Үер бол DDoS халдлага хийх хамгийн энгийн бөгөөд түгээмэл арга юм. Flood бол DDoS халдлага хийх хамгийн энгийн бөгөөд түгээмэл арга юм

Кибер аюулгүй байдлын үндсэн ойлголтууд нь хүртээмж, бүрэн бүтэн байдал, нууцлал юм. Довтолгоо Үйлчилгээнээс татгалзах (DoS)мэдээллийн нөөцийн хүртээмжид нөлөөлөх. Үйлчилгээнээс татгалзсан нь мэдээллийн нөөцгүй болоход хүргэсэн тохиолдолд амжилттай гэж үзнэ. Довтолгооны амжилт ба зорилтот нөөцөд үзүүлэх нөлөөллийн хоорондох ялгаа нь нөлөөлөл нь хохирогчдод хохирол учруулдаг. Жишээлбэл, хэрэв онлайн дэлгүүр халдлагад өртсөн бол үйлчилгээ үзүүлэхээс удаан хугацаагаар татгалзах нь компанид санхүүгийн хохирол учруулж болзошгүй юм. Тодорхой тохиолдол бүрт DoS-ийн үйл ажиллагаа нь шууд хор хөнөөл учруулах эсвэл аюул заналхийлэл, алдагдлын болзошгүй эрсдэлийг бий болгодог.

Эхлээд ДВ DDoSгэсэн үг тараасан: Үйлчилгээг үгүйсгэх халдлага. Энэ тохиолдолд бид хохирогчийн серверт янз бүрийн газраас асар их хэмжээний хортой хүсэлт ирж байгаа тухай ярьж байна. Ихэвчлэн ийм халдлагуудыг ботнетээр дамжуулан зохион байгуулдаг.

Энэ нийтлэлд бид ямар төрлийн DDoS урсгал, ямар төрлийн DDoS халдлага байдгийг нарийвчлан авч үзэх болно. Довтолгооны төрөл бүрийн хувьд урьдчилан сэргийлэх, ажиллагааг сэргээх талаар товч зөвлөмж өгөх болно.

DDoS урсгалын төрлүүд

Траффикийн хамгийн энгийн төрөл бол HTTP хүсэлтүүд юм. Ийм хүсэлтийн тусламжтайгаар, жишээлбэл, ямар ч зочин таны сайттай хөтөчөөр дамжуулан харилцдаг. Хүсэлтийн үндэс нь HTTP толгой юм.

HTTP толгой. HTTP толгойнууд нь URL эсвэл маягт, JPEG гэх мэт ямар төрлийн эх сурвалжийг хүсч байгааг тайлбарлах талбарууд юм. HTTP толгойнууд нь вэб серверт ямар төрлийн хөтөч ашиглаж байгааг мэдээлдэг. Хамгийн түгээмэл HTTP толгойнууд нь ACCEPT, LANGUAGE болон USER AGENT юм.

Хүсэлт гаргагч нь хүссэн шинж чанаруудыг нь өгөхдөө аль болох олон толгойг ашиглаж болно. DDoS халдагчид эдгээр болон бусад олон HTTP толгойг өөрчлөх боломжтой тул илрүүлэхэд хэцүү болгодог. Нэмж дурдахад, HTTP толгойг кэш болон прокси үйлчилгээг хянах байдлаар бичиж болно. Жишээлбэл, та прокси серверт мэдээллийг кэш хийхгүй байхыг зааж өгч болно.

HTTP GET

• HTTP(S) GET хүсэлт нь серверээс мэдээлэл авах арга юм. Энэ хүсэлт нь серверээс зарим файл, зураг, хуудас эсвэл скриптийг хөтөч дээр харуулахын тулд дамжуулахыг хүсч болно.
• HTTP(S) GET үерийн арга DDoS халдлагамөн OSI загварын хэрэглээний давхарга (7) бөгөөд үүнд халдагчид өөрийн нөөцөө дарахын тулд сервер рүү хүсэлтийн хүчирхэг урсгалыг илгээдэг. Үүний үр дүнд сервер нь зөвхөн хакерын хүсэлтэд төдийгүй бодит үйлчлүүлэгчдийн хүсэлтэд хариу өгөх боломжгүй юм.

HTTP POST

• HTTP(S) POST хүсэлт нь сервер дээр дараагийн боловсруулалт хийх хүсэлтийн үндсэн хэсэгт өгөгдлийг байршуулах арга юм. HTTP POST хүсэлт нь дамжуулсан мэдээллийг кодлож, маягт дээр байрлуулж, дараа нь энэ агуулгыг сервер рүү илгээдэг. Энэ аргаих хэмжээний мэдээлэл, файл дамжуулах шаардлагатай үед хэрэглэнэ.
• HTTP(S) POST үер гэдэг нь DDoS халдлагын төрөл бөгөөд POST хүсэлтийн тоо нь серверийг дарж, бүх хүсэлтэд хариу өгөх боломжгүй болдог. Энэ нь онцгой өндөр хэрэглээнд хүргэж болзошгүй юм системийн нөөц, дараа нь серверийг яаралтай зогсоох.

Дээр дурдсан HTTP хүсэлт бүрийг аюулгүй протоколоор дамжуулж болно HTTPS. Энэ тохиолдолд үйлчлүүлэгч (халдагчид) болон сервер хооронд илгээсэн бүх өгөгдөл шифрлэгдсэн байна. Эндээс харахад "аюулгүй байдал" нь халдагчдын гарт ордог: хортой хүсэлтийг тодорхойлохын тулд сервер эхлээд түүний кодыг тайлах ёстой. Тэдгээр. DDoS халдлагын үед маш их байдаг хүсэлтийн урсгалыг бүхэлд нь тайлах хэрэгтэй. Энэ нь хохирогчийн сервер дээр нэмэлт ачаалал үүсгэдэг.

