Бид сайтын халдлага, хакердах талаар маш их ярьдаг, гэхдээ DDOS-ийн сэдвийг дурдаагүй. Өнөөдөр бид энэ байдлыг засч, танд санал болгож байна бүрэн тойм DDOS халдлага зохион байгуулах технологи, хакерын халдлага хийх мэдэгдэж буй хэрэгслүүд.

Та дараах тушаалыг ажиллуулж KALI дахь DDOS халдлага хийх боломжтой хэрэгслүүдийн жагсаалтыг харж болно.

kali > /usr/share/exploitdb/platforms/windows/dos

Энэ команд нь Windows системд халдсан мөлжлөгийн мэдээллийн санг харуулдаг.

Боломжтой Linux DDOS халдлагын хэрэгслийг үзэхийн тулд дараах тушаалыг оруулна уу:

/usr/share/exploitdb/platforms/Linux/dos.

2.LOIC

Бага тойрог замын ионы их буу (LOIC) Бага тойрог замын ионы их буу. Магадгүй хамгийн алдартай DDOS програм. Энэ нь ICMP болон UDP протоколоор дамжуулан бөөнөөр хүсэлт илгээж, улмаар хохирогчийн сервер рүү сувгийг бөглөж болно. Хамгийн алдартай LOIC халдлагыг 2009 онд Anonymous хийсэн бөгөөд WikiLeaks хандив цуглуулах системээс хасагдсаны хариуд PayPal, Visa, MasterCard-ын эсрэг чиглүүлсэн.

LOIC ашиглан зохион байгуулсан халдлагыг интернетийн үйлчилгээ үзүүлэгчдийн сүлжээний төхөөрөмж дээрх UDP болон ICMP пакетуудыг блоклох замаар ашиглаж болно. Та вэбсайтаас LOIC програмыг өөрөө үнэгүй татаж авах боломжтой. Энэ хэрэгсэл асаалттай байна Windows дээр суурилсанТүүнтэй ажиллах нь маш энгийн, та хохирогчийн сайтыг зааж, зөвхөн нэг товчлуурыг дарна уу.

2.HOIC

HOIC-ийг Praetox-ын Payback ажиллагааны үеэр LOIC-ийг үүсгэсэн баг боловсруулсан. Гол ялгаа HOIC нь HTTP протоколыг ашигладаг бөгөөд санамсаргүй байдлаар HTTP GET болон POST хүсэлтийн урсгалыг илгээхэд ашигладаг. Энэ нь 256 домайн руу нэгэн зэрэг халдах чадвартай. -аас татаж авч болно.

3.XOIC

XOIC бол өөр нэг маш энгийн DDOS хэрэгсэл юм. Хэрэглэгч хохирогчийн IP хаягийг тохируулж, протоколыг (HTTP, UDP, ICMP эсвэл TCP) сонгоод гохыг дарах хэрэгтэй! -аас татаж авч болно

5. ХУЛК

6. UDP Flooder

UDP Flooder нь нэрэндээ нийцдэг - уг хэрэгсэл нь хэд хэдэн UDP пакетуудыг зорилтот цэг рүү илгээх зориулалттай. UDP Flooder нь тоглогчдыг серверээс салгахын тулд тоглоомын серверүүд дээрх DDOS халдлагад ихэвчлэн ашиглагддаг. Програмыг эндээс татаж авах боломжтой.

7. RUDY

8. ToR's Hammer

ToR-ийн Hammer нь хөндлөн ажиллахаар бүтээгдсэн Халдагчийн нэрээ нууцлахын тулд сүлжээ. Энэ хэрэгслийн асуудал нь TOR сүлжээ нэлээд удаан бөгөөд DDOS халдлагын үр нөлөөг бууруулдаг явдал юм. Та энэ DDOS програмыг Пакет Storm эсвэл .

9. Пилорис

Pyloris бол шинэ аргыг ашигладаг өөр нэг DDoS хэрэгсэл юм. Энэ нь халдагчдад өөрийн өвөрмөц зүйлийг бий болгох боломжийг олгодог HTTP хүсэлт. Дараа нь програм нь ийм хүсэлтийг ашиглан TCP холболтыг нээлттэй байлгахыг оролдох бөгөөд ингэснээр сервер дээрх боломжтой холболтын тоог багасгах болно. Серверийн холболтын хязгаар хязгаартаа хүрэхэд сервер холболт хийх боломжгүй болж, сайт ажиллах боломжгүй болно. Энэ хэрэгслийг вэбсайтаас үнэгүй татаж авах боломжтой.

10. OWASP Switchblade

Open Web Application Security Project (OWASP) болон ProactiveRISK хэрэгсэл боловсруулсан Switchblade DoS хэрэгсэл WEB програмуудыг DDoS халдлагад тэсвэртэй эсэхийг шалгах зориулалттай. Энэ нь 1. SSL Half-Open, 2. HTTP Post, 3. Slowloris гэсэн гурван үйлдлийн горимтой. Та үүнийг OWASP вэбсайтаас татаж авах боломжтой.

11. ДАВОСЕТ

12. GoldenEye HTTP DoS хэрэгсэл

13. THC-SSL-DOS

Энэхүү DDOS програм (Kali-д багтсан) нь интернетийн зурвасын өргөнийг ашигладаггүй, нэг компьютерээс ашиглах боломжтой гэдгээрээ ихэнх DDOS хэрэгслүүдээс ялгаатай. THC-SSL-DOS нь SSL протоколын эмзэг байдлыг ашигладаг бөгөөд зорилтот серверийг сүйрүүлэх чадвартай. Мэдээжийн хэрэг, түүнд ийм эмзэг байдал байхгүй бол. Та програмыг THC вэбсайтаас татаж авах эсвэл энэ хэрэгслийг аль хэдийн суулгасан KALI Linux-г ашиглаж болно.

14. DDOSIM – Layer 7 DDoS эмулятор

Энэ бол бидний тойм дуусч байгаа боловч ирээдүйд бид блогынхаа хуудсан дээрх DDOS халдлагын сэдэв рүү буцах болно.

DDoS халдлагатай тэмцэх нь хэцүү ажил төдийгүй сэтгэл хөдөлгөм юм. Системийн администратор бүр юуны түрүүнд хамгаалалтыг бие даан зохион байгуулахыг хичээдэг нь гайхах зүйл биш юм, ялангуяа энэ нь боломжтой хэвээр байгаа тул.

Бид танд энэ хүнд хэцүү асуудалд туслахаар шийдсэн бөгөөд таны сайтыг халдлагаас хамгаалах богино, энгийн, түгээмэл бус зөвлөмжийг нийтлэхээр шийдсэн. Өгөгдсөн жорууд нь танд ямар ч халдлагыг даван туулахад тус болохгүй, гэхдээ тэд таныг ихэнх аюулаас хамгаалах болно.

Зөв найрлага

Хатуу үнэн бол Апачи-г бүрмөсөн устгадаг Slowloris халдлагыг ашиглан эсвэл ферм ашиглан SYN үер гэж нэрлэгдэх ажлыг зохион байгуулснаар хэн ч олон сайтыг устгаж болно. виртуал серверүүд, Amazon EC2 үүлэнд нэг минутын дотор босгосон. Өөрөө хийх DDoS хамгаалалтын талаарх бидний цаашдын бүх зөвлөгөө нь дараах чухал нөхцлүүд дээр суурилдаг.

1. Windows Server ашиглахаа боль

Дадлагаас харахад Windows дээр ажилладаг сайт (2003 эсвэл 2008 - хамаагүй) DDoS-ийн үед сүйрнэ. Алдаа гарсан шалтгаан нь Windows сүлжээний стект оршдог: олон холболттой үед сервер муу хариу үйлдэл үзүүлж эхэлдэг. Яагаад гэдгийг бид мэдэхгүй Windows серверИйм нөхцөлд энэ нь маш жигшүүртэй ажилладаг, гэхдээ бид нэгээс хоёр удаа ийм зүйлтэй тулгарсан. Ийм учраас энэ нийтлэлд сервер Linux дээр ажиллаж байгаа тохиолдолд DDoS халдлагаас хамгаалах арга хэрэгсэлд анхаарлаа хандуулах болно. Хэрэв та харьцангуй орчин үеийн цөмийн (2.6-аас эхлэн) азтай эзэн бол үндсэн хэрэгсэл нь iptables болон ipset хэрэгслүүд байх болно (IP хаягийг хурдан нэмэх), үүний тусламжтайгаар та роботуудыг хурдан хориглох боломжтой. Амжилтанд хүрэх өөр нэг түлхүүр бол зөв бэлтгэсэн сүлжээний стек бөгөөд энэ талаар бид дараа нь ярих болно.

2. Апачигаас салах

Хоёр дахь чухал нөхцөл бол Apache-г орхих явдал юм. Хэрэв та Apache ажиллуулж байгаа бол ядаж түүний урд кэш прокси суулгаарай - nginx эсвэл lighttpd. Apache нь файлд үйлчлэхэд туйлын хэцүү бөгөөд үүнээс ч муу нь энэ нь хамгийн аюултай Slowloris халдлагад өртөмтгий байдаг бөгөөд энэ нь серверийг бараг л сүйрүүлэх боломжийг олгодог. гар утас. Төрөл бүрийн Slowloris-тэй тэмцэхийн тулд Apache хэрэглэгчид эхлээд Anti-slowloris.diff нөхөөсийг бүтээж, дараа нь mod_noloris, дараа нь mod_antiloris, mod_limitipconn, mod_reqtimeout... Гэхдээ хэрэв та шөнө тайван унтахыг хүсвэл HTTP сервер ашиглах нь илүү хялбар байдаг. Энэ нь архитектурын түвшний кодоор Slowloris-д халдашгүй юм. Тиймээс бидний цаашдын бүх жорууд нь nginx-ийг урд талд ашигладаг гэсэн таамаглал дээр үндэслэсэн болно.

DDoS-тэй тэмцэж байна

DDoS ирвэл яах вэ? Өөрийгөө хамгаалах уламжлалт арга бол HTTP серверийн бүртгэлийн файлыг уншиж, grep загвар бичих (бот хүсэлтийг барьж авах) ба үүнд орсон хүн бүрийг хориглох явдал юм. Хэрэв та азтай бол энэ техник ажиллах болно. Хоёр төрлийн ботнет байдаг бөгөөд хоёулаа аюултай, гэхдээ өөр өөр арга замууд байдаг. Нэг нь сайт руу шууд орж ирдэг, нөгөө нь аажмаар. Эхнийх нь бүгдийг нэг дор устгадаг, гэхдээ бүх зүйл логууд дээр гарч ирдэг бөгөөд хэрэв та тэдгээрийг дулаацуулж, бүх IP хаягийг хоригловол та ялагч болно. Хоёрдахь ботнет нь сайт руу зөөлөн бөгөөд болгоомжтой довтлох боловч та үүнийг 24 цагийн турш хориглох хэрэгтэй болно. Аливаа администратор ойлгох нь чухал: хэрвээ та grep-тэй тулалдахаар төлөвлөж байгаа бол дайралттай тэмцэхэд хэдэн өдөр зарцуулахад бэлэн байх ёстой. Унах нь өвдөлт багатай болгохын тулд та өмнө нь сүрлийг хаана байрлуулж болох талаар зөвлөмжийг доор өгөв.

