Flooding je najjednostavniji i najčešći način izvođenja DDoS napada. Flooding je najjednostavniji i najčešći način za izvođenje DDoS napada Postoji nekoliko tipova DDoS napada koji koriste flooding, a glavni su navedeni u nastavku

Osnovni koncepti sajber sigurnosti su dostupnost, integritet i povjerljivost. Napadi Uskraćivanje usluge (DoS) utiču na dostupnost informacionih resursa. Uskraćivanje usluge smatra se uspješnim ako dovodi do nedostupnosti izvora informacija. Razlika između uspjeha napada i utjecaja na ciljne resurse je u tome što udar uzrokuje štetu žrtvi. Na primjer, ako je internetska trgovina napadnuta, onda produženo uskraćivanje usluge može uzrokovati finansijske gubitke kompaniji. U svakom konkretnom slučaju, DoS aktivnost može ili direktno uzrokovati štetu ili stvoriti prijetnju i potencijalni rizik od gubitka.

Prvo D V DDoS znači distribuirano: distribuirani napad uskraćivanja usluge. U ovom slučaju govorimo o ogromnoj masi zlonamjernih zahtjeva koji pristižu na server žrtve sa mnogo različitih mjesta. Tipično, takvi napadi se organizuju putem botneta.

U ovom članku ćemo detaljnije pogledati koje vrste DDoS prometa i koje vrste DDoS napada postoje. Za svaku vrstu napada bit će date kratke preporuke za sprječavanje i vraćanje funkcionalnosti.

Vrste DDoS saobraćaja

Najjednostavniji tip saobraćaja su HTTP zahtjevi. Uz pomoć takvih zahtjeva, na primjer, svaki posjetitelj komunicira s vašom web lokacijom putem pretraživača. Osnova zahtjeva je HTTP zaglavlje.

HTTP zaglavlje. HTTP zaglavlja su polja koja opisuju koja vrsta resursa se traži, kao što je URL ili obrazac, ili JPEG. HTTP zaglavlja također obavještavaju web server koji tip pretraživača se koristi. Najčešća HTTP zaglavlja su ACCEPT, LANGUAGE i USER AGENT.

Podnosilac zahtjeva može koristiti onoliko zaglavlja koliko želi, dajući im željena svojstva. DDoS napadači mogu modificirati ova i mnoga druga HTTP zaglavlja, što ih čini teškim za otkrivanje. Osim toga, HTTP zaglavlja mogu biti napisana na takav način da kontroliraju keširanje i proxy usluge. Na primjer, možete naložiti proxy serveru da ne kešira informacije.

HTTP GET

• HTTP(S) GET zahtjev je metoda koja zahtijeva informacije od servera. Ovaj zahtjev može tražiti od servera da prosledi neku datoteku, sliku, stranicu ili skriptu kako bi ih prikazao u pretraživaču.
• HTTP(S) GET metoda poplave DDoS napadi i sloj aplikacije (7) OSI modela, u kojem napadač šalje snažan tok zahtjeva serveru kako bi preplavio njegove resurse. Kao rezultat toga, server ne može odgovoriti ne samo na zahtjeve hakera, već i na zahtjeve stvarnih klijenata.

HTTP POST

• HTTP(S) POST zahtjev je metoda u kojoj se podaci stavljaju u tijelo zahtjeva za naknadnu obradu na serveru. HTTP POST zahtjev kodira prenesene informacije i stavlja ih na obrazac, a zatim šalje ovaj sadržaj serveru. Ova metoda koristi se kada je potrebno prenijeti velike količine informacija ili datoteka.
• HTTP(S) POST poplava je vrsta DDoS napada u kojem broj POST zahtjeva preopterećuje server do te mjere da server ne može odgovoriti na sve zahtjeve. To može dovesti do izuzetno visoke iskorištenosti sistemski resursi, a zatim i do hitnog zaustavljanja servera.

Svaki od gore opisanih HTTP zahtjeva može se prenijeti preko sigurnog protokola HTTPS. U ovom slučaju, svi podaci koji se šalju između klijenta (napadača) i servera su šifrirani. Ispostavilo se da "sigurnost" ovdje igra na ruku napadačima: da bi identificirao zlonamjerni zahtjev, server ga prvo mora dešifrirati. One. Morate dešifrirati cijeli niz zahtjeva, kojih ima mnogo tokom DDoS napada. Ovo stvara dodatno opterećenje na serveru žrtve.

