Ping of death

DDoS – атака. Основные виды

DDoS. По обе стороны баррикад

Содержание:

1. DDoS – атака. Основные виды

2. Флуд, как основной способ DDoS-атак

3. Защита от DDoS атак

4. Защита от DDoS атак методом проксирования (фильтрации)

DDoS-атаки (они же атаки типа «отказ в обслуживании») в последние несколько лет становятся всё популярнее среди хакеров и иных информационных злоумышленников. И хотя официальной статистики в Интернете не ведётся, но можно с уверенностью утверждать, что атаки подобного типа на более или менее крупные ресурсы проводятся практически ежедневно. Обычно, целью злоумышленников организующих DDoS-атаку, является блокировка доступа к ресурсу. И хотя блокировка ресурса не так критична, как потеря конфиденциальной информации, но она сводит на нет саму ценность ресурса, поскольку ни один клиент для которого этот ресурс создавался, не имеет возможности получить к нему доступ. Как следствие – потеря прибыли для владельца ресурса. Кроме того DoS — атака может вывести ресурс из строя (при использовании злоумышленниками специальных программ или фрагментов программного кода использующих уязвимости в системе защиты, т.н. эксплойтов) или же быть только прикрытием, которое отвлечёт службу информационной безопасности от атаки направленной на взлом ресурса.

В связи с вышесказанным, хочется отметить, что на DDoS-атаки следует обратить пристальное внимание.

DDoS — атака является разновидностью DoS-атаки. Их основное отличие заключается в том, что DDoS-атака производится одновременно с большого количества компьютеров, вызывая таким образом перегрузку сервера и отказ в обслуживании пользователей.

Основные типы DDoS-атак

Практически все виды DDoS-атак можно разделить на три основных типа:

  1. Блокирование каналов связи и маршрутизаторов, он же «флуд». Суть этого типа DDoS-атаки заключается в том, что за счёт огромного потока бессмысленных запросов полностью забивается вся ширина канала данных или входной маршрутизатор. Вследствие этого, пакеты пользователей не проходят и ресурс вынужден отказывать им в обслуживании.
  2. Атаки, использующие ошибки в реализации стека протоколов TCP/IP. Данный тип использует ошибки указанного протокола появившиеся при его реализации. При атаке через ошибки протоколов TCP/IP могут использоваться SYN-пакеты (запросы на открытие соединения) в результате чего на атакуемом компьютере в короткие сроки исчерпывается количество доступных сокетов и сервер перестаёт отвечать (так называемый SYN-флуд) или UPD- и ICMP-пакеты, которые провайдеры отправляют в первую очередь, оставляя TCP-пакеты в очереди. Забив канал UPD- и ICMP-пакетами, злоумышленники опять же заставляют сервер замолчать.
  3. Атаки, направленные на переполнение ресурсов операционной системы или приложений. При этом типе атаки используется не канал связи, а собственно сама система. Из-за того, что каждая система имеет множество ограничений по параметрам, то целью атакующего является вынудить программу превысить этот лимит.

    В связи с этим происходит чрезмерный расход вычислительных мощностей на сервере и он опять же перестаёт отвечать на запросы пользователей. Наверное, наиболее безопасный тип DDoS-атаки, т.к. сразу после прекращения нормальная работа сервера восстанавливается.

Следует так же помнить, что когда на ресурсе появляется материал (информация, видео и т.д.) это может вызвать нешуточный интерес у посетителей. Из-за большого числа посетителей, часть из них сервером отклоняется. И хотя такая ситуация очень похожа на настоящую DDoS-атаку, она таковой не является. Это всего лишь расплата за популярность.

DDOS-атаки и методы борьбы с ними

Данная статья писалась с целью объяснить простому вебмастеру, как происходит ddos, и как с ним бороться.

