As inundações são a forma mais simples e comum de realizar ataques DDoS. Flooding é a forma mais simples e comum de realizar ataques DDoS Existem vários tipos de ataques DDoS utilizando Flood, os principais estão listados abaixo.

Os conceitos fundamentais da segurança cibernética são disponibilidade, integridade e confidencialidade. Ataques Negação de serviço (DoS) afetar a disponibilidade de recursos de informação. Uma negação de serviço é considerada bem-sucedida se levar à indisponibilidade de um recurso de informação. A diferença entre o sucesso de um ataque e o impacto nos recursos alvo é que o impacto causa danos à vítima. Por exemplo, se uma loja online for atacada, uma negação de serviço prolongada pode causar prejuízos financeiros à empresa. Em cada caso específico, a atividade DoS pode causar danos diretamente ou criar uma ameaça e risco potencial de perda.

Primeiro D V DDoS significa distribuído: ataque distribuído de negação de serviço. Neste caso, estamos falando de uma enorme massa de solicitações maliciosas que chegam ao servidor da vítima de diversos lugares. Normalmente, esses ataques são organizados através de botnets.

Neste artigo, examinaremos mais de perto quais tipos de tráfego DDoS e quais tipos de ataques DDoS existem. Para cada tipo de ataque, serão fornecidas breves recomendações para prevenir e restaurar a funcionalidade.

Tipos de tráfego DDoS

O tipo mais simples de tráfego são as solicitações HTTP. Com a ajuda de tais solicitações, por exemplo, qualquer visitante se comunica com seu site por meio de um navegador. A base da solicitação é o cabeçalho HTTP.

Cabeçalho HTTP. Cabeçalhos HTTP são campos que descrevem que tipo de recurso está sendo solicitado, como um URL, um formulário ou um JPEG. Os cabeçalhos HTTP também informam ao servidor web que tipo de navegador está sendo usado. Os cabeçalhos HTTP mais comuns são ACCEPT, LANGUAGE e USER AGENT.

O solicitante pode usar quantos cabeçalhos quiser, dando-lhes as propriedades desejadas. Os invasores DDoS podem modificar esses e muitos outros cabeçalhos HTTP, dificultando sua detecção. Além disso, os cabeçalhos HTTP podem ser escritos de forma a controlar o cache e os serviços de proxy. Por exemplo, você pode instruir o servidor proxy a não armazenar informações em cache.

OBTER HTTP

• A solicitação HTTP(S) GET é um método que solicita informações do servidor. Esta solicitação pode solicitar ao servidor que passe algum arquivo, imagem, página ou script para exibi-lo no navegador.
• Método de inundação HTTP(S) GET Ataques DDoS e a camada de aplicação (7) do modelo OSI, na qual o invasor envia um poderoso fluxo de solicitações ao servidor para sobrecarregar seus recursos. Como resultado, o servidor não pode responder não apenas às solicitações dos hackers, mas também às solicitações de clientes reais.

POSTAGEM HTTP

• A solicitação HTTP(S) POST é um método no qual os dados são colocados no corpo da solicitação para processamento posterior no servidor. Uma solicitação HTTP POST codifica as informações transmitidas e as coloca em um formulário, e então envia esse conteúdo ao servidor. Este método utilizado quando é necessário transferir grandes quantidades de informações ou arquivos.
• A inundação HTTP(S) POST é um tipo de ataque DDoS em que o número de solicitações POST sobrecarrega o servidor a ponto de ele não conseguir responder a todas as solicitações. Isso pode levar a uma utilização excepcionalmente alta recursos do sistema e, posteriormente, a uma parada de emergência do servidor.

Cada uma das solicitações HTTP descritas acima pode ser transmitida através de um protocolo seguro HTTPS. Neste caso, todos os dados enviados entre o cliente (atacante) e o servidor são criptografados. Acontece que a “segurança” aqui faz o jogo dos invasores: para identificar uma solicitação maliciosa, o servidor deve primeiro descriptografá-la. Aqueles. Você precisa descriptografar todo o fluxo de solicitações, que são muitas durante um ataque DDoS. Isso cria carga adicional no servidor da vítima.