3. Testcookie модулийг ашиглана уу

Магадгүй энэ нийтлэл дэх хамгийн чухал, үр дүнтэй, үйл ажиллагааны жор. Хэрэв DDoS таны сайтад орж ирвэл эсрэг тэмцэх хамгийн үр дүнтэй арга бол habrauser @kyprizel-ийн боловсруулсан testcookie-nginx модуль юм. Санаа нь энгийн. Ихэнхдээ HTTP үерийг хэрэгжүүлдэг роботууд нь маш тэнэг бөгөөд HTTP күүки болон дахин чиглүүлэх механизмгүй байдаг. Заримдаа та илүү дэвшилтэт програмуудтай тааралддаг - тэд күүки ашиглаж, дахин чиглүүлэлт хийх боломжтой боловч DoS бот бараг хэзээ ч бүрэн хүчин чадалтай JavaScript хөдөлгүүртэй байдаггүй (хэдийгээр энэ нь улам бүр түгээмэл болж байна). Testcookie-nginx нь L7 DDoS халдлагын үед роботууд болон арын хэсгийн хооронд хурдан шүүлтүүр болж, хэрэггүй хүсэлтийг шүүх боломжийг танд олгоно. Эдгээр шалгалтад юу багтсан бэ? Үйлчлүүлэгч HTTP дахин чиглүүлэлт хийх талаар мэддэг үү, энэ нь JavaScript-г дэмждэг үү, энэ нь түүний гэж үздэг хөтөч мөн үү (үчир нь JavaScript нь хаа сайгүй өөр байдаг бөгөөд хэрэв үйлчлүүлэгч үүнийг Firefox гэж хэлж байгаа бол бид үүнийг шалгаж болно). Баталгаажуулалтыг янз бүрийн аргыг ашиглан күүки ашиглан гүйцэтгэдэг.

• "Set-Cookie" + 301 HTTP байршлыг ашиглан дахин чиглүүлэх;
• "Set-Cookie" + ашиглан дахин чиглүүлэх HTML ашигланмета шинэчлэх;
• ямар ч загвар, та JavaScript ашиглаж болно.

Автомат задлан шинжлэхээс зайлсхийхийн тулд баталгаажуулалтын күүкийг AES-128-ээр шифрлэж, дараа нь JavaScript-н клиент тал дээр тайлж болно. IN шинэ хувилбармодулийг ашигласнаар Flash-ээр күүки тохируулах боломжтой болсон бөгөөд энэ нь танд роботуудыг үр дүнтэй устгах боломжийг олгодог (дүрмээр бол Flash дэмждэггүй), гэхдээ олон хууль ёсны хэрэглэгчдийн (бараг бүх) хандалтыг хаадаг. хөдөлгөөнт төхөөрөмжүүд). Testcookie-nginx-г ашиглаж эхлэхэд маш хялбар байдаг нь анхаарал татаж байна. Хөгжүүлэгч нь ялангуяа хэд хэдэн зүйлийг өгдөг тод жишээнүүд nginx-д зориулсан тохиргооны дээжийг ашиглан (өөр өөр халдлагын тохиолдлуудад).

Давуу талуудаас гадна testcookie нь сул талуудтай:

• Googlebot зэрэг бүх роботуудыг багасгадаг. Хэрэв та testcookie-г байнга хадгалахаар төлөвлөж байгаа бол хайлтын үр дүнгээс алга болохгүйг анхаар;
• Links, w3m болон ижил төстэй хөтөчтэй хэрэглэгчдэд асуудал үүсгэдэг;
• JavaScript-тэй бүрэн хэмжээний хөтөчийн хөдөлгүүрээр тоноглогдсон роботуудаас хамгаалахгүй.

Товчхондоо, testcookie_module нь бүх нийтийнх биш юм. Гэхдээ энэ нь жишээлбэл, Java болон C# хэл дээрх энгийн хэрэгслүүд гэх мэт олон зүйлд тусалдаг. Ингэснээр та аюул заналхийллийн нэг хэсгийг таслав.

4. Код 444

DDoSers-ийн зорилго нь ихэвчлэн сайтын хамгийн их нөөц шаарддаг хэсэг юм. Энгийн жишээ бол өгөгдлийн сангийн нарийн төвөгтэй асуултуудыг гүйцэтгэдэг хайлт юм. Мэдээжийн хэрэг, халдагчид хайлтын системд хэдэн арван мянган хүсэлтийг нэгэн зэрэг ачаалах замаар үүнийг ашиглах боломжтой. Бид юу хийж чадах вэ? Хайлтыг түр идэвхгүй болгох. Хэдийгээр үйлчлүүлэгчид суулгасан хэрэгслүүдийг ашиглан өөрт хэрэгтэй мэдээллээ хайж чадахгүй ч бүх асуудлын үндсийг олох хүртэл үндсэн сайт бүхэлдээ ажиллах болно. Nginx нь стандарт бус 444 кодыг дэмждэг бөгөөд энэ нь холболтыг зүгээр л хааж, хариуд нь юу ч буцаахгүй байх боломжийг олгодог:

Байршил / хайлт (буцах 444; )

Ийм байдлаар та жишээ нь URL-ээр шүүлтийг хурдан хэрэгжүүлэх боломжтой. Хэрэв та байршил/хайлт хийх хүсэлтийг зөвхөн ботоос авдаг гэдэгт итгэлтэй байгаа бол (жишээлбэл, танай сайт /хайлтын хэсэг огт байхгүй байгаатай холбоотой) та IPset багцыг сервер дээр суулгаж, хориглох боломжтой. энгийн бүрхүүлийн скрипт бүхий роботууд:

Ipset -N ban iphash tail -f access.log | LINE уншиж байхдаа; "$LINE" цуурай хийх | \ cut -d""" -f3 | таслах -d" " -f2 | grep -q 444 && ipset -A хориг "$(L%% *)"; хийсэн

Хэрэв бүртгэлийн файлын формат нь стандарт бус (нийлмэл биш) эсвэл хариултын төлөвөөс бусад шалгуурт үндэслэн хориглох шаардлагатай бол хайчлахыг ердийн илэрхийллээр солих шаардлагатай.

5. Бид газарзүйн байршлаар нь хориглодог

Стандарт бус хариултын код 444 нь гео-д суурилсан шинж чанарт үндэслэн үйлчлүүлэгчдийг хурдан хориглоход ашигтай байж болно. Танд эвгүй байдалд оруулдаг зарим улс орнуудыг хатуу хязгаарлаж болно. Жишээлбэл, Ростов-на-Дону хотын онлайн камерын дэлгүүр Египетэд олон хэрэглэгчтэй байх магадлал багатай юм. Тийм ч биш сайн арга(Шууд хэлэхэд жигшүүртэй), GeoIP өгөгдөл нь буруу, Ростовчууд заримдаа амралтаараа Египет рүү нисдэг. Гэхдээ танд алдах зүйл байхгүй бол дараах зааврыг дагана уу.

1. GeoIP модулийг nginx (wiki.nginx.org/HttpGeoipModule) руу холбоно уу.
2. Хандалтын бүртгэлд газарзүйн лавлагааны мэдээллийг харуулах.
3. Дараа нь дээрх бүрхүүлийн скриптийг өөрчилснөөр nginx-ийн хандалтын бүртгэлийг ажиллуулж, газарзүйн хувьд хасагдсан үйлчлүүлэгчдийг хоригт нэмнэ үү.

Жишээлбэл, роботууд ихэвчлэн Хятадаас ирсэн бол энэ нь тус болж магадгүй юм.

6. Мэдрэлийн сүлжээ (PoC)

Эцэст нь, та PyBrain мэдрэлийн сүлжээг авч, логоо бөглөж, асуулгад дүн шинжилгээ хийсэн @SaveTheRbtz хабра хэрэглэгчийн туршлагыг давтаж болно (habrahabr.ru/post/136237). Энэ арга нь бүх нийтийн биш боловч ажилладаг :). Гэхдээ хэрэв та сайтынхаа дотоод талыг үнэхээр мэддэг бол - мөн та яаж Системийн админ, тэгвэл хамгийн эмгэнэлтэй нөхцөлд мэдрэлийн сүлжээ, сургалт, урьдчилан цуглуулсан мэдээлэлд суурилсан ийм хэрэгсэл танд туслах боломжтой. Энэ тохиолдолд DDoS эхлэхээс өмнө access.log-тэй байх нь маш ашигтай, учир нь энэ нь хууль ёсны үйлчлүүлэгчдийн бараг 100% -ийг тодорхойлдог тул сургалтын маш сайн мэдээллийн багц юм. мэдрэлийн сүлжээ. Түүгээр ч барахгүй роботууд бүртгэлд үргэлж харагддаггүй.

Асуудлын оношлогоо

Сайт ажиллахгүй байна - яагаад? Энэ нь DDoSed юмуу эсвэл програмист анзаараагүй хөдөлгүүрийн алдаа мөн үү? хамаагүй. Энэ асуултын хариултыг хайх хэрэггүй. Хэрэв таны сайт халдлагад өртөж магадгүй гэж бодож байгаа бол халдлагаас хамгаалдаг компаниудтай холбоо бариарай - DDoS-ийн эсрэг хэд хэдэн үйлчилгээ нь холболт хийсний дараах эхний өдрүүдэд үнэ төлбөргүй санал болгодог - шинж тэмдгийг хайж олох цаг бүү үр. Асуудалд анхаарлаа төвлөрүүл. Хэрэв сайт удаан эсвэл огт нээгдэхгүй бол түүний гүйцэтгэлд ямар нэг алдаа байгаа бөгөөд DDoS халдлага байгаа эсэхээс үл хамааран үүнд юу нөлөөлж байгааг ойлгох нь мэргэжлийн хүний ​​​​хувьд таны үүрэг юм. DDoS халдлагын улмаас вэб сайтынхаа үйл ажиллагаанд хүндрэл учирсан компани вэбсайтын хөдөлгүүрийн сул талыг хайхын оронд халдагчдыг олж, шийтгэхийн тулд Дотоод хэргийн яаманд мэдэгдэл илгээхийг оролдсоныг бид олон удаа гэрчлэх болсон. Эдгээр алдааг бүү хий. Цахим гэмт хэрэгтнүүдийг олох нь интернетийн бүтэц, үйл ажиллагааны зарчмаас шалтгаалж төвөгтэй, урт удаан үйл явц бөгөөд сайтын үйл ажиллагаанд тулгарсан асуудлыг цаг алдалгүй шийдвэрлэх ёстой. Сайтын гүйцэтгэл буурсан шалтгааныг олохын тулд техникийн мэргэжилтнүүдтэй холбоо бариарай, хуульчид мэдэгдэл бичиж болно.

7. Профайл үүсгэгч болон дибаг хийгчийг ашигла

Вэбсайт үүсгэх хамгийн түгээмэл платформ болох PHP + MySQL-ийн хувьд саад бэрхшээлийг дараах хэрэгслийг ашиглан олж болно.

• Xdebug профайл нь програм аль дуудлагад хамгийн их цаг зарцуулж байгааг харуулах болно;
• алдааны бүртгэлд суулгасан APD дибаглагч болон дибаг хийх гаралт нь эдгээр дуудлагыг яг ямар кодоор хийхийг олж мэдэхэд тусална;
• Ихэнх тохиолдолд нохой нь мэдээллийн сангийн асуулгын нарийн төвөгтэй байдал, хүнд байдалд оршдог. Өгөгдлийн сангийн хөдөлгүүрт суулгасан SQL зааврыг тайлбарлах нь энд туслах болно.

Хэрэв сайт ажиллахаа больсон бөгөөд та юу ч алдахгүй бол сүлжээнээсээ салж, бүртгэлүүдийг үзэж, тоглуулахыг оролдоорой. Хэрэв байхгүй бол хуудсуудыг гүйлгэж, суурийг харна уу.

