Vi snakker mye om angrep på siden, hacking, men vi nevnte ikke temaet DDOS. I dag retter vi opp denne situasjonen og tilbyr deg full anmeldelse teknologier for organisering av DDOS-angrep og kjente verktøy for å utføre hackerangrep.

Du kan se listen over tilgjengelige verktøy for DDOS-angrep i KALI ved å kjøre kommandoen:

kali > /usr/share/exploitdb/platforms/windows/dos

Denne kommandoen viser en database med utnyttelser for å angripe Windows-systemer.

For å se de tilgjengelige Linux DDOS-angrepsverktøyene, skriv inn kommandoen:

/usr/share/exploitdb/platforms/Linux/dos.

2.LOIC

Low Orbit Ion Cannon (LOIC) Lav orbital ionkanon. Kanskje det mest populære DDOS-programmet. Den kan sende masseforespørsler via ICMP- og UDP-protokoller, og dermed tette kanalen til offerets server. Det mest kjente LOIC-angrepet ble utført av Anonymous i 2009 og ble rettet mot PayPal, Visa, MasterCard som gjengjeldelse for at WikiLeaks ble avskåret fra donasjonsinnsamlingssystemet.

Angrep organisert ved hjelp av LOIC kan utnyttes ved å blokkere UDP- og ICMP-pakker på nettverksutstyret til Internett-leverandører. Du kan laste ned selve LOIC-programmet gratis på nettsiden. Dette verktøyet er på Windows basert og det er veldig enkelt å jobbe med det, du spesifiserer offerets nettsteder og trykker bare på én knapp.

2.HOIC

HOIC ble utviklet under Operation Payback av Praetox av det samme teamet som opprettet LOIC. Nøkkelforskjell er at HOIC bruker HTTP-protokollen og bruker den til å sende en strøm av randomiserte HTTP GET- og POST-forespørsler. Den er i stand til å angripe 256 domener samtidig. Du kan laste den ned fra .

3.XOIC

XOIC er et annet veldig enkelt DDOS-verktøy. Brukeren trenger ganske enkelt å stille inn offerets IP-adresse, velge protokollen (HTTP, UDP, ICMP eller TCP) og trykke på avtrekkeren! Du kan laste den ned fra

5. HULK

6. UDP Flooder

UDP Flooder lever opp til navnet sitt - verktøyet er designet for å sende flere UDP-pakker til et mål. UDP Flooder brukes ofte i DDOS-angrep på spillservere for å koble spillere fra serveren. Programmet er tilgjengelig for nedlasting på.

7. RUDY

8. ToRs Hammer

ToRs Hammer ble laget for å jobbe på tvers nettverk, for å oppnå større anonymitet til angriperen. Problemet med dette verktøyet er at TOR-nettverket er ganske tregt og reduserer dermed effektiviteten til et DDOS-angrep. Du kan laste ned dette DDOS-programmet fra Packet Storm eller .

9. Pyloris

Pyloris er et annet DDoS-verktøy som bruker en ny tilnærming. Det lar en angriper lage sitt eget unike HTTP-forespørsel. Programmet vil da prøve å holde TCP-tilkoblingen åpen ved å bruke slike forespørsler, og dermed redusere antall tilgjengelige tilkoblinger på serveren. Når en servers tilkoblingsgrense når grensen, kan ikke serveren lenger betjene tilkoblinger og siden blir utilgjengelig. Dette verktøyet er tilgjengelig for gratis nedlasting fra nettstedet.

10. OWASP Switchblade

Open Web Application Security Project (OWASP) og ProactiveRISK utviklet et verktøy Switchblade DoS-verktøy for testing av WEB-applikasjoner for motstand mot DDoS-angrep. Den har tre driftsmoduser: 1. SSL Half-Open, 2. HTTP Post og 3. Slowloris. Du kan laste den ned for gjennomgang fra OWASP-nettstedet.

11. DAVOSET

12. GoldenEye HTTP DoS-verktøy

13. THC-SSL-DOS

Dette DDOS-programmet (inkludert med Kali) skiller seg fra de fleste DDOS-verktøy ved at det ikke bruker Internett-båndbredde og kan brukes fra én datamaskin. THC-SSL-DOS utnytter en sårbarhet i SSL-protokollen og er i stand til å krasje målserveren. Med mindre den har denne sårbarheten, selvfølgelig. Du kan laste ned programmet fra THC-nettstedet, eller bruke KALI Linux der dette verktøyet allerede er installert.

14. DDOSIM – Layer 7 DDoS emulator

Det er her vår anmeldelse slutter, men i fremtiden vil vi komme tilbake til temaet DDOS-angrep på sidene til bloggen vår.

Å bekjempe DDoS-angrep er ikke bare vanskelig, men også spennende. Det er ikke overraskende at hver systemadministrator først og fremst prøver å organisere forsvar på egen hånd - spesielt siden dette fortsatt er mulig.

Vi bestemte oss for å hjelpe deg i denne vanskelige saken og publisere noen korte, trivielle og ikke-universelle tips for å beskytte nettstedet ditt mot angrep. Oppskriftene som er gitt vil ikke hjelpe deg med å takle angrep, men de vil beskytte deg mot de fleste farene.

De riktige ingrediensene

Den harde sannheten er at hvem som helst kan ta ned mange nettsteder ved å bruke Slowloris-angrepet, som fullstendig dreper Apache, eller ved å organisere en såkalt SYN-flom ved å bruke en gård virtuelle servere, reist på et minutt i Amazonas EC2-sky. Alle våre videre råd om gjør-det-selv DDoS-beskyttelse er basert på følgende viktige forhold.

1. Slutt å bruke Windows Server

Praksis antyder at et nettsted som kjører på Windows (2003 eller 2008 - det spiller ingen rolle) er dømt i tilfelle en DDoS. Årsaken til feilen ligger i Windows-nettverksstakken: når det er mange tilkoblinger, begynner serveren absolutt å reagere dårlig. Vi vet ikke hvorfor Windows Server i slike situasjoner fungerer det så ekkelt, men vi har vært borti dette mer enn en eller to ganger. Av denne grunn vil denne artikkelen fokusere på midler for beskyttelse mot DDoS-angrep i tilfelle serveren kjører på Linux. Hvis du er den heldige eieren av en relativt moderne kjerne (fra 2.6), vil de primære verktøyene være iptables og ipset-verktøy (for raskt å legge til IP-adresser), som du raskt kan forby bots med. En annen nøkkel til suksess er en riktig forberedt nettverksstabel, som vi også vil snakke om senere.

2. Slå opp med Apache

Den andre viktige betingelsen er forlatelse av Apache. Hvis du kjører Apache, installer i det minste en caching-proxy foran den - nginx eller lighttpd. Apache er ekstremt vanskelig å betjene filer, og hva som er enda verre, det er på et grunnleggende nivå (det vil si uopprettelig) sårbart for det farligste Slowloris-angrepet, som lar deg krasje serveren med nesten mobiltelefon. For å bekjempe ulike typer Slowloris, kom Apache-brukere først med Anti-slowloris.diff-patchen, deretter mod_noloris, deretter mod_antiloris, mod_limitipconn, mod_reqtimeout... Men hvis du vil sove rolig om natten, er det lettere å bruke en HTTP-server som er usårbar for Slowloris på arkitektonisk nivåkode. Derfor er alle våre videre oppskrifter basert på antakelsen om at nginx brukes på frontend.

Bekjemper DDoS

Hva skal jeg gjøre hvis DDoS kommer? En tradisjonell selvforsvarsteknikk er å lese HTTP-serverloggfilen, skrive et grep-mønster (fange botforespørsler) og utestenge alle som faller inn under den. Denne teknikken vil fungere... hvis du er heldig. Det finnes to typer botnett, begge farlige, men på forskjellige måter. Den ene kommer helt til nettstedet umiddelbart, den andre gradvis. Den første dreper alt på en gang, men det hele vises i loggene, og hvis du varmer dem opp og forbyr alle IP-adresser, så er du en vinner. Det andre botnettet angriper nettstedet forsiktig og forsiktig, men du må kanskje utestenge det i 24 timer. Det er viktig for enhver administrator å forstå: hvis du planlegger å kjempe med grep, må du være forberedt på å bruke et par dager på å bekjempe angrepet. Nedenfor er tips om hvor du kan plassere sugerør på forhånd for å gjøre fall mindre smertefullt.

