουμένου επίθεσης DDoS. Δεκάδες χιλιάδες πελάτες μας σε όλη τη Ρωσία και την ΚΑΚ υπέφεραν, για να μην αναφέρουμε εμάς και τον πάροχο Διαδικτύου μας. Το τελευταίο πράγμα που κατάφερε να καταγράψει ο πάροχος προτού σβήσει το λευκό φως για όλους ήταν ότι τα κανάλια εισόδου του ήταν σφιχτά φραγμένα με την εισερχόμενη κίνηση. Για να το οραματιστείτε αυτό, φανταστείτε την μπανιέρα σας με μια κανονική αποχέτευση, με τους καταρράκτες του Νιαγάρα να ορμούν μέσα της.

Ακόμη και οι πάροχοι υψηλότερα της αλυσίδας ένιωσαν τις επιπτώσεις αυτού του τσουνάμι. Τα παρακάτω γραφήματα απεικονίζουν ξεκάθαρα τι συνέβαινε εκείνη την ημέρα με την κυκλοφορία του Διαδικτύου στην Αγία Πετρούπολη και στη Ρωσία. Σημειώστε τις απότομες κορυφές στις 15 και 18 ώρες, ακριβώς τις στιγμές που καταγράψαμε τις επιθέσεις. Για αυτά τα ξαφνικά συν 500-700 GB.

Χρειάστηκαν αρκετές ώρες για να εντοπιστεί η επίθεση. Υπολογίστηκε ο διακομιστής στον οποίο στάλθηκε. Στη συνέχεια υπολογίστηκε ο στόχος των τρομοκρατών του Διαδικτύου. Ξέρεις ποιον χτυπούσε όλο αυτό το εχθρικό πυροβολικό; Ένας πολύ συνηθισμένος, μέτριος ιστότοπος πελατών.

Μύθος νούμερο ένα: «Στόχος της επίθεσης είναι πάντα ο πάροχος φιλοξενίας. Αυτή είναι η μηχανορραφία των ανταγωνιστών του. Δεν είναι δικό μου." Στην πραγματικότητα, ο πιο πιθανός στόχος τρομοκρατών του Διαδικτύου είναι ένας συνηθισμένος ιστότοπος πελατών. Δηλαδή, ο ιστότοπος ενός από τους γείτονές σας που φιλοξενεί. Ή ίσως και το δικό σου.

Δεν είναι όλα DDoS...

Μετά τα γεγονότα στον τεχνικό μας ιστότοπο στις 20 Νοεμβρίου 2013 και τη μερική τους επανάληψη στις 9 Ιανουαρίου 2014, ορισμένοι χρήστες άρχισαν να αναλαμβάνουν DDoS σε οποιαδήποτε συγκεκριμένη αποτυχία του δικού τους ιστότοπου: "Αυτό είναι DDoS!" και "Μήπως αντιμετωπίζετε ξανά DDoS;"

Είναι σημαντικό να θυμόμαστε ότι αν μας χτυπήσει ένα τέτοιο DDoS που το νιώθουν ακόμη και οι πελάτες μας, το αναφέρουμε αμέσως οι ίδιοι.

Θα θέλαμε να καθησυχάσουμε όσους βιάζονται να πανικοβληθούν: εάν κάτι δεν πάει καλά με τον ιστότοπό σας, τότε η πιθανότητα να είναι DDoS είναι μικρότερη από 1%. Απλά λόγω του γεγονότος ότι πολλά πράγματα μπορούν να συμβούν σε έναν ιστότοπο και αυτά τα «πολλά πράγματα» συμβαίνουν πολύ πιο συχνά. Θα μιλήσουμε για μεθόδους γρήγορης αυτοδιάγνωσης του τι ακριβώς συμβαίνει με τον ιστότοπό σας σε μία από τις παρακάτω αναρτήσεις.

Στο μεταξύ, για λόγους ακρίβειας της χρήσης λέξεων, ας διευκρινίσουμε τους όρους.

Σχετικά με τους όρους

Επίθεση DoS (από Αγγλικά Denial of Service) - Αυτή είναι μια επίθεση που έχει σχεδιαστεί για να προκαλέσει την άρνηση υπηρεσίας ενός διακομιστή λόγω υπερφόρτωσης.