Inundação SYN(TCP/SYN) estabelece conexões semiabertas com o host. Quando a vítima recebe um pacote SYN via porta aberta, ele deverá responder com um pacote SYN-ACK e estabelecer uma conexão. Depois disso, o iniciador envia uma resposta com um pacote ACK ao destinatário. Este processo convencionalmente chamado de aperto de mão. No entanto, durante um ataque de inundação SYN, o handshake não pode ser concluído porque o invasor não responde ao SYN-ACK do servidor vítima. Essas conexões permanecem semiabertas até que o tempo limite expire, a fila de conexão fique cheia e novos clientes não consigam se conectar ao servidor.

Inundação UDP são mais frequentemente usados ​​para ataques DDoS de banda larga devido à sua natureza sem sessão, bem como à facilidade de criação de mensagens do Protocolo 17 (UDP) em várias linguagens de programação.

Inundação ICMP. O Internet Control Message Protocol (ICMP) é usado principalmente para mensagens de erro e não para transmissão de dados. Os pacotes ICMP podem acompanhar os pacotes TCP ao se conectar a um servidor. Inundação ICMP - Método DDoS ataques na camada 3 do modelo OSI, que utiliza mensagens ICMP para sobrecarregar o canal de rede da pessoa atacada.

Inundação MAC- um tipo raro de ataque em que o invasor envia vários quadros Ethernet vazios com endereços MAC diferentes. Os switches de rede consideram cada endereço MAC separadamente e, como resultado, reservam recursos para cada um deles. Quando toda a memória do switch é usada, ele para de responder ou é desligado. Em alguns tipos de roteadores, um ataque de inundação MAC pode causar a exclusão de tabelas de roteamento inteiras, interrompendo assim toda a rede.

Classificação e objetivos dos ataques DDoS por níveis OSI

Usos da Internet Modelo OSI. No total, são 7 níveis no modelo, que abrangem todos os meios de comunicação: começando pelo ambiente físico (1º nível) e terminando no nível de aplicação (7º nível), no qual os programas “se comunicam” entre si.

Os ataques DDoS são possíveis em cada um dos sete níveis. Vamos dar uma olhada neles.

Camada OSI 7: Aplicado

O que fazer: Monitoramento de aplicações – monitoramento sistemático de software que utiliza um conjunto específico de algoritmos, tecnologias e abordagens (dependendo da plataforma em que o software é usado) para identificar vulnerabilidades de aplicações de dia 0 (ataques de camada 7). Ao identificar tais ataques, eles podem ser interrompidos de uma vez por todas e sua origem pode ser rastreada. Isso é feito de forma mais simples nesta camada.

Camada OSI 6: Executivo

O que fazer: Para mitigar os danos, considere medidas como distribuir a infraestrutura de criptografia SSL (ou seja, hospedar SSL em um ótimo servidor, se possível) e inspecionar o tráfego do aplicativo em busca de ataques ou violações de políticas na plataforma do aplicativo. Uma boa plataforma garantirá que o tráfego seja criptografado e enviado de volta à infraestrutura de origem com o conteúdo descriptografado residindo na memória segura do nó bastião seguro.

Camada OSI 5: Sessão

O que fazer: suporte a firmware hardware atualizados para reduzir o risco de uma ameaça.

Camada OSI 4: Transporte

O que fazer: Filtrar o tráfego DDoS, conhecido como blackholing, é um método frequentemente usado pelos provedores para proteger os clientes (nós mesmos usamos esse método). No entanto, essa abordagem torna o site do cliente inacessível tanto para tráfego malicioso quanto para tráfego de usuários legítimos. No entanto, o bloqueio de acesso é usado pelos provedores para combater ataques DDoS para proteger os clientes de ameaças como lentidão de equipamentos de rede e falhas de serviço.

Camada OSI 3: Rede

O que fazer: Limitar o número de solicitações processadas via protocolo ICMP e reduzir o possível impacto desse tráfego na velocidade do Firewall e na largura de banda da Internet.