3. Bruk testinformasjonskapselmodulen

Kanskje den viktigste, effektive og operative oppskriften i denne artikkelen. Hvis DDoS kommer til nettstedet ditt, kan den mest effektive måten å slå tilbake på være testcookie-nginx-modulen, utviklet av habrauser @kyprizel. Ideen er enkel. Oftest er roboter som implementerer HTTP-flooding ganske dumme og har ikke HTTP-informasjonskapsler og omdirigeringsmekanismer. Noen ganger kommer du over mer avanserte – de kan bruke informasjonskapsler og behandle omdirigeringer, men nesten aldri en DoS-bot har en fullverdig JavaScript-motor (selv om dette blir mer og mer vanlig). Testcookie-nginx fungerer som et raskt filter mellom roboter og backend under et L7 DDoS-angrep, slik at du kan filtrere bort søppelforespørsler. Hva er inkludert i disse sjekkene? Vet klienten hvordan man utfører HTTP Redirect, støtter den JavaScript, er det nettleseren den hevder å være (siden JavaScript er forskjellig overalt og hvis klienten sier at det er for eksempel Firefox, så kan vi sjekke dette). Verifisering implementeres ved hjelp av informasjonskapsler ved hjelp av forskjellige metoder:

• "Set-Cookie" + omdirigering ved hjelp av 301 HTTP Location;
• "Set-Cookie" + omdirigere med ved hjelp av HTML meta refresh;
• hvilken som helst mal, og du kan bruke JavaScript.

For å unngå automatisk parsing kan valideringsinformasjonskapselen krypteres med AES-128 og senere dekrypteres på JavaScript-klientsiden. I ny verson modul, ble det mulig å sette informasjonskapsler via Flash, som også lar deg effektivt luke ut roboter (som Flash som regel ikke støtter), men som imidlertid også blokkerer tilgang for mange legitime brukere (nesten alle mobile enheter). Det er bemerkelsesverdig at det er ekstremt enkelt å begynne å bruke testcookie-nginx. Spesielt utvikleren gir flere klare eksempler bruk (for forskjellige angrepstilfeller) med eksempler på konfigurasjoner for nginx.

I tillegg til fordelene, har testcookie også ulemper:

• kutter alle roboter, inkludert Googlebot. Hvis du planlegger å beholde testinformasjonskapselen på permanent basis, sørg for at du ikke forsvinner fra søkeresultatene;
• skaper problemer for brukere med lenker, w3m og lignende nettlesere;
• beskytter ikke mot roboter utstyrt med en fullverdig nettlesermotor med JavaScript.

Kort sagt, testcookie_module er ikke universell. Men det hjelper på en del ting, som for eksempel primitive verktøy i Java og C#. På denne måten avskjærer du en del av trusselen.

4. Kode 444

Målet til DDoSers er ofte den mest ressurskrevende delen av nettstedet. Et typisk eksempel er søk, som utfører komplekse databasespørringer. Naturligvis kan angripere dra nytte av dette ved å laste flere titusenvis av forespørsler til søkemotoren samtidig. Hva vi kan gjøre? Deaktiver søk midlertidig. Selv om klienter kanskje ikke kan søke etter informasjonen de trenger ved hjelp av innebygde verktøy, vil hele hovedsiden forbli operativ til du finner roten til alle problemene. Nginx støtter en ikke-standard 444-kode, som lar deg ganske enkelt lukke forbindelsen og ikke returnere noe som svar:

Plassering /søk (retur 444;)

På denne måten kan du for eksempel raskt implementere filtrering etter URL. Hvis du er sikker på at forespørsler om plassering /søk bare kommer fra roboter (for eksempel er tilliten din basert på det faktum at nettstedet ditt ikke har en /search-seksjon i det hele tatt), kan du installere ipset-pakken på serveren og banne roboter med et enkelt skallskript:

Ipset -N ban iphash tail -f access.log | mens du leser LINE; ekko "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; ferdig

Hvis loggfilformatet ikke er standard (ikke kombinert) eller du må utestenge basert på andre kriterier enn responsstatus, kan det hende du må erstatte cut med et regulært uttrykk.

5. Vi forbyr ved geolokalisering

Den ikke-standardiserte svarkoden 444 kan også være nyttig for raskt å utestenge klienter basert på geobaserte egenskaper. Du kan strengt begrense visse land som gjør deg ukomfortabel. For eksempel er det lite sannsynlig at en nettkamerabutikk fra Rostov-on-Don har mange brukere i Egypt. Det er ikke veldig riktig vei(for å si det rett ut, ekkelt), siden GeoIP-data er unøyaktige, og rostovitter flyr noen ganger til Egypt på ferie. Men hvis du ikke har noe å tape, følg instruksjonene:

1. Koble GeoIP-modulen til nginx (wiki.nginx.org/HttpGeoipModule).
2. Vis georeferanseinformasjon i tilgangsloggen.
3. Deretter, ved å endre skallskriptet ovenfor, kjør nginx sin tilgangslogg og legg til geografisk ekskluderte klienter til forbudet.

Hvis for eksempel robotene stort sett var fra Kina, kan dette hjelpe.

6. Nevralt nettverk (PoC)

Til slutt kan du gjenta opplevelsen til habra-brukeren @SaveTheRbtz, som tok PyBrain nevrale nettverk, stappet loggen inn i den og analyserte spørringene (habrahabr.ru/post/136237). Metoden fungerer, men ikke universell :). Men hvis du virkelig kjenner innsiden av nettstedet ditt - og du, hvordan Systemadministrator, bør, så har du en sjanse til at i de mest tragiske situasjonene vil et slikt verktøysett basert på nevrale nettverk, opplæring og informasjon samlet på forhånd hjelpe deg. I dette tilfellet er det veldig nyttig å ha access.log før DDoS starter, siden den beskriver nesten 100 % av legitime klienter, og derfor et utmerket datasett for opplæring nevrale nettverket. Dessuten er ikke roboter alltid synlige i loggen.

Diagnose av problemet

Siden fungerer ikke - hvorfor? Er det DDoSed eller er dette en motorfeil som ikke ble lagt merke til av programmereren? spiller ingen rolle. Ikke se etter svar på dette spørsmålet. Hvis du tror at nettstedet ditt kan være under angrep, kontakt selskaper som gir beskyttelse mot angrep - en rekke anti-DDoS-tjenester tilbyr gratis første dager etter tilkobling - og ikke kast bort mer tid på å lete etter symptomer. Fokuser på problemet. Hvis et nettsted er tregt eller ikke vil åpne i det hele tatt, er det noe galt med ytelsen, og - enten det er et DDoS-angrep eller ikke - det er ditt ansvar som profesjonell å forstå hva som forårsaker det. Vi har gjentatte ganger vært vitne til hvordan et selskap som har opplevd problemer med driften av nettsiden sin på grunn av et DDoS-angrep, i stedet for å lete etter svakheter i nettsidemotoren, forsøkte å sende uttalelser til innenriksdepartementet for å finne og straffe angriperne. Ikke gjør disse feilene. Å finne nettkriminelle er en vanskelig og langvarig prosess, komplisert av selve strukturen og driftsprinsippene til Internett, og problemet med driften av nettstedet må løses raskt. Få tekniske spesialister til å finne årsaken til nedgangen i nettstedets ytelse, og advokater kan skrive en uttalelse.