SYN үер(TCP/SYN) нь хосттой хагас нээлттэй холболт үүсгэдэг. Хохирогч SYN багцыг хүлээн авах үед нээлттэй порт, энэ нь SYN-ACK пакетаар хариу өгч, холболт үүсгэх ёстой. Үүний дараа санаачлагч нь ACK багц бүхий хариуг хүлээн авагч руу илгээдэг. Энэ үйл явцуламжлалт байдлаар гар барих гэж нэрлэдэг. Гэсэн хэдий ч, SYN үерийн дайралтын үед гар барих боломжгүй, учир нь халдагч нь хохирогчийн серверийн SYN-ACK-д хариу өгөхгүй. Хугацаа дуусах, холболтын дараалал дүүрэх, шинэ үйлчлүүлэгчид серверт холбогдох боломжгүй болох хүртэл ийм холболтууд хагас нээлттэй хэвээр байна.

UDP үерЭдгээр нь сессгүй шинж чанартай, мөн Протокол 17 (UDP) мессежийг янз бүрийн програмчлалын хэлээр үүсгэхэд хялбар байдаг тул өргөн зурвасын DDoS халдлагад ихэвчлэн ашиглагддаг.

ICMP үер. Internet Control Message Protocol (ICMP) нь голчлон алдааны мэдээнд ашиглагддаг бөгөөд өгөгдөл дамжуулахад ашиглагддаггүй. ICMP пакетууд нь серверт холбогдох үед TCP пакетуудыг дагалдаж болно. ICMP үер - DDoS аргаХалдлагад өртсөн хүний ​​сүлжээний сувгийг хэт ачаалахын тулд ICMP мессежийг ашигладаг OSI загварын 3-р давхаргад халддаг.

MAC үер- халдагчид өөр MAC хаягтай олон хоосон Ethernet фрейм илгээдэг ховор төрлийн халдлага. Сүлжээний унтраалга нь MAC хаяг бүрийг тусад нь авч үздэг бөгөөд үүний үр дүнд тус бүрт нөөцийг нөөцөлдөг. Шилжүүлэгч дээрх бүх санах ойг ашиглах үед энэ нь хариу өгөхөө больсон эсвэл унтардаг. Зарим төрлийн чиглүүлэгчид MAC үерийн халдлага нь чиглүүлэлтийн хүснэгтүүдийг бүхэлд нь устгаж, улмаар сүлжээг бүхэлд нь тасалдуулж болзошгүй юм.

OSI түвшингээр DDoS халдлагын ангилал ба зорилго

Интернетийн хэрэглээ OSI загвар. Загварт нийтдээ 7 түвшин байдаг бөгөөд эдгээр нь харилцаа холбооны бүх хэрэгслийг хамардаг: физик орчноос эхлээд (1-р түвшин), хэрэглээний түвшин (7-р түвшин) хүртэл програмууд хоорондоо "харилцдаг".

DDoS халдлага нь долоон түвшин бүрт боломжтой. Тэднийг илүү нарийвчлан авч үзье.

OSI давхарга 7:Хэрэглэсэн

Юу хийх вэ: Хэрэглээний хяналт - 0 өдрийн хэрэглээний сул талыг (7-р түвшний халдлага) тодорхойлохын тулд тодорхой багц алгоритм, технологи, арга барилыг (програм хангамжийг ашиглаж буй платформоос хамааран) ашигладаг системчилсэн програм хангамжийн хяналт. Ийм халдлагыг тодорхойлсноор нэг удаа, бүрмөсөн зогсоож, эх сурвалжийг нь илрүүлэх боломжтой. Үүнийг энэ давхарга дээр хамгийн энгийнээр хийдэг.

OSI давхарга 6:Гүйцэтгэх ажилтан

Юу хийх вэ: Гэмтлийг багасгахын тулд SSL шифрлэлтийн дэд бүтцийг түгээх (жишээ нь, SSL-г боломжтой бол гайхалтай сервер дээр байршуулах) болон програмын платформ дээрх халдлага, бодлогын зөрчлийг шалгах зэрэг арга хэмжээг авч үзнэ. Сайн платформ нь траффикийг шифрлэж, эх сурвалжийн дэд бүтцэд буцааж илгээж, аюулгүй бастион зангилааны аюулгүй санах ойд байрлах шифрлэгдсэн контентыг баталгаажуулна.

OSI давхарга 5:Сессия

Юу хийх вэ: Програм хангамжийг дэмжих техник хангамжаюулын эрсдэлийг бууруулахын тулд өнөөг хүртэл.

OSI давхарга 4:Тээвэрлэлт

Юу хийх вэ: Blackholing гэгддэг DDoS урсгалыг шүүх нь үйлчилгээ үзүүлэгчдийн үйлчлүүлэгчдийг хамгаалахын тулд ихэвчлэн ашигладаг арга юм (бид энэ аргыг бид өөрсдөө ашигладаг). Гэсэн хэдий ч, энэ арга нь үйлчлүүлэгчийн сайтыг хортой урсгал болон хууль ёсны хэрэглэгчийн урсгалын аль алинд нь нэвтрэх боломжгүй болгодог. Гэсэн хэдий ч сүлжээний тоног төхөөрөмжийн удаашрал, үйлчилгээний доголдол зэрэг аюулаас хэрэглэгчдийг хамгаалахын тулд үйлчилгээ үзүүлэгчид DDoS халдлагатай тэмцэхийн тулд хандалтыг блоклодог.

OSI давхарга 3:Сүлжээ

Юу хийх вэ: ICMP протоколоор боловсруулсан хүсэлтийн тоог хязгаарлаж, галт хананы хурд болон интернетийн зурвасын өргөнд энэ траффикийн нөлөөллийг багасгах.

OSI давхарга 2:Суваг

Юу хийх вэ: Орчин үеийн олон шилжүүлэгчийг MAC хаягуудын тоо нь сервер дээрх баталгаажуулалт, зөвшөөрөл, нягтлан бодох бүртгэлийн шалгалтыг (AAA протокол) дамжуулж, дараа нь шүүдэг найдвартай хаягаар хязгаарлагдахаар тохируулж болно.

