PDA

Просмотр полной версии : DDoS-атака. С чем ее едят.



priv8v
28.08.2008, 15:59
DDoS-атака. С чем ее едят.


По новостям часто "пугают" этими словами. В принципе, все знают, что это такое, но как это работает - т.е как и кто так нападает и как против этого нужно защищаться - представляют смутно.
Я хочу рассмотреть 2 вида (если можно так выразиться) подобных атак: DDOS-атака на сайты и DOS-атака на ПК. Атаку на сайты в этой статье, а ДОС-атаку на ПК - в следующей. При чем в этой статье больше внимания уделю поверхностному уровню без рассмотрения теории атаки, а в следующей постараюсь сделать упор именно на анализ как и что именно атакуется, какие пакеты и куда посылаются и т.д.
Рассмотрим как они осуществляются и какие способы защиты от них имеются.
Что бы мы говорили об одних и тех же понятиях определимся с терминами:

DOS-атака: Denial of Service — "отказ в обслуживании". Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён
DDoS-атака: Distributed Denial of Service — «распределённый отказ обслуживания»). Атака (обычно флуд) производится одновременно с большого количества IP-адресов.
(с) Вики

Начнем рассматривать DDOS-атаку на сайты. Для лучшего понимания и для того, что бы статья была более "живой" решено было оформить в виде вопросов-ответов.

- Что происходит при DDOS-атаке на сайт? Какие сайты можно подвергать данной атаке?
Если атака достаточна мощная, то сайт станет недоступен для пользователей на время пока идет атака. В случае же если атака "завесила" сервер, то сайт станет доступным только после перезагрузки сервера.
Подобным образом можно напасть на любой сайт, но не всегда это приведет к результатам. К примеру на сайт Майкрософта или Гугла нападать бессмысленно - у них столько серверов, что DDOS они, наверняка, и не заметят...

- Расскажите поподробнее о том, как осуществляется эта атака и что для этого нужно?
Нужно для этого много зараженных машин. Иногда их называют "зомби" или "боты", подчиненные одному злоумышленнику зараженные машины (в совокупности) иногда еще называют ботнетом - зараженные машины учавствуют в атаках на сайт - т.е по команде "из центра" они начинают атаковать указанную цель.
Армия ботов собирается чаще всего через зараженные сайты (http://virusinfo.info/showthread.php?t=28445) - пользователь заходит на сайт и ему загружается вредоносное ПО - ddos-бот, который будет невидимо (чаще всего так) сидеть у него в ПК и по команде атаковать сайты.
Более подробно: злоумышленник конфигурирует ддос-бот "под себя" - т.е заносит туда свой веб-адрес - откуда он будет управлять армией. Затем на хостинг заливается админка (скрипт управления). Затем заражается определенное количество машин (смотря какие цели у злоумышленника), обычно это 5-10 тысяч компьютеров. Выходит, что независимо от того, в какое время злоумышленник зайдет в админ-центр наготове (в онлайне) будет порядка пятисот "зомби". Обычно, для того что бы "завалить" сайт нужна атака примерно с трехсот машин. Цена ддоса за сутки варьируется в среднем от 50 до 150$ в зависимости от: "раскрученности" исполнителя, размера/раскрученности жертвы (сайта), ценовой политики исполнителя.

- Кому это выгодно?
Вопрос правильный. Рассмотрим по вариантам зачем сайты подвергают DDOS-атакам и кому это выгодно:
1). Атакующий (злоумышленник, который управляет DDOS-ом) вымогает деньги у администрации сайта за прекращение атаки.
2). Атакующему заплатили конкуренты/недоброжелатили сайта за то, что бы он атаковал его.
3). Атака проводится из мести или из "вредности".
4). Атака проводится для самоутверждения - психически не совсем здоровый человек может смотреть на такое "творение" и радоваться.
5). Сайт атакуется по каким-то другим соображениям (религиозным, национальным, политическим, "на спор", "ради прикола" и т.д и т.п)

- Как можно активно противодействовать таким злоумышленникам?
Своими силами - вполне, об этом расскажу ниже, а пока расскажу как этому можно противодействовать на более "высоком" уровне.

Самому чаще всего можно только пассивно защищаться, а активно противодействовать что бы - нужно быть как минимум мощной юридической организацией, например Лабораторией Касперского. Бывает, что их аналитики не только ловят зловреды и добавляют в базы, но и пытаются активно бороться с создателями (или теми, кто использует). Например вылавливают бота, расковыривают его, смотрят какой в него "вшит" адрес - т.е узнают где админка. Если админка на бесплатном хостинге и без своего домена - достаточно одной жалобы хостеру и сайт злоумышленника, откуда он ведет атаку прикроют - управлять ботами он не сможет. Вредоносное ПО, конечно, останется на компьютерах "зомби", но атаковать никого не будет - т.к команды не будут поступать. Если у злоумышленника для сайта зарегистрирован специально домен, то простой жалобой хостеру тут не обойтись - злоумышленник просто переедет на другой хостинг. Еще надо учитывать, что есть специальные хакерские хостинги (абузоустойчивые, так сказать) - такие хостинги специально для размещения ддос-админок, связок эксплоитов и т.д Т.е жаловаться хозяевам такого хостинга бессмысленно - аналитики ЛК здоровые люди и кучу нецензурщины в свою сторону им слушать не хочется.

Теперь расскажу, как можно противостоять своими силами:
допустим, вам в руки случайно попадает ддос-бот (исполняемый файл)Во-первых его несложно расковырять и узнать по какому адресу расположена админка. Затем бота можно в архив под пароль и отправить аналитикам ЛК, в теле письма указать адрес админки и попросить пожаловаться хостеру - скорее всего они это сделают, ребята молодцы.
Во-вторых можно попробовать взломать админку - подобрать пароль на вход. А бывает, что пароля на вход нету вообще. Затем зайти и уничтожить весь ботнет - в админке есть такая команда.

- Как можно защищать свой сайт от DDOSа?
Вопрос затрагивает достаточно обширную тему. Все зависит от того "в каком виде" у вас сайт:

1). Лежит на платном хостинге
Тут стоит отметить, что на данный момент в РФ нету хостеров, которые гарантируют антиддос защиту, некоторые пишут, что она у них есть, но ее качество чаще всего оставляет желать лучшего. Правда, есть специальные хостеры, которые принимают именно ресурсы, которые ддосят, но это уже не простые хостеры, а специальные - их услугами я не пользовался и про их качество сказать ничего почти не могу. Поэтому если ваш сайт ддосят к выбору хостера нужно подходить ответственно - почитать форума, поспрашивать где как хостеры "держат" ддос. Также нужно учитывать, что ни в коем случае нельзя брать тариф с платой за траффик - можно разориться. Канал при этом желательно выбирать как можно шире. В остальном все будет зависеть от совести хостера. Если "бессовестный" - отрубит сайт просто, дабы не тратить на вас ресурсы (именно поэтому выше был совет выбирать хостера тщательно). Помимо всего этого можно поставить антиддос защиту на PHP - в этом направлении стоит "погуглить". Также хорошо помогает (в зависимости от кол-ва ботов и от способа ддоса) антибот защита - на главной странице вешаем скрипт, который будет просить ввести код с каптчи, что бы просматривать сайт. Или запрос на авторизацию - выскакивающее окно в котором надо что-то нажать, или размещение на пустой странице кнопки "Войти" - при нажатии на нее пользователю будут писаться куки и больше на кнопку нажимать не придется. Все это уменьшит траффик/нагрузку.
Придумать можно много чего еще (все это может помочь при http-флуде) - проверку на принятие куков и т.д - фантазируем сами + находим в интернете. Можно также пойти и экстенсивным путем - создать зеркала сайта.

2). Лежит на бесплатном хостинге
К этому пункту справедливо почти все, что написано в первом (надо только вычесть головную боль с денежными проблемами - хостинг-то бесплатный).
И тут есть еще приятный момент - если сайт лежит на каком-то гигантском хостинге (яндекс), то пусть попробуют его завалить еще :)

3). и 4). Вы арендуете у хостинга сервер/Сервер стоит у вас дома/на работе
К этим двум пунктам напишу достаточно общо - что бы вы просто знали в каких направлениях "копать" и что читать.

1). Начинаем с конфигурирования сервера - на этом этапе можно сбросить львиную долю нагрузки. Нельзя пренебрегать данным пунктом!
Расскажу коротенько про некоторые лишь настройки (на примере Апача):
maxclients - тут уже думаем. Все зависит от посещаемости вашего сайта. Исходя из этого выставляем число. Небольшим числом (при небольшой посещаемости) сразу отрубим бОльшую часть нагрузки.
Директивы модуля Core - следите что бы они не "кушали" много ресурсов.
timeout - все параметры куда входит такой набор букв следует уменьшить.
...
и не забывайте, что к серверу можно найти еще антиддос модули.

2). Различное железо (почитайте про это поподробнее где-нибудь обязательно - оно еще нуждается в грамотной настройке) - роутеры, сетевые карты для фильтрации, поставить второй сервер, воткнуть что-нибудь фильтрующее от Cisco - это просто перечисляю то, что приходит на ум - тут все ограничивается только вашей фантазией - я лишь указываю направления в которых можно пробовать "рыть".
...и конечно не надо забывать про фаервол :)

3). А тут без пунктов буду перечислять различные виды блокировок и ограничений, которые могут относится как к первому, так и ко второму пунктам. Перечислить ВСЕ у меня не выйдет - что-то я забуду, что-то я не знаю - перечислю то, с чем сталкивался сам или знакомые.
Но небольшое отступление - виды ДДОС-атак бывают разные и на различных уровнях, поэтому какая-то защита помогает от одного, другая защита от другого, а если еще и не знать как будут ДДОСить или будут ДДОСить по разному - надо защищаться от всего (запросы syn/ask, fin flood, бомбежка по udp и т.д - на этом подробно планирую остановиться при рассмотрении вопроса DOS-атак на ПК).
Фильтрация по IP, бан IP (вплоть до подсеток и стран), ограничение соединений с одного IP, уменьшение канала на один коннект...

...

Эта тема (DDOS и DOS, причем, как защита так и нападение) очень интересна, и главное тут нету никаких ограничений - полный полет фантазии. Это на самом деле очень интересно.

Ivaemon
29.08.2008, 00:14
Как обычный юзер, думаю, могу не опасаться таких атак. Но меня интересует следующее. Как-то неохота становиться частью ботнета. Почему-то.
Дело вот в чём. Судя по всему, наступает время тотальных кибервойн. Формируются или уже сформированы милионные ботнеты.
Далее. С точки зрения, скажем, спецслужб, кибервойна - дело государственной важности.
...
Отсюда глупый вопрос: могу ли я быть уверен, что, приобретая и устанавливая известное ПО, скажем, фаер, я автоматически не становлюсь участником такого ботнета?

borka
29.08.2008, 00:31
могу ли я быть уверен, что, приобретая и устанавливая известное ПО, скажем, фаер, я автоматически не становлюсь участником такого ботнета?
Известное - думаю, да. Можете быть уверенным. Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционалом. ;)

Ivaemon
29.08.2008, 00:40
Известное - думаю, да. Можете быть уверенным. Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционалом. ;)

Я как раз об этом. Насколько я понимаю, код-то закрыт. Функционал этот отключён. До поры-до времени. До тех пор, когда это может понадобиться. И компания не пострадает - сам факт того, что виновато именно это ПО, не выяснится.
К примеру, стоит у меня фаер ZA. (Это к примеру).Откуда я знаю, что с него не идут атаки... куда нибудь в Кот д-Ивуар? И кто этот факт вскроет - котовские спецслужбы?

priv8v
29.08.2008, 08:46
Откуда я знаю, что с него не идут атаки... куда нибудь в Кот д-Ивуар? И кто этот факт вскроет - котовские спецслужбы?

низкоуровневый сниффер Вам в руки и барабан на шею:)




Функционал этот отключён. До поры-до времени. До тех пор, когда это может понадобиться

представьте:
... ЕСЕТ стали встраивать в свое ПО ддос-ботов, и как только много людей будут пользоваться ЕСС - они сразу начнут ддос-атаку на авп.ру:D
вам не смешно?
возможно в этом ПО и есть что-то скрытое, но это никак не ддос-боты;)

PS: хотя хотелось бы не отходить от темы

ananas
29.08.2008, 16:57
Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционаломBGP - "полная связность при абсолютной изоляции", или, "как разведчики поимели пограничников".

Спасибо за статью, priv8v.

ananas
10.09.2008, 02:46
Сisco о DDoS-атаках и о себе (http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aecd8011e927_.html)

Ego1st
10.09.2008, 05:10
это поинтереснее будет http://www.securitylab.ru/contest/357397.php

priv8v
12.09.2008, 23:10
от cisco статья - это лишь запугивание и потом самопиар.
а на секьюрити-лаб, это нарезка новостей о ддос-атаках и запугивание гигантскими цифрами и "мега-скриптами" ... способ с отверткой тоже убил меня...
странные малость статьи...
не ясно на кого они рассчитаны

Ego1st
13.09.2008, 03:28
на секлабе явно интереснее, чем статья от циско я об этом писал в прошлом посте=))

herzn
13.09.2008, 04:44
DVi, какой хороший ПР.
Хостинг явно отобьется.:)

ananas
13.09.2008, 12:51
Различное железо ... - роутеры, сетевые карты для фильтрации, поставить второй сервер, воткнуть что-нибудь фильтрующее от Cisco - это просто перечисляю то, что приходит на умpriv8v, без обид, нашел про Ciscco, т.к. Вы сами их упомянули в советах. А у кого тогда не самопиар, а польза? У Вас какая железяка стоит, если не секрет?

priv8v
13.09.2008, 20:27
на секлабе явно интереснее, чем статья от циско я об этом писал в прошлом посте=))
ну да. статью на секлабе я читал с явным интересом, зевать не хотелось;)


priv8v, без обид, нашел про Ciscco, т.к. Вы сами их упомянули в советах. А у кого тогда не самопиар, а польза? У Вас какая железяка стоит, если не секрет?

о каких обидах может идти речь? это даже очень хорошо, что Вы привели тут эту ссылку - все будут видеть о какой фирме и о чем именно я упоминал в статье. Т.е кто заинтересуется железом от Ciscco может сразу же про него и прочитать.
Про пиар это я так - с горяча сказал - не люблю рекламу просто:)
А так там у них достаточно грамотно расписано.

Если Вам правда интересно как у меня сейчас обстоят дела с защитой сайтов от ддоса, то мы можем с Вами пообщаться через ЛС:)

ananas
13.09.2008, 22:44
Если Вам правда интересно как у меня сейчас обстоят дела с защитой сайтов от ддоса, то мы можем с Вами пообщаться через ЛС.Спасибо, priv8v. Думаю, у Вас все в порядке. Пока не актуально, но буду иметь ввиду. :)

[500mhz]
17.01.2009, 19:36
аффтар начитался книжек 8 летней давности?
покажите мне идиота который в наше бурное время будет ддосить каким нить там syn flood?
продвинутые юсеры давно "ддосят" мускул (или его подобие) , тупо грузя его запросами и соответственно ресурс падает.

priv8v
17.01.2009, 21:39
в принципе. никакой конкретики в статье нет. Писал по своему опыту администрирования серверов, ковыряния зловредов и "держания" подобных ддос-ботов в руках (с любого гавно-хак-форума можно их скачать в большом кол-ве)...
Они разнообразны в настройках и методах заваливания - достаточно часто пробуется все и одновременно.
про мускул - это уже некое подобие веб-уязвимости... - а не перегруза и забивания "дороги"... ну и падение. мускула может и не быть... хотя, сейчас он есть практически везде.
тем не менее - 90% современных ддос-атак на сайты, которые мне приходится как-то наблюдать проходят не с помощью запросов к мускулу... - как раз атака на мускул - это частный случай, причем редкий.