Жишээ нь PHP-д зориулагдсан боловч санаа нь ямар ч платформд хүчинтэй. Ямар ч програмчлалын хэл дээр програм хангамжийн бүтээгдэхүүн бичдэг хөгжүүлэгч нь дибаг хийгч болон профайлыг хоёуланг нь хурдан ашиглах чадвартай байх ёстой. Урьдчилан дасгал хий!

8. Алдааг шинжлэх

Траффикийн хэмжээ, серверийн хариу өгөх хугацаа, алдааны тоо зэргийг шинжлэх. Үүнийг хийхийн тулд логуудыг хараарай. Nginx дээр серверийн хариу өгөх хугацааг хүсэлтийн_цаг ба урсгалын_хариу_цаг гэсэн хоёр хувьсагчаар бүртгэлд бүртгэдэг. Эхнийх нь бүтэн цагаархэрэглэгчийн болон серверийн хоорондох сүлжээний саатал зэрэг хүсэлтийн гүйцэтгэл; хоёр дахь нь backend (Apache, php_fpm, uwsgi...) хүсэлтийг хэр удаан гүйцэтгэсэн тухай өгүүлдэг. Урсгалын_хариу_цагийн утга нь олон тооны сайтуудын хувьд маш чухал юм динамик агуулгамөн фронт болон мэдээллийн сангийн хооронд идэвхтэй харилцаа холбоог үл тоомсорлож болохгүй. Та дараах тохиргоог бүртгэлийн формат болгон ашиглаж болно.

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Энэ нь цаг хугацааны талбаруудыг нэмсэн хосолсон формат юм.

9. Хүсэлтийг секунд тутамд хянах

Мөн секундэд ирдэг хүсэлтийн тоог харна уу. Nginx-ийн хувьд та дараах бүрхүүлийн командын тусламжтайгаар энэ утгыг ойролцоогоор тооцоолж болно (ACCESS_LOG хувьсагч нь nginx хүсэлтийн бүртгэлийн нэгдсэн формат руу орох замыг агуулна):

Цуурай $(($(fgrep -c "$(env LC_ALL=C огноо --огноо=@$(($(огноо \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

Өдрийн энэ цагийн хэвийн түвшинтэй харьцуулахад секундэд ирэх хүсэлтийн тоо буурах эсвэл өсөх боломжтой. Хэрэв том ботнет ирсэн бол тэд өсч, хэрэв ирж буй ботнет нь сайтыг буулгаж, хууль ёсны хэрэглэгчдэд бүрэн нэвтрэх боломжгүй болгож, унадаг бөгөөд үүний зэрэгцээ ботнет нь статикийг шаарддаггүй, харин хууль ёсны хэрэглэгчид хийдэг. Хүсэлтийн тоо буурч байгаа нь статик байдлаас болж яг ажиглагдаж байна. Гэхдээ нэг талаараа бид үзүүлэлтүүдийн ноцтой өөрчлөлтийн талаар ярьж байна. Гэнэт ийм зүйл тохиолдоход та асуудлыг өөрөө шийдэх гэж оролдож байгаа бөгөөд хэрэв та үүнийг бүртгэлээс шууд олж харахгүй бол хөдөлгүүрийг хурдан шалгаж, мэргэжилтнүүдтэй холбоо барих нь дээр.

10. Tcpdump-ийн талаар бүү мартаарай

Олон хүмүүс tcpdump бол оношилгооны гайхалтай хэрэгсэл гэдгийг мартдаг. Би танд хэдэн жишээ хэлье. 2011 оны 12-р сард TCP сегментийн тугуудыг SYN болон RST тохируулах үед TCP холболтыг нээх үед Linux цөмд алдаа илэрсэн. Алдааны анхны тайланг ОХУ-аас системийн администратор илгээсэн бөгөөд түүний нөөц нь энэ аргаар халдлагад өртсөн - халдагч нар бүх дэлхийн өмнө эмзэг байдлын талаар мэдсэн. Энэ онош нь түүнд тусалсан нь ойлгомжтой. Өөр нэг жишээ: nginx нь тийм ч таатай бус шинж чанартай байдаг - энэ нь хүсэлтийг бүрэн боловсруулж дууссаны дараа л бүртгэлд бичдэг. Сайт унтарсан, юу ч ажиллахгүй, бүртгэлд юу ч байхгүй нөхцөл байдал байдаг. Учир нь бүх хүсэлт ийм байна Энэ мөчсерверийг ачаалж байна, хараахан дуусаагүй байна. Tcpdump энд бас туслах болно.

Би хүмүүст бүх зүйл эмх цэгцтэй байгаа гэдэгт итгэлтэй болтол хоёртын протоколыг ашиглахгүй байхыг зөвлөсөн нь маш сайн - эцэст нь текст протоколуудыг tcpdump ашиглан дибаг хийхэд хялбар байдаг, гэхдээ хоёртын протокол нь тийм биш. Гэсэн хэдий ч үнэрлэгч нь оношилгооны хувьд сайн юм. хэрэгсэл - үйлдвэрлэлийг хадгалах хэрэгсэл болгон "гэж тэр аймшигтай юм. Энэ нь нэг дор хэд хэдэн пакетуудыг амархан алдаж, таны хэрэглэгчийн түүхийг сүйтгэж болзошгүй. Үүний үр дүнг харахад тохиромжтой, гар аргаар оношлох, хориглоход тустай, гэхдээ үүн дээр ямар нэгэн чухал зүйл хийхгүй байхыг хичээгээрэй. "Хүсэлт булшлах" өөр нэг дуртай хэрэгсэл болох ngrep нь ерөнхийдөө хоёр гигабайт орчим солигдох боломжгүй санах ойг хүсэх гэж оролддог бөгөөд зөвхөн дараа нь түүний шаардлагыг бууруулж эхэлдэг.

11. Довтолж байна уу үгүй ​​юу?

Жишээлбэл, DDoS халдлагыг эффектээс хэрхэн ялгах вэ зар сурталчилгааны кампанит ажил? Энэ асуулт инээдтэй мэт санагдаж болох ч сэдэв нь тийм ч төвөгтэй биш юм. Нилээд инээдтэй тохиолдол байдаг. Зарим сайн залуус, өөрсдийгөө чангалж, кэшийг сайтар эргэлдүүлснээр сайт хэд хоног унтарсан. Хэдэн сарын турш энэ сайтыг зарим германчууд чимээгүйхэн мэдээлсэн байсан бөгөөд кэшийг оновчтой болгохоос өмнө эдгээр германчуудын бүх зураг бүхий сайтын хуудсуудыг ачаалахад нэлээд хугацаа зарцуулагдсан. Хуудсыг кэшээс нэн даруй үйлчилж эхлэхэд ямар ч завсарлагдаагүй бот тэдгээрийг шууд цуглуулж эхлэв. Хэцүү байсан. Хэрэв та өөрөө тохиргоогоо өөрчилсөн (кэшийг асаасан) бөгөөд үүний дараа сайт ажиллахаа больсон бол таны болон таны даргын бодлоор хэн буруутай вэ гэдэг нь ялангуяа хэцүү байдаг. Яг. Хэрэв та хүсэлтийн тоо огцом нэмэгдэж байгааг харж байгаа бол ж.нь. Google Analyticsхэн аль хуудас руу орсон.

Вэб сервер тааруулах

Өөр ямар гол цэгүүд байна вэ? Мэдээжийн хэрэг, та анхдагч nginx-ийг суулгаж болно, бүх зүйл сайхан болно гэж найдаж байна. Гэсэн хэдий ч бүх зүйл үргэлж сайн байдаггүй. Тиймээс аливаа серверийн админ нь nginx-ийг нарийн тааруулж, тааруулахад маш их цаг зарцуулах ёстой.

12. Nginx дахь нөөцийг хязгаарлах (буферийн хэмжээ).

Юуны өмнө та юу санаж байх ёстой вэ? Нөөц бүр өөрийн гэсэн хязгаарлалттай байдаг. Юуны өмнө энэ нь RAM-д хамаатай. Тиймээс толгой ба бүх ашигласан буферийн хэмжээ нь үйлчлүүлэгч болон бүх серверт тохирох утгуудаар хязгаарлагдах ёстой. Тэд nginx тохиргоонд бүртгэгдсэн байх ёстой.

• үйлчлүүлэгчийн_толгой_буферийн_хэмжээ _ Үйлчлүүлэгчийн хүсэлтийн толгой хэсгийг унших буферийн хэмжээг тохируулна. Хэрэв хүсэлтийн мөр эсвэл хүсэлтийн толгой талбар нь энэ буферт бүрэн тохирохгүй бол large_client_header_buffers зааварт заасан том буферүүдийг хуваарилна.
• том_үйлчлүүлэгчийн_толгой_буферҮйлчлүүлэгчийн хүсэлтийн толгой хэсгийг уншихад зориулсан буферийн хамгийн их тоо, хэмжээг тохируулна.
• үйлчлүүлэгчийн_биеийн_буферийн_хэмжээҮйлчлүүлэгчийн хүсэлтийн хэсгийг унших буферийн хэмжээг тохируулна. Хэрэв хүсэлтийн хэсэг нь заасан буферээс том бол хүсэлтийн бие бүхэлдээ эсвэл зөвхөн хэсэг нь түр файлд бичигдэнэ.
• үйлчлүүлэгчийн_хамгийн_биеийн_хэмжээХүсэлтийн толгой хэсгийн "Агуулгын урт" хэсэгт заасан үйлчлүүлэгчийн хүсэлтийн зөвшөөрөгдөх дээд хэмжээг тохируулна. Хэрэв хэмжээ нь заасан хэмжээнээс том бол 413 алдаа (Хүсэлтийн байгууллага хэтэрхий том) үйлчлүүлэгч рүү буцна.

13. Nginx дээр завсарлага тохируулах

Цаг хугацаа бол бас нөөц юм. Тиймээс дараагийн чухал алхам бол nginx тохиргоонд анхааралтай зааж өгөх нь маш чухал ач холбогдолтой бүх завсарлагыг тохируулах явдал юм.

• холболтыг дахин тохируулах; FIN-WAIT үе шатанд гацсан залгууруудыг шийдвэрлэхэд тусална.
• үйлчлүүлэгчийн_толгой_хугацааҮйлчлүүлэгчийн хүсэлтийн толгой хэсгийг унших үед завсарлах хугацааг тохируулна.
• үйлчлүүлэгчийн_биеийн_хугацааҮйлчлүүлэгчийн хүсэлтийн үндсэн хэсгийг уншихад завсарлах хугацааг тохируулна.
• амьд_хугацааҮйлчлүүлэгчийн холболтыг серверийн талаас хаахгүй байх хугацааг тохируулна. Олон хүмүүс энд томоохон үнэ цэнийг тогтоохоос айдаг боловч энэ айдас үндэслэлтэй гэдэгт бид итгэлгүй байна. Сонголтоор та Keep-Alive HTTP толгой хэсэгт завсарлагааны утгыг тохируулж болно, гэхдээ Internet Explorerэнэ утгыг үл тоомсорлодогоороо алдартай
• илгээх_хугацааҮйлчлүүлэгч рүү хариу илгээх цагийг тохируулна. Хэрэв энэ хугацааны дараа үйлчлүүлэгч юу ч хүлээж авахгүй бол холболт хаагдах болно.