OSI давхарга 1:Физик

Юу хийх вэ: Физик сүлжээний тоног төхөөрөмжийн гүйцэтгэлийг хянахын тулд системчилсэн аргыг ашиглах.

Том хэмжээний DoS/DDoS халдлагыг бууруулах

Хэдийгээр ямар ч түвшинд халдлага хийх боломжтой ч OSI загварын 3-4, 7-р давхаргад халдлага хийх нь ялангуяа түгээмэл байдаг.

• 3, 4-р түвшний DDoS халдлага - дэд бүтцийн халдлага - вэб серверийг удаашруулж, "дүүрэх" зорилгоор сүлжээний дэд бүтцийн түвшин, тээврийн түвшинд их хэмжээний, хүчирхэг мэдээллийн урсгал (үер) ашиглахад үндэслэсэн халдлагын төрлүүд. суваг , эцэст нь бусад хэрэглэгчдийг нөөцөд хандахаас сэргийлнэ. Эдгээр төрлийн халдлагад ихэвчлэн ICMP, SYN, UDP үер ордог.
• 7-р түвшний DDoS халдлага нь програмын серверийн дэд бүтцийн зарим тодорхой элементүүдийг хэт ачаалахтай холбоотой халдлага юм. 7-р давхаргын халдлага нь маш боловсронгуй, далд, ашигтай вэб траффиктэй төстэй учир илрүүлэхэд хэцүү байдаг. Дурын хэрэглэгчийн нэр, нууц үгээр нэвтрэх оролдлого, динамик вэб хуудсууд дээр дурын хайлтуудыг давтах гэх мэт хамгийн энгийн 7-р давхарга халдлага ч CPU болон мэдээллийн санг маш ихээр ачаалдаг. DDoS халдагчид давхаргын 7-р халдлагын гарын үсгийг дахин дахин өөрчлөх боломжтой тул тэдгээрийг таних, арилгахад улам хэцүү болгодог.

Халдлагыг бууруулах зарим арга хэмжээ, тоног төхөөрөмж:

• Динамик пакет шалгах галт хана
• Динамик SYN прокси механизмууд
• IP хаяг бүрийн секундэд SYN-ийн тоог хязгаарлах
• Алсын IP хаяг бүрт секундэд SYN-ийн тоог хязгаарлах
• Галт хананд ICMP үерийн дэлгэц суурилуулах
• UDP үерийн дэлгэцийг галт хананд суулгаж байна
• Галт хана болон сүлжээний хажууд байгаа чиглүүлэгчийн хурдыг хязгаарлах

11.11.2012

Үер дорЭнэ нь янз бүрийн форум, чат дээр нийтлүүлэхээр илгээгдсэн мессеж хэлбэрээр асар их мэдээллийн урсгал гэсэн үг юм. Хэрэв та үүнийг техникийн үүднээс авч үзвэл, үер- энэ бол хамгийн түгээмэл зүйлүүдийн нэг юм компьютерийн халдлагын төрлүүд, түүний зорилго нь серверийн техник хангамжийг гүйцэтгэхээс өөр аргагүй болох олон тооны хүсэлтийг илгээх явдал юм үйлчилгээ үзүүлэхээс татгалзаххэрэглэгчийн үйлчилгээ. Хэрэв дээр дайрах компьютерийн технологи олон тооны компьютерээс хийгдсэн бол та .

DDoS үерийн халдлага хэд хэдэн төрөл байдаг бөгөөд голыг нь доор жагсаав.

• SYN-ACK үер
• HTTP үер
• ICMP үер
• UDP үер

SYN-ACK үер

SYN-ACK үер- төрлүүдийн нэг сүлжээний халдлага, энэ нь цаг хугацааны нэгжид асар олон тооны SYN хүсэлт илгээхэд үндэслэсэн. Үүний үр дүнд TCP протокол дээр суурилсан үйлчилгээг идэвхгүй болгох болно. Нэгдүгээрт, үйлчлүүлэгч SYN туг агуулсан пакетыг сервер рүү илгээдэг бөгөөд энэ нь үйлчлүүлэгчийн холболт үүсгэх хүсэлтэй байгааг илтгэнэ. Сервер нь эргээд хариу багц илгээдэг. SYN тугнаас гадна энэ нь ACK тугийг агуулдаг бөгөөд энэ нь хүсэлтийг хүлээн авсан бөгөөд үйлчлүүлэгчээс холболтыг баталгаажуулах ёстой гэдэгт үйлчлүүлэгчийн анхаарлыг хандуулдаг. Энэ нь амжилттай холболтыг харуулсан ACK туг бүхий пакетаар хариу өгдөг. Сервер нь үйлчлүүлэгчдээс ирсэн бүх "холболт" хүсэлтийг тодорхой хэмжээний дараалалд хадгалдаг. Үйлчлүүлэгчээс ACK тугийг буцааж өгөх хүртэл хүсэлтийг дараалалд байлгана. SYN халдлага нь байхгүй эх сурвалжаас пакетуудын тоо дарааллын хэмжээнээс хэтэрсэн пакетуудыг сервер рүү илгээхэд суурилдаг. Сервер зүгээр л хуурамч хаягаар багцад хариу өгөх боломжгүй болно. Дараалал буурахгүй, үйлчилгээ ажиллахаа болино.

HTTP үер

HTTP үер- үйлчилгээ нь хамтран ажиллаж байгаа үед хамаарна мэдээллийн сан. Довтолгоо аль алинд нь чиглэгддэг вэб сервер, эсвэл мэдээллийн сантай ажилладаг скрипт рүү. Маш олон тооны GET хүсэлтийг 80-р порт руу илгээдэг бөгөөд ингэснээр вэб сервер бусад төрлийн хүсэлтүүдэд зохих ёсоор анхаарал хандуулах боломжгүй болно. Бүртгэлийн файлуудын хэмжээ нэмэгдэж, мэдээллийн сантай ажиллах боломжгүй болно.