SYN flood(TCP/SYN) uspostavlja poluotvorene veze sa hostom. Kada žrtva primi SYN paket putem otvoreni port, mora odgovoriti sa SYN-ACK paketom i uspostaviti vezu. Nakon toga, inicijator šalje odgovor sa ACK paketom primaocu. Ovaj proces konvencionalno nazvano rukovanje. Međutim, tokom SYN flood napada, rukovanje se ne može završiti jer napadač ne odgovara na SYN-ACK servera žrtve. Takve veze ostaju napola otvorene sve dok ne istekne vremensko ograničenje, red za povezivanje postane pun, a novi klijenti ne mogu da se povežu na server.

UDP poplava se najčešće koriste za širokopojasne DDoS napade zbog svoje prirode bez sesije, kao i zbog lakoće kreiranja Protocol 17 (UDP) poruka na različitim programskim jezicima.

ICMP poplava. Internet Control Message Protocol (ICMP) se prvenstveno koristi za poruke o grešci i ne koristi se za prijenos podataka. ICMP paketi mogu pratiti TCP pakete prilikom povezivanja na server. ICMP poplava - DDoS metoda napada na sloj 3 OSI modela, koji koristi ICMP poruke za preopterećenje mrežnog kanala napadnute osobe.

MAC poplava- rijedak tip napada u kojem napadač šalje više praznih Ethernet okvira s različitim MAC adresama. Mrežni prekidači razmatraju svaku MAC adresu zasebno i, kao rezultat, rezervišu resurse za svaku od njih. Kada se iskoristi sva memorija na prekidaču, on ili prestaje da reaguje ili se isključuje. Na nekim tipovima rutera, MAC flood napad može uzrokovati brisanje čitavih tabela usmjeravanja, čime se poremeti cijela mreža.

Klasifikacija i ciljevi DDoS napada prema OSI nivoima

Internet koristi OSI model. Ukupno, u modelu postoji 7 nivoa koji pokrivaju sve komunikacione medije: počevši od fizičkog okruženja (1. nivo) i završavajući nivoom aplikacije (7. nivo), na kojem programi „komuniciraju“ jedni sa drugima.

DDoS napadi su mogući na svakom od sedam nivoa. Pogledajmo ih pobliže.

OSI sloj 7: Primijenjeno

Šta uraditi: Praćenje aplikacija – sistematsko praćenje softvera koje koristi određeni skup algoritama, tehnologija i pristupa (u zavisnosti od platforme na kojoj se softver koristi) za identifikaciju ranjivosti aplikacija u periodu od 0 dana (napadi 7. sloja). Identificiranjem takvih napada, oni se mogu zaustaviti jednom zauvijek i pronaći njihov izvor. Ovo se najjednostavnije radi na ovom sloju.

OSI sloj 6: Izvršni

Što učiniti: Da biste ublažili štetu, razmislite o mjerama kao što su distribucija infrastrukture za SSL šifriranje (tj. hostovanje SSL-a na odličnom serveru, ako je moguće) i inspekcija prometa aplikacije radi napada ili kršenja pravila na platformi aplikacije. Dobra platforma će osigurati da je promet šifriran i poslan natrag u izvornu infrastrukturu sa dešifriranim sadržajem koji se nalazi u sigurnoj memoriji sigurnog bastion čvora.

OSI sloj 5: Sjednica

Šta učiniti: Podržite firmver hardver ažurno kako bi se smanjio rizik od prijetnje.

OSI sloj 4: Transport

Šta učiniti: Filtriranje DDoS prometa, poznato kao blackholing, je metoda koju provajderi često koriste za zaštitu kupaca (mi sami koristimo ovu metodu). Međutim, ovaj pristup čini web lokaciju klijenta nedostupnom i zlonamjernom prometu i legitimnom prometu korisnika. Međutim, provajderi koriste blokiranje pristupa za borbu protiv DDoS napada kako bi zaštitili korisnike od prijetnji kao što su usporavanje mrežne opreme i kvarovi na uslugama.

OSI sloj 3: Mreža

Što učiniti: Ograničite broj obrađenih ICMP zahtjeva i smanjite mogući utjecaj ovog prometa na brzinu Firewall-a i Internet propusnost.

