წყალდიდობა არის ყველაზე მარტივი და ყველაზე გავრცელებული გზა DDoS შეტევების განსახორციელებლად. Flooding არის უმარტივესი და ყველაზე გავრცელებული გზა DDoS შეტევების განსახორციელებლად

კიბერუსაფრთხოების ფუნდამენტური ცნებებია ხელმისაწვდომობა, მთლიანობა და კონფიდენციალურობა. თავდასხმები სერვისის უარყოფა (DoS)გავლენას ახდენს საინფორმაციო რესურსების ხელმისაწვდომობაზე. სერვისზე უარის თქმა წარმატებულად ითვლება, თუ ეს იწვევს საინფორმაციო რესურსის მიუწვდომლობას. განსხვავება თავდასხმის წარმატებასა და სამიზნე რესურსებზე ზემოქმედებას შორის არის ის, რომ ზემოქმედება ზიანს აყენებს მსხვერპლს. მაგალითად, თუ ონლაინ მაღაზიას თავს დაესხნენ, მაშინ მომსახურების ხანგრძლივმა უარყოფამ შეიძლება გამოიწვიოს კომპანიის ფინანსური ზარალი. თითოეულ კონკრეტულ შემთხვევაში, DoS აქტივობამ შეიძლება პირდაპირ გამოიწვიოს ზიანი ან შექმნას საფრთხე და დაკარგვის პოტენციური რისკი.

პირველი დვ DDoSნიშნავს გავრცელდა: განაწილებული უარი სერვისზე თავდასხმა. ამ შემთხვევაში, ჩვენ ვსაუბრობთ მავნე მოთხოვნის უზარმაზარ მასაზე, რომლებიც მოდის მსხვერპლის სერვერზე სხვადასხვა ადგილიდან. როგორც წესი, ასეთი შეტევები ორგანიზებულია ბოტნეტების საშუალებით.

ამ სტატიაში ჩვენ უფრო დეტალურად განვიხილავთ, თუ რა ტიპის DDoS ტრაფიკი და რა ტიპის DDoS შეტევები არსებობს. თითოეული ტიპის თავდასხმისთვის მოწოდებული იქნება მოკლე რეკომენდაციები ფუნქციონირების თავიდან აცილებისა და აღდგენისთვის.

DDoS ტრაფიკის სახეები

ტრაფიკის უმარტივესი ტიპია HTTP მოთხოვნები. ასეთი მოთხოვნის დახმარებით, მაგალითად, ნებისმიერი ვიზიტორი დაუკავშირდება თქვენს საიტს ბრაუზერის საშუალებით. მოთხოვნის საფუძველია HTTP სათაური.

HTTP სათაური. HTTP სათაურები არის ველები, რომლებიც აღწერს რა სახის რესურსს ითხოვენ, როგორიცაა URL ან ფორმა, ან JPEG. HTTP სათაურები ასევე აცნობებს ვებ სერვერს, თუ რა ტიპის ბრაუზერი გამოიყენება. ყველაზე გავრცელებული HTTP სათაურებია ACCEPT, LANGUAGE და USER AGENT.

მთხოვნელს შეუძლია გამოიყენოს იმდენი სათაური, რამდენიც მას სურს, რაც მათ სასურველ თვისებებს აძლევს. DDoS თავდამსხმელებს შეუძლიათ შეცვალონ ეს და ბევრი სხვა HTTP სათაური, რაც ართულებს მათ აღმოჩენას. გარდა ამისა, HTTP სათაურები შეიძლება დაიწეროს ისე, რომ გააკონტროლონ ქეშირება და პროქსი სერვისები. მაგალითად, შეგიძლიათ დაავალოთ პროქსი სერვერს, არ მოახდინოს ინფორმაციის ქეშირება.

HTTP GET

• HTTP(S) GET მოთხოვნა არის მეთოდი, რომელიც ითხოვს ინფორმაციას სერვერიდან. ამ მოთხოვნამ შეიძლება სთხოვოს სერვერს გადასცეს ზოგიერთი ფაილი, სურათი, გვერდი ან სკრიპტი, რათა გამოჩნდეს იგი ბრაუზერში.
• HTTP(S) GET flood მეთოდი DDoS შეტევებიდა OSI მოდელის აპლიკაციის ფენა (7), რომელშიც თავდამსხმელი აგზავნის მოთხოვნის მძლავრ ნაკადს სერვერზე, რათა გადაიტვირთოს მისი რესურსები. შედეგად, სერვერს არ შეუძლია უპასუხოს არა მხოლოდ ჰაკერების, არამედ რეალური კლიენტების თხოვნებს.

HTTP POST

• HTTP(S) POST მოთხოვნა არის მეთოდი, რომლის დროსაც მონაცემები მოთავსებულია მოთხოვნის სხეულში სერვერზე შემდგომი დამუშავებისთვის. HTTP POST მოთხოვნა შიფრავს გადაცემულ ინფორმაციას და ათავსებს მას ფორმაზე და შემდეგ აგზავნის ამ კონტენტს სერვერზე. ეს მეთოდიგამოიყენება, როდესაც საჭიროა დიდი რაოდენობით ინფორმაციის ან ფაილების გადაცემა.
• HTTP(S) POST flood არის DDoS შეტევის ტიპი, რომლის დროსაც POST მოთხოვნის რაოდენობა აჭარბებს სერვერს იმ დონემდე, რომ სერვერს არ შეუძლია უპასუხოს ყველა მოთხოვნას. ამან შეიძლება გამოიწვიოს განსაკუთრებით მაღალი გამოყენება სისტემის რესურსებიდა, შემდგომში, სერვერის გადაუდებელი გაჩერებისკენ.

ზემოთ აღწერილი HTTP თითოეული მოთხოვნა შეიძლება გადაიცეს უსაფრთხო პროტოკოლით HTTPS. ამ შემთხვევაში კლიენტს (თავდამსხმელს) და სერვერს შორის გაგზავნილი ყველა მონაცემი დაშიფრულია. გამოდის, რომ "უსაფრთხოება" აქ თავდამსხმელების ხელშია: მავნე მოთხოვნის იდენტიფიცირების მიზნით, სერვერმა ჯერ უნდა გაშიფროს იგი. იმათ. თქვენ უნდა გაშიფროთ მოთხოვნების მთელი ნაკადი, რომელთაგან ბევრია DDoS შეტევის დროს. ეს ქმნის დამატებით დატვირთვას მსხვერპლი სერვერზე.

