DDoS-атака: как сделать? Программы для DDoS-атак. Что такое DDOS атака и Как её Сделать

Проблема вмешательства сторонних лиц в поведение киберспортивных матчей существует уже не первый день. Но в последнее время она особенно резко проявилась в Dota 2 и CS:GO. Многие игры приходится задерживать по часу, а то и вовсе отменять, переносить и переигрывать. Мы расскажем вам, насколько просто провести DDoS-атаку и как эффективно от нее защититься.


Что такое DDoS?
DDoS - атака, запущенная компьютером или сервером, которому дали цель и приказ к началу. После старта сеть зараженных машин начнет отправлять мертвые пакеты (бесполезную информацию) на роутер цели и таким образом блокирует соединение. Представьте себе лодку с одним веслом, которая пытается выбраться из загрязненной реки.

Атака
Для проведения атаки нужно лишь две вещи: DDoS-провайдер и цель. Услуги ддосеров зависят от количества времени, на которое они хотят испортить ваше соединение с интернетом и объема мусора, отправляемого на ваш роутер. Направление атаки определяется IP-адресом. Всё просто - если он есть у злоумышленников, то заддосить вас будет несложно. Поэтому очень важно избежать его попадания в чужие руки.
К сожалению, раздобыть нужный IP сейчас очень просто. Вы можете найти адрес сервера Valve через Dota 2, и даже если он будет скрыт через консоль, программа Packet Sniffer получит его без проблем.




Что касается айпишников отдельных игроков, то они оставляют следы во множестве программ. Для того, чтобы получить IP через Skype, требуется только ваш ник в программе, и это только один из множества способов. Представьте, что ситуация из видео ниже произойдет с вами (18+):

За DDoS даже необязательно платить. Я нашел бесплатный сервис, который дает отправить от 10 до 200 Mbps в качестве пробы. Этого достаточно, чтобы положить большинство стандартных сетей:


Как же защититься?
Существует много путей оградить себя от нападения. Я расскажу лишь о некоторых:

  • Арендуйте VPN. Он спрячет ваш IP за сильным и защищенным сервером. Если вы используете программы связи, то убедитесь, что делаете это через ВПН. Количество провайдеров этого сервиса очень велико.
  • Ограничьте общение через Skype, Teamspeak и т.д. Это один из простейших путей получить ваш адрес и испортить соединение.
  • Большинство людей считают, что у них на компьютере нет никаких вирусов. К сожалению, в 90% случаев это не так, и вам стоит проводить очистку чаще, чтобы избежать резкого отключения сети.
  • Будьте аккуратны в посещении сайтов и форумов. Администраторы видят ваш IP.
  • Фаерволлы. У некоторых роутеров есть встроенный, как и в самом Windows, но они не успеют отфильтровать поступающий "мусор" до того, как он заблокирует интернет.
    • Что делать, если мой IP уже попал в чужие руки?
    Тогда придется прибегнуть к весьма непростым манипуляциям с роутером. Интернет-провайдер вам ничем не поможет, так как им по работе не приходится сталкиваться с такими проблемами. Вам нужно поменять WAN MAC роутера, чтобы автоматически получить новый адрес. Если же сделать это не получается, то придется выдернуть роутер из сети и долго-долго ждать.
    Заключение.
    Как было неоднократно сказано, это далеко не полная информация по защите от DDoSa, и проигрокам приходится сталкиваться с гораздо более изощренными приемами. Так что желаем вам не попадать под подобные атаки и по возможности защищать себя.

    По всей видимости, большинство современных пользователей компьютерных систем слышали о таком понятии, как DDoS-атака. Как сделать ее самому, конечно, сейчас рассматриваться не будет (разве что в ознакомительных целях), поскольку такие действия в соответствии с любым законодательством являются противоправными. Тем не менее, можно будет узнать, что это такое вообще, и как это все работает. Но заметим сразу: не стоит воспринимать ниже поданный материал, как некую инструкци или руководство к действию. Информация приводится исключительно с целью общего понимания проблемы и только для теоретических познаний. Применение некоторых программных продуктов или организация противоправных действий может повлечь за собой уголовную ответственность.

