Tulva on yksinkertaisin ja yleisin tapa suorittaa DDoS-hyökkäyksiä. Flooding on yksinkertaisin ja yleisin tapa suorittaa DDoS-hyökkäyksiä

Kyberturvallisuuden peruskäsitteet ovat saatavuus, eheys ja luottamuksellisuus. Hyökkäykset Palvelunesto (DoS) vaikuttaa tietoresurssien saatavuuteen. Palvelunesto katsotaan onnistuneeksi, jos se johtaa tietoresurssin poissaoloon. Ero hyökkäyksen onnistumisen ja kohderesursseihin kohdistuvan vaikutuksen välillä on se, että isku aiheuttaa vahinkoa uhrille. Jos esimerkiksi verkkokauppaan hyökätään, pitkittynyt palvelun epääminen voi aiheuttaa yritykselle taloudellisia menetyksiä. Kussakin yksittäistapauksessa DoS-toiminta voi joko suoraan aiheuttaa vahinkoa tai luoda uhan ja mahdollisen menetyksen riskin.

Ensimmäinen D V DDoS tarkoittaa jaettu: hajautettu palvelunestohyökkäys. Tässä tapauksessa puhumme valtavasta massasta haitallisia pyyntöjä, jotka saapuvat uhrin palvelimelle monista eri paikoista. Tyypillisesti tällaiset hyökkäykset järjestetään bottiverkkojen kautta.

Tässä artikkelissa tarkastelemme tarkemmin, minkä tyyppistä DDoS-liikennettä ja minkä tyyppisiä DDoS-hyökkäyksiä on olemassa. Jokaiselle hyökkäykselle annetaan lyhyitä suosituksia toiminnan estämiseksi ja palauttamiseksi.

DDoS-liikenteen tyypit

Yksinkertaisin liikennetyyppi on HTTP-pyynnöt. Tällaisten pyyntöjen avulla esimerkiksi jokainen vierailija kommunikoi sivustosi kanssa selaimen kautta. Pyynnön perusta on HTTP-otsikko.

HTTP-otsikko. HTTP-otsikot ovat kenttiä, jotka kuvaavat, millaista resurssia pyydetään, kuten URL-osoite, lomake tai JPEG. HTTP-otsikot kertovat myös verkkopalvelimelle, minkä tyyppistä selainta käytetään. Yleisimmät HTTP-otsikot ovat ACCEPT, LANGUAGE ja USER AGENT.

Pyynnön esittäjä voi käyttää niin monta otsikkoa kuin haluaa ja antaa heille halutut ominaisuudet. DDoS-hyökkääjät voivat muokata näitä ja monia muita HTTP-otsikoita, mikä tekee niiden havaitsemisen vaikeaksi. Lisäksi HTTP-otsikot voidaan kirjoittaa siten, että ne ohjaavat välimuisti- ja välityspalvelinpalveluita. Voit esimerkiksi ohjeistaa välityspalvelinta olemaan tallentamatta tietoja välimuistiin.

HTTP GET

• HTTP(S) GET-pyyntö on menetelmä, joka pyytää tietoja palvelimelta. Tämä pyyntö saattaa pyytää palvelinta välittämään tiedoston, kuvan, sivun tai komentosarjan, jotta se voidaan näyttää selaimessa.
• HTTP(S) GET -tulvamenetelmä DDoS-hyökkäykset ja OSI-mallin sovelluskerros (7), jossa hyökkääjä lähettää tehokkaan pyyntövirran palvelimelle ylittääkseen sen resurssit. Tämän seurauksena palvelin ei voi vastata vain hakkereiden pyyntöihin vaan myös todellisten asiakkaiden pyyntöihin.

HTTP POST

• HTTP(S) POST-pyyntö on menetelmä, jossa tiedot sijoitetaan pyynnön runkoon myöhempää käsittelyä varten palvelimella. HTTP POST -pyyntö koodaa lähetetyt tiedot ja sijoittaa ne lomakkeelle ja lähettää sitten sisällön palvelimelle. Tämä menetelmä käytetään, kun on tarpeen siirtää suuria määriä tietoa tai tiedostoja.
• HTTP(S) POST-tulva on eräänlainen DDoS-hyökkäys, jossa POST-pyyntöjen määrä ylittää palvelimen niin, että palvelin ei pysty vastaamaan kaikkiin pyyntöihin. Tämä voi johtaa poikkeuksellisen korkeaan käyttöasteeseen järjestelmäresurssit ja sen jälkeen palvelimen hätäpysäytys.

Jokainen yllä kuvatuista HTTP-pyynnöistä voidaan lähettää suojatun protokollan kautta HTTPS. Tässä tapauksessa kaikki asiakkaan (hyökkääjän) ja palvelimen välillä lähetettävä data on salattu. Osoittautuu, että "turvallisuus" pelaa tässä hyökkääjien käsissä: haitallisen pyynnön tunnistamiseksi palvelimen on ensin purettava sen salaus. Ne. Sinun on purettava koko pyyntövirta, jota on paljon DDoS-hyökkäyksen aikana. Tämä luo lisäkuormitusta uhripalvelimelle.

