Что Такое Ddos Атака.faq
DDOS атака это отправка большого числа запросов на сервер с целью, что бы у сервера закончились ресурсы и он не смог отвечать на запросы пользователей. Для этих целей злоумышленники используют сотни и тысячи зараженных вирусами компьютеров пользователей, которые не знают, что их компьютеры заражены и используются для ддос атаки. Чем больше ботнет, тем более сильную DDOS атаку он создает и тем труднее эту атаку заблокировать.
Какие ресурсы сервера могут закончится:
1) Вычислительные ресурсы процессора, которые тратятся на обслуживание ддос запросов.
2) Количество допустимых одновременных подключений к серверу по протоколу TCP/IP, которое он может принять.
3) Пропускная способность канала связывающего сервер с интернетом.
Кроме ддос атаки, хакер может использовать любой компьютер из ботнета в качестве анонимного прокси сервера, для того что бы анонимно выходить самому в интернет.
Разновидности DDOS атак
1) SYN-флуд. Отправка большого количество запросов на установку соединения по протоколу TCP/IP. Обратный адрес SYN пакетов может быть подделан. В ответ на пакет SYN сервер добавляет запись в очередь полуоткрытых соединений и отсылает пакет SYN, ACK на IP адрес указанный как обратный в пришедшем пакете. Атакующий не отвечает пакетом ACK, а вместо этого снова шлет SYN. Эта атака рассчитана на то что у сервера будет достигнут предел на количество записей в списке соединений и сервер перестанет принимать запросы на открытие новых соединений. Способом борьбы с атакой SYN-флуд является включение механизма syncookies
2) ICMP – флуд. Отправка большого количества пакетов на сервер по служебному протоколу ICMP. Если на сервер ожидается атака, то ответы на ICMP запросы нужно отключить. Сервер не будет пинговаться, но на работе сайта это не скажется.
3) HTTP-флуд. Атака HTTP-флуд это отправка большого количества запросов к сайту по протоколу HTTP. HTTP-флуд опасен тем, что ответ на HTTP запрос может требовать больших вычислений от сервера. Так как для генерации страниц сайта может использоваться несколько вызовов к базе данных MySQL. Для защиты от HTTP флуда применяется анализатор логов access.log. В нем находятся IP ботов и заносятся в фаервол.
4) UDP-флуд. Защититься от UDP флуда можно тем, что не отвечать не кому по протоколу UDP и не иметь на сервере работающих сервисов по протоколу UDP. (Например DNS) Если идет атака на DNS работающий на сервере, то DNS сервис нужно отключить и использовать сторонний ДНС.
5) Атака на канал соединяющий сервер с интрентом. Обычно эта атака идет по протоколу UDP. Но превышение канала может наступить и при атаках других типов. Цель этой атаки израсходовать пропускную способность канала. Трафик бывает 2-х типов входящий и исходящий. При атаке важно не отвечать на запросы атакующих ботов, что бы исходящим трафиком не тратить ресурсы сервера и канала. Если атака очень мощная и своим входящим трафиком она перегружает канал, то остается лишь ждать когда атака закончится или переходить на гигабиный канал. Хорошая новость в том, что атаки превышающие канал бывают редко, для их реализации нужен большой ботнет и стоят они для хакера и заказчика дорого, поэтому они обычно длятся короткое время.
6) Атака на протокол TCP/IP с целью открыть много коннектов по протоколу TCP/IP и превысить количество допустимых соединений. Защитится, от этого можно регулярным подсчетом количества коннектов сделанных с одного IP адреса и если их количество превысит лимит, то этот IP заносится в бан. Такой подсчет производится раз в минуту. На каждое состояние соединения есть свой разрешенный лимит.
Защита от ддос основана на том, что бы отличить запросы пользователей от запросов атакующих ддос ботов. Обнаруженные IP адреса ботов заносятся на некоторый период времени в фаервол и сервер перестает отвечать на запросы с этих IP адресов, не тратя на них свои ресурсы.
В качестве фаервола используется стандартный фаервол Linux iptables или ipset.
|