ICMP үер

ICMP үер- энгийн арга нэвтрүүлэх чадварын бууралтТэгээд нэмэгдэж буй ачаалалижил төстэй ICMP PING хүсэлтийг илгээх хэрэгслийг ашиглан стек дээр. Эцэс төгсгөлгүй ECHO хүсэлтэд хариу өгөх сервер сүйрдэг тул галт хананд бага анхаарал хандуулах нь аюултай. Тиймээс ижил хэмжээний оролттой тохиолдолд болон гарах урсгалзүгээр л дүрмээ бичээрэй iptables.

UDP үер

UDP үер- өөр арга зам зурвасын өргөн эмх замбараагүй байдал, өгөгдөл илгээхээс өмнө синхрончлол хийх шаардлагагүй протокол дээр суурилсан. Энэ халдлага нь серверийн UDP порт руу пакет илгээхэд л ирдэг. Пакетийг хүлээн авсны дараа сервер үүнийг эрчимтэй боловсруулж эхэлдэг. Дараа нь үйлчлүүлэгч буруу агуулгатай Udp пакетуудыг ар араасаа илгээдэг. Үүний үр дүнд портууд ажиллахаа больж, систем гацах болно.

Үндсэндээ тодорхойлох DDoS халдлагын төрөлИхэнхдээ их цаг зарцуулах шаардлагагүй байдаг. Хэд хэдэн шинж тэмдгийг мэдэхэд хангалттай. Хэрэв мэдэгдэхүйц бол Лог файлуудын хэмжээ нэмэгдсэн-Та харьцаж байна HTTP үер. Хэрэв үйлчилгээнд хандах боломж хязгаарлагдмалзөвшөөрөгдөх холболтын тооноос хэтэрсэний үр дүнд - энэ нь SYN-ACK үер. тохиолдолд гарч байгаа болон ирж буй урсгал ойролцоогоор тэнцүү байна-Та харьцаж байна ICMP үер. Хамгийн гол нь арчилгааг мартаж болохгүй таны серверийн аюулгүй байдал DDoS-ээс авч, үүнд анхаарлаа хандуулаарай. Хамгийн сайн зүйл бол анхаарал тавих явдал юм

Таны өглөө алдааны тайлан уншиж, бүртгэлд дүн шинжилгээ хийхээс эхэлдэг. Та өдөр бүр
програм хангамжийг шинэчилж, галт ханын дүрмийг цаг тутамд шинэчилнэ. Хурхирах нь таны хамгийн шилдэг нь
найз, Заббикс бол үл үзэгдэх туслах юм. Та жинхэнэ бэхэлгээ босгосон
аль аль талаас нь хүрч чадахгүй. Гэхдээ! Та өөрийнхөө эсрэг бүрэн хамгаалалтгүй болсон
Дэлхий дээрх хамгийн нууцлаг, нууцлаг халдлага бол DDoS юм.

DoS халдлага гэдэг нэр томъёо анх хэзээ гарч ирснийг хэлэхэд хэцүү. Мэргэжилтнүүд хэлж байна
1996 онд энэ төрлийн халдлага зөвхөн олон нийтэд "хүрч" байсныг сануулсан.
1999 он, Amazon, Yahoo, CNN, eBay зэрэг сайтууд ар араасаа халдаж байв.
Бүр өмнө нь DoS эффектийг системийн тогтвортой байдлыг шалгахад ашигладаг байсан
харилцааны сувгууд. Гэхдээ хэрэв та илүү гүнзгий ухаж, DoS гэсэн нэр томъёог ашиглавал
үзэгдлийн тэмдэглэгээ нь тэр цагаас хойш үргэлж оршин байсан нь тодорхой болно
анхны үндсэн фрэймүүд. Зүгээр л айлган сүрдүүлэх хэрэгсэл гэж бод
нэлээд хожуу эхэлсэн.

Энгийнээр хэлбэл, DoS халдлага нь зарим төрлийн хорлонтой үйлдэл юм
компьютерийн системийг ийм байдалд хүргэхэд чиглэсэн үйл ажиллагаа
хууль ёсны хэрэглэгчдэд үйлчлэх боломжгүй газар эсвэл
түүнд өгөгдсөн чиг үүргийг зөв гүйцэтгэх. "Татгалзсан" байдалд
засвар үйлчилгээ" нь ихэвчлэн програм хангамжийн алдаа эсвэл сүлжээнд хэт их ачааллаас үүдэлтэй байдаг
суваг эсвэл систем бүхэлдээ. Үүний үр дүнд програм хангамж, эсвэл бүхэл бүтэн үйлдлийн систем
машин "унасан" эсвэл "гогцоотой" төлөвт ордог. Мөн энэ нь заналхийлж байна
сул зогсолт, зочин/хэрэглэгчийн алдагдал, алдагдал.

DoS халдлагын анатоми

DoS халдлагыг орон нутгийн болон алсын гэж хуваадаг. Орон нутгийнх нь орно
янз бүрийн мөлжлөгүүд, сэрээтэй бөмбөгнүүд болон сая файлуудыг нээх програмууд эсвэл
санах ой болон CPU-г иддэг зарим төрлийн цикл алгоритмыг ажиллуулж байна
нөөц. Бид энэ бүхний талаар ярихгүй. Гэхдээ алсын DoS халдлага
Илүү дэлгэрэнгүй харцгаая. Тэдгээрийг хоёр төрөлд хуваадаг:

1. Програм хангамжийг ажиллахгүй болгохын тулд алдааг алсаас ашиглах
   муж.
2. Үер - асар их хэмжээний утга учиргүй илгээх (бага түгээмэл
   – утга учиртай) багцууд. Үерийн зорилго нь харилцааны суваг эсвэл нөөц байж болно
   машинууд. Эхний тохиолдолд пакетийн урсгал нь бүхэл бүтэн зурвасын сувгийг эзэлдэг ба тэгдэггүй
   халдсан машинд хууль ёсны хүсэлтийг боловсруулах боломжийг олгодог. Хоёрдугаарт
   - Машины нөөцийг олон удаа, маш олон удаа олж авдаг
   нарийн төвөгтэй, нөөц их шаарддаг аливаа үйлчилгээнд хандах
   үйл ажиллагаа. Энэ нь жишээлбэл, аль нэгэнд нь удаан залгасан байж болно
   вэб серверийн идэвхтэй бүрэлдэхүүн хэсэг (скрипт). Сервер нь машины бүх нөөцийг үрдэг
   халдагчийн хүсэлтийг боловсруулахын тулд хэрэглэгчид хүлээх хэрэгтэй болно.

