Boj s DDoS útokmi je nielen náročná práca, ale aj vzrušujúca práca. Nie je prekvapujúce, že každý správca systému sa v prvom rade snaží organizovať obranu sám - najmä preto, že je to stále možné.

Rozhodli sme sa vám v tejto neľahkej úlohe pomôcť a zverejniť niekoľko krátkych, triviálnych a nie univerzálnych tipov na ochranu vašej stránky pred útokmi. Uvedené recepty vám nepomôžu zvládnuť akýkoľvek útok, ale ušetria vás pred väčšinou nebezpečenstiev.

Správne ingrediencie

Krutou pravdou je, že mnohé stránky môže zlikvidovať ktokoľvek pomocou útoku Slowloris, ktorý úplne zabije Apache, alebo usporiadaním takzvanej SYN záplavy pomocou farmy virtuálnych serverov vytvorenej za minútu v cloude Amazon EC2. Všetky naše ďalšie rady týkajúce sa internej ochrany pred DDoS sú založené na nasledujúcich dôležitých podmienkach.

1. Vzdajte sa systému Windows Server

Prax diktuje, že stránka, ktorá beží na Windowse (2003 alebo 2008 – na tom nezáleží), je v prípade DDoS odsúdená na zánik. Dôvod zlyhania spočíva v sieťovom zásobníku Windows: keď existuje veľa pripojení, server určite začne reagovať zle. Nevieme, prečo Windows Server v takýchto situáciách funguje tak nechutne, ale stretli sme sa s tým viac ako raz alebo dvakrát. Z tohto dôvodu sa tento článok zameria na prostriedky ochrany pred DDoS útokmi v prípade, že server beží na Linuxe. Ak ste šťastným vlastníkom relatívne moderného jadra (od verzie 2.6), potom budú nástroje iptables a ipset (na rýchle pridávanie IP adries) fungovať ako primárne nástroje, pomocou ktorých môžete botov rýchlo zakázať. Ďalším kľúčom k úspechu je správne pripravený sieťový zásobník, o ktorom si tiež povieme neskôr.

2. Časť s Apache

Druhou dôležitou podmienkou je opustenie Apache. Ak nemáte hodinu, je nainštalovaný Apache, dajte pred neho aspoň cachovací proxy - nginx alebo lighttpd. Apache "je extrémne náročný na obsluhu súborov, a čo je ešte horšie, je zásadne (to znamená nenapraviteľne) zraniteľný voči najnebezpečnejšiemu útoku Slowloris, ktorý vám umožňuje zrútiť server takmer z mobilného telefónu. Bojovať proti rôznym typom Slowloris , Používatelia Apache najskôr prišli s opravou Anti-slowloris.diff, potom mod_noloris, potom mod_antiloris, mod_limitipconn, mod_reqtimeout ... Ale ak chcete v noci pokojne spať, je jednoduchšie vziať si HTTP server, ktorý je pre Slowloris nezraniteľný na úroveň architektúry kódu. Preto sú všetky naše ďalšie recepty založené na predpoklade, že frontend používa nginx.

Boj proti DDoS

Čo ak príde DDoS? Tradičnou technikou sebaobrany je čítať protokolový súbor HTTP servera, napísať vzor pre grep (zachytenie požiadaviek robotov) a zakázať každého, kto pod to spadá. Táto technika bude fungovať ... ak budete mať šťastie. Existujú dva typy botnetov, pričom oba sú nebezpečné, no rôznymi spôsobmi. Jeden príde na stránku úplne okamžite, druhý postupne. Prvý zabije všetko naraz, ale všetko sa objaví v protokoloch úplne a ak ich spustíte a zakážete všetky IP adresy, ste víťaz. Druhý botnet nastaví stránku jemne a opatrne, ale možno ju budete musieť zakázať na 24 hodín. Je dôležité, aby každý správca pochopil: ak plánujete bojovať s grepom, musíte byť pripravený venovať pár dní boju proti útoku. Nasledujú tipy, kam umiestniť slamky s predstihom, aby ich pád tak nebolel.

3. Použite modul testcookie

Možno najdôležitejší, najúčinnejší a najrýchlejší recept na tento článok. Ak DDoS príde na vašu stránku, potom modul testcookie-nginx, ktorý vyvinul @kyprizel, môže byť najefektívnejším spôsobom, ako sa brániť. Myšlienka je jednoduchá. Najčastejšie sú roboty implementujúce zaplavenie HTTP dosť hlúpe a nemajú mechanizmy HTTP cookie a presmerovania. Niekedy existujú aj pokročilejšie – dokážu využívať cookies a spracovávať presmerovania, no takmer nikdy DoS bot nenesie plnohodnotný JavaScript engine (aj keď je to čoraz bežnejšie). Testcookie-nginx funguje ako rýchly filter medzi robotmi a backendom počas L7 DDoS útokov na odfiltrovanie nevyžiadaných požiadaviek. Čo zahŕňajú tieto kontroly? Vie klient spustiť HTTP Redirect, či podporuje JavaScript, je to prehliadač, za ktorý sa vydáva (keďže JavaScript je všade iný a ak klient povie, že je to povedzme Firefox, tak to môžeme skontrolovať). Overenie sa vykonáva pomocou súborov cookie rôznymi spôsobmi:

• Set-Cookie + 301 HTTP Location presmerovanie;
• "Set-Cookie" + presmerovanie s HTML meta refresh;
• ľubovoľnú šablónu a môžete použiť JavaScript.

Aby sa predišlo automatickej analýze, overovacie súbory cookie môžu byť šifrované pomocou AES-128 a neskôr dešifrované v JavaScripte na strane klienta. V novej verzii modulu bolo možné nastaviť súbory cookie cez Flash, čo vám tiež umožňuje efektívne vyradiť roboty (ktoré Flash spravidla nepodporuje), ale blokuje prístup mnohým legitímnym používateľom ( vlastne všetky mobilné zariadenia). Je pozoruhodné, že začať používať testcookie-nginx je veľmi jednoduché. Najmä vývojár uvádza niekoľko jasných príkladov použitia (pre rôzne prípady útoku) s ukážkami konfigurácií pre nginx.

Okrem výhod má testcookie aj nevýhody:

• odstráni všetky roboty vrátane Googlebota. Ak si plánujete ponechať testcookie natrvalo, uistite sa, že nezmiznete z výsledkov vyhľadávania;
• spôsobuje používateľom problémy s odkazmi, prehliadačmi w3m a podobne;
• nezachráni vás pred robotmi vybavenými plnohodnotným prehliadačom s JavaScriptom.

Stručne povedané, testcookie_module nie je univerzálny. Ale z mnohých vecí, ako sú napríklad primitívne sady nástrojov v Jave a C #, to pomáha. Tým odrežete časť hrozby.

4. Kód 444

Časť webu, ktorá je najnáročnejšia na zdroje, sa často stáva cieľom DDoS'erov. Typickým príkladom je vyhľadávanie, ktoré vykonáva komplexné dopyty proti databáze. Prirodzene, kyberzločinci to môžu využiť a naúčtovať vyhľadávaču niekoľko desiatok tisíc žiadostí naraz. Čo môžeme urobiť? Dočasne zakázať vyhľadávanie. Hoci klienti nemusia byť schopní vyhľadať potrebné informácie pomocou vstavaných nástrojov, celá hlavná stránka zostane funkčná, kým nenájdete koreň všetkých problémov. Nginx podporuje neštandardný kód 444, ktorý vám umožňuje jednoducho ukončiť pripojenie a nevrátiť nič ako odpoveď:

Poloha / vyhľadávanie (návrat 444;)

Môžete tak napríklad rýchlo implementovať filtrovanie adries URL. Ak ste si istí, že požiadavky na umiestnenie / vyhľadávanie pochádzajú iba od robotov (napríklad vaša dôvera je založená na skutočnosti, že vaša stránka vôbec nemá sekciu / vyhľadávanie), môžete nainštalovať balík ipset na server a zakázať roboty s jednoduchým shell skriptom:

Ipset -N ban iphash tail -f access.log | pri čítaní LINE; urobiť echo "$ LINE" | \ cut -d "" "-f3 | cut -d" "-f2 | grep -q 444 && ipset -A ban" $ (L %% *) "; hotovo

Ak je formát protokolových súborov neštandardný (nie je kombinovaný) alebo potrebujete zakázať z iných dôvodov, než je stav odpovede, možno budete musieť nahradiť vystrihnutie regulárnym výrazom.