Определение: ddos атака — сокращение от «distributed denial of service attack»

При помощи этих атак временно падали крупнейшие и известнейшие компании, такие как yahoo!, ebay, buy.com, amazon.com, cnn.com и целый ряд других …

Я не буду жевать сопли и напишу то, о чем как правило никто не никогда не пишет в статьях про ddos.

В основном то что мы видим в сети это поверхностные описания удачных атак, или вопли пострадавших от них.

1) Цель и принцип ddos

Цель ddos вывести обьект атаки из рабочего состояния что может повлечь за собой большие финансовые потери во время дауна или расходы на оборудование для защиты от него и з/п специалистов. Любой вебмастер понимает, что даун его сайтов на 2-3 часа нанесет серьезный вред бизнесу, а если на неделю, то ресурс скорее всего придется поднимать с нуля снова . Я вообще не говорю о владельцах платных сайтов и серьезных Е-комерс ресурсов, чьи убытки могут составлять десятки тысяч долларов в день.

Технология ddos атак подразумевает метод грубой силы — вы тем или иным способом пытаетесь «забить» канал, открывая максимально возможное количество соединений на тот или иной сервис или отправки огромного кол-ва информации которое сервер не в состоянии обработать. все это ведет к потере скорости или полной остановке (зависанию) атакуемого ресурса.

2) ddos — это distributed атака, то есть распространенная, когда вас атакует не один сервер от которого можно легко закрыться фаирволом, а сразу тысячи или десятки тыс., иногда могут быть сотни тысяч и миллионы атакующих ботов ( многие называют их зомби )

Что есть зомби ?

Зомби — это зараженный программой (или сломанный) компьютер или сервер, который будет выполнять команды управляющего сервера.

Как компьютер становится зомби ?

Зомби создаются как правило используя эксплоиты для ОС. Заражая машины через веб браузер при посещении сайтов, при получении почты, или через установку программного обеспечения с установленными в него троянами.

Как много может быть зомби ?

cуществуют дыры которые до сих пор не закрыты и иногда процент заражаемости трафика может достигать 80 % всего трафика на сайте, спам может рассылаться огромными тиражами и как результат мы имеем десятки тысяч зомби.

В зависимости от совершенства кода на самом зомби они могут выполнять разные типы запросов на сервера, иногда делая себя совсем не видимыми для фаирвола или сложно отличимыми от реального серфера, что разумеется усложняет борьбу с ними.

Типы атак я описывать не стану они очень сильно варьируются от старинных типа пинг и syn флуда до новых разработанных персонально для новой атаки.

Все они ведут к тому что сервер ложится как правило и попытки его вернуть к жизни заканчиваются тем, что он снова лежит.

В общем довольно грустная история с ddos атаками. Многие хостеры просто выключают сервера в случае обнаружения атаки. Это демонстрирует то, что они не могут реально ничего с ними поделать.

Борьба с ddos

Это самый наверное интересный кусочек, а так же самый сложный.

Самое сложное в том что борьба с ddos в 98 % случаев ложится на плечи вебмастера, так как провайдеры в большинстве своем просто бьют болт и стандартная схема у них, это поставить на нуль роутинг ваши ip и таким образом для них проблема ddos решена. Вебмастера такое решение не очень радует, так как его сайты при этом ложатся вообще.

Конечно, есть продвинутые провайдеры, которые могут посодейтвовать в борьбе, но это редкость и опять же наджо будет им платить пятизначные цифры что бы иметь какое то влияние на них. Так что остается решать проблемы самому, о том как их решать я и расскажу вам.

1) На уровне сервера. Сервер должен иметь удаленный ребут и вывод консоли сервера на другой ip адрес по ssh протоколу. Это позволит вам быстро перезагружать сервер, что бывает более чем нужно в самом начале ddos атаки. Вывод консоли позволит полностью выключить ssh на сервере. Это необходимо потому, что его тоже очень часто досят вместе например с вебсервером, что бы усложнить работу админа сервера или сделать сервер вовсе не доступным для администрации.