SYN-tulva(TCP/SYN) muodostaa puoliavoimia yhteyksiä isäntäkoneeseen. Kun uhri vastaanottaa SYN-paketin kautta avoin portti, sen on vastattava SYN-ACK-paketilla ja muodostettava yhteys. Tämän jälkeen aloittaja lähettää vastaanottajalle vastauksen ACK-paketilla. Tämä prosessi kutsutaan perinteisesti kädenpuristukseksi. SYN-tulvahyökkäyksen aikana kättelyä ei kuitenkaan voida suorittaa loppuun, koska hyökkääjä ei vastaa uhripalvelimen SYN-ACKiin. Tällaiset yhteydet pysyvät puoliavoimina, kunnes aikakatkaisu umpeutuu, yhteysjono täyttyy ja uudet asiakkaat eivät pysty muodostamaan yhteyttä palvelimeen.

UDP-tulva Niitä käytetään useimmiten laajakaistaisiin DDoS-hyökkäyksiin niiden istuntottoman luonteen sekä Protocol 17 (UDP) -viestien luomisen helppouden vuoksi eri ohjelmointikielillä.

ICMP-tulva. Internet Control Message Protocol (ICMP) -protokollaa käytetään ensisijaisesti virheilmoituksiin, eikä sitä käytetä tiedonsiirtoon. ICMP-paketit voivat olla TCP-pakettien mukana, kun muodostetaan yhteys palvelimeen. ICMP tulva - DDoS-menetelmä hyökkäykset OSI-mallin kerroksessa 3, joka käyttää ICMP-viestejä ylikuormittamaan hyökkäävän henkilön verkkokanavaa.

MAC-tulva- harvinainen hyökkäystyyppi, jossa hyökkääjä lähettää useita tyhjiä Ethernet-kehyksiä eri MAC-osoitteilla. Verkkokytkimet huomioivat jokaisen MAC-osoitteen erikseen ja varaavat sen seurauksena resursseja kullekin. Kun kaikki kytkimen muisti on käytetty, se joko lakkaa vastaamasta tai sammuu. Joissakin reitittimissä MAC-tulvahyökkäys voi aiheuttaa kokonaisten reititystaulukoiden poistamisen, mikä häiritsee koko verkkoa.

DDoS-hyökkäysten luokittelu ja tavoitteet OSI-tasojen mukaan

Internetin käyttö OSI malli. Kaikkiaan mallissa on 7 tasoa, jotka kattavat kaikki viestintävälineet: alkaen fyysisestä ympäristöstä (1. taso) ja päättyen sovellustasoon (7. taso), joilla ohjelmat "kommunikoivat" keskenään.

DDoS-hyökkäykset ovat mahdollisia kaikilla seitsemällä tasolla. Katsotaanpa niitä tarkemmin.

OSI-kerros 7: Sovellettu

Toimenpiteet: Sovellusten valvonta – järjestelmällinen ohjelmiston valvonta, joka käyttää tiettyä algoritmien, tekniikoiden ja lähestymistapojen sarjaa (riippuen alustasta, jolla ohjelmistoa käytetään) tunnistamaan 0 päivän sovellusten haavoittuvuudet (kerroksen 7 hyökkäykset). Tunnistamalla tällaiset hyökkäykset voidaan ne pysäyttää lopullisesti ja jäljittää niiden lähde. Tämä tehdään yksinkertaisimmin tällä kerroksella.

OSI-taso 6: Executive

Toimenpiteet: Voit vähentää vahinkoa harkitsemalla toimenpiteitä, kuten SSL-salausinfrastruktuurin jakamista (eli SSL:n isännöimistä erinomaisella palvelimella, jos mahdollista) ja tarkastamalla sovellusliikenteen hyökkäysten tai käytäntörikkomusten varalta sovellusalustalla. Hyvä alusta varmistaa, että liikenne salataan ja lähetetään takaisin alkuperäiseen infrastruktuuriin siten, että salattu sisältö on suojatun linnakesolmun suojatussa muistissa.

OSI-kerros 5: istunto

Mitä tehdä: Tue laiteohjelmistoa laitteisto ajan tasalla uhan riskin vähentämiseksi.

OSI-kerros 4: Kuljetus

Mitä tehdä: DDoS-liikenteen suodatus, joka tunnetaan nimellä blackholing, on palveluntarjoajien usein käyttämä menetelmä asiakkaiden suojelemiseksi (käytämme tätä menetelmää itse). Tämä lähestymistapa tekee kuitenkin asiakkaan sivuston saavuttamattomiksi sekä haitalliselle että lailliselle käyttäjäliikenteelle. Palveluntarjoajat käyttävät kuitenkin pääsyn estoa torjuakseen DDoS-hyökkäyksiä suojellakseen asiakkaita uhilta, kuten verkkolaitteiden hidastumiselta ja palveluhäiriöiltä.

OSI-kerros 3: Verkko

Toimenpiteet: Rajoita käsiteltyjen ICMP-pyyntöjen määrää ja vähennä tämän liikenteen mahdollista vaikutusta palomuurin nopeuteen ja Internetin kaistanleveyteen.

OSI-taso 2: Kanava

Mitä tehdä: Monet nykyaikaiset kytkimet voidaan konfiguroida siten, että MAC-osoitteiden määrä on rajoitettu luotettaviin osoitteisiin, jotka läpäisevät todennus-, valtuutus- ja kirjanpitotarkastukset palvelimella (AAA-protokolla) ja suodatetaan myöhemmin.