Уламжлалт хувилбарт (нэг халдагч - нэг хохирогч) одоо хэвээр байна
Зөвхөн эхний төрлийн халдлага үр дүнтэй байдаг. Сонгодог үер бол ашиггүй юм. Учир нь
Энэ нь өнөөгийн серверийн сувгийн өргөн, тооцоолох чадварын түвшин болон
Програм хангамжид DoS-ийн эсрэг янз бүрийн арга техникийг өргөн ашиглах (жишээлбэл, саатал
ижил үйлдлийг нэг үйлчлүүлэгч давтан хийх үед) халдагчид
ямар ч хор хөнөөл учруулах чадваргүй ядаргаатай шумуул болж хувирдаг
хохирол. Гэхдээ эдгээр шумуулууд хэдэн зуу, мянга, бүр хэдэн зуун мянган байвал тэд
серверийг мөрөн дээрээ амархан тавих болно. Олон түмэн бол зөвхөн амьдралд төдийгүй бас аймшигтай хүч юм
компьютерийн ертөнц. Distributed Denial of Service (DDoS) халдлага
ихэвчлэн олон зомбижсон хостуудыг ашиглан явуулдаг
-аас таслагдсан гадаад ертөнцТэр ч байтугай хамгийн тогтвортой сервер, цорын ганц үр дүнтэй
хамгаалалт - зохион байгуулалт тархсан системсерверүүд (гэхдээ энэ нь боломжийн үнэтэй биш юм
бүгд биш, сайн уу Google).

Тэмцлийн аргууд

Ихэнх DDoS халдлагын аюул нь тэдний туйлын ил тод байдал болон
"хэвийн байдал". Эцсийн эцэст, хэрэв програм хангамжийн алдааг үргэлж засч залруулах боломжтой бол дуусга
Нөөцийг завших нь бараг нийтлэг үзэгдэл юм. Олон хүмүүс тэдэнтэй тулгардаг
администраторууд, машины нөөц (сувгийн өргөн) хангалтгүй үед,
эсвэл вэбсайт нь налуу цэгийн эффекттэй (twitter.com дараа нь ашиглах боломжгүй болсон
Майкл Жексоны үхлийн тухай анхны мэдээнээс хэдхэн минутын дараа). Хэрэв та огтолж авбал
хүн бүрт зориулсан урсгал болон нөөц, та DDoS-аас аврагдах болно, гэхдээ та сайн зүйлээ алдах болно
үйлчлүүлэгчдийн тал хувь нь.

Энэ байдлаас гарах арга бараг байхгүй, гэхдээ DDoS халдлагын үр дагавар ба тэдгээрийн үр дагавар
зөв тохируулснаар үр ашгийг мэдэгдэхүйц бууруулж болно
чиглүүлэгч, галт хана болон тасралтгүй аномалийн шинжилгээ сүлжээний урсгал. IN
Өгүүллийн дараагийн хэсэгт бид дараалан авч үзэх болно:

• эхэлсэн DDoS халдлагыг таних аргууд;
• тодорхой төрлийн DDoS халдлагуудтай тэмцэх арга;
• DoS халдлагад бэлтгэхэд туслах бүх нийтийн зөвлөмжүүд болон
  түүний үр нөлөөг бууруулах.

Төгсгөлд нь асуултын хариултыг өгөх болно: хэзээ юу хийх вэ
DDoS халдлага.

Үерийн дайралттай тэмцэх

Тэгэхээр DoS/DDoS халдлагын хоёр төрөл байдаг бөгөөд хамгийн түгээмэл нь байдаг
Энэ нь үер болох, өөрөөр хэлбэл хохирогчийг асар олон тооны багцаар дарах санаан дээр суурилдаг.
Өөр өөр үерүүд байдаг: ICMP үер, SYN үер, UDP үер, HTTP үер. Орчин үеийн
DoS роботууд эдгээр бүх төрлийн халдлагыг нэгэн зэрэг ашиглах боломжтой тул та үүнийг ашиглах хэрэгтэй
тэдгээрийн эсрэг зохих хамгаалалтыг урьдчилан анхаарч үзээрэй.

1. ICMP үер.

Дамжуулах зурвасын өргөнийг бөглөж, ачаалал үүсгэх маш энгийн арга
ICMP ECHO хүсэлтийг (ping) нэг хэвийн байдлаар илгээх замаар сүлжээний стек. Амархан
хоёр чиглэлд хөдөлгөөний урсгалд дүн шинжилгээ хийх замаар илрүүлсэн: халдлагын үед
ICMP үерийн нэгэн адил тэдгээр нь бараг ижил байдаг. Бараг өвдөлтгүй арга
хамгаалалт нь ICMP ECHO хүсэлтийн хариуг идэвхгүй болгоход суурилдаг:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Эсвэл галт хана ашиглан:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. SYN үер.