OSI sloj 2: Kanal

Što učiniti: Mnogi moderni prekidači mogu se konfigurirati na takav način da je broj MAC adresa ograničen na pouzdane koje prolaze autentifikaciju, autorizaciju i računovodstvene provjere na serveru (AAA protokol) i naknadno se filtriraju.

OSI sloj 1: Fizički

Šta učiniti: Koristite sistematski pristup praćenju performansi fizičke mrežne opreme.

Ublažavanje DoS/DDoS napada velikih razmjera

Iako je napad moguć na bilo kom nivou, napadi na slojevima 3-4 i 7 OSI modela su posebno popularni.

• DDoS napadi na 3. i 4. nivou - napadi na infrastrukturu - vrste napada zasnovane na korišćenju velikog obima, moćnog protoka podataka (poplava) na nivou mrežne infrastrukture i transportnog nivoa u cilju usporavanja web servera i „napunjavanja“ kanal i na kraju spriječiti druge korisnike da pristupe resursu. Ove vrste napada obično uključuju ICMP, SYN i UDP poplave.
• DDoS napad na nivou 7 je napad koji uključuje preopterećenje nekih specifičnih elemenata infrastrukture aplikacijskog servera. Napadi sloja 7 su posebno sofisticirani, skriveni i teško ih je otkriti zbog njihove sličnosti s korisnim web prometom. Čak i najjednostavniji napadi sloja 7, kao što je pokušaj prijave sa proizvoljnim korisničkim imenom i lozinkom ili ponavljanje proizvoljnih pretraga na dinamičkim web stranicama, mogu kritično učitati CPU i baze podataka. DDoS napadači također mogu više puta mijenjati potpise Layer 7 napada, čineći ih još težim za prepoznavanje i eliminaciju.

Neke radnje i oprema za ublažavanje napada:

• Zaštitni zidovi sa dinamičkom inspekcijom paketa
• Dinamički SYN proxy mehanizmi
• Ograničavanje broja SYN-ova u sekundi za svaku IP adresu
• Ograničite broj SYN-ova u sekundi za svaku udaljenu IP adresu
• Instaliranje ICMP flood screenova na firewall
• Instaliranje UDP flood screenova na firewall
• Ograničavanje brzine rutera u blizini zaštitnih zidova i mreža

11.11.2012

Pod poplavom To znači ogroman protok podataka u obliku poruka, koji se šalju za objavljivanje na raznim forumima i chatovima. Ako to pogledate sa tehničke tačke gledišta, poplava- ovo je jedan od najčešćih vrste kompjuterskih napada, a njegova svrha je da pošalje toliki broj zahtjeva koji će serverski hardver biti primoran da izvrši uskraćivanje usluge korisničke usluge. Ako napad na kompjuterska tehnologija izvršeno sa velikog broja računara, onda imate posla sa .

Postoji nekoliko vrsta DDoS flood napada, a glavni su navedeni u nastavku:

• SYN-ACK poplava
• HTTP poplava
• ICMP poplava
• UDP poplava

SYN-ACK poplava

SYN-ACK poplava- jedan od tipova mrežni napadi, koji se zasniva na slanju ogromnog broja SYN zahtjeva po jedinici vremena. Rezultat će biti onemogućavanje usluge čiji je rad bio zasnovan na TCP protokolu. Prvo, klijent šalje serveru paket koji sadrži SYN zastavicu, čije prisustvo ukazuje na želju klijenta da uspostavi vezu. Server, zauzvrat, šalje paket odgovora. Osim SYN zastavice, sadrži i ACK zastavicu, koja skreće pažnju klijentu da je zahtjev prihvaćen i da se od klijenta očekuje potvrda veze. On odgovara paketom sa ACK zastavicom koja ukazuje na uspešnu vezu. Server pohranjuje sve zahtjeve za "vezom" od klijenata u red čekanja određene veličine. Zahtjevi se čuvaju u redu dok se ACK zastavica ne vrati od klijenta. SYN napad se zasniva na slanju paketa na server iz nepostojećeg izvora, pri čemu broj paketa premašuje veličinu reda. Server jednostavno neće moći odgovoriti na paket na fiktivnoj adresi. Red se neće smanjiti i usluga će prestati funkcionirati.

HTTP poplava

HTTP poplava- primjenjuje se kada servis radi sa baza podataka. Napad je usmjeren na bilo koje web server, ili na skriptu koja radi sa bazom podataka. Ogroman broj GET zahtjeva se šalje na port 80 tako da web server ne može posvetiti dužnu pažnju zahtjevima drugih vrsta. Dnevnici se povećavaju, a rad s bazom podataka postaje nemoguć.

