Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

DDoS-атака. С чем ее едят.

  1. #1
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240

    DDoS-атака. С чем ее едят.

    DDoS-атака. С чем ее едят.


    По новостям часто "пугают" этими словами. В принципе, все знают, что это такое, но как это работает - т.е как и кто так нападает и как против этого нужно защищаться - представляют смутно.
    Я хочу рассмотреть 2 вида (если можно так выразиться) подобных атак: DDOS-атака на сайты и DOS-атака на ПК. Атаку на сайты в этой статье, а ДОС-атаку на ПК - в следующей. При чем в этой статье больше внимания уделю поверхностному уровню без рассмотрения теории атаки, а в следующей постараюсь сделать упор именно на анализ как и что именно атакуется, какие пакеты и куда посылаются и т.д.
    Рассмотрим как они осуществляются и какие способы защиты от них имеются.
    Что бы мы говорили об одних и тех же понятиях определимся с терминами:

    DOS-атака: Denial of Service — "отказ в обслуживании". Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён
    DDoS-атака: Distributed Denial of Service — «распределённый отказ обслуживания»). Атака (обычно флуд) производится одновременно с большого количества IP-адресов.
    (с) Вики

    Начнем рассматривать DDOS-атаку на сайты. Для лучшего понимания и для того, что бы статья была более "живой" решено было оформить в виде вопросов-ответов.

    - Что происходит при DDOS-атаке на сайт? Какие сайты можно подвергать данной атаке?
    Если атака достаточна мощная, то сайт станет недоступен для пользователей на время пока идет атака. В случае же если атака "завесила" сервер, то сайт станет доступным только после перезагрузки сервера.
    Подобным образом можно напасть на любой сайт, но не всегда это приведет к результатам. К примеру на сайт Майкрософта или Гугла нападать бессмысленно - у них столько серверов, что DDOS они, наверняка, и не заметят...

    - Расскажите поподробнее о том, как осуществляется эта атака и что для этого нужно?
    Нужно для этого много зараженных машин. Иногда их называют "зомби" или "боты", подчиненные одному злоумышленнику зараженные машины (в совокупности) иногда еще называют ботнетом - зараженные машины учавствуют в атаках на сайт - т.е по команде "из центра" они начинают атаковать указанную цель.
    Армия ботов собирается чаще всего через зараженные сайты (http://virusinfo.info/showthread.php?t=28445) - пользователь заходит на сайт и ему загружается вредоносное ПО - ddos-бот, который будет невидимо (чаще всего так) сидеть у него в ПК и по команде атаковать сайты.
    Более подробно: злоумышленник конфигурирует ддос-бот "под себя" - т.е заносит туда свой веб-адрес - откуда он будет управлять армией. Затем на хостинг заливается админка (скрипт управления). Затем заражается определенное количество машин (смотря какие цели у злоумышленника), обычно это 5-10 тысяч компьютеров. Выходит, что независимо от того, в какое время злоумышленник зайдет в админ-центр наготове (в онлайне) будет порядка пятисот "зомби". Обычно, для того что бы "завалить" сайт нужна атака примерно с трехсот машин. Цена ддоса за сутки варьируется в среднем от 50 до 150$ в зависимости от: "раскрученности" исполнителя, размера/раскрученности жертвы (сайта), ценовой политики исполнителя.

    - Кому это выгодно?
    Вопрос правильный. Рассмотрим по вариантам зачем сайты подвергают DDOS-атакам и кому это выгодно:
    1). Атакующий (злоумышленник, который управляет DDOS-ом) вымогает деньги у администрации сайта за прекращение атаки.
    2). Атакующему заплатили конкуренты/недоброжелатили сайта за то, что бы он атаковал его.
    3). Атака проводится из мести или из "вредности".
    4). Атака проводится для самоутверждения - психически не совсем здоровый человек может смотреть на такое "творение" и радоваться.
    5). Сайт атакуется по каким-то другим соображениям (религиозным, национальным, политическим, "на спор", "ради прикола" и т.д и т.п)

    - Как можно активно противодействовать таким злоумышленникам?
    Своими силами - вполне, об этом расскажу ниже, а пока расскажу как этому можно противодействовать на более "высоком" уровне.

    Самому чаще всего можно только пассивно защищаться, а активно противодействовать что бы - нужно быть как минимум мощной юридической организацией, например Лабораторией Касперского. Бывает, что их аналитики не только ловят зловреды и добавляют в базы, но и пытаются активно бороться с создателями (или теми, кто использует). Например вылавливают бота, расковыривают его, смотрят какой в него "вшит" адрес - т.е узнают где админка. Если админка на бесплатном хостинге и без своего домена - достаточно одной жалобы хостеру и сайт злоумышленника, откуда он ведет атаку прикроют - управлять ботами он не сможет. Вредоносное ПО, конечно, останется на компьютерах "зомби", но атаковать никого не будет - т.к команды не будут поступать. Если у злоумышленника для сайта зарегистрирован специально домен, то простой жалобой хостеру тут не обойтись - злоумышленник просто переедет на другой хостинг. Еще надо учитывать, что есть специальные хакерские хостинги (абузоустойчивые, так сказать) - такие хостинги специально для размещения ддос-админок, связок эксплоитов и т.д Т.е жаловаться хозяевам такого хостинга бессмысленно - аналитики ЛК здоровые люди и кучу нецензурщины в свою сторону им слушать не хочется.

    Теперь расскажу, как можно противостоять своими силами:
    допустим, вам в руки случайно попадает ддос-бот (исполняемый файл)Во-первых его несложно расковырять и узнать по какому адресу расположена админка. Затем бота можно в архив под пароль и отправить аналитикам ЛК, в теле письма указать адрес админки и попросить пожаловаться хостеру - скорее всего они это сделают, ребята молодцы.
    Во-вторых можно попробовать взломать админку - подобрать пароль на вход. А бывает, что пароля на вход нету вообще. Затем зайти и уничтожить весь ботнет - в админке есть такая команда.

    - Как можно защищать свой сайт от DDOSа?
    Вопрос затрагивает достаточно обширную тему. Все зависит от того "в каком виде" у вас сайт:

    1). Лежит на платном хостинге
    Тут стоит отметить, что на данный момент в РФ нету хостеров, которые гарантируют антиддос защиту, некоторые пишут, что она у них есть, но ее качество чаще всего оставляет желать лучшего. Правда, есть специальные хостеры, которые принимают именно ресурсы, которые ддосят, но это уже не простые хостеры, а специальные - их услугами я не пользовался и про их качество сказать ничего почти не могу. Поэтому если ваш сайт ддосят к выбору хостера нужно подходить ответственно - почитать форума, поспрашивать где как хостеры "держат" ддос. Также нужно учитывать, что ни в коем случае нельзя брать тариф с платой за траффик - можно разориться. Канал при этом желательно выбирать как можно шире. В остальном все будет зависеть от совести хостера. Если "бессовестный" - отрубит сайт просто, дабы не тратить на вас ресурсы (именно поэтому выше был совет выбирать хостера тщательно). Помимо всего этого можно поставить антиддос защиту на PHP - в этом направлении стоит "погуглить". Также хорошо помогает (в зависимости от кол-ва ботов и от способа ддоса) антибот защита - на главной странице вешаем скрипт, который будет просить ввести код с каптчи, что бы просматривать сайт. Или запрос на авторизацию - выскакивающее окно в котором надо что-то нажать, или размещение на пустой странице кнопки "Войти" - при нажатии на нее пользователю будут писаться куки и больше на кнопку нажимать не придется. Все это уменьшит траффик/нагрузку.
    Придумать можно много чего еще (все это может помочь при http-флуде) - проверку на принятие куков и т.д - фантазируем сами + находим в интернете. Можно также пойти и экстенсивным путем - создать зеркала сайта.

    2). Лежит на бесплатном хостинге
    К этому пункту справедливо почти все, что написано в первом (надо только вычесть головную боль с денежными проблемами - хостинг-то бесплатный).
    И тут есть еще приятный момент - если сайт лежит на каком-то гигантском хостинге (яндекс), то пусть попробуют его завалить еще

    3). и 4). Вы арендуете у хостинга сервер/Сервер стоит у вас дома/на работе
    К этим двум пунктам напишу достаточно общо - что бы вы просто знали в каких направлениях "копать" и что читать.

    1). Начинаем с конфигурирования сервера - на этом этапе можно сбросить львиную долю нагрузки. Нельзя пренебрегать данным пунктом!
    Расскажу коротенько про некоторые лишь настройки (на примере Апача):
    maxclients - тут уже думаем. Все зависит от посещаемости вашего сайта. Исходя из этого выставляем число. Небольшим числом (при небольшой посещаемости) сразу отрубим бОльшую часть нагрузки.
    Директивы модуля Core - следите что бы они не "кушали" много ресурсов.
    timeout - все параметры куда входит такой набор букв следует уменьшить.
    ...
    и не забывайте, что к серверу можно найти еще антиддос модули.

    2). Различное железо (почитайте про это поподробнее где-нибудь обязательно - оно еще нуждается в грамотной настройке) - роутеры, сетевые карты для фильтрации, поставить второй сервер, воткнуть что-нибудь фильтрующее от Cisco - это просто перечисляю то, что приходит на ум - тут все ограничивается только вашей фантазией - я лишь указываю направления в которых можно пробовать "рыть".
    ...и конечно не надо забывать про фаервол

    3). А тут без пунктов буду перечислять различные виды блокировок и ограничений, которые могут относится как к первому, так и ко второму пунктам. Перечислить ВСЕ у меня не выйдет - что-то я забуду, что-то я не знаю - перечислю то, с чем сталкивался сам или знакомые.
    Но небольшое отступление - виды ДДОС-атак бывают разные и на различных уровнях, поэтому какая-то защита помогает от одного, другая защита от другого, а если еще и не знать как будут ДДОСить или будут ДДОСить по разному - надо защищаться от всего (запросы syn/ask, fin flood, бомбежка по udp и т.д - на этом подробно планирую остановиться при рассмотрении вопроса DOS-атак на ПК).
    Фильтрация по IP, бан IP (вплоть до подсеток и стран), ограничение соединений с одного IP, уменьшение канала на один коннект...

    ...

    Эта тема (DDOS и DOS, причем, как защита так и нападение) очень интересна, и главное тут нету никаких ограничений - полный полет фантазии. Это на самом деле очень интересно.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ivaemon
    Регистрация
    16.06.2008
    Сообщений
    253
    Вес репутации
    123
    Как обычный юзер, думаю, могу не опасаться таких атак. Но меня интересует следующее. Как-то неохота становиться частью ботнета. Почему-то.
    Дело вот в чём. Судя по всему, наступает время тотальных кибервойн. Формируются или уже сформированы милионные ботнеты.
    Далее. С точки зрения, скажем, спецслужб, кибервойна - дело государственной важности.
    ...
    Отсюда глупый вопрос: могу ли я быть уверен, что, приобретая и устанавливая известное ПО, скажем, фаер, я автоматически не становлюсь участником такого ботнета?

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от Ivaemon Посмотреть сообщение
    могу ли я быть уверен, что, приобретая и устанавливая известное ПО, скажем, фаер, я автоматически не становлюсь участником такого ботнета?
    Известное - думаю, да. Можете быть уверенным. Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционалом.
    ---
    С уважением,
    Borka.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ivaemon
    Регистрация
    16.06.2008
    Сообщений
    253
    Вес репутации
    123
    Цитата Сообщение от borka Посмотреть сообщение
    Известное - думаю, да. Можете быть уверенным. Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционалом.
    Я как раз об этом. Насколько я понимаю, код-то закрыт. Функционал этот отключён. До поры-до времени. До тех пор, когда это может понадобиться. И компания не пострадает - сам факт того, что виновато именно это ПО, не выяснится.
    К примеру, стоит у меня фаер ZA. (Это к примеру).Откуда я знаю, что с него не идут атаки... куда нибудь в Кот д-Ивуар? И кто этот факт вскроет - котовские спецслужбы?

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    Откуда я знаю, что с него не идут атаки... куда нибудь в Кот д-Ивуар? И кто этот факт вскроет - котовские спецслужбы?
    низкоуровневый сниффер Вам в руки и барабан на шею


    Функционал этот отключён. До поры-до времени. До тех пор, когда это может понадобиться
    представьте:
    ... ЕСЕТ стали встраивать в свое ПО ддос-ботов, и как только много людей будут пользоваться ЕСС - они сразу начнут ддос-атаку на авп.ру
    вам не смешно?
    возможно в этом ПО и есть что-то скрытое, но это никак не ддос-боты

    PS: хотя хотелось бы не отходить от темы

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Представьте себе, если вдруг выяснится, что некое известное ПО обладает интересным функционалом
    BGP - "полная связность при абсолютной изоляции", или, "как разведчики поимели пограничников".

    Спасибо за статью, priv8v.

  8. #7

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    367
    это поинтереснее будет http://www.securitylab.ru/contest/357397.php
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    от cisco статья - это лишь запугивание и потом самопиар.
    а на секьюрити-лаб, это нарезка новостей о ддос-атаках и запугивание гигантскими цифрами и "мега-скриптами" ... способ с отверткой тоже убил меня...
    странные малость статьи...
    не ясно на кого они рассчитаны

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    367
    на секлабе явно интереснее, чем статья от циско я об этом писал в прошлом посте=))
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.07.2008
    Сообщений
    104
    Вес репутации
    127
    DVi, какой хороший ПР.
    Хостинг явно отобьется.

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Цитата Сообщение от priv8v Посмотреть сообщение
    Различное железо ... - роутеры, сетевые карты для фильтрации, поставить второй сервер, воткнуть что-нибудь фильтрующее от Cisco - это просто перечисляю то, что приходит на ум
    priv8v, без обид, нашел про Ciscco, т.к. Вы сами их упомянули в советах. А у кого тогда не самопиар, а польза? У Вас какая железяка стоит, если не секрет?

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    на секлабе явно интереснее, чем статья от циско я об этом писал в прошлом посте=))
    ну да. статью на секлабе я читал с явным интересом, зевать не хотелось

    priv8v, без обид, нашел про Ciscco, т.к. Вы сами их упомянули в советах. А у кого тогда не самопиар, а польза? У Вас какая железяка стоит, если не секрет?
    о каких обидах может идти речь? это даже очень хорошо, что Вы привели тут эту ссылку - все будут видеть о какой фирме и о чем именно я упоминал в статье. Т.е кто заинтересуется железом от Ciscco может сразу же про него и прочитать.
    Про пиар это я так - с горяча сказал - не люблю рекламу просто
    А так там у них достаточно грамотно расписано.

    Если Вам правда интересно как у меня сейчас обстоят дела с защитой сайтов от ддоса, то мы можем с Вами пообщаться через ЛС

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Цитата Сообщение от priv8v Посмотреть сообщение
    Если Вам правда интересно как у меня сейчас обстоят дела с защитой сайтов от ддоса, то мы можем с Вами пообщаться через ЛС.
    Спасибо, priv8v. Думаю, у Вас все в порядке. Пока не актуально, но буду иметь ввиду. :)

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    120
    аффтар начитался книжек 8 летней давности?
    покажите мне идиота который в наше бурное время будет ддосить каким нить там syn flood?
    продвинутые юсеры давно "ддосят" мускул (или его подобие) , тупо грузя его запросами и соответственно ресурс падает.

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    в принципе. никакой конкретики в статье нет. Писал по своему опыту администрирования серверов, ковыряния зловредов и "держания" подобных ддос-ботов в руках (с любого гавно-хак-форума можно их скачать в большом кол-ве)...
    Они разнообразны в настройках и методах заваливания - достаточно часто пробуется все и одновременно.
    про мускул - это уже некое подобие веб-уязвимости... - а не перегруза и забивания "дороги"... ну и падение. мускула может и не быть... хотя, сейчас он есть практически везде.
    тем не менее - 90% современных ддос-атак на сайты, которые мне приходится как-то наблюдать проходят не с помощью запросов к мускулу... - как раз атака на мускул - это частный случай, причем редкий.
    // ...

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    120
    с любого гавно-хак-форума можно их скачать в большом кол-ве
    это где такие?
    достойный софт в паблике не валяеться, ну а так как к примеру задача завалить именно конкретный домен а нее всю площадку (надеюсь вы понимаете что на 1 физическом сервере может быть 2 десятка виртуальных? ) то тупо флудить трафиком физический сервер имхо смысла нет, хотя если вспомним 98 год ) помните май месяц? ) микрософт лежал долго но тогда и уязвимость была другая

    а на данный момент к примеру делаем ченить типа
    GET http://virusinfo.info/showthread.php?t=29149
    естественно не с 1 хоста, а еше лучше поиск по форуму сэмулировать хостов с 500 сразу, ляжет как милый

    пс
    черт спалил алгоритм ))))

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    достойный софт в паблике не валяеться
    любой "наидостойнейший" гавнософт, продающийся в разделе продажи на вхб за вечнозеленые за трех-четырех значные цифры достаточно быстро попадает в руки аналитиков... ну и в мои частенько ...
    к тому же - писалось именно про ддос-атаки - а такое - ну х.з можно ли относить это к ддос-атакам...
    одно время был сильно распространен блэк энерджи ддос бот - большинство остальных от него не далеко ушли.
    софт, который продается и идет на загрузки, который юзает запросы к мускулу или то, что Вы написали выше - это именно частный случай.
    // ...

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    120
    ну как бы дос=отказ в обслуживании
    блэк энерджи = унылое гавно (сорри) у вас какая версия? )

    пс
    да вы шпиен?
    Последний раз редактировалось AndreyKa; 18.01.2009 в 03:33. Причина: Добавлен дубль

  21. #20
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    ну как бы дос=отказ в обслуживании
    блэк энерджи = унылое гавно (сорри) у вас какая версия? )
    не знаю. чаще всего его itw-образцы мне попадались полтора года назад. сейчас - намного реже. но я же сказал - его современные аналоги - именно аналоги. то о чем вы говорите - частный случай.

    пс
    да вы шпиен?
    я имею полное право задать Вам тот же самый вопрос.
    разведку никто не отменял. хотя дает она не сильно много - самое интересное - в диком виде.
    // ...

Страница 1 из 2 12 Последняя

Похожие темы

  1. DDOS атака на форум Винского
    От Rina в разделе Другие новости
    Ответов: 4
    Последнее сообщение: 02.03.2011, 07:12
  2. DDos-атака накрыла интернет-платежи в России
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 16.10.2008, 20:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00794 seconds with 16 queries