Нэн даруй асуулт гарч ирнэ: буфер болон хугацаа дуусах ямар параметрүүд зөв бэ? Энд бүх нийтийн жор байдаггүй, нөхцөл байдал бүр өөрийн гэсэн байдаг. Гэхдээ батлагдсан арга байдаг. Сайтыг ажиллуулах хамгийн бага утгыг (энх тайван цагт), өөрөөр хэлбэл хуудсуудаар үйлчилж, хүсэлтийг боловсруулах шаардлагатай. Үүнийг зөвхөн ширээний компьютер болон хөдөлгөөнт төхөөрөмжөөс туршилтаар тодорхойлно. Параметр бүрийн утгыг олох алгоритм (буферийн хэмжээ эсвэл хугацаа дуусах):

1. Бид параметрийн математикийн хамгийн бага утгыг тогтоосон.
2. Бид сайтын туршилтыг эхлүүлж байна.
3. Хэрэв сайтын бүх функцууд асуудалгүй ажиллаж байвал параметрийг тодорхойлно. Хэрэв үгүй ​​бол параметрийн утгыг нэмэгдүүлж, 2-р алхам руу очно уу.
4. Хэрэв параметрийн утга нь анхдагч утгаас хэтэрсэн бол энэ нь хөгжүүлэлтийн багт хэлэлцэх шалтгаан болно.

Зарим тохиолдолд эдгээр параметрүүдийг засварлах нь сайтыг дахин боловсруулах/дахин дизайн хийхэд хүргэдэг. Жишээлбэл, хэрэв сайт гурван минутын урт санал асуулгын AJAX хүсэлтгүйгээр ажиллахгүй бол та хугацааг нэмэгдүүлэх шаардлагагүй, харин урт санал хураалтыг өөр зүйлээр солих хэрэгтэй - 20 мянган машинтай ботнет, хүсэлтийг гурван минутын турш өлгөх, дундаж хямд серверийг амархан устгах болно.

14. Nginx дахь холболтыг хязгаарлах (хязгаар_холбоо ба хязгаар_хэрэгцээ)

Nginx нь холболт, хүсэлт гэх мэтийг хязгаарлах чадвартай. Хэрэв та өөрийн сайтын тодорхой хэсэг хэрхэн ажиллахыг мэдэхгүй байгаа бол үүнийг туршиж үзээд, хичнээн хүсэлт хүлээж авахыг ойлгож, nginx тохиргоонд үүнийг бичих хэрэгтэй. Сайт ажиллахаа больсон, та ирээд авах боломжтой бол энэ нь нэг зүйл юм. Энэ нь сервер солигдох хүртэл буурахад огт өөр асуудал юм. Энэ тохиолдолд түүний ялалтаар буцаж ирэхийг хүлээхээс дахин ачаалах нь ихэвчлэн хялбар байдаг.

Сайт нь тодорхой нэр бүхий /татаж авах, /хайх гэсэн хэсгүүдтэй гэж бодъё. Үүний зэрэгцээ бид:

• Бид роботуудыг (эсвэл хэт идэвх зүтгэлтэй рекурсив татаж авах менежертэй хүмүүсийг) манай TCP холболтын хүснэгтийг татаж авсан файлаараа дүүргэхийг хүсэхгүй байна;
• Бид роботуудыг (эсвэл тэнэмэл мөлхөгчдийг) хүсэхгүй байна Хайлтын системүүд) олон хайлтын асуулга бүхий DBMS-ийн тооцоолох нөөцийг шавхсан.

Эдгээр зорилгын үүднээс дараах тохиргоо ажиллана.

Http ( хязгаар_холболтын_бүс $хоёртын_алсын_addr бүс=татаж авах_c:10м; хязгаар_req_zone $binary_remote_addr бүс=хайх_r:10м \ rate=1r/s; сервер (байршил /татаж авах/ (хязгаар_холболт татаж_c 1; # Бусад тохиргооны байршил /хязгаарлалт) search_r burst=5; # Бусад тохиргооны байршил ) ) )

Гүйцэтгэхэд үнэтэй скриптүүд байрладаг газруудад limit_conn болон limit_req хязгаарлалтуудыг тавих нь ихэвчлэн шууд утга учиртай байдаг (жишээ нь хайлтыг харуулсан бөгөөд энэ нь сайн шалтгаантай). Хязгаарлалтуудыг ачаалал ба регрессийн туршилтын үр дүн, түүнчлэн нийтлэг ойлголт дээр үндэслэн сонгох ёстой.

Жишээн дээрх 10м параметрийг анхаарна уу. Энэ хязгаарыг тооцоолоход нэг мегабайт биш 10 мегабайт буфертэй толь бичиг хуваарилагдана гэсэн үг юм. Энэ тохиргоонд энэ нь 320,000 TCP сессийг хянах боломжийг олгоно. Санах ойн хэмжээг оновчтой болгохын тулд $binary_remote_addr хувьсагчийг толь бичгийн түлхүүр болгон ашигладаг бөгөөд энэ нь хэрэглэгчийн IP хаягийг хоёртын хэлбэрт багтаасан бөгөөд энгийн $remote_addr тэмдэгт мөрийн хувьсагчаас бага санах ой эзэлдэг. Limit_req_zone зааврын хоёрдахь параметр нь зөвхөн IP биш, мөн энэ хүрээнд байгаа бусад nginx хувьсагч байж болно гэдгийг тэмдэглэх нь зүйтэй - жишээлбэл, проксид илүү зөөлөн горим өгөхийг хүсэхгүй байгаа тохиолдолд, Та $binary_remote_addr$http_user_agent эсвэл $binary_remote_addr$http_cookie_myc00kiez ашиглаж болно - гэхдээ 32 битийн $binary_remote_addr-аас ялгаатай нь эдгээр хувьсагч нь мэдэгдэхүйц урт байж болох тул "10м"-ыг гэнэт дуусгах боломжтой тул та ийм бүтцийг болгоомжтой ашиглах хэрэгтэй.

DDoS чиг хандлага

1. Сүлжээний болон тээврийн давхаргын халдлагын хүч байнга нэмэгдэж байна. Дундаж SYN үерийн дайралтын боломж аль хэдийн секундэд 10 сая пакетт хүрсэн байна.
2. Ялангуяа эрэлт ихтэй Сүүлийн үед DNS халдлагуудыг ашиглах. Хуурамч эх сурвалжийн IP хаяг бүхий хүчинтэй DNS асуулга бүхий UDP үерлэх нь хэрэгжүүлэхэд хамгийн хялбар бөгөөд эсэргүүцэхэд хэцүү халдлага юм. Оросын олон томоохон компаниуд (хостинг компаниудыг оруулаад) саяхан DNS серверүүд рүүгээ халдсаны улмаас асуудалтай тулгарсан. Цааш явах тусам ийм дайралт ихсэж, тэдний хүч нэмэгдэнэ.
3. Дүгнэж хэлэхэд гадаад шинж тэмдэг, ихэнх ботнетууд нь төвлөрсөн бус, харин үе тэнгийн сүлжээгээр удирдагддаг. Энэ нь халдагчдад ботнетийн үйлдлийг цаг хугацааны явцад синхрончлох боломжийг олгодог - хэрвээ өмнө нь хяналтын командууд хэдэн арван минутын дотор 5 мянган машинтай ботнетэд тархдаг байсан бол одоо секунд тоологдох бөгөөд таны сайт санамсаргүй байдлаар хүсэлтийн тоо зуу дахин нэмэгдэж магадгүй юм. .
4. JavaScript-тэй бүрэн хэмжээний хөтөчийн хөдөлгүүрээр тоноглогдсон роботуудын эзлэх хувь бага хэвээр байгаа ч байнга өсч байна. Ийм дайралтыг суурилуулсан хийцтэй хэрэгслээр няцаахад илүү хэцүү байдаг тул DIY-ууд энэ чиг хандлагыг анхааралтай ажиглах хэрэгтэй.

үйлдлийн системийг бэлтгэж байна

Түүнээс гадна нарийн тааруулах nginx, та тохиргоогоо анхаарч үзэх хэрэгтэй сүлжээний стексистемүүд. Ядаж л sysctl-д net.ipv4.tcp_syncookies-ийг идэвхжүүлж, жижиг SYN-үерийн дайралтаас өөрийгөө шууд хамгаалаарай.

15. Цөмийг тааруулах

Сүлжээний хэсгийн (цөм) илүү нарийвчилсан тохиргоонд анхаарлаа хандуулаарай, дахин завсарлага болон санах ойн талаар. Илүү чухал, бага чухал зүйл байдаг. Юуны өмнө та дараахь зүйлийг анхаарч үзэх хэрэгтэй.

• net.ipv4.tcp_fin_timeoutСокет нь TCP FIN-WAIT-2 үе шатанд (FIN/ACK сегментийг хүлээх) зарцуулах хугацаа.
• net.ipv4.tcp_(,r,w)mem TCP залгуур хүлээн авах буферийн хэмжээ. Гурван утга: хамгийн бага, анхдагч, дээд.
• net.core.(r,w)mem_max TCP бус буферт мөн адил хамаарна.

100 Мбит/с сувагтай бол анхдагч утгууд нь ямар нэгэн байдлаар тохиромжтой хэвээр байна; Гэхдээ хэрэв танд дор хаяж секундэд гигабит байгаа бол дараахь зүйлийг ашиглах нь дээр.

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w nettcp.5 "688608" 08" "sysctl - w net.ipv4.tcp_fin_timeout=10

16. Хяналт /proc/sys/net/**

/proc/sys/net/** доторх бүх параметрүүдийг судлахад тохиромжтой. Бид тэдгээр нь анхдагчаас хэр ялгаатай болохыг харж, хэр зэрэг тохируулагдсаныг ойлгох хэрэгтэй. Линукс хөгжүүлэгч (эсвэл системийн администратор) өөрийн удирдлаган дор байгаа интернет үйлчилгээний ажиллагааг ойлгож, түүнийг оновчтой болгохыг хүсч байгаа хүн цөмийн сүлжээний стекийн бүх параметрийн баримт бичгийг сонирхож унших хэрэгтэй. Магадгүй тэр сайтыг халдагчдаас хамгаалахаас гадна үйл ажиллагааг нь хурдасгахад туслах сайтын онцлог шинж чанаруудыг олох болно.

Битгий ай!

Амжилттай DDoS халдлага өдөр бүр цахим худалдааг унтрааж, хэвлэл мэдээллийн хэрэгслийг ганхуулж, хамгийн том төлбөрийн системийг нэг цохилтоор устгадаг. Сая сая интернет хэрэглэгчид чухал мэдээлэлд хандах эрхээ алдаж байна. Аюул яаралтай тул бид үүнтэй шууд тэмцэх хэрэгтэй. Хичээлээ хий, бүү ай, толгойгоо сэрүүн байлга. Та өөрийн вэбсайтад DDoS халдлагад өртөх анхны бөгөөд сүүлчийнх нь биш бөгөөд халдлагын үр дагаврыг хамгийн бага хэмжээнд хүртэл бууруулах нь таны мэдлэг, эрүүл саруул ухаанд тулгуурлан таны мэдэлд байна.

Distributed denial of service буюу товчхондоо DDoS халдлага нь дэлхий даяарх интернетийн эх сурвалжийн эздийн толгойны өвчин болж, нийтлэг үзэгдэл болоод байна. Тийм ч учраас вэбсайт дээрх DDoS халдлагаас хамгаалах нь өнөөдөр сонголт биш юм. нэмэлт сонголт, гэхдээ сул зогсолт, асар их алдагдал, нэр хүнд гэмтэхээс зайлсхийхийг хүсдэг хүмүүст зориулсан урьдчилсан нөхцөл.

Энэ өвчин гэж юу болох, өөрийгөө хэрхэн хамгаалах талаар бид танд илүү дэлгэрэнгүй ярих болно.

DDoS гэж юу вэ

Үйлчилгээний тархалтаас татгалзсан эсвэл "Үйлчилгээний тархалтаас татгалзсан" - халдлага мэдээллийн системИнгэснээр хэрэглэгчийн хүсэлтийг боловсруулах боломжгүй болно. Энгийн үгээр хэлбэл, DDoS нь вэб нөөц эсвэл серверийг асар олон тооны эх сурвалжаас ачаалал ихтэй ачаалж, ашиглах боломжгүй болгодог. Ихэнхдээ ийм халдлага нь томоохон компани эсвэл төрийн байгууллагын сүлжээний нөөцийн үйл ажиллагаанд саад учруулах зорилгоор хийгддэг.

DDoS халдлага нь өөр нэг нийтлэг вэб аюул болох Үйлчилгээнээс татгалзах (DoS)-тай төстэй юм. Ганц ялгаа нь ердийн тархсан халдлага нь нэг цэгээс ирдэг бол DDos халдлага нь илүү өргөн тархсан бөгөөд өөр өөр эх сурвалж.

DDoS халдлагын гол зорилго нь вэб сайтын үйл ажиллагааг хаах замаар зочдод нэвтрэх боломжгүй болгох явдал юм. Гэхдээ бусад хортой нөлөөллөөс анхаарлыг сарниулах зорилгоор ийм халдлага хийх тохиолдол байдаг. Жишээлбэл, DDoS халдлага нь байгууллагын мэдээллийн баазыг авахын тулд хамгаалалтын системд халдсан тохиолдолд хийгдэж болно.

DDoS халдлага нь 1999 онд томоохон компаниудын (Yahoo, eBay, Amazon, CNN) вэб сайтуудад цуврал халдлага үйлдэхэд олны анхааралд өртсөн. Түүнээс хойш энэ төрлийн кибер гэмт хэрэг дэлхийн хэмжээнд аюул заналхийлэл болж хувирсан. Шинжээчдийн үзэж байгаагаар сүүлийн жилүүдэд тэдний давтамж 2.5 дахин нэмэгдэж, хамгийн их хүч нь 1 Tbit / сек-ээс хэтэрч эхэлсэн. Оросын зургаа дахь компани бүр дор хаяж нэг удаа DDoS халдлагын хохирогч болсон. 2020 он гэхэд тэдний нийт тоо 17 саяд хүрнэ.

Хамгийн боловсронгуй DDoS халдлагаас 24/7 хамгаалалттай хостинг платформ.

DDoS халдлагын шалтгаанууд

1. Хувийн дайсагнал.Энэ нь ихэвчлэн халдагчдыг корпораци эсвэл засгийн газрын компаниуд руу дайрахыг дэмждэг. Жишээлбэл, 1999 онд Холбооны мөрдөх товчооны вэб сайтууд халдлагад өртөж, хэдэн долоо хоног ажиллахаа больсон. Энэ нь Холбооны мөрдөх товчоо хакеруудын эсрэг томоохон хэмжээний дайралт хийсэнтэй холбоотой юм.
2. Улс төрийн эсэргүүцэл.Ихэвчлэн ийм халдлагыг хакеристууд буюу иргэний эсэргүүцлийн талаар радикал үзэл бодолтой мэдээллийн технологийн мэргэжилтнүүд хийдэг. Хамгийн алдартай жишээ бол 2007 онд Эстонийн төрийн байгууллагуудад хэд хэдэн кибер халдлага болсон. Тэдний магадлалтай шалтгаанТаллин дахь Чөлөөлөгч цэргүүдийн хөшөөг нураах боломж болсон.
3. Үзвэр үйлчилгээ.Өнөөдөр ийм л байна их хэмжээнийхүмүүс DDoS-ийг сонирхож, үүн дээр хүчээ сорихыг хүсдэг. Шинэхэн хакерууд ихэвчлэн зугаацах зорилгоор халдлага хийдэг.
4. Хулгайлах, харлуулах.Хакер халдлага хийхээсээ өмнө нөөцийн эзэнтэй холбогдож, золиослохыг шаарддаг.
5. Өрсөлдөөн. DDoS халдлагыг өрсөлдөгчиддөө нөлөөлөхийн тулд шударга бус компанид захиалж болно.

Боломжит хохирогчид хэн бэ?

DDoS нь энгийн блогоос эхлээд томоохон корпорацууд, банкууд болон бусад санхүүгийн байгууллагууд хүртэл ямар ч хэмжээтэй сайтуудыг устгаж чадна.

Касперскийн лабораторийн хийсэн судалгаагаар халдлага нь пүүст 1.6 сая долларын хохирол учруулж болзошгүй юм. Энэ нь ноцтой хохирол юм, учир нь халдлагад өртсөн вэб нөөцийг хэсэг хугацаанд засварлах боломжгүй тул зогсолт үүсгэдэг.

Ихэнх тохиолдолд вэбсайтууд болон серверүүд DDoS халдлагад өртдөг.

• томоохон компаниуд болон төрийн байгууллагууд;
• санхүүгийн байгууллагууд (банк, менежментийн компаниуд);
• купоны үйлчилгээ;
• эмнэлгийн байгууллагууд;
• төлбөрийн систем;
• Хэвлэл мэдээлэл, мэдээллийн нэгтгэгч;
• онлайн дэлгүүр, цахим худалдааны бизнес;
• онлайн тоглоом, тоглоомын үйлчилгээ;
• криптовалютын солилцоо.

Саяхан DDoS халдлагад байнга өртдөг хүмүүсийн гунигтай жагсаалтад "Зүйлсийн интернет" (IoT) гэж нэрлэгддэг интернетэд холбогдсон тоног төхөөрөмж нэмэгдсэн. Энэ салбарын өсөлтийн хамгийн том динамик нь томоохон дэлгүүр, худалдааны төвүүдийн онлайн кассын машиныг тасалдуулах зорилготой кибер халдлага юм.

Үйл ажиллагааны механизм

Бүх вэб серверүүд нэгэн зэрэг боловсруулж болох хүсэлтийн тоонд хязгаарлалт тавьдаг. Үүнээс гадна Сүлжээ болон серверийг холбосон сувгийн зурвасын өргөнд хязгаарлалт байдаг. Эдгээр хязгаарлалтыг тойрч гарахын тулд халдагчид бий болгодог компьютерийн сүлжээ"ботнет" эсвэл "зомби сүлжээ" гэж нэрлэгддэг хортой програм хангамжтай.

Ботнет үүсгэхийн тулд кибер гэмт хэрэгтнүүд и-мэйл мэдээллийн хуудас, нийгмийн сүлжээ эсвэл вэбсайтаар дамжуулан Трояныг түгээдэг. Ботнетэд багтсан компьютерууд байхгүй физик холболтөөр хоорондоо. Тэд хакерын эзний зорилгод "үйлчлэх" замаар л нэгддэг.

DDoS халдлагын үед хакер "халдвар авсан" зомби компьютерт тушаал илгээдэг бөгөөд тэд халдлага хийдэг. Ботнет нь ямар ч системийг хэт ачаалах асар их хэмжээний траффик үүсгэдэг. DDoS-ийн гол "объект" нь ихэвчлэн серверийн зурвасын өргөн, DNS сервер, интернетийн холболт юм.

DDoS халдлагын шинж тэмдэг

Халдагчдын үйлдэл зорилгодоо хүрэхэд үүнийг сервер эсвэл тэнд байрлуулсан нөөцийн үйл ажиллагааны доголдлоос шууд тодорхойлж болно. Гэхдээ DDoS халдлагын талаар хамгийн эхэнд олж мэдэх хэд хэдэн шууд бус шинж тэмдгүүд байдаг.

• Серверийн програм хангамж болон үйлдлийн систем байнга эхэлдэг ба амжилтгүй болох нь тодорхой- хөлдөх, буруу унтраах гэх мэт.
тоног төхөөрөмжийн хүчин чадалсервер, энэ нь өдрийн дундажаас эрс ялгаатай.
• Хурдан өсөлт ирж байназамын хөдөлгөөннэг эсвэл хэд хэдэн порт дээр.
• Дахин дахин ижил төрлийн давхардсан үйлдэлнэг нөөц дээр үйлчлүүлэгчид (вэбсайт руу орох, файл байршуулах).
• Серверийн бүртгэлд (хэрэглэгчийн үйлдлийн бүртгэл) дүн шинжилгээ хийхдээ галт хана эсвэл сүлжээний төхөөрөмжүүдилчилсэн олон хүсэлтөөр өөр эх сурвалжаас ижил төрлийн нэг рүүпорт эсвэл үйлчилгээ. Хүсэлт хүлээн авагч нь тухайн сайт эсвэл үйлчилгээний зорилтоос эрс ялгаатай байвал та болгоомжтой байх хэрэгтэй.

DDoS халдлагын төрлүүдийн ангилал

Довтолгооны протокол (тээврийн давхарга)

DDoS халдлага нь сервер эсвэл вэб нөөцийн сүлжээний давхаргад чиглэгддэг тул үүнийг ихэвчлэн сүлжээний давхарга эсвэл тээврийн давхаргын халдлага гэж нэрлэдэг. Үүний зорилго нь лог дээр суурилсан галт хана, төв сүлжээ эсвэл ачааллыг тэнцвэржүүлэх систем дээр хүснэгтийн зайг хэт ачаалах явдал юм.

Хамгийн түгээмэл DDoS аргатээврийн түвшинд - сүлжээний үер, хүлээн авагч зангилаа бие махбодийн хувьд зохицуулж чадахгүй өөр өөр түвшинд дамми хүсэлтүүдийн асар их урсгалыг бий болгодог.

Ихэвчлэн сүлжээний үйлчилгээнь FIFO дүрмийг хэрэгжүүлдэг бөгөөд үүний дагуу компьютер эхний хүсэлтийг боловсруулах хүртэл хоёр дахь хүсэлтэд үйлчлэхгүй. Гэвч халдлагын үед хүсэлтийн тоо маш их нэмэгдэж, төхөөрөмж эхний хүсэлтийг биелүүлэхэд хангалттай нөөцгүй байдаг. Үүний үр дүнд үер нь зурвасын өргөнийг аль болох ихээр хангаж, бүх холбооны сувгийг бүрэн бөглөрүүлдэг.

Сүлжээний үерийн нийтлэг төрлүүд

• HTTP үер- Халдлагад өртсөн сервер рүү олон тооны ердийн эсвэл шифрлэгдсэн HTTP мессежийг илгээж, харилцааны зангилаа бөглөрдөг.
• ICMP үер- халдагчийн ботнет нь хохирогчийн хост машиныг үйлчилгээний хүсэлтээр хэт ачаалдаг бөгөөд энэ нь цуурай хариу өгөх үүрэгтэй. Энэ төрлийн халдлагын тодорхой жишээ бол Пүерэсвэл Smurf халдлага, харилцаа холбооны сувгууд нь сүлжээний зангилаа байгаа эсэхийг шалгахад ашигладаг ping хүсэлтээр дүүрдэг. ICMP-ийн үерийн аюулын улмаас системийн администраторууд галт хана ашиглан ICMP хүсэлт гаргах боломжийг бүрмөсөн хаадаг.
• SYN үер- халдлага нь "гурвалсан гар барих" зарчим гэж нэрлэгддэг TCP протоколын үндсэн механизмуудын аль нэгэнд нөлөөлдөг (хүсэлт-хариултын алгоритм: SYN пакет – SYN-ACK пакет – ACK пакет). Хохирогч хариу өгөхгүйгээр хуурамч SYN хүсэлтээр бөмбөгддөг. Хэрэглэгчийн суваг нь ACK багцын хариу хүлээж байгаа гарч буй холболтуудаас TCP холболтуудын дараалалд бөглөрсөн байна.
• UDP үер- хохирогчийн хост машины санамсаргүй портууд нь сүлжээний нөөцийг хэт ачаалдаг UDP пакетуудаар дүүрсэн байна. DNS сервер рүү чиглэсэн UDP үерийн төрлийг нэрлэдэг DNS үер.
• MAC үер- зорилго нь сүлжээний техник хангамж, портууд нь өөр MAC хаягтай "хоосон" пакетуудын урсгалаар бөглөрсөн байна. Энэ төрлийн DDoS халдлагаас хамгаалахын тулд сүлжээний унтраалга нь хүчинтэй эсэхийг шалгаж, MAC хаягийг шүүхээр тохируулсан.