ICMP poplava

ICMP poplava- jednostavan način smanjenje propusnosti I povećanje opterećenja na steku koristeći sredstva za slanje sličnih ICMP PING zahtjeva. Opasno je ako se malo pažnje posvećuje zaštitnim zidovima, jer je server koji odgovara na beskrajne ECHO zahtjeve osuđen na propast. Dakle, u slučaju iste količine unosa i odlaznog saobraćaja samo upiši pravila iptables.

UDP poplava

UDP poplava- na drugi način nered u propusnom opsegu, zasnovan na protokolu koji ne zahtijeva sinhronizaciju prije slanja podataka. Napad se svodi na jednostavno slanje paketa na UDP port servera. Nakon što primi paket, server počinje da ga intenzivno obrađuje. Klijent tada šalje Udp pakete sa netačnim sadržajem jedan za drugim. Kao rezultat toga, portovi će prestati funkcionisati i sistem će se srušiti.

Uglavnom, odrediti vrsta DDoS napadaČesto nije potrebno trošiti puno vremena. Dovoljno je znati nekoliko znakova. Ako značajno Veličina log fajlova je povećana– Vi imate posla HTTP poplava. Ako pristup servisu je ograničen kao rezultat prekoračenja broja dozvoljenih veza - to je SYN-ACK poplava. U slučaju odlazni i dolazni saobraćaj su približno jednaki– Vi imate posla ICMP poplava. Glavna stvar je ne zaboraviti na održavanje sigurnost vašeg servera od DDoS-a i posvetite mu dužnu pažnju. Najbolje je voditi računa

Vaše jutro počinje čitanjem izvještaja o greškama i analizom dnevnika. Vi svakodnevno
ažurirajte softver i ažurirajte pravila zaštitnog zida svakih sat vremena. Šmrkanje je tvoje najbolje
prijatelj, a Zabbix je nevidljivi asistent. Izgradili ste pravi bastion kome
ne može se doći ni sa jedne strane. Ali! Potpuno ste bespomoćni prema sebi
Najpodmukliji i najpodmukliji napad na svijetu je DDoS.

Teško je reći kada se prvi put pojavio termin DoS napad. Stručnjaci kažu
oko 1996. godine, istovremeno nagoveštavajući da je ova vrsta napada „doprla” do šire javnosti tek u
1999, kada su jedna za drugom pogođene web stranice Amazona, Yahooa, CNN-a i eBaya.
Još ranije, DoS efekat je korišten za testiranje stabilnosti sistema i
komunikacionih kanala. Ali ako kopate dublje i koristite termin DoS za
označavanjem fenomena, postaje jasno da je on postojao oduvek, od vremena
prvi mejnfrejmovi. Samo razmislite o tome kao o sredstvu zastrašivanja
počelo mnogo kasnije.

Jednostavno rečeno, DoS napadi su neka vrsta zlonamjernog
aktivnosti koje imaju za cilj dovođenje računarskog sistema na takav
država gdje neće moći služiti legitimnim korisnicima ili
ispravno obavljati funkcije koje su mu dodijeljene. Do stanja „odbijanja u
održavanje" obično nastaju zbog grešaka u softveru ili prevelikog opterećenja mreže
kanal ili sistem u celini. Kao rezultat toga, softver ili cijeli operativni sistem
mašina, „padne“ ili se nađe u „petljanom“ stanju. A ovo prijeti
zastoji, gubitak posjetitelja/kupaca i gubici.

Anatomija DoS napada

DoS napadi se dijele na lokalne i udaljene. Lokalni uključuju
razni eksploati, fork bombe i programi koji otvaraju milion fajlova ili
pokretanje neke vrste cikličkog algoritma koji jede memoriju i CPU
resurse. Nećemo se zadržavati na svemu ovome. Ali udaljeni DoS napadi
Pogledajmo izbliza. Podijeljeni su u dvije vrste:

1. Daljinsko iskorištavanje grešaka u softveru kako bi se on učinio neoperativnim
   stanje.
2. Poplava - slanje ogromne količine besmislenih (rjeđe
   – smisleni) paketi. Svrha poplave može biti komunikacijski kanal ili resursi
   automobili. U prvom slučaju, tok paketa zauzima cijeli kanal širine pojasa i ne zauzima
   daje napadnutoj mašini mogućnost obrade legitimnih zahtjeva. U drugom
   - mašinski resursi se hvataju kroz ponovljene i vrlo česte
   pristupanje bilo kojoj usluzi koja radi složene, resursno intenzivne
   operacija. Ovo može biti, na primjer, dug poziv nekom od
   aktivne komponente (skripta) web servera. Server troši sve resurse mašine
   da obradi zahtjeve napadača, a korisnici moraju čekati.

