L’inondation est le moyen le plus simple et le plus courant de mener des attaques DDoS. L'inondation est le moyen le plus simple et le plus courant de mener des attaques DDoS. Il existe plusieurs types d'attaques DDoS utilisant l'inondation, les principales sont répertoriées ci-dessous.

Les concepts fondamentaux de la cybersécurité sont la disponibilité, l'intégrité et la confidentialité. Attaques Déni de service (DoS) affecter la disponibilité des ressources d’information. Un déni de service est considéré comme réussi s’il entraîne l’indisponibilité d’une ressource informationnelle. La différence entre le succès d'une attaque et l'impact sur les ressources ciblées est que l'impact cause des dommages à la victime. Par exemple, si une boutique en ligne est attaquée, un déni de service prolongé peut entraîner des pertes financières pour l’entreprise. Dans chaque cas spécifique, l’activité DoS peut soit causer directement un préjudice, soit créer une menace et un risque potentiel de perte.

D'abord D V DDoS moyens distribué: attaque par déni de service distribué. Dans ce cas, nous parlons d’une énorme masse de requêtes malveillantes arrivant sur le serveur de la victime depuis de nombreux endroits différents. Généralement, ces attaques sont organisées via des botnets.

Dans cet article, nous examinerons de plus près quels types de trafic DDoS et quels types d'attaques DDoS existent. Pour chaque type d'attaque, de brèves recommandations pour prévenir et restaurer les fonctionnalités seront fournies.

Types de trafic DDoS

Le type de trafic le plus simple est celui des requêtes HTTP. À l'aide de telles demandes, par exemple, tout visiteur communique avec votre site via un navigateur. La base de la requête est l'en-tête HTTP.

en-tête HTTP. Les en-têtes HTTP sont des champs qui décrivent le type de ressource demandé, comme une URL, un formulaire ou un fichier JPEG. Les en-têtes HTTP informent également le serveur Web du type de navigateur utilisé. Les en-têtes HTTP les plus courants sont ACCEPT, LANGUAGE et USER AGENT.

Le demandeur peut utiliser autant d'en-têtes qu'il le souhaite, en leur donnant les propriétés souhaitées. Les attaquants DDoS peuvent modifier ces en-têtes HTTP et bien d’autres, les rendant difficiles à détecter. De plus, les en-têtes HTTP peuvent être écrits de manière à contrôler les services de mise en cache et proxy. Par exemple, vous pouvez demander au serveur proxy de ne pas mettre les informations en cache.

HTTP OBTENIR

• La requête HTTP(S) GET est une méthode qui demande des informations au serveur. Cette requête peut demander au serveur de transmettre un fichier, une image, une page ou un script afin de l'afficher dans le navigateur.
• Méthode d'inondation HTTP(S) GET Attaques DDoS et la couche applicative (7) du modèle OSI, dans laquelle l'attaquant envoie un puissant flux de requêtes au serveur afin de saturer ses ressources. En conséquence, le serveur ne peut pas répondre non seulement aux demandes des pirates, mais également aux demandes de vrais clients.

POST HTTP

• La requête HTTP(S) POST est une méthode dans laquelle les données sont placées dans le corps de la requête pour un traitement ultérieur sur le serveur. Une requête HTTP POST encode les informations transmises et les place sur un formulaire, puis envoie ce contenu au serveur. Cette méthode utilisé lorsqu'il est nécessaire de transférer de grandes quantités d'informations ou de fichiers.
• L'inondation HTTP(S) POST est un type d'attaque DDoS dans lequel le nombre de requêtes POST submerge le serveur au point que celui-ci est incapable de répondre à toutes les requêtes. Cela peut conduire à une utilisation exceptionnellement élevée ressources système, puis à un arrêt d'urgence du serveur.

Chacune des requêtes HTTP décrites ci-dessus peut être transmise via un protocole sécurisé HTTPS. Dans ce cas, toutes les données envoyées entre le client (attaquant) et le serveur sont cryptées. Il s'avère que la « sécurité » fait ici le jeu des attaquants : afin d'identifier une requête malveillante, le serveur doit d'abord la déchiffrer. Ceux. Vous devez décrypter l’intégralité du flux de requêtes, qui sont nombreuses lors d’une attaque DDoS. Cela crée une charge supplémentaire sur le serveur victime.