Хэрэглээний түвшний халдлага (дэд бүтцийн давхарга)

Энэ өөрчлөлтийг техник хангамжийн нөөцийг хураах эсвэл идэвхгүй болгох шаардлагатай үед ашигладаг. "Райдеруудын" зорилго нь бие махбодийн болон хоёулаа байж болно RAMэсвэл CPU-ийн цаг.

Зурвасын өргөнийг хэт ачаалах шаардлагагүй. Энэ нь зөвхөн хохирогчийн процессорыг хэт ачаалах эсвэл өөрөөр хэлбэл процессын бүх цагийг эзлэхэд л хангалттай.

Хэрэглээний түвшний DDoS халдлагын төрлүүд

• Илгээх "хүндX"багцууд, процессор руу шууд ирдэг. Төхөөрөмж нь нарийн төвөгтэй тооцооллыг даван туулж чадахгүй бөгөөд бүтэлгүйтэж эхэлдэг тул зочдыг сайт руу нэвтрэхээс сэргийлдэг.
• Скрипт ашиглан сервер дүүрсэн байна "хог" агуулга- бүртгэлийн файлууд, "хэрэглэгчийн сэтгэгдэл" гэх мэт. Хэрэв системийн администратор серверт хязгаарлалт тавиагүй бол хакер нь хатуу дискийг бүхэлд нь дүүргэх асар том багц файлуудыг үүсгэж болно.
• -тэй холбоотой асуудлууд квотын систем. Зарим серверүүд холбогдоход ашигладаг гадаад програмууд CGI интерфейс (нийтлэг гарц интерфэйс, " нийтлэг интерфейсгарц"). CGI-д нэвтрэх үед халдагч өөрийн скриптийг бичиж болох бөгөөд энэ нь зарим нөөцийг, жишээлбэл процессорын цагийг өөрийн ашиг сонирхолд ашиглах болно.
• Бүрэн бус шалгалтзочдын өгөгдөл. Энэ нь процессорын нөөцийг дуустал удаан хугацаагаар эсвэл бүр төгсгөлгүй ашиглахад хүргэдэг.
• Хоёр дахь төрлийн халдлага. Энэ нь хамгаалалтын системд хуурамч дохиолол үүсгэдэг бөгөөд энэ нь гадаад ертөнцөөс нөөцийг автоматаар хааж чаддаг.

Хэрэглээний түвшний халдлага

Хэрэглээний түвшний DDoS халдлага нь үүсгэх явцад орхигдсон зүйлсийг ашигладаг програмын код, энэ нь гадны нөлөөнд програм хангамжийн эмзэг байдлыг бий болгодог. TO энэ төрөл"Үхлийн пин" гэх мэт нийтлэг халдлагуудыг дурдаж болно - хохирогчийн компьютер руу урт ICMP пакетуудыг бөөнөөр нь илгээж, буфер халихад хүргэдэг.

Гэхдээ мэргэжлийн хакерууд зурвасын өргөнийг хэт ачаалах гэх мэт энгийн аргыг ашиглах нь ховор байдаг. Томоохон компаниудын нарийн төвөгтэй системүүд рүү халдахын тулд тэд серверийн системийн бүтцийг бүрэн ойлгож, хохирогчийн програм хангамжийн эмзэг байдлыг харгалзан үздэг програм, командын хэлхээ эсвэл програмын кодын хэсэг болох довтолгоо бичихийг хичээдэг. компьютер.

DNS халдлага

1. Эхний бүлэг нь зорилготой эмзэг байдалболон доторBY DNS серверүүд. Үүнд Zero-day attack, Fast Flux DNS зэрэг нийтлэг төрлийн кибер гэмт хэргүүд орно.
   DNS халдлагын хамгийн түгээмэл төрлүүдийн нэг нь DNS-Spoofing юм. Үүний явцад халдагчид серверийн кэш дэх IP хаягийг сольж, хэрэглэгчийг хуурамч хуудас руу чиглүүлдэг. Шилжилтийн үед гэмт хэрэгтэн хэрэглэгчийн хувийн мэдээлэлд нэвтрэх эрх олж авдаг бөгөөд үүнийг өөрт ашигтайгаар ашиглах боломжтой. Жишээлбэл, 2009 онд DNS бичлэгийг хууран мэхэлсэний улмаас хэрэглэгчид нэг цагийн турш Twitter рүү нэвтэрч чадаагүй. Энэ халдлага улс төрийн шинж чанартай байсан. Халдагчид суулгасан нүүр хуудас олон нийтийн сүлжээАмерикийн түрэмгийлэлтэй холбоотой Ираны хакеруудын сэрэмжлүүлэг
2. Хоёр дахь бүлэг нь DDoS халдлага бөгөөд үүнд хүргэдэг DNS ажиллахгүй байх-серверүүд. Хэрэв тэд амжилтгүй болвол хэрэглэгч нэвтрэх боломжгүй болно. хүссэн хуудас, учир нь хөтөч тодорхой сайтын IP хаягийг олохгүй.

DDoS халдлагаас урьдчилан сэргийлэх, хамгаалах

Corero Network Security-ийн мэдээлснээр дэлхийн нийт компаниудын ⅔-аас илүү нь сар бүр нэвтрэх эрхийг хориглох халдлагад өртдөг. Түүнээс гадна тэдний тоо 50 хүрдэг.

DDoS халдлагаас серверийн хамгаалалтыг хангаагүй вэб сайтын эзэд асар их хохирол амсаад зогсохгүй хэрэглэгчийн итгэлийг бууруулж, зах зээлд өрсөлдөх чадвараа бууруулж болзошгүй юм.

Ихэнх үр дүнтэй арга DDoS халдлагаас хамгаалах - өндөр зурвасын өргөнтэй интернет сувгууд дээр үйлчилгээ үзүүлэгчээс суулгасан шүүлтүүрүүд. Тэд бүх урсгалд тогтмол дүн шинжилгээ хийж, сүлжээний сэжигтэй үйл ажиллагаа эсвэл алдааг илрүүлдэг. Шүүлтүүрийг чиглүүлэгчийн түвшинд болон тусгай тоног төхөөрөмж ашиглан суулгаж болно.

Хамгаалах аргууд

1. Одоо ч бичих шатандаа байна програм хангамжТа сайтын аюулгүй байдлын талаар бодох хэрэгтэй. Сайтар програм хангамжийг шалгана ууалдаа, эмзэг байдлын хувьд.
2. Тогтмол програм хангамжийг шинэчлэх, мөн буцах боломжоор хангана хуучин хувилбарасуудал гарвал.
3. Дага хандалтын хязгаарлалт. Удирдлагатай холбоотой үйлчилгээг гуравдагч этгээдийн хандалтаас бүрэн хаах хэрэгтэй. Админ бүртгэлээ хамгаалаарай нарийн төвөгтэй нууц үгмөн тэдгээрийг илүү олон удаа өөрчлөх. Ажлаас халагдсан ажилчдын дансыг яаралтай устгах.
4. хандах админ интерфейс-аас гагцхүү хийгдэх ёстой дотоод сүлжэээсвэл VPN-ээр дамжуулан.
5. Системийг сканнердах эмзэг байдал байгаа эсэх. Хамгийн аюултай эмзэг байдлыг нэр хүндтэй OWASP Топ 10 үнэлгээгээр тогтмол нийтлүүлдэг.
6. Өргөдөл гаргах програмын галт хана- WAF (Вэб програмын галт хана). Энэ нь дамжуулагдсан урсгалыг хянаж, хүсэлтийн хууль ёсны эсэхийг хянадаг.
7. Ашиглах CDN(Агуулга хүргэх сүлжээ). Энэ нь түгээсэн сүлжээ ашиглан ажилладаг контент түгээлтийн сүлжээ юм. Хөдөлгөөнийг олон серверүүдээр ангилдаг бөгөөд энэ нь зочдод хандах үед хоцролтыг бууруулдаг.
8. Ирж буй урсгалыг хянах хандалтын хяналтын жагсаалт (ACL), энэ нь объект (програм, процесс эсвэл файл) руу нэвтрэх эрхтэй хүмүүсийн жагсаалт, түүнчлэн тэдний үүргийг зааж өгнө.
9. Чадах замын хөдөлгөөнийг хаах, энэ нь довтолж буй төхөөрөмжүүдээс ирдэг. Үүнийг хоёр аргаар хийдэг: ашиглах галт ханаэсвэл ACL. Эхний тохиолдолд тодорхой урсгалыг хаасан боловч дэлгэц нь "эерэг" урсгалыг "сөрөг" урсгалаас салгаж чадахгүй. Хоёрдугаарт, жижиг протоколуудыг шүүдэг. Тиймээс, хэрэв хакер тэргүүлэх асуултуудыг ашигладаг бол энэ нь ашиггүй болно.
10. DNS хуурамчаар үйлдэхээс өөрийгөө хамгаалахын тулд та үе үе хийх хэрэгтэй DNS кэшийг цэвэрлэх.
11. Ашиглах спам роботуудаас хамгаалах- captcha, маягт бөглөх "хүний" цагийн хүрээ, reCaptcha ("Би робот биш" гэснийг шалгана уу) гэх мэт.
12. Урвуу халдлага. Бүх хортой урсгалыг халдагчид руу чиглүүлдэг. Энэ нь халдлагыг няцаахаас гадна халдагчийн серверийг устгахад тусална.
13. нөөцийг байршуулах хэд хэдэн бие даасан серверүүд. Хэрэв нэг сервер бүтэлгүйтвэл бусад нь ажиллах болно.
14. Батлагдсан ашиглах техник хангамжийн хамгаалалт DDoS халдлагаас. Жишээлбэл, Impletec iCore эсвэл DefensePro.
15. Хамтран ажилладаг хостинг үйлчилгээ үзүүлэгчийг сонго найдвартай ханган нийлүүлэгчкибер аюулгүй байдлын үйлчилгээ. Найдвартай байдлын шалгууруудын дунд чанарын баталгаа байгаа эсэх, аюул заналхийллээс бүрэн хамгаалагдсан байдал, өдрийн цагаар техникийн дэмжлэг үзүүлэх, ил тод байдал (үйлчлүүлэгч статистик, аналитикт хандах), хорлонтой траффикийн тариф байхгүй байхыг мэргэжилтнүүд онцолж байна. .

Дүгнэлт

Энэ нийтлэлд бид DDoS халдлага гэж юу гэсэн үг, вэб сайтаа халдлагаас хэрхэн хамгаалах талаар авч үзсэн. Ийм хор хөнөөлтэй үйлдлүүд нь хамгийн найдвартай, хамгийн том вэб нөөцийг ч сүйрүүлж чадна гэдгийг санах нь чухал юм. Энэ нь асар их алдагдал, үйлчлүүлэгчдээ алдах хэлбэрээр ноцтой үр дагаварт хүргэнэ. Тийм ч учраас өөрийн нөөцийг DDoS халдлагаас хамгаалах нь бүх арилжааны бүтэц, төрийн байгууллагуудын хувьд яаралтай ажил юм.

Хэрэв та DDoS халдлагаас мэргэжлийн түвшний хамгаалалтыг хүсч байвал сонго! Байнгын хяналт, 24/7 техникийн дэмжлэг.

Хостинг үйлчилгээ үзүүлэгчдийн албан ёсны харилцаанд энд тэнд DDoS халдлагуудын тухай лавлагаа улам бүр нэмэгдсээр байна. Хэрэглэгчид өөрсдийн сайтад нэвтрэх боломжгүй байгааг олж мэдээд DDoS-ийг шууд хүлээж авдаг. Үнэхээр ч 3-р сарын эхээр Рунет ийм халдлагын бүхэл бүтэн давалгааг амссан. Үүний зэрэгцээ, хөгжилтэй байдал дөнгөж эхэлж байна гэж мэргэжилтнүүд баталж байна. Ийм хамааралтай, заналхийлсэн, сонирхолтой үзэгдлийг үл тоомсорлох нь ердөө л боломжгүй юм. Тиймээс өнөөдөр DDoS-ийн тухай домог, баримтуудын талаар ярилцъя. Мэдээжийн хэрэг хостинг үйлчилгээ үзүүлэгчийн үүднээс.

Дурсамжтай өдөр

2013 оны 11-р сарын 20-нд манай компанийн 8 жилийн түүхэнд анх удаа техникийн платформ нь урьд өмнө хэзээ ч байгаагүй DDoS халдлагын улмаас хэдэн цагийн турш ажиллах боломжгүй болсон. Орос болон ТУХН-ийн орнуудад манай олон арван мянган үйлчлүүлэгчид хохирч, өөрсдийгөө болон манай интернет үйлчилгээ үзүүлэгчийг дурдахгүй. Үйлчилгээ үзүүлэгч хүн бүрт цагаан гэрэл бүдгэрэхээс өмнө бичиж чадсан хамгийн сүүлийн зүйл бол оролтын сувгууд нь ирж буй урсгалаар нягт бөглөрсөн байсан явдал байв. Үүнийг төсөөлөхийн тулд ердийн ус зайлуулах хоолойтой үгаалгын онгоцондоо Ниагара хүрхрээ орж ирж байгаагаар төсөөлөөд үз дээ.

Цунамигийн нөлөөг дээд түвшний үйлчилгээ үзүүлэгчид хүртэл мэдэрсэн. Доорх графикууд нь Санкт-Петербург болон Орост тэр өдөр интернетийн урсгалтай юу болж байгааг тодорхой харуулж байна. 15 ба 18 цагийн үед эгц оргилуудыг бид дайралтуудыг бүртгэж байсан тэр мөчүүдэд анхаараарай. Эдгээрийн хувьд гэнэт нэмэх 500-700 ГБ.

Халдлагыг нутагшуулахын тулд хэдэн цаг зарцуулсан. Үүнийг илгээсэн серверийг тооцоолсон. Дараа нь интернетийн террористуудын байг тооцоолсон. Энэ бүх дайсны их буу хэнийг онож байсныг та мэдэх үү? Маш энгийн, даруухан үйлчлүүлэгчийн сайт.

Нэгдүгээр домог: “Довтолгооны бай нь үргэлж хостинг үйлчилгээ үзүүлэгч байдаг. Энэ бол түүний өрсөлдөгчдийн заль мэх юм. Минийх биш." Үнэн хэрэгтээ интернетийн террористуудын гол бай нь энгийн үйлчлүүлэгч сайт юм. Энэ нь таны байршуулах хөршүүдийн аль нэгнийх нь сайт юм. Эсвэл чинийх ч байж магадгүй.

Бүх зүйл DDoS биш ...

2013 оны 11-р сарын 20-ны өдөр манай техникийн сайт дээр болсон үйл явдлууд болон 2014 оны 1-р сарын 9-ний өдөр хэсэгчлэн давтагдсаны дараа зарим хэрэглэгчид өөрсдийн вэбсайтын ямар нэгэн тодорхой доголдолд DDoS-ийг таамаглаж эхэлсэн: "Энэ бол DDoS!" болон "Та дахин DDoS-тэй тулгарч байна уу?"

Үйлчлүүлэгчид маань хүртэл ийм DDoS-д өртвөл бид өөрсдөө шууд мэдээлдэг гэдгийг санах нь чухал.

Бид сандрах гэж яарч байгаа хүмүүсийг тайвшруулахыг хүсч байна: хэрэв танай сайтад ямар нэг зүйл буруу байвал DDoS байх магадлал 1% -иас бага байна. Зүгээр л сайтад маш олон зүйл тохиолдож болох тул эдгээр "олон зүйл" илүү олон удаа тохиолддог. Дараах нийтлэлүүдийн аль нэгэнд танай сайтад яг юу болж байгааг хурдан оношлох аргуудын талаар ярих болно.

Энэ хооронд үгийн хэрэглээний үнэн зөв байхын тулд нэр томъёог тодруулъя.

Нөхцөл байдлын тухай

DoS халдлага (Англи хэлний Deial of Service-ээс) - Энэ нь серверийн хэт ачааллаас болж үйлчилгээ үзүүлэхээс татгалзах зорилготой халдлага юм.

DoS халдлага нь тоног төхөөрөмжийн эвдрэл, мэдээлэл хулгайлсантай холбоогүй; тэдний зорилго - сервер хүсэлтэд хариу өгөхөө болих. DoS-ийн үндсэн ялгаа нь халдлага нь нэг машинаас нөгөө машинд тохиолддог. Яг хоёр оролцогч байна.

Гэвч бодит байдал дээр бид DoS халдлагыг бараг хардаггүй. Яагаад? Учир нь халдлагын бай нь ихэвчлэн үйлдвэрлэлийн байгууламжууд байдаг (жишээлбэл, хостинг компаниудын хүчирхэг бүтээмжтэй серверүүд). Ийм машиныг ажиллуулахад мэдэгдэхүйц хор хөнөөл учруулахын тулд өөрийнхээс хамаагүй их хүч шаардагдана. Энэ бол хамгийн эхний зүйл. Хоёрдугаарт, DoS халдлагыг санаачлагчийг тодорхойлоход хялбар байдаг.

DDoS - үндсэндээ DoS-тэй ижил, зөвхөн халдлага тархсан байгаль.Тав ч биш, арав ч биш, хорин ч биш, хэдэн зуу, хэдэн мянган компьютер өөр өөр газраас нэгэн зэрэг нэг серверт нэвтэрдэг. Энэхүү машинуудын армийг нэрлэдэг ботнет. Үйлчлүүлэгч болон зохион байгуулагчийг тодорхойлох нь бараг боломжгүй юм.

Хамсаатан

Ботнетэд ямар төрлийн компьютерууд багтдаг вэ?

Та гайхах болно, гэхдээ эдгээр нь ихэвчлэн гэрийн хамгийн энгийн машинууд байдаг. Хэн мэдэх вэ?.. - магадгүй чинийх гэрийн компьютер бузар муугийн тал руу аваачсан.

Үүний тулд танд нэг их зүйл хэрэггүй. Халдлага үйлдэгч нь алдартай зүйлээс сул талыг олдог үйлдлийн системэсвэл програм, түүний тусламжтайгаар таны компьютерийг троянаар халдварладаг бөгөөд энэ нь тодорхой өдөр, цагт таны компьютерийг тодорхой үйлдлүүдийг хийж эхлэхийг зааж өгдөг. Жишээлбэл, тодорхой IP хаяг руу хүсэлт илгээх. Мэдээжийн хэрэг таны мэдлэг, оролцоогүйгээр.

Хоёрдугаар домог: « DDoS нь надаас хол газар, улаан нүдтэй сахалтай хакеруудын суудаг тусгай газар доорх бункерт хийгддэг." Үнэн хэрэгтээ үүнийг мэдэхгүй байж та, таны найз нөхөд, хөршүүд - хэн ч өөрийн мэдэлгүй хамсаатан байж болно.

Энэ үнэхээр болж байна. Та энэ талаар бодохгүй байсан ч гэсэн. Та IT-ээс аймаар хол байгаа ч гэсэн (ялангуяа та IT-ээс хол байгаа бол!).

Хөгжилтэй хакердах эсвэл DDoS механик

DDoS үзэгдэл жигд биш байна. Энэхүү үзэл баримтлал нь нэг үр дүнд хүргэдэг үйл ажиллагааны олон сонголтыг нэгтгэдэг (үйлчилгээнээс татгалзах). DDoSers-ийн бидэнд хүргэж болох бэрхшээлүүдийн төрлийг авч үзье.

Серверийн тооцооллын нөөцийг хэтрүүлэн ашиглах

Энэ нь тодорхой IP руу пакет илгээх замаар хийгддэг бөгөөд боловсруулалт нь их хэмжээний нөөц шаарддаг. Жишээлбэл, хуудсыг ачаалахад олон тооны SQL асуулга хийх шаардлагатай. Бүх халдагчид яг энэ хуудсыг хүсэх бөгөөд энэ нь серверийн хэт ачаалал болон сайтын хэвийн, хууль ёсны зочдод үйлчилгээ үзүүлэхээс татгалзахад хүргэдэг.
Энэ бол Хакер сэтгүүл уншсан сургуулийн сурагчийн түвшний дайралт юм. Тэр бол асуудал биш. Хүссэн ижил URL-г шууд тооцдог бөгөөд үүний дараа вэб серверийн түвшинд хандах хандалтыг хаадаг. Мөн энэ бол зөвхөн нэг шийдэл юм.

Сервер рүү харилцах сувгийн хэт ачаалал (гаралт)

Энэ халдлагын хүндрэлийн түвшин өмнөхтэй ойролцоо байна. Халдагч нь сайт дээрх хамгийн хүнд хуудсыг тодорхойлж, түүний хяналтанд байдаг ботнет үүнийг бөөнөөр нь хүсч эхэлдэг.

Винни Пүүхийн бидэнд үл үзэгдэх хэсэг нь хязгааргүй том гэж төсөөлөөд үз дээ
Энэ тохиолдолд гарах сувгийг яг юу хааж байгааг ойлгоход маш хялбар бөгөөд энэ хуудас руу нэвтрэхээс сэргийлнэ. Үүнтэй төстэй асуултуудыг ашиглан хялбархан харж болно тусгай хэрэгслүүд, энэ нь танд сүлжээний интерфейсийг харж, урсгалыг шинжлэх боломжийг олгодог. Дараа нь ийм хүсэлтийг блоклодог Галт хананд дүрэм бичигдсэн байдаг. Энэ бүхэн автоматаар тогтмол, хурдан хийгддэг Ихэнх хэрэглэгчид ямар ч халдлагыг мэддэггүй.

Гуравдугаар домог: "А Гэсэн хэдий ч тэд миний хостинг руу орох нь ховор бөгөөд би тэднийг үргэлж анзаардаг." Үнэндээ 99.9% нь таны харж, мэдрэхгүй байгаа халдлагууд юм. Гэхдээ тэдэнтэй өдөр тутмын тэмцэл - Энэ бол хостинг компанийн өдөр тутмын, ердийн ажил юм. Энэ бол бидний бодит байдал бөгөөд дайралт нь хямдхан, өрсөлдөөн нь жагсаалтаас гадуур, наранд байр сууриа олохын тулд тэмцэх арга барилыг хүн бүр харуулдаггүй.

Сервер рүү харилцах сувгийн хэт ачаалал (оролт)

Энэ бол Хакер сэтгүүлийг нэгээс илүү өдөр уншдаг хүмүүсийн хувьд аль хэдийн даалгавар юм.

Гэрэл зургийг "Эхо Москвы" радиогийн вэбсайтаас авсан. Оролтын сувгуудын хэт ачаалалтай DDoS-ийг харуулах өөр дүрслэл бидэнд олдсонгүй.
Сувгийг орж ирж буй урсгалаар дүүргэхийн тулд та ботнеттэй байх хэрэгтэй бөгөөд түүний хүч нь шаардлагатай хэмжээний урсгалыг бий болгох боломжийг олгодог. Гэхдээ бага ачаалал илгээж, ихийг хүлээн авах арга байдаг болов уу?

Байдаг, ганц ч биш. Довтолгоог сайжруулах олон сонголт байдаг ч одоогоор хамгийн алдартай нь нийтийн DNS серверүүдээр дамжуулан халдлага.Мэргэжилтнүүд үүнийг олшруулах арга гэж нэрлэдэг DNS олшруулалт(хэрэв хэн нэгэн шинжээчийн нөхцөлийг илүүд үздэг тохиолдолд). Энгийнээр хэлбэл, нуранги гэж төсөөлөөд үз дээ: түүнийг нураахад багахан хүчин чармайлт хангалттай, харин түүнийг зогсооход хүнлэг бус нөөц хангалттай.

Чи бид хоёр үүнийг мэднэ нийтийн DNS серверхүсэлтийн дагуу аливаа домэйн нэрийн талаарх мэдээллийг хэнд ч өгнө. Жишээлбэл, бид ийм серверээс асууж байна: sprinthost.ru домэйны талаар надад хэлээрэй. Тэгээд эргэлзэлгүйгээр тэр мэддэг бүхнээ бидэнд хэлдэг.

DNS серверээс асуух нь маш их юм энгийн ажиллагаа. Түүнтэй холбоо барихад ямар ч зардал гарахгүй, хүсэлт нь бичил харуур байх болно. Жишээлбэл, иймэрхүү:

Зөвхөн сонгох л үлдлээ Домэйн нэр, тухай мэдээлэл нь гайхалтай мэдээллийн багц үүсгэх болно. Тэгэхээр анхны 35 байт нь бугуйн хөдөлгөөнөөр бараг 3700 болж хувирдаг. 10 гаруй дахин нэмэгдсэн байна.

Гэхдээ хариултыг зөв IP руу илгээсэн эсэхийг хэрхэн баталгаажуулах вэ? DNS сервер ямар ч өгөгдөл хүсээгүй хохирогчийн чиглэлд хариу өгөхийн тулд хүсэлтийн IP эх сурвалжийг хэрхэн хуурах вэ?

Баримт нь DNS серверүүдийн дагуу ажилладаг UDP холбооны протокол, энэ нь хүсэлтийн эх сурвалжийг баталгаажуулахыг огт шаарддаггүй. Энэ тохиолдолд гарч буй IP-г хуурамчаар үйлдэх нь тун тохируулагчийн хувьд тийм ч хэцүү биш юм. Ийм учраас энэ төрлийн халдлага одоо маш их алдартай болсон.

Хамгийн гол нь ийм халдлага хийхэд маш жижиг ботнет хангалттай. Мөн хэд хэдэн тархай бутархай нийтийн DNS-үүд нь үүнээс хачирхалтай зүйл олж харахгүй өөр өөр хэрэглэгчидТэд үе үе нэг хостын хаяг руу өгөгдөл хүсдэг. Тэгж байж л энэ бүх урсгал нэг урсгалд нийлж, нэг “хоолой” чанга хадах болно.

Тун тохируулагч мэдэхгүй зүйл бол халдагчийн сувгийн багтаамж юм. Хэрэв тэр довтолгооныхоо хүчийг зөв тооцоогүй, серверийн сувгийг 100% хүртэл шууд хаагаагүй бол халдлагыг маш хурдан бөгөөд амархан няцаах боломжтой. гэх мэт хэрэгслүүдийг ашиглах TCPdumpИрж буй траффик DNS-ээс ирж байгааг олж мэдэхэд хялбар бөгөөд Галт ханын түвшинд үүнийг хүлээн авахыг хориглоно. Энэ сонголт - DNS-ийн траффикийг хүлээн авахаас татгалзах нь хүн бүрт тодорхой хүндрэл учруулдаг боловч серверүүд болон тэдгээрийн сайтууд хоёулаа амжилттай ажиллах болно.

Энэ бол довтолгоог сайжруулах олон боломжуудын нэг нь юм. Өөр олон төрлийн довтолгоонууд байдаг, бид өөр удаа тэдний тухай ярьж болно. Одоогийн байдлаар би дээр дурдсан бүх хүчин чадал нь сервер рүү чиглэсэн сувгийн өргөнөөс хэтрэхгүй халдлагын хувьд үнэн гэдгийг нэгтгэн дүгнэхийг хүсч байна.

Хэрэв довтолгоо хүчтэй байвал

Хэрэв довтолгооны хүч нь сервер рүү дамжуулах сувгийн хүчин чадлаас хэтэрвэл дараахь зүйл тохиолддог. Сервер рүү нэвтрэх интернет суваг шууд бөглөрч, дараа нь хостинг сайт руу, түүний интернет үйлчилгээ үзүүлэгч рүү, дээшээ чиглэсэн үйлчилгээ үзүүлэгч рүү, цаашлаад дээшээ (урт хугацаанд - хамгийн утгагүй хязгаар хүртэл) хүртэл. довтолгооны хүч хангалттай.

Тэгээд энэ нь хүн бүрийн хувьд дэлхий нийтийн асуудал болж хувирдаг. Товчхондоо 2013 оны арваннэгдүгээр сарын 20-ны өдөр ийм л асуудал тулгарсан. Том хэмжээний үймээн гарах үед тусгай ид шидийг асаах цаг болжээ!

Тусгай ид шид нь иймэрхүү харагдаж байна.Энэ ид шидийг ашигласнаар траффик ямар сервер рүү чиглэж байгааг тодорхойлж, түүний IP-г интернетийн үйлчилгээ үзүүлэгчийн түвшинд хаах боломжтой. Энэ нь гадаад ертөнцтэй харилцах сувгуудаараа дамжуулан энэ IP-д ямар нэгэн хүсэлт хүлээн авахаа больсон (дээд холбоосууд). Нэр томъёоны дурлагчдын хувьд: шинжээчид энэ процедурыг дууддаг "хар нүх", Английн хар нүхнээс.

Энэ тохиолдолд 500-1500 данстай халдлагад өртсөн сервер IP-гүй үлдэнэ. Түүнд IP хаягуудын шинэ дэд сүлжээ хуваарилагдсан бөгөөд үйлчлүүлэгчийн данс санамсаргүй байдлаар жигд тархсан байна. Дараа нь шинжээчид халдлага дахин давтагдахыг хүлээж байна. Энэ нь бараг үргэлж давтагддаг.

Дахин давтагдах үед халдлагад өртсөн IP нь 500-1000 данс байхаа больсон, зөвхөн арав, хоёрхон данстай болно.

Сэжигтнүүдийн хүрээ багасч байна. Эдгээр 10-20 данс дахин тархсан өөр өөр IP хаягууд. Инженерүүд дахин халдлага давтагдахыг хүлээж отолтонд оров. Тэд дахин дахин сэжигтэй байгаа дансуудыг өөр өөр IP-д тарааж, аажмаар ойртож, халдлагын байг тодорхойлдог. Энэ үед бусад бүх акаунтууд өмнөх IP дээрх хэвийн үйл ажиллагаандаа буцна.

Мэдээжийн хэрэг, энэ нь шуурхай журам биш бөгөөд хэрэгжүүлэхэд цаг хугацаа шаардагдана.

Дөрөв дэх домог:“Том хэмжээний халдлага болоход миний эзэн ямар ч арга хэмжээ авахгүй. Тэр зүгээр л нүдээ аниад бөмбөгдөлт дуусахыг хүлээж, миний захидалд ижил төрлийн хариултаар хариулдаг."Энэ нь үнэн биш: халдлага гарсан тохиолдолд хостинг үйлчилгээ үзүүлэгч нь үүнийг нутагшуулах, үр дагаврыг аль болох хурдан арилгах төлөвлөгөөний дагуу ажилладаг. Мөн ижил төрлийн захидал нь болж буй үйл явдлын мөн чанарыг илэрхийлэх, нэгэн зэрэг онцгой байдлын үед шаардлагатай нөөцийг аль болох хурдан хэмнэх боломжийг олгодог..

Хонгилын төгсгөлд гэрэл байна уу?

Одоо бид DDoS үйл ажиллагаа байнга нэмэгдэж байгааг харж байна. Довтолгоо захиалах нь маш хүртээмжтэй бөгөөд маш хямд болсон. Суртал ухуулгад буруутгагдахаас зайлсхийхийн тулд нотлох холбоос байхгүй болно. Гэхдээ бидний үгийг хүлээж аваарай, энэ нь үнэн.

Тавдугаар домог: "DDoS халдлага бол маш үнэтэй ажил бөгөөд зөвхөн бизнесийн магнатууд үүнийг захиалах боломжтой. Наад зах нь энэ бол нууц албаныхны явуулга!” Үнэн хэрэгтээ ийм арга хэмжээ маш хүртээмжтэй болсон.

Тиймээс хорлонтой үйл ажиллагаа өөрөө алга болно гэж найдаж болохгүй. Харин ч энэ нь улам эрчимжих болно. Зэвсгийг хуурамчаар урлаж, хурцлах л үлдлээ. Энэ бол сүлжээний дэд бүтцийг сайжруулах явдал юм.

Асуудлын хууль эрх зүйн тал

Гэмт этгээдүүдийг барьж, шийтгэсэн тухай бид ховор сонсдог тул DDoS халдлагын талаар ярихад энэ нь тийм ч таатай бус тал юм. Гэсэн хэдий ч та санаж байх ёстой: DDoS халдлага нь эрүүгийн гэмт хэрэг юм. Дэлхийн ихэнх оронд, тэр дундаа ОХУ-д.

Зургадугаар домог: « Одоо би DDoS-ийн талаар хангалттай мэддэг тул өрсөлдөгчдөө үдэшлэг захиалах болно - Үүний төлөө надад юу ч тохиолдохгүй!" Энэ нь тохиолдох магадлалтай. Хэрэв тийм бол энэ нь тийм ч их биш юм шиг санагдах болно.

• DDoS түүхийн эхлэл төлбөрийн системТуслах
• Сэтгэл хөдөлгөм төгсгөл

Ер нь шударга ёсны уур хилэнд өртөхгүй, таны үйлийн үрийг сүйтгэхгүйн тулд DDoS-ийн харгис үйлдэл хийхийг хэнд ч зөвлөхгүй. Мөн бид үйл ажиллагааныхаа онцлог, судалгааны сонирхолтой байдлаас шалтгаалан асуудлыг үргэлжлүүлэн судалж, хамгаалж, хамгаалалтын бүтцийг сайжруулж байна.

Жич:Бидэнд талархлаа илэрхийлэх сайхан үгс дутмаг байдаг тул бид зүгээр л хэлдэг"Баярлалаа!" 2013 оны 11-р сарын 20-ны хүнд хэцүү өдөр биднийг халуунаар дэмжсэн тэвчээртэй үйлчлүүлэгчиддээ. Биднийг дэмжихдээ та олон урмын үг хэлсэн