Camada OSI 2: Duto

O que fazer: Muitos switches modernos podem ser configurados de forma que o número de endereços MAC seja limitado a endereços confiáveis ​​que passam nas verificações de autenticação, autorização e contabilidade no servidor (protocolo AAA) e são posteriormente filtrados.

Camada OSI 1: Físico

O que fazer: Utilize uma abordagem sistemática para monitorar o desempenho dos equipamentos de rede física.

Mitigação de ataques DoS/DDoS em grande escala

Embora um ataque seja possível em qualquer nível, os ataques nas camadas 3-4 e 7 do modelo OSI são especialmente populares.

• Ataques DDoS de 3º e 4º níveis - ataques de infraestrutura - tipos de ataques baseados no uso de um grande volume, fluxo de dados poderoso (inundação) no nível da infraestrutura de rede e no nível de transporte, a fim de desacelerar o servidor web e “preenchê-lo” o canal e, em última análise, impedir que outros usuários acessem o recurso. Esses tipos de ataques normalmente incluem inundações ICMP, SYN e UDP.
• O ataque DDoS de nível 7 é um ataque que envolve a sobrecarga de alguns elementos específicos da infraestrutura do servidor de aplicativos. Os ataques da camada 7 são particularmente sofisticados, ocultos e difíceis de detectar devido à sua semelhança com o tráfego útil da web. Mesmo os ataques mais simples da Camada 7, como tentar fazer login com um nome de usuário e senha arbitrários ou repetir pesquisas arbitrárias em páginas dinâmicas da Web, podem carregar criticamente a CPU e os bancos de dados. Os invasores DDoS também podem alterar repetidamente as assinaturas dos ataques da Camada 7, tornando-os ainda mais difíceis de reconhecer e eliminar.

Algumas ações e equipamentos para mitigar ataques:

• Firewalls com inspeção dinâmica de pacotes
• Mecanismos de proxy SYN dinâmicos
• Limitando o número de SYNs por segundo para cada endereço IP
• Limite o número de SYNs por segundo para cada endereço IP remoto
• Instalando telas de inundação ICMP em um firewall
• Instalando telas de inundação UDP em um firewall
• Limitando a velocidade dos roteadores adjacentes a firewalls e redes

11.11.2012

Sob a inundação Isso significa um enorme fluxo de dados em forma de mensagens, que são enviadas para postagem em diversos fóruns e chats. Se você olhar de um ponto de vista técnico, enchente- este é um dos mais comuns tipos de ataque informático, e seu objetivo é enviar um número tão grande de solicitações que o hardware do servidor será forçado a executar negação de serviço serviços ao usuário. Se atacar tecnologia informática realizado a partir de um grande número de computadores, então você está lidando com arquivos .

Existem vários tipos de ataques de inundação DDoS, os principais estão listados abaixo:

• Inundação SYN-ACK
• Inundação HTTP
• Inundação ICMP
• Inundação UDP

Inundação SYN-ACK

Inundação SYN-ACK- um dos tipos ataques de rede, que se baseia no envio de um grande número de solicitações SYN por unidade de tempo. O resultado será a desativação do serviço, cujo funcionamento era baseado no protocolo TCP. Primeiro, o cliente envia ao servidor um pacote contendo um sinalizador SYN, cuja presença indica o desejo do cliente de estabelecer uma conexão. O servidor, por sua vez, envia um pacote de resposta. Além do flag SYN, contém também um flag ACK, que chama a atenção do cliente para o fato de que a solicitação foi aceita e se espera a confirmação da conexão por parte do cliente. Ele responde com um pacote com um sinalizador ACK indicando uma conexão bem-sucedida. O servidor armazena todas as solicitações de “conexão” dos clientes em uma fila de determinado tamanho. As solicitações são mantidas em fila até que o sinalizador ACK seja retornado do cliente. Um ataque SYN é baseado no envio de pacotes ao servidor de uma fonte inexistente, cujo número de pacotes excede o tamanho da fila. O servidor simplesmente não será capaz de responder ao pacote no endereço fictício. A fila não diminuirá e o serviço deixará de funcionar.

Inundação HTTP

Inundação HTTP- aplica-se quando o serviço opera com banco de dados. O ataque visa ou servidor web, ou para um script trabalhando com o banco de dados. Um grande número de solicitações GET são enviadas para a porta 80 para que o servidor web não possa prestar a devida atenção a solicitações de outros tipos. Os arquivos de log aumentam de tamanho e o trabalho com o banco de dados torna-se impossível.

Inundação ICMP

Inundação ICMP- maneira simples redução no rendimento E cargas crescentes na pilha usando meios de enviar solicitações ICMP PING semelhantes. É perigoso prestar pouca atenção aos firewalls, uma vez que um servidor que responde a intermináveis ​​solicitações ECHO está condenado. Portanto, no caso da mesma quantidade de insumos e tráfego de saída basta escrever as regras em tabelas de ip.

Inundação UDP

Inundação UDP- outra maneira desordem de largura de banda, baseado em um protocolo que não requer sincronização antes do envio de dados. O ataque se resume a simplesmente enviar um pacote para a porta UDP do servidor. Depois de receber o pacote, o servidor começa a processá-lo intensamente. O cliente então envia pacotes UDP com conteúdo incorreto, um após o outro. Como resultado, as portas deixarão de funcionar e o sistema travará.

Basicamente, para determinar tipo de ataque DDoS Muitas vezes não é necessário gastar muito tempo. Basta conhecer alguns sinais. Se significativamente O tamanho dos arquivos de log aumentou– Você está lidando com Inundação HTTP. Se o acesso ao serviço é limitado como resultado de exceder o número de conexões permitidas - isto é Inundação SYN-ACK. Em caso o tráfego de saída e entrada são aproximadamente iguais– Você está lidando com Inundação ICMP. O principal é não esquecer de manter segurança do seu servidor de DDoS e preste a devida atenção a isso. O melhor é cuidar

Sua manhã começa lendo relatórios de bugs e analisando logs. Você diariamente
atualize o software e atualize as regras do firewall de hora em hora. Snort é o seu melhor
amigo, e Zabbix é um assistente invisível. Você construiu um verdadeiro bastião ao qual
não pode ser alcançado de nenhum dos lados. Mas! Você está completamente indefeso contra si mesmo
O ataque mais insidioso e sorrateiro do mundo é o DDoS.

É difícil dizer quando o termo ataque DoS apareceu pela primeira vez. Especialistas dizem
por volta de 1996, sugerindo simultaneamente que este tipo de ataque “atingiu” o público em geral apenas em
1999, quando, um após o outro, os sites da Amazon, Yahoo, CNN e eBay foram atingidos.
Ainda antes, o efeito DoS foi usado para testar a estabilidade dos sistemas e
canais de comunicação. Mas se você se aprofundar e usar o termo DoS para
designação do fenômeno, fica claro que ele sempre existiu, desde a época
os primeiros mainframes. Pense nisso como um meio de intimidação
começou muito mais tarde.

Em termos simples, os ataques DoS são algum tipo de ataque malicioso
atividades destinadas a levar o sistema de computador a tal
estado onde não será capaz de atender usuários legítimos ou
desempenhar corretamente as funções que lhe são atribuídas. Ao estado de "recusa em
manutenção" geralmente resultam de erros no software ou carga excessiva na rede
canal ou sistema como um todo. Como resultado, o software ou todo o sistema operacional
máquina, “cai” ou fica em um estado “em loop”. E isso ameaça
tempo de inatividade, perda de visitantes/clientes e prejuízos.

Anatomia dos ataques DoS

Os ataques DoS são divididos em locais e remotos. Os locais incluem
vários exploits, fork bombs e programas que abrem um milhão de arquivos ou
executando algum tipo de algoritmo cíclico que consome memória e CPU
recursos. Não vamos insistir em tudo isso. Mas ataques DoS remotos
Vamos dar uma olhada mais de perto. Eles são divididos em dois tipos:

1. Exploração remota de erros em software para torná-lo inoperante
   estado.
2. Inundação - envio de uma enorme quantidade de coisas sem sentido (menos comumente
   – pacotes significativos). O objetivo da inundação pode ser um canal de comunicação ou recursos
   carros. No primeiro caso, o fluxo de pacotes ocupa todo o canal de largura de banda e não
   dá à máquina atacada a capacidade de processar solicitações legítimas. No segundo
   - os recursos da máquina são capturados através de operações repetidas e muito frequentes
   acessando qualquer serviço que execute tarefas complexas e que consumam muitos recursos
   operação. Isto poderia ser, por exemplo, uma chamada longa para um dos
   componentes ativos (script) do servidor web. O servidor desperdiça todos os recursos da máquina
   para processar as solicitações do invasor e os usuários precisam esperar.

Na versão tradicional (um atacante - uma vítima) agora permanece
Apenas o primeiro tipo de ataque é eficaz. As inundações clássicas são inúteis. Só porque
que com a largura do canal do servidor atual, o nível de poder de computação e
uso generalizado de várias técnicas anti-DoS em software (por exemplo, atraso
quando as mesmas ações são executadas repetidamente pelo mesmo cliente), o invasor
se transforma em um mosquito irritante, incapaz de infligir qualquer
dano. Mas se houver centenas, milhares ou mesmo centenas de milhares destes mosquitos, eles
colocará facilmente o servidor sobre seus ombros. A multidão é uma força terrível não só na vida, mas também na
mundo da informática. Ataque distribuído de negação de serviço (DDoS)
geralmente realizado usando muitos hosts zumbificados, pode
cortado de mundo exterior até mesmo o servidor mais persistente e o único eficaz
proteção - organização sistema distribuído servidores (mas está longe de ser acessível
nem todos, olá Google).

Métodos de luta

O perigo da maioria dos ataques DDoS reside na sua absoluta transparência e
"normalidade". Afinal, se um erro de software sempre pode ser corrigido, então conclua
Devorar recursos é uma ocorrência quase comum. Muitas pessoas os encontram
administradores, quando os recursos da máquina (largura do canal) se tornam insuficientes,
ou o site está sujeito a um efeito de barra (twitter.com ficou indisponível após
poucos minutos após a primeira notícia da morte de Michael Jackson). E se você cortar
tráfego e recursos para todos, você será salvo de DDoS, mas perderá bons
metade dos clientes.

Não há praticamente nenhuma saída para esta situação, mas as consequências dos ataques DDoS e seus
a eficiência pode ser significativamente reduzida pelo ajuste adequado
roteador, firewall e análise contínua de anomalias em tráfego de rede. EM
Na próxima parte do artigo consideraremos sequencialmente:

• métodos para reconhecer um ataque DDoS incipiente;
• métodos para combater tipos específicos de ataques DDoS;
• dicas universais que ajudarão você a se preparar para um ataque DoS e
  reduzir sua eficácia.

No final, será dada a resposta à pergunta: o que fazer quando o
Ataque DDoS.

Combatendo ataques de inundação

Portanto, existem dois tipos de ataques DoS/DDoS, e o mais comum é
baseia-se na ideia de inundar, ou seja, sobrecarregar a vítima com uma grande quantidade de pacotes.
Existem diferentes inundações: inundação ICMP, inundação SYN, inundação UDP e inundação HTTP. Moderno
Os bots DoS podem usar todos esses tipos de ataques simultaneamente, então você deve
tome cuidado com antecedência para obter proteção adequada contra cada um deles.

1. Inundação ICMP.

Um método muito primitivo de obstruir a largura de banda e criar cargas em
pilha de rede através do envio monótono de solicitações ICMP ECHO (ping). Facilmente
detectado analisando fluxos de tráfego em ambas as direções: durante um ataque
como a inundação ICMP, eles são quase idênticos. Uma maneira quase indolor de
a proteção é baseada na desativação de respostas a solicitações ICMP ECHO:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Ou usando um firewall:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. Inundação SYN.