Inondation SYN(TCP/SYN) établit des connexions semi-ouvertes avec l'hôte. Lorsque la victime reçoit un paquet SYN via port ouvert, il doit répondre avec un paquet SYN-ACK et établir une connexion. Après cela, l'initiateur envoie une réponse avec un paquet ACK au destinataire. Ce processus conventionnellement appelée poignée de main. Cependant, lors d'une attaque par inondation SYN, la négociation ne peut pas être terminée car l'attaquant ne répond pas au SYN-ACK du serveur victime. Ces connexions restent à moitié ouvertes jusqu'à l'expiration du délai d'attente, la file d'attente de connexion est pleine et les nouveaux clients ne peuvent pas se connecter au serveur.

Inondation UDP sont le plus souvent utilisés pour les attaques DDoS à large bande en raison de leur nature sans session, ainsi que de la facilité de création de messages Protocole 17 (UDP) dans divers langages de programmation.

Inondation ICMP. Le protocole ICMP (Internet Control Message Protocol) est principalement utilisé pour les messages d'erreur et n'est pas utilisé pour la transmission de données. Les paquets ICMP peuvent accompagner les paquets TCP lors de la connexion à un serveur. Inondation ICMP - Méthode DDoS attaques au niveau de la couche 3 du modèle OSI, qui utilise des messages ICMP pour surcharger le canal réseau de la personne attaquée.

Inondation MAC- un type d'attaque rare dans lequel l'attaquant envoie plusieurs trames Ethernet vides avec des adresses MAC différentes. Les commutateurs réseau considèrent chaque adresse MAC séparément et, par conséquent, réservent des ressources pour chacune d'elles. Lorsque toute la mémoire du commutateur est utilisée, il cesse de répondre ou s'éteint. Sur certains types de routeurs, une attaque par inondation MAC peut entraîner la suppression de tables de routage entières, perturbant ainsi l'ensemble du réseau.

Classification et objectifs des attaques DDoS par niveaux OSI

Utilisations d'Internet Modèle OSI. Au total, il y a 7 niveaux dans le modèle, qui couvrent tous les supports de communication : de l'environnement physique (1er niveau) au niveau applicatif (7ème niveau), auquel les programmes « communiquent » entre eux.

Les attaques DDoS sont possibles à chacun des sept niveaux. Regardons-les de plus près.

Couche OSI 7 : Appliqué

Que faire : Surveillance des applications - surveillance systématique des logiciels qui utilise un ensemble spécifique d'algorithmes, de technologies et d'approches (en fonction de la plate-forme sur laquelle le logiciel est utilisé) pour identifier les vulnérabilités des applications de type 0-day (attaques de couche 7). En identifiant ces attaques, il est possible de les stopper une fois pour toutes et d’en retrouver la source. Cela se fait le plus simplement sur cette couche.

Couche OSI 6 : Exécutif

Que faire : pour atténuer les dommages, envisagez des mesures telles que la distribution d'une infrastructure de chiffrement SSL (c'est-à-dire l'hébergement de SSL sur un bon serveur, si possible) et l'inspection du trafic des applications à la recherche d'attaques ou de violations de politiques sur la plate-forme d'application. Une bonne plate-forme garantira que le trafic est crypté et renvoyé à l'infrastructure d'origine, le contenu déchiffré résidant dans la mémoire sécurisée du nœud de bastion sécurisé.

Couche OSI 5 : Session

Que faire : Prise en charge du micrologiciel matérielà jour pour réduire le risque de menace.

Couche OSI 4 : Transport

Que faire : Le filtrage du trafic DDoS, connu sous le nom de blackholing, est une méthode souvent utilisée par les fournisseurs pour protéger les clients (nous utilisons cette méthode nous-mêmes). Cependant, cette approche rend le site du client inaccessible à la fois au trafic malveillant et au trafic des utilisateurs légitimes. Cependant, le blocage d'accès est utilisé par les fournisseurs pour lutter contre les attaques DDoS afin de protéger les clients contre des menaces telles que les ralentissements des équipements réseau et les pannes de service.

Couche OSI 3 : Réseau

Que faire : Limitez le nombre de requêtes ICMP traitées et réduisez l'impact possible de ce trafic sur la vitesse du pare-feu et la bande passante Internet.

Couche OSI 2 : Canal

Que faire : De nombreux commutateurs modernes peuvent être configurés de telle manière que le nombre d'adresses MAC soit limité à celles fiables qui réussissent les contrôles d'authentification, d'autorisation et de comptabilité sur le serveur (protocole AAA) et sont ensuite filtrées.