Харилцааны сувгийг бөглөхөөс гадна нэвтрүүлэх нийтлэг аргуудын нэг юм
сүлжээний стек үйлдлийн системтэр цаашид чадахгүй байгаа муж руу
шинэ холболтын хүсэлтийг хүлээн авах. Эхлэх оролдлого дээр үндэслэсэн
SYN пакет илгээх замаар олон тооны нэгэн зэрэг TCP холболтууд
байхгүй буцах хаяг. Хариу илгээх гэж хэд хэдэн оролдлого хийсний дараа
ACK пакетыг нэвтрэх боломжгүй хаяг руу илгээдэг бол ихэнх үйлдлийн системүүд тодорхойгүй суулгадаг
дараалалтай холбох. Зөвхөн n-р оролдлогын дараа холболт хаагдана. Учир нь
ACK пакетуудын урсгал маш том, удалгүй дараалал дүүрч, цөм
шинэ холболт нээх оролдлогоос татгалздаг. Хамгийн ухаалаг DoS роботууд бас байдаг
Зөвхөн нээх хүсэлтийг илгээхийн тулд халдлага хийхээс өмнө системд дүн шинжилгээ хийнэ үү
амин чухал портууд. Ийм халдлагыг тодорхойлоход хялбар байдаг: зүгээр л
үйлчилгээнүүдийн аль нэгэнд холбогдож үзнэ үү. Ихэвчлэн хамгаалалтын арга хэмжээ авдаг
Үүнд:

"Хагас нээлттэй" TCP холболтын дарааллыг нэмэгдүүлэх:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

"Хагас нээлттэй" холболтын хугацааг багасгах:

# sysctl -w net.ipv4.tcp_synack_retries=1

TCP синкүүки механизмыг идэвхжүүлж байна:

# sysctl -w net.ipv4.tcp_syncookies=1

Нэг IP-ээс "хагас нээлттэй" холболтын дээд тоог хязгаарлах
тусгай порт:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-ээс дээш
10 -j DROP

3. UDP үер.

Дамжуулах зурвасын өргөний ердийн арга. Хязгааргүй үндэслэл дээр үндэслэсэн
Төрөл бүрийн UDP үйлчилгээний портууд руу UDP пакетууд. Зүсэх замаар амархан арилгадаг
гадаад ертөнцөөс ийм үйлчилгээ авч, холболтын тоонд хязгаарлалт тавьдаг
гарцын тал дахь DNS сервер рүү цаг хугацааны нэгж:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-1-ээс дээш

4. HTTP үер.

Өнөө үед үерийн хамгийн түгээмэл аргуудын нэг. Үндэслэн
татаж авахын тулд 80-р порт руу HTTP GET мессежийг эцэс төгсгөлгүй илгээдэг
вэб сервер нь бүх зүйлийг боловсруулах боломжгүй болно
бусад хүсэлтүүд. Ихэнхдээ үерийн бай нь вэб серверийн үндэс биш, харин нэг нь байдаг
нөөц их шаарддаг ажлуудыг гүйцэтгэдэг эсвэл мэдээллийн сантай ажилладаг скриптүүд. Аль ч тохиолдолд
Энэ тохиолдолд логуудын хэвийн бус хурдацтай өсөлт нь халдлагын эхлэлийн үзүүлэлт болно.
вэб сервер.

HTTP үерийн эсрэг тэмцэх аргууд нь вэб сервер болон мэдээллийн санг тохируулах явдал юм
довтолгооны үр нөлөөг багасгах, түүнчлэн DoS роботуудыг ашиглан шалгах зорилгоор
янз бүрийн техник. Эхлээд та хамгийн их холболтын тоог нэмэгдүүлэх хэрэгтэй
нэгэн зэрэг мэдээллийн сан. Хоёрдугаарт, өмнө нь Apache вэб сервер суулгах нь амархан
болон бүтээмжтэй nginx - энэ нь хүсэлтийг кэш болгож, статик өгөгдөлд үйлчлэх болно. Энэ
"Заавал байх ёстой" жагсаалтын шийдэл бөгөөд энэ нь DoS халдлагын үр нөлөөг бууруулаад зогсохгүй мөн
сервер нь асар их ачааллыг тэсвэрлэх боломжийг олгоно. Жижиг жишээ:

# vi /etc/nginx/nginx.conf
# Ашигласан файлуудын дээд хэмжээг нэмэгдүүлэх
worker_rlimit_nofile 80000;
үйл явдал (
# Холболтын дээд хэмжээг нэмэгдүүлнэ
ажилчдын_холболт 65536;
# Холболтыг зохицуулахын тулд үр ашигтай epoll аргыг ашигла
epoll ашиглах;
}
http(
gzip унтраах;
# Амьд үлдэх холболтыг хаах хугацааг идэвхгүй болгох
keepalive_timeout 0;
# Хариултын толгой хэсэгт nginx хувилбарыг бүү өг
server_tokens унтраалттай;
# Хугацаа хэтэрсэн тул холболтыг дахин тохирууллаа
холболтыг дахин тохируулах;
}
# Стандарт тохиргоотөлөөлөгчөөр ажиллах
сервер (
сонсох 111.111.111.111 анхдагч хойшлогдсон;
server_name host.com www.host.com;
log_format IP $remote_addr;
байршил/(
proxy_pass http://127.0.0.1/;
}
байршил ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
root /home/www/host.com/httpdocs;
}
}

Шаардлагатай бол та nginx модулийг ашиглаж болно
ngx_http_limit_req_module нь нэгэн зэрэг холболтын тоог хязгаарладаг.
нэг хаяг (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Нөөц их шаарддаг скриптүүдийг саатал, "товших" товчийг ашиглан роботоос хамгаалах боломжтой.
намайг", жигнэмэг тохируулах болон шалгахад чиглэсэн бусад арга техник
"хүн төрөлхтөн".

DDoS шуурганы үеэр найдваргүй нөхцөл байдалд орохгүйн тулд
системийг ийм нөхцөл байдалд сайтар бэлтгэх шаардлагатай.

1. Гадаад сүлжээнд шууд нэвтрэх бүх серверүүд байх ёстой
   энгийн бөгөөд хурдан алсаас дахин ачаалахад бэлтгэсэн (sshd миний аавыг аврах болно
   Оросын ардчилал). Хоёрдахь нь байх нь том давуу тал болно,
   захиргааны, сүлжээний интерфэйсээр дамжуулан та хандах боломжтой
   үндсэн суваг бөглөрсөн бол сервер рүү.
2. Сервер дээр хэрэглэгдэж буй програм хангамж нь үргэлж шинэчлэгдсэн байх ёстой
   нөхцөл. Бүх нүхийг нөхөж, шинэчлэлтүүдийг суулгасан (хялбар
   ачаалах, олон хүн дагаж мөрддөггүй зөвлөгөө). Энэ нь таныг DoS халдлагаас хамгаалах болно.
   үйлчилгээний алдааг ашиглах.
3. Захиргааны зориулалттай бүх сонсох сүлжээний үйлчилгээ
   ашиглах ёсгүй хүнээс галт ханын ард нуугдаж байх ёстой
   тэдэнд хандах боломжтой. Дараа нь халдагч үүнийг хэрэгжүүлэхийн тулд ашиглах боломжгүй болно
   DoS халдлага эсвэл харгис хүч.
4. Серверт хандах хандалт дээр (хамгийн ойрын чиглүүлэгч) суулгасан байх ёстой
   замын хөдөлгөөний шинжилгээний систем (NetFlow нь туслах), энэ нь цаг тухайд нь өгөх боломжийг олгоно
   ирж буй халдлагын талаар олж мэдээд түүнээс урьдчилан сэргийлэх арга хэмжээг цаг тухайд нь авах.

Дараах мөрүүдийг /etc/sysctl.conf-д нэмнэ үү:

# vi /etc/sysctl.conf
# Хууран мэхлэлтийн эсрэг хамгаалалт
net.ipv4.conf.default.rp_filter = 1
# TCP холболтыг минут тутамд шалгана уу. Хэрэв нөгөө талдаа - хууль ёсны
машин, тэр даруй хариулах болно. Өгөгдмөл утга нь 2 цаг байна.
net.ipv4.tcp_keepalive_time = 60
# Арван секундын дараа дахин оролдоно уу
net.ipv4.tcp_keepalive_intvl = 10
# Холболтыг хаахаас өмнө хийсэн шалгалтын тоо
net.ipv4.tcp_keepalive_probes = 5

Өмнөх болон энэ хэсгүүдэд өгөгдсөн бүх техникийг тэмдэглэх нь зүйтэй
чиглэсэн DDoS халдлагын үр нөлөөг бууруулах зорилготой юм
машины нөөцийг ашиглах. Суваг хогоор бөглөрөх үерээс өөрийгөө хамгаалаарай
бараг боломжгүй, цорын ганц зөв, гэхдээ үргэлж боломжтой байдаггүй
тэмцэх арга нь "дайралтыг утга учиргүй болгох" юм. Хэрэв танд байгаа бол
Танд урсгалыг хялбархан өнгөрөх үнэхээр өргөн суваг танд байна
жижиг ботнет, таны сервер халдлагаас 90% хамгаалагдсан гэж бодоорой. Илүү олон бий
хамгаалах нарийн арга. Энэ нь хуваарилагдсан байгууллага дээр суурилдаг
компьютерийн сүлжээ, үүнд олон нэмэлт серверүүд багтдаг
янз бүрийн үндсэн сувагт холбогдсон. Тооцоолох үед хүч эсвэл
сувгийн хүчин чадал дуусч, бүх шинэ үйлчлүүлэгчид дахин чиглэгддэг
өөр сервер рүү (эсвэл зарчмын дагуу аажмаар серверүүдэд "тархдаг"
тойрог зам). Энэ бол гайхалтай үнэтэй, гэхдээ маш тогтвортой бүтэц юм, дүүргэ
Энэ нь бараг боломжгүй юм.

Бусад нь их эсвэл бага үр дүнтэй шийдэлүнэтэй худалдан авалтаас бүрддэг
тоног төхөөрөмжийн систем Cisco Traffic Anomaly Detector болон Cisco Guard. Ажиллаж байна
Баглаа, тэд ирж буй халдлагыг дарж чаддаг, гэхдээ бусадтай адил
суралцах, төлөв байдалд дүн шинжилгээ хийсэн шийдвэрүүд бүтэлгүйтдэг. Тийм болохоор тэгэх ёстой
Даргаасаа хэдэн арван мянгаар нь булааж авахаасаа өмнө сайн бодоорой
долларыг ийм хамгаалалтад авсан.

Энэ нь эхэлсэн бололтой. Юу хийх вэ?

Довтолгоо шууд эхлэхээс өмнө роботууд аажмаар "дулаацдаг"
халдлагад өртсөн машин руу илгээх пакетуудын урсгалыг нэмэгдүүлэх. Энэ мөчийг ашиглаж эхлэх нь чухал
идэвхтэй үйлдлүүд. Чиглүүлэгчийг тогтмол хянах нь үүнд тусална.
гадаад сүлжээнд холбогдсон (NetFlow графикуудын шинжилгээ). Хохирогчийн сервер дээр
Та довтолгооны эхлэлийг хиймэл аргаар тодорхойлж болно.

SYN үерийн байгаа эсэхийг амархан тогтоодог - "хагас нээлттэй" тоог тоолох замаар.
TCP холболтууд:

# netstat -na | grep ":80\" | grep SYN_RCVD

Ердийн нөхцөлд огт байх ёсгүй (эсвэл маш бага хэмжээгээр:
дээд тал нь 1-3). Хэрэв тийм биш бол та довтолгоонд өртөж байгаа тул шууд бууж өг
халдагчид.

