Xosting-provayderlarning rasmiy xabarlarida DDoS hujumlarining aks ettirilishiga havolalar tobora ortib bormoqda. Borgan sari foydalanuvchilar o'z saytlariga kirish imkoni yo'qligini bilib, darhol DDoS-ni qabul qilishadi. Darhaqiqat, mart oyi boshida Runet bunday hujumlarning butun to'lqinini boshdan kechirdi. Shu bilan birga, mutaxassislarning ta'kidlashicha, o'yin-kulgi endi boshlanmoqda. Bu qadar dolzarb, qo'rqinchli va qiziqarli hodisani e'tiborsiz qoldirib bo'lmaydi. Shunday qilib, bugun keling, DDoS haqidagi afsonalar va faktlar haqida gapiraylik. Xosting provayderi nuqtai nazaridan, albatta.

Esda qolarli kun

2013-yil 20-noyabrda kompaniyamizning 8 yillik tarixida birinchi marta misli ko‘rilmagan DDoS hujumi tufayli butun texnik platforma bir necha soat davomida ishlamay qoldi. O'zimiz va internet provayderimiz haqida gapirmasa ham, butun Rossiya va MDH bo'ylab o'n minglab mijozlarimiz zarar ko'rdi. Provayder hamma uchun oq chiroq o'chmasdan oldin yozib olishga muvaffaq bo'lgan oxirgi narsa uning kirish kanallari kiruvchi trafik bilan mahkam tiqilib qolganligi edi. Buni tasavvur qilish uchun Niagara sharsharasi oqib kelayotgan oddiy drenajli vannangizni tasavvur qiling.

Hatto yuqorida joylashgan provayderlar ham ushbu tsunami ta'sirini his qilishdi. Quyidagi grafiklar o'sha kuni Sankt-Peterburg va Rossiyada Internet-trafik bilan nima sodir bo'lganini aniq ko'rsatib beradi. 15 va 18 soatlardagi tik cho'qqilarga e'tibor bering, aynan biz hujumlarni qayd etgan paytlarda. Bu to'satdan ortiqcha 500-700 GB uchun.

Hujumni lokalizatsiya qilish uchun bir necha soat vaqt ketdi. U yuborilgan server hisoblab chiqilgan. Keyin internet-terrorchilarning nishoni hisoblab chiqildi. Bu dushman artilleriyasi kimga zarba berganini bilasizmi? Bitta oddiy, oddiy mijoz sayti.

Birinchi afsona: “Hujumning maqsadi har doim hosting provayderi. Bu uning raqobatchilarining hiyla-nayranglari. meniki emas." Aslida, Internet-terrorchilarning eng ko'p nishoni oddiy mijoz saytidir. Ya'ni, hosting qo'shnilaringizdan birining sayti. Yoki sizniki ham bo'lishi mumkin.

Hammasi ham DDoS emas...

2013-yil 20-noyabrdagi texnik saytimizdagi voqealar va ularning 2014-yil 9-yanvarda qisman takrorlanishidan so‘ng, ba’zi foydalanuvchilar o‘z veb-saytlarining har qanday nosozliklarida DDoS-ni qabul qila boshladilar: “Bu DDoS!” va "Siz yana DDoSga duch kelyapsizmi?"

Shuni esda tutish kerakki, agar bizni shunday DDoS, hatto mijozlarimiz ham his qilsalar, biz darhol o'zimiz xabar beramiz.

Vahima qilishga shoshayotganlarni ishontirmoqchimiz: agar saytingizda biror narsa noto'g'ri bo'lsa, u holda DDoS bo'lish ehtimoli 1% dan kam. Shunchaki, sayt bilan juda ko'p narsa sodir bo'lishi mumkinligi sababli va bu "ko'p narsalar" tez-tez sodir bo'ladi. Quyidagi postlardan birida saytingiz bilan nima sodir bo'layotganini tezda o'z-o'zini tashxislash usullari haqida gaplashamiz.

Shu bilan birga, so'zlardan foydalanishning aniqligi uchun atamalarga aniqlik kiritaylik.