OSI Couche 1 : Physique

Que faire : utilisez une approche systématique pour surveiller les performances des équipements de réseau physique.

Atténuation des attaques DoS/DDoS à grande échelle

Bien qu’une attaque soit possible à n’importe quel niveau, les attaques aux couches 3, 4 et 7 du modèle OSI sont particulièrement populaires.

• Attaques DDoS de 3ème et 4ème niveaux - attaques d'infrastructure - types d'attaques basées sur l'utilisation d'un flux de données important et puissant (flood) au niveau de l'infrastructure réseau et au niveau du transport afin de ralentir le serveur web et de le « remplir » le canal, et finalement empêcher les autres utilisateurs d'accéder à la ressource. Ces types d'attaques incluent généralement les inondations ICMP, SYN et UDP.
• L'attaque DDoS de niveau 7 est une attaque qui implique la surcharge de certains éléments spécifiques de l'infrastructure du serveur d'applications. Les attaques de couche 7 sont particulièrement sophistiquées, cachées et difficiles à détecter en raison de leur similitude avec le trafic Web utile. Même les attaques de couche 7 les plus simples, comme tenter de se connecter avec un nom d'utilisateur et un mot de passe arbitraires ou répéter des recherches arbitraires sur des pages Web dynamiques, peuvent charger de manière critique le processeur et les bases de données. Les attaquants DDoS peuvent également modifier à plusieurs reprises les signatures des attaques de couche 7, les rendant encore plus difficiles à reconnaître et à éliminer.

Quelques actions et équipements pour atténuer les attaques :

• Pare-feu avec inspection dynamique des paquets
• Mécanismes proxy SYN dynamiques
• Limiter le nombre de SYN par seconde pour chaque adresse IP
• Limiter le nombre de SYN par seconde pour chaque adresse IP distante
• Installation d'écrans anti-inondation ICMP sur un pare-feu
• Installation d'écrans anti-inondation UDP sur un pare-feu
• Limiter la vitesse des routeurs adjacents aux pare-feu et aux réseaux

11.11.2012

Sous le déluge Cela signifie un énorme flux de données sous forme de messages, qui sont envoyés pour être publiés sur divers forums et chats. Si vous le regardez d'un point de vue technique, inondation- c'est l'un des plus courants types d'attaques informatiques, et son but est d'envoyer un tel nombre de requêtes que le matériel du serveur sera obligé d'exécuter déni de service services aux utilisateurs. Si attaque contre technologie informatique effectué à partir d’un grand nombre d’ordinateurs, vous avez alors affaire à .

Il existe plusieurs types d’attaques DDoS Flood, les principales sont répertoriées ci-dessous :

• Inondation SYN-ACK
• Inondation HTTP
• Inondation ICMP
• Inondation UDP

Inondation SYN-ACK

Inondation SYN-ACK- un des types attaques de réseau, qui repose sur l'envoi d'un grand nombre de requêtes SYN par unité de temps. Le résultat sera la désactivation du service dont le fonctionnement était basé sur le protocole TCP. Tout d'abord, le client envoie un paquet au serveur contenant un indicateur SYN dont la présence indique la volonté du client d'établir une connexion. Le serveur envoie à son tour un paquet de réponse. En plus du flag SYN, il contient également un flag ACK, qui attire l'attention du client sur le fait que la demande a été acceptée et qu'une confirmation de la connexion est attendue de la part du client. Il répond par un paquet avec un indicateur ACK indiquant une connexion réussie. Le serveur stocke toutes les demandes de « connexion » des clients dans une file d'attente d'une certaine taille. Les demandes sont conservées dans une file d'attente jusqu'à ce que l'indicateur ACK soit renvoyé par le client. Une attaque SYN repose sur l'envoi de paquets au serveur à partir d'une source inexistante, le nombre de paquets dépassant la taille de la file d'attente. Le serveur ne pourra tout simplement pas répondre au paquet à l'adresse fictive. La file d'attente ne diminuera pas et le service cessera de fonctionner.

Inondation HTTP

Inondation HTTP- s'applique lorsque le service fonctionne avec base de données. L'attaque vise soit serveur Web, ou à un script travaillant avec la base de données. Un grand nombre de requêtes GET sont envoyées au port 80 afin que le serveur Web ne puisse pas prêter attention aux requêtes d'autres types. Les fichiers journaux augmentent en taille et travailler avec la base de données devient impossible.