[500mhz]
17.01.2009, 22:11
с любого гавно-хак-форума можно их скачать в большом кол-ве это где такие?
достойный софт в паблике не валяеться, ну а так как к примеру задача завалить именно конкретный домен а нее всю площадку (надеюсь вы понимаете что на 1 физическом сервере может быть 2 десятка виртуальных? ) то тупо флудить трафиком физический сервер имхо смысла нет, хотя если вспомним 98 год ) помните май месяц? ) микрософт лежал долго но тогда и уязвимость была другая

а на данный момент к примеру делаем ченить типа
GET http://virusinfo.info/showthread.php?t=29149
естественно не с 1 хоста, а еше лучше поиск по форуму сэмулировать хостов с 500 сразу, ляжет как милый

пс
черт спалил алгоритм )))) :biggrin:

priv8v
17.01.2009, 22:30
достойный софт в паблике не валяеться
любой "наидостойнейший" гавнософт, продающийся в разделе продажи на вхб за вечнозеленые за трех-четырех значные цифры достаточно быстро попадает в руки аналитиков... ну и в мои частенько ...
к тому же - писалось именно про ддос-атаки - а такое - ну х.з можно ли относить это к ддос-атакам...
одно время был сильно распространен блэк энерджи ддос бот - большинство остальных от него не далеко ушли.
софт, который продается и идет на загрузки, который юзает запросы к мускулу или то, что Вы написали выше - это именно частный случай.

[500mhz]
17.01.2009, 23:16
ну как бы дос=отказ в обслуживании
блэк энерджи = унылое гавно (сорри) у вас какая версия? )

пс
да вы шпиен?

priv8v
17.01.2009, 23:22
ну как бы дос=отказ в обслуживании
блэк энерджи = унылое гавно (сорри) у вас какая версия? )
не знаю. чаще всего его itw-образцы мне попадались полтора года назад. сейчас - намного реже. но я же сказал - его современные аналоги - именно аналоги. то о чем вы говорите - частный случай.


пс
да вы шпиен?
я имею полное право задать Вам тот же самый вопрос.
разведку никто не отменял. хотя дает она не сильно много - самое интересное - в диком виде.

[500mhz]
18.01.2009, 00:05
priv8v
ну так я и не скрываю что "почитываю" вхб и прочие, а вот ваш ник что то я не припомню, видимо вы шифруетесь там )))

priv8v
18.01.2009, 00:16
Думаю, что наш разговор по теме закончен. Я объяснил некоторые моменты в статье и причинах упоминания/умалчивания некоторых деталей.

valho
01.09.2009, 11:43
Попался мне один сайт где было прямо написано что у него стоит защита от ддос, методом этой самой отвёртки он у меня завалился на 5-й запрос с одного компика. Хотя у меня есть подозрение что я как раз попал в самый разгар войнушки
:>

valho
03.09.2009, 02:23
Пара ужасов
http://img137.imageshack.us/img137/9131/mmgp.th.png (http://img137.imageshack.us/img137/9131/mmgp.png)
Это уже другой -

Уважаемые пользователи проекта www.........com! В данный момент нам необходима ваша помощь. Наш проект находился под угрозой виртуального терроризма, мы успешно справились с ДДОС атаками, но на этом угрозы не остановились, наш телефон находился под так называемом «телефонным флудом», в следствии чего нам было отказано в использовании нашего номера, ниже мы процитируем сообщения присланные злоумышленником:

«Вы все еще не понимаете, что в данной ситуации только два выхода: или не работать, или платить, при чем чем раньше мы с вами начнем работать, тем дешевле вам это будет стоить. У вас есть два дня для принятия решения, считаю что для вашего сайта 20тыс. руб. в месяц это не большие деньги. Вы уже знакомы с ДДОС, не вынуждайте знакомить вас с «телефонным флудом», а перспектива потери контроля над сайтом вам так же может не понравится…»
Короче, так понял они загнулись, так как не работают уже 5-й месяц. Хотя у меня есть подозрение что сами хозяева проекта могли так написать чтоб по тихому смыться, там вроде был какой то хайп или букмекерская контора