HTTP үер нь арай илүү төвөгтэй юм. Эхлээд та тоог тоолох хэрэгтэй
Apache процесс ба 80 порт дээрх холболтын тоо (HTTP үер):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\" | wc -l

Статистикийн дунджаас хэд дахин их утгууд нь үндэслэл болдог
бодоод үз дээ. Дараа нь та хүсэлт ирж буй IP хаягуудын жагсаалтыг харах хэрэгтэй
холболтын хувьд:

# netstat -na | grep ":80\" | ангилах | uniq -c | sort -nr | бага

DoS халдлагыг хоёрдмол утгагүйгээр тодорхойлох боломжгүй юм
Жагсаалтад нэг хаяг хэт олон давтагдсан тохиолдолд нэг хаяг байгаа эсэхийг таамаглана
удаа (тэр ч байтугай энэ нь NAT-ийн ард байгаа зочдыг илтгэж магадгүй).
Нэмэлт баталгаажуулалт нь tcpdump ашиглан пакетийн шинжилгээ болно:

# tcpdump -n -i eth0 -s 0 -w output.txt dst порт 80 болон хост IP сервер

Шалгуур үзүүлэлт нь нэг хэвийн (мөн ашигтай агуулаагүй) их хэмжээний урсгал юм.
мэдээлэл) нэг порт/үйлчилгээ рүү чиглэсэн өөр өөр IP-ийн багцууд (жишээлбэл,
вэб серверийн үндэс эсвэл тодорхой cgi скрипт).

Эцэст нь шийдсэний дараа бид хүсээгүй хүмүүсийг IP хаягаар буулгаж эхэлдэг (байна
Хэрэв та үүнийг чиглүүлэгч дээр хийвэл илүү үр дүнтэй байдаг):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j
DROP

Эсвэл шууд дэд сүлжээгээр:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j
DROP

Энэ нь танд бага зэрэг эхлэлийг өгөх болно (маш жижиг; ихэвчлэн эх сурвалжийн IP хаяг
хуурамчаар үйлдсэн), та үүнийг шийдвэрлэхийн тулд ашиглах ёстой
үйлчилгээ үзүүлэгч/хостер (вэб серверийн бүртгэлтэй, цөм,
галт хана болон таны тодорхойлсон IP хаягуудын жагсаалт). Тэдний ихэнх нь мэдээжийн хэрэг,
Энэ мессежийг үл тоомсорлох болно (мөн траффик төлдөг хостинг компаниуд ч баяртай байх болно -
DoS халдлага нь тэдэнд ашиг авчрах болно) эсвэл тэд таны серверийг зүгээр л хаах болно. Гэхдээ ямар ч тохиолдолд
Энэ тохиолдолд үүнийг хийх ёстой - үр дүнтэй DDoS хамгаалалт боломжтой
зөвхөн үндсэн сувгууд дээр. Ганцаараа та жижиг дайралтыг даван туулж чадна
серверийн нөөцийг шавхах зорилготой боловч та өөрийгөө хамгаалалтгүй болно
илүү их эсвэл бага ноцтой DDoS.

FreeBSD дээр DDoS-тэй тэмцэх

Бид SYN-ACK хүсэлтэд (
SYN үер):

# sysctl net.inet.tcp.msl=7500

Серверийг хар нүх болгон хувиргах. Ингэснээр цөм хариу багцуудыг хэзээ илгээхгүй
эзэнгүй портуудтай холбогдохыг оролдох (машины ачааллыг бууруулдаг
Санамсаргүй портууд дээрх DDoS):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Бид ICMP мессежүүдэд хариу өгөх тоог секундэд 50 хүртэл хязгаарладаг (хамгаалалт
ICMP үер):

# sysctl net.inet.icmp.icmplim=50

Бид серверийн холболтын хамгийн их тоог нэмэгдүүлдэг (бүгдээс хамгаалах
DDoS төрлүүд):

# sysctl kern.ipc.somaxconn=32768

DEVICE_POLLING - бие даасан санал хураалтыг идэвхжүүлнэ үү сүлжээний драйверүндсэн дээр
өндөр ачаалал (DDoS үед системийн ачааллыг мэдэгдэхүйц бууруулдаг):

1. Бид "DEVICE_POLLING сонголт" гэсэн сонголтоор цөмийг дахин бүтээдэг;
2. Санал авах механизмыг идэвхжүүлэх: "sysctl kern.polling.enable=1";
3. "kern.polling.enable=1" оруулгыг /etc/sysctl.conf руу нэмнэ үү.

Гэнэн интернет

Тэдний оргил үед DoS халдлага нь серверүүдийн хувьд жинхэнэ сүйрэл байсан
болон ердийн ажлын станцууд. Вэбсайтыг ашиглан хялбархан буулгаж болно
Smurf төрлийн халдлагыг хэрэгжүүлдэг ганц хост. Ажлын станцууд
суулгасан Windows үйлдлийн систем нь Ping of Death, Land,
WinNuke. Өнөөдөр энэ бүхнээс айх шаардлагагүй.

Хамгийн том ботнетууд

400 мянга
компьютерууд.
- 315 мянга
компьютерууд.
Bobax - 185 мянган компьютер.
Русток - 150 мянган компьютер.
Шуурга - 100 мянган компьютер.
Psybot - Линукс дээр суурилсан 100 мянган ADSL чиглүүлэгч.
BBC ботнет - 22 мянган компьютер.
,
ВВС бүтээсэн.

Түүхэн дэх ул мөр

1997 он - Microsoft-ын вэбсайтад DDoS халдлага. Нэг өдөр чимээгүй.
1999 он - Yahoo, CNN, eBay болон бусад вэбсайтууд "хамрах хүрээнээс гадуур" байв.
2002 оны 10-р сар - Интернетийн үндсэн DNS серверүүд рүү халдлага. Хэсэг хугацаанд байсан
13 серверийн 7 нь идэвхгүй болсон.
2003 оны 2-р сарын 21 - LiveJournal.com сайтад DDoS халдлага. Хоёр өдрийн үйлчилгээ
саажилттай байсан бөгөөд хааяа амьдралын шинж тэмдэг илэрч байв.

Ухаалаг системүүд

МЭДЭЭЛЭЛ

Round-robin - тархсан тооцооллын ачааллыг тэнцвэржүүлэх алгоритм
Системийн элементүүдийг дугуй циклээр хайх замаар .