Shartlar haqida

DoS hujumi (ingliz tilidan Deial of Service dan) - Bu serverning haddan tashqari yuklanganligi sababli xizmat ko'rsatishni rad etishga qaratilgan hujumdir.

DoS hujumlari uskunaning shikastlanishi yoki ma'lumotlarning o'g'irlanishi bilan bog'liq emas; ularning maqsadi - serverni so'rovlarga javob berishni to'xtatish. DoS o'rtasidagi asosiy farq shundaki, hujum bir mashinadan ikkinchisiga sodir bo'ladi. Aynan ikkita ishtirokchi bor.

Ammo, aslida, biz DoS hujumlarini deyarli ko'rmaymiz. Nega? Chunki hujumlarning maqsadi ko'pincha sanoat ob'ektlari (masalan, hosting kompaniyalarining kuchli samarali serverlari). Va bunday mashinaning ishlashiga sezilarli zarar etkazish uchun o'zidan ko'ra ko'proq kuch kerak bo'ladi. Bu birinchi narsa. Ikkinchidan, DoS hujumining tashabbuskorini aniqlash juda oson.

DDoS - asosan DoS bilan bir xil, faqat hujum tarqalgan tabiat. Besh emas, o'n emas, yigirma emas, balki yuzlab va minglab kompyuterlar bir vaqtning o'zida turli joylardan bitta serverga kirishadi. Ushbu mashinalar armiyasi deyiladi botnet. Buyurtmachi va tashkilotchini aniqlash deyarli mumkin emas.

Sheriklar

Botnetga qanday kompyuterlar kiradi?

Siz hayron qolasiz, lekin bu ko'pincha eng oddiy uy mashinalari. Kim biladi?.. - Sizning uy kompyuteringiz bo'lishi mumkin yovuzlik tomoniga olib ketildi.

Buning uchun sizga ko'p narsa kerak emas. Buzg'unchi mashhur operatsion tizim yoki dasturda zaiflikni topadi va undan kompyuteringizga ma'lum kun va vaqtda ma'lum harakatlarni bajarishni boshlashni buyuradigan troyan bilan kompyuteringizga zarar etkazish uchun foydalanadi. Misol uchun, so'rovlarni ma'lum bir IP-ga yuboring. Albatta, sizning bilimingiz yoki ishtirokingizsiz.

Ikkinchi raqamli afsona: « DDoS mendan uzoqroq joyda, ko'zlari qizil soqolli xakerlar o'tirgan maxsus er osti bunkerida amalga oshiriladi. Aslida, buni bilmasdan, siz, do'stlaringiz va qo'shnilaringiz - har kim o'ylamasdan sherik bo'lishi mumkin.

Bu haqiqatan ham sodir bo'lmoqda. Agar siz bu haqda o'ylamasangiz ham. Agar siz ITdan juda uzoq bo'lsangiz ham (ayniqsa, agar siz ITdan uzoq bo'lsangiz!).

Qiziqarli xakerlik yoki DDoS mexanikasi

DDoS hodisasi bir xil emas. Ushbu kontseptsiya bir natijaga olib keladigan harakatlarning ko'plab variantlarini birlashtiradi (xizmat ko'rsatishni rad etish). Keling, DDoSers bizga olib kelishi mumkin bo'lgan muammolar turlarini ko'rib chiqaylik.

Server hisoblash resurslaridan ortiqcha foydalanish

Bu ma'lum bir IP-ga paketlarni yuborish orqali amalga oshiriladi, ularni qayta ishlash katta hajmdagi resurslarni talab qiladi. Masalan, sahifani yuklash uchun ko'p sonli SQL so'rovlarini bajarish kerak bo'ladi. Barcha tajovuzkorlar ushbu aniq sahifani talab qiladi, bu esa serverning haddan tashqari yuklanishiga va oddiy, qonuniy saytga tashrif buyuruvchilarga xizmat ko'rsatishni rad etishga olib keladi.
Bu bir necha oqshom Hacker jurnalini o'qigan maktab o'quvchisi darajasidagi hujum. U muammo emas. Xuddi shu so'ralgan URL bir zumda hisoblab chiqiladi, shundan so'ng unga kirish veb-server darajasida bloklanadi. Va bu faqat bitta yechim.