7. Bruk en profiler og debugger

For den vanligste plattformen for å lage nettsteder - PHP + MySQL - kan flaskehalsen bli funnet ved å bruke følgende verktøy:

• Xdebug-profilen vil vise hvilke samtaler applikasjonen bruker mest tid på;
• den innebygde APD-debuggeren og feilsøkingsutgangen i feilloggen vil hjelpe deg med å finne ut nøyaktig hvilken kode som gjør disse anropene;
• i de fleste tilfeller er hunden begravet i kompleksiteten og tyngden av databasespørringer. Forklar SQL-direktivet innebygd i databasemotoren vil hjelpe her.

Hvis siden er nede og du ikke mister noe, koble fra nettverket, se på loggene, prøv å spille dem. Hvis den ikke er der, gå gjennom sidene og se på basen.

Eksemplet er for PHP, men ideen er gyldig for enhver plattform. En utvikler som skriver programvareprodukter på et hvilket som helst programmeringsspråk må raskt kunne bruke både en feilsøker og en profiler. Øv på forhånd!

8. Analyser feil

Analyser trafikkvolumet, serverens responstid og antall feil. For å gjøre dette, se på loggene. I nginx registreres serverens responstid i loggen av to variabler: request_time og upstream_response_time. Den første er fulltid forespørselskjøring, inkludert nettverksforsinkelser mellom brukeren og serveren; den andre forteller hvor lenge backend (Apache, php_fpm, uwsgi...) utførte forespørselen. Upstream_response_time-verdien er ekstremt viktig for nettsteder med et stort antall dynamisk innhold og aktiv kommunikasjon mellom frontend og databasen, kan det ikke neglisjeres. Du kan bruke følgende konfigurasjon som et loggformat:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Dette er et kombinert format med ekstra tidsfelt.

9. Spor forespørsler per sekund

Se også på antall forespørsler per sekund. Når det gjelder nginx, kan du grovt anslå denne verdien med følgende skallkommando (ACCESS_LOG-variabelen inneholder banen til nginx-forespørselsloggen i kombinert format):

Ekko $(($(fgrep -c "$(env LC_ALL=C date --date=@$(($(dato \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

Sammenlignet med det normale nivået for denne tiden på dagen, kan antallet forespørsler per sekund enten falle eller stige. De vokser hvis et stort botnett har ankommet, og de faller hvis det innkommende botnettet har ødelagt siden, noe som gjør det helt utilgjengelig for legitime brukere, og samtidig ber ikke botnettet om statikk, men legitime brukere gjør det. Nedgangen i antall forespørsler observeres nettopp på grunn av statikk. Men på en eller annen måte snakker vi om alvorlige endringer i indikatorer. Når dette plutselig skjer - mens du prøver å løse problemet på egen hånd og hvis du ikke ser det med en gang i loggen, er det bedre å raskt sjekke motoren og samtidig kontakte spesialister.

10. Ikke glem tcpdump

Mange glemmer at tcpdump er et fantastisk diagnostisk verktøy. Jeg skal gi deg et par eksempler. I desember 2011 ble det oppdaget en feil i Linux-kjernen da den åpnet en TCP-tilkobling da TCP-segmentflaggene SYN og RST ble satt. Den første feilrapporten ble sendt av systemadministratoren fra Russland, hvis ressurs ble angrepet av denne metoden - angriperne lærte om sårbarheten før hele verden. Det er klart at denne diagnosen hjalp ham. Et annet eksempel: nginx har en ikke særlig hyggelig egenskap - den skriver til loggen først etter at forespørselen er ferdig behandlet. Det er situasjoner når siden er nede, ingenting fungerer og det er ingenting i loggene. Dette er fordi alle forespørsler som dette øyeblikket laster inn serveren, er ikke fullført ennå. Tcpdump vil hjelpe her også.

Det er så bra at jeg rådet folk til å ikke bruke binære protokoller før de er sikre på at alt er i orden - tross alt er tekstprotokoller enkle å feilsøke med tcpdump, men binære er det ikke. Men snifferen er god som diagnostikk verktøy - som et middel til å opprettholde produksjonen» og han er skummel. Det kan lett miste flere pakker samtidig og ødelegge brukerhistorikken din. Det er praktisk å se på resultatet, og det er nyttig for manuell diagnostikk og forbud, men prøv å ikke basere noe kritisk på det. Et annet favorittverktøy for å "begrave forespørsler" - ngrep - prøver vanligvis som standard å be om rundt to gigabyte med ikke-byttbart minne og begynner først da å redusere kravene.

11. Angrep eller ikke?

Hvordan skille et DDoS-angrep, for eksempel, fra en effekt reklamekampanje? Dette spørsmålet kan virke morsomt, men temaet er ikke mindre komplekst. Det er ganske morsomme saker. Noen flinke gutter, da de anstrengte seg og skrudde opp caching grundig, gikk siden ned i et par dager. Det viste seg at denne siden i flere måneder i det stille hadde blitt dataminert av noen tyskere, og før caching ble optimalisert tok det ganske lang tid å laste inn sidene til disse tyskerne med alle bildene. Da siden begynte å bli servert fra cachen umiddelbart, begynte roboten, som ikke hadde noen timeouts, også å samle dem umiddelbart. Det var tungt. Saken er spesielt vanskelig av den grunn at hvis du selv endret innstillingen (slått på caching) og siden sluttet å fungere etter det, hvem har da skylden etter din og sjefens mening? Nøyaktig. Hvis du ser en kraftig økning i antall forespørsler, så se på f.eks. Google Analytics hvem som kom til hvilke sider.

Nettserverinnstilling

Hvilke andre nøkkelpunkter er det? Selvfølgelig kan du installere standard nginx og håpe at alt blir bra. Men ting går ikke alltid bra. Derfor må administratoren av enhver server bruke mye tid på å finjustere og finjustere nginx.

12. Begrens ressurser (bufferstørrelser) i nginx

Hva bør du huske først? Hver ressurs har en grense. Først og fremst gjelder dette RAM. Derfor må størrelsene på overskrifter og alle brukte buffere begrenses til tilstrekkelige verdier for klienten og hele serveren. De må være registrert i nginx-konfigurasjonen.

• client_header_buffer_size_ _ Angir bufferstørrelsen for lesing av klientforespørselhodet. Hvis forespørselslinjen eller forespørselshodefeltet ikke passer helt inn i denne bufferen, blir større buffere tildelt, spesifisert av direktivet large_client_header_buffers.
• large_client_header_buffers Angir maksimalt antall og størrelse på buffere for lesing av en stor klientforespørselhode.
• client_body_buffer_size Angir bufferstørrelsen for lesing av klientforespørselsteksten. Hvis forespørselskroppen er større enn den angitte bufferen, skrives hele forespørselskroppen eller bare deler av den til en midlertidig fil.
• client_max_body_size Angir den maksimalt tillatte kroppsstørrelsen for klientforespørselen, spesifisert i "Content-Length"-feltet i forespørselsoverskriften. Hvis størrelsen er større enn den spesifiserte, returneres feil 413 (Request Entity Too Large) til klienten.

13. Sette opp tidsavbrudd i nginx

Tid er også en ressurs. Derfor bør det neste viktige trinnet være å sette alle tidsavbrudd, som igjen er svært viktig å spesifisere nøye i nginx-innstillingene.

• reset_timedout_connection på; Hjelper med å håndtere stikkontakter som sitter fast i FIN-WAIT-fasen.
• client_header_timeout Stiller inn tidsavbruddet ved lesing av klientforespørselhodet.
• client_body_timeout Angir tidsavbrudd ved lesing av brødteksten til en klientforespørsel.
• keepalive_timeout Stiller inn tidsavbruddet der keep-alive-tilkoblingen til klienten ikke vil bli stengt fra serversiden. Mange er redde for å sette store verdier her, men vi er ikke sikre på at denne frykten er berettiget. Eventuelt kan du angi en tidsavbruddsverdi i Keep-Alive HTTP-overskriften, men Internet Explorer kjent for å ignorere denne betydningen
• send_timeout Angir tidsavbrudd når du sender et svar til klienten. Hvis klienten etter dette tidspunktet ikke godtar noe, vil forbindelsen bli stengt.