U tradicionalnoj verziji (jedan napadač - jedna žrtva) sada ostaje
Efikasan je samo prvi tip napada. Klasična poplava je beskorisna. Samo zato
da sa današnjom širinom kanala servera, nivoom računarske snage i
široko rasprostranjena upotreba različitih anti-DoS tehnika u softveru (na primjer, kašnjenje
kada iste radnje ponavlja isti klijent), napadač
pretvara se u dosadnog komarca, nesposobnog da ga nanese
oštećenja. Ali ako postoje stotine, hiljade ili čak stotine hiljada ovih komaraca, oni
lako će staviti server na svoje rame. Gomila je užasna sila ne samo u životu, već iu njemu
kompjuterski svet. Distributed Denial of Service (DDoS) napad
obično se izvodi pomoću mnogih zombiranih hostova, može
odsječen od vanjski svijetčak i najuporniji server, i jedini efikasan
zaštita - organizacija distribuirani sistem serveri (ali je daleko od pristupačne cijene
ne svi, zdravo Google).

Metode borbe

Opasnost većine DDoS napada leži u njihovoj apsolutnoj transparentnosti i
"normalnost". Uostalom, ako se greška u softveru uvijek može ispraviti, onda dovršite
Gutanje resursa je skoro uobičajena pojava. Mnogi ljudi se susreću s njima
administratori, kada resursi mašine (širina kanala) postanu nedovoljni,
ili je web stranica podložna efektu slashdot (twitter.com je postao nedostupan nakon
nekoliko minuta nakon prvih vijesti o smrti Michaela Jacksona). I ako sečete
saobraćaja i resursa za sve, bićete sačuvani od DDoS-a, ali ćete dobro izgubiti
polovina klijenata.

Gotovo da nema izlaza iz ove situacije, ali posljedice DDoS napada i njihove
efikasnost se može značajno smanjiti pravilnim podešavanjem
ruter, firewall i kontinuirana analiza anomalija u mrežni promet. IN
U sljedećem dijelu članka razmatrat ćemo uzastopno:

• metode za prepoznavanje početnog DDoS napada;
• metode za borbu protiv specifičnih vrsta DDoS napada;
• univerzalni savjeti koji će vam pomoći da se pripremite za DoS napad i
  smanjiti njegovu efikasnost.

Na samom kraju će biti dat odgovor na pitanje: šta učiniti kada se
DDoS napad.

Borba protiv napada poplava

Dakle, postoje dvije vrste DoS/DDoS napada, a najčešći je
zasniva se na ideji poplave, odnosno zatrpavanja žrtve ogromnim brojem paketa.
Postoje različite poplave: ICMP poplava, SYN poplava, UDP poplava i HTTP poplava. Moderna
DoS botovi mogu koristiti sve ove vrste napada istovremeno, tako da biste trebali
unaprijed se pobrinuti za adekvatnu zaštitu od svakog od njih.

1. ICMP poplava.

Vrlo primitivna metoda začepljenja propusnog opsega i stvaranja opterećenja
mrežni stog kroz monotono slanje ICMP ECHO zahtjeva (ping). Lako
otkriveno analizom saobraćajnih tokova u oba smjera: tokom napada
kao i ICMP flood, gotovo su identični. Gotovo bezbolan način da
zaštita se zasniva na onemogućavanju odgovora na ICMP ECHO zahtjeve:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Ili pomoću zaštitnog zida:

# iptables -A INPUT -p icmp -j DROP --icmp-tip 8

2. SYN poplava.

Jedan od uobičajenih načina da se ne samo začepi komunikacijski kanal, već i uvede
mrežni stog operativni sistem u stanje u kojem više ne može
prihvatite nove zahtjeve za povezivanje. Na osnovu pokušaja inicijalizacije
veliki broj istovremenih TCP veza slanjem SYN paketa sa
nepostojeća povratna adresa. Nakon nekoliko pokušaja da pošaljem odgovor
ACK paket na nedostupnu adresu, većina operativnih sistema instalira nespecificiranu
vezu sa redom. I tek nakon n-tog pokušaja veza se zatvara. Jer
protok ACK paketa je veoma velik, ubrzo se red postaje pun, a kernel
odbija pokušaje otvaranja nove veze. Najpametniji DoS botovi su takođe
analizirajte sistem prije pokretanja napada kako biste poslali zahtjeve samo za otvaranje
vitalne luke. Lako je prepoznati takav napad: samo
pokušajte se povezati na neku od usluga. Odbrambene mjere su obično
uključuju:

Povećanje reda "poluotvorenih" TCP veza:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Smanjenje vremena zadržavanja "poluotvorenih" veza:

# sysctl -w net.ipv4.tcp_synack_retries=1

Omogućavanje TCP syncookies mehanizma:

# sysctl -w net.ipv4.tcp_syncookies=1

Ograničavanje maksimalnog broja "poluotvorenih" veza od jedne IP do
specifična luka:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-iznad
10 -j DROP

3. UDP poplava.

Tipična metoda preplavljivanja propusnog opsega. Zasnovan na beskonačnoj premisi
UDP paketi na portove raznih UDP servisa. Lako se uklanja rezanjem
takve usluge iz vanjskog svijeta i postavljanje ograničenja na broj konekcija u
jedinica vremena do DNS servera na strani gatewaya:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-iznad 1

4. HTTP poplava.

Jedna od najčešćih metoda poplava danas. Na osnovu
beskrajno slanje HTTP GET poruka na port 80 radi preuzimanja
web server tako da ne može sve obraditi
drugi zahtjevi. Često cilj poplave nije korijen web servera, već jedan od njih
skripte koje obavljaju resursno intenzivne zadatke ili rade s bazom podataka. U bilo kojem
U ovom slučaju, nenormalno brz rast trupaca poslužit će kao pokazatelj početka napada.
web server.

Metode za borbu protiv HTTP poplave uključuju podešavanje web servera i baze podataka
u cilju smanjenja efekta napada, kao i skrininga upotrebe DoS botova
razne tehnike. Prvo, trebate povećati maksimalan broj veza na
baze podataka u isto vrijeme. Drugo, instalacija ispred Apache web servera je jednostavna
i produktivan nginx - on će keširati zahtjeve i posluživati ​​statičke podatke. Ovo
rješenje sa “must have” liste, koje će ne samo smanjiti učinak DoS napada, već i
omogućiće serveru da izdrži velika opterećenja. Mali primjer:

# vi /etc/nginx/nginx.conf
# Povećajte maksimalan broj korištenih datoteka
worker_rlimit_nofile 80000;
događaji (
# Povećajte maksimalan broj veza
worker_connections 65536;
# Koristite efikasan epoll metod za rukovanje vezama
koristite epoll;
}
http(
gzip off;
# Onemogućite vremensko ograničenje za zatvaranje veza za održavanje
keepalive_timeout 0;
# Nemojte davati nginx verziju u zaglavlju odgovora
server_tokeni isključeni;
# Resetirajte vezu zbog isteka vremena
reset_timeout_connection on;
}
# Standardne postavke da radi kao proxy
server (
slušaj 111.111.111.111 zadano odgođeno;
server_name host.com www.host.com;
log_format IP $remote_addr;
lokacija/(
proxy_pass http://127.0.0.1/;
}
lokacija ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
root /home/www/host.com/httpdocs;
}
}

Ako je potrebno, možete koristiti nginx modul
ngx_http_limit_req_module, koji ograničava broj istovremenih veza sa
jednu adresu (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Skripte koje zahtijevaju velike resurse mogu se zaštititi od botova pomoću odgoda, "Klikni" dugmadi
ja", postavljanje kolačića i druge tehnike za provjeru
"čovječanstvo".