SYN წყალდიდობა(TCP/SYN) ამყარებს ნახევრად ღია კავშირებს ჰოსტთან. როდესაც მსხვერპლი იღებს SYN პაკეტს მეშვეობით ღია პორტი, მან უნდა უპასუხოს SYN-ACK პაკეტით და დაამყაროს კავშირი. ამის შემდეგ, ინიციატორი პასუხს ACK პაკეტით უგზავნის მიმღებს. ეს პროცესიპირობითად ხელის ჩამორთმევას უწოდებენ. თუმცა, SYN წყალდიდობის შეტევის დროს, ხელის ჩამორთმევა შეუძლებელია, რადგან თავდამსხმელი არ პასუხობს მსხვერპლის სერვერის SYN-ACK-ს. ასეთი კავშირები ნახევრად ღია რჩება მანამ, სანამ ვადა არ ამოიწურება, კავშირის რიგი სავსე არ არის და ახალი კლიენტები ვერ ახერხებენ სერვერთან დაკავშირებას.

UDP წყალდიდობაყველაზე ხშირად გამოიყენება ფართოზოლოვანი DDoS შეტევებისთვის მათი უსესიის გარეშე, ისევე როგორც პროტოკოლ 17 (UDP) შეტყობინებების შექმნის სიმარტივის გამო სხვადასხვა პროგრამირების ენაზე.

ICMP წყალდიდობა. ინტერნეტის კონტროლის შეტყობინებების პროტოკოლი (ICMP) ძირითადად გამოიყენება შეცდომის შეტყობინებებისთვის და არ გამოიყენება მონაცემთა გადაცემისთვის. ICMP პაკეტებს შეიძლება თან ახლდეს TCP პაკეტები სერვერთან დაკავშირებისას. ICMP წყალდიდობა - DDoS მეთოდითავდასხმები OSI მოდელის მე-3 ფენაზე, რომელიც იყენებს ICMP შეტყობინებებს თავდასხმის მქონე პირის ქსელის არხის გადატვირთვისთვის.

MAC წყალდიდობა- იშვიათი ტიპის შეტევა, რომლის დროსაც თავდამსხმელი აგზავნის მრავალ ცარიელ Ethernet ჩარჩოს სხვადასხვა MAC მისამართებით. ქსელის გადამრთველები განიხილავენ თითოეულ MAC მისამართს ცალ-ცალკე და, შედეგად, ინახავენ რესურსებს თითოეული მათგანისთვის. როდესაც გადამრთველზე არსებული მთელი მეხსიერება გამოიყენება, ის ან წყვეტს რეაგირებას ან ითიშება. ზოგიერთ ტიპის მარშრუტიზატორზე, MAC flood-ის შეტევამ შეიძლება გამოიწვიოს მთელი მარშრუტიზაციის ცხრილების წაშლა, რითაც დაირღვეს მთელი ქსელი.

DDoS შეტევების კლასიფიკაცია და მიზნები OSI დონეების მიხედვით

ინტერნეტის გამოყენება OSI მოდელი. სულ მოდელში არის 7 დონე, რომელიც მოიცავს ყველა საკომუნიკაციო მედიას: დაწყებული ფიზიკური გარემოდან (1 დონე) და დამთავრებული აპლიკაციის დონით (მე-7 დონე), რომლებზეც პროგრამები ერთმანეთთან „კომუნიკაციას“ უწევენ.

DDoS შეტევები შესაძლებელია შვიდი დონის თითოეულზე. მოდით უფრო ახლოს მივხედოთ მათ.

OSI ფენა 7:მიმართა

რა უნდა გავაკეთოთ: აპლიკაციის მონიტორინგი - პროგრამული უზრუნველყოფის სისტემატური მონიტორინგი, რომელიც იყენებს ალგორითმების, ტექნოლოგიებისა და მიდგომების სპეციფიკურ კომპლექტს (დამოკიდებულია პლატფორმაზე, რომელზეც პროგრამული უზრუნველყოფა გამოიყენება) აპლიკაციის 0-დღიანი დაუცველობის დასადგენად (ფენის 7 შეტევები). ასეთი თავდასხმების იდენტიფიცირებით, შესაძლებელია მათი ერთხელ და სამუდამოდ შეჩერება და მათი წყაროს აღმოჩენა. ეს კეთდება ყველაზე მარტივად ამ ფენაზე.

OSI ფენა 6:აღმასრულებელი

რა უნდა გააკეთოთ: ზიანის შესამცირებლად, განიხილეთ ზომები, როგორიცაა SSL დაშიფვრის ინფრასტრუქტურის განაწილება (მაგ., SSL ჰოსტინგი დიდ სერვერზე, თუ ეს შესაძლებელია) და აპლიკაციის ტრაფიკის შემოწმება აპლიკაციის პლატფორმაზე თავდასხმების ან პოლიტიკის დარღვევისთვის. კარგი პლატფორმა უზრუნველყოფს ტრაფიკის დაშიფვრას და დაბრუნებას საწყის ინფრასტრუქტურაში გაშიფრული შინაარსით, რომელიც დაცულია უსაფრთხო ბასტიონის კვანძის უსაფრთხო მეხსიერებაში.

OSI ფენა 5:სესია

რა უნდა გავაკეთოთ: firmware-ის მხარდაჭერა აპარატურაგანახლებული საფრთხის რისკის შესამცირებლად.

OSI ფენა 4:ტრანსპორტი

რა უნდა გავაკეთოთ: DDoS ტრაფიკის გაფილტვრა, რომელიც ცნობილია როგორც blackholing, არის მეთოდი, რომელსაც ხშირად იყენებენ პროვაიდერები მომხმარებლების დასაცავად (ჩვენ თვითონ ვიყენებთ ამ მეთოდს). თუმცა, ეს მიდგომა კლიენტის საიტს მიუწვდომელს ხდის როგორც მავნე ტრაფიკისთვის, ასევე ლეგიტიმური მომხმარებლის ტრაფიკისთვის. თუმცა, წვდომის ბლოკირებას იყენებენ პროვაიდერები DDoS შეტევების წინააღმდეგ საბრძოლველად, რათა დაიცვან მომხმარებლები ისეთი საფრთხეებისგან, როგორიცაა ქსელის აღჭურვილობის შენელება და სერვისის წარუმატებლობა.

OSI ფენა 3:ქსელი

რა უნდა გავაკეთოთ: შეზღუდეთ დამუშავებული მოთხოვნების რაოდენობა ICMP პროტოკოლით და შეამცირეთ ამ ტრაფიკის შესაძლო გავლენა Firewall-ის სიჩქარეზე და ინტერნეტის გამტარუნარიანობაზე.