Inondation ICMP

Inondation ICMP- manière simple réduction du débit Et augmentation des charges sur la pile en utilisant des moyens d'envoyer des requêtes ICMP PING similaires. Il est dangereux de prêter peu d'attention aux pare-feu, car un serveur répondant à des requêtes ECHO interminables est voué à l'échec. Ainsi, dans le cas d’une même quantité d’intrants et trafic sortant il suffit d'écrire les règles iptables.

Inondation UDP

Inondation UDP- une autre façon encombrement de bande passante, basé sur un protocole qui ne nécessite pas de synchronisation avant l'envoi des données. L'attaque se résume à simplement envoyer un paquet vers le port UDP du serveur. Après avoir reçu le paquet, le serveur commence à le traiter de manière intensive. Le client envoie ensuite les paquets Udp au contenu incorrect les uns après les autres. En conséquence, les ports cesseront de fonctionner et le système plantera.

En gros, pour déterminer type d'attaque DDoS Souvent, il n’est pas nécessaire d’y consacrer beaucoup de temps. Il suffit de connaître quelques signes. Si de manière significative La taille des fichiers journaux a augmenté– Vous avez affaire à Inondation HTTP. Si l'accès au service est limité en raison du dépassement du nombre de connexions autorisées - c'est Inondation SYN-ACK. Au cas où le trafic sortant et entrant est à peu près égal– Vous avez affaire à Inondation ICMP. L'essentiel est de ne pas oublier d'entretenir sécurité de votre serveur contre les DDoS et y prêtez toute l’attention voulue. Le mieux c'est d'en prendre soin

Votre matinée commence par la lecture des rapports de bogues et l'analyse des journaux. Vous quotidiennement
mettez à jour le logiciel et mettez à jour les règles de pare-feu toutes les heures. Sniff est votre meilleur
ami, et Zabbix est un assistant invisible. Vous avez construit un véritable bastion auquel
impossible à atteindre d'un côté ou de l'autre. Mais! Vous êtes complètement sans défense contre vous-même
L’attaque la plus insidieuse et la plus sournoise au monde est le DDoS.

Il est difficile de dire quand le terme attaque DoS est apparu pour la première fois. Les experts disent
vers 1996, tout en laissant entendre que ce type d’attaque « n’a atteint » le grand public qu’en
1999, lorsque les sites Internet d'Amazon, Yahoo, CNN et eBay furent successivement touchés.
Encore plus tôt, l'effet DoS était utilisé pour tester la stabilité des systèmes et
canaux de communication. Mais si vous creusez plus profondément et utilisez le terme DoS pour
désignation du phénomène, il devient clair qu'il a toujours existé, depuis l'époque
les premiers mainframes. Pensez-y simplement comme un moyen d'intimidation
commencé bien plus tard.

En termes simples, les attaques DoS sont une sorte d'attaque malveillante.
activités visant à amener le système informatique à un tel
indiquer où il ne sera pas en mesure de servir les utilisateurs légitimes ou
remplir correctement les fonctions qui lui sont assignées. À l'état de « refus de
"maintenance" résulte généralement d'erreurs dans le logiciel ou d'une charge excessive sur le réseau
canal ou système dans son ensemble. En conséquence, le logiciel, ou l'ensemble du système d'exploitation
machine, « tombe » ou se retrouve dans un état « en boucle ». Et cela menace
temps d'arrêt, perte de visiteurs/clients et pertes.

Anatomie des attaques DoS

Les attaques DoS sont divisées en attaques locales et distantes. Les locaux incluent
divers exploits, fork bombs et programmes qui ouvrent un million de fichiers ou
exécuter une sorte d'algorithme cyclique qui consomme de la mémoire et du processeur
ressources. Nous ne nous attarderons pas sur tout cela. Mais les attaques DoS à distance
Regardons de plus près. Ils sont divisés en deux types :

1. Exploitation à distance des erreurs d'un logiciel afin de le rendre inopérant
   État.
2. Inondation - envoyer une énorme quantité de messages dénués de sens (moins souvent
   – significatifs) packages. Le but de l'inondation peut être un canal de communication ou des ressources
   voitures. Dans le premier cas, le flux de paquets occupe la totalité du canal de bande passante et n'occupe pas
   donne à la machine attaquée la possibilité de traiter des requêtes légitimes. Dans la seconde
   - les ressources machine sont captées par des actions répétées et très fréquentes
   accéder à tout service effectuant des tâches complexes et gourmandes en ressources
   opération. Il peut s'agir, par exemple, d'un long appel à l'un des
   composants actifs (script) du serveur web. Le serveur gaspille toutes les ressources de la machine
   pour traiter les demandes de l'attaquant, et les utilisateurs doivent attendre.