Da ne dođete u bezizlaznu situaciju tokom DDoS oluje
sistema, potrebno ih je pažljivo pripremiti za takvu situaciju:

1. Svi serveri sa direktnim pristupom eksternoj mreži moraju biti
   pripremljen za jednostavno i brzo daljinsko ponovno pokretanje (sshd će spasiti mog oca
   ruska demokratija). Imati drugu će biti veliki plus,
   administrativni, mrežni interfejs preko kojeg možete pristupiti
   na server ako je glavni kanal začepljen.
2. Softver koji se koristi na serveru mora uvijek biti ažuriran
   stanje. Sve rupe su zakrpljene, ažuriranja su instalirana (jednostavno kao
   boot, savjet koji mnogi ne slijede). Ovo će vas zaštititi od DoS napada,
   iskorištavanje grešaka u uslugama.
3. Svi prislušni mrežni servisi namijenjeni administrativnim
   upotreba mora biti skrivena iza firewall-a od bilo koga ko ne bi trebao
   imaju pristup njima. Tada ih napadač neće moći koristiti za izvršenje
   DoS napadi ili gruba sila.
4. Na prilazima serveru (najbliži ruter) mora biti instaliran
   sistem analize saobraćaja (NetFlow u pomoć), koji će omogućiti pravovremeno
   saznati o nadolazećem napadu i poduzeti pravovremene mjere da ga spriječimo.

Dodajte sljedeće linije u /etc/sysctl.conf:

# vi /etc/sysctl.conf
# Zaštita protiv lažiranja
net.ipv4.conf.default.rp_filter = 1
# Provjeravajte TCP vezu svake minute. Ako s druge strane - legalno
mašina, ona će odmah odgovoriti. Zadana vrijednost je 2 sata.
net.ipv4.tcp_keepalive_time = 60
# Pokušajte ponovo nakon deset sekundi
net.ipv4.tcp_keepalive_intvl = 10
# Broj provjera prije zatvaranja veze
net.ipv4.tcp_keepalive_probes = 5

Treba napomenuti da su sve tehnike date u prethodnom i ovom dijelu
imaju za cilj smanjenje efikasnosti DDoS napada kojima je cilj
iskoristite resurse mašine. Zaštitite se od poplava koje začepljuju kanal smećem
praktično nemoguće, i jedino ispravno, ali ne uvijek izvodljivo
način borbe je da se napad "liši smisla". Ako imate unutra
imate na raspolaganju istinski širok kanal koji će lako proći saobraćaj
mali botnet, smatrajte da je vaš server zaštićen od 90% napada. Ima ih još
sofisticirani način zaštite. Zasniva se na distribuiranoj organizaciji
računarsku mrežu, koja uključuje mnoge redundantne servere koji
povezan na različite glavne kanale. Kod računarske snage ili
kapacitet kanala ponestaje, svi novi klijenti se preusmjeravaju
na drugi server (ili se postepeno „šire“ po serverima prema principu
round-robin). Ovo je nevjerovatno skupa, ali vrlo stabilna struktura, napunite
što je skoro nemoguće.

Ostalo manje-više efikasno rešenje sastoji se od skupe kupovine
hardverski sistemi Cisco Traffic Anomaly Detector i Cisco Guard. Rad u
gomila, oni mogu suzbiti nadolazeći napad, ali kao i većina drugih
odluke zasnovane na učenju i analizi stanja ne uspijevaju. Stoga bi trebalo
dobro razmislite pre nego što iznudite desetine hiljada od svojih šefova
dolara za takvu zaštitu.

Čini se da je počelo. sta da radim?

Prije neposrednog početka napada, botovi se postepeno "zagrijavaju".
povećanje protoka paketa na napadnutu mašinu. Važno je iskoristiti trenutak i početi
aktivne akcije. Stalno praćenje rutera će pomoći u tome,
povezan na eksternu mrežu (analiza NetFlow grafova). Na serveru žrtve
Možete odrediti početak napada pomoću improviziranih sredstava.

Prisustvo SYN poplave se lako utvrđuje - prebrojavanjem broja "poluotvorenih"
TCP veze:

# netstat -na | grep ":80\ " | grep SYN_RCVD

U normalnoj situaciji ne bi trebalo da ih bude uopšte (ili vrlo mala količina:
maksimalno 1-3). Ako to nije slučaj, napadnuti ste, odmah nastavite sa ispuštanjem
napadači.