OSI ფენა 2:სადინარი

რა უნდა გავაკეთოთ: ბევრი თანამედროვე გადამრთველი შეიძლება იყოს კონფიგურირებული ისე, რომ MAC მისამართების რაოდენობა შემოიფარგლება სანდო მისამართებით, რომლებიც გაივლიან ავთენტიფიკაციას, ავტორიზაციას და აღრიცხვის შემოწმებას სერვერზე (AAA პროტოკოლი) და შემდგომში იფილტრება.

OSI ფენა 1:ფიზიკური

რა უნდა გავაკეთოთ: გამოიყენეთ სისტემატური მიდგომა ფიზიკური ქსელის აღჭურვილობის მუშაობის მონიტორინგისთვის.

ფართომასშტაბიანი DoS/DDoS შეტევების შერბილება

მიუხედავად იმისა, რომ შეტევა შესაძლებელია ნებისმიერ დონეზე, განსაკუთრებით პოპულარულია შეტევები OSI მოდელის 3-4 და 7 ფენებზე.

• DDoS შეტევები მე-3 და მე-4 დონეზე - ინფრასტრუქტურის შეტევები - შეტევების ტიპები, რომლებიც დაფუძნებულია დიდი მოცულობის, მონაცემთა მძლავრი ნაკადის (დატბორვის) გამოყენებაზე ქსელის ინფრასტრუქტურის დონეზე და ტრანსპორტის დონეზე, რათა შეანელონ ვებ სერვერი და "შევსება". არხს და საბოლოოდ აღკვეთს სხვა მომხმარებლებს რესურსზე წვდომაში. ამ ტიპის შეტევები, როგორც წესი, მოიცავს ICMP, SYN და UDP წყალდიდობას.
• DDoS შეტევა მე-7 დონეზე არის შეტევა, რომელიც მოიცავს აპლიკაციის სერვერის ინფრასტრუქტურის ზოგიერთი კონკრეტული ელემენტის გადატვირთვას. მე-7 ფენის შეტევები განსაკუთრებით დახვეწილია, ფარული და ძნელი გამოსავლენია სასარგებლო ვებ ტრაფიკთან მათი მსგავსების გამო. მე-7 ფენის უმარტივეს შეტევებსაც კი, როგორიცაა თვითნებური მომხმარებლის სახელითა და პაროლით შესვლის მცდელობა ან თვითნებური ძიების გამეორება დინამიურ ვებგვერდებზე, შეუძლია კრიტიკულად დატვირთოს CPU და მონაცემთა ბაზები. DDoS თავდამსხმელებს ასევე შეუძლიათ არაერთხელ შეცვალონ მე-7 ფენის შეტევების ხელმოწერები, რაც კიდევ უფრო ართულებს მათ ამოცნობას და აღმოფხვრას.

ზოგიერთი ქმედება და აღჭურვილობა თავდასხმების შესამცირებლად:

• Firewalls დინამიური პაკეტის შემოწმებით
• დინამიური SYN პროქსი მექანიზმები
• SYN-ების რაოდენობის შეზღუდვა წამში თითოეული IP მისამართისთვის
• შეზღუდეთ SYN-ების რაოდენობა წამში თითოეული დისტანციური IP მისამართისთვის
• ICMP flood screen-ების დაყენება ფაირვოლზე
• UDP წყალდიდობის ეკრანების დაყენება ფეიერვოლზე
• მარშრუტიზატორების სიჩქარის შეზღუდვა ფაირვოლებისა და ქსელების მიმდებარედ

11.11.2012

წყალდიდობის ქვეშეს ნიშნავს მონაცემთა უზარმაზარ ნაკადს შეტყობინებების სახით, რომლებიც იგზავნება სხვადასხვა ფორუმებსა და ჩეთებზე გამოსაქვეყნებლად. ტექნიკური თვალსაზრისით თუ შეხედავ, წყალდიდობა- ეს არის ერთ-ერთი ყველაზე გავრცელებული კომპიუტერის თავდასხმის სახეები, და მისი მიზანია გაგზავნოს ისეთი რაოდენობის მოთხოვნა, რომელიც სერვერის აპარატურა იძულებული იქნება შეასრულოს მომსახურებაზე უარის თქმამომხმარებლის მომსახურება. თუ თავდასხმა კომპიუტერული ტექნოლოგია ხორციელდება დიდი რაოდენობით კომპიუტერებიდან, მაშინ საქმე გაქვთ .

არსებობს DDoS წყალდიდობის შეტევების რამდენიმე ტიპი, რომელთაგან ძირითადი ჩამოთვლილია ქვემოთ:

• SYN-ACK წყალდიდობა
• HTTP წყალდიდობა
• ICMP წყალდიდობა
• UDP წყალდიდობა

SYN-ACK წყალდიდობა

SYN-ACK წყალდიდობა- ერთ-ერთი სახეობა ქსელის შეტევები, რომელიც დაფუძნებულია დროის ერთეულზე SYN მოთხოვნის დიდი რაოდენობის გაგზავნაზე. შედეგი იქნება სერვისის გამორთვა, რომლის ფუნქციონირება დაფუძნებული იყო TCP პროტოკოლზე. პირველ რიგში, კლიენტი უგზავნის პაკეტს სერვერზე, რომელიც შეიცავს SYN დროშას, რომლის არსებობა მიუთითებს კლიენტის სურვილზე დაამყაროს კავშირი. სერვერი, თავის მხრივ, აგზავნის საპასუხო პაკეტს. გარდა SYN დროშისა, ის ასევე შეიცავს ACK დროშას, რომელიც კლიენტის ყურადღებას ამახვილებს იმაზე, რომ მოთხოვნა მიღებულია და კლიენტისგან არის მოსალოდნელი კავშირის დადასტურება. ის პასუხობს პაკეტით ACK დროშით, რომელიც მიუთითებს წარმატებულ კავშირზე. სერვერი ინახავს კლიენტების ყველა "კავშირის" მოთხოვნას გარკვეული ზომის რიგში. მოთხოვნები ინახება რიგში მანამ, სანამ ACK დროშა არ დაბრუნდება კლიენტისგან. SYN შეტევა ემყარება სერვერზე პაკეტების გაგზავნას არარსებული წყაროდან, პაკეტების რაოდენობა აღემატება რიგის ზომას. სერვერი უბრალოდ ვერ შეძლებს უპასუხოს პაკეტს ფიქტიურ მისამართზე. რიგი არ შემცირდება და სერვისი ფუნქციონირებას შეწყვეტს.

HTTP წყალდიდობა

HTTP წყალდიდობა- მოქმედებს, როდესაც სერვისი მუშაობს მონაცემთა ბაზა. შეტევა მიმართულია ან ვებ სერვერიან მონაცემთა ბაზასთან მომუშავე სკრიპტზე. GET მოთხოვნების დიდი რაოდენობა იგზავნება პორტში 80, რათა ვებ სერვერმა სათანადო ყურადღება ვერ მიაქციოს სხვა ტიპის მოთხოვნებს. ჟურნალის ფაილები იზრდება ზომაში და მონაცემთა ბაზასთან მუშაობა შეუძლებელი ხდება.