5. Banim podľa geolokácie

Neštandardný kód odozvy 444 môže byť tiež užitočný na rýchle zakázanie klientov podľa geolokácie. Môžete výrazne obmedziť niektoré krajiny, ktoré sú vám nepríjemné. Napríklad je nepravdepodobné, že online obchod s fotoaparátmi z Rostova na Done má veľa používateľov v Egypte. Toto nie je veľmi dobrý spôsob (úprimne povedané, nechutný), pretože údaje GeoIP sú nepresné a Rostoviti niekedy letia do Egypta na dovolenku. Ak však nemáte čo stratiť, postupujte podľa pokynov:

1. Pripojte modul GeoIP k nginx (wiki.nginx.org/HttpGeoipModule).
2. Zobrazte georeferenčné informácie v denníku prístupu.
3. Potom, po úprave vyššie uvedeného shell skriptu, spustite nginx's accesslog a pridajte geograficky vyhodených klientov do zákazu.

Ak by napríklad roboti boli väčšinou z Číny, môže to pomôcť.

6. Neurónová sieť (PoC)

Nakoniec si môžete zopakovať skúsenosť habrausera @SaveTheRbtz, ktorý vzal neurónovú sieť PyBrain, vložil do nej log a analyzoval požiadavky (habrahabr.ru/post/136237). Metóda funguje, aj keď nie univerzálna :). Ale ak skutočne poznáte vnútro svojej stránky – a vy ako správca systému by ste mali –, potom máte šancu, že v tých najtragickejších situáciách vám takýto nástroj založený na neurónových sieťach, školení a vopred zozbieraných informáciách pomôže . V tomto prípade je veľmi užitočné mať access.log ešte pred spustením DDoS, pretože popisuje takmer 100 % legitímnych klientov, a preto je výborným dátovým súborom na trénovanie neurónovej siete. Navyše, roboty nie sú vždy viditeľné v protokole s oči.

Diagnostikovanie problému

Stránka nefunguje – prečo? Je to DDoS alebo je to chyba motora, ktorú si programátor nevšimol? Nevadí. Na túto otázku nehľadajte odpoveď. Ak si myslíte, že váš web môže byť napadnutý, kontaktujte spoločnosť na ochranu pred útokmi – niektoré anti-DDoS služby sú zadarmo prvý deň po pripojení – a nestrácajte viac času hľadaním príznakov. Zamerajte sa na problém. Ak je stránka pomalá alebo sa vôbec neotvára, niečo nie je v poriadku s jej výkonom a – bez ohľadu na to, či DDoS útok prebieha alebo nie – vy ako profesionál musíte pochopiť, čo to spôsobilo. Opakovane sme boli svedkami toho, ako sa spoločnosť, ktorá mala problémy s prevádzkou svojej stránky v dôsledku DDoS útoku, namiesto toho, aby hľadala slabé miesta v motore stránky, snažila poslať vyjadrenia na ministerstvo vnútra s cieľom nájsť a potrestať útočníkov. . Nerobte takéto chyby. Pátranie po kyberzločincoch je náročný a zdĺhavý proces, ktorý komplikuje samotná štruktúra a princípy internetu a problém s prevádzkou stránky je potrebné urýchlene riešiť. Nechajte technikov zistiť, čo spôsobuje pokles výkonnosti lokality, a právnici môžu napísať vyhlásenie.

7. Použite profilovač a debugger

Pre najbežnejšiu platformu na vytváranie webových stránok - PHP + MySQL - možno nájsť úzke miesto pomocou nasledujúcich nástrojov:

• Xdebug profiler vám ukáže, na ktorých hovoroch trávi aplikácia najviac času;
• vstavaný ladiaci nástroj APD a výstup ladenia do protokolu chýb vám pomôžu zistiť, ktorý kód tieto volania vykonáva;
• vo väčšine prípadov je pes zakopaný v zložitosti a ťažkopádnosti databázových dotazov. Tu je užitočná direktíva Explain SQL zabudovaná do databázového stroja.

Ak stránka leží na chrbte a o nič neprichádzate, odpojte sa od siete, pozrite si logy, skúste si ich prehrať. Ak nie, prejdite si stránky, pozrite sa na základňu.

Príklad je pre PHP, ale myšlienka platí pre akúkoľvek platformu. Vývojár píšuci softvérové ​​produkty v akomkoľvek programovacom jazyku musí byť schopný rýchlo používať debugger aj profiler. Cvičte vopred!

8. Analyzujte chyby

Analyzujte objem prevádzky, čas odozvy servera, počet chýb. K tomu si pozrite protokoly. V nginx je čas odozvy servera zaznamenaný v protokole pomocou dvoch premenných: request_time a upstream_response_time. Prvým je celkový čas vykonania požiadavky vrátane sieťových oneskorení medzi používateľom a serverom; druhý hovorí, ako dlho backend (Apache, php_fpm, uwsgi ...) vykonal požiadavku. Hodnota upstream_response_time je mimoriadne dôležitá pre stránky s množstvom dynamického obsahu a aktívnou front-end komunikáciou s databázou a nemala by sa zanedbávať. Ako formát denníka možno použiť nasledujúcu konfiguráciu:

Log_format xakep_log "$ remote_addr - $ remote_user [$ time_local]" "" $ požiadavka "$ status $ body_bytes_sent" "" $ http_referer "" $ http_user_agent "$ request_time \ $ upstream_response_time";

Toto je kombinovaný formát s pridanými poľami časovania.

9. Sledujte počet žiadostí za sekundu

Pozrite sa aj na počet žiadostí za sekundu. V prípade nginx môžete túto hodnotu približne odhadnúť pomocou nasledujúceho príkazu shellu (premenná ACCESS_LOG obsahuje cestu k protokolu požiadaviek nginx v kombinovanom formáte):

Echo $ (($ (fgrep -c "$ (env LC_ALL = C dátum [e-mail chránený]$ (($ (dátum \ +% s) -60)) +% d /% b /% Y:% H:% M) "" $ ACCESS_LOG ") / 60))

V porovnaní s normálnou úrovňou pre túto dennú dobu môže počet žiadostí za sekundu klesať aj stúpať. Rastú, ak príde veľký botnet, a klesajú, ak prichádzajúci botnet stránku zrúti, čím sa stane úplne nedostupnou pre legitímnych používateľov a botnet nepožaduje statiku, ale legitímni používatelia áno. Pokles počtu požiadaviek je pozorovaný práve kvôli statike. Ale tak či onak, hovoríme o vážnych zmenách ukazovateľov. Keď sa to stane náhle - zatiaľ čo sa pokúšate vyriešiť problém sami a ak ho hneď nevidíte v denníku, je lepšie rýchlo skontrolovať motor a súčasne kontaktovať špecialistov.

10. Nezabudnite na tcpdump

Mnoho ľudí zabúda, že tcpdump je funky diagnostický nástroj. Dám vám pár príkladov. V decembri 2011 bola v linuxovom jadre objavená chyba, keď otvorilo pripojenie TCP, keď boli nastavené príznaky segmentu SYN a RST TCP. Prvú správu o chybe poslal správca systému z Ruska, ktorého zdroj bol touto metódou napadnutý – útočníci sa o zraniteľnosti dozvedeli pred celým svetom. Očividne mu takáto diagnóza pomohla. Ďalší príklad: nginx má jednu nie veľmi príjemnú vlastnosť – do logu zapisuje až po úplnom spracovaní požiadavky. Sú situácie, keď stránka nefunguje, nič nefunguje a v protokoloch nič nie je. Dôvodom je, že všetky požiadavky, ktoré momentálne načítavajú server, ešte neboli dokončené. Tcpdump pomôže aj tu.