    Что такое DDoS-атака на сервер?

    Само понятие DDoS-атаки можно трактовать, исходя из расшифровки английского сокращения. Аббревиатура расшифровывается, как Distributed Denial of Service, то есть, грубо говоря, отказ в обслуживании или работоспособности.

    Если разбираться в том, что такое DDoS-атака на сервер, в общем случае это нагрузка на ресурс посредством увеличенного количества пользовательских обращений (запросов) по определенному каналу связи, который, естественно, имеет ограничения по объему трафика, когда сервер просто не в состоянии их обработать. Из-за этого и происходит перегрузка. Фактически у программной и аппаратной части сервера банально не хватает вычислительных ресурсов, чтобы справиться со всем запросами.

    Принципы организации атак

    ДДоС-атака принципиально строится на нескольких базовых условиях. Самое главное - на первом этапе получить доступ к какому-то пользовательскому компьютеру или даже серверу, внедрив в него вредоносный код в виде программ, которые сегодня принято называть троянами.

    Как устроить DDoS-атаку самому именно на этом этапе? Совершенно просто. Для заражения компьютеров можно использовать так называемые снифферы. Достаточно прислать жертве письмо на электронный адрес с вложением (например, картинкой, содержащей исполняемый код), при открытии которой злоумышленник получает доступ к чужому компьютеру через его IP-адрес.

    Теперь несколько слов о том, что подразумевает собой второй этап, который задействует DDoS-атака. Как сделать следующее обращение? Нужно, чтобы на сервер или интернет-ресурс было отправлено максимальное количество обращений. Естественно, с одного терминала сделать это невозможно, поэтому придется задействовать дополнительные компьютеры. Вывод напрашивается сам собой: необходимо, чтобы внедренный вирус их заразил. Как правило, такие скрипты, готовые версии которых можно найти даже в интернете, являются самокопирующимися и заражают другие терминалы в сетевом окружении при наличии активного подключения или через интернет.

    Виды DDoS-атак

    ДДоС-атака в общем смысле называется так только условно. На самом деле существует как минимум четыре ее разновидности (хотя сегодня насчитывают целых 12 модификаций):

    • обвал сервера путем отсылки некорректных инструкций, подлежащих выполнению;
    • массовая отсылка пользовательских данных, приводящая к циклической проверке;
    • флуд - некорректно сформированные запросы;
    • нарушение функционирования канала связи путем переполнения ложными адресами.
    История появления

    Впервые об атаках такого рода заговорили еще в 1996 году, однако тогда особо значения этому никто не придал. Серьезно проблему начали осуждать только в 1999 году, когда были атакованы крупнейшие мировые серверы вроде Amazon, Yahoo, E-Trade, eBay, CNN и др.

    Последствия вылились в значительные убытки в связи с нарушением работы этих сервисов, хотя на тот момент это были всего лишь частичные случаи. О широком распространении угрозы речь пока еще не шла.

    Самый известный случай DDoS-атаки

    Однако, как оказалось впоследствии, только этим дело не ограничилось. Крупнейшая DDoS-атака за всю историю существования компьютерного мира была зафиксирована в 2013 году, когда возник спор между компанией Spamhaus и голландским провайдером Cyberbunker.

    Первая организация без объяснения причин включила провайдера в список спамеров, несмотря на то, что его серверами пользовались многие уважаемые (и не очень) организации и службы. К тому же серверы провайдера, как ни странно это выглядит, были расположены в здании бывшего бункера НАТО.

    В ответ на такие действия Cyberbunker начал атаку, которую на себя приняла CDN CloudFlare. Первый удар пришелся на 18 марта, на следующий день скорость обращений возросла до 90 Гбит/с, 21-го числа наступило затишье, но 22 марта скорость составила уже 120 Гбит/с. Вывести из строя CloudFlare не удалось, поэтому скорость была увеличена до 300 Гбит/с. На сегодняшний день это является рекордным показателем.

    Что представляют собой программы для DDoS-атак?

    В плане используемого ныне программного обеспечения наиболее часто используемым приложением считается программа LOIC, которая, правда, позволяет производить атаки только на серверы с уже известными IP- и URL-адресами. Что самое печальное, она выложена в интернете для свободного скачивания.

    Но, как уже понятно, данное приложение может использоваться только в паре с программным обеспечением, позволяющим получить доступ к чужому компьютеру. По понятным соображениям, названия и полные инструкции по их применению здесь не приводятся.

    Как произвести атаку самостоятельно?

    Итак, нужна DDoS-атака. Как сделать ее самостоятельно, сейчас кратко и рассмотрим. Предполагается, что сниффер сработал, и у вас есть доступ к чужому терминалу. При запуске исполняемого файла программы Loic.exe в окне просто вписываются нужные адреса и нажимается кнопка блокировки (Lock On).

    После этого в регулировке скорости передачи по протоколам HTTP/UDF/TCP фейдером устанавливается максимальное значение (10 в минимуме по умолчанию), после чего используется кнопка IMMA CHARGIN MAH LAZER для старта атаки.

    Как защититься от атак?

    Говоря о том, какие можно встретить программы для DDoS-атак, нельзя обойти и средства зашиты. Ведь даже третий закон Ньютона гласит, что любое действие вызывает противодействие.

    В самом простом случае используются антивирусы и файрволы (так называемые межсетевые экраны), которые могут представлены либо в программном виде, либо в качестве компьютерного «железа». Кроме того, многие провайдеры, обеспечивающие защиту, могут устанавливать перераспределение запросов между нескольким серверами, фильтрацию входящего траффика, установку дублируемых систем защиты и т.д.

    Одним из методов проведения атак является методика DNS Amplification - технология рассылки DNS-серверам рекурсивных обращений с несуществующими обратными адресами. Соответсвенно, в качестве защиты от таких напастей можно смело использовать универсальный пакет fail2ban, который на сегодняшний день позволяет установить достаточно мощный барьер для рассылок подобного рода.

    Что нужно знать еще?

    По большому счету, при желании доступ к вашему компьютеру может получить даже ребенок. При этом даже какое-то особо сложное специализированное программное обеспечение не потребуется, а в последствии с вашего «зомби»-компьютера и может быть произведена DDoS-атака. Как сделать ее самостоятельно, в общих чертах уже понятно.

    Но заниматься подобными вещами, думается, не стоит. Правда, некоторые начинающие пользователи и программисты пытаются производить такие действия, так сказать, из чисто спортивного интереса. Запомните: любой знающий админ вычислит, если не вас, то местонахождение провайдера, элементарно, даже если на каком-то этапе использовался анонимный прокси-сервер в интернете. Далеко ходить не нужно. Тот же ресурс WhoIs может предоставить достаточно много информации, о которой вы даже не догадываетесь. Ну а дальше, как говорится, дело техники.

    Останется только обратиться к провайдеру с соответствующим запросом с указанием внешнего IP, и он (согласно международным нормам) предоставит данные о вашем местонахождении и личных данных. Поэтому, материал, представленный выше, расценивать как побуждение к противоправным действиям не стоит. Это чревато достаточно серьезными последствиями.

    Но что касается самих атак, отдельно стоит сказать, что и самому стоит предпринимать некоторые меры по защите системы, ведь вредоносные коды могут содержаться даже в интернет-баннерах, при клике на которых может производиться загрузка трояна на компьютер. И не все антивирусы способны фильтровать такие угрозы. А то, что компьютер может превратиться в такой себе зомбо-ящик, не обсуждается вообще. Пользователь этого может даже не заметить (разве что исходящий траффик будет повышенным). Установка и настройка пакета fail2ban является достаточно сложной, поэтому в качестве самых примитивных средств стоит использовать серьезный антивирус (Eset, Kaspersky), а не бесплатные программные продукты, а также не отключать собственные средства защиты Windows вроде брэндмауэра.

    Сегодня давайте попытаемся прояснить ситуацию вокруг Ddos-атак на сервер. Все таки данная проблема реально пересекается с темой хостинга как такового.

    Штука довольно-таки неприятная. Представьте, установил я вчера новенький плагин на свой wordpress и вдруг через какое-то время, бац! - блог в браузере перестает открываться. Причем другие сайты в то же самое время прекрасно серфятся. Мысли лезут - чего-то напортачил с плагином. Много раз жму на перезагрузку страницы и ничего! Потом, правда заработало, но несколько неприятных минут пришлось пережить.

    А сегодня в почте вижу письмецо от техподдержки ТаймВэб. Скрывать не буду, хостинг я там беру. Да и чего скрывать, достаточно ввести адрес сайта в Whois.
    Письмо такое:

    "Уважаемые пользователи.
    Сегодня, 02 декабря 2011 года в 16:32 по Московскому времени, на технологическую площадку TIMEWEB, началась массированная DDOS атака, которая нарушила работу некоторых сайтов и серверов.
    Инженеры TIMEWEB взяли ситуацию под контроль и уже к 18:45 стабильная работа площадки была полностью восстановлена. .."

    Решил я разобраться откуда берутся Ddos-атаки на сервер и что это, вообще, такое. И вот, что нарыл.

    Ddos-атаки на сервер - что это такое?

    Во-первых, заглянем в Вики, куда ж без нее:

    DOS-АТАКА (от англ. Denial of Service , отказ в обслуживании ) - атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к захвату контроля над системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.).

    Если атака выполняется одновременно с большого числа компьютеров, говорят о DDOS-АТАКЕ (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

    Итак, с одной стороны имеется объект атаки - некий сервер или сайт, а с другой стороны, группа злоумышленников, организующих Ddos-атаку на объект нападения.

    Какие цели преследуют организаторы Ddos-атаки?

    Одной из самых безобидных причин становится банальное кибер-хулиганство. Дело усугубляется тем, что большинство программ для организации атак находится в свободном доступе в сети Интернет.

    Более серьезные Ddos-атаки порождает недобросовестная конкуренция. Цели тут ставятся разные - обрушить сервер конкурента, тем самым нарушая работу соперника, да плюс к этому создать конкуренту отрицательный имидж на рынке. Возможен также взлом сервера, так как при массированной атаке могут проскочить на всеобщее обозрение кусочки информации в виде программных кодов.

    Еще, используя метод Ddos-атаки, различные Ddos-группировки могут заявлять о своем существовании или выставлять требования, ультиматумы хозяевам серверов.

    Вот некоторые примеры Ddos-атаки на сервер , которые я нашел в Луркоморье:

    • ООФР (Организация Объединенных Фагов России), в которую входят следующие мем-группировки: Лепрозорий Суеверный, Падшая часть ЖЖ и во главе, конечно же, Упячка.

    Главными жертвами ООФР стали:

  • www.mail.ru (за проект ЖУКИ),
  • www.gay.com (за то что гей),
  • www.4chan.org (за оскорбления бога «Онотоле»),
  • www.wikipedia.org (за статью про УПЧК, в которой было оскорбление в сторону котов (Котэ), не снятое модератором в течение месяца)

    • Многие организации, работающие в области защиты от Ddos-атак, несмотря на достижения в этой сфере, все же признают растущую опасность угрозы, в основном по причине простоты организации атак.

    ПОДВЕДЕМ НЕБОЛЬШОЙ ИТОГ:

    Нас, рядовых пользователей Интернета, больше всего должно интересовать, как дело защиты от кибер-атак поставлено у тех хостеров, где мы арендуем хостинг для своих детищ - сайтов. Как видим в конкретном случае TimeWeb с проблемой справился и довольно быстро. Второй ему плюс вручаю за то, что известил меня об этом по почте.

    Кстати, недавно я устроил TimeWeb еще один простенький тест.

    На сегодня о Ddos-атаках все.

    Скоро поговорим о том, какие они бывают и как организуется защита от кибер-атак.

    DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

    Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

    Кто может пострадать от DoS и DDoS атак

    Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

    Схема, иллюстрирующая суть DDoS-атаки:

    DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

    Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

    Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

    На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

    Как проводятся атаки

    Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

    Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

    Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

    Так отображает деятельность ботнета сайт Norse-corp.com :

    Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

    Так Logstalgia показывает DDoS-атаку:

    Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

    Способы нападения и защиты

    Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

    Флуд

    Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

    Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

    Виды флуда:

    • MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
    • ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
    • SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
    • UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
    • HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.

    Как защититься от флуда
    • Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
    • Ограничить или запретить обработку эхо-запросов ICMP.
    • Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
    • Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
    • Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
    • Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
    • Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
    • Расширить пропускную способность сетевого канала.
    • По возможности выделить отдельный сервер для обработки криптографии (если используется).
    • Создать резервный канал для административного доступа к серверу в аварийных ситуациях.
    Перегрузка аппаратных ресурсов

    Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

    • Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
    • То же самое, только заполнять накопитель будут логи сервера.
    • Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
    • Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
    • Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.

    Как защититься от перегрузки аппаратных ресурсов
    • Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
    • Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
    • Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
    • Хранить лог-файлы сервера на отдельном накопителе.
    • Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.
    Уязвимости в операционных системах, программном обеспечении, прошивках устройств

    Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

    После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

    Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

    Методы противодействия эксплуатации уязвимостей в софте
    • Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
    • Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
    • Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
    • Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
    • Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.
    Как определить, что ресурс подвергся нападению хакера

    Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

    • Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
    • Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
    • Объем трафика на один или несколько портов увеличивается в разы.
    • Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
    • Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

    Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.

    Главная цель хакеров - это сделать атакуемый ресурс недоступным для пользователя. Для этого на него направляется огромное количество ложных запросов, которые сервер не в состоянии обработать, в результате ресурс "падает". Это можно сравнить с тем, как неподготовленному человеку под видом гантелей на привычные ему 3 кг внезапно дали такие же по виду, но по 9 кг каждая. Разумеется, он не справится. То же происходит с сайтом - и вместо привычной страницы пользователь видит "заглушку" с сообщением об ошибке.

    Для генерации зловредного трафика, который по сути и является DDoS-атакой, чаще всего используется большое количество устройств, имеющих доступ к Интернет, зараженных специальным кодом. Эти устройства (ПК, смартфоны, "умные вещи", серверы) объединяются в ботнеты, которые посылают запросы на адрес жертвы. Иногда источником мусорного трафика могут быть соцсети, где размещена ссылка на сайт-жертву. Помимо прочего, в Интернете есть сервисы-стрессеры, с помощью которых любой желающий может устроить ddos-атаку.

    Как выглядит DDoS-атака на графике с интерфейса, через который проходит атакующий трафик

    Способы разнообразны, но любой ведет к потери легитимного трафика, иными словами - пользователей, поэтому часто используется как инструмент недобросовестной конкурентной борьбы. От DDoS-атаки часто страдают интернет-магазины, онлайн-игры, системы электронных платежей.

    Поэтому вопрос, как остановить ddos-атаку, волнует все большее число людей. Если речь идет о сайте, то кажется логичным обратиться за помощью к хостинг-провайдеру, где он размещен. Однако многим хостерам, которые предоставляют недорогие услуги, проще отключить проблемный ресурс, чем решать проблему. Почему?

    Что же делать? Решение есть - это как самостоятельная, так и профессиональная защита от DDoS , в том числе - сервисы специализированных компаний. Однако сразу предупредим, что универсальных мер защиты от DDoS-атак не существует, т.к. хакеры постоянно находят новые уязвимости и способы обмануть системы защиты Однако есть простые эффективные приемы, которые должен знать сотрудник, занимающийся администрированием Вашего сайта. Они помогут организовать защиту от DDoS-атак простейших видов.

    Скрипты и фаерволы

    Допустим, что на условный сайт n.ru идет ддос-атака. По логам (истории) видно, что большое количество GET-запросов идет на главную страницу. В этом случае можно воспользоваться редиректом javascript, например:


    window.location = "n.ru/index.php"

    После этого легитимные пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

    Но тут возникает проблема - боты поисковых систем (Яндекса, Google) не оборудованы js-интерпретаторами и не будут перенаправлены, как и атакующие. Это негативно скажется на позициях сайта в выдаче. Чтобы этого избежать, можно написать небольшой скрипт, который будет считать количество коннектов с определенного IP адреса, и банить его. Определить бота можно, например, проверив его host.