ICMP წყალდიდობა

ICMP წყალდიდობა- მარტივი გზა გამტარუნარიანობის შემცირებადა მზარდი დატვირთვებიდასტაზე მსგავსი ICMP PING მოთხოვნების გაგზავნის საშუალებების გამოყენებით. სახიფათოა, თუ მცირე ყურადღება ეთმობა firewalls-ს, რადგან სერვერი, რომელიც პასუხობს გაუთავებელ ECHO მოთხოვნებს, განწირულია. ასე რომ, იმავე რაოდენობის შეყვანის შემთხვევაში და გამავალი ტრაფიკიუბრალოდ დაწერე წესები iptables.

UDP წყალდიდობა

UDP წყალდიდობა- სხვა გზა გამტარუნარიანობის არეულობა, ეფუძნება პროტოკოლს, რომელიც არ საჭიროებს სინქრონიზაციას მონაცემების გაგზავნამდე. შეტევა ხდება მხოლოდ სერვერის UDP პორტში პაკეტის გაგზავნით. პაკეტის მიღების შემდეგ სერვერი იწყებს მის ინტენსიურ დამუშავებას. შემდეგ კლიენტი ერთმანეთის მიყოლებით აგზავნის Udp პაკეტებს არასწორი შინაარსით. შედეგად, პორტები შეწყვეტენ ფუნქციონირებას და სისტემა დაიშლება.

ძირითადად, რათა დადგინდეს DDoS შეტევის ტიპიხშირად არ არის საჭირო დიდი დროის დახარჯვა. საკმარისია იცოდეთ რამდენიმე ნიშანი. თუ მნიშვნელოვნად ჟურნალის ფაილების ზომა გაიზარდა- საქმე გაქვს HTTP წყალდიდობა. თუ სერვისზე წვდომა შეზღუდულიადასაშვები კავშირების რაოდენობის გადაჭარბების შედეგად - ეს არის SYN-ACK წყალდიდობა. იმ შემთხვევაში გამავალი და შემომავალი ტრაფიკი დაახლოებით თანაბარია- საქმე გაქვს ICMP წყალდიდობა. მთავარია არ დაივიწყოთ შენარჩუნება თქვენი სერვერის უსაფრთხოება DDoS-დან და სათანადო ყურადღება მიაქციეთ მას. ყველაზე კარგი ზრუნვაა

თქვენი დილა იწყება შეცდომების შესახებ ანგარიშების წაკითხვით და ჟურნალების ანალიზით. შენ ყოველდღიურად
განაახლეთ პროგრამული უზრუნველყოფა და განაახლეთ firewall-ის წესები საათობრივად. Snort არის თქვენი საუკეთესო
მეგობარი და ზაბიქსი უხილავი ასისტენტია. თქვენ ააშენეთ ნამდვილი ბასტიონი, რომლისკენაც
ვერცერთი მხრიდან ვერ მიაღწევს. მაგრამ! თქვენ სრულიად დაუცველი ხართ საკუთარი თავის წინააღმდეგ
ყველაზე მზაკვრული და მზაკვრული თავდასხმა მსოფლიოში არის DDoS.

ძნელი სათქმელია, როდის გამოჩნდა პირველად ტერმინი DoS თავდასხმა. ექსპერტები ამბობენ
დაახლოებით 1996 წელს, იმავდროულად მიანიშნებდა, რომ ამ ტიპის თავდასხმა ფართო საზოგადოებას მხოლოდ
1999 წელს, როდესაც ერთმანეთის მიყოლებით მოხვდა Amazon-ის, Yahoo-ს, CNN-ისა და eBay-ის ვებგვერდები.
კიდევ უფრო ადრე, DoS ეფექტი გამოიყენებოდა სისტემების სტაბილურობის შესამოწმებლად და
საკომუნიკაციო არხები. მაგრამ თუ უფრო ღრმად იჭრები და გამოიყენებ ტერმინს DoS
ფენომენის აღნიშვნით, ცხადი ხდება, რომ ის ყოველთვის არსებობდა, დროიდან მოყოლებული
პირველი მეინფრეიმი. უბრალოდ იფიქრეთ ამაზე, როგორც დაშინების საშუალებას
გაცილებით გვიან დაიწყო.

მარტივი სიტყვებით რომ ვთქვათ, DoS შეტევები არის რაიმე სახის მავნე
აქტივობები, რომლებიც მიზნად ისახავს კომპიუტერული სისტემის მიყვანას
მიუთითეთ, სადაც ის ვერ შეძლებს ლეგიტიმური მომხმარებლების მომსახურებას ან
სწორად შეასრულოს მისთვის დაკისრებული ფუნქციები. მდგომარეობამდე „უარის ქ
შენარჩუნება" ჩვეულებრივ გამოწვეულია პროგრამული უზრუნველყოფის შეცდომებით ან ქსელის გადაჭარბებული დატვირთვით
არხი ან სისტემა მთლიანად. შედეგად, პროგრამული უზრუნველყოფა, ან მთელი ოპერაციული სისტემა
მანქანა, "ვარდება" ან აღმოჩნდება "მარყუჟულ" მდგომარეობაში. და ეს ემუქრება
გაჩერება, ვიზიტორების/მომხმარებლების დაკარგვა და დანაკარგები.

DoS შეტევების ანატომია

DoS შეტევები იყოფა ადგილობრივ და დისტანციურად. ადგილობრივები მოიცავს
სხვადასხვა ექსპლოიტები, ჩანგალი ბომბები და პროგრამები, რომლებიც ხსნიან მილიონ ფაილს ან
რაღაც ციკლური ალგორითმის გაშვება, რომელიც ჭამს მეხსიერებას და პროცესორს
რესურსები. ამ ყველაფერზე არ შევჩერდებით. მაგრამ დისტანციური DoS შეტევები
მოდით უფრო ახლოს მივხედოთ. ისინი იყოფა ორ ტიპად:

1. პროგრამული უზრუნველყოფის შეცდომების დისტანციური ექსპლუატაცია, რათა ის არაოპერაციული გახდეს
   სახელმწიფო.
2. წყალდიდობა - უაზრო უზარმაზარი რაოდენობის გაგზავნა (ნაკლებად ხშირად
   – მნიშვნელოვანი) პაკეტები. წყალდიდობის მიზანი შეიძლება იყოს საკომუნიკაციო არხი ან რესურსი
   მანქანები. პირველ შემთხვევაში, პაკეტის ნაკადი იკავებს მთელ გამტარობის არხს და არა
   აძლევს თავდასხმულ მანქანას ლეგიტიმური მოთხოვნების დამუშავების შესაძლებლობას. მეორეში
   - მანქანების რესურსების აღება ხდება განმეორებითი და ძალიან ხშირი გზით
   წვდომა ნებისმიერ სერვისზე, რომელიც ასრულებს კომპლექსურ, რესურსზე ინტენსიურად
   ოპერაცია. ეს შეიძლება იყოს, მაგალითად, ხანგრძლივი ზარი ერთ-ერთზე
   ვებ სერვერის აქტიური კომპონენტები (სკრიპტები). სერვერი ხარჯავს აპარატის ყველა რესურსს
   თავდამსხმელის მოთხოვნების დამუშავება და მომხმარებლები უნდა დაელოდონ.