2) На уровне сервисов сервера. Секюрити аудит – must be, то-есть, по-русски, должен быть сделан, все сервисы машины должны быть отпатчены от всех известных и не известных дырок. О тюнинге веб сервера под ddos атаками можно писать целую книгу, поэтому я не буду лишать себя куска хлеба. 🙂

3) На уровне сети. Для начала блокируются все то, что может дать больше инфы атакующему о вас. Блокируется пинг и трейс. Сервер убирается под nat. Маскируется его ip как только это возможно.

Это уже очень професиональный способ защиты сервера путем прятания его ip адреса. Применяется в многих платных системах защиты от ddos.

4) На уровне провайдера. Через анализ пакетов или через блокирование ip адресов.

5) На уровне железа. Применяя хардварные решения от ведущих фирм производителей типа Сisco, 3com, nortel и тп. Данные решения борьбы на аппаратном уровне потребуют больших финансовых затрат от 10к и выше. Комплексные решения обойдутся около 50-80 тыс долларов. Так же сюда можно отнести производителей 3rd party оборудования для хардварной защиты. Большая их часть действует по принципу анализа пакетов и дальнейшей их фильтрации где нужный пакеты проходят к серверу, а ненужные фильтруются и сегменты сети откуда они пришли блокируются роутером или фаирволом. Более продвинутые системы умеют прятать ваш сервер полностью и в сети никогда не встретится его ip адрес и его прямое сканирование и ddos атака невозможны.

6) На уровне админов вашего сервера. Используя логи фаирвола сервера вы видите кучу ip адресов откуда на вас идут атаки. Вы можете анализировать его и искать уязвимые рабочие станции среди них, из 10000 машин 1-3 обязательно окажутся доступными для того что бы по ним полазить. Вы можете найти самого зомбика который осуществляет атаку на вас. Далее его можно попытаться поковырять, чтобы найти кто пускает атаки на вас и если повезет найти контрольный сервер и как вариант контратаковать его. Хотя такое будет не возможно если ddos атака не контролируемая, а например вирусная. Напомню, это когда вас атакуют рабочие станции которые были заражены предварительно и их действия не контролируются вручную, они не очень опасны так как если вы смените, например, ip и домен, то такая атака умрет сама.

7) Комбинированное использование всех систем.

В заключение хочу сказать что всё, что тут написано не покрывает и 80 % всех методов борьбы с ddos и на эту тему работают очень много людей во всем мире. Так что я в этой небольшой статье не смогу описать всего, даже если очень захочу. Но, надеюсь, она вам немного поможет для понятия азов того, как необходимо бороться с ddos атаками.

Флуд в сети

KirillTs 19 дек 2009, 12:40

В сети(на неуправляемых свичах) периодически стала пропадать связь с некоторыми хостами, пропадает минут 10-15 потом опять работает, причем на том же свиче другой хост живет и радуется(пингуется без потерь) самое интересное — если с сервера пингануть хость с галочкой arp пинг, связь моментально восстанавливается, запустил wireshark, флуд идет с различных внешних ip адресов на различные хосты в сети, в некоторых случаях даже компы выключены… флудит жестоко иногда в несколько секунд wireshark показывает по 10-30 тыс пакетов….. source mac это мак адрес сетевушки сервра которая смотрит в сеть dest mac адрес локального компа в сетке, пакеты могут быть UDP или TCP …Уважаемые сетевики, есть какие ни будь мысли что это? у юзеров сидят трояны?

или флуд идет с внешки или с сети? неужели сервер флудит? кстати на сервере микротик, в connections показывает около 2000 соединений…

P.S. если проблема в сетке поможет ли от такого storm control в свичах типа TL-SL2218WEB ?

Вложения
dump.rar
комп 199 вообще выключен
(44.91 Кб) Скачиваний: 195

Вернуться к началу

Добавить комментарий

Закрыть меню