Umiddelbart er spørsmålet: hvilke parametere for buffere og tidsavbrudd er riktige? Det er ingen universell oppskrift her; hver situasjon har sin egen. Men det er en velprøvd tilnærming. Det er nødvendig å angi minimumsverdiene der nettstedet forblir operativt (i fredstid), det vil si at sider blir servert og forespørsler behandles. Dette bestemmes kun ved testing – både fra stasjonære og mobile enheter. Algoritme for å finne verdiene til hver parameter (bufferstørrelse eller tidsavbrudd):

1. Vi setter den matematisk minste verdien av parameteren.
2. Vi begynner å kjøre nettstedstester.
3. Hvis all funksjonalitet på nettstedet fungerer uten problemer, er parameteren definert. Hvis ikke, øk verdien av parameteren og gå til trinn 2.
4. Hvis parameterverdien overskrider selv standardverdien, er dette en grunn til diskusjon i utviklingsteamet.

I noen tilfeller bør en revisjon av disse parameterne føre til en refaktorisering/redesign av nettstedet. For eksempel, hvis et nettsted ikke fungerer uten tre-minutters AJAX lange pollingforespørsler, trenger du ikke å øke tidsavbruddet, men erstatte lang polling med noe annet - et botnett på 20 tusen maskiner, hengende på forespørsler i tre minutter, vil lett drepe den gjennomsnittlige billige serveren.

14. Begrens tilkoblinger i nginx (limit_conn og limit_req)

Nginx har også muligheten til å begrense tilkoblinger, forespørsler og så videre. Hvis du ikke er sikker på hvordan en bestemt del av nettstedet ditt vil oppføre seg, må du ideelt sett teste det, forstå hvor mange forespørsler den vil håndtere, og skrive dette i nginx-konfigurasjonen. Det er én ting når siden er nede og du kan komme og hente den. Og det er en helt annen sak når det går ned i en slik grad at serveren går i bytte. I dette tilfellet er det ofte lettere å starte på nytt enn å vente på hans triumferende retur.

La oss anta at nettstedet har seksjoner med beskrivende navn /nedlasting og /søk. Samtidig:

• vi vil ikke at roboter (eller personer med altfor nidkjære rekursive nedlastingsbehandlere) skal fylle opp vår TCP-tilkoblingstabell med nedlastingene deres;
• vi vil ikke ha roboter (eller bortkommen crawlere søkemotorer) brukte dataressursene til DBMS med mange søk.

For disse formålene vil følgende konfigurasjon fungere:

HTML search_r burst=5; # Annen konfigurasjonsplassering ) ) )

Vanligvis er det direkte fornuftig å sette limit_conn og limit_req restriksjoner for steder der skript som er dyre å kjøre er plassert (eksemplet viser et søk, og dette er med god grunn). Begrensninger må velges basert på belastnings- og regresjonstestresultater, samt sunn fornuft.

Legg merke til 10m-parameteren i eksemplet. Det betyr at en ordbok med en buffer på 10 megabyte og ikke en megabyte mer vil bli tildelt for å beregne denne grensen. I denne konfigurasjonen vil dette tillate overvåking av 320 000 TCP-økter. For å optimalisere minneavtrykket, brukes $binary_remote_addr-variabelen som en nøkkel i ordboken, som inneholder brukerens IP-adresse i binær form og tar opp mindre minne enn den vanlige $remote_addr-strengvariabelen. Det skal bemerkes at den andre parameteren til limit_req_zone-direktivet ikke bare kan være IP, men også en hvilken som helst annen nginx-variabel som er tilgjengelig i denne sammenhengen - for eksempel når du ikke ønsker å gi en mer skånsom modus for proxyen, du kan bruke $binary_remote_addr$http_user_agent eller $binary_remote_addr$http_cookie_myc00kiez - men du må bruke slike konstruksjoner med forsiktighet, siden, i motsetning til 32-bits $binary_remote_addr, kan disse variablene være betydelig lengre og "10m" kan du slutte.

DDoS-trender

1. Kraften til angrep på nettverk og transportlag vokser stadig. Potensialet for et gjennomsnittlig SYN flomangrep har allerede nådd 10 millioner pakker per sekund.
2. Spesielt etterspurt i I det siste bruke DNS-angrep. UDP-oversvømmelse med gyldige DNS-spørringer med falske kilde-IP-adresser er et av de enkleste angrepene å implementere og vanskelig å motarbeide. Mange store russiske selskaper (inkludert hosting-selskaper) har nylig opplevd problemer som følge av angrep på deres DNS-servere. Jo lenger du går, jo flere slike angrep vil det være, og kraften deres vil vokse.
3. Ved å dømme etter ytre tegn, er de fleste botnett ikke kontrollert sentralt, men gjennom et peer-to-peer-nettverk. Dette gir angripere muligheten til å synkronisere botnettets handlinger over tid - hvis tidligere kontrollkommandoer ble distribuert over et botnett på 5 tusen maskiner på flere titalls minutter, teller nå sekunder, og nettstedet ditt kan uventet oppleve en øyeblikkelig hundredobling i antall forespørsler .
4. Andelen av roboter utstyrt med en fullverdig nettlesermotor med JavaScript er fortsatt liten, men vokser stadig. Et slikt angrep er vanskeligere å avvise med innebygde improviserte midler, så DIYers bør se denne trenden med forsiktighet.

klargjør OS

I tillegg finjustering nginx, må du ta vare på innstillingene nettverksstabel systemer. Aktiver i det minste net.ipv4.tcp_syncookies i sysctl umiddelbart for å umiddelbart beskytte deg mot et lite SYN-flom-angrep.

15. Still inn kjernen

Vær oppmerksom på de mer avanserte innstillingene til nettverksdelen (kjernen), igjen angående tidsavbrudd og minne. Det er viktigere og mindre viktige. Først av alt må du være oppmerksom på:

• net.ipv4.tcp_fin_timeout Tiden som kontakten vil bruke i TCP FIN-WAIT-2-fasen (venter på FIN/ACK-segmentet).
• net.ipv4.tcp_(,r,w)mem TCP-socket-mottaksbufferstørrelse. Tre verdier: minimum, standard og maksimum.
• net.core.(r,w)mem_max Det samme gjelder ikke-TCP-buffere.

Med en kanal på 100 Mbit/s er standardverdiene fortsatt passende; men hvis du har minst en gigabit per sekund tilgjengelig, er det bedre å bruke noe sånt som:

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl 4.6cpv 9.6cp net. 608" " sysctl - w net.ipv4.tcp_fin_timeout=10

16. Revisjon /proc/sys/net/**

Det er ideelt å utforske alle parameterne i /proc/sys/net/**. Vi må se hvor forskjellige de er fra standard og forstå hvor tilstrekkelig de er satt. En Linux-utvikler (eller systemadministrator) som forstår driften av Internett-tjenesten under hans kontroll og ønsker å optimalisere den, bør med interesse lese dokumentasjonen av alle parameterne til kjernenettverksstakken. Kanskje han vil finne stedsspesifikke variabler som ikke bare vil beskytte nettstedet mot inntrengere, men også øke hastigheten på driften.

Ikke vær redd!

Vellykkede DDoS-angrep dag etter dag slukker e-handel, ryster media og slår ut de største betalingssystemene med ett slag. Millioner av Internett-brukere mister tilgang til kritisk informasjon. Trusselen haster, så vi må møte den på strak arm. Gjør leksene dine, ikke vær redd og hold hodet kaldt. Du er ikke den første og ikke den siste som vil møte et DDoS-angrep på nettstedet ditt, og det er i din makt, styrt av din kunnskap og sunn fornuft, å redusere konsekvensene av angrepet til et minimum.

Distribuerte tjenestenektangrep, eller DDoS for kort, har blitt en vanlig foreteelse og en stor hodepine for eiere av internettressurser over hele verden. Det er derfor beskyttelse mot DDoS-angrep på en nettside ikke er et alternativ i dag. tilleggsalternativ, men en forutsetning for de som vil unngå nedetid, store tap og skadet omdømme.

Vi vil fortelle deg mer detaljert hva denne sykdommen er og hvordan du kan beskytte deg mot den.

Hva er DDoS

Distribuert tjenestenekt eller "distribuert tjenestenekt" - et angrep på informasjon System slik at den ikke er i stand til å behandle brukerforespørsler. Med enkle ord, innebærer DDoS å overvelde en nettressurs eller server med trafikk fra et stort antall kilder, noe som gjør den utilgjengelig. Ofte utføres et slikt angrep for å provosere avbrudd i driften av nettverksressurser i et stort selskap eller statlig organisasjon

Et DDoS-angrep ligner på en annen vanlig nettrussel, Denial of Service (DoS). Den eneste forskjellen er at et typisk distribuert angrep kommer fra ett punkt, mens et DDos-angrep er mer utbredt og kommer fra ulike kilder.

Hovedmålet med et DDoS-angrep er å gjøre et nettsted utilgjengelig for besøkende ved å blokkere driften. Men det er tilfeller når slike angrep utføres for å avlede oppmerksomheten fra andre skadelige påvirkninger. Et DDoS-angrep kan for eksempel utføres når et sikkerhetssystem brytes for å ta over en organisasjons database.

DDoS-angrep kom til offentlig oppmerksomhet i 1999, da en rekke angrep skjedde på nettsidene til store selskaper (Yahoo, eBay, Amazon, CNN). Siden den gang har denne typen nettkriminalitet utviklet seg til å bli en global trussel. Ifølge eksperter har frekvensen de siste årene økt 2,5 ganger, og den maksimale effekten begynte å overstige 1 Tbit/sek. Hvert sjette russiske selskap har blitt et offer for et DDoS-angrep minst én gang. Innen 2020 vil deres totale antall nå 17 millioner.

En vertsplattform med 24/7 beskyttelse mot de mest sofistikerte DDoS-angrepene.

Årsaker til DDoS-angrep

1. Personlig fiendskap. Det oppmuntrer ofte angripere til å angripe selskaper eller offentlige selskaper. I 1999 ble for eksempel FBIs nettsteder angrepet, noe som førte til at de gikk ned i flere uker. Dette skjedde fordi FBI startet et storstilt raid mot hackere.
2. Politisk protest. Vanligvis utføres slike angrep av hacktivister - IT-spesialister med radikale synspunkter på sivil protest. Et velkjent eksempel er en serie nettangrep mot estiske offentlige etater i 2007. Deres sannsynlig grunn fungerte som en mulighet til å rive monumentet til soldaten-frigjøreren i Tallinn.
3. Underholdning. Det er alt i dag stor kvantitet folk er interessert i DDoS og vil prøve seg på det. Nybegynnere hackere starter ofte angrep for moro skyld.
4. Utpressing og utpressing. Før han starter et angrep, kontakter hackeren eieren av ressursen og krever løsepenger.
5. Konkurranse. DDoS-angrep kan bestilles fra et skruppelløst selskap for å påvirke sine konkurrenter.

Hvem er de potensielle ofrene?

DDoS kan ødelegge nettsteder av alle størrelser, fra vanlige blogger til de største selskapene, bankene og andre finansinstitusjoner.

I følge undersøkelser utført av Kaspersky Lab kan et angrep koste et firma opptil 1,6 millioner dollar. Dette er alvorlig skade, fordi den angrepne nettressursen ikke kan betjenes på en stund, noe som forårsaker nedetid.

Oftest lider nettsteder og servere av DDoS-angrep:

• store selskaper og offentlige etater;
• finansinstitusjoner (banker, forvaltningsselskaper);
• kupong tjenester;
• medisinske institusjoner;
• betalingssystemer;
• Medier og informasjonsaggregatorer;
• nettbutikker og e-handelsbedrifter;
• online spill og spilltjenester;
• kryptovalutabørser.

For ikke lenge siden ble Internett-tilkoblet utstyr, samlet kalt "Internet of Things" (IoT), lagt til den triste listen over hyppige ofre for DDoS-angrep. Den største vekstdynamikken i dette området vises av cyberangrep som har som mål å forstyrre nettkassene til store butikker eller kjøpesentre.

Driftsmekanisme

Alle webservere har sine begrensninger på antall forespørsler de kan behandle samtidig. I tillegg er det en grense for båndbredden til kanalen som forbinder nettverket og serveren. For å omgå disse begrensningene oppretter angripere datanettverk med skadelig programvare, kalt et "botnett" eller "zombienettverk".

For å lage et botnett distribuerer nettkriminelle trojaneren via e-postnyhetsbrev, sosiale nettverk eller nettsteder. Datamaskiner inkludert i botnettet har ikke fysisk forbindelse seg imellom. De forenes bare ved å "tjene" målene til hacker-eieren.

Under et DDoS-angrep sender en hacker kommandoer til "infiserte" zombiedatamaskiner, og de starter et angrep. Botnett genererer en enorm mengde trafikk som kan overbelaste ethvert system. De viktigste "objektene" for DDoS er vanligvis serverbåndbredden, DNS-serveren og selve Internett-tilkoblingen.

Tegn på et DDoS-angrep

Når handlingene til angripere når målet, kan dette umiddelbart bestemmes av feil i driften av serveren eller ressursen som er vert der. Men det er en rekke indirekte tegn som du kan finne ut om et DDoS-angrep på helt i begynnelsen.

• Serverprogramvare og OS starter ofte og klart mislykkes- fryse, slå av feil osv.
maskinvarekapasitet server, som skiller seg kraftig fra det daglige gjennomsnittet.
• Rask økning innkommendetrafikk i én eller flere porter.
• Gjentatte ganger dupliserte handlinger av samme type klienter på én ressurs (gå til et nettsted, laste opp en fil).
• Ved analyse av logger (logger over brukerhandlinger) til en server, brannmur eller nettverksenheter avslørt mange forespørsler samme type fra forskjellige kilder til en havn eller tjeneste. Du bør være spesielt på vakt hvis publikummet av forespørsler skiller seg kraftig fra målet for nettstedet eller tjenesten.

Klassifisering av typer DDoS-angrep

Protokolloffensiv (transportlag)

Et DDoS-angrep er rettet mot nettverkslaget til en server eller nettressurs, så det kalles ofte et nettverkslag eller transportlagsangrep. Formålet er å overbelaste tabellplassen på en loggbasert brannmur, sentralt nettverk eller lastbalanseringssystem.

Den vanligste DDoS-metoden på transportnivå - nettverksflom, skaper en enorm strøm av dummy-forespørsler på forskjellige nivåer som mottaksnoden fysisk ikke kan håndtere.

Som oftest nettverkstjeneste bruker FIFO-regelen, ifølge hvilken datamaskinen ikke fortsetter med å betjene den andre forespørselen før den har behandlet den første. Men under et angrep øker antallet forespørsler så mye at enheten ikke har nok ressurser til å fullføre den første forespørselen. Som et resultat metter flom båndbredden så mye som mulig og tetter fullstendig alle kommunikasjonskanaler.

Vanlige typer nettverksflom

• HTTP-flom- en masse vanlige eller krypterte HTTP-meldinger sendes til den angrepne serveren, og tetter kommunikasjonsnoder.
• ICMP-flom- angriperens botnett overbelaster offerets vertsmaskin med tjenesteforespørsler, som den er forpliktet til å gi ekkosvar til. Et spesielt eksempel på denne typen angrep er Pi flom eller Smurf angrep, når kommunikasjonskanaler er fylt med ping-forespørsler som brukes til å sjekke tilgjengeligheten til en nettverksnode. Det er nettopp på grunn av trusselen om ICMP-flom at systemadministratorer ofte fullstendig blokkerer muligheten til å sende ICMP-forespørsler ved hjelp av en brannmur.
• SYN flom- Angrepet påvirker en av de grunnleggende mekanismene til TCP-protokollen, kjent som "trippel håndtrykk"-prinsippet (request-response-algoritme: SYN-pakke – SYN-ACK-pakke – ACK-pakke). Offeret blir bombardert med en flom av falske SYN-forespørsler uten svar. Brukerens kanal er tilstoppet med en kø av TCP-forbindelser fra utgående forbindelser som venter på en ACK-pakke med svar.
• UDP-flom- tilfeldige porter på offerets vertsmaskin er oversvømmet med UDP-pakker, svarene som overbelaster nettverksressurser. En type UDP-flom rettet mot en DNS-server kalles DNS-flom.
• MAC flom– målet er nettverksmaskinvare, hvis porter er tilstoppet med strømmer av "tomme" pakker med forskjellige MAC-adresser. For å beskytte mot denne typen DDoS-angrep er nettverkssvitsjer konfigurert til å kontrollere gyldigheten og filtrere MAC-adresser.

Applikasjonslagsangrep (infrastrukturlag)

Denne varianten brukes når det er nødvendig å beslaglegge eller deaktivere maskinvareressurser. Målet til "raiders" kan være både fysisk og RAM eller CPU-tid.

Det er ikke nødvendig å overbelaste båndbredden. Det er nok bare å få offerets prosessor til å overbelaste eller med andre ord ta opp hele prosesstiden.

Typer DDoS-angrep på applikasjonsnivå

• Utsendelse "tungX"pakker, kommer direkte til prosessoren. Enheten kan ikke takle komplekse beregninger og begynner å mislykkes, og forhindrer dermed besøkende i å få tilgang til nettstedet.
• Ved å bruke et skript fylles serveren "søppel" innhold- loggfiler, "brukerkommentarer", etc. Hvis systemadministratoren ikke har satt en grense på serveren, kan en hacker lage enorme grupper med filer som vil fylle hele harddisken.
• Problemer med kvotesystem. Noen servere bruker til å kommunisere med eksterne programmer CGI-grensesnitt (Common Gateway Interface, " felles grensesnitt inngangsport"). Når en angriper får tilgang til CGI, kan han skrive sitt eget skript, som vil bruke noen av ressursene, for eksempel prosessortid, i hans interesser.
• Ufullstendig sjekk besøksdata. Dette fører også til langvarig eller til og med uendelig bruk av prosessorressurser til de er oppbrukt.
• Angrep av den andre typen. Det forårsaker en falsk alarm i sikkerhetssystemet, som automatisk kan stenge ressursen fra omverdenen.

Angrep på applikasjonsnivå

Applikasjonslaget DDoS-angrep utnytter utelatelser i opprettelsen av programkode, som skaper programvaresårbarhet for ekstern påvirkning. TIL denne arten Man kan inkludere et så vanlig angrep som "Ping of death" - massesending av lengre ICMP-pakker til offerets datamaskin, noe som forårsaker bufferoverløp.

Men profesjonelle hackere tyr sjelden til en så enkel metode som å overbelaste båndbreddekanaler. For å angripe komplekse systemer til store selskaper, prøver de å fullt ut forstå systemstrukturen til serveren og skrive en utnyttelse - et program, kommandokjede eller en del av programkoden som tar hensyn til sårbarheten til offerets programvare og brukes til å angripe datamaskinen.

DNS-angrep

1. Den første gruppen er rettet mot sårbarhetog iAV DNS-servere. Disse inkluderer slike vanlige typer cyberkriminalitet som Zero-day-angrep og Fast Flux DNS.
   En av de vanligste typene DNS-angrep kalles DNS-spoofing. I løpet av den erstatter angripere IP-adressen i serverbufferen, og omdirigerer brukeren til en falsk side. Under overgangen får kriminelle tilgang til brukerens personopplysninger og kan bruke dem til sin fordel. For eksempel, i 2009, på grunn av DNS-postforfalskning, kunne brukere ikke få tilgang til Twitter på en time. Dette angrepet var av politisk natur. Angriperne installerte hjemmeside sosialt nettverk advarsler fra iranske hackere knyttet til amerikansk aggresjon
2. Den andre gruppen er DDoS-angrep, som fører til DNS inoperabilitet-servere. Hvis de mislykkes, vil ikke brukeren kunne logge på. ønsket side, siden nettleseren ikke finner IP-adressen som er spesifikk for et bestemt nettsted.

Forebygging og beskyttelse mot DDoS-angrep

I følge Corero Network Security er mer enn ⅔ av alle selskaper i verden utsatt for tilgangsnektelse angrep hver måned. Dessuten når antallet 50.

Nettstedseiere som ikke gir serverbeskyttelse mot DDoS-angrep kan ikke bare lide store tap, men også en reduksjon i kundetillit, samt konkurranseevne i markedet.

Mest effektiv metode beskyttelse mot DDoS-angrep - filtre installert av leverandøren på Internett-kanaler med høy båndbredde. De utfører en konsekvent analyse av all trafikk og identifiserer mistenkelig nettverksaktivitet eller feil. Filtre kan installeres både på ruternivå og ved hjelp av spesielle maskinvareenheter.

Metoder for beskyttelse

1. Fortsatt på skrivestadiet programvare Du må tenke på sikkerheten til nettstedet. Grundig sjekk programvaren for feil og sårbarheter.
2. Jevnlig oppdatere programvaren, og gir også mulighet til å gå tilbake til gammel versjon hvis det oppstår problemer.
3. Følg begrensning av tilgang. Tjenester knyttet til administrasjon bør være helt stengt fra tredjepartstilgang. Beskytt administratorkontoen din komplekse passord og endre dem oftere. Slett umiddelbart kontoene til ansatte som slutter.
4. Tilgang til admin grensesnitt skal utføres utelukkende fra internt nettverk eller via VPN.
5. Skann systemet etter tilstedeværelse av sårbarheter. De farligste sårbarhetene publiseres jevnlig av den autoritative OWASP Topp 10-rangeringen.
6. Søke om applikasjons brannmur- WAF (Web Application Firewall). Den vurderer den overførte trafikken og overvåker legitimiteten til forespørsler.
7. Bruk CDN(Nettverk for innholdslevering). Det er et innholdsleveringsnettverk som opererer ved hjelp av et distribuert nettverk. Trafikk sorteres på tvers av flere servere, noe som reduserer ventetiden når besøkende får tilgang.
8. Kontroller innkommende trafikk med tilgangskontrolllister (ACL), som vil indikere en liste over personer som har tilgang til objektet (program, prosess eller fil), samt deres roller.
9. Kan blokkere trafikken, som kommer fra angripende enheter. Dette gjøres på to måter: ved å bruke brannmurer eller ACL-er. I det første tilfellet blokkeres en bestemt flyt, men skjermene kan ikke skille "positiv" trafikk fra "negativ" trafikk. Og i den andre filtreres mindre protokoller. Derfor vil det ikke være nyttig hvis hackeren bruker prioriterte spørringer.
10. For å beskytte deg mot DNS-spoofing, må du med jevne mellomrom tøm DNS-cache.
11. Bruk beskyttelse mot spambotter- captcha, "menneskelige" tidsrammer for utfylling av skjemaer, reCaptcha (sjekk "Jeg er ikke en robot"), etc.
12. Omvendt angrep. All ondsinnet trafikk blir omdirigert til angriperen. Det vil hjelpe ikke bare å avvise et angrep, men også ødelegge angriperens server.
13. Plassering av ressurser på flere uavhengige servere. Hvis en server svikter, vil de resterende sikre driften.
14. Ved hjelp av bevist maskinvarebeskyttelse fra DDoS-angrep. For eksempel Impletec iCore eller DefensePro.
15. Velg en hostingleverandør som samarbeider med pålitelig leverandør cybersikkerhetstjenester. Blant pålitelighetskriteriene fremhever eksperter: tilstedeværelsen av kvalitetsgarantier, beskyttelse mot hele spekteret av trusler, teknisk støtte døgnet rundt, åpenhet (klienttilgang til statistikk og analyser) og fravær av tariffer for ondsinnet trafikk .