Dans la version traditionnelle (un attaquant - une victime), il reste désormais
Seul le premier type d’attaque est efficace. Les inondations classiques ne servent à rien. Juste parce que
qu'avec la largeur de canal du serveur d'aujourd'hui, le niveau de puissance de calcul et
utilisation généralisée de diverses techniques anti-DoS dans les logiciels (par exemple, retardement
lorsque les mêmes actions sont effectuées de manière répétée par le même client), l'attaquant
se transforme en un moustique ennuyeux, incapable d'infliger quoi que ce soit
dommage. Mais s’il y a des centaines, des milliers, voire des centaines de milliers de ces moustiques, ils
mettra facilement le serveur sur son épaule. La foule est une force terrible non seulement dans la vie, mais aussi dans
monde informatique. Attaque par déni de service distribué (DDoS)
généralement effectué à l'aide de nombreux hôtes zombifiés, peut
coupé de monde extérieur même le serveur le plus persistant, et le seul efficace
protection - organisation système distribué serveurs (mais c'est loin d'être abordable
pas tout le monde, bonjour Google).

Méthodes de combat

Le danger de la plupart des attaques DDoS réside dans leur transparence absolue et
"normalité". Après tout, si une erreur dans le logiciel peut toujours être corrigée, alors complétez
Engloutir des ressources est un phénomène presque courant. Beaucoup de gens les rencontrent
les administrateurs, lorsque les ressources machine (largeur du canal) deviennent insuffisantes,
ou le site Web est soumis à un effet slashdot (twitter.com est devenu indisponible après
quelques minutes après la première nouvelle de la mort de Michael Jackson). Et si tu coupes
trafic et ressources pour tout le monde, vous serez sauvé des DDoS, mais vous perdrez du bon
la moitié des clients.

Il n'y a pratiquement aucune issue à cette situation, mais les conséquences des attaques DDoS et leurs
l'efficacité peut être considérablement réduite par un réglage approprié
routeur, pare-feu et analyse continue des anomalies dans trafic réseau. DANS
Dans la prochaine partie de l'article, nous considérerons séquentiellement :

• des méthodes pour reconnaître une attaque DDoS naissante ;
• des méthodes pour lutter contre des types spécifiques d'attaques DDoS ;
• des conseils universels qui vous aideront à vous préparer à une attaque DoS et
  réduire son efficacité.

A la toute fin, la réponse à la question sera donnée : que faire lorsque le
Attaque DDoS.

Lutte contre les inondations

Il existe donc deux types d’attaques DoS/DDoS, la plus courante étant
est basé sur l'idée d'inondation, c'est-à-dire d'écraser la victime avec un grand nombre de colis.
Il existe différentes inondations : inondation ICMP, inondation SYN, inondation UDP et inondation HTTP. Moderne
Les robots DoS peuvent utiliser tous ces types d'attaques simultanément, vous devez donc
veillez à l'avance à une protection adéquate contre chacun d'eux.

1. Inondation ICMP.

Une méthode très primitive pour obstruer la bande passante et créer des charges sur
pile réseau via l'envoi monotone de requêtes ICMP ECHO (ping). Facilement
détecté en analysant les flux de trafic dans les deux sens : lors d’une attaque
comme ICMP Flood, ils sont presque identiques. Une façon presque indolore de
la protection est basée sur la désactivation des réponses aux requêtes ICMP ECHO :

# sysctl net.ipv4.icmp_echo_ignore_all=1

Ou en utilisant un pare-feu :

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. Inondation SYN.

L'un des moyens courants non seulement d'obstruer un canal de communication, mais également d'introduire
pile réseau système opérateur dans un état où il ne peut plus
accepter de nouvelles demandes de connexion. Basé sur la tentative d'initialisation
un grand nombre de connexions TCP simultanées en envoyant un paquet SYN avec
adresse de retour inexistante. Après plusieurs tentatives pour envoyer une réponse
ACK à une adresse inaccessible, la plupart des systèmes d'exploitation installent un
connexion à la file d'attente. Et seulement après la nième tentative, la connexion est fermée. Parce que
le flux de paquets ACK est très important, bientôt la file d'attente devient pleine et le noyau
refuse les tentatives d'ouverture d'une nouvelle connexion. Les robots DoS les plus intelligents sont également
analyser le système avant de lancer une attaque afin d'envoyer des requêtes uniquement pour ouvrir
ports vitaux. Il est facile d'identifier une telle attaque : il suffit
essayez de vous connecter à l'un des services. Les mesures défensives sont généralement
inclure:

Augmentation de la file d'attente des connexions TCP "à moitié ouvertes" :

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Réduire le temps de maintien des connexions « semi-ouvertes » :

# sysctl -w net.ipv4.tcp_synack_retries=1

Activation du mécanisme TCP syncookies :

# sysctl -w net.ipv4.tcp_syncookies=1

Limiter le nombre maximum de connexions « semi-ouvertes » d'une IP à
port spécifique :

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above
10 -j GOUTTE

3. Inondation UDP.

Une méthode typique pour submerger la bande passante. Basé sur une prémisse infinie
Paquets UDP vers les ports de divers services UDP. S'enlève facilement en coupant
ces services depuis le monde extérieur et en fixant une limite au nombre de connexions dans
unité de temps au serveur DNS côté passerelle :

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-above 1

4. Inondation HTTP.

L'une des méthodes d'inondation les plus courantes aujourd'hui. Basé sur
envoyer sans cesse des messages HTTP GET au port 80 afin de télécharger
serveur Web afin qu'il ne puisse pas tout traiter
d'autres demandes. Souvent, la cible d'une inondation n'est pas la racine du serveur Web, mais l'un des
des scripts qui effectuent des tâches gourmandes en ressources ou travaillent avec une base de données. Dans n'importe quel
Dans ce cas, une croissance anormalement rapide des logs servira d'indicateur du début d'une attaque.
serveur Internet.

Les méthodes pour lutter contre les inondations HTTP incluent le réglage du serveur Web et de la base de données
afin de réduire l'effet de l'attaque, ainsi que d'éliminer les robots DoS à l'aide de
diverses techniques. Tout d'abord, vous devez augmenter le nombre maximum de connexions à
base de données en même temps. Deuxièmement, l'installation devant le serveur Web Apache est simple
et nginx productif - il mettra en cache les requêtes et servira les données statiques. Ce
solution de la liste des « must have », qui réduira non seulement l'effet des attaques DoS, mais également
permettra au serveur de résister à des charges énormes. Un petit exemple :

# vi /etc/nginx/nginx.conf
# Augmenter le nombre maximum de fichiers utilisés
travailleur_rlimit_nofile 80000 ;
événements (
# Augmenter le nombre maximum de connexions
connexions_travailleur 65536 ;
# Utilisez la méthode epoll efficace pour gérer les connexions
utilisez epoll ;
}
http(
gzip;
# Désactiver le délai d'attente pour la fermeture des connexions persistantes
keepalive_timeout 0 ;
# Ne pas donner la version de nginx dans l'en-tête de réponse
server_tokens désactivé ;
# Réinitialiser la connexion en raison d'un délai d'attente
reset_timedout_connection activé ;
}
# Paramètres standards travailler comme mandataire
serveur(
écoute 111.111.111.111 par défaut différée ;
nom_serveur host.com www.host.com ;
log_format IP $remote_addr ;
emplacement/(
proxy_pass http://127.0.0.1/;
}
emplacement ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
racine /home/www/host.com/httpdocs ;
}
}

Si nécessaire, vous pouvez utiliser le module nginx
ngx_http_limit_req_module, qui limite le nombre de connexions simultanées avec
une adresse (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Les scripts gourmands en ressources peuvent être protégés des robots à l'aide de délais et de boutons « Cliquer »
moi", paramétrage de cookies et autres techniques visant à vérifier
"humanité".