Οι επιθέσεις DoS δεν σχετίζονται με ζημιά σε εξοπλισμό ή κλοπή πληροφοριών. στόχο τους - κάντε τον διακομιστή να σταματήσει να ανταποκρίνεται σε αιτήματα. Η θεμελιώδης διαφορά μεταξύ του DoS είναι ότι η επίθεση συμβαίνει από το ένα μηχάνημα στο άλλο. Οι συμμετέχοντες είναι ακριβώς δύο.

Αλλά στην πραγματικότητα, δεν βλέπουμε ουσιαστικά επιθέσεις DoS. Γιατί; Επειδή οι στόχοι των επιθέσεων είναι τις περισσότερες φορές βιομηχανικές εγκαταστάσεις (για παράδειγμα, ισχυροί παραγωγικοί διακομιστές εταιρειών φιλοξενίας). Και για να προκληθεί οποιαδήποτε αισθητή βλάβη στη λειτουργία ενός τέτοιου μηχανήματος, απαιτείται πολύ μεγαλύτερη ισχύς από τη δική του. Αυτό είναι το πρώτο πράγμα. Και δεύτερον, είναι πολύ εύκολο να εντοπιστεί ο εκκινητής μιας επίθεσης DoS.

DDoS - ουσιαστικά το ίδιο με το DoS, μόνο η επίθεση είναι κατανεμημένη φύση.Όχι πέντε, ούτε δέκα, ούτε είκοσι, αλλά εκατοντάδες και χιλιάδες υπολογιστές έχουν πρόσβαση σε έναν διακομιστή ταυτόχρονα από διαφορετικά μέρη. Αυτός ο στρατός των μηχανών ονομάζεται botnet. Είναι σχεδόν αδύνατο να αναγνωρίσουμε τον πελάτη και τον διοργανωτή.

Συνένοχοι

Τι είδους υπολογιστές περιλαμβάνονται στο botnet;

Θα εκπλαγείτε, αλλά αυτές είναι συχνά οι πιο συνηθισμένες οικιακές μηχανές. Ποιός ξέρει?.. - πολύ πιθανόν δικό σου οικιακός υπολογιστής παρασύρθηκε στην πλευρά του κακού.

Δεν χρειάζεστε πολλά για αυτό. Ένας εισβολέας βρίσκει μια ευπάθεια σε ένα δημοφιλές λειτουργικό σύστημαή εφαρμογή και με τη βοήθειά του μολύνει τον υπολογιστή σας με έναν Trojan, ο οποίος μια συγκεκριμένη ημέρα και ώρα δίνει εντολή στον υπολογιστή σας να αρχίσει να εκτελεί ορισμένες ενέργειες. Για παράδειγμα, στείλτε αιτήματα σε μια συγκεκριμένη IP. Χωρίς τη γνώση ή τη συμμετοχή σας φυσικά.

Μύθος νούμερο δύο: « Το DDoS γίνεται κάπου μακριά μου, σε ένα ειδικό υπόγειο καταφύγιο όπου κάθονται γενειοφόροι χάκερ με κόκκινα μάτια». Στην πραγματικότητα, χωρίς να το ξέρετε, εσείς, οι φίλοι και οι γείτονές σας - ο καθένας μπορεί να είναι άθελά του συνεργός.

Αυτό πραγματικά συμβαίνει. Ακόμα κι αν δεν το σκέφτεσαι. Ακόμα κι αν είσαι τρομερά μακριά από το IT (ειδικά αν είσαι μακριά από το IT!).

Διασκεδαστικό hacking ή μηχανικοί DDoS

Το φαινόμενο DDoS δεν είναι ομοιόμορφο. Αυτή η έννοια συνδυάζει πολλές επιλογές ενεργειών που οδηγούν σε ένα αποτέλεσμα (άρνηση υπηρεσίας). Ας εξετάσουμε τους τύπους προβλημάτων που μπορούν να μας φέρουν τα DDoSers.

Υπερχρήση υπολογιστικών πόρων διακομιστή

Αυτό γίνεται με την αποστολή πακέτων σε μια συγκεκριμένη IP, η επεξεργασία της οποίας απαιτεί μεγάλο όγκο πόρων. Για παράδειγμα, η φόρτωση μιας σελίδας απαιτεί την εκτέλεση μεγάλου αριθμού ερωτημάτων SQL. Όλοι οι εισβολείς θα ζητήσουν αυτήν ακριβώς τη σελίδα, η οποία θα προκαλέσει υπερφόρτωση διακομιστή και άρνηση παροχής υπηρεσιών για τους κανονικούς, νόμιμους επισκέπτες του ιστότοπου.
Αυτή είναι μια επίθεση στο επίπεδο ενός μαθητή που πέρασε μερικά βράδια διαβάζοντας το περιοδικό Hacker. Δεν είναι πρόβλημα. Η ίδια διεύθυνση URL που ζητήθηκε υπολογίζεται αμέσως, μετά την οποία η πρόσβαση σε αυτήν αποκλείεται σε επίπεδο διακομιστή ιστού. Και αυτή είναι μόνο μια λύση.

Υπερφόρτωση των καναλιών επικοινωνίας στον διακομιστή (έξοδος)

Το επίπεδο δυσκολίας αυτής της επίθεσης είναι περίπου το ίδιο με την προηγούμενη. Ο εισβολέας καθορίζει τη βαρύτερη σελίδα στον ιστότοπο και το botnet υπό τον έλεγχό του αρχίζει να το ζητά μαζικά.

Φανταστείτε ότι το μέρος του Winnie the Pooh που είναι αόρατο σε εμάς είναι απείρως μεγάλο
Σε αυτήν την περίπτωση, είναι επίσης πολύ εύκολο να καταλάβετε τι ακριβώς εμποδίζει το εξερχόμενο κανάλι και να αποτρέψετε την πρόσβαση σε αυτήν τη σελίδα. Παρόμοια ερωτήματα μπορούν εύκολα να φανούν χρησιμοποιώντας ειδικές βοηθητικές υπηρεσίες, που σας επιτρέπουν να δείτε τη διεπαφή δικτύου και να αναλύσετε την κυκλοφορία. Στη συνέχεια γράφεται ένας κανόνας για το Τείχος προστασίας που αποκλείει τέτοια αιτήματα. Όλα αυτά γίνονται τακτικά, αυτόματα και τόσο αστραπιαία που Οι περισσότεροι χρήστες δεν γνωρίζουν καν για οποιαδήποτε επίθεση.

Μύθος νούμερο τρία: "ΕΝΑ Ωστόσο, σπάνια περνούν από τη φιλοξενία μου και πάντα τους παρατηρώ.” Στην πραγματικότητα, το 99,9% των επιθέσεων δεν βλέπετε ούτε αισθάνεστε. Αλλά ο καθημερινός αγώνας μαζί τους - Αυτή είναι η καθημερινή, ρουτίνα δουλειά μιας εταιρείας φιλοξενίας. Αυτή είναι η πραγματικότητά μας, στην οποία μια επίθεση είναι φθηνή, ο ανταγωνισμός είναι εκτός τσαρτ και δεν επιδεικνύουν όλοι διάκριση στις μεθόδους μάχης για μια θέση στον ήλιο.

Υπερφόρτωση καναλιών επικοινωνίας στον διακομιστή (είσοδος)

Αυτό είναι ήδη ένα καθήκον για όσους διαβάζουν το περιοδικό Hacker περισσότερες από μία ημέρες.

Φωτογραφία από την ιστοσελίδα του ραδιοφώνου Ekho Moskvy. Δεν βρήκαμε τίποτα πιο οπτικό για να αναπαραστήσουμε το DDoS με υπερφόρτωση των καναλιών εισόδου.
Για να γεμίσετε ένα κανάλι με εισερχόμενη επισκεψιμότητα σε χωρητικότητα, πρέπει να έχετε ένα botnet, η ισχύς του οποίου σας επιτρέπει να δημιουργήσετε την απαιτούμενη ποσότητα επισκεψιμότητας. Αλλά μήπως υπάρχει τρόπος να στείλετε λίγη κίνηση και να λάβετε πολύ;

Υπάρχει, και όχι μόνο ένα. Υπάρχουν πολλές επιλογές βελτίωσης επίθεσης, αλλά μια από τις πιο δημοφιλείς αυτή τη στιγμή είναι επίθεση μέσω δημόσιων διακομιστών DNS.Οι ειδικοί ονομάζουν αυτή τη μέθοδο ενίσχυσης Ενίσχυση DNS(σε περίπτωση που κάποιος προτιμά ειδικούς όρους). Για να το θέσω απλά, φανταστείτε μια χιονοστιβάδα: αρκεί μια μικρή προσπάθεια για να τη σπάσει, αλλά αρκούν οι απάνθρωποι πόροι για να τη σταματήσουν.

Εσύ κι εγώ το ξέρουμε αυτό δημόσιο διακομιστή DNSκατόπιν αιτήματος, παρέχει σε οποιονδήποτε πληροφορίες σχετικά με οποιοδήποτε όνομα τομέα. Για παράδειγμα, ρωτάμε έναν τέτοιο διακομιστή: πείτε μου για τον τομέα sprinthost.ru. Και χωρίς δισταγμό, μας λέει όλα όσα ξέρει.

Το ερώτημα στον διακομιστή DNS είναι πολύ απλή λειτουργία. Δεν κοστίζει σχεδόν τίποτα να επικοινωνήσετε μαζί του το αίτημα θα είναι μικροσκοπικό. Για παράδειγμα, όπως αυτό:

Το μόνο που μένει είναι να επιλέξουμε Ονομα τομέα, πληροφορίες για το οποίο θα σχηματίσουν ένα εντυπωσιακό πακέτο δεδομένων. Έτσι τα αρχικά 35 byte με μια κίνηση του καρπού μετατρέπονται σε σχεδόν 3700. Υπάρχει αύξηση πάνω από 10 φορές.

Αλλά πώς μπορείτε να διασφαλίσετε ότι η απάντηση θα σταλεί στη σωστή IP; Πώς να πλαστογραφήσετε την πηγή IP ενός αιτήματος, ώστε ο διακομιστής DNS να εκδίδει τις απαντήσεις του προς την κατεύθυνση ενός θύματος που δεν ζήτησε δεδομένα;

Το γεγονός είναι ότι οι διακομιστές DNS λειτουργούν σύμφωνα με Πρωτόκολλο επικοινωνίας UDP, το οποίο δεν απαιτεί καθόλου επιβεβαίωση της πηγής του αιτήματος. Η σφυρηλάτηση μιας εξερχόμενης IP σε αυτή την περίπτωση δεν είναι πολύ δύσκολη για τον δοσομετρητή. Αυτός είναι ο λόγος για τον οποίο αυτό το είδος επίθεσης είναι τόσο δημοφιλές τώρα.

Το πιο σημαντικό είναι ότι ένα πολύ μικρό botnet είναι αρκετό για να πραγματοποιηθεί μια τέτοια επίθεση. Και μερικά διάσπαρτα δημόσια DNS που δεν θα δουν τίποτα περίεργο στο γεγονός ότι διαφορετικούς χρήστεςαπό καιρό σε καιρό ζητούν δεδομένα στη διεύθυνση ενός κεντρικού υπολογιστή. Και μόνο τότε όλη αυτή η κίνηση θα συγχωνευθεί σε ένα ρεύμα και θα καρφώσει έναν «σωλήνα» σφιχτά.

Αυτό που δεν μπορεί να γνωρίζει ο δοσομετρητής είναι η χωρητικότητα των καναλιών του εισβολέα. Και αν δεν υπολογίσει σωστά την ισχύ της επίθεσής του και δεν φράξει αμέσως το κανάλι στο διακομιστή στο 100%, η επίθεση μπορεί να αποκρουστεί αρκετά γρήγορα και εύκολα. Χρησιμοποιώντας βοηθητικά προγράμματα όπως TCPdumpΕίναι εύκολο να ανακαλύψετε ότι η εισερχόμενη κίνηση προέρχεται από DNS και σε επίπεδο Τείχους προστασίας, αποκλείστε την αποδοχή της. Αυτή η επιλογή - η άρνηση αποδοχής επισκεψιμότητας από το DNS - σχετίζεται με μια συγκεκριμένη ταλαιπωρία για όλους, ωστόσο, τόσο οι διακομιστές όσο και οι ιστότοποι σε αυτούς θα συνεχίσουν να λειτουργούν με επιτυχία.

Αυτή είναι μόνο μία επιλογή από τις πολλές πιθανές για ενίσχυση μιας επίθεσης. Υπάρχουν πολλά άλλα είδη επιθέσεων, μπορούμε να τα πούμε άλλη φορά. Προς το παρόν, θα ήθελα να συνοψίσω ότι όλα τα παραπάνω ισχύουν για μια επίθεση της οποίας η ισχύς δεν υπερβαίνει το πλάτος του καναλιού προς τον διακομιστή.

Αν η επίθεση είναι ισχυρή

Εάν η ισχύς επίθεσης υπερβαίνει τη χωρητικότητα του καναλιού προς τον διακομιστή, συμβαίνει το εξής. Το κανάλι του Διαδικτύου προς τον διακομιστή είναι άμεσα φραγμένο, στη συνέχεια στον ιστότοπο φιλοξενίας, στον πάροχο Διαδικτύου του, στον πάροχο υψηλότερου επιπέδου και ούτω καθεξής, και στο εξής, με αυξανόμενο τρόπο (μακροπρόθεσμα - έως το πιο παράλογο όρια), εφόσον η ισχύς επίθεσης είναι επαρκής.

Και τότε γίνεται παγκόσμιο πρόβλημα για όλους. Και με λίγα λόγια, αυτό έπρεπε να αντιμετωπίσουμε στις 20 Νοεμβρίου 2013. Και όταν συμβαίνουν ανατροπές μεγάλης κλίμακας, ήρθε η ώρα να ενεργοποιήσετε την ειδική μαγεία!

Αυτή είναι η εμφάνιση της ειδικής μαγείας Χρησιμοποιώντας αυτήν τη μαγεία, μπορείτε να καταλάβετε τον διακομιστή στον οποίο απευθύνεται η κίνηση και να αποκλείσετε την IP του σε επίπεδο παρόχου Διαδικτύου. Έτσι ώστε να σταματήσει να λαμβάνει τυχόν αιτήματα προς αυτήν την IP μέσω των καναλιών επικοινωνίας του με τον έξω κόσμο (uplinks). Για τους λάτρεις του όρου: οι ειδικοί καλούν αυτή τη διαδικασία "μαύρη τρύπα", από το αγγλικό blackhole.

Σε αυτήν την περίπτωση, ο διακομιστής που δέχεται επίθεση με 500-1500 λογαριασμούς παραμένει χωρίς την IP του. Ένα νέο υποδίκτυο διευθύνσεων IP εκχωρείται για αυτό, στο οποίο οι λογαριασμοί πελατών κατανέμονται τυχαία ομοιόμορφα. Στη συνέχεια, οι ειδικοί περιμένουν να επαναληφθεί η επίθεση. Σχεδόν πάντα επαναλαμβάνεται.

Και όταν επαναλαμβάνεται, η IP που δέχεται επίθεση δεν έχει πλέον 500-1000 λογαριασμούς, αλλά μόνο μια ντουζίνα ή δύο.

Ο κύκλος των υπόπτων στενεύει. Αυτοί οι 10-20 λογαριασμοί είναι και πάλι κατανεμημένοι διαφορετικές διευθύνσεις IP. Και πάλι οι μηχανικοί βρίσκονται σε ενέδρα περιμένοντας να επαναληφθεί η επίθεση. Ξανά και ξανά διανέμουν τους ύποπτους λογαριασμούς σε διαφορετικές IP και έτσι, πλησιάζοντας σταδιακά, καθορίζουν τον στόχο της επίθεσης. Όλοι οι άλλοι λογαριασμοί σε αυτό το σημείο επιστρέφουν στην κανονική λειτουργία στην προηγούμενη IP.

Όπως είναι σαφές, αυτή δεν είναι μια στιγμιαία διαδικασία που απαιτεί χρόνο για να εφαρμοστεί.

Μύθος νούμερο τέσσερα:«Όταν συμβαίνει μια επίθεση μεγάλης κλίμακας, ο οικοδεσπότης μου δεν έχει σχέδιο δράσης. Απλώς περιμένει, με κλειστά μάτια, να τελειώσει ο βομβαρδισμός, και απαντά στις επιστολές μου με τον ίδιο τύπο απαντήσεων».Αυτό δεν είναι αλήθεια: σε περίπτωση επίθεσης, ο πάροχος φιλοξενίας ενεργεί σύμφωνα με ένα σχέδιο για τον εντοπισμό της και την εξάλειψη των συνεπειών το συντομότερο δυνατό. Και οι επιστολές του ίδιου τύπου σάς επιτρέπουν να μεταφέρετε την ουσία αυτού που συμβαίνει και ταυτόχρονα να εξοικονομήσετε τους απαραίτητους πόρους για την αντιμετώπιση μιας κατάστασης έκτακτης ανάγκης όσο το δυνατόν γρηγορότερα.

Υπάρχει φως στο τέλος του τούνελ;

Τώρα βλέπουμε ότι η δραστηριότητα DDoS αυξάνεται συνεχώς. Η παραγγελία μιας επίθεσης έχει γίνει πολύ προσιτή και εξωφρενικά φθηνή. Προκειμένου να αποφευχθούν κατηγορίες για προπαγάνδα, δεν θα υπάρχουν αποδεικτικοί σύνδεσμοι. Αλλά πάρτε το λόγο μας, είναι αλήθεια.

Μύθος αριθμός πέντε: «Μια επίθεση DDoS είναι ένα πολύ ακριβό εγχείρημα και μόνο οι μεγιστάνες των επιχειρήσεων μπορούν να αντέξουν οικονομικά να παραγγείλουν μια. Τουλάχιστον, αυτή είναι η μηχανορραφία των μυστικών υπηρεσιών!». Μάλιστα, τέτοιες εκδηλώσεις έχουν γίνει εξαιρετικά προσιτές.

Επομένως, δεν μπορεί κανείς να περιμένει ότι η κακόβουλη δραστηριότητα θα εξαφανιστεί από μόνη της. Αντίθετα, μόνο θα ενταθεί. Το μόνο που μένει είναι να σφυρηλατήσουμε και να ακονίσουμε το όπλο. Αυτό κάνουμε, βελτιώνοντας την υποδομή του δικτύου.

Νομική πλευρά του θέματος

Αυτή είναι μια πολύ μη δημοφιλής πτυχή της συζήτησης για επιθέσεις DDoS, καθώς σπάνια ακούμε για περιπτώσεις σύλληψης και τιμωρίας των δραστών. Ωστόσο, θα πρέπει να θυμάστε: Μια επίθεση DDoS είναι ποινικό αδίκημα. Στις περισσότερες χώρες του κόσμου, συμπεριλαμβανομένης της Ρωσικής Ομοσπονδίας.

Μύθος αριθμός έξι: « Τώρα ξέρω αρκετά για το DDoS, θα παραγγείλω ένα πάρτι για έναν ανταγωνιστή - και δεν θα μου συμβεί τίποτα γι' αυτό!». Είναι πιθανό να συμβεί. Και αν γίνει, δεν θα φαίνεται πολύ.

• Η αρχή της ιστορίας DDoS σύστημα πληρωμήςΒοηθώ
• Συναρπαστικό τέλος

Σε γενικές γραμμές, δεν συμβουλεύουμε κανέναν να ασχοληθεί με την κακή πρακτική του DDoS, για να μην υποστείτε την οργή της δικαιοσύνης και να μην καταστρέψετε το κάρμα σας. Και εμείς, λόγω των ιδιαιτεροτήτων των δραστηριοτήτων μας και του έντονου ερευνητικού μας ενδιαφέροντος, συνεχίζουμε να μελετάμε το πρόβλημα, να είμαστε φρουροί και να βελτιώνουμε τις αμυντικές δομές.

ΥΣΤΕΡΟΓΡΑΦΟ:δεν έχουμε αρκετά καλά λόγια για να εκφράσουμε την ευγνωμοσύνη μας, γι' αυτό απλώς λέμε"Ευχαριστώ!" στους υπομονετικούς πελάτες μας που μας στήριξαν θερμά σε μια δύσκολη μέρα στις 20 Νοεμβρίου 2013. Έχετε πει πολλά ενθαρρυντικά λόγια για την υποστήριξή μας