Что Такое Ddos Атака.faq

[Eternity]

DDOS атака это отправка большого числа запросов на сервер с целью, что бы у сервера закончились ресурсы и он не смог отвечать на запросы пользователей. Для этих целей злоумышленники используют сотни и тысячи зараженных вирусами компьютеров пользователей, которые не знают, что их компьютеры заражены и используются для ддос атаки. Чем больше ботнет, тем более сильную DDOS атаку он создает и тем труднее эту атаку заблокировать.

Какие ресурсы сервера могут закончится:
1) Вычислительные ресурсы процессора, которые тратятся на обслуживание ддос запросов.
2) Количество допустимых одновременных подключений к серверу по протоколу TCP/IP, которое он может принять.
3) Пропускная способность канала связывающего сервер с интернетом.

Кроме ддос атаки, хакер может использовать любой компьютер из ботнета в качестве анонимного прокси сервера, для того что бы анонимно выходить самому в интернет.

Разновидности DDOS атак
1) SYN-флуд. Отправка большого количество запросов на установку соединения по протоколу TCP/IP. Обратный адрес SYN пакетов может быть подделан. В ответ на пакет SYN сервер добавляет запись в очередь полуоткрытых соединений и отсылает пакет SYN, ACK на IP адрес указанный как обратный в пришедшем пакете. Атакующий не отвечает пакетом ACK, а вместо этого снова шлет SYN. Эта атака рассчитана на то что у сервера будет достигнут предел на количество записей в списке соединений и сервер перестанет принимать запросы на открытие новых соединений. Способом борьбы с атакой SYN-флуд является включение механизма syncookies

2) ICMP – флуд. Отправка большого количества пакетов на сервер по служебному протоколу ICMP. Если на сервер ожидается атака, то ответы на ICMP запросы нужно отключить. Сервер не будет пинговаться, но на работе сайта это не скажется.

3) HTTP-флуд. Атака HTTP-флуд это отправка большого количества запросов к сайту по протоколу HTTP. HTTP-флуд опасен тем, что ответ на HTTP запрос может требовать больших вычислений от сервера. Так как для генерации страниц сайта может использоваться несколько вызовов к базе данных MySQL. Для защиты от HTTP флуда применяется анализатор логов access.log. В нем находятся IP ботов и заносятся в фаервол.

4) UDP-флуд. Защититься от UDP флуда можно тем, что не отвечать не кому по протоколу UDP и не иметь на сервере работающих сервисов по протоколу UDP. (Например DNS) Если идет атака на DNS работающий на сервере, то DNS сервис нужно отключить и использовать сторонний ДНС.

5) Атака на канал соединяющий сервер с интрентом. Обычно эта атака идет по протоколу UDP. Но превышение канала может наступить и при атаках других типов. Цель этой атаки израсходовать пропускную способность канала. Трафик бывает 2-х типов входящий и исходящий. При атаке важно не отвечать на запросы атакующих ботов, что бы исходящим трафиком не тратить ресурсы сервера и канала. Если атака очень мощная и своим входящим трафиком она перегружает канал, то остается лишь ждать когда атака закончится или переходить на гигабиный канал. Хорошая новость в том, что атаки превышающие канал бывают редко, для их реализации нужен большой ботнет и стоят они для хакера и заказчика дорого, поэтому они обычно длятся короткое время.

6) Атака на протокол TCP/IP с целью открыть много коннектов по протоколу TCP/IP и превысить количество допустимых соединений. Защитится, от этого можно регулярным подсчетом количества коннектов сделанных с одного IP адреса и если их количество превысит лимит, то этот IP заносится в бан. Такой подсчет производится раз в минуту. На каждое состояние соединения есть свой разрешенный лимит.

Защита от ддос основана на том, что бы отличить запросы пользователей от запросов атакующих ддос ботов. Обнаруженные IP адреса ботов заносятся на некоторый период времени в фаервол и сервер перестает отвечать на запросы с этих IP адресов, не тратя на них свои ресурсы.
В качестве фаервола используется стандартный фаервол Linux iptables или ipset.

[Eternity]

Dos-атака

Для лучшего понимания сути, давайте начнем с простого. И для начала познакомимся с термином «dos-атака» . От английского denial of service — отказ в обслуживании, или просто знакомый нам уже Dos, считается базовой категорией в теме компьютерной безопасности. Существует несколько вариантов реализации. Термин применим в любой ситуации, когда злоумышленник пытается помешать нормальному использованию какого-либо ресурса. И это не обязательно веб-сервер. Заполнить жесткий диск файлового сервера посторонними файлами — тем самым не дав пользователям записывать на него необходимую информацию — тоже можно отнести к разряду "dos-атака" .