Aloqa kanallarining serverga haddan tashqari yuklanishi (chiqish)

Ushbu hujumning qiyinchilik darajasi avvalgisi bilan bir xil. Buzg'unchi saytdagi eng og'ir sahifani aniqlaydi va uning nazorati ostidagi botnet uni ommaviy ravishda so'rashni boshlaydi.

Tasavvur qiling-a, Vinni Puxning bizga ko'rinmas qismi cheksiz katta
Bunday holda, chiquvchi kanalni nima to'sib qo'yganini tushunish va ushbu sahifaga kirishni oldini olish ham juda oson. Shu kabi so'rovlarni tarmoq interfeysiga qarash va trafikni tahlil qilish imkonini beruvchi maxsus yordam dasturlari yordamida osongina ko'rish mumkin. Keyin xavfsizlik devori uchun bunday so'rovlarni bloklaydigan qoida yoziladi. Bularning barchasi muntazam ravishda, avtomatik ravishda va shunchalik tez amalga oshiriladi Aksariyat foydalanuvchilar hech qanday hujumdan xabardor emas.

Uchinchi raqamli afsona: “A Biroq, ular kamdan-kam hollarda mening hostingimga kirishadi va men ularni doimo ko'rib turibman. Darhaqiqat, hujumlarning 99,9 foizi siz ko'rmaysiz yoki his etmaysiz. Ammo ular bilan kunlik kurash - Bu xosting kompaniyasining kundalik, muntazam ishi. Bu bizning haqiqatimiz, unda hujum arzon, raqobat jadvaldan tashqarida va hamma ham quyoshdagi joy uchun kurashish usullarida aql-idrokni namoyish etavermaydi.

Aloqa kanallarining serverga haddan tashqari yuklanishi (kirish)

Bu allaqachon Hacker jurnalini bir kundan ortiq o'qiganlar uchun vazifadir.

Surat “Exo Moskvy” radiosi veb-saytidan. Kirish kanallarining haddan tashqari yuklanishi bilan DDoS-ni ifodalash uchun ko'proq vizual narsani topmadik.
Kanalni kiruvchi trafik bilan to'ldirish uchun siz botnetga ega bo'lishingiz kerak, uning kuchi kerakli miqdordagi trafikni yaratishga imkon beradi. Ammo, ehtimol, kam trafik yuborish va ko'p qabul qilishning bir usuli bormi?

Bor va bitta emas. Hujumni yaxshilashning ko'plab variantlari mavjud, ammo hozir eng mashhurlaridan biri ommaviy DNS serverlari orqali hujum. Mutaxassislar bu kuchaytirish usulini chaqirishadi DNS kuchaytirilishi(agar kimdir ekspert shartlarini afzal ko'rsa). Oddiy qilib aytganda, ko'chkini tasavvur qiling: uni sindirish uchun ozgina harakat etarli, lekin uni to'xtatish uchun g'ayriinsoniy resurslar etarli.

Siz va men buni bilamiz umumiy DNS server so'rov bo'yicha har qanday domen nomi haqida har kimga ma'lumot beradi. Misol uchun, biz bunday serverdan so'raymiz: menga sprinthost.ru domeni haqida aytib bering. Va ikkilanmasdan, u bizga bilgan hamma narsani aytib beradi.

DNS serveriga so'rov qilish juda oddiy operatsiya. Bu so'rov mikroskopik bo'ladi u bilan bog'lanish uchun deyarli hech qanday xarajat; Masalan, bu kabi:

Faqat domen nomini tanlash qoladi, u haqidagi ma'lumotlar ta'sirchan ma'lumotlar to'plamini tashkil qiladi. Shunday qilib, bilakni silkitib, 35 baytning asl nusxasi deyarli 3700 baytga aylanadi. 10 barobardan ortiq o'sish bor.

Lekin javob to'g'ri IP-ga yuborilganligini qanday ta'minlash mumkin? DNS-server hech qanday ma'lumot so'ramagan jabrlanuvchiga o'z javoblarini berishi uchun so'rovning IP manbasini qanday buzish mumkin?

Gap shundaki, DNS serverlari shunga muvofiq ishlaydi UDP aloqa protokoli, bu so'rovning manbasini tasdiqlashni umuman talab qilmaydi. Bu holda chiquvchi IP-ni soxtalashtirish dozer uchun juda qiyin emas. Shuning uchun bu turdagi hujum hozirda juda mashhur.

Eng muhimi, bunday hujumni amalga oshirish uchun juda kichik botnet yetarli. Va turli xil foydalanuvchilar vaqti-vaqti bilan bir xil xostdan ma'lumotlarni so'rashida g'alati narsani ko'rmaydigan bir nechta turli xil ommaviy DNS. Va shundan keyingina bu barcha trafik bir oqimga birlashadi va bitta "quvur" ni mahkam siqib chiqaradi.

Dozer bila olmaydigan narsa bu tajovuzkor kanallarining sig'imi. Va agar u o'z hujumining kuchini to'g'ri hisoblamasa va darhol serverga kanalni 100% yopib qo'ymasa, hujum juda tez va oson qaytarilishi mumkin. kabi yordamchi dasturlardan foydalanish TCPdump Kiruvchi trafik DNS-dan kelayotganini aniqlash oson va xavfsizlik devori darajasida uni qabul qilishni bloklang. Ushbu parametr - DNS-dan trafikni qabul qilishdan bosh tortish - hamma uchun ma'lum bir noqulaylik bilan bog'liq, ammo serverlar ham, ulardagi saytlar ham muvaffaqiyatli ishlashda davom etadi.

Bu hujumni kuchaytirish mumkin bo'lgan variantlardan faqat bittasi. Boshqa ko'plab hujumlar mavjud, biz ular haqida boshqa vaqt gaplashishimiz mumkin. Hozircha, yuqorida aytilganlarning barchasi, kuchi serverga kanal kengligidan oshmaydigan hujum uchun to'g'ri ekanligini umumlashtirmoqchiman.

Agar hujum kuchli bo'lsa

Hujum kuchi serverga kanalning sig'imidan oshsa, quyidagilar sodir bo'ladi. Serverdagi Internet-kanal bir zumda tiqilib qoladi, so'ngra xosting saytiga, uning Internet provayderiga, yuqori oqim provayderiga va hokazo va yana va yuqoriga (uzoq muddatda - eng bema'ni chegaralarga) qadar. hujum kuchi yetarli.

Va keyin bu hamma uchun global muammoga aylanadi. Xulosa qilib aytganda, 2013-yilning 20-noyabrida ana shunday muammoga duch keldik. Va keng ko'lamli to'ntarishlar sodir bo'lganda, maxsus sehrni yoqish vaqti keldi!

Maxsus sehr shunday ko'rinadi, bu sehrdan foydalanib, trafik yo'naltirilgan serverni aniqlash va Internet provayderi darajasida uning IP-ni bloklash mumkin. Shunday qilib, u tashqi dunyo bilan aloqa kanallari (yuqori havolalar) orqali ushbu IP-ga har qanday so'rovlarni qabul qilishni to'xtatadi. Term sevuvchilar uchun: mutaxassislar ushbu protsedurani chaqirishadi "qora tuynuk", inglizcha qora tuynukdan.

Bunday holda, 500-1500 ta hisob qaydnomasi bo'lgan hujum qilingan server IPsiz qoladi. U uchun yangi IP-manzillar quyi tarmog'i ajratilgan bo'lib, ular orqali mijoz hisoblari tasodifiy teng taqsimlanadi. Keyinchalik, mutaxassislar hujumning takrorlanishini kutishmoqda. Bu deyarli har doim takrorlanadi.

Va u takrorlanganda, hujum qilingan IP endi 500-1000 hisobiga ega emas, faqat o'nlab yoki ikkita.

Gumonlanuvchilar doirasi torayib bormoqda. Ushbu 10-20 hisob yana turli IP manzillarga taqsimlanadi. Va yana muhandislar hujum takrorlanishini kutishmoqda. Ular qayta-qayta shubha ostida qolgan hisoblarni turli IP-larga tarqatadilar va shu tariqa asta-sekin yaqinlashib, hujum maqsadini aniqlaydilar. Ushbu nuqtada barcha boshqa hisoblar avvalgi IP-da normal ishlashga qaytadi.

Aniq bo'lganidek, bu bir zumda amalga oshiriladigan protsedura emas, uni amalga oshirish uchun vaqt kerak bo'ladi.

To'rtinchi mif:“Katta miqyosli hujum sodir bo'lganda, mening uy egasi hech qanday harakat rejasiga ega emas. U ko‘zlarini yumgancha bomba tugashini kutadi va xatlarimga xuddi shunday javoblar bilan javob beradi”.Bu to'g'ri emas: hujum sodir bo'lgan taqdirda, hosting provayderi uni mahalliylashtirish va oqibatlarini imkon qadar tezroq bartaraf etish rejasiga muvofiq harakat qiladi. Va bir xil turdagi harflar sizga sodir bo'layotgan voqealarning mohiyatini etkazishga imkon beradi va shu bilan birga favqulodda vaziyatni imkon qadar tezroq hal qilish uchun zarur bo'lgan resurslarni tejashga imkon beradi..

Tunnel oxirida yorug'lik bormi?

Endi biz DDoS faolligi doimiy ravishda oshib borayotganini ko'ramiz. Hujumga buyurtma berish juda qulay va juda arzon bo'ldi. Targ'ibot ayblovlaridan qochish uchun hech qanday dalil bo'lmaydi. Ammo bizning so'zimizni qabul qiling, bu haqiqat.

Beshinchi afsona: “DDoS hujumi juda qimmat ish bo‘lib, unga faqat biznes-magnatlar buyurtma berishga qodir. Hech bo'lmaganda, bu maxfiy xizmatlarning hiyla-nayranglari!». Darhaqiqat, bunday tadbirlar juda qulay bo'lib qoldi.

Shu sababli, zararli faoliyat o'z-o'zidan yo'qolishini kutish mumkin emas. Aksincha, u faqat kuchayadi. Faqat qurolni yasash va charxlash qoladi. Biz tarmoq infratuzilmasini yaxshilash bilan shug'ullanamiz.

Masalaning huquqiy tomoni

Bu DDoS hujumlarini muhokama qilishning juda nomaqbul jihati, chunki biz aybdorlarning qo'lga olinishi va jazolanishi holatlari haqida kamdan-kam eshitamiz. Biroq, esda tutishingiz kerak: DDoS hujumi jinoyat hisoblanadi. Dunyoning aksariyat mamlakatlarida, shu jumladan Rossiya Federatsiyasida.

Oltinchi raqamli afsona: « Endi men DDoS haqida yetarlicha bilaman, men raqobatchiga ziyofatga buyurtma beraman - va buning uchun menga hech narsa bo'lmaydi! ” Bu sodir bo'lishi mumkin. Va agar shunday bo'lsa, bu juda ko'p ko'rinmaydi.

• Assist to'lov tizimining DDoS bilan hikoyaning boshlanishi
• Qiziqarli yakun

Umuman olganda, adolatning g'azabiga duchor bo'lmaslik va karmangizni buzmaslik uchun hech kimga DDoSning yovuz amaliyoti bilan shug'ullanishni maslahat bermaymiz. Va biz faoliyatimizning o'ziga xos xususiyatlari va tadqiqotga bo'lgan qiziqishimiz tufayli muammoni o'rganishni, qo'riqlash va mudofaa tuzilmalarini yaxshilashni davom ettirmoqdamiz.

PS:minnatdorchiligimizni bildirish uchun bizda yaxshi so'zlar etarli emas, shuning uchun biz shunchaki aytamiz"Rahmat!" 2013-yil 20-noyabrdagi og‘ir kunda bizni samimiy qo‘llab-quvvatlagan sabrli mijozlarimizga. Siz bizning qo'llab-quvvatlashimizda ko'plab dalda beruvchi so'zlarni aytdingiz