OSI-kerros 1: Fyysinen

Toimenpiteet: Käytä systemaattista lähestymistapaa fyysisten verkkolaitteiden toiminnan seurantaan.

Laajamittaisten DoS/DDoS-hyökkäysten lieventäminen

Vaikka hyökkäys on mahdollinen millä tahansa tasolla, OSI-mallin kerrosten 3-4 ja 7 hyökkäykset ovat erityisen suosittuja.

• DDoS-hyökkäykset 3. ja 4. tasoilla - infrastruktuurihyökkäykset - hyökkäystyypit, jotka perustuvat suuren volyymin, tehokkaan tietovirran käyttöön (tulva) verkkoinfrastruktuurin tasolla ja siirtotasolla verkkopalvelimen hidastamiseksi ja "täytöksi" kanavalle ja lopulta estää muita käyttäjiä pääsemästä resurssiin. Tällaisia ​​hyökkäyksiä ovat yleensä ICMP-, SYN- ja UDP-tulvat.
• DDoS-hyökkäys tasolla 7 on hyökkäys, joka sisältää tiettyjen elementtien ylikuormituksen. Layer 7 -hyökkäykset ovat erityisen kehittyneitä, piilotettuja ja vaikeita havaita, koska ne ovat samankaltaisia ​​hyödyllisen verkkoliikenteen kanssa. Jopa yksinkertaisimmat Layer 7 -hyökkäykset, kuten yrittäminen kirjautua sisään mielivaltaisella käyttäjätunnuksella ja salasanalla tai mielivaltaisten hakujen toistaminen dynaamisilla verkkosivuilla, voivat kriittisesti kuormittaa suoritinta ja tietokantoja. DDoS-hyökkääjät voivat myös toistuvasti muuttaa Layer 7 -hyökkäysten allekirjoituksia, mikä tekee niiden tunnistamisesta ja poistamisesta entistä vaikeampaa.

Joitakin toimia ja laitteita hyökkäysten lieventämiseksi:

• Palomuurit dynaamisella pakettien tarkastuksella
• Dynaamiset SYN-välityspalvelimet
• Rajoitetaan SYN:ien määrää sekunnissa jokaiselle IP-osoitteelle
• Rajoita SYN:ien määrää sekunnissa jokaiselle IP-etäosoitteelle
• ICMP-tulvaruutujen asentaminen palomuuriin
• UDP-tulvaruutujen asentaminen palomuuriin
• Palomuurien ja verkkojen vieressä olevien reitittimien nopeuden rajoittaminen

11.11.2012

Veden alla Tämä tarkoittaa valtavaa tietovirtaa viestien muodossa, joka lähetetään lähetettäväksi eri foorumeilla ja chateissa. Jos asiaa tarkastellaan teknisestä näkökulmasta, tulva- Tämä on yksi yleisimmistä tietokonehyökkäystyypit, ja sen tarkoituksena on lähettää niin monta pyyntöä, että palvelinlaitteiston on suoritettava palvelun kieltäminen käyttäjäpalvelut. Jos hyökätä vastaan tietokonetekniikka suoritetaan suuresta määrästä tietokoneita, niin olet tekemisissä .

DDoS-tulvahyökkäyksiä on useita, tärkeimmät on lueteltu alla:

• SYN-ACK-tulva
• HTTP-tulva
• ICMP-tulva
• UDP-tulva

SYN-ACK-tulva

SYN-ACK-tulva- yksi tyypeistä verkkohyökkäykset, joka perustuu valtavan määrän SYN-pyyntöjen lähettämiseen aikayksikköä kohti. Seurauksena on palvelun, jonka toiminta perustui TCP-protokollaan, pois käytöstä. Ensin asiakas lähettää palvelimelle paketin, joka sisältää SYN-lipun, jonka olemassaolo kertoo asiakkaan halusta muodostaa yhteys. Palvelin puolestaan ​​lähettää vastauspaketin. SYN-lipun lisäksi se sisältää myös ACK-lipun, joka kiinnittää asiakkaan huomion siihen, että pyyntö on hyväksytty ja asiakkaalta odotetaan yhteyden vahvistusta. Se vastaa paketilla, jossa on ACK-lippu, joka osoittaa onnistuneen yhteyden. Palvelin tallentaa kaikki asiakkaiden "yhteyspyynnöt" tietynkokoiseen jonoon. Pyynnöt pidetään jonossa, kunnes asiakkaalta palautetaan ACK-lippu. SYN-hyökkäys perustuu pakettien lähettämiseen palvelimelle olemattomasta lähteestä, jolloin pakettien määrä ylittää jonon koon. Palvelin ei yksinkertaisesti pysty vastaamaan kuvitteellisessa osoitteessa olevaan pakettiin. Jono ei pienene ja palvelu lakkaa toimimasta.