Если говорить о dos-атаке применительно к сетевым технологиям, то это обычно либо перегрузка сервера входящими подключениями, или же просто потоком бесполезного «трафика», что делает невозможным подключения пользователей (т.к. полоса пропускания почти всегда ограничена). Если тоже самое применить к маршрутизатору, то возможно нарушения работы целого сегмента сети.

Dos-атаку нельзя ставить наряду с обычным взломом, когда целью является получить доступ к закрытой информации, или авторизоваться в частной сети. Ключевой целью Dos является прекращение обслуживания различных сервисов и аппаратного обеспечения. Чем дольше они остаются недоступными для пользователей — тем успешнее dos-атака. И как уже говорилось ранее, если удается провести подобные атаки на важные и ключевые элементы в сетях — это может служить причиной серьезных проблем.

Что такое DDoS-атака?

Если dos-атака — это традиционный, если хотите базовый тип атак, то ddos-атака — это продвинутый вариант, который сложнее в реализации, и эффект его в разы «разрушительнее». Еще немного о терминологии: Ddos — Distributed Denial of Service — распределенная атака типа отказ в обслуживании. Атака подобного типа выполняется как правило в больших сетях, и именно в них осуществить ее легче, и эффект будет намного серьезнее. Сейчас вам станет понятно почему.

Если в традиционной dos-атака злоумышленник использует источником единичную рабочую станцию, неважно для заполнения цели трафиком, или бесполезными файлами ресурсы винчестеров. То в продвинутой ddos-атаке, в качестве источника используются многочисленные рабочие станции сети. Эта система имеет конфигурацию «master-slave». Особой сложности в процессе атаки нет. Злоумышленник неправомерными действиями получает управление над рабочими станциями. Сделать это можно к примеру заразив компьютеры, подключенные к сети интернет, вирусными программами типа «троян». И затем получив возможность управлять рабочей станцией — установить на нее необходимое для атаки программное обеспечение. Как вы уже поняли — все зараженные машины в этой конфигурации именуются как «slave». Тот компьютер с которого производят управление — «master». С машины типа «master» и проводятся все необходимые действия: сообщается машинам «slave» время начала атаки, цель, ее ip-адреса, dns-имя и т.д. Представьте себе если зараженными окажутся тысячи ПК в сети интернет, и с них одновременно начнется атака. К примеру целью будет веб-сервер. Какой бы не была его полоса пропускания, одновременного трафика с такого количества хостов, он не способен будет принять, и цель будет достигнута.

В чем состоит сложность противостояния ddos-атаке? Если в базовом варианте dos — резко возрастает подозрительный трафик с одного источника, то его легко заблокировать. В случае же ddos — трафик пойдет из множества источников, и как правило это обычные рабочие станции пользователей интернет. Источник атаки практически невозможно отследить. И написать правила запрета для трафика в такой ситуации крайне сложно.

Почемту так трудно противодействовать DDoS? Очевидно, что неожиданный, резко возросший трафик бросится в глаза любому компетентному системному администратору (если раньше не начнет звонить телефон и надрываться пейджер!). Однако, к сожалению, весь этот трафик будет наверняка подделанным, то есть истинный источник атаки будет скрыт. Это значит, что нет очевидного правила, которое позволит файрволлу защитить от этой атаки, так как трафик зачастую выглядит легитимным и может приходить откуда угодно.

Неужели нельзя защититься о ddos-атаки, спросите вы? К сожалению как правило нет, или очень сложно. Представьте какой процесс нужно проделать для исследования трафика поступающего одновременно от тысячи источников, на предмет его «враждебности»?

Спасение от DDoS атак

К сожалению 100% защиты от ddos-атак не существует. Вы лишь можете предпринимать профилактические действия, которые снизят риск угрозы. И если ваши ресурсы попали под действие ddos-атаки, то вы должны снижать уровень причиненного вреда.

Вот список мер профилактики и противодействия ddos-атаке.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Обратный DDOS — перенаправление трафика , используемого для атаки, на атакующего.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или ip-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ-Софт), Arbor Peakflow® и от других производителей.