Je tak dobré, že som ľuďom odporučil, aby nepoužívali binárne protokoly skôr, ako sa presvedčia, že je všetko v poriadku, pretože textové protokoly sa dajú ľahko ladiť pomocou tcpdump, ale binárne nie. Sniffer je však dobrý ako diagnostický nástroj - ako prostriedky na udržanie výroby „a je strašidelný. Môže ľahko stratiť viacero paketov naraz a zničiť vašu používateľskú históriu. Je pohodlné sledovať jeho výstup a je to užitočné pre manuálnu diagnostiku a zákazy, ale snažte sa na tom nezakladať nič kritické. Iný milovaný mnohými spôsobmi "zachytenia požiadaviek" - ngrep - sa vo všeobecnosti štandardne pokúša požiadať o oblasť dvoch gigabajtov nekopírovateľnej pamäte a až potom začne svoje požiadavky znižovať.

11. Zaútočiť alebo nie?

Ako rozlíšiť DDoS útok napríklad od efektu reklamnej kampane? Táto otázka môže znieť ako smiešna, no téma je rovnako ťažká. Existujú celkom kuriózne prípady. Niektorí dobrí chlapci, keď sa napínali a dôkladne pokazili ukladanie do vyrovnávacej pamäte, stránka na pár dní ochorela. Ukázalo sa, že niekoľko mesiacov bola táto stránka niektorými Nemcami nepovšimnutá a pred optimalizáciou cachovania stránky stránky sa títo Nemci so všetkými obrázkami načítali pomerne dlho. Keď sa stránke okamžite začala míňať vyrovnávacia pamäť, robot, ktorý nemal žiadne časové limity, ich začal okamžite zbierať. Bolo to ťažké. Prípad je obzvlášť ťažký z toho dôvodu, že ak ste vy sami zmenili nastavenie (povolili ukladanie do vyrovnávacej pamäte) a stránka potom prestala fungovať, kto je podľa vás a vášho šéfa na vine? presne tak. Ak zaznamenáte prudký nárast počtu žiadostí, pozrite sa napríklad do Google Analytics, kto na aké stránky prišiel.

Ladenie webového servera

Aké ďalšie kľúčové body existujú? Samozrejme, môžete nastaviť predvolený nginx a dúfať, že budete v poriadku. Nikdy to však nie je dobré. Preto by mal správca akéhokoľvek servera venovať veľa času dolaďovaniu a ladeniu nginx.

12. Obmedzenie zdrojov (veľkosť vyrovnávacej pamäte) v nginx

Čo je prvé, čo si treba zapamätať? Každý zdroj má limit. V prvom rade sa to týka pamäte RAM. Preto musia byť veľkosti hlavičiek a všetkých použitých vyrovnávacích pamätí obmedzené na adekvátne hodnoty pre klienta a server ako celok. Musia byť zaregistrované v konfigurácii nginx.

• client_header_buffer_size_ _ Nastaví veľkosť vyrovnávacej pamäte na čítanie hlavičky požiadavky klienta. Ak sa reťazec požiadavky alebo pole hlavičky požiadavky úplne nezmestia do tejto vyrovnávacej pamäte, alokujú sa väčšie vyrovnávacie pamäte, špecifikované direktívou large_client_header_buffers.
• large_client_header_buffers Určuje maximálny počet a veľkosť vyrovnávacích pamätí na čítanie veľkej hlavičky požiadavky klienta.
• client_body_buffer_size Nastavuje veľkosť vyrovnávacej pamäte na čítanie tela požiadavky klienta. Ak je telo požiadavky väčšie ako špecifikovaná vyrovnávacia pamäť, potom sa celé telo požiadavky alebo len jeho časť zapíše do dočasného súboru.
• client_max_body_size Určuje maximálnu povolenú veľkosť tela požiadavky klienta, ako je uvedené v poli "Content-Length" v hlavičke požiadavky. Ak je veľkosť väčšia ako špecifikovaná veľkosť, klientovi sa vráti chyba 413 (Entita požiadavky je príliš veľká).

13. Konfigurácia časových limitov v nginx

Čas je tiež zdrojom. Ďalším dôležitým krokom by preto malo byť nastavenie všetkých časových limitov, ktoré je opäť veľmi dôležité starostlivo zaregistrovať v nastaveniach nginx.

• reset_timedout_connection zapnuté; Pomáha vysporiadať sa so zásuvkami zaseknutými vo fáze FIN-WAIT.
• client_header_timeout Nastavuje časový limit pri čítaní hlavičky požiadavky klienta.
• client_body_timeout Určuje časový limit pri čítaní tela požiadavky klienta.
• keepalive_timeout Nastavuje časový limit, počas ktorého server neuzavrie udržiavacie spojenie s klientom. Veľa ľudí sa tu bojí stanoviť veľké hodnoty, no nie sme si istí, či je tento strach oprávnený. Voliteľne môžete nastaviť hodnotu časového limitu v hlavičke Keep-Alive HTTP, ale Internet Explorer je známy tým, že túto hodnotu ignoruje.
• send_timeout Nastavuje časový limit na odoslanie odpovede klientovi. Ak po tomto čase klient nič neakceptuje, spojenie sa uzavrie.

Len otázka: aké parametre bufferov a timeoutov sú správne? Univerzálny recept tu neexistuje, v každej situácii sú iné. Existuje však osvedčený postup. Je potrebné nastaviť minimálne hodnoty, pri ktorých stránka zostáva v prevádzke (v čase mieru), to znamená, že sa zadávajú stránky a spracúvajú sa požiadavky. To sa zisťuje iba testovaním – z desktopov aj z mobilných zariadení. Algoritmus na nájdenie hodnôt každého parametra (veľkosť vyrovnávacej pamäte alebo časový limit):

1. Nastavíme matematicky minimálnu hodnotu parametra.
2. Spustite testy lokality.
3. Ak všetka funkcionalita stránky funguje bez problémov, parameter je definovaný. Ak nie, zvýšime hodnotu parametra a prejdeme na krok 2.
4. Ak hodnota parametra dokonca prekročila predvolenú hodnotu, je to dôvod na diskusiu vo vývojovom tíme.

V niektorých prípadoch by revízia týchto parametrov mala viesť k refaktoringu / redizajnu stránky. Napríklad, ak stránka nefunguje bez trojminútových AJAX dlhých požiadaviek na dopytovanie, potom nie je potrebné zvyšovať časový limit, ale nahradiť dlhé dopytovanie niečím iným - botnet 20 000 strojov visiacich na požiadavkách na tri minúty ľahko zabiť priemerne lacný server.

14. Obmedzenie pripojení v nginx (limit_conn a limit_req)

Nginx má tiež možnosť obmedziť pripojenia, požiadavky atď. Ak si nie ste istí, ako sa bude správať určitá časť vašej stránky, v ideálnom prípade ju musíte otestovať, pochopiť, koľko požiadaviek vydrží a zapísať to do konfigurácie nginx. Jedna vec je, keď stránka nefunguje a vy môžete prísť a zvýšiť ju. A úplne iná vec - keď si ľahol do takej miery, že server prešiel do swapu. V tomto prípade je často jednoduchšie reštartovať, ako čakať na jeho triumfálny návrat.

Predpokladajme, že stránka má sekcie so samovysvetľujúcimi názvami / download a / search. Pritom:

• nechceme, aby boti (alebo ľudia s príliš horlivými rekurzívnymi manažérmi sťahovania) upchávali tabuľku TCP spojení svojimi sťahovaniami;
• Nechceme, aby roboty (alebo zatúlané prehľadávače vyhľadávacích nástrojov) vyčerpali výpočtové zdroje DBMS množstvom vyhľadávacích dopytov.