Uma das maneiras comuns não apenas de obstruir um canal de comunicação, mas também de introduzir
pilha de rede sistema operacional para um estado onde ele não pode mais
aceitar novas solicitações de conexão. Com base na tentativa de inicialização
um grande número de conexões TCP simultâneas enviando um pacote SYN com
endereço de retorno inexistente. Depois de várias tentativas de envio de resposta
ACK para um endereço inacessível, a maioria dos sistemas operacionais instala um pacote não especificado
conexão com a fila. E somente após a enésima tentativa a conexão é encerrada. Porque
o fluxo de pacotes ACK é muito grande, logo a fila fica cheia e o kernel
recusa tentativas de abrir uma nova conexão. Os bots DoS mais inteligentes também são
analisar o sistema antes de lançar um ataque para enviar solicitações apenas para abrir
portos vitais. É fácil identificar tal ataque: basta
tente conectar-se a um dos serviços. As medidas defensivas são geralmente
incluem:

Aumentando a fila de conexões TCP "semiabertas":

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Reduzindo o tempo de espera de conexões "semiabertas":

# sysctl -w net.ipv4.tcp_synack_retries=1

Habilitando o mecanismo de sincookies TCP:

# sysctl -w net.ipv4.tcp_syncookies=1

Limitar o número máximo de conexões "semiabertas" de um IP para
porta específica:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above
10 -j QUEDA

3. Inundação UDP.

Um método típico de sobrecarregar a largura de banda. Baseado em uma premissa infinita
Pacotes UDP para portas de vários serviços UDP. Facilmente removido cortando
tais serviços do mundo exterior e estabelecendo um limite para o número de conexões em
unidade de tempo para o servidor DNS no lado do gateway:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-above 1

4. Inundação HTTP.

Um dos métodos mais comuns de inundação hoje. Baseado em
enviando incessantemente mensagens HTTP GET para a porta 80 para fazer download
servidor web para que não consiga processar tudo
outros pedidos. Muitas vezes o alvo de uma inundação não é a raiz do servidor web, mas um dos
scripts que executam tarefas que consomem muitos recursos ou trabalham com um banco de dados. Em qualquer
Nesse caso, um crescimento anormalmente rápido dos logs servirá como um indicador do início de um ataque.
servidor web.

Os métodos para combater a inundação HTTP incluem o ajuste do servidor web e do banco de dados
a fim de reduzir o efeito do ataque, bem como filtrar bots DoS usando
diversas técnicas. Primeiro, você deve aumentar o número máximo de conexões para
banco de dados ao mesmo tempo. Em segundo lugar, instalar o servidor web Apache na frente dele é fácil
e nginx produtivo - ele armazenará solicitações em cache e servirá dados estáticos. Esse
solução da lista “must have”, que não só reduzirá o efeito dos ataques DoS, mas também
permitirá que o servidor suporte cargas enormes. Um pequeno exemplo:

# vi /etc/nginx/nginx.conf
# Aumenta o número máximo de arquivos usados
trabalhador_rlimit_nofile 80000;
eventos (
# Aumenta o número máximo de conexões
conexões_de_trabalhador 65536;
# Use o método epoll eficiente para lidar com conexões
usar epoll;
}
http(
gzip desativado;
# Desativa o tempo limite para fechar conexões keep-alive
keepalive_timeout 0;
# Não forneça a versão do nginx no cabeçalho de resposta
server_tokens desativado;
#Redefinir conexão devido ao tempo limite
reset_timedout_connection ativado;
}
# Configurações padrão para trabalhar como proxy
servidor (
ouça 111.111.111.111 padrão adiado;
nome_servidor host.com www.host.com;
log_format IP $remote_addr;
localização/(
proxy_pass http://127.0.0.1/;
}
localização ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
raiz /home/www/host.com/httpdocs;
}
}

Se necessário, você pode usar o módulo nginx
ngx_http_limit_req_module, que limita o número de conexões simultâneas com
um endereço (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Scripts que consomem muitos recursos podem ser protegidos contra bots usando atrasos e botões "Clique"
mim", configuração de cookies e outras técnicas destinadas a verificar
"humanidade".