ტრადიციულ ვერსიაში (ერთი თავდამსხმელი - ერთი მსხვერპლი) ახლა რჩება
მხოლოდ პირველი ტიპის შეტევა ეფექტურია. კლასიკური წყალდიდობა უსარგებლოა. მხოლოდ იმიტომ
რომ დღევანდელი სერვერის არხის სიგანე, გამოთვლითი სიმძლავრის დონე და
სხვადასხვა ანტი-DoS ტექნიკის ფართო გამოყენება პროგრამულ უზრუნველყოფაში (მაგალითად, დაგვიანებით
როდესაც ერთი და იგივე მოქმედებები განმეორებით ხორციელდება ერთი და იმავე კლიენტის მიერ), თავდამსხმელი
იქცევა შემაწუხებელ კოღოში, რომელსაც არ შეუძლია რაიმეს მიყენება
დაზიანება. მაგრამ თუ არსებობს ასობით, ათასობით ან თუნდაც ასობით ათასი ასეთი კოღო, ისინი
სერვერს ადვილად დააყენებს მხარზე. ბრბო საშინელი ძალაა არა მხოლოდ ცხოვრებაში, არამედ ცხოვრებაშიც
კომპიუტერული სამყარო. განაწილებული Denial of Service (DDoS) შეტევა
ჩვეულებრივ ხორციელდება მრავალი ზომბიფიცირებული მასპინძლის გამოყენებით, შეუძლია
მოწყვეტილი გარე სამყაროთუნდაც ყველაზე მდგრადი სერვერი და ერთადერთი ეფექტური
დაცვა - ორგანიზაცია განაწილებული სისტემასერვერები (მაგრამ ეს შორს არის ხელმისაწვდომი
ყველას არა, გამარჯობა Google).

ბრძოლის მეთოდები

DDoS შეტევების უმეტესობის საშიშროება მდგომარეობს მათ აბსოლუტურ გამჭვირვალობაში და
"ნორმალობა". ყოველივე ამის შემდეგ, თუ პროგრამულ უზრუნველყოფაში შეცდომის გამოსწორება ყოველთვის შესაძლებელია, მაშინ დაასრულეთ
რესურსების განადგურება თითქმის ჩვეულებრივი მოვლენაა. ბევრი ადამიანი ხვდება მათ
ადმინისტრატორები, როდესაც მანქანის რესურსები (არხის სიგანე) არასაკმარისი ხდება,
ან ვებსაიტი ექვემდებარება slashdot ეფექტს (twitter.com მას შემდეგ მიუწვდომელი გახდა
მაიკლ ჯექსონის გარდაცვალების პირველი ცნობიდან რამდენიმე წუთში). და თუ გაჭრი
ტრაფიკი და რესურსები ყველასთვის, თქვენ დაზოგავთ DDoS-ისგან, მაგრამ დაკარგავთ სიკეთეს
კლიენტების ნახევარი.

ამ სიტუაციიდან გამოსავალი პრაქტიკულად არ არსებობს, მაგრამ DDoS შეტევების შედეგები და მათი
ეფექტურობა შეიძლება მნიშვნელოვნად შემცირდეს სათანადო დარეგულირებით
როუტერი, firewall და უწყვეტი ანომალიის ანალიზი ქსელის ტრაფიკი. IN
სტატიის შემდეგ ნაწილში განვიხილავთ თანმიმდევრობით:

• საწყისი DDoS შეტევის ამოცნობის მეთოდები;
• სპეციფიკური ტიპის DDoS შეტევების წინააღმდეგ ბრძოლის მეთოდები;
• უნივერსალური რჩევები, რომლებიც დაგეხმარებათ მოემზადოთ DoS შეტევისთვის და
  შეამციროს მისი ეფექტურობა.

დასასრულს გაეცემა პასუხი კითხვაზე: რა უნდა გააკეთოს, როცა
DDoS შეტევა.

წყალდიდობის შეტევებთან ბრძოლა

ასე რომ, არსებობს ორი ტიპის DoS/DDoS შეტევები და ყველაზე გავრცელებული არის
ემყარება წყალდიდობის იდეას, ანუ მსხვერპლის გადატვირთვას დიდი რაოდენობით პაკეტებით.
არსებობს სხვადასხვა წყალდიდობა: ICMP flood, SYN flood, UDP flood და HTTP flood. თანამედროვე
DoS ბოტებს შეუძლიათ გამოიყენონ ყველა ამ ტიპის შეტევა ერთდროულად, ასე რომ თქვენ უნდა
წინასწარ იზრუნეთ თითოეული მათგანისგან ადეკვატურ დაცვაზე.

1. ICMP წყალდიდობა.

გამტარუნარიანობის დაბლოკვისა და დატვირთვების შექმნის ძალიან პრიმიტიული მეთოდი
ქსელის დასტა ICMP ECHO მოთხოვნის ერთფეროვანი გაგზავნით (პინგ). ადვილად
აღმოჩენილია მოძრაობის ნაკადების ანალიზით ორივე მიმართულებით: თავდასხმის დროს
როგორც ICMP წყალდიდობა, ისინი თითქმის იდენტურია. თითქმის უმტკივნეულო გზა
დაცვა ეფუძნება ICMP ECHO მოთხოვნებზე პასუხების გამორთვას:

# sysctl net.ipv4.icmp_echo_ignore_all=1

ან Firewall-ის გამოყენებით:

# iptables -A INPUT -p icmp -j DROP --icmp-ტიპი 8

2. SYN წყალდიდობა.

ერთ-ერთი გავრცელებული გზა არა მხოლოდ საკომუნიკაციო არხის ჩაკეტვის, არამედ დანერგვისთვის
ქსელის დასტა ოპერაციული სისტემასახელმწიფოში, სადაც მას აღარ შეუძლია
მიიღეთ ახალი კავშირის მოთხოვნები. ინიციალიზაციის მცდელობის საფუძველზე
დიდი რაოდენობით ერთდროული TCP კავშირები SYN პაკეტის გაგზავნით
არარსებული დაბრუნების მისამართი. პასუხის გაგზავნის რამდენიმე მცდელობის შემდეგ
ACK პაკეტი მიუწვდომელ მისამართზე, ოპერაციული სისტემების უმეტესობა დააინსტალირებს დაუზუსტებელს
რიგთან დაკავშირება. და მხოლოდ n-ე მცდელობის შემდეგ კავშირი იხურება. იმიტომ რომ
ACK პაკეტების ნაკადი ძალიან დიდია, მალე რიგი ივსება და ბირთვი
უარს ამბობს ახალი კავშირის გახსნის მცდელობებზე. ყველაზე ჭკვიანი DoS ბოტები ასევე არიან
გააანალიზეთ სისტემა შეტევის დაწყებამდე, რათა გაგზავნოთ მოთხოვნები მხოლოდ გასახსნელად
სასიცოცხლო პორტები. ასეთი თავდასხმის იდენტიფიცირება ადვილია: უბრალოდ
სცადეთ ერთ-ერთ სერვისთან დაკავშირება. თავდაცვითი ზომები ჩვეულებრივ
მოიცავს:

"ნახევრად ღია" TCP კავშირების რიგის გაზრდა:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

"ნახევრად ღია" კავშირების შენახვის დროის შემცირება:

# sysctl -w net.ipv4.tcp_synack_retries=1

TCP syncookies მექანიზმის ჩართვა:

# sysctl -w net.ipv4.tcp_syncookies=1

"ნახევრად ღია" კავშირების მაქსიმალური რაოდენობის შეზღუდვა ერთი IP-დან
კონკრეტული პორტი:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-ზემოთ
10 -j DROP

3. UDP წყალდიდობა.

გამტარუნარიანობის დაჭაობების ტიპიური მეთოდი. უსასრულო წინაპირობაზე დაფუძნებული
UDP პაკეტები სხვადასხვა UDP სერვისების პორტებში. ადვილად მოიხსნება ჭრით
ასეთი სერვისები გარე სამყაროდან და კავშირების რაოდენობის შეზღუდვის დაწესება
დროის ერთეული DNS სერვერზე კარიბჭის მხარეს:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-1-ზე ზემოთ

4. HTTP წყალდიდობა.

წყალდიდობის ერთ-ერთი ყველაზე გავრცელებული მეთოდი დღეს. საფუძველზე
დაუსრულებლად გაგზავნა HTTP GET შეტყობინებები 80-ე პორტში ჩამოტვირთვის მიზნით
ვებ სერვერი ისე, რომ მას არ შეუძლია ყველაფრის დამუშავება
სხვა მოთხოვნები. ხშირად წყალდიდობის სამიზნე არის არა ვებ სერვერის ფესვი, არამედ ერთ-ერთი
სკრიპტები, რომლებიც ასრულებენ რესურსზე ინტენსიურ დავალებებს ან მუშაობენ მონაცემთა ბაზასთან. ნებისმიერში
ამ შემთხვევაში, მორების არანორმალურად სწრაფი ზრდა შეტევის დაწყების მაჩვენებელი იქნება.
ვებ სერვერი.

HTTP წყალდიდობის წინააღმდეგ ბრძოლის მეთოდები მოიცავს ვებ სერვერისა და მონაცემთა ბაზის რეგულირებას
შეტევის ეფექტის შესამცირებლად, ასევე DoS ბოტების სკრინინგის მიზნით
სხვადასხვა ტექნიკა. პირველ რიგში, თქვენ უნდა გაზარდოთ კავშირების მაქსიმალური რაოდენობა
მონაცემთა ბაზა ამავე დროს. მეორეც, მის წინ Apache ვებ სერვერის დაყენება მარტივია
და პროდუქტიული nginx - ის ქეშირებს მოთხოვნებს და მოემსახურება სტატიკურ მონაცემებს. ეს
გამოსავალი „უნდა ჰქონდეს“ სიიდან, რომელიც არა მხოლოდ შეამცირებს DoS შეტევების ეფექტს, არამედ
საშუალებას მისცემს სერვერს გაუძლოს უზარმაზარ დატვირთვას. პატარა მაგალითი:

# vi /etc/nginx/nginx.conf
# გაზარდეთ გამოყენებული ფაილების მაქსიმალური რაოდენობა
worker_rlimit_nofile 80000;
მოვლენები (
# გაზარდეთ კავშირების მაქსიმალური რაოდენობა
მუშა_კავშირები 65536;
# გამოიყენეთ ეფექტური epoll მეთოდი კავშირების დასამუშავებლად
გამოიყენეთ epoll;
}
http(
gzip გამორთვა;
# გამორთეთ ვადის ამოწურვა შენარჩუნების კავშირების დახურვისთვის
keepalive_timeout 0;
# ნუ მისცემთ nginx ვერსიას პასუხის სათაურში
სერვერის_ტოკენები გამორთულია;
# გადატვირთეთ კავშირი დროის ამოწურვის გამო
reset_timedout_connection ჩართულია;
}
# სტანდარტული პარამეტრებიმარიონეტად მუშაობა
სერვერი (
მოსმენა 111.111.111.111 default deferred;
server_name host.com www.host.com;
log_format IP $remote_addr;
ადგილმდებარეობა/(
proxy_pass http://127.0.0.1/;
}
მდებარეობა ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
root /home/www/host.com/httpdocs;
}
}

საჭიროების შემთხვევაში, შეგიძლიათ გამოიყენოთ nginx მოდული
ngx_http_limit_req_module, რომელიც ზღუდავს ერთდროული კავშირების რაოდენობას
ერთი მისამართი (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
რესურსზე ინტენსიური სკრიპტები შეიძლება დაიცვათ ბოტებისგან შეფერხებების, „დაწკაპუნების“ ღილაკების გამოყენებით
მე", ქუქიების დაყენება და სხვა ტექნიკის შემოწმება, რომელიც მიმართულია შემოწმებაზე
"კაცობრიობა".

რათა თავიდან აიცილოთ გამოუვალ სიტუაციაში DDoS ქარიშხლის დროს
სისტემები, აუცილებელია მათი გულდასმით მომზადება ასეთი სიტუაციისთვის:

1. გარე ქსელზე პირდაპირი წვდომის მქონე ყველა სერვერი უნდა იყოს
   მომზადებული მარტივი და სწრაფი დისტანციური გადატვირთვისთვის (sshd გადაარჩენს მამაჩემს
   რუსული დემოკრატია). მეორეს ქონა დიდი პლიუსი იქნება,
   ადმინისტრაციული, ქსელური ინტერფეისი, რომლის საშუალებითაც შეგიძლიათ წვდომა
   სერვერზე, თუ მთავარი არხი ჩაკეტილია.
2. სერვერზე გამოყენებული პროგრამული უზრუნველყოფა ყოველთვის უნდა იყოს განახლებული
   მდგომარეობა. ყველა ხვრელი გასწორებულია, განახლებები დაინსტალირებულია (ისევე მარტივი
   ჩექმა, რჩევა, რომელსაც ბევრი არ ასრულებს). ეს დაგიცავთ DoS შეტევებისგან,
   შეცდომების გამოყენება სერვისებში.
3. ყველა მოსასმენი ქსელის სერვისი განკუთვნილია ადმინისტრაციისთვის
   გამოყენება უნდა იყოს დამალული firewall-ის მიღმა ყველასგან, ვინც არ უნდა
   ჰქონდეს მათზე წვდომა. მაშინ თავდამსხმელი ვერ გამოიყენებს მათ განსახორციელებლად
   DoS შეტევები ან უხეში ძალა.
4. სერვერის მიდგომებზე (უახლოესი როუტერი) უნდა იყოს დაინსტალირებული
   ტრაფიკის ანალიზის სისტემა (NetFlow to help), რომელიც საშუალებას მოგცემთ დროულად
   შეიტყვეთ შემომავალი თავდასხმის შესახებ და მიიღეთ დროული ზომები მის თავიდან ასაცილებლად.

დაამატეთ შემდეგი ხაზები /etc/sysctl.conf:

# vi /etc/sysctl.conf
# გაფუჭების საწინააღმდეგო დაცვა
net.ipv4.conf.default.rp_filter = 1
# შეამოწმეთ TCP კავშირი ყოველ წუთს. თუ მეორე მხარეს – ლეგალური
მანქანა, ის დაუყოვნებლივ უპასუხებს. ნაგულისხმევი მნიშვნელობა არის 2 საათი.
net.ipv4.tcp_keepalive_time = 60
# სცადეთ ხელახლა ათი წამის შემდეგ
net.ipv4.tcp_keepalive_intvl = 10
# შემოწმებების რაოდენობა კავშირის დახურვამდე
net.ipv4.tcp_keepalive_probes = 5

უნდა აღინიშნოს, რომ წინა და ამ განყოფილებებში მოცემული ყველა ტექნიკა
მიზნად ისახავს DDoS შეტევების ეფექტურობის შემცირებას
გამოიყენე აპარატის რესურსები. დაიცავით თავი წყალდიდობისგან, რომელიც ბლოკავს არხს ნაგვით
პრაქტიკულად შეუძლებელია და ერთადერთი სწორი, მაგრამ არა ყოველთვის შესაძლებელი
ბრძოლის გზა არის „შეტევას მნიშვნელობის წართმევა“. თუ თქვენ გაქვთ
თქვენს განკარგულებაშია ნამდვილად ფართო არხი, რომელიც ადვილად გაივლის ტრაფიკს
პატარა ბოტნეტი, ჩათვალეთ, რომ თქვენი სერვერი დაცულია შეტევების 90%-ისგან. უფრო მეტია
დახვეწილი დაცვის მეთოდი. იგი დაფუძნებულია განაწილებულ ორგანიზაციაზე
კომპიუტერული ქსელი, რომელიც მოიცავს ბევრ ზედმეტ სერვერს, რომელიც
დაკავშირებულია სხვადასხვა მთავარ არხებთან. როდესაც გამოთვლითი სიმძლავრე ან
არხის სიმძლავრე ამოიწურება, ყველა ახალი კლიენტი გადამისამართებულია
სხვა სერვერზე (ან თანდათან „გავრცელდება“ სერვერებზე პრინციპის მიხედვით
მრგვალი რობინი). ეს არის წარმოუდგენლად ძვირი, მაგრამ ძალიან სტაბილური სტრუქტურა, შეავსეთ
რაც თითქმის შეუძლებელია.

სხვა მეტ-ნაკლებად ეფექტური გადაწყვეტაშედგება ძვირადღირებული შეძენისგან
ტექნიკის სისტემები Cisco Traffic Anomaly Detector და Cisco Guard. მუშაობაში
თაიგულს, მათ შეუძლიათ დათრგუნონ შემომავალი თავდასხმა, მაგრამ როგორც სხვათა უმეტესობა
სწავლისა და მდგომარეობის ანალიზზე დაფუძნებული გადაწყვეტილებები ვერ ხერხდება. ამიტომ უნდა
კარგად დაფიქრდით, სანამ ათიათასს გამოსძალავთ თქვენი უფროსებისგან
დოლარი ასეთი დაცვისთვის.

ეტყობა დაიწყო. რა უნდა გააკეთოს?

თავდასხმის დაუყოვნებლივ დაწყებამდე ბოტები თანდათან „თბებიან“.
გაზრდის პაკეტების ნაკადს თავდასხმულ მანქანაში. მნიშვნელოვანია გამოიყენო მომენტი და დაიწყო
აქტიური ქმედებები. ამაში დაგეხმარებათ როუტერის მუდმივი მონიტორინგი,
დაკავშირებული გარე ქსელთან (NetFlow გრაფიკების ანალიზი). მსხვერპლი სერვერზე
თქვენ შეგიძლიათ განსაზღვროთ შეტევის დასაწყისი იმპროვიზირებული საშუალებების გამოყენებით.

SYN წყალდიდობის არსებობა ადვილად დგინდება - "ნახევრად გახსნილი" რაოდენობის დათვლით.
TCP კავშირები:

# netstat -na | grep ":80\" | grep SYN_RCVD

ნორმალურ სიტუაციაში საერთოდ არ უნდა იყოს (ან ძალიან მცირე რაოდენობით:
მაქსიმუმ 1-3). თუ ეს ასე არ არის, თქვენ ხართ თავდასხმის ქვეშ, დაუყოვნებლივ გააგრძელეთ დაშვება
თავდამსხმელები.

