Защита от DDoS-атак. Что нужно знать

Содержание

Содержание

Каждые сутки хакеры проводят около 2000 атак по всему миру. Представители малого и среднего бизнеса теряют в среднем 50 000$ за одну атаку, крупные компании — до 500 000$ и больше. Uber выплатил 149 миллионов долларов клиентам, чьи данные были украдены, Facebook заплатил штраф в размере 5 миллиардов долларов. Цели большинства атак: похищение конфиденциальных данных, вымогательство, желание сделать бяку конкуренту.

Что такое DDoS?

DDoS — Distributed Denial Of Service Attack или, по-русски говоря, — «доведение сервера до обморока». Множественные запросы посылаются на главный компьютер, снижая пропускную способность канала связи.

Когда пользователь заходит на сайт, браузер отправляет запрос на сервер, в ответ получая пакет с данными — на экране появляются текст и мультимедийный контент. Если сервер загружен, приходится долго ждать отрисовки картинок. DDoS-атака может замедлить работу сервера или «положить» его, то есть сделать сайт недоступным для пользователя.

Кого и зачем атакуют

Хакеры в основном совершают «налеты» на банкиров, IT-сектор, государственные сайты, образовательные платформы, киберспортивные состязания, онлайн-кинотеатры, реже на ритейлеров и новостные агентства.

Школьники учатся программированию и хакингу, тренируясь на «кошках». Профессиональные хакеры делают то же самое, но на более качественном уровне, с целью вымогательства и похищения данных. Частные и государственные структуры используют дудос, чтобы повлиять на ход выборов в других странах. Иногда заказчиками являются конкуренты по бизнесу — личная обида или желание «завалить» товарища в период активных продаж.

Знай врага в лицо

Последние годы наблюдается тренд на организованные совместные атаки — профессиональные взломщики сбиваются в стайки и называют себя RedDoor, Lizard Squad, ezBTC. Пока вы мирно смотрите очередной блокбастер, ваш компьютер атакует Пентагон. Сеть из множества ПК, в едином порыве занимающихся коллективным дудосом, называют «ботнетом».

IoT-боты стали бичом современности. Хакерская атакующая когорта может состоять из бытовых приборов «умного дома» — у каждого такого устройства есть персональный IP-адрес, с которого отправляются запросы на сервер.

Кроме настольного друга, DDoS-атакой в вашем доме может заниматься холодильник, электрочайник, видеокамера и даже умная лампочка.

Что нужно для DDoS-атаки и сколько это стоит

Самый простой способ сделать подножку ненавистному сайту — заказать стресс-тест у сервиса, предлагающего защиту от атак. Это работает только с самыми простенькими сайтами на бесплатных CMS и дешевых виртуальных хостингах. Тест длится от 2 до 20 минут. Более серьезную атаку можно организовать с помощью автоматических инструментов.

Цена DDos-атаки стартует с 50$, конечная стоимость будет зависеть от количества задействованных ресурсов. Сервисы, предоставляющие услуги, предлагают анонимную консультацию, «манибэк», отчет о выполненных работах и даже дают почитать отзывы довольных клиентов.

Если у жертвы есть надежная защита, «налет» обойдется намного дороже. Атака на VDS-сервер стоит 75–100 долларов за 5 минут, если сайт использует услуги anti-DDoS, стоимость начинается уже с 250 долларов. Блокировка домена на уровне регистратора — от 1000 долларов. Взлом Skype — 75 долларов.

Как вычисляют жертву?

У каждого сайта есть свой персональный адрес. Мы видим только название ресурса, программы, его IP-адрес. Нападению может подвергнуться не только сайт, но и конкретный пользователь. Приличный хакер перед атакой проведет «пентест». Военные назвали бы этот метод «разведка боем». Суть пентеста в небольшой контролируемой атаке, с помощью которой можно узнать уровень защиты сайта.

Частный случай

Проникнуть в любую сеть можно через Wi-Fi. Хакеры удаленно перезагружают устройство с помощью программы типа Websploit. Роутер возвращается к базовым настройкам и стандартному паролю. Злоумышленник получает доступ ко всему трафику организации.

Выявить адрес жертвы можно с помощью Skype или другого мессенджера. Делается это с помощью хакерского ПО на Linux. На полученный адрес посылается множество пакетов данных. Бонусом можно поставить программку автодозвона на определенный номер.

На рабочей панели отображается адрес, статус, вид операции. Подготовка пакета с ложными данными займет пару минут и в дело вступит автоматика, — но это вариант для «ламеров».

Настоящие «кулхацкеры» собирают собственную команду, заражая десятки тысяч компьютеров и утюгов. Иногда мелкие сети объединяются в более крупные, но тут не обойтись без рисков. Часто злоумышленники крадут друг у друга ключи доступа к «армиям», чтобы потом перепродать «войско».

Можно обойтись и без армии компьютеров, как говорится: «Не имей 100 рублей, а имей 100 друзей». Правда друзей потребуется 100 000, а лучше пару миллионов. Такой флэшмоб организовывается очень просто — через социальные сети.

Виды DDoS-атак

«Пинг смерти» — слишком большой пакет размером более 65535 байт. Такой вид хаккинга был популярен в 90-х годах, он приводил к ошибкам или отключению сервера.

HTTP(S) GET-флуд — на сервер отправляется ничего не значащая информация, забивающая канал передачи данных и расходующая ресурсы сервера.

Smurf-атака — взломщик отправляет операционной системе запрос с подменным mac-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул воришка.

HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.

UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.

SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».

POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»

Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых — коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.

Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.

Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.

Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.

Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.

Что делать во время DDoS-атаки

Можно провести обратную DDoS-атаку, перенаправив присланную бяку, атакующему. Если повезет, выведите из строя его оборудование. Для этого надо знать адрес сервера хакера и обладать хорошими навыками программирования. Без специалиста в этой области не обойтись — они редки и очень дорого стоят.

Активные методы защиты

Построение распределенных систем — целое искусство, позволяющее раскидывать запросы по разным узлам единой системы, если какие-то сервера стали не доступными. Вся информация дублируется, физически сервера находятся в Data-центрах разных стран. Такой подход имеет смысл использовать только для крупных проектов с большим количеством пользователей или высокими требованиями к бесперебойному доступу — банки, социальные сети.

Если у сервера нет надежной защиты или принятые меры не дали результатов — руби канаты.

Весь DDoS-трафик поступает от одного провайдера и магистрального маршрутизатора, поэтому можно заблокировать все, подключившись к резервной линии Интернет-соединения. Метод действенный, пока вас снова не обнаружат.

Самый надежный способ защититься — поставить на сайт заглушку, заварить чаек, усесться в позу «ждуна» и наслаждаться представлением. Рано или поздно атака прекратится по причине исчерпания бюджета.

«Заглушка» — контрольно-пропускной пункт, специальная страница весом около 2 килобайт с кодом фильтра и текстовым сообщением об атаке. Фильтр отделяет данные, отсылаемые атакующими от реальных пользователей, автоматически присваивает юзерам «куки» и перенаправляет на искомую страницу сайта. Но этот вариант не подходит банкам, крупным торговым сетям, организаторам киберспортивных состязаний. Для установки заглушки потребуется программист.

«Дальше действовать будем мы»

Конечно, в идеале сделать это до того, как сисадмин начнет бегать по офису с криками «Все пропало!», но и во время атаки не поздно обратиться в сервис по комплексной защите от DDoS-атак. На рынке представлено несколько десятков программно-аппаратных комплексов для защиты от хакеров: Juniper, F5, Cisco, Arbor Networks, Qrator, Selectel, CloudFlare и другие.

Как защищают сервисы

Весь интернет-трафик, поступающий на сайт, перенаправляется на сервера программно-аппаратных комплексов защиты, клиент получает только очищенный входящий трафик. Исходящий проходит через другие сервера.

Как правило, стоимость таких услуг довольна высока. Эти же сервисы предлагают постоянный мониторинг и выделенный IP, чтобы скрыть реальный адрес. Деньги берут в зависимости от объема трафика, поступающего на сервер. Расходы на защиту колеблются от 250 до нескольких тысяч долларов год.

Выбор стратегии зависит от серьезности угрозы и важности бесперебойной работы ресурса. Для большинства сайтов достаточно превентивных мер:межсетевые экраны, фильтрация запросов по ACL-списку, установка программ пассивного мониторинга, создание резервной линии Интернет-соеденения. Если доход от сайта исчисляется сотнями тысяч в день, стоит подумать о надежной защите на постоянной основе.

Количество атак увеличивается каждый год на 200%. Видеокамеры объединяются «в группы по интересам», атакуя финансовые организации, холодильники «названивают» в Uber, а на Amazon ополчились кофемолки. В следующий раз, смотря на свой «умный» чайник, приглядитесь повнимательней, может именно в этот момент он тащит пароли от ВК или пытается похитить данные банковской карточки.

Защита от Dos/DDos атак для Windows

Сообщений: 2174
Благодарностей: 566
Полезность: 425

JIokoMoTuB

Как то друг попросил собрать для него сервер LineAge. В поисках достойных мануалов, я забрел на один сайт и нашел там очень интересную вещь. Статья полностью скопирована оттуда. Те, кто знаю Linux, понимают, на сколько удобно использовать iptables для создания правил, который будут отражать все атакующие зомби-машины, с помощью этих защит можно огородить не только свой Lineage 2 Java сервер, но и другие серверы. Но к счастью, или к сожалению ( для хакеров ), на Windows’e тоже есть подобная софтина, и называется она — wipfw. Разархивируем данный софт в любую папку, и устанавливаем ( запускаем install.bat ). Отлично, вот и все, софт установлен — стандартные правила записаны. Для изменений правил, Вы можете использовать cmd.exe и команды ipfw, посмотреть их можно здесь Тынц Но согласитесь, не очень удобно записывать правила в команду, если их очень много, поэтому мы будем использовать файл «wipfw.conf», который находится в корне программы — в него записываются стандартные правила, а для того, чтоб они загрузились, нужно запустить «loadrules.cmd», который находится в папке bin. С этого момента, если Вы прочитаете DOC по командам ipfw, Вы уже можете написать хорошую защиту. Но я хочю Вам, как пример, предоставить структуру своего файла «wipfw.conf», что возможно упростит Вашу настройку защиты. Для начала, выложу полностью весь файл, а далее мы будем разбирать каждую строку. И так, «wipfw.conf» выглядит так: -f flush add 1 allow tcp from any to any 53 add 2 allow tcp from any 53 to any add 3 allow udp from any to any 53 add 4 allow udp from any 53 to any add 10 allow tcp from 195.16.88.3 to me add 100 allow tcp from me to any add 120 allow tcp from 192.0.0.0/8 to any add 120 skipto 10000 tcp from 2.0.0.0/8 to any add 120 skipto 10000 tcp from 66.0.0.0/8 to any add 120 skipto 10000 tcp from 46.0.0.0/8 to any add 120 skipto 10000 tcp from 62.0.0.0/8 to any add 120 skipto 10000 tcp from 77.0.0.0/8 to any add 120 skipto 10000 tcp from 78.0.0.0/8 to any add 120 skipto 10000 tcp from 79.0.0.0/8 to any add 120 skipto 10000 tcp from 80.0.0.0/8 to any add 120 skipto 10000 tcp from 81.0.0.0/8 to any add 120 skipto 10000 tcp from 82.0.0.0/8 to any add 120 skipto 10000 tcp from 83.0.0.0/8 to any add 120 skipto 10000 tcp from 84.0.0.0/8 to any add 120 skipto 10000 tcp from 85.0.0.0/8 to any add 120 skipto 10000 tcp from 86.0.0.0/8 to any add 120 skipto 10000 tcp from 87.0.0.0/8 to any add 120 skipto 10000 tcp from 88.0.0.0/8 to any add 120 skipto 10000 tcp from 89.0.0.0/8 to any add 120 skipto 10000 tcp from 90.0.0.0/8 to any add 120 skipto 10000 tcp from 91.0.0.0/8 to any add 120 skipto 10000 tcp from 92.0.0.0/8 to any add 120 skipto 10000 tcp from 93.0.0.0/8 to any add 120 skipto 10000 tcp from 94.0.0.0/8 to any add 120 skipto 10000 tcp from 95.0.0.0/8 to any add 120 skipto 10000 tcp from 109.0.0.0/8 to any add 120 skipto 10000 tcp from 178.0.0.0/8 to any add 120 skipto 10000 tcp from 188.0.0.0/8 to any add 120 skipto 10000 tcp from 193.0.0.0/8 to any add 120 skipto 10000 tcp from 194.0.0.0/8 to any add 120 skipto 10000 tcp from 195.0.0.0/8 to any add 120 skipto 10000 tcp from 212.0.0.0/8 to any add 120 skipto 10000 tcp from 213.0.0.0/8 to any add 120 skipto 10000 tcp from 217.0.0.0/8 to any add 120 skipto 10000 tcp from 204.16.252.109 to any add 120 skipto 10000 tcp from 38.99.77.20 to any # GOOGLE add 120 skipto 10000 tcp from 74.125.95.93 to any add 120 skipto 10000 tcp from 74.125.127.93 to any add 120 skipto 10000 tcp from 74.125.43.99/16 to any add 120 skipto 10000 tcp from 209.85.135.95/16 to any add 120 skipto 10000 tcp from 64.12.202.116/16 to any # depositfiles add 120 skipto 10000 tcp from 208.88.224.248/24 to any # DynDNS add 120 skipto 10000 tcp from 204.13.248.117/16 to any add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17 add 500 deny all from any to any add 10000 allow tcp from any to any 80,443,49441,5938,4344,9019,5190 add 10001 allow tcp from any 80,443,49441,5938,4344,9019,5190 to any add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in add 10005 allow tcp from any to any 7777 out add 10006 allow tcp from any to any 2106 out add 10500 deny all from any to any — Удаляем все записи, которые были у меня до этого момента. Читайте также:  Shield streaming сбой что делать windows 10 Оцените статью Вам также может понравиться Windows или Linux: Что лучше выбрать? Есть много причин выбирать между Windows и Linux, но Файл владелец изменить linux Команда Chown в Linux Chown Command in Linux (File Установка шлюза по умолчанию linux Настройка сети вручную Содержание Краткое описание Чем разбить диск для linux ИТ База знаний Курс по Asterisk Полезно — Узнать IP — Правообладателям Политика конфиденциальности Контакты