Záplavy sú najjednoduchším a najbežnejším spôsobom vykonávania DDoS útokov. Záplava je najjednoduchší a najbežnejší spôsob vykonávania DDoS útokov Existuje niekoľko typov DDoS útokov pomocou záplavy, hlavné sú uvedené nižšie

Základné pojmy kybernetickej bezpečnosti sú dostupnosť, integrita a dôvernosť. Útoky Denial of Service (DoS) ovplyvňujú dostupnosť informačných zdrojov. Odmietnutie služby sa považuje za úspešné, ak vedie k nedostupnosti informačného zdroja. Rozdiel medzi úspešnosťou útoku a dopadom na cieľové zdroje je v tom, že dopad spôsobí poškodenie obete. Ak je napríklad napadnutý internetový obchod, dlhodobé odmietnutie služby môže spoločnosti spôsobiť finančné straty. V každom konkrétnom prípade môže aktivita DoS buď priamo spôsobiť škodu, alebo vytvoriť hrozbu a potenciálne riziko straty.

Po prvé D V DDoS znamená distribuované: distribuovaný útok odmietnutia služby. V tomto prípade hovoríme o obrovskom množstve škodlivých požiadaviek, ktoré prichádzajú na server obete z mnohých rôznych miest. Typicky sú takéto útoky organizované prostredníctvom botnetov.

V tomto článku sa bližšie pozrieme na to, aké typy DDoS prevádzky a aké typy DDoS útokov existujú. Pre každý typ útoku budú poskytnuté stručné odporúčania na zabránenie a obnovenie funkčnosti.

Typy DDoS prevádzky

Najjednoduchším typom prevádzky sú požiadavky HTTP. Pomocou takýchto požiadaviek napríklad každý návštevník komunikuje s vašou stránkou prostredníctvom prehliadača. Základom požiadavky je HTTP hlavička.

HTTP hlavička. HTTP hlavičky sú polia, ktoré popisujú, aký druh zdroja sa požaduje, ako je URL alebo formulár alebo JPEG. Hlavičky HTTP tiež informujú webový server o tom, aký typ prehliadača sa používa. Najbežnejšie hlavičky HTTP sú ACCEPT, LANGUAGE a USER AGENT.

Žiadateľ môže použiť toľko hlavičiek, koľko chce, čím im poskytne požadované vlastnosti. DDoS útočníci môžu modifikovať tieto a mnohé ďalšie HTTP hlavičky, čo sťažuje ich odhalenie. Okrem toho môžu byť hlavičky HTTP napísané takým spôsobom, aby riadili ukladanie do vyrovnávacej pamäte a služby proxy. Môžete napríklad prikázať proxy serveru, aby neukladal informácie do vyrovnávacej pamäte.

HTTP GET

• Požiadavka HTTP(S) GET je metóda, ktorá vyžaduje informácie zo servera. Táto požiadavka môže požiadať server, aby odovzdal nejaký súbor, obrázok, stránku alebo skript, aby ich mohol zobraziť v prehliadači.
• HTTP(S) GET metóda záplavy DDoS útoky a aplikačná vrstva (7) modelu OSI, v ktorej útočník posiela silný prúd požiadaviek na server, aby zahltil jeho zdroje. Výsledkom je, že server nemôže reagovať nielen na požiadavky hackerov, ale ani na požiadavky skutočných klientov.

HTTP POST

• HTTP(S) POST požiadavka je metóda, pri ktorej sú dáta umiestnené do tela požiadavky na následné spracovanie na serveri. Požiadavka HTTP POST zakóduje prenášané informácie a umiestni ich do formulára a potom odošle tento obsah na server. Táto metóda používa sa, keď je potrebné preniesť veľké množstvo informácií alebo súborov.
• HTTP(S) POST flood je typ DDoS útoku, pri ktorom počet požiadaviek POST zahltí server natoľko, že server nie je schopný odpovedať na všetky požiadavky. To môže viesť k mimoriadne vysokému využitiu systémové prostriedky a následne na núdzové zastavenie servera.

Každá z vyššie opísaných požiadaviek HTTP môže byť prenášaná cez zabezpečený protokol HTTPS. V tomto prípade sú všetky dáta odosielané medzi klientom (útočníkom) a serverom šifrované. Ukazuje sa, že „bezpečnosť“ tu hrá do rúk útočníkov: aby server mohol identifikovať škodlivú požiadavku, musí ju najskôr dešifrovať. Tie. Musíte dešifrovať celý prúd požiadaviek, ktorých je pri DDoS útoku veľa. To vytvára dodatočné zaťaženie servera obete.

SYN záplava(TCP/SYN) vytvorí polootvorené spojenie s hostiteľom. Keď obeť dostane paket SYN cez otvorený port, musí odpovedať paketom SYN-ACK a nadviazať spojenie. Potom iniciátor odošle odpoveď s ACK paketom príjemcovi. Tento proces bežne nazývané podanie ruky. Počas povodňového útoku SYN však podanie ruky nemožno dokončiť, pretože útočník neodpovedá na SYN-ACK servera obete. Takéto pripojenia zostanú napoly otvorené, kým nevyprší časový limit, kým sa front pripojení nezaplní a noví klienti sa nebudú môcť pripojiť k serveru.

UDP záplava sa najčastejšie používajú na širokopásmové útoky DDoS kvôli ich bezrelačnému charakteru, ako aj jednoduchosti vytvárania správ protokolu 17 (UDP) v rôznych programovacích jazykoch.

ICMP povodeň. Protokol ICMP (Internet Control Message Protocol) sa používa predovšetkým na chybové správy a nepoužíva sa na prenos údajov. ICMP pakety môžu sprevádzať TCP pakety pri pripájaní k serveru. ICMP záplava - metóda DDoSútoky na vrstve 3 modelu OSI, ktorý používa správy ICMP na preťaženie sieťového kanála napadnutej osoby.

MAC záplava- zriedkavý typ útoku, pri ktorom útočník posiela viacero prázdnych ethernetových rámcov s rôznymi MAC adresami. Sieťové prepínače zvažujú každú MAC adresu samostatne a v dôsledku toho rezervujú zdroje pre každú z nich. Keď sa použije celá pamäť na prepínači, buď prestane reagovať, alebo sa vypne. Na niektorých typoch smerovačov môže útok MAC záplava spôsobiť vymazanie celých smerovacích tabuliek, čím sa naruší celá sieť.

Klasifikácia a ciele DDoS útokov podľa úrovní OSI

Používanie internetu OSI model. Celkovo je v modeli 7 úrovní, ktoré pokrývajú všetky komunikačné médiá: počnúc fyzickým prostredím (1. úroveň) a končiac aplikačnou úrovňou (7. úroveň), na ktorej programy medzi sebou „komunikujú“.

DDoS útoky sú možné na každej zo siedmich úrovní. Poďme sa na ne pozrieť bližšie.

OSI vrstva 7: Aplikované

Čo robiť: Monitorovanie aplikácií – systematické monitorovanie softvéru, ktoré využíva špecifický súbor algoritmov, technológií a prístupov (v závislosti od platformy, na ktorej sa softvér používa) na identifikáciu 0-dňových zraniteľností aplikácií (útoky na 7. vrstve). Identifikáciou takýchto útokov ich možno raz a navždy zastaviť a vystopovať ich zdroj. To sa robí najjednoduchšie na tejto vrstve.

OSI vrstva 6: výkonný

Čo robiť: Na zmiernenie škôd zvážte opatrenia, ako je distribúcia infraštruktúry šifrovania SSL (t. j. hosťovanie SSL na skvelom serveri, ak je to možné) a kontrola prevádzky aplikácií na útoky alebo porušenia pravidiel na aplikačnej platforme. Dobrá platforma zabezpečí, že prevádzka bude zašifrovaná a odoslaná späť do pôvodnej infraštruktúry s dešifrovaným obsahom uloženým v zabezpečenej pamäti uzla zabezpečenej bašty.

OSI vrstva 5: Relácia

Čo robiť: Podpora firmvéru hardvér aktuálne, aby sa znížilo riziko ohrozenia.

OSI vrstva 4: Doprava

Čo robiť: Filtrovanie DDoS prevádzky, známe ako blackholing, je metóda často využívaná poskytovateľmi na ochranu zákazníkov (sami túto metódu používame). Tento prístup však robí stránku klienta nedostupnou pre zákernú návštevnosť aj pre legitímnu návštevnosť používateľov. Blokovanie prístupu však poskytovatelia využívajú na boj proti DDoS útokom na ochranu zákazníkov pred hrozbami, akými sú spomalenie sieťových zariadení a výpadky služieb.

OSI vrstva 3: sieť

Čo robiť: Obmedzte počet spracovaných požiadaviek ICMP a znížte možný vplyv tejto prevádzky na rýchlosť brány firewall a šírku pásma internetu.

OSI vrstva 2: Potrubie

Čo robiť: Mnoho moderných prepínačov je možné nakonfigurovať tak, že počet MAC adries je obmedzený na spoľahlivé, ktoré prejdú overením, autorizáciou a účtovnou kontrolou na serveri (protokol AAA) a následne filtrované.

OSI vrstva 1: Fyzické

Čo robiť: Využite systematický prístup k monitorovaniu výkonu fyzických sieťových zariadení.

Zmiernenie rozsiahlych DoS/DDoS útokov

Hoci útok je možný na akejkoľvek úrovni, obzvlášť populárne sú útoky na vrstvách 3-4 a 7 modelu OSI.

• DDoS útoky na 3. a 4. úrovni - útoky na infraštruktúru - typy útokov založené na využití veľkého objemu, výkonného dátového toku (záplavy) na úrovni sieťovej infraštruktúry a transportnej úrovni s cieľom spomaliť webový server a „zaplniť“ kanál a v konečnom dôsledku zabrániť iným používateľom v prístupe k zdroju. Tieto typy útokov zvyčajne zahŕňajú záplavy ICMP, SYN a UDP.
• DDoS útok na úrovni 7 je útok, ktorý zahŕňa preťaženie niektorých špecifických prvkov infraštruktúry aplikačného servera. Útoky na 7. vrstve sú obzvlášť sofistikované, skryté a ťažko odhaliteľné kvôli ich podobnosti s užitočnou webovou prevádzkou. Dokonca aj tie najjednoduchšie útoky na 7. vrstve, ako je pokus o prihlásenie pomocou ľubovoľného používateľského mena a hesla alebo opakovanie ľubovoľného vyhľadávania na dynamických webových stránkach, môžu kriticky zaťažiť procesor a databázy. Útočníci DDoS môžu tiež opakovane meniť podpisy útokov na 7. vrstve, čo sťažuje ich rozpoznanie a elimináciu.

Niektoré akcie a vybavenie na zmiernenie útokov:

• Firewally s dynamickou kontrolou paketov
• Dynamické SYN proxy mechanizmy
• Obmedzenie počtu SYN za sekundu pre každú IP adresu
• Obmedzte počet SYN za sekundu pre každú vzdialenú IP adresu
• Inštalácia záplavových obrazoviek ICMP na firewall
• Inštalácia záplavových obrazoviek UDP na firewall
• Obmedzenie rýchlosti smerovačov susediacich s bránami firewall a sieťami

11.11.2012

Pod záplavou To znamená obrovský tok dát vo forme správ, ktoré sa posielajú na uverejnenie na rôznych fórach a chatoch. Ak sa na to pozriete z technického hľadiska, povodeň- toto je jedna z najbežnejších typy počítačových útokov a jeho účelom je odoslať taký počet požiadaviek, ktoré bude hardvér servera nútený vykonať odmietnutie služby užívateľské služby. Ak útočiť na výpočtovej techniky vykonávané z veľkého počtu počítačov, potom máte čo do činenia s .

Existuje niekoľko typov DDoS záplavových útokov, hlavné sú uvedené nižšie:

• SYN-ACK povodne
• HTTP záplava
• ICMP povodeň
• UDP záplava

SYN-ACK povodne

SYN-ACK povodne- jeden z typov sieťové útoky, ktorý je založený na odoslaní obrovského množstva požiadaviek SYN za jednotku času. Výsledkom bude vypnutie služby, ktorej fungovanie bolo založené na protokole TCP. Najprv klient odošle na server paket obsahujúci príznak SYN, ktorého prítomnosť indikuje želanie klienta nadviazať spojenie. Server následne odošle paket odpovede. Okrem príznaku SYN obsahuje aj príznak ACK, ktorý klienta upozorňuje na to, že požiadavka bola prijatá a od klienta sa očakáva potvrdenie spojenia. Odpovedá paketom s príznakom ACK označujúcim úspešné pripojenie. Server ukladá všetky požiadavky klientov na „pripojenie“ do fronty určitej veľkosti. Požiadavky sú držané vo fronte, kým sa od klienta nevráti príznak ACK. Útok SYN je založený na odosielaní paketov na server z neexistujúceho zdroja, pričom počet paketov presahuje veľkosť frontu. Server jednoducho nebude schopný odpovedať na paket na fiktívnej adrese. Fronta sa nezmenší a služba prestane fungovať.

HTTP záplava

HTTP záplava- platí, keď služba funguje s databázy. Útok je zameraný buď na webový server, alebo do skriptu pracujúceho s databázou. Obrovské množstvo požiadaviek GET sa posiela na port 80, takže webový server nemôže venovať náležitú pozornosť požiadavkám iných typov. Súbory denníkov sa zväčšujú a práca s databázou je nemožná.

ICMP povodeň

ICMP povodeň- jednoduchý spôsob zníženie priepustnosti A zvyšujúce sa zaťaženie na zásobník pomocou prostriedkov odosielania podobných požiadaviek ICMP PING. Je nebezpečné, ak sa bránam firewall venuje malá pozornosť, pretože server odpovedajúci na nekonečné požiadavky ECHO je odsúdený na zánik. Čiže v prípade rovnakého množstva vstupov a odchádzajúca prevádzka stačí napísať pravidlá iptables.

UDP záplava

UDP záplava- iným spôsobom neporiadok šírky pásma, založený na protokole, ktorý nevyžaduje synchronizáciu pred odoslaním dát. Útok spočíva v jednoduchom odoslaní paketu na UDP port servera. Po prijatí paketu ho server začne intenzívne spracovávať. Klient potom posiela Udp pakety s nesprávnym obsahom jeden po druhom. Výsledkom je, že porty prestanú fungovať a systém sa zrúti.

V podstate určiť typu DDoS útokuČasto nie je potrebné tráviť veľa času. Stačí poznať niekoľko znakov. Ak výrazne Veľkosť protokolových súborov sa zväčšila– Máte do činenia s HTTP záplava. Ak prístup k službe je obmedzený v dôsledku prekročenia počtu prípustných spojení - to je SYN-ACK povodne. V prípade odchádzajúce a prichádzajúce prevádzky sú približne rovnaké– Máte do činenia s ICMP povodeň. Hlavnou vecou je nezabudnúť na údržbu bezpečnosť vášho servera z DDoS a venovať mu náležitú pozornosť. Najlepšie je postarať sa

Vaše ráno začína čítaním správ o chybách a analýzou denníkov. Ty denne
aktualizujte softvér a aktualizujte pravidlá brány firewall každú hodinu. Snort je váš najlepší
priateľ a Zabbix je neviditeľný asistent. Postavili ste skutočnú baštu, ku ktorej
nedá sa dostať ani z jednej strany. Ale! Ste voči sebe úplne bezbranní
Najzákernejší a najzákernejší útok na svete je DDoS.

Ťažko povedať, kedy sa prvýkrát objavil pojem DoS útok. Odborníci hovoria
okolo roku 1996, pričom zároveň naznačuje, že tento typ útoku „dosiahol“ širokú verejnosť až v r
1999, kedy boli jeden po druhom zasiahnuté webové stránky Amazon, Yahoo, CNN a eBay.
Ešte skôr sa DoS efekt používal na testovanie stability systémov a
komunikačné kanály. Ale ak pôjdete hlbšie a použijete výraz DoS pre
označenie javu, je zrejmé, že existoval vždy, od tých čias
prvé sálové počítače. Myslite na to len ako na prostriedok zastrašovania
začalo oveľa neskôr.

Zjednodušene povedané, útoky DoS sú nejakým typom škodlivého
činnosti zamerané na priblíženie počítačového systému k takejto
stav, kde nebude môcť slúžiť legitímnym používateľom resp
správne vykonávať funkcie, ktoré sú mu priradené. Do stavu „odmietnutia v
údržba“ zvyčajne vyplývajú z chýb v softvéri alebo nadmerného zaťaženia siete
kanál alebo systém ako celok. V dôsledku toho softvér, alebo celý operačný systém
stroj „spadne“ alebo sa ocitne v „zacyklenom“ stave. A toto hrozí
prestoje, straty návštevníkov/zákazníkov a straty.

Anatómia útokov DoS

DoS útoky sa delia na lokálne a vzdialené. Medzi miestne patria
rôzne exploity, fork bomby a programy, ktoré otvoria milión súborov resp
spustený nejaký druh cyklického algoritmu, ktorý zaberá pamäť a CPU
zdrojov. Nebudeme sa nad tým všetkým pozastavovať. Ale vzdialené útoky DoS
Poďme sa na to pozrieť bližšie. Sú rozdelené do dvoch typov:

1. Vzdialené využitie chýb v softvéri s cieľom znefunkčniť ho
   štátu.
2. Povodeň – posielanie obrovského množstva nezmyselných (menej často
   – zmysluplné) balíčky. Účelom zaplavenia môže byť komunikačný kanál alebo zdroje
   autá. V prvom prípade tok paketov zaberá celý kanál šírky pásma a nie
   dáva napadnutému stroju schopnosť spracovať legitímne požiadavky. V druhom
   - strojové zdroje sa zachytávajú opakovane a veľmi často
   prístup k akejkoľvek službe, ktorá je komplexná a náročná na zdroje
   prevádzka. Môže to byť napríklad dlhý hovor s jedným z
   aktívne komponenty (skript) webového servera. Server plytvá všetkými zdrojmi stroja
   na spracovanie požiadaviek útočníka a používatelia musia čakať.

V tradičnej verzii (jeden útočník - jedna obeť) teraz zostáva
Účinný je iba prvý typ útoku. Klasické zatopenie je zbytočné. Len preto
že pri dnešnej šírke kanála servera, úrovni výpočtového výkonu a
rozšírené používanie rôznych anti-DoS techník v softvéri (napríklad oneskorenie
keď tie isté akcie opakovane vykonáva ten istý klient), útočník
sa premení na otravného komára, neschopného žiadneho spôsobiť
škody. Ale ak existujú stovky, tisíce alebo dokonca státisíce týchto komárov, sú
ľahko položí server na plece. Dav je strašná sila nielen v živote, ale aj v
počítačový svet. Distribuovaný útok odmietnutia služby (DDoS).
sa zvyčajne vykonáva pomocou mnohých zombifikovaných hostiteľov, môže
odrezať od vonkajší svet aj ten najtrvalejší server a jediný efektívny
ochrana – organizácia distribuovaný systém servery (ale nie je to ani zďaleka cenovo dostupné
nie všetci, ahoj Google).

Metódy boja

Nebezpečenstvo väčšiny DDoS útokov spočíva v ich absolútnej transparentnosti a
„normálnosti“. Koniec koncov, ak sa chyba v softvéri dá vždy opraviť, potom dokončite
Zhltnutie zdrojov je takmer bežný jav. Mnoho ľudí sa s nimi stretáva
správcovia, keď sa prostriedky stroja (šírka kanála) stanú nedostatočnými,
alebo webová stránka podlieha efektu slashdot (twitter.com sa stal nedostupným po
niekoľko minút po prvej správe o smrti Michaela Jacksona). A ak striháte
návštevnosť a zdroje pre všetkých, ušetríte sa pred DDoS, ale prídete o dobro
polovica klientov.

Z tejto situácie prakticky neexistuje východisko, ale dôsledky DDoS útokov a ich
účinnosť možno výrazne znížiť správnym vyladením
router, firewall a nepretržitá analýza anomálií sieťová prevádzka. IN
V ďalšej časti článku sa budeme zaoberať postupne:

• metódy na rozpoznanie začínajúceho DDoS útoku;
• metódy boja proti špecifickým typom DDoS útokov;
• univerzálne tipy, ktoré vám pomôžu pripraviť sa na DoS útok a
  znížiť jeho účinnosť.

Na samom konci bude daná odpoveď na otázku: čo robiť, keď
DDoS útok.

Boj proti povodňovým útokom

Existujú teda dva typy útokov DoS/DDoS a ten najbežnejší je
je založená na myšlienke záplavy, teda zavalenia obete obrovským množstvom balíkov.
Existujú rôzne záplavy: záplava ICMP, záplava SYN, záplava UDP a záplava HTTP. Moderné
DoS boti môžu používať všetky tieto typy útokov súčasne, takže by ste mali
vopred sa postarajte o primeranú ochranu pred každým z nich.

1. ICMP povodeň.

Veľmi primitívna metóda upchávania šírky pásma a vytvárania záťaže
sieťový zásobník prostredníctvom monotónneho odosielania ICMP ECHO požiadaviek (ping). Jednoducho
detekovaná analýzou dopravných tokov v oboch smeroch: počas útoku
ako ICMP flood, sú takmer totožné. Takmer bezbolestný spôsob
ochrana je založená na zakázaní odpovedí na požiadavky ICMP ECHO:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Alebo pomocou brány firewall:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. SYN záplava.

Jeden z bežných spôsobov, ako komunikačný kanál nielen upchať, ale aj zaviesť
sieťový zásobník operačný systém do stavu, kde už nemôže
prijímať nové žiadosti o pripojenie. Na základe pokusu o inicializáciu
veľký počet simultánnych TCP spojení odoslaním paketu SYN s
neexistujúca spiatočná adresa. Po niekoľkých pokusoch odoslať odpoveď
ACK paket na neprístupnú adresu, väčšina operačných systémov inštaluje nešpecifikovaný
pripojenie k frontu. A až po n-tom pokuse sa spojenie uzavrie. Pretože
tok ACK paketov je veľmi veľký, čoskoro sa zaplní front a jadro
odmieta pokusy o nadviazanie nového spojenia. Najinteligentnejší DoS roboti sú tiež
analyzovať systém pred spustením útoku s cieľom odosielať požiadavky iba na otvorenie
životne dôležité porty. Je ľahké identifikovať takýto útok: len
skúste sa pripojiť k niektorej zo služieb. Obranné opatrenia sú zvyčajne
zahŕňajú:

Zvýšenie frontu "polootvorených" pripojení TCP:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Zníženie doby zdržania „polootvorených“ pripojení:

# sysctl -w net.ipv4.tcp_synack_retries=1

Povolenie mechanizmu TCP syncookies:

# sysctl -w net.ipv4.tcp_syncookies=1

Obmedzenie maximálneho počtu „polootvorených“ pripojení z jednej IP na
konkrétny port:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above
10 -j KAPKA

3. UDP záplava.

Typická metóda zaplavovania šírky pásma. Na základe nekonečného predpokladu
UDP pakety na porty rôznych UDP služieb. Ľahko sa odstráni rezom
takéto služby z vonkajšieho sveta a stanovenie limitu na počet pripojení v
jednotka času na server DNS na strane brány:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-above 1

4. HTTP záplava.

Jeden z najbežnejších spôsobov zaplavovania súčasnosti. Na základe
nekonečné odosielanie správ HTTP GET na port 80 za účelom sťahovania
webový server tak, že nedokáže všetko spracovať
iné žiadosti. Cieľom záplavy často nie je koreň webového servera, ale jeden z
skripty, ktoré vykonávajú úlohy náročné na zdroje alebo pracujú s databázou. V akomkoľvek
V tomto prípade bude abnormálne rýchly rast guľatiny slúžiť ako indikátor začiatku útoku.
webový server.

Metódy boja proti záplave HTTP zahŕňajú ladenie webového servera a databázy
za účelom zníženia účinku útoku, ako aj skríningu pomocou robotov DoS
rôzne techniky. Najprv by ste mali zvýšiť maximálny počet pripojení
v rovnakom čase. Po druhé, inštalácia pred webový server Apache je jednoduchá
a produktívny nginx – ukladá požiadavky do vyrovnávacej pamäte a poskytuje statické údaje. Toto
riešenie zo zoznamu “must have”, ktoré nielen zníži efekt DoS útokov, ale aj
umožní serveru vydržať obrovské zaťaženie. Malý príklad:

# vi /etc/nginx/nginx.conf
# Zvýšte maximálny počet použitých súborov
worker_rlimit_nofile 80000;
udalosti (
# Zvýšte maximálny počet pripojení
worker_connections 65536;
# Na zvládnutie pripojení používajte efektívnu metódu epoll
použiť epoll;
}
http(
gzip vypnutý;
# Zakázať časový limit na zatvorenie udržiavacích spojení
keepalive_timeout 0;
# V hlavičke odpovede nedávajte verziu nginx
server_tokens vypnuté;
# Resetujte pripojenie z dôvodu časového limitu
reset_timedout_connection zapnuté;
}
# Štandardné nastavenia pracovať ako proxy
server(
počúvanie 111.111.111.111 predvolené odložené;
názov_servera host.com www.hostitel.com;
log_format IP $remote_addr;
umiestnenie/(
proxy_pass http://127.0.0.1/;
}
umiestnenie ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ (
root /home/www/host.com/httpdocs;
}
}

V prípade potreby môžete použiť modul nginx
ngx_http_limit_req_module, ktorý obmedzuje počet súčasných pripojení s
jedna adresa (http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html).
Skripty náročné na zdroje môžu byť chránené pred robotmi pomocou oneskorení, tlačidiel „Kliknutie“.
ja“, nastavenie cookies a ďalšie techniky zamerané na kontrolu
„ľudskosť“.

Aby ste sa počas búrky DDoS nedostali do beznádejnej situácie
systémov, je potrebné ich na takúto situáciu dôkladne pripraviť:

1. Všetky servery s priamym prístupom k externej sieti musia byť
   pripravený na jednoduchý a rýchly reštart na diaľku (sshd zachráni môjho otca
   Ruská demokracia). Mať druhý bude veľké plus,
   administratívne, sieťové rozhranie, cez ktoré máte prístup
   na server, ak je hlavný kanál upchatý.
2. Softvér používaný na serveri musí byť vždy aktuálny
   stave. Všetky diery sú opravené, aktualizácie sú nainštalované (jednoduché ako
   bota, rada, ktorú mnohí nedodržiavajú). To vás ochráni pred útokmi DoS,
   zneužívanie chýb v službách.
3. Všetky počúvacie sieťové služby určené na správu
   použitie musí byť skryté za firewallom pred každým, kto by nemal
   mať k nim prístup. Potom ich útočník nebude môcť použiť na vykonanie
   DoS útoky alebo hrubá sila.
4. Na prístupoch k serveru (najbližší smerovač) musí byť nainštalovaný
   systém analýzy návštevnosti (pomocou NetFlow), ktorý umožní včas
   zistiť prichádzajúci útok a prijať včasné opatrenia, aby sa mu zabránilo.

Pridajte nasledujúce riadky do /etc/sysctl.conf:

# vi /etc/sysctl.conf
# Ochrana proti spoofingu
net.ipv4.conf.default.rp_filter = 1
# Skontrolujte pripojenie TCP každú minútu. Ak na druhej strane - legálne
stroj, odpovie okamžite. Predvolená hodnota je 2 hodiny.
net.ipv4.tcp_keepalive_time = 60
# Skúste to znova po desiatich sekundách
net.ipv4.tcp_keepalive_intvl = 10
# Počet kontrol pred ukončením spojenia
net.ipv4.tcp_keepalive_probes = 5

Treba poznamenať, že všetky techniky uvedené v predchádzajúcej a tejto časti
sú zamerané na zníženie účinnosti DDoS útokov zameraných na
spotrebuje zdroje stroja. Chráňte sa pred povodňami, ktoré zanesú kanál odpadkami
prakticky nemožné a jediné správne, no nie vždy uskutočniteľné
spôsob boja je „zbaviť útok zmyslu“. Ak máte v
máte k dispozícii skutočne široký kanál, ktorý ľahko prejde premávkou
malý botnet, zvážte, že váš server je chránený pred 90 % útokov. Je ich viac
sofistikovaný spôsob ochrany. Je založená na distribuovanej organizácii
počítačová sieť, ktorá zahŕňa množstvo redundantných serverov, ktoré
pripojené k rôznym hlavným kanálom. Pri výpočtovom výkone resp
kapacita kanála sa vyčerpá, všetci noví klienti sú presmerovaní
na iný server (alebo sa postupne „rozširujú“ medzi servery podľa princípu
kolo-robin). Ide o neuveriteľne drahú, ale veľmi stabilnú štruktúru, výplň
čo je takmer nemožné.

Iné viac či menej efektívne riešenie pozostáva z drahého nákupu
hardvérové ​​systémy Cisco Traffic Anomaly Detector a Cisco Guard. Práca v
môžu potlačiť prichádzajúci útok, ale ako väčšina ostatných
rozhodnutia založené na učení a analýze stavu zlyhávajú. Preto by malo
dobre si premyslite, než vymámite desaťtisíce od svojich šéfov
dolárov za takúto ochranu.

Zdá sa, že sa to začalo. čo robiť?

Pred okamžitým začiatkom útoku sa roboty postupne „zahrievajú“.
zvýšenie toku paketov k napadnutému stroju. Dôležité je využiť moment a začať
aktívne akcie. Neustále monitorovanie smerovača v tom pomôže,
pripojený k externej sieti (analýza grafov NetFlow). Na serveri obete
Začiatok útoku môžete určiť pomocou improvizovaných prostriedkov.

Prítomnosť záplavy SYN sa dá ľahko zistiť - spočítaním počtu "polootvorených"
TCP spojenia:

# netstat -na | grep ":80\ " | grep SYN_RCVD

V normálnej situácii by nemali byť žiadne (alebo veľmi malé množstvo:
maximálne 1-3). Ak tomu tak nie je, ste pod útokom, okamžite pristúpte k poklesu
útočníkov.

Zahltenie HTTP je o niečo zložitejšie. Najprv musíte spočítať číslo
Procesy Apache a počet pripojení na porte 80 (záplava HTTP):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\ " | wc -l

Odôvodňujú to hodnoty niekoľkonásobne vyššie ako štatistický priemer
zamysli sa nad tým. Ďalej by ste mali zobraziť zoznam adries IP, z ktorých prichádzajú požiadavky
pre pripojenie:

# netstat -na | grep ":80\ " | triediť | uniq -c | zoradiť -č | menej

Nie je možné jednoznačne identifikovať útok DoS, môžete len potvrdiť svoj
háda o prítomnosti jednej adresy, ak sa jedna adresa v zozname príliš opakuje
krát (a aj vtedy to môže naznačovať návštevníkov za NAT).
Ďalším potvrdením by bola analýza paketov pomocou tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 a hostiteľský IP server

Indikátor je veľký tok monotónnych (a neobsahujúcich užitočné)
informácie) pakety z rôznych adries IP smerované na rovnaký port/službu (napr.
koreňový adresár webového servera alebo špecifický cgi skript).

Keď sme sa konečne rozhodli, začneme vyhadzovať nechcených ľudí podľa IP adries (budú
oveľa efektívnejšie, ak to urobíte na smerovači):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j
DROP

Alebo priamo cez podsieť:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j
DROP

To vám poskytne náskok (veľmi malý; často zdrojová adresa IP
sfalšovaný), ktorý musíte použiť na adresu
poskytovateľ/hostiteľ (s denníkmi webového servera, jadra,
firewall a zoznam IP adries, ktoré ste identifikovali). Väčšina z nich, samozrejme,
bude túto správu ignorovať (a budú mať radosť aj hostingové spoločnosti, ktoré platia za návštevnosť –
Útok DoS im prinesie zisk) alebo jednoducho vypnú váš server. Ale v každom prípade
V tomto prípade to treba urobiť – je možná účinná DDoS ochrana
iba na hlavných kanáloch. Sám zvládnete malé útoky
zameraný na vyčerpanie zdrojov servera, ale ocitnete sa bezbranný voči
viac či menej závažné DDoS.

Boj proti DDoS vo FreeBSD

Skrátime čas čakania na paket odpovede na požiadavku SYN-ACK (ochrana pred
SYN záplava):

# sysctl net.inet.tcp.msl=7500

Premena servera na čiernu dieru. Týmto spôsobom jadro nebude odosielať pakety odpovedí, keď
pri pokuse o pripojenie k neobsadeným portom (znižuje zaťaženie stroja počas
DDoS na náhodných portoch):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Počet odpovedí na správy ICMP obmedzujeme na 50 za sekundu (ochrana pred
ICMP záplava):

# sysctl net.inet.icmp.icmplim=50

Zvyšujeme maximálny počet pripojení k serveru (ochrana pred všetkými
typy DDoS):

# sysctl kern.ipc.somaxconn=32768

Povoliť DEVICE_POLLING – nezávislé hlasovanie sieťový ovládač jadro zapnuté
vysoké zaťaženie (výrazne znižuje zaťaženie systému počas DDoS):

1. Prebudujeme jadro s možnosťou "options DEVICE_POLLING";
2. Aktivujte mechanizmus výziev: "sysctl kern.polling.enable=1";
3. Pridajte položku "kern.polling.enable=1" do súboru /etc/sysctl.conf.

Naivný internet

V časoch najväčšej slávy boli útoky DoS pre servery skutočnou katastrofou
a bežné pracovné stanice. Webovú stránku je možné jednoducho odstrániť pomocou
jediný hostiteľ, ktorý implementuje útok typu Smurf. Pracovné stanice s
nainštalovaný operačný systém Windows padol ako domino z útokov ako Ping of Death, Land,
WinNuke. Dnes sa toho všetkého netreba báť.

Najväčšie botnety

400 tisíc
počítačov.
- 315 tisíc
počítačov.
Bobax - 185 tisíc počítačov.
Rustock - 150 tisíc počítačov.
Storm - 100 tisíc počítačov.
Psybot - 100 tisíc ADSL routerov založených na Linuxe.
BBC botnet - 22 tisíc počítačov.
,
vytvorila BBC.

Stopa v histórii

1997 – DDoS útok na webovú stránku Microsoftu. Jeden deň ticha.
1999 – webové stránky Yahoo, CNN, eBay a ďalších boli „mimo dosahu“.
Október 2002 - útok na internetové koreňové DNS servery. Na chvíľu tam boli
7 z 13 serverov bolo vypnutých.
21. február 2003 - DDoS útok na LiveJournal.com. Dvojdňový servis
bol v paralyzovanom stave, len občas javil známky života.

Inteligentné systémy

INFO

Round-robin - distribuovaný výpočtový algoritmus vyvažovania záťaže
systém prehľadávaním jeho prvkov v kruhovom cykle.