HTTP-tulva

HTTP-tulva- koskee, kun palvelu toimii tietokanta. Hyökkäys on suunnattu kumpaan tahansa web-palvelin, tai tietokannan kanssa toimivaan komentosarjaan. Porttiin 80 lähetetään valtava määrä GET-pyyntöjä, jotta verkkopalvelin ei pysty kiinnittämään riittävästi huomiota muuntyyppisiin pyyntöihin. Lokitiedostot kasvavat, ja tietokannan kanssa työskentely on mahdotonta.

ICMP-tulva

ICMP-tulva- yksinkertainen tapa suorituskyvyn väheneminen Ja kasvavat kuormat pinoon käyttämällä keinoja lähettää samanlaisia ​​ICMP PING -pyyntöjä. On vaarallista, jos palomuuriin kiinnitetään vain vähän huomiota, koska loputtomiin ECHO-pyyntöihin vastaava palvelin on tuomittu tuhoon. Joten jos kyseessä on sama määrä syöttöä ja lähtevä liikenne kirjoita vain säännöt iptables.

UDP-tulva

UDP-tulva- toinen tapa kaistanleveyden sotkua, joka perustuu protokollaan, joka ei vaadi synkronointia ennen tietojen lähettämistä. Hyökkäys rajoittuu yksinkertaisesti paketin lähettämiseen palvelimen UDP-porttiin. Vastaanotettuaan paketin palvelin alkaa käsitellä sitä intensiivisesti. Asiakas lähettää sitten peräkkäin virheellisen sisällön sisältäviä Udp-paketteja. Tämän seurauksena portit lakkaavat toimimasta ja järjestelmä kaatuu.

Periaatteessa määrittämään DDoS-hyökkäyksen tyyppi Usein ei tarvitse käyttää paljon aikaa. Riittää, kun tietää muutamia merkkejä. Jos merkittävästi Lokitiedostojen koko on kasvanut– Olet tekemisissä HTTP-tulva. Jos pääsy palveluun on rajoitettu sallittujen yhteyksien määrän ylittämisen seurauksena - tämä on SYN-ACK-tulva. Siinä tapauksessa lähtevä ja saapuva liikenne ovat suunnilleen yhtä suuret– Olet tekemisissä ICMP-tulva. Tärkeintä ei ole unohtaa ylläpitoa palvelimesi turvallisuus DDoS:sta ja kiinnitä siihen asianmukaista huomiota. Parasta on huolehtia

Aamu alkaa vikaraporttien lukemisella ja lokien analysoinnilla. Sinä päivittäin
Päivitä ohjelmisto ja palomuurisäännöt tunnin välein. Snort on paras
ystävä, ja Zabbix on näkymätön avustaja. Olet rakentanut todellisen linnakkeen, jolle
ei pääse kummaltakaan puolelta. Mutta! Olet täysin puolustuskyvytön itseäsi vastaan
Maailman salakavalin ja salakavalin hyökkäys on DDoS.

On vaikea sanoa, milloin termi DoS-hyökkäys ilmestyi ensimmäisen kerran. Asiantuntijat sanovat
noin 1996, vihjaten samalla, että tämäntyyppiset hyökkäykset "tavoittivat" suuren yleisön vasta
1999, jolloin Amazonin, Yahoon, CNN:n ja eBayn verkkosivustot osuivat peräkkäin.
Jo aikaisemmin DoS-efektiä käytettiin testaamaan järjestelmien vakautta ja
viestintäkanavia. Mutta jos kaivaat syvemmälle ja käytät termiä DoS
Ilmiön nimeämisestä käy selväksi, että se on aina ollut olemassa, siitä lähtien
ensimmäiset keskuskoneet. Ajattele sitä vain pelottelukeinona
alkoi paljon myöhemmin.

Yksinkertaisesti sanottuna DoS-hyökkäykset ovat jonkinlaisia ​​haitallisia
tietokonejärjestelmän saattamiseksi sellaiseen
tila, jossa se ei voi palvella laillisia käyttäjiä tai
suorittaa sille määrätyt toiminnot oikein. Tilaan "kieltäytyminen
ylläpito" johtuu yleensä ohjelmistovirheistä tai verkon liiallisesta kuormituksesta
kanava tai järjestelmä kokonaisuudessaan. Tämän seurauksena ohjelmisto tai koko käyttöjärjestelmä
kone "putoaa" tai on "silmukassa". Ja tämä uhkaa
seisokit, vierailijoiden/asiakkaiden menetys ja tappiot.

DoS-hyökkäysten anatomia

DoS-hyökkäykset jaetaan paikallisiin ja etäkäyttöön. Paikallisia ovat mm
erilaisia ​​hyökkäyksiä, haarukkapommeja ja ohjelmia, jotka avaavat miljoona tiedostoa tai
jonkinlainen syklinen algoritmi, joka syö muistia ja prosessoria
resursseja. Emme viivyttele tätä kaikkea. Mutta etä DoS-hyökkäykset
Katsotaanpa tarkemmin. Ne on jaettu kahteen tyyppiin:

1. Ohjelmiston virheiden etäkäyttö sen tekemiseksi toimintakyvyttömäksi
   osavaltio.
2. Tulva - valtavan määrän merkityksetön lähettäminen (harvemmin
   – merkityksellisiä) paketteja. Tulvimisen tarkoitus voi olla viestintäkanava tai resurssit
   autoja. Ensimmäisessä tapauksessa pakettivirta varaa koko kaistanleveyskanavan, mutta ei
   antaa hyökätylle koneelle mahdollisuuden käsitellä laillisia pyyntöjä. Toisessa
   - Koneiden resurssit kaapataan toistuvasti ja hyvin usein
   käyttää mitä tahansa palvelua, joka suorittaa monimutkaisia ​​ja resursseja vaativia
   toimintaa. Tämä voi olla esimerkiksi pitkä puhelu johonkin
   Web-palvelimen aktiiviset komponentit (skripti). Palvelin tuhlaa kaikki koneen resurssit
   käsitellä hyökkääjän pyyntöjä, ja käyttäjien on odotettava.