Para evitar entrar em uma situação desesperadora durante uma tempestade DDoS em
sistemas, é necessário prepará-los cuidadosamente para tal situação:

1. Todos os servidores com acesso direto à rede externa devem ser
   preparado para uma reinicialização remota simples e rápida (sshd salvará meu pai
   democracia russa). Ter um segundo será uma grande vantagem,
   administrativa, interface de rede através da qual você pode acessar
   para o servidor se o canal principal estiver obstruído.
2. O software utilizado no servidor deve estar sempre atualizado
   doença. Todos os buracos são corrigidos, atualizações são instaladas (tão simples quanto
   boot, conselho que muitos não seguem). Isso irá protegê-lo contra ataques DoS,
   explorando bugs em serviços.
3. Todos os serviços de rede de escuta destinados a fins administrativos
   o uso deve ser escondido atrás de um firewall de qualquer pessoa que não deveria
   tenha acesso a eles. Então o invasor não poderá usá-los para realizar
   Ataques DoS ou força bruta.
4. Nas abordagens do servidor (o roteador mais próximo) deve ser instalado
   sistema de análise de tráfego (NetFlow para ajudar), que permitirá
   descubra sobre um ataque recebido e tome medidas oportunas para evitá-lo.

Adicione as seguintes linhas ao /etc/sysctl.conf:

# vi /etc/sysctl.conf
# Proteção anti-falsificação
net.ipv4.conf.default.rp_filter = 1
# Verifique a conexão TCP a cada minuto. Se do outro lado - legal
máquina, ela responderá imediatamente. O valor padrão é 2 horas.
net.ipv4.tcp_keepalive_time = 60
# Tente novamente após dez segundos
net.ipv4.tcp_keepalive_intvl = 10
# Número de verificações antes de fechar a conexão
net.ipv4.tcp_keepalive_probes = 5

Deve-se notar que todas as técnicas fornecidas nas seções anteriores e nesta
visam reduzir a eficácia dos ataques DDoS destinados a
consumir os recursos da máquina. Proteja-se de inundações que obstruem o canal com lixo
praticamente impossível, e o único correto, mas nem sempre viável
a maneira de lutar é “privar o ataque de sentido”. Se você tiver em
você tem à sua disposição um canal verdadeiramente amplo que passará facilmente o tráfego
botnet pequeno, considere que seu servidor está protegido contra 90% dos ataques. Existem mais
método sofisticado de proteção. É baseado em uma organização distribuída
rede de computadores, que inclui muitos servidores redundantes que
conectado a diferentes canais principais. Ao computar potência ou
a capacidade do canal se esgota, todos os novos clientes são redirecionados
para outro servidor (ou são gradualmente “espalhados” entre servidores de acordo com o princípio
round-robin). Esta é uma estrutura incrivelmente cara, mas muito estável, preencha
o que é quase impossível.

Outros mais ou menos solução eficaz consiste em comprar caro
sistemas de hardware Cisco Traffic Anomaly Detector e Cisco Guard. Trabalhando em
grupo, eles podem suprimir um ataque recebido, mas como a maioria dos outros
as decisões baseadas na aprendizagem e na análise do estado falham. Portanto deveria
pense bem antes de extorquir dezenas de milhares de seus chefes
dólares para tal proteção.

Parece que começou. O que fazer?

Antes do início imediato do ataque, os bots “aquecem”, gradativamente
aumentando o fluxo de pacotes para a máquina atacada. É importante aproveitar o momento e começar
ações ativas. O monitoramento constante do roteador ajudará nisso,
conectado a uma rede externa (análise de gráficos NetFlow). No servidor da vítima
Você pode determinar o início de um ataque usando meios improvisados.

A presença de inundação SYN é facilmente estabelecida - contando o número de "semi-abertos"
Conexões TCP:

# netstat -na | grep ":80\" | grepSYN_RCVD

Numa situação normal não deveria haver nenhum (ou uma quantidade muito pequena:
máximo 1-3). Se este não for o caso, você está sob ataque, prossiga imediatamente para descartar
atacantes.

A inundação de HTTP é um pouco mais complicada. Primeiro você precisa contar o número
Processos Apache e número de conexões na porta 80 (inundação HTTP):

#ps aux | grephttpd | wc-l
# netstat -na | grep ":80\" | wc-l

Valores várias vezes superiores à média estatística justificam
pense sobre isso. Em seguida, você deve visualizar a lista de endereços IP de onde vêm as solicitações
para conexão:

# netstat -na | grep ":80\" | classificar | único -c | classificar -nr | menos

É impossível identificar inequivocamente um ataque DoS, você só pode confirmar o seu;
adivinha a presença de um se um endereço for repetido demais na lista
vezes (e mesmo assim, isso pode indicar visitantes atrás do NAT).
A confirmação adicional seria a análise de pacotes usando tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst porta 80 e servidor IP host

Um indicador é um grande fluxo de monótono (e não contendo útil)
informações) pacotes de diferentes IPs direcionados para a mesma porta/serviço (por exemplo,
a raiz do servidor web ou um script cgi específico).

Tendo finalmente decidido, começamos a descartar pessoas indesejadas por endereços IP (haverá
muito mais eficaz se você fizer isso em um roteador):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j
DERRUBAR

Ou diretamente por sub-rede:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j
DERRUBAR

Isto lhe dará uma vantagem inicial (muito pequena; geralmente o endereço IP de origem
falsificado), que você deve usar para abordar
provedor/hoster (com logs do servidor web, kernel,
firewall e uma lista de endereços IP que você identificou). A maioria deles, é claro,
irá ignorar esta mensagem (e as empresas de hospedagem que pagam pelo tráfego também ficarão felizes -
Um ataque DoS lhes trará lucro) ou eles simplesmente desligarão seu servidor. Mas em qualquer caso
Neste caso, isso deve ser feito – é possível uma proteção eficaz contra DDoS
apenas nos canais principais. Sozinho você pode lidar com pequenos ataques
com o objetivo de esgotar os recursos do servidor, mas você ficará indefeso contra
DDoS mais ou menos sério.

Combatendo DDoS no FreeBSD

Reduzimos o tempo de espera de um pacote de resposta a uma solicitação SYN-ACK (proteção contra
Inundação SYN):

# sysctl net.inet.tcp.msl=7500

Transformando o servidor em um buraco negro. Desta forma o kernel não enviará pacotes de resposta quando
tentando se conectar a portas desocupadas (reduz a carga na máquina durante
DDoS em portas aleatórias):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Limitamos o número de respostas a mensagens ICMP a 50 por segundo (proteção contra
Inundação ICMP):

# sysctl net.inet.icmp.icmplim=50

Aumentamos o número máximo de conexões ao servidor (proteção de todos
tipos de DDoS):

# sysctl kern.ipc.somaxconn=32768

Ativar DEVICE_POLLING - pesquisa independente driver de rede núcleo em
cargas altas (reduz significativamente a carga no sistema durante DDoS):

1. Reconstruímos o kernel com a opção "options DEVICE_POLLING";
2. Ative o mecanismo de votação: "sysctl kern.polling.enable=1";
3. Adicione a entrada "kern.polling.enable=1" a /etc/sysctl.conf.

Internet ingênua

No seu apogeu, os ataques DoS foram um verdadeiro desastre para os servidores
e estações de trabalho regulares. O site pode ser facilmente removido usando
um único host que implementa um ataque do tipo Smurf. Estações de trabalho com
O sistema operacional Windows instalado caiu como dominó em ataques como Ping of Death, Land,
WinNuke. Hoje não há necessidade de temer tudo isso.

Maiores botnets

400 mil
computadores.
- 315 mil
computadores.
Bobax - 185 mil computadores.
Rustock - 150 mil computadores.
Tempestade - 100 mil computadores.
Psybot - 100 mil roteadores ADSL baseados em Linux.
Botnet BBC - 22 mil computadores.
,
criado pela BBC.

Um traço na história

1997 – Ataque DDoS no site da Microsoft. Um dia de silêncio.
1999 – os sites do Yahoo, CNN, eBay e outros estavam “fora de alcance”.
Outubro de 2002 – ataque aos servidores DNS raiz da Internet. Por um tempo houve
7 dos 13 servidores foram desativados.
21 de fevereiro de 2003 – ataque DDoS em LiveJournal.com. Serviço de dois dias
estava paralisado, apenas ocasionalmente mostrando sinais de vida.

Sistemas inteligentes

INFORMAÇÕES

Round-robin - algoritmo de balanceamento de carga de computação distribuída
sistema pesquisando seus elementos em um ciclo circular.