    Существует бесплатный скрипт DDoS Deflate - это своего рода сигнализация, которая использует команду «netstat» для обнаружения флуда (одного из видов DDoS), после чего блокирует подозрительные IP-адреса вредителей с помощью межсетевого экрана iptables (либо apf).

    Настройки параметров Apache

    Чтобы предотвратить DDoS, можно еще изменить настройки параметров Apache:

  • KeepAliveTimeout - нужно снизить ее значение или полностью выключить эту директиву;
  • TimeOut - установить как можно меньшее значение для данной директивы (веб-сервера, который подвержен DDoS-атаке).
  • Директивы LimitRequestBody, LimitRequestFieldSize, LimitRequestFields, LimitRequestLine, LimitXMLRequestBody должны быть настроены на ограничение потребления ресурсов, вызванных запросами клиентов.

    • Самый радикальный способ остановить DDoS-атаку - это блокировать все запросы из страны, откуда начал идти "мусорный" трафик. Однако это может доставить большие неудобства реальным пользователям из этих стран, т.к. им придется воспользоваться proxy для обхода блокировки.

    И тут мы подходим к вопросу, почему вышеперечисленные способы не могут в полной мере обеспечить защиту от DDoS-атак. Дело в том, что бывает очень сложно отличить легитимные запросы от зловредных. Например, нашумевший червь заставлял видеорегистраторы посылать запросы по протоколу TCP, которые выглядели как легитимные, из-за чего не сразу удалось остановить DDoS-атаку. На сегодняшний день существует более 37 типов DDoS-атак, каждый из которых имеет свои особенности. Кроме того, велика вероятность отсеять вместе с зловредными запросами часть легитимных, т.е. потерять реальных пользователей.

    Способы защиты от DDoS-атак

    Если Вы хотите максимально обезопасить свой ресурс, то стоит обратить внимание на специализированные сервисы по защите от ddos-атак, которые предоставляют свои услуги удаленно.

    Чтобы разобраться самостоятельно, потребуется масса времени, поэтому мы решили написать небольшой гид по современным видам защиты от DDoS-атак.

    Условно всё многообразие можно поделить на две большие группы: сервисы, которые подключаются удалённо, и "железные" решения, требующие установки оборудования на стороне клиента.

    В первую группу входят следующие виды защиты от распределенных атак:

    1. reverse proxy (обратное проксирование). Провайдер защиты выдает ресурсу, который надо защитить, новый IP-адрес - его необходимо внести в А-запись. После изменения А-записи входящий трафик будет идти сначала на очистку в сеть провайдера по новому IP-адресу, а после этого, уже очищенный, поступать на реальный адрес. При этом ресурс может оставаться на прежнем хостинге. Это самая доступная защита от DDoS: подходит сайтам различной посещаемости, подключение и настройка занимает не более 20 минут, требует минимальных знаний от вебмастера.

    2. защищенный хостинг (или выделенный сервер). Такую услугу anti ddos предлагают хостеры, серверы которых уже подключены к системе защиты (это могут быть собственные фильтрующие станции либо услуга от компании-партнера). Это не менее популярная и выгодная защита от ddos атак, ее плюсы: один общий счёт за все услуги, все настройки выполняют специалисты хостинг-провайдера, перенос сайта с незащищенного стороннего хостинга осуществляется, зачастую, бесплатно. При создании нового сайта его можно сразу размещать на защищенном от ддос-атаки хостинге или выделенном сервере.

    Чем различается обычный хостинг и выделенный сервер? В первом случае сайт размещен на одном сервере со множеством других сайтов, это можно сравнить с общежитием. А при аренде выделенного сервера на нем размещается только один сайт, без соседей. Разумеется, выделенный сервер стоит дороже, зато нет опасности пострадать из-за DDoS-атаки на соседа.

    3. защищенный IP-транзит по виртуальному туннелю. Эта услуга подходит для проектов с большими объемами трафика, для защиты от мусорного трафика сразу всей автономной системы. Это дорогостоящая услуга, которой пользуются ЦОДы, хостинг-провайдеры, регистраторы доменных имен, операторы связи, которые не имеют собственных фильтрующих станций.

    Довольно часто в интернете провайдеры связи пишут, что предоставляют подключение к для защиты от DDoS. Однако стоит учесть, что CDN - это сеть доставки контента, которая позволяет ускорить передачу данных за счет их кэширования, НО не их очистки! Это разные технологии, которые могут сочетаться, но не заменяют друг друга. Поэтому такие предложения - это либо лукавство, либо техническая неграмотность тех, кто предлагает сервис. CDN - это не защита от DDoS!

    Ко второй группе средств защиты от DDoS-атак относятся разнообразные "железные" решения, предполагающие покупку/аренду фильтрующих устройств либо подключение к чужой сети фильтров по физическому кабелю. Это дорогостоящие варианты, которые имеют как достоинства, так и недостатки. Главный плюс собственного фильтрующего устройства - это то, что данные не надо передавать на обработку сторонней организации, а значит, можно не переживать за сохранность информации. Это важный аспект для компаний, чья работа связана с персональными данными и финансами.

    Минусы: высокая стоимость, сложность и долгое время монтажа (в случае прокладки кабеля), необходимость иметь в штате специалиста для настройки, невозможность оперативного расширения канала связи.

    Чтобы исправить последнее, поставщики оборудования разработали гибридную схему: трафик свыше лимита, который уже не может обработать физический фильтр, передается на очистку в "облако". Однако недавно хакеры нашли уязвимость в этой системе, связанную с тем, что на передачу данных в "облако" требуется определенное время, и разработали алгоритм DDoS-атаки, который выводит гибридную защиту из строя. Такие атаки называют Pulse Wave, прочитать о них можно здесь.

    Таим образом, собственные фильтры - это не самая выгодная защита от DDoS-атак, ведь она требует значительных затрат ресурсов и доступна только крупным корпорациям, которые могут себе позволить высококвалифицированных работников для обслуживания такого оборудования. Поэтому многие выбирают поставщика услуг защиты на аутсорсе.Большинство таких компаний имеют собственные или взятые в аренду центры очистки трафика, оборудованные специальными фильтрующими устройствами.

    Какой сервис по защите от DDoS лучше выбрать..? Это зависит от параметров защищаемого ресурса. Для сайтов чаще всего подходит проксирование или аренда защищенного сервера, для автономной системы или хостинг-провайдера - виртуальный туннель, а операторы связи предпочитают прокладывать физические каналы.

    В любом случае, провайдер защиты от DDoS должен иметь хорошие каналы связи для приема большого объема трафика с возможностью "горячего" расширения, т.к. сила кибератак растет чуть ли не в геометрической прогрессии и уже были зафиксированы DDoS-атаки в 1 Tbps. Поэтому при общении с представителями компании обязательно надо узнать про их технические мощности.

    Большим плюсом будет, если фильтрующие узлы компании расположены в различных странах, т.к. это позволяет обрабатывать трафик максимально близко к его источнику и свести задержки передачи к минимум. Кроме того, распределение трафика на несколько точек позволяет снизить общую нагрузку на фильтрующую сеть и повышает стабильность ее работы.

    Кроме того, если Вы не имеете в штате подкованных опытных айтишников, которые сами всё настроят, то Вам понадобится помощь техподдержки. Большим плюсом будет, если саппорт компании, предоставляющей сервис по защите от DDoS, работает 24/7 и говорит на одном языке с заказчиком.

    Разумеется, все эти услуги не бесплатны, однако их подключение - единственный вариант превентивной борьбы с DDoS. Иначе Вам придется бороться уже с последствиями, которые для отдельных сегментов бизнеса могут быть критичны. И в любом случае, стоимость такой защиты от DDoS гораздо ниже, чем покупка и обслуживание собственного фильтрующего оборудования.



    СХОЖИЕ СТАТЬИ