Konklusjon

I denne artikkelen har vi sett på hva et DDoS-angrep betyr og hvordan du kan beskytte nettstedet ditt mot angrep. Det er viktig å huske at slike ondsinnede handlinger kan ødelegge selv de sikreste og største nettressursene. Dette vil medføre alvorlige konsekvenser i form av store tap og tap av kunder. Derfor er det en presserende oppgave å beskytte ressursen din mot DDoS-angrep for alle kommersielle strukturer og offentlige etater.

Hvis du vil ha et profesjonelt nivå av beskyttelse mot DDoS-angrep - velg! Konstant overvåking og 24/7 teknisk støtte.

I økende grad her og der i offisiell kommunikasjon fra hostingleverandører er det referanser til reflekterte DDoS-angrep. I økende grad antar brukere umiddelbart DDoS når de oppdager utilgjengeligheten til nettstedet deres. I begynnelsen av mars opplevde Runet faktisk en hel bølge av slike angrep. Samtidig forsikrer eksperter at moroa så vidt har begynt. Det er rett og slett umulig å ignorere et fenomen så relevant, truende og spennende. Så la oss i dag snakke om myter og fakta om DDoS. Fra hostingleverandørens ståsted, selvfølgelig.

Minneverdig dag

Den 20. november 2013, for første gang i selskapets 8-årige historie, var hele den tekniske plattformen utilgjengelig i flere timer på grunn av et enestående DDoS-angrep. Titusenvis av våre kunder over hele Russland og CIS led, for ikke å snakke om oss selv og vår internettleverandør. Det siste leverandøren klarte å ta opp før det hvite lyset bleknet for alle, var at inngangskanalene var tett tilstoppet med innkommende trafikk. For å visualisere dette, forestill deg badekaret ditt med et vanlig avløp, med Niagara Falls susende inn i det.

Selv leverandører høyere opp i kjeden følte effekten av denne tsunamien. Grafene nedenfor illustrerer tydelig hva som skjedde den dagen med Internett-trafikk i St. Petersburg og i Russland. Legg merke til de bratte toppene ved 15 og 18 timer, akkurat i de øyeblikkene vi registrerte angrepene. For disse plutselige pluss 500-700 GB.

Det tok flere timer å lokalisere angrepet. Serveren den ble sendt på ble beregnet. Deretter ble målet for internetterrorister beregnet. Vet du hvem alt dette fiendens artilleriet traff? En helt vanlig, beskjeden kundeside.

Myte nummer én: «Målet for angrepet er alltid vertsleverandøren. Dette er innspillene til konkurrentene hans. Ikke min." Faktisk er det mest sannsynlige målet for internetterrorister en vanlig klientside. Det vil si nettstedet til en av vertsnaboene dine. Eller kanskje din også.

Ikke alt er DDoS...

Etter hendelsene på vår tekniske side 20. november 2013 og delvis gjentakelse 9. januar 2014, begynte noen brukere å anta DDoS i en spesiell feil på deres egen nettside: "Dette er DDoS!" og "opplever du DDoS igjen?"

Det er viktig å huske at dersom vi blir rammet av en slik DDoS at selv våre klienter føler det, melder vi det umiddelbart selv.

Vi vil gjerne berolige de som har det travelt med å få panikk: Hvis det er noe galt med nettstedet ditt, er sannsynligheten for at det er DDoS mindre enn 1%. Ganske enkelt på grunn av det faktum at mange ting kan skje med et nettsted, og disse "mange tingene" skjer mye oftere. Vi vil snakke om metoder for rask selvdiagnose av hva som skjer med nettstedet ditt i et av de følgende innleggene.

I mellomtiden, for nøyaktigheten av ordbruken, la oss avklare vilkårene.

Om vilkår

DoS-angrep (fra engelsk Denial of Service) - Dette er et angrep designet for å føre til at en server nektes tjeneste på grunn av dens overbelastning.

DoS-angrep er ikke forbundet med skade på utstyr eller tyveri av informasjon; deres mål - få serveren til å slutte å svare på forespørsler. Den grunnleggende forskjellen mellom DoS er at angrepet skjer fra en maskin til en annen. Det er nøyaktig to deltakere.

Men i virkeligheten ser vi praktisk talt ingen DoS-angrep. Hvorfor? Fordi angrepsmålene oftest er industrielle anlegg (for eksempel kraftige produktive servere til vertsselskaper). Og for å forårsake merkbar skade på driften av en slik maskin, er det nødvendig med mye større kraft enn sin egen. Dette er det første. Og for det andre er initiativtakeren til et DoS-angrep ganske enkelt å identifisere.

DDoS - i hovedsak det samme som DoS, bare angrepet er distribuert natur. Ikke fem, ikke ti, ikke tjue, men hundrevis og tusenvis av datamaskiner får tilgang til én server samtidig fra forskjellige steder. Denne hæren av maskiner kalles botnett. Det er nesten umulig å identifisere kunden og arrangøren.

Medskyldige

Hva slags datamaskiner er inkludert i botnettet?

Du vil bli overrasket, men dette er ofte de mest vanlige hjemmemaskinene. Hvem vet?.. - muligens din hjemmedatamaskin ført bort til ondskapens side.

Du trenger ikke mye for dette. En angriper finner en sårbarhet i en populær operativsystem eller applikasjon og med dens hjelp infiserer datamaskinen din med en trojaner, som på en bestemt dag og tid instruerer datamaskinen din til å begynne å utføre bestemte handlinger. Send for eksempel forespørsler til en bestemt IP. Uten din viten eller deltakelse, selvfølgelig.

Myte nummer to: « DDoS gjøres et sted langt fra meg, i en spesiell underjordisk bunker der skjeggete hackere med røde øyne sitter. Faktisk, uten å vite det, du, dine venner og naboer - hvem som helst kan være en uvitende medskyldig.

Dette skjer virkelig. Selv om du ikke tenker på det. Selv om du er fryktelig langt unna IT (spesielt hvis du er langt unna IT!).

Underholdende hacking eller DDoS-mekanikk

DDoS-fenomenet er ikke ensartet. Dette konseptet kombinerer mange handlingsalternativer som fører til ett resultat (denial of service). La oss se på problemene som DDoSers kan gi oss.

Overforbruk av serverdataressurser

Dette gjøres ved å sende pakker til en spesifikk IP, som krever en stor mengde ressurser. For eksempel krever lasting av en side å utføre et stort antall SQL-spørringer. Alle angripere vil be om denne nøyaktige siden, noe som vil forårsake serveroverbelastning og tjenestenekt for normale, legitime besøkende på nettstedet.
Dette er et angrep på nivå med et skolebarn som brukte et par kvelder på å lese Hacker magazine. Hun er ikke noe problem. Den samme forespurte URL-en beregnes umiddelbart, hvoretter tilgangen til den blokkeres på webservernivå. Og dette er bare én løsning.

Overbelastning av kommunikasjonskanaler til serveren (utgang)

Vanskelighetsgraden til dette angrepet er omtrent det samme som det forrige. Angriperen bestemmer den tyngste siden på nettstedet, og botnettet under hans kontroll begynner å be om det i massevis.

Tenk deg at den delen av Ole Brumm som er usynlig for oss er uendelig stor
I dette tilfellet er det også veldig enkelt å forstå hva som blokkerer den utgående kanalen og hindre tilgang til denne siden. Lignende spørringer kan lett sees ved hjelp av spesielle verktøy, som lar deg se på nettverksgrensesnittet og analysere trafikk. Deretter skrives det en regel for brannmuren som blokkerer slike forespørsler. Alt dette gjøres regelmessig, automatisk og så lynraskt at De fleste brukere er ikke engang klar over et angrep.

Myte nummer tre: "EN Imidlertid kommer de sjelden gjennom til vertskapet mitt, og jeg legger alltid merke til dem.» Faktisk, 99,9% av angrepene du ikke ser eller føler. Men den daglige kampen med dem - Dette er det daglige, rutinemessige arbeidet til et vertsselskap. Dette er vår virkelighet, der et angrep er billig, konkurranse er utenfor listene, og ikke alle viser dømmekraft i metodene for å kjempe om en plass i solen.