Pour éviter de vous retrouver dans une situation désespérée lors d'une tempête DDoS sur
systèmes, il est nécessaire de les préparer soigneusement à une telle situation :

1. Tous les serveurs ayant un accès direct au réseau externe doivent être
   préparé pour un redémarrage à distance simple et rapide (sshd sauvera mon père
   démocratie russe). En avoir un deuxième sera un gros plus,
   interface administrative et réseau à travers laquelle vous pouvez accéder
   au serveur si le canal principal est obstrué.
2. Le logiciel utilisé sur le serveur doit toujours être à jour
   condition. Tous les trous sont corrigés, les mises à jour sont installées (aussi simple que
   boot, conseil que beaucoup ne suivent pas). Cela vous protégera des attaques DoS,
   exploiter les bugs des services.
3. Tous les services du réseau d'écoute destinés aux administratifs
   l'utilisation doit être cachée derrière un pare-feu à toute personne qui ne devrait pas
   y avoir accès. L'attaquant ne pourra alors pas les utiliser pour mener à bien
   Attaques DoS ou force brute.
4. Aux abords du serveur (le routeur le plus proche) doit être installé
   système d'analyse du trafic (NetFlow pour vous aider), qui permettra en temps opportun
   se renseigner sur une attaque imminente et prendre des mesures rapides pour la prévenir.

Ajoutez les lignes suivantes à /etc/sysctl.conf :

# vi /etc/sysctl.conf
# Protection anti-usurpation
net.ipv4.conf.default.rp_filter = 1
# Vérifiez la connexion TCP toutes les minutes. Si de l'autre côté - légal
machine, elle répondra immédiatement. La valeur par défaut est de 2 heures.
net.ipv4.tcp_keepalive_time = 60
# Réessayez après dix secondes
net.ipv4.tcp_keepalive_intvl = 10
# Nombre de vérifications avant de fermer la connexion
net.ipv4.tcp_keepalive_probes = 5

Il convient de noter que toutes les techniques données dans les sections précédentes et cette section
visent à réduire l’efficacité des attaques DDoS visant
épuiser les ressources de la machine. Protégez-vous des inondations obstruant le canal avec des déchets
pratiquement impossible, et la seule correcte, mais pas toujours réalisable
la manière de se battre est de « priver l’attaque de sens ». Si vous avez dans
vous disposez d'un canal vraiment large qui fera passer facilement le trafic
petit botnet, considérez que votre serveur est protégé contre 90% des attaques. Il y a plus
méthode de protection sophistiquée. Il est basé sur une organisation distribuée
réseau informatique, qui comprend de nombreux serveurs redondants qui
connectés à différents canaux principaux. Lorsque la puissance de calcul ou
la capacité du canal est épuisée, tous les nouveaux clients sont redirigés
vers un autre serveur (ou sont progressivement « répartis » sur les serveurs selon le principe
tournoi à la ronde). Il s'agit d'une structure incroyablement coûteuse, mais très stable, faites le plein
ce qui est presque impossible.

D'autres plus ou moins solution efficace consiste à acheter cher
systèmes matériels Cisco Traffic Anomaly Detector et Cisco Guard. Travailler dans
groupe, ils peuvent supprimer une attaque entrante, mais comme la plupart des autres
les décisions basées sur l’apprentissage et l’analyse de l’état échouent. Il faudrait donc
réfléchissez bien avant d'extorquer des dizaines de milliers à vos patrons
dollars pour une telle protection.

Cela semble avoir commencé. Ce qu'il faut faire?

Avant le début immédiat de l'attaque, les bots « s'échauffent », progressivement
augmentant le flux de paquets vers la machine attaquée. Il est important de saisir le moment et de commencer
actions actives. Une surveillance constante du routeur y contribuera,
connecté à un réseau externe (analyse des graphes NetFlow). Sur le serveur victime
Vous pouvez déterminer le début d'une attaque à l'aide de moyens improvisés.

La présence d'inondation SYN est facilement établie - en comptant le nombre de "semi-ouverts"
Connexions TCP :

# netstat -na | grep ":80\" | grep SYN_RCVD

Dans une situation normale, il ne devrait pas y en avoir du tout (ou une très petite quantité :
maximum 1-3). Si ce n'est pas le cas, vous êtes attaqué, procédez immédiatement au drop
attaquants.

L'inondation HTTP est un peu plus compliquée. Vous devez d'abord compter le nombre
Processus Apache et nombre de connexions sur le port 80 (HTTP Flood) :

#ps aux | grep httpd | toilettes -l
# netstat -na | grep ":80\" | toilettes -l

Des valeurs plusieurs fois supérieures à la moyenne statistique justifient
réfléchissez-y. Ensuite, vous devriez afficher la liste des adresses IP d'où proviennent les demandes
pour la connexion :

# netstat -na | grep ":80\" | trier | uniq-c | trier -nr | moins

Il est impossible d'identifier sans ambiguïté une attaque DoS, vous pouvez seulement confirmer votre
devine la présence d'une adresse si une adresse est trop répétée dans la liste
fois (et même dans ce cas, cela peut indiquer des visiteurs derrière NAT).
Une confirmation supplémentaire serait l'analyse des paquets à l'aide de tcpdump :

# tcpdump -n -i eth0 -s 0 -w output.txt port dst 80 et serveur IP hôte

Un indicateur est un flux important de flux monotones (et ne contenant pas d'utile)
informations) paquets provenant de différentes adresses IP dirigés vers le même port/service (par exemple,
la racine du serveur web ou un script cgi spécifique).