Perinteisessä versiossa (yksi hyökkääjä - yksi uhri) on nyt jäljellä
Vain ensimmäinen hyökkäystyyppi on tehokas. Klassinen tulva on hyödytön. Vain siksi
että nykypäivän palvelinkanavan leveydellä, laskentatehon tasolla ja
erilaisten DoS:n vastaisten tekniikoiden laaja käyttö ohjelmistoissa (esim
kun sama asiakas suorittaa samat toiminnot toistuvasti), hyökkääjä
muuttuu ärsyttäväksi hyttyseksi, joka ei pysty aiheuttamaan yhtään
vahingoittaa. Mutta jos näitä hyttysiä on satoja, tuhansia tai jopa satoja tuhansia, he
nostaa palvelimen helposti olalleen. Joukko on kauhea voima ei vain elämässä, vaan myös sisällä
tietokonemaailmaan. Distributed Denial of Service (DDoS) -hyökkäys
yleensä suoritetaan käyttämällä monia zombifioituja isäntiä, voi
leikattu pois ulkomaailmaan jopa pysyvin palvelin ja ainoa tehokas
suojelu - organisaatio hajautettu järjestelmä palvelimet (mutta se on kaukana edullisesta
eivät kaikki, hei Google).

Taistelumenetelmät

Useimpien DDoS-hyökkäysten vaara piilee niiden ehdottomassa läpinäkyvyydessä ja
"normaalia". Loppujen lopuksi, jos ohjelmiston virhe voidaan aina korjata, suorita se loppuun
Resurssien ahmiminen on lähes yleistä. Monet ihmiset kohtaavat niitä
järjestelmänvalvojat, kun koneresurssit (kanavan leveys) eivät riitä,
tai sivusto on slashdot-efektin alainen (twitter.com poistui käytöstä sen jälkeen
muutaman minuutin kuluttua ensimmäisistä uutisista Michael Jacksonin kuolemasta). Ja jos leikkaat
liikennettä ja resursseja kaikille, pelastut DDoS:lta, mutta menetät hyvää
puolet asiakkaista.

Tästä tilanteesta ei käytännössä ole ulospääsyä, mutta DDoS-hyökkäysten seuraukset ja niiden seuraukset
tehokkuutta voidaan vähentää merkittävästi oikealla virityksellä
reititin, palomuuri ja jatkuva poikkeamaanalyysi verkkoliikennettä. IN
Artikkelin seuraavassa osassa tarkastelemme peräkkäin:

• menetelmät alkavan DDoS-hyökkäyksen tunnistamiseksi;
• menetelmät tietyntyyppisten DDoS-hyökkäysten torjumiseksi;
• yleisiä vinkkejä, jotka auttavat sinua valmistautumaan DoS-hyökkäykseen ja
  vähentää sen tehokkuutta.

Aivan lopussa annetaan vastaus kysymykseen: mitä tehdä, kun
DDoS-hyökkäys.

Tulvahyökkäysten torjunta

DoS/DDoS-hyökkäyksiä on siis kahdenlaisia, ja yleisin niistä on
perustuu ajatukseen tulvasta, eli uhrin ylikuormittamisesta valtavalla määrällä paketteja.
On olemassa erilaisia ​​tulvia: ICMP-tulva, SYN-tulva, UDP-tulva ja HTTP-tulva. Moderni
DoS-botit voivat käyttää kaikkia tämäntyyppisiä hyökkäyksiä samanaikaisesti, joten sinun pitäisi
huolehtia etukäteen riittävästä suojasta jokaista niistä vastaan.

1. ICMP-tulva.

Erittäin primitiivinen tapa tukkia kaistanleveyttä ja luoda kuormia
verkkopino ICMP ECHO -pyyntöjen monotonisella lähettämisellä (ping). Helposti
havaitaan analysoimalla liikennevirtoja molempiin suuntiin: hyökkäyksen aikana
kuten ICMP flood, ne ovat lähes identtisiä. Melkein kivuton tapa
suojaus perustuu ICMP ECHO -pyyntöjen vastausten poistamiseen käytöstä:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Tai palomuurilla:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. SYN-tulva.