Overbelastning av kommunikasjonskanaler til serveren (inngang)

Dette er allerede en oppgave for de som leser Hacker magazine mer enn én dag.

Bilde fra Ekho Moskvy radionettsted. Vi fant ikke noe mer visuelt for å representere DDoS med overbelastning av inngangskanaler.
For å fylle en kanal med innkommende trafikk til kapasitet, må du ha et botnett, hvis kraft lar deg generere den nødvendige mengden trafikk. Men det er kanskje en måte å sende lite trafikk og motta mye på?

Det er, og ikke bare én. Det er mange alternativer for angrepsforbedring, men en av de mest populære akkurat nå er angrep gjennom offentlige DNS-servere. Eksperter kaller denne forsterkningsmetoden DNS-forsterkning(i tilfelle noen foretrekker ekspertuttrykk). For å si det enkelt, forestill deg et snøskred: en liten innsats er nok til å bryte det, men umenneskelige ressurser er nok til å stoppe det.

Det vet du og jeg offentlig DNS-server på forespørsel, gir alle informasjon om et hvilket som helst domenenavn. For eksempel spør vi en slik server: fortell meg om sprinthost.ru-domenet. Og uten å nøle forteller han oss alt han vet.

Å spørre DNS-serveren er veldig enkel operasjon. Det koster nesten ingenting å kontakte ham, forespørselen vil være mikroskopisk. For eksempel slik:

Det gjenstår bare å velge Domenenavn, informasjon om hvilke som vil utgjøre en imponerende datapakke. Så de originale 35 bytene blir med et håndgrep til nesten 3700. Det er en økning på mer enn 10 ganger.

Men hvordan kan du sikre at svaret sendes til riktig IP? Hvordan forfalske IP-kilden til en forespørsel slik at DNS-serveren sender sine svar i retning av et offer som ikke ba om noen data?

Faktum er at DNS-servere fungerer iht UDP kommunikasjonsprotokoll, som ikke krever bekreftelse av kilden til forespørselen i det hele tatt. Å smi en utgående IP i dette tilfellet er ikke veldig vanskelig for doseren. Dette er grunnen til at denne typen angrep er så populær nå.

Det viktigste er at et veldig lite botnett er nok til å utføre et slikt angrep. Og noen få spredte offentlige DNS-er som ikke vil se noe rart i det forskjellige brukere fra tid til annen ber de om data til adressen til én vert. Og først da vil all denne trafikken smelte sammen til en strøm og spikre ett "rør" tett.

Det doseren ikke kan vite er kapasiteten til angriperens kanaler. Og hvis han ikke beregner kraften til angrepet sitt riktig og ikke umiddelbart tetter kanalen til serveren til 100%, kan angrepet avvises ganske raskt og enkelt. Bruke verktøy som TCPdump Det er lett å finne ut at innkommende trafikk kommer fra DNS, og på brannmurnivå blokkere den fra å bli akseptert. Dette alternativet - å nekte å akseptere trafikk fra DNS - er forbundet med en viss ulempe for alle, men både serverne og nettstedene på dem vil fortsette å fungere vellykket.

Dette er bare ett alternativ av mange mulige for å forbedre et angrep. Det finnes mange andre typer angrep, vi kan snakke om dem en annen gang. Foreløpig vil jeg oppsummere at alt det ovennevnte er sant for et angrep hvis kraft ikke overskrider bredden på kanalen til serveren.

Hvis angrepet er kraftig

Hvis angrepskraften overskrider kapasiteten til kanalen til serveren, skjer følgende. Internett-kanalen til serveren blir umiddelbart tilstoppet, deretter til vertssiden, til Internett-leverandøren, til oppstrømsleverandøren, og så videre og videre og videre oppover (på lang sikt - til de mest absurde grenser), så langt som angrepskraften er tilstrekkelig.

Og da blir det et globalt problem for alle. Og i et nøtteskall, det var det vi måtte forholde oss til 20. november 2013. Og når store omveltninger oppstår, er det på tide å slå på spesiell magi!

Slik ser den spesielle magien ut. Ved hjelp av denne magien er det mulig å bestemme serveren som trafikken ledes til og blokkere IP-en på Internett-leverandørnivå. Slik at den slutter å motta forespørsler til denne IP-en gjennom kommunikasjonskanalene med omverdenen (opplinker). For term elskere: eksperter kaller denne prosedyren "svart hull", fra engelsk blackhole.

I dette tilfellet forblir den angrepne serveren med 500-1500 kontoer uten sin IP. Et nytt undernett av IP-adresser er tildelt for det, over hvilke klientkontoer er tilfeldig jevnt fordelt. Deretter venter eksperter på at angrepet skal gjenta seg. Det gjentar seg nesten alltid.

Og når det gjentar seg, har den angrepne IP-en ikke lenger 500-1000 kontoer, men bare et dusin eller to.

Kretsen av mistenkte blir smalere. Disse 10-20 kontoene er igjen spredt utover forskjellige IP-adresser. Og igjen ligger ingeniørene i bakhold og venter på at angrepet skal gjenta seg. Igjen og igjen distribuerer de kontoene som gjenstår under mistanke til forskjellige IP-er og bestemmer dermed, gradvis nærmer seg, målet for angrepet. Alle andre kontoer går på dette tidspunktet tilbake til normal drift på forrige IP.

Som det er klart, er dette ikke en umiddelbar prosedyre, det tar tid å implementere.

Myte nummer fire:«Når et angrep i stor skala skjer, har ikke verten min en handlingsplan. Han venter bare med lukkede øyne på at bombingen skal ta slutt, og svarer på brevene mine med samme type svar.»Dette er ikke sant: i tilfelle et angrep, handler vertsleverandøren i henhold til en plan for å lokalisere det og eliminere konsekvensene så raskt som mulig. Og brev av samme type lar deg formidle essensen av det som skjer og samtidig spare ressursene som er nødvendige for å håndtere en nødsituasjon så raskt som mulig.

Er det lys i enden av tunnelen?

Nå ser vi at DDoS-aktiviteten stadig øker. Å bestille et angrep har blitt veldig tilgjengelig og uhyrlig billig. For å unngå anklager om propaganda, vil det ikke være noen korrekturkoblinger. Men ta vårt ord for det, det er sant.

Myte nummer fem: «Et DDoS-angrep er et veldig kostbart foretak, og bare forretningsmagnater har råd til å bestille et. Dette er i det minste intrigene til de hemmelige tjenestene!» Faktisk har slike arrangementer blitt ekstremt tilgjengelige.

Derfor kan man ikke forvente at ondsinnet aktivitet vil forsvinne av seg selv. Snarere vil det bare forsterkes. Det gjenstår bare å smi og slipe våpenet. Dette er hva vi gjør, og forbedrer nettverksinfrastrukturen.

Den juridiske siden av saken

Dette er et svært upopulært aspekt ved diskusjonen om DDoS-angrep, siden vi sjelden hører om tilfeller av at gjerningsmennene blir tatt og straffet. Du bør imidlertid huske: Et DDoS-angrep er en straffbar handling. I de fleste land i verden, inkludert den russiske føderasjonen.

Myte nummer seks: « Nå vet jeg nok om DDoS, jeg skal bestille en fest for en konkurrent - og ingenting vil skje med meg for dette!» Det er mulig at det vil skje. Og hvis det gjør det, vil det ikke virke som mye.

• Begynnelsen på DDoS-historien betalingssystem Assistere
• Spennende slutt

Generelt anbefaler vi ingen å engasjere seg i den ondskapsfulle praksisen med DDoS, for ikke å pådra seg rettferdighetens vrede og ikke ødelegge karmaen din. Og vi, på grunn av spesifikke aktiviteter og stor forskningsinteresse, fortsetter å studere problemet, stå vakt og forbedre defensive strukturer.

PS:vi har ikke nok gode ord til å uttrykke vår takknemlighet, så vi sier bare"Takk skal du ha!" til våre tålmodige kunder som støttet oss varmt på en vanskelig dag 20. november 2013. Du har sagt mange oppmuntrende ord til vår støtte i