Ayant finalement décidé, nous commençons à supprimer les personnes indésirables par adresses IP (il y aura
beaucoup plus efficace si vous faites cela sur un routeur) :

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j
BAISSE

Ou directement par sous-réseau :

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j
BAISSE

Cela vous donnera une longueur d'avance (très petite ; souvent l'adresse IP source
usurpé) que vous devez utiliser pour traiter
fournisseur/hébergeur (avec logs du serveur web, du noyau,
pare-feu et une liste des adresses IP que vous avez identifiées). La plupart d'entre eux, bien entendu,
ignorera ce message (et les sociétés d'hébergement qui paient pour le trafic seront également heureuses -
Une attaque DoS leur rapportera des bénéfices) ou ils arrêteront simplement votre serveur. Mais en tout cas
Dans ce cas, cela doit être fait – une protection DDoS efficace est possible
uniquement sur les chaînes principales. Seul, vous pouvez gérer de petites attaques
visant à épuiser les ressources du serveur, mais vous vous retrouverez sans défense contre
DDoS plus ou moins graves.

Combattre les DDoS sous FreeBSD

Nous réduisons le temps d'attente d'un paquet de réponse à une requête SYN-ACK (protection contre
Inondation SYN ):

# sysctl net.inet.tcp.msl=7500

Transformer le serveur en trou noir. De cette façon, le noyau n'enverra pas de paquets de réponse lorsque
essayer de se connecter à des ports inoccupés (réduit la charge sur la machine pendant
DDoS sur des ports aléatoires) :

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Nous limitons le nombre de réponses aux messages ICMP à 50 par seconde (protection contre
Inondation ICMP ):

# sysctl net.inet.icmp.icmplim=50

Nous augmentons le nombre maximum de connexions au serveur (protection de tous
types de DDoS) :

# sysctl kern.ipc.somaxconn=32768

Activer DEVICE_POLLING - interrogation indépendante pilote réseau noyau sur
charges élevées (réduit considérablement la charge sur le système lors de DDoS) :

1. On reconstruit le noyau avec l'option "options DEVICE_POLLING" ;
2. Activez le mécanisme d'interrogation : "sysctl kern.polling.enable=1" ;
3. Ajoutez l'entrée "kern.polling.enable=1" à /etc/sysctl.conf.

Internet naïf

À leur apogée, les attaques DoS étaient un véritable désastre pour les serveurs
et des postes de travail réguliers. Le site Web pourrait facilement être supprimé en utilisant
un hôte unique qui met en œuvre une attaque de type Schtroumpf. Postes de travail avec
Le système d'exploitation Windows installé est tombé comme des dominos suite à des attaques comme Ping of Death, Land,
GagnerNuke. Aujourd’hui, il n’y a plus lieu de craindre tout cela.

Les plus grands réseaux de zombies

400 mille
ordinateurs.
- 315 mille
ordinateurs.
Bobax - 185 000 ordinateurs.
Rustock - 150 000 ordinateurs.
Tempête - 100 000 ordinateurs.
Psybot - 100 000 routeurs ADSL basés sur Linux.
Botnet BBC - 22 000 ordinateurs.
,
créé par la BBC.

Une trace dans l'histoire

1997 - Attaque DDoS sur le site Microsoft. Un jour de silence.
1999 – les sites Internet de Yahoo, CNN, eBay et autres étaient « hors de portée ».
Octobre 2002 - attaque contre les serveurs DNS racine d'Internet. Pendant un moment, il y avait
7 serveurs sur 13 ont été désactivés.
21 février 2003 – Attaque DDoS sur LiveJournal.com. Service de deux jours
était dans un état paralysé, ne montrant qu’occasionnellement des signes de vie.

Systèmes intelligents

INFOS

Round-robin - algorithme d'équilibrage de charge de calcul distribué
système en recherchant parmi ses éléments dans un cycle circulaire.