HTTP flooding je malo komplikovaniji. Prvo morate prebrojati broj
Apache procesi i broj veza na portu 80 (HTTP poplava):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\ " | wc -l

Osnova daju vrijednosti nekoliko puta veće od statističkog prosjeka
razmisli o tome. Zatim biste trebali pogledati listu IP adresa sa kojih dolaze zahtjevi
za povezivanje:

# netstat -na | grep ":80\ " | sortiraj | uniq -c | sort -br | manje

Nemoguće je nedvosmisleno identificirati DoS napad, možete samo potvrditi svoj
nagađa o prisustvu jedne ako se jedna adresa previše ponavlja na listi
puta (pa čak i tada, ovo može ukazivati ​​na posjetitelje iza NAT-a).
Dodatna potvrda bi bila analiza paketa pomoću tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 i host IP server

Indikator je veliki tok monotonih (i ne sadrži korisnih)
informacije) paketi s različitih IP adresa usmjereni na isti port/uslugu (na primjer,
korijen web servera ili određena cgi skripta).

Nakon što smo se konačno odlučili, počinjemo ispuštati neželjene ljude po IP adresama (biće ih
mnogo efikasnije ako ovo radite na ruteru):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --odredišni port http -j
DROP

Ili direktno putem podmreže:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --odredišni port http -j
DROP

Ovo će vam dati prednost (veoma mali; često izvorna IP adresa
lažno) koje morate koristiti za adresiranje
provajder/hoster (sa evidencijama web servera, kernela,
firewall i spisak IP adresa koje ste identifikovali). Većina njih, naravno,
će zanemariti ovu poruku (a hosting kompanije koje plaćaju promet će također biti sretni -
DoS napad će im donijeti profit) ili će jednostavno ugasiti vaš server. Ali u svakom slučaju
U ovom slučaju to se mora učiniti – moguća je efikasna DDoS zaštita
samo na glavnim kanalima. Sami možete podnijeti male napade
usmjereno na iscrpljivanje resursa servera, ali ćete se naći bez odbrane protiv njega
manje-više ozbiljan DDoS.

Borba protiv DDoS-a u FreeBSD-u

Smanjujemo vrijeme čekanja za paket odgovora na SYN-ACK zahtjev (zaštita od
SYN poplava):

# sysctl net.inet.tcp.msl=7500

Pretvaranje servera u crnu rupu. Na ovaj način kernel neće slati pakete odgovora kada
pokušava da se poveže na nezauzete portove (smanjuje opterećenje mašine tokom
DDoS na nasumične portove):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Ograničavamo broj odgovora na ICMP poruke na 50 u sekundi (zaštita od
ICMP poplava):

# sysctl net.inet.icmp.icmplim=50

Povećavamo maksimalan broj konekcija na server (zaštita od svih
vrste DDoS-a):

# sysctl kern.ipc.somaxconn=32768

Omogući DEVICE_POLLING - nezavisno ispitivanje mrežni drajver core on
visoka opterećenja (značajno smanjuje opterećenje sistema tokom DDoS-a):

1. Ponovo gradimo kernel sa opcijom "options DEVICE_POLLING";
2. Aktivirajte mehanizam prozivanja: "sysctl kern.polling.enable=1";
3. Dodajte unos "kern.polling.enable=1" u /etc/sysctl.conf.

Naivni Internet

U svom vrhuncu, DoS napadi su bili prava katastrofa za servere
i redovne radne stanice. Web stranica se lako može ukloniti korištenjem
jedan host koji implementira napad tipa Štrumpf. Radne stanice sa
instalirani Windows OS je pao kao domine od napada poput Ping of Death, Land,
WinNuke. Danas se svega ovoga ne treba plašiti.

Najveći botnetovi

400 hiljada
kompjuteri.
- 315 hiljada
kompjuteri.
Bobax - 185 hiljada računara.
Rustock - 150 hiljada kompjutera.
Oluja - 100 hiljada kompjutera.
Psybot - 100 hiljada ADSL rutera baziranih na Linuxu.
BBC botnet - 22 hiljade računara.
,
kreirao BBC.

Trag u istoriji

1997 - DDoS napad na Microsoft web stranicu. Jedan dan tišine.
1999. – web stranice Yahooa, CNN-a, eBaya i drugih su “van dometa”.
Oktobar 2002. - napad na korijenske DNS servere Interneta. Neko vrijeme je bilo
7 od 13 servera je onemogućeno.
21. februar 2003. - DDoS napad na LiveJournal.com. Dvodnevna usluga
bio je u paralizovanom stanju, samo povremeno davao znake života.

Inteligentni sistemi

INFO

Round-robin - algoritam za uravnoteženje opterećenja distribuiranog računarstva
sistema pretražujući njegove elemente u kružnom ciklusu.