Yksi yleisistä tavoista ei vain tukkia viestintäkanavaa, vaan myös esitellä
verkkopino käyttöjärjestelmä tilaan, jossa hän ei voi enää
hyväksyä uudet yhteyspyynnöt. Perustuu alustusyritykseen
suuri määrä samanaikaisia ​​TCP-yhteyksiä lähettämällä SYN-paketti kanssa
olematon palautusosoite. Useiden vastausyritysten jälkeen
ACK-paketti saavuttamattomaan osoitteeseen, useimmat käyttöjärjestelmät asentavat määrittelemättömän
yhteys jonoon. Ja vasta n:nnen yrityksen jälkeen yhteys suljetaan. Koska
ACK-pakettien virta on erittäin suuri, pian jono tulee täyteen ja ydin
kieltäytyy yrityksistä avata uutta yhteyttä. Älykkäimmät DoS-botit ovat myös
analysoi järjestelmää ennen hyökkäyksen käynnistämistä, jotta voit lähettää vain avauspyyntöjä
tärkeät portit. Tällainen hyökkäys on helppo tunnistaa: vain
yritä muodostaa yhteys johonkin palveluista. Puolustustoimenpiteet ovat yleensä
sisältää:

"Puoliavoimien" TCP-yhteyksien jonon kasvattaminen:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

"Puoliksi auki" olevien liitäntöjen pitoajan lyhentäminen:

# sysctl -w net.ipv4.tcp_synack_retries=1

TCP-syncookiesmekanismin käyttöönotto:

# sysctl -w net.ipv4.tcp_syncookies=1

Puoliavoimien yhteyksien enimmäismäärän rajoittaminen yhdestä IP-osoitteesta
tietty portti:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-bove
10 -j Drop

3. UDP-tulva.

Tyypillinen menetelmä kaistanleveyden lisäämiseksi. Perustuu äärettömään oletukseen
UDP-paketit eri UDP-palvelujen portteihin. Helposti irrotettava leikkaamalla
tällaisia ​​palveluja ulkopuolelta ja rajan asettamiseen yhteyksien määrälle
aikayksikkö DNS-palvelimelle yhdyskäytävän puolella:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-bove 1

4. HTTP-tulva.

Yksi yleisimmistä tulvamenetelmistä nykyään. Perustuu
HTTP GET -viestien loputon lähettäminen porttiin 80 lataamista varten
web-palvelin, jotta se ei pysty käsittelemään kaikkea
muita pyyntöjä. Usein tulvan kohteena ei ole verkkopalvelimen juuri, vaan yksi niistä
komentosarjat, jotka suorittavat resurssiintensiivisiä tehtäviä tai toimivat tietokannan kanssa. Missä tahansa
Tässä tapauksessa epätavallisen nopea tukkien kasvu on osoitus hyökkäyksen alkamisesta.
web-palvelin.

Menetelmiä HTTP-tulvan torjuntaan kuuluu verkkopalvelimen ja tietokannan virittäminen
hyökkäyksen vaikutusten vähentämiseksi sekä DoS-bottien seulomiseksi
erilaisia ​​tekniikoita. Ensinnäkin sinun tulee lisätä yhteyksien enimmäismäärää
tietokanta samaan aikaan. Toiseksi asentaminen Apache-verkkopalvelimen eteen on helppoa
ja tuottava nginx - se tallentaa pyynnöt välimuistiin ja palvelee staattista tietoa. Tämä
ratkaisu "must have" -luettelosta, joka ei ainoastaan ​​vähennä DoS-hyökkäysten vaikutusta, vaan myös
mahdollistaa palvelimen kestämään valtavia kuormia. Pieni esimerkki:

# vi /etc/nginx/nginx.conf
# Kasvata käytettävien tiedostojen enimmäismäärää
worker_rlimit_nofile 80000;
tapahtumat (
# Lisää yhteyksien enimmäismäärää
työntekijä_yhteydet 65536;
# Käytä tehokasta epoll-menetelmää yhteyksien käsittelyyn
käytä epollia;
}
http(
gzip pois;
# Poista käytöstä säilytysyhteyksien sulkemisen aikakatkaisu
Keepalive_timeout 0;
# Älä anna nginx-versiota vastauksen otsikossa
server_tokens off;
# Nollaa yhteys aikakatkaisun vuoksi
reset_timedout_connection on;
}
# Vakioasetukset työskennellä asiamiehenä
palvelin(
kuuntele 111.111.111.111 oletus lykätty;
palvelimen_nimi isäntä.com www.isäntä.com;
lokimuoto IP $etäosoite;
sijainti/(
proxy_pass http://127.0.0.1/;
}
sijainti ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
root /home/www/host.com/httpdocs;
}
}

Tarvittaessa voit käyttää nginx-moduulia
ngx_http_limit_req_module, joka rajoittaa samanaikaisten yhteyksien määrää
yksi osoite (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Resurssiintensiiviset skriptit voidaan suojata boteilta käyttämällä viiveitä, "Napsauta"-painikkeita
minä", evästeiden asettaminen ja muut tarkistamiseen tähtäävät tekniikat
"ihmiskunta".

Välttääksesi joutumasta toivottomaan tilanteeseen DDoS-myrskyn aikana
järjestelmät, on tarpeen valmistella ne huolellisesti tällaiseen tilanteeseen:

1. Kaikkien palvelimien, joilla on suora yhteys ulkoiseen verkkoon, on oltava
   valmis yksinkertaiseen ja nopeaan etäkäynnistykseen (sshd pelastaa isäni
   Venäjän demokratia). Toisen saamisesta on iso plussa,
   hallinnollinen verkkoliitäntä, jonka kautta pääset
   palvelimelle, jos pääkanava on tukossa.
2. Palvelimella käytettävän ohjelmiston tulee olla aina ajan tasalla
   kunto. Kaikki reiät on paikattu, päivitykset asennettu (niin yksinkertaista kuin
   boot, neuvoja, joita monet eivät noudata). Tämä suojaa sinua DoS-hyökkäyksiltä,
   palveluvirheiden hyödyntäminen.
3. Kaikki kuunteluverkkopalvelut on tarkoitettu hallintokäyttöön
   käyttö on piilotettava palomuurin taakse kaikilta, joiden ei pitäisi
   pääse niihin käsiksi. Silloin hyökkääjä ei voi käyttää niitä suorittamiseen
   DoS-hyökkäykset tai raaka voima.
4. Palvelimen lähestymistavoille (lähin reititin) on asennettava
   liikenteen analysointijärjestelmä (NetFlow auttaa), joka mahdollistaa ajoissa
   ottaa selvää tulevasta hyökkäyksestä ja ryhtyä ajoissa toimenpiteisiin sen estämiseksi.

Lisää seuraavat rivit tiedostoon /etc/sysctl.conf:

# vi /etc/sysctl.conf
# Huijaussuojaus
net.ipv4.conf.default.rp_filter = 1
# Tarkista TCP-yhteys minuutin välein. Jos toisella puolella - laillista
koneeseen, hän vastaa välittömästi. Oletusarvo on 2 tuntia.
net.ipv4.tcp_keepalive_time = 60
# Yritä uudelleen kymmenen sekunnin kuluttua
net.ipv4.tcp_keepalive_intvl = 10
# Tarkistusten määrä ennen yhteyden sulkemista
net.ipv4.tcp_keepalive_probes = 5

On huomattava, että kaikki edellisissä ja tässä osiossa annetut tekniikat
pyritään vähentämään DDoS-hyökkäysten tehokkuutta
kuluttaa koneen resursseja. Suojaa itsesi tulvilta, jotka tukkivat kanavan roskilla
käytännössä mahdotonta ja ainoa oikea, mutta ei aina mahdollista
tapa taistella on "riistää hyökkäykseltä merkitys". Jos sinulla on sisään
käytössäsi on todella laaja kanava, joka kulkee helposti läpi liikenteen
pieni botnet, ota huomioon, että palvelimesi on suojattu 90 % hyökkäyksiltä. Niitä on enemmän
kehittynyt suojausmenetelmä. Se perustuu hajautettuun organisaatioon
tietokoneverkko, joka sisältää monia redundantteja palvelimia
kytketty eri pääkanaviin. Laskettaessa tehoa tai
kanavakapasiteetti loppuu, kaikki uudet asiakkaat ohjataan uudelleen
toiselle palvelimelle (tai "levitetään" vähitellen palvelimille periaatteen mukaisesti
round robin). Tämä on uskomattoman kallis, mutta erittäin vakaa rakenne, täytä
mikä on lähes mahdotonta.

Muut enemmän tai vähemmän tehokas ratkaisu koostuu kalliista ostamisesta
laitteistojärjestelmät Cisco Traffic Anomalia Detector ja Cisco Guard. Työskentely sisällä
joukko, ne voivat tukahduttaa saapuvan hyökkäyksen, mutta kuten useimmat muutkin
oppimiseen ja tila-analyysiin perustuvat päätökset epäonnistuvat. Siksi sen pitäisi
mieti tarkkaan ennen kuin kiristät kymmeniä tuhansia pomoiltasi
dollaria tällaisesta suojasta.

Se näyttää alkaneen. Mitä tehdä?

Ennen hyökkäyksen välitöntä alkamista robotit "lämpenevät", vähitellen
lisäämällä pakettien virtaa hyökkäyksen kohteena olevaan koneeseen. On tärkeää tarttua hetkeen ja aloittaa
aktiivisia toimia. Reitittimen jatkuva valvonta auttaa tässä,
kytketty ulkoiseen verkkoon (NetFlow-kaavioiden analyysi). Uhripalvelimella
Voit määrittää hyökkäyksen alun improvisoiduilla keinoilla.

SYN-tulvan olemassaolo on helppo todeta - laskemalla "puoliavoin"
TCP-yhteydet:

# netstat -na | grep ":80\" | grep SYN_RCVD

Normaalitilanteessa sitä ei pitäisi olla ollenkaan (tai hyvin pieni määrä:
maksimi 1-3). Jos näin ei ole, olet hyökkäyksen kohteena, jatka välittömästi pudottamista
hyökkääjät.

HTTP-tulva on hieman monimutkaisempi. Ensin sinun on laskettava numero
Apache-prosessit ja yhteyksien määrä portissa 80 (HTTP-tulva):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\" | wc -l

Useita kertoja tilastollista keskiarvoa korkeammat arvot antavat perusteita
ajattele sitä. Seuraavaksi sinun pitäisi tarkastella luetteloa IP-osoitteista, joista pyynnöt tulevat
yhteyttä varten:

# netstat -na | grep ":80\" | lajitella | uniq -c | sort -nr | Vähemmän

DoS-hyökkäystä on mahdotonta tunnistaa yksiselitteisesti. Voit vain vahvistaa omasi
arvaa yhden osoitteen olemassaolosta, jos yksi osoite toistetaan liikaa luettelossa
kertaa (ja silloinkin tämä voi viitata vierailijoihin NAT:n takana).
Lisävahvistus olisi pakettianalyysi tcpdumpilla:

# tcpdump -n -i eth0 -s 0 -w output.txt dst-portti 80 ja isäntä-IP-palvelin

Indikaattori on suuri virtaus yksitoikkoisia (eikä sisällä hyödyllisiä)
tiedot) paketit eri IP-osoitteista, jotka on suunnattu samaan porttiin/palveluun (esim.
web-palvelimen juuri tai tietty cgi-komentosarja).

Kun olemme vihdoin päättäneet, alamme pudottaa ei-toivottuja ihmisiä IP-osoitteilla (sitä tulee olemaan
paljon tehokkaampaa, jos teet tämän reitittimellä):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp -- kohde-portti http -j
PUDOTA

Tai suoraan aliverkon kautta:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --kohde-portti http -j
PUDOTA

Tämä antaa sinulle etumatkan (hyvin pieni; usein lähteen IP-osoite
väärennetty), jota sinun on käytettävä osoitteeseen
palveluntarjoaja/isäntä (verkkopalvelimen, ytimen,
palomuuri ja luettelo tunnistamistasi IP-osoitteista). Suurin osa heistä tietysti
jättää tämän viestin huomioimatta (ja liikenteestä maksavat hosting-yritykset ovat myös iloisia -
DoS-hyökkäys tuo heille voittoa) tai he yksinkertaisesti sulkevat palvelimesi. Mutta joka tapauksessa
Tässä tapauksessa tämä on tehtävä – tehokas DDoS-suojaus on mahdollista
vain pääkanavilla. Yksin pystyt käsittelemään pieniä hyökkäyksiä
tarkoituksena on kuluttaa palvelinresursseja, mutta huomaat olevasi puolustuskyvytön sitä vastaan
enemmän tai vähemmän vakava DDoS.

Taistelu DDoS:a vastaan ​​FreeBSD:ssä

Lyhennämme vastauspaketin odotusaikaa SYN-ACK-pyyntöön (suojaus
SYN-tulva):

# sysctl net.inet.tcp.msl=7500

Palvelimen muuttaminen mustaksi aukoksi. Tällä tavalla ydin ei lähetä vastauspaketteja, kun
yrittää muodostaa yhteyden tyhjiin portteihin (vähentää koneen kuormitusta aikana
DDoS satunnaisissa porteissa):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Rajoitamme vastausten määrän ICMP-viesteihin 50:een sekunnissa (suojaus
ICMP-tulva):

# sysctl net.inet.icmp.icmplim=50

Lisäämme palvelinyhteyksien enimmäismäärää (suojaus kaikilta
DDoS-tyypit):

# sysctl kern.ipc.somaxconn=32768

Ota käyttöön DEVICE_POLLING - riippumaton kysely verkkoohjain ydin päällä
suuret kuormat (vähentää merkittävästi järjestelmän kuormitusta DDoS:n aikana):

1. Rakennamme ytimen uudelleen vaihtoehdolla "optiot DEVICE_POLLING";
2. Aktivoi kyselymekanismi: "sysctl kern.polling.enable=1";
3. Lisää merkintä "kern.polling.enable=1" tiedostoon /etc/sysctl.conf.

Naiivi Internet

DoS-hyökkäykset olivat kukoistusaikanaan palvelimille todellinen katastrofi
ja tavalliset työasemat. Sivusto voidaan helposti poistaa käytöstä
yksi isäntä, joka toteuttaa Smurf-tyyppisen hyökkäyksen. Työasemat, joissa
asennettu Windows-käyttöjärjestelmä putosi kuin domino hyökkäyksistä, kuten Ping of Death, Land,
WinNuke. Nykyään kaikkea tätä ei tarvitse pelätä.

Suurimmat botnetit

400 tuhatta
tietokoneita.
- 315 tuhatta
tietokoneita.
Bobax - 185 tuhatta tietokonetta.
Rustock - 150 tuhatta tietokonetta.
Storm - 100 tuhatta tietokonetta.
Psybot - 100 tuhatta Linux-pohjaista ADSL-reititintä.
BBC botnet - 22 tuhatta tietokonetta.
,
BBC:n luoma.

Jälki historiassa

1997 - DDoS-hyökkäys Microsoftin verkkosivustolle. Yksi päivä hiljaisuutta.
1999 - Yahoon, CNN:n, eBayn ja muiden verkkosivustot olivat "kantaman ulkopuolella".
Lokakuu 2002 - hyökkäys Internetin DNS-juuripalvelimiin. Hetken niitä oli
7 palvelimesta 13:sta poistettiin käytöstä.
21. helmikuuta 2003 - DDoS-hyökkäys LiveJournal.comiin. Kahden päivän palvelu
oli halvaantunut, vain satunnaisesti osoitti elonmerkkejä.

Älykkäät järjestelmät

TIEDOT

Round-robin - hajautetun laskennan kuormituksen tasapainotusalgoritmi
järjestelmä etsimällä sen elementtejä ympyräsyklissä.