HTTP დატბორვა ცოტა უფრო რთულია. ჯერ უნდა დათვალოთ რიცხვი
Apache პროცესები და 80-ე პორტზე კავშირების რაოდენობა (HTTP flood):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\" | wc -l

სტატისტიკურ საშუალოზე რამდენჯერმე მაღალი ღირებულებები საფუძველს იძლევა
დაფიქრდი. შემდეგ თქვენ უნდა ნახოთ IP მისამართების სია, საიდანაც მოდის მოთხოვნები
კავშირისთვის:

# netstat -na | grep ":80\" | დალაგება | uniq -c | დალაგება -nr | ნაკლები

შეუძლებელია ცალსახად იდენტიფიცირება DoS შეტევა, თქვენ შეგიძლიათ მხოლოდ დაადასტუროთ თქვენი
გამოცნობს ერთის არსებობის შესახებ, თუ ერთი მისამართი ძალიან ბევრს მეორდება სიაში
ჯერ (და მაშინაც კი, ეს შეიძლება მიუთითებდეს ვიზიტორებზე NAT-ის უკან).
დამატებითი დადასტურება იქნება პაკეტის ანალიზი tcpdump-ის გამოყენებით:

# tcpdump -n -i eth0 -s 0 -w output.txt dst პორტი 80 და მასპინძელი IP სერვერი

ინდიკატორი არის ერთფეროვანი დიდი ნაკადი (და არ შეიცავს სასარგებლო)
ინფორმაცია) პაკეტები სხვადასხვა IP-დან, რომლებიც მიმართულია იმავე პორტზე/სერვისზე (მაგალითად,
ვებ სერვერის ფესვი ან კონკრეტული cgi სკრიპტი).

საბოლოოდ გადავწყვიტეთ, ჩვენ ვიწყებთ არასასურველი ადამიანების IP მისამართების მიცემას (იქნება
ბევრად უფრო ეფექტურია, თუ ამას აკეთებთ როუტერზე):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j
ვარდნა

ან პირდაპირ ქვექსელის საშუალებით:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j
ვარდნა

ეს მოგცემთ თავდაპირველ დაწყებას (ძალიან მცირე; ხშირად წყაროს IP მისამართი
გაყალბებული), რომელიც უნდა გამოიყენოთ, რომ მიმართოთ
პროვაიდერი/ჰოსტერი (ვებ სერვერის ჟურნალებით, ბირთვით,
firewall და თქვენს მიერ იდენტიფიცირებული IP მისამართების სია). მათი უმეტესობა, რა თქმა უნდა,
უგულებელყოფს ამ შეტყობინებას (და მასპინძელი კომპანიები, რომლებიც იხდიან ტრაფიკს, ასევე კმაყოფილი იქნებიან -
DoS შეტევა მათ მოგებას მოუტანს) ან ისინი უბრალოდ გათიშავენ თქვენს სერვერს. მაგრამ ყოველ შემთხვევაში
ამ შემთხვევაში, ეს უნდა გაკეთდეს - ეფექტური DDoS დაცვა შესაძლებელია
მხოლოდ მთავარ არხებზე. მარტო თქვენ შეგიძლიათ გაუმკლავდეთ მცირე შეტევებს
მიზნად ისახავს სერვერის რესურსების ამოწურვას, მაგრამ თქვენ აღმოჩნდებით დაუცველი
მეტ-ნაკლებად სერიოზული DDoS.

ბრძოლა DDoS-ში FreeBSD-ში

ჩვენ ვამცირებთ პასუხის პაკეტის მოლოდინის დროს SYN-ACK მოთხოვნამდე (დაცვა
SYN წყალდიდობა):

# sysctl net.inet.tcp.msl=7500

სერვერის შავ ხვრელად გადაქცევა. ამ გზით ბირთვი არ გაგზავნის პასუხების პაკეტებს, როდესაც
ცდილობს შეუერთდეს დაუკავებელ პორტებს (ამცირებს მანქანაზე დატვირთვას დროს
DDoS შემთხვევით პორტებზე):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

ჩვენ ვზღუდავთ პასუხების რაოდენობას ICMP შეტყობინებებზე 50 წამში (დაცვა
ICMP წყალდიდობა):

# sysctl net.inet.icmp.icmplim=50

ჩვენ ვზრდით სერვერთან კავშირების მაქსიმალურ რაოდენობას (დაცვა ყველასგან
DDoS ტიპები):

# sysctl kern.ipc.somaxconn=32768

ჩართეთ DEVICE_POLLING - დამოუკიდებელი გამოკითხვა ქსელის დრაივერიძირითადი on
მაღალი დატვირთვები (მნიშვნელოვნად ამცირებს სისტემაზე დატვირთვას DDoS-ის დროს):

1. ჩვენ ვაშენებთ ბირთვს ოფციით "ოფციები DEVICE_POLLING";
2. გააქტიურეთ გამოკითხვის მექანიზმი: "sysctl kern.polling.enable=1";
3. დაამატეთ ჩანაწერი "kern.polling.enable=1" /etc/sysctl.conf.

გულუბრყვილო ინტერნეტი

მათი აყვავების დროს, DoS შეტევები ნამდვილი კატასტროფა იყო სერვერებისთვის
და რეგულარული სამუშაო სადგურები. ვებსაიტის წაშლა ადვილად შეიძლებოდა გამოყენებით
ერთი ჰოსტი, რომელიც ახორციელებს სმურფის ტიპის შეტევას. სამუშაო სადგურები
დაინსტალირებული Windows OS დომინოსავით დაეცა ისეთი შეტევებისგან, როგორიცაა Ping of Death, Land,
ვინნუკი. დღეს ამ ყველაფრის შიში არ არის საჭირო.

ყველაზე დიდი ბოტნეტები

400 ათასი
კომპიუტერები.
- 315 ათასი
კომპიუტერები.
ბობაქსი - 185 ათასი კომპიუტერი.
Rustock - 150 ათასი კომპიუტერი.
შტორმი - 100 ათასი კომპიუტერი.
Psybot - 100 ათასი ADSL როუტერი Linux-ზე დაფუძნებული.
BBC botnet - 22 ათასი კომპიუტერი.
,
BBC-ის მიერ შექმნილი.

კვალი ისტორიაში

1997 - DDoS შეტევა Microsoft-ის ვებსაიტზე. ერთი დღე დუმილი.
1999 წელი - Yahoo-ს, CNN-ის, eBay-ის და სხვა ვებსაიტები "საზღვრებს გარეთ" იყო.
2002 წლის ოქტომბერი - შეტევა ინტერნეტის root DNS სერვერებზე. ცოტა ხნით იყვნენ
13 სერვერიდან 7 გათიშული იყო.
2003 წლის 21 თებერვალი - DDoS შეტევა LiveJournal.com-ზე. ორდღიანი მომსახურება
პარალიზებულ მდგომარეობაში იყო, მხოლოდ ხანდახან სიცოცხლის ნიშნებს აჩვენებდა.

ინტელექტუალური სისტემები

ინფორმაცია

Round-robin - განაწილებული გამოთვლითი დატვირთვის დაბალანსების ალგორითმი
სისტემა მისი ელემენტების წრიულ ციკლში ძიებით.