Na tieto účely bude slúžiť nasledujúca konfigurácia:

Http (limit_conn_zone $ binary_remote_addr zone = download_c: 10 m; limit_req_zone $ binary_remote_addr zone = search_r: 10 m \ rate = 1r / s; server (umiestnenie / sťahovanie / (limit_conn download_c 1; # Iná konfigurácia umiestnenia) oblasť vyhľadávania / (r. burst = 5; # Miscellaneous configuration location)))

Zvyčajne má priamy zmysel nastaviť obmedzenia limit_conn a limit_req pre miesta, v ktorých sa nachádzajú drahé skripty (príklad špecifikuje vyhľadávanie a nie je to náhoda). Obmedzenia by sa mali vyberať na základe výsledkov testovania záťaže, regresného testovania a zdravého rozumu.

Všimnite si parameter 10m v príklade. To znamená, že na výpočet tohto limitu bude pridelený slovník s vyrovnávacou pamäťou 10 megabajtov a žiadne ďalšie megabajty. V tejto konfigurácii to bude sledovať 320 000 relácií TCP. Na optimalizáciu obsadenej pamäte sa ako kľúč v slovníku používa premenná $ binary_remote_addr, ktorá obsahuje IP adresu používateľa v binárnom tvare a zaberá menej pamäte ako bežná reťazcová premenná $ remote_addr. Treba poznamenať, že druhým parametrom k direktíve limit_req_zone môže byť nielen IP, ale aj akákoľvek iná premenná nginx dostupná v tomto kontexte - napríklad v prípade, že nechcete poskytnúť šetrnejší režim proxy, môžete použite $ binary_remote_addr $ http_user_agent alebo $ binary_remote_addr $ http_cookie_myc00kiez – takéto konštrukcie však používajte opatrne, pretože na rozdiel od 32-bitového $ binary_remote_addr môžu byť tieto premenné oveľa dlhšie a vami deklarovaných „10 m“ môže náhle skončiť.

Trendy DDoS

1. Sila útokov na sieťové a transportné vrstvy stále rastie. Potenciál priemerného SYN záplavového útoku už dosiahol 10 miliónov paketov za sekundu.
2. DNS útoky sú v poslednej dobe veľmi žiadané. Zahltenie UDP platnými DNS dotazmi so sfalšovanými zdrojovými IP adresami je jedným z najjednoduchších implementovateľných a najťažšie čeliť útokom. Mnoho veľkých ruských spoločností (vrátane hostingových spoločností) malo v poslednom čase problémy v dôsledku útokov na ich servery DNS. Čím ďalej, tým viac takýchto útokov bude a ich sila bude rásť.
3. Súdiac podľa ich vonkajších vlastností, väčšina botnetov nie je riadená centrálne, ale prostredníctvom siete peer-to-peer. To dáva počítačovým zločincom príležitosť synchronizovať akcie botnetu v čase – ak boli predchádzajúce ovládacie príkazy distribuované cez botnet s 5 000 strojmi za desiatky minút, teraz to trvá len sekundy a vaša stránka môže náhle zaznamenať okamžitý 100-násobný nárast. v počte žiadostí.
4. Podiel botov vybavených plnohodnotným engine prehliadača s JavaScriptom je zatiaľ malý, no neustále rastie. Takýto útok je ťažšie odraziť pomocou vstavaných improvizovaných prostriedkov, takže Samodelkinovci by sa mali mať na pozore pred týmto trendom.

príprava OS

Okrem jemného doladenia nginx sa musíte postarať o nastavenie sieťového zásobníka systému. Prinajmenšom okamžite zahrňte net.ipv4.tcp_syncookies do sysctl, aby ste sa ochránili pred malým SYN záplavovým útokom naraz.

15. Ladenie jadra

Pozor na pokročilejšie nastavenia sieťovej časti (kernelu), opäť na timeouty a pamäť. Sú dôležitejšie a menej dôležité. V prvom rade je potrebné venovať pozornosť:

• net.ipv4.tcp_fin_timeoutČas, ktorý soket strávi vo fáze FIN-WAIT-2 TCP (čakanie na segment FIN / ACK).
• net.ipv4.tcp _ (, r, w) pam Veľkosť prijímacej vyrovnávacej pamäte soketu TCP. Tri hodnoty: minimálna, predvolená a maximálna.
• čisté jadro (r, w) mem_max To isté pre vyrovnávacie pamäte bez TCP.

Pri prepojení 100 Mbps sú predvolené nastavenia stále v poriadku; ale ak máte k dispozícii aspoň gigabity za sekundu, potom je lepšie použiť niečo ako:

Sysctl -w net.core.rmem_max = 8388608 sysctl -w net.core.wmem_max = 8388608 sysctl -w net.ipv4.tcp_rmem = "4096 87380 8388608" sysip_08608" sysip084.83 net.8 sysip_084.83 net.8 .ipv4.tcp_wmem_max w net.ipv4.tcp_fin_timeout = 10

16. Revízia / proc / sys / net / **

Ideálne je preskúmať všetky možnosti v / proc / sys / net / **. Musíme vidieť, ako sa líšia od predvolených, a pochopiť, ako adekvátne sú vystavené. Linuxový vývojár (alebo správca systému), ktorý rozumie fungovaniu internetovej služby pod svojou kontrolou a chce ju optimalizovať, by si mal so záujmom prečítať dokumentáciu všetkých parametrov sieťového zásobníka jadra. Možno tam nájde premenné špecifické pre danú lokalitu, ktoré pomôžu web nielen ochrániť pred narušiteľmi, ale aj urýchliť jeho prácu.

Neboj sa!

Úspešné DDoS útoky každý deň uhasia elektronický obchod, otrasú médiami a jednou ranou vyradia najväčšie platobné systémy. Milióny používateľov internetu strácajú prístup k dôležitým informáciám. Hrozba je nevyhnutná, takže jej musíte čeliť plne vyzbrojení. Urobte si domáce úlohy, nebojte sa a zachovajte chladnú hlavu. Nie ste prvý ani posledný, kto čelí DDoS útoku na vašej stránke a je vo vašej moci, riadiac sa vašimi znalosťami a zdravým rozumom, minimalizovať následky útoku.

DDOS útok. Vysvetlenie a príklad.

Ahojte všetci. Tento blog Computer76 a teraz ďalší článok o základoch umenia hackovania. Dnes si povieme, čo je DDOS útok jednoduchými slovami a príkladmi. Pred uvedením špeciálnych pojmov bude úvod, ktorému každý rozumie.

Prečo sa používa DDOS útok?

Hackovanie WiFi sa používa na získanie hesla bezdrôtovej siete. Útoky vo forme "" vám umožnia počúvať internetový prenos. Analýza zraniteľností s následným načítaním konkrétnej umožňuje uniesť cieľový počítač. Čo robí DDOS útok? V konečnom dôsledku je jeho cieľom vybrať práva na vlastníctvo zdroja od právoplatného vlastníka. Nechcem tým povedať, že stránka alebo blog vám nebudú patriť. A to v tom zmysle, že v prípade úspešného útoku na vašu stránku vy stratíte schopnosť ovládať ho... Aspoň na chvíľu.

V modernej interpretácii DDOS sa však útok najčastejšie používa na narušenie bežnej prevádzky akejkoľvek služby. Hackerské skupiny, ktorých mená sú neustále počuť, uskutočňujú útoky na veľké vládne alebo štátne stránky s cieľom upozorniť na určité problémy. Ale takmer vždy za takýmito útokmi stojí čisto obchodný záujem: práca konkurentov alebo jednoduché žarty s úplne neslušne nechránenými stránkami. Hlavným konceptom DDOS je, že na stránku naraz pristupuje veľké množstvo používateľov, alebo skôr žiadostí od počítačov-botov, čo spôsobuje, že zaťaženie servera je ohromujúce. Často počujeme výraz „stránka nie je dostupná“, no málokto sa zamyslí nad tým, čo sa za týmto výrazom vlastne skrýva. No, teraz už viete.

DDOS útok – možnosti

Možnosť 1.

hráči natlačení pri vchode

Predstavte si, že hráte online hru pre viacerých hráčov. Hrajú s vami tisíce hráčov. A väčšinu z nich poznáte. Preberiete podrobnosti a v hodine X vykonáte nasledujúce úkony. Všetci navštívite stránku v rovnakom čase a vytvoríte postavu s rovnakým súborom vlastností. Zoskupte sa na jednom mieste a zablokujte svojim počtom súčasne vytvorených postáv prístup k objektom v hre iným svedomitým používateľom, ktorí nemajú podozrenie z vašej tajnej dohody.

Možnosť 2.

Predstavte si, že by sa niekto rozhodol prerušiť autobusovú dopravu v meste po určitej trase, aby zabránil svedomitým cestujúcim využívať služby MHD. Tisíce vašich priateľov naraz chodia na zastávky na začiatku určenej trasy a bezcieľne sa vozia vo všetkých autách od konečnej až po konečnú, kým sa neminú peniaze. Cesta je zaplatená, ale nikto nevystúpi na žiadnej zastávke okrem konečných destinácií. A ďalší cestujúci stojaci na medzizastávkach smutne obzerajú odchádzajúce mikrobusy, nevediac sa natlačiť do upchatých autobusov. Všetko je v vyhorení: majitelia taxíkov aj potenciálni cestujúci.

V skutočnosti tieto možnosti nie je možné fyzicky implementovať. Vo virtuálnom svete však môžu vašich priateľov nahradiť počítače bezohľadných používateľov, ktorí sa neobťažujú nejako chrániť svoj počítač alebo notebook. A takých je drvivá väčšina. Existuje mnoho programov na vykonávanie DDOS útokov. Netreba dodávať, že takéto konanie je nezákonné. A absurdne pripravený DDOS útok, nech je akokoľvek úspešný, je odhalený a potrestaný.

Ako sa vykonáva DDOS útok?

Kliknutím na odkaz na stránku váš prehliadač odošle serveru požiadavku na zobrazenie požadovanej stránky. Táto požiadavka je vyjadrená ako dátový paket. A to dokonca nie jeden, ale celý balík balíčkov! V každom prípade je množstvo prenášaných dát na kanál vždy obmedzené na určitú šírku. A množstvo dát vrátených serverom je neporovnateľne väčšie ako to, čo obsahuje vaša požiadavka. To odčerpáva úsilie a zdroje servera. Čím je server výkonnejší, tým je drahší pre majiteľa a tým drahšie sú aj služby, ktoré poskytuje. Moderné servery si bez problémov poradia s dramaticky zvýšeným prílevom návštevníkov. Pre ktorýkoľvek zo serverov však stále existuje kritický počet používateľov, ktorí sa chcú oboznámiť s obsahom stránky. O to jasnejšia je situácia so serverom, ktorý poskytuje služby pre hosting stránok. Stačí málo a stránka obete je odpojená od služby, aby nedošlo k preťaženiu procesorov, ktoré obsluhujú tisíce iných stránok, ktoré sú na rovnakom hostingu. Stránka prestane fungovať, kým sa nezastaví samotný DDOS útok. Predstavte si, že začnete načítavať ktorúkoľvek zo stránok na webe tisíckrát za sekundu (DOS). A tisíce vašich priateľov robia to isté na svojich počítačoch (distribuovaných DOS alebo DDOS) ... Veľké servery sa naučili rozpoznať, že DDOS útok začal a odolať mu. Svoje prístupy však zdokonaľujú aj hackeri. Takže v rámci tohto článku, aký je DDOS útok podrobnejšie, už neviem vysvetliť.

Čo je útok DDOS, môžete zistiť a vyskúšať práve teraz.

POZOR. Ak sa rozhodnete vyskúšať, všetky neuložené údaje sa stratia, na vrátenie počítača do funkčného stavu potrebujete tlačidlo. RESETOVAŤ... Budete však môcť presne zistiť, ako sa napadnutý server „cíti“. Podrobný príklad je v odseku nižšie a teraz - jednoduché príkazy na preťaženie systému.

• Pre Linux v termináli zadajte príkaz:

:(){ :|:& };:

Systém odmietne fungovať.

• Pre Windows navrhujem vytvoriť bat súbor v programe Poznámkový blok s kódom:

: 1 Začnite na 1

Pomenujte typ DDOS.bat

Myslím, že nemá cenu vysvetľovať význam oboch príkazov. Všetko je viditeľné voľným okom. Obidva príkazy prinútia systém spustiť skript a okamžite ho zopakovať s odkazom na začiatok skriptu. Vzhľadom na rýchlosť vykonávania systém upadne do stuporov za pár sekúnd. Hra, ako vravia, cez.

DDOS útok pomocou programov.

Pre názornejší príklad použite softvér Low Orbit Ion Cannon. Alebo LOIC... Najsťahovanejšia distribučná súprava sa nachádza na (funguje v systéme Windows):

https://sourceforge.net/projects/loic/

POZOR ! Váš antivírus by mal reagovať na súbor ako škodlivý. To je v poriadku: už viete, čo sťahujete. V databáze podpisov je označený ako povodný generátor – v ruštine ide o konečný cieľ nekonečných volaní na konkrétnu sieťovú adresu. OSOBNE som si nevšimol žiadne vírusy ani trójske kone. Máte však právo váhať a sťahovanie odložiť.

Keďže nedbalí používatelia bombardujú zdroj správami o škodlivom súbore, Source Forge vás presmeruje na ďalšiu stránku s priamym odkazom na súbor:

Nakoniec sa mi podarilo stiahnuť nástroj iba cez.

Okno programu vyzerá takto:

Bod 1 Výber cieľa umožní útočníkovi zamerať sa na konkrétny cieľ (zadá sa IP adresa alebo url stránky), bod 3 Možnosti útoku umožňuje vybrať napadnutý port, protokol ( Metóda) z troch TCP, UDP a HTTP. Do poľa TCP / UDP message môžete zadať správu pre napadnutú osobu. Po dokončení sa útok spustí stlačením tlačidla. IMMA CHARGIN MAH LAZER(toto je fráza na pokraji faulu z populárneho kedysi komické–meme; Mimochodom, v programe je veľa amerických matiek). Všetko.

POZOR

Táto možnosť je určená len na testovanie localhost. Preto:

• proti cudzim strankam je to protizakonne a za to uz naozaj sedia na zapade (to znamena, ze ich tu onedlho aj zavrú)
• adresu, z ktorej ide povodne, vypocita rychlo, bude sa stazovat u providera, ktory vam vystavi upozornenie a pripomenie prvy bod
• v sieťach s malou šírkou pásma (teda vo všetkých domácich) sa drobec nepodarí. So sieťou TOR je všetko rovnaké.
• ak si to spravne nastavis, rychlo si upchas SVOJ komunikacny kanal, nez niekomu uskodis. Takže toto je presne tá možnosť, keď boxerské vrece zasiahne boxera a nie naopak. A možnosť s proxy sa bude riadiť rovnakým princípom: nikto nebude mať rád povodeň z vašej strany.

Prečítané: 9 326

Dnešné titulky správ sú plné správ o útokoch typu Distributed Denial of Service (DDoS). Každá organizácia na internete je náchylná na útoky distribuovaného odmietnutia služby. Otázka neznie, či na vás útočia alebo nie, ale kedy sa tak stane. Vládne agentúry, médiá a stránky elektronického obchodu, stránky spoločností, komerčné a neziskové organizácie sú všetky potenciálne ciele útokov DDoS.

Na koho sa útočí?

Podľa centrálnej banky sa v roku 2016 počet DDoS útokov na ruské finančné inštitúcie takmer zdvojnásobil. V novembri sa útoky DDoS zamerali na päť veľkých ruských bánk. Koncom minulého roka centrálna banka informovala o DDoS útokoch na finančné inštitúcie vrátane centrálnej banky. „Účelom útokov bolo narušiť služby a v dôsledku toho podkopať dôveru v tieto organizácie. Tieto útoky boli pozoruhodné tým, že išlo o prvé rozsiahle využitie internetu vecí v Rusku. Útok sa v podstate týkal internetových kamier a domácich smerovačov, “uviedli bezpečnostné služby veľkých bánk.

Zároveň DDoS útoky nepriniesli bankám významné škody - sú dobre chránené, takže takéto útoky, hoci spôsobovali problémy, neboli kritické a nenarušili ani jednu službu. Napriek tomu možno konštatovať, že protibanková aktivita hackerov výrazne vzrástla.

Vo februári 2017 technické služby ruského ministerstva zdravotníctva odrazili najväčší DDoS útok za posledné roky, ktorý dosiahol vrchol 4 milióny žiadostí za minútu. Došlo k DDoS útokom na vládne registre, ale boli tiež neúspešné a neviedli k žiadnym zmenám údajov.

Obeťami DDoS útokov sú však početné organizácie a spoločnosti, ktoré majú takúto silnú „obranu“. V roku 2017 sa očakáva nárast škôd spôsobených kybernetickými hrozbami – ransomvér, DDoS a útoky na IoT zariadenia.

Zariadenia internetu vecí získavajú na popularite ako nástroj na vykonávanie DDoS útokov. Pozoruhodnou udalosťou bol DDoS útok spustený v septembri 2016 pomocou škodlivého kódu Mirai. V ňom ako prostriedky útoku pôsobili státisíce kamier a iných zariadení z video monitorovacích systémov.

Bola vykonaná proti francúzskemu poskytovateľovi hostingu OVH. Bol to najsilnejší DDoS útok – takmer 1 Tbit/s. Hackeri použili botnet na použitie 150 000 zariadení internetu vecí, väčšinou CCTV kamier. Útoky pomocou botnetu Mirai viedli k vzniku mnohých botnetov zo zariadení internetu vecí. Podľa odborníkov budú aj v roku 2017 jednou z hlavných hrozieb v kybernetickom priestore IoT botnety.

Podľa správy o incidente narušenia údajov (DBIR) Verizon z roku 2016 sa počet DDoS útokov za posledný rok výrazne zvýšil. Vo svete sú najviac postihnuté zábavný priemysel, profesionálne organizácie, školstvo, IT a maloobchod.

Pozoruhodným trendom v DDoS útokoch je rozširovanie „zoznamu obetí“. Teraz zahŕňa zástupcov prakticky zo všetkých odvetví. Okrem toho sa zdokonaľujú spôsoby útoku.
Podľa Nexusguard došlo na konci roka 2016 k výraznému nárastu počtu zmiešaných DDoS útokov zahŕňajúcich viaceré zraniteľnosti. Najčastejšie boli vystavené finančným a vládnym organizáciám. Hlavným motívom kyberzločincov (70 % prípadov) je krádež dát alebo hrozba ich zničenia za účelom výkupného. Menej často ide o politické alebo sociálne ciele. Preto je dôležitá obranná stratégia. Dokáže sa pripraviť na útok a minimalizovať jeho následky, znížiť finančné a reputačné riziká.

Následky útokov

Aké sú dôsledky DDoS útoku? Pri útoku obeť prichádza o klientov z dôvodu pomalej prevádzky alebo úplnej nedostupnosti stránky a utrpí reputácia podniku. Poskytovateľ služby môže zablokovať IP adresu obete, aby minimalizoval škody spôsobené iným zákazníkom. Obnova všetkého si vyžiada čas a možno aj peniaze.

Podľa prieskumu HaltDos považuje DDoS útoky polovica organizácií za jednu z najvážnejších kybernetických hrozieb. Hrozba DDoS je ešte vyššia ako hrozba neoprávneného prístupu, vírusov, podvodov a phishingu, nehovoriac o iných hrozbách.

Priemerné straty z útokov DDoS na celom svete sa odhadujú na 50 000 USD pre malé organizácie a takmer 500 000 USD pre veľké podniky. Odstránenie následkov DDoS útoku si vyžiada dodatočný pracovný čas zamestnancov, presmerovanie zdrojov z iných projektov na zaistenie bezpečnosti, vypracovanie plánu aktualizácie softvéru, modernizáciu vybavenia atď.

Povesť napadnutej organizácie môže byť poškodená nielen kvôli slabému výkonu webovej stránky, ale aj kvôli krádeži osobných údajov alebo finančných informácií.

Podľa prieskumu spoločnosti HaltDos počet DDoS útokov ročne narastá o 200 %, pričom každý deň je vo svete hlásených 2000 útokov tohto typu. Náklady na organizáciu týždenného DDoS útoku sú len asi 150 dolárov a priemerné straty obete presahujú 40 000 dolárov za hodinu.

Typy DDoS útokov

Hlavnými typmi DDoS útokov sú masívne útoky, protokolové útoky a aplikačné útoky. V každom prípade je cieľom deaktivovať stránku alebo ukradnúť dáta. Ďalším typom počítačovej kriminality je hrozba DDoS výkupného útoku. Známe sú tým hackerské skupiny ako Armada Collective, Lizard Squad, RedDoor a ezBTC.

Organizácia DDoS útokov sa stala oveľa jednoduchšou: teraz sú široko dostupné automatizované nástroje, ktoré prakticky nevyžadujú špeciálne znalosti od kyberzločincov. Existujú aj platené DDoS služby pre anonymné cieľové útoky. Napríklad služba vDOS ponúka svoje služby bez toho, aby si overila, či je zákazník vlastníkom stránky, chce ju otestovať „v záťaži“, alebo či sa tak deje s cieľom útoku.

DDoS útoky sú útoky z mnohých zdrojov, ktoré bránia legitímnym používateľom v prístupe na napadnutú stránku. Na tento účel sa napadnutému systému posiela obrovské množstvo požiadaviek, s ktorými si nevie poradiť. Na tento účel sa zvyčajne používajú kompromitované systémy.

Ročný nárast počtu DDoS útokov sa odhaduje na 50 % (podľa www.leaseweb.com), ale údaje z rôznych zdrojov sa líšia a nie všetky incidenty sa stanú známymi. Priemerná sila útokov Layer 3/4 DDoS vzrástla v posledných rokoch z 20 na niekoľko stoviek GB/s. Zatiaľ čo masívne útoky DDoS a protokoly sú samy o sebe nepríjemné, kyberzločinci ich čoraz častejšie kombinujú s útokmi DDoS na 7. vrstve, teda na aplikačnej úrovni, zameranými na zmenu alebo krádež údajov. Takéto „multi-vektorové“ útoky môžu byť veľmi účinné.

Viacvektorové útoky tvoria asi 27 % z celkového počtu DDoS útokov.

V prípade masívneho DDoS útoku (volume based) sa využíva veľké množstvo požiadaviek, často odosielaných z legitímnych IP adries, aby sa stránka „utopila“ v návštevnosti. Účelom takýchto útokov je „upchať“ všetku dostupnú šírku pásma a zablokovať legitímnu prevádzku.

Pri útoku na úrovni protokolu (napríklad UDP alebo ICMP) je cieľom vyčerpať systémové zdroje. Na tento účel sa odosielajú otvorené požiadavky, napríklad požiadavky TCP / IP s falošnou IP, a v dôsledku vyčerpania sieťových zdrojov nie je možné spracovať legitímne požiadavky. Typickými predstaviteľmi sú DDoS útoky, v úzkych kruhoch známe ako Smurf DDos, Ping of Death a SYN flood. Ďalší typ DDoS útoku na protokolovej vrstve zahŕňa odosielanie veľkého počtu fragmentovaných paketov, ktoré systém nedokáže spracovať.

Útoky DDoS na 7. vrstve sú odosielanie zdanlivo neškodných požiadaviek, ktoré sa zdajú byť výsledkom bežnej aktivity používateľa. Na ich implementáciu sa zvyčajne používajú botnety a automatizované nástroje. Pozoruhodnými príkladmi sú Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

V rokoch 2012-2014 bola väčšina masívnych DDoS útokov Stateless (žiadny stav a sledovanie relácií) – používali protokol UDP. V prípade Stateless cirkuluje veľa paketov v jednej relácii (napríklad otvorením stránky). Kto začal reláciu (vyžiadal si stránku), bezstavové zariadenia spravidla nevedia.

UDP je náchylný na spoofing – nahradenie adresy. Napríklad, ak chcete zaútočiť na DNS server na 56.26.56.26 pomocou DNS Amplification útoku, môžete vytvoriť sadu paketov s adresou odosielateľa 56.26.56.26 a poslať ich na DNS servery po celom svete. Tieto servery pošlú odpoveď na 56.26.56.26.

Rovnaká metóda funguje pre servery NTP, zariadenia s povoleným SSDP. NTP je snáď najpopulárnejšia metóda: v druhej polovici roku 2016 bola použitá pri 97,5 % DDoS útokov.
Najlepšia súčasná prax (BCP) 38 odporúča poskytovateľom internetových služieb, aby nakonfigurovali brány, aby sa zabránilo spoofingu – adresa odosielateľa, zdrojová sieť je monitorovaná. Túto prax však nedodržiavajú všetky krajiny. Okrem toho útočníci obchádzajú ovládacie prvky BCP 38 prepnutím na stavové útoky na vrstve TCP. Podľa F5 Security Operations Center (SOC) takéto útoky dominovali posledných päť rokov. V roku 2016 bolo dvakrát toľko útokov TCP ako útokov UDP.

Útoky na 7. vrstve väčšinou využívajú profesionálni hackeri. Princíp je nasledovný: zoberie sa „ťažká“ URL (so súborom PDF alebo požiadavkou na veľkú databázu) a opakuje sa desiatky alebo stovky krát za sekundu. Útoky 7. vrstvy sú hrozné a ťažko rozpoznateľné. Teraz predstavujú asi 10 % DDoS útokov.

Korelácia rôznych typov DDoS útokov podľa Verizon Data Breach Investigations Report (DBIR) (2016).

DDoS útoky sú často načasované tak, aby sa zhodovali s obdobiami najvyššej návštevnosti, ako sú dni online predaja. Veľké toky osobných a finančných údajov v súčasnosti priťahujú hackerov.

DDoS útoky na DNS

Systém názvov domén (DNS) hrá zásadnú úlohu vo výkone a dostupnosti lokality. V konečnom dôsledku – v úspechu vášho podnikania. Bohužiaľ, DNS infraštruktúra je často cieľom DDoS útokov. Potlačením vašej infraštruktúry DNS môžu útočníci poškodiť váš web, reputáciu vašej spoločnosti a vašu finančnú výkonnosť. Infraštruktúra DNS musí byť vysoko odolná a škálovateľná, aby odolala dnešným hrozbám.

DNS je v podstate distribuovaná databáza, ktorá okrem iného mapuje ľahko čitateľné názvy stránok na IP adresy, vďaka čomu sa používateľ po zadaní URL adresy dostane na požadovanú stránku. Prvá interakcia používateľa so stránkou začína požiadavkami DNS odoslanými na server DNS s adresou internetovej domény vašej lokality. Ich spracovanie môže predstavovať až 50 % času načítania webovej stránky. Zníženie výkonu DNS teda môže viesť k odchodu používateľa zo stránky a strate podnikania. Ak váš server DNS prestane reagovať v dôsledku útoku DDoS, nikto sa nebude môcť na stránku dostať.

DDoS útoky je ťažké odhaliť, najmä na začiatku, keď premávka vyzerá normálne. DNS infraštruktúra môže byť vystavená rôznym typom DDoS útokov. Niekedy ide o priamy útok na servery DNS. V iných prípadoch sa využívajú exploity využívajúce DNS systémy na útok na iné prvky IT infraštruktúry alebo služieb.

Útoky DNS Reflection vystavujú cieľ masívnym falošným DNS odpovediam. Na to sa používajú botnety, ktoré infikujú stovky a tisíce počítačov. Každý robot v takejto sieti generuje niekoľko DNS požiadaviek, ale používa rovnakú cieľovú IP adresu ako zdrojová IP (spoofing). Služba DNS odpovedá na túto IP adresu.

Tým sa dosiahne dvojitý efekt. Cieľový systém je bombardovaný tisíckami a miliónmi odpovedí DNS a server DNS môže „ľahnúť“ bez toho, aby sa vyrovnal so záťažou. Samotný DNS dotaz má zvyčajne menej ako 50 bajtov a odpoveď je desaťkrát dlhšia. Okrem toho môžu správy DNS obsahovať množstvo ďalších informácií.

Predpokladajme, že útočník zadal 100 000 krátkych 50-bajtových dotazov DNS (celkovo 5 MB). Ak každá odpoveď obsahuje 1 KB, potom je celková veľkosť už 100 MB. Odtiaľ pochádza názov Amplification. Kombinácia útokov DNS Reflection a Amplification môže mať veľmi vážne následky.

Požiadavky vyzerajú ako bežná prevádzka a odpovede sú veľké množstvo správ smerovaných do cieľového systému.

Ako sa chrániť pred DDoS útokmi?

Ako sa chrániť pred DDoS útokmi, aké kroky podniknúť? V prvom rade to neodkladajte „na neskôr“. Pri konfigurácii siete, spúšťaní serverov a nasadzovaní softvéru je potrebné vziať do úvahy niektoré aspekty. A každá následná zmena by nemala zvýšiť zraniteľnosť voči DDoS útokom.

1. Zabezpečenie kódu. Pri písaní softvéru je potrebné brať do úvahy bezpečnostné hľadiská. Odporúča sa, aby ste dodržiavali štandardy „bezpečného kódovania“ a dôkladne otestovali váš softvér, aby ste sa vyhli bežným nástrahám a zraniteľnostiam, ako je cross-site scripting a SQL injection.
2. Vypracujte akčný plán aktualizácie softvéru. Vždy by mala existovať možnosť „vrátiť sa späť“ v prípade, že sa niečo pokazí.
3. Udržujte svoj softvér aktuálny. Ak bolo možné stiahnuť aktualizácie, ale vyskytli sa problémy, pozrite si bod 2.
4. Nezabudnite obmedziť prístup. Administrátor a/alebo účty by mali byť chránené silnými a pravidelne menenými heslami. Vyžaduje sa aj pravidelný audit prístupových práv, včasné vymazanie účtov zamestnancov na dôchodku.
5. Administrátorské rozhranie by malo byť dostupné iba z internej siete alebo cez VPN. Včasný uzavretý prístup k VPN pre zamestnancov, ktorí odišli zo zamestnania, a ešte viac pre tých, ktorí boli prepustení.
6. Zahrňte zmiernenie DDoS do svojho plánu obnovy po havárii. Plán by mal obsahovať spôsoby identifikácie faktu takéhoto útoku, kontakty na komunikáciu s poskytovateľom internetu alebo hostingu, strom „eskalácie problému“ pre každé oddelenie.
7. Skenovanie zraniteľností pomôže identifikovať problémy vo vašej infraštruktúre a softvéri a znížiť riziká. Jednoduchý test OWASP Top 10 zraniteľností identifikuje najkritickejšie problémy. Užitočné budú aj penetračné testy – pomôžu nájsť slabé miesta.
8. Hardvérová DDoS ochrana môže byť drahá. Ak to váš rozpočet nezabezpečuje, potom je tu dobrá alternatíva – DDoS ochrana „na požiadanie“. Takáto služba môže byť aktivovaná jednoduchou zmenou schémy smerovania prevádzky v prípade núdze, alebo môže byť trvalo chránená.
9. Použite partnera CDN. Siete na doručovanie obsahu umožňujú doručovanie obsahu stránok prostredníctvom distribuovanej siete. Prevádzka je distribuovaná na viacero serverov, čím sa znižuje oneskorenie prístupu používateľov vrátane geograficky vzdialených. Zatiaľ čo hlavnou výhodou CDN je rýchlosť, slúži aj ako bariéra medzi hlavným serverom a používateľmi.
10. Použite Web Application Firewall – firewall pre webové aplikácie. Monitoruje návštevnosť medzi webom alebo aplikáciou a prehliadačom a kontroluje oprávnenosť požiadaviek. V aplikačnej vrstve dokáže WAF odhaliť útoky proti uloženým vzorom a odhaliť neobvyklé správanie. Útoky na úrovni aplikácií nie sú v elektronickom obchode nezvyčajné. Rovnako ako v prípade CDN môžete využívať služby WAF v cloude. Konfigurácia pravidiel však vyžaduje určité skúsenosti. V ideálnom prípade by všetky hlavné aplikácie mali byť chránené pomocou WAF.

DNS ochrana

Ako chrániť svoju infraštruktúru DNS pred útokmi DDoS? Tu nepomôžu bežné firewally a IPS, proti zložitému DDoS útoku na DNS sú bezmocné. Firewally a systémy prevencie narušenia sú v skutočnosti zraniteľné voči útokom DDoS.

Cloudové služby na čistenie prevádzky môžu prísť na záchranu: posiela sa do určitého centra, kde sa skontroluje a presmeruje späť na miesto určenia. Tieto služby sú užitočné pre prenos TCP. Tí, ktorí spravujú svoju vlastnú infraštruktúru DNS, môžu prijať nasledujúce opatrenia na zmiernenie dopadov DDoS útokov.

1. Monitorovanie podozrivých aktivít na serveroch DNS je prvým krokom pri zabezpečení vašej infraštruktúry DNS. Komerčné riešenia DNS a produkty s otvoreným zdrojom, ako napríklad BIND, poskytujú štatistiky v reálnom čase, ktoré možno použiť na detekciu útokov DDoS. Monitorovanie DDoS útokov môže byť náročná úloha. Najlepšie je vytvoriť základný profil infraštruktúry za normálnych prevádzkových podmienok a potom ho z času na čas aktualizovať podľa toho, ako sa infraštruktúra vyvíja a menia sa vzorce dopravy.
2. Dodatočné zdroje servera DNS môžu pomôcť pri riešení malých útokov poskytnutím redundantnej infraštruktúry DNS. Serverové a sieťové zdroje by mali stačiť na spracovanie viacerých požiadaviek. Samozrejme, že prepúšťanie stojí peniaze. Platíte za serverové a sieťové zdroje, ktoré sa za normálnych podmienok bežne nepoužívajú. A s výraznou „rezervou“ moci tento prístup pravdepodobne nebude účinný.
3. Povolenie DNS Response Rate Limiting (RRL) zníži pravdepodobnosť, že server bude zapojený do útoku DDoS Reflection znížením rýchlosti jeho odozvy na opakované požiadavky. Mnoho implementácií DNS podporuje RRL.
4. Používajte konfigurácie s vysokou dostupnosťou. Proti útokom DDoS sa môžete brániť nasadením DNS na server s vysokou dostupnosťou (HA). Ak jeden fyzický server „vypadne“ v dôsledku útoku, službu DNS možno obnoviť na záložný server.

Najlepší spôsob, ako chrániť DNS pred útokmi DDoS, je použiť geograficky rozptýlenú sieť Anycast. Distribuované siete DNS možno implementovať pomocou dvoch rôznych prístupov: adresovanie Unicast alebo Anycast. Prvý prístup je oveľa jednoduchšie implementovať, ale druhý je oveľa odolnejší voči DDoS útokom.

V prípade Unicast má každý server DNS vašej spoločnosti pridelenú jedinečnú IP adresu. DNS udržiava tabuľku serverov DNS vašej domény a zodpovedajúcich adries IP. Keď používateľ zadá URL, náhodne sa vyberie jedna z IP adries na vykonanie požiadavky.

Pomocou schémy adresovania Anycast zdieľajú rôzne servery DNS spoločnú IP adresu. Keď používateľ zadá adresu URL, vráti sa súhrnná adresa serverov DNS. Sieť IP nasmeruje požiadavku na najbližší server.

Anycast poskytuje základné bezpečnostné výhody oproti Unicast. Unicast odhaľuje IP adresy jednotlivých serverov, takže útočníci môžu spustiť cielené útoky proti konkrétnym fyzickým serverom a virtuálnym počítačom, a keď sa vyčerpajú zdroje tohto systému, dôjde k zlyhaniu služby. Anycast môže pomôcť zmierniť útoky DDoS distribúciou požiadaviek medzi skupinu serverov. Anycast je tiež užitočný na izoláciu účinkov útoku.

DDoS ochrana poskytovaná poskytovateľom

Návrh, nasadenie a prevádzka globálnej siete Anycast si vyžaduje čas, peniaze a know-how. Väčšina IT organizácií na to nemá schopnosti a financie. Môžete dôverovať poskytovateľovi spravovaných služieb, ktorý sa špecializuje na DNS, aby udržal vašu infraštruktúru DNS v prevádzke. Majú potrebné znalosti na ochranu DNS pred DDoS útokmi.

Poskytovatelia spravovaných služieb DNS prevádzkujú rozsiahle siete Anycast a majú miesta prítomnosti po celom svete. Odborníci na sieťovú bezpečnosť monitorujú sieť 24/7/365 a používajú špeciálne nástroje na zmiernenie dopadov DDoS útokov.

Niektorí poskytovatelia hostingu ponúkajú aj služby ochrany DDoS: sieťová prevádzka sa analyzuje 24/7, takže vaša stránka bude relatívne bezpečná. Takáto ochrana je schopná odolať silným útokom - až 1500 Gbps. Zároveň sa platí prevádzka.

Ďalšou možnosťou je ochrana IP adries. Poskytovateľ umiestni IP adresu, ktorú si klient zvolil ako chránenú, do špeciálnej siete analyzátora. Útok porovnáva návštevnosť klienta so známymi vzormi útokov. Výsledkom je, že klient dostáva iba čistú, filtrovanú návštevnosť. Používatelia stránky teda nemusia vedieť, že na ňu bol vykonaný útok. Aby to bolo možné organizovať, je vytvorená distribuovaná sieť filtračných uzlov, takže pre každý útok je možné vybrať najbližší uzol a minimalizovať oneskorenie prenosu prevádzky.

Výsledkom využívania služieb ochrany pred DDoS útokmi bude včasná detekcia a prevencia DDoS útokov, kontinuita stránky a jej stála dostupnosť pre používateľov, minimalizácia finančných a reputačných strát z výpadkov stránky či portálu.

Distribuované sieťové útoky sa často označujú ako útoky DDoS (Distributed Denial of Service). Tento typ útoku využíva určité obmedzenia šírky pásma, ktoré sú vlastné každému sieťovému zdroju, napríklad infraštruktúre, ktorá poskytuje podmienky pre fungovanie webovej stránky spoločnosti. Útok DDoS posiela napadnutému webovému zdroju veľké množstvo požiadaviek, aby prekročil schopnosť stránky ich všetky spracovať... a spôsobil odmietnutie služby.

Typické ciele DDoS útokov:

• Stránky internetových obchodov
• Online kasína
• Spoločnosť alebo organizácia, ktorej práca súvisí s poskytovaním online služieb

Ako funguje DDoS útok

Sieťové zdroje, ako sú webové servery, majú limit na počet požiadaviek, ktoré môžu obsluhovať súčasne. Okrem povoleného zaťaženia servera existujú aj obmedzenia týkajúce sa šírky pásma kanála, ktorý pripája server k internetu. Keď počet požiadaviek prekročí výkon ktoréhokoľvek komponentu v infraštruktúre, môže nastať nasledovné:

• Výrazné spomalenie doby odozvy na požiadavky.
• Odmietnutie služby pre všetky alebo časť požiadaviek používateľov.

Konečným cieľom útočníka je spravidla úplné zastavenie prevádzky webového zdroja - „odmietnutie služby“. Útočník môže tiež požadovať peniaze na zastavenie útoku. V niektorých prípadoch môže byť DDoS útok pokusom o diskreditáciu alebo zničenie podnikania konkurenta.

Používanie siete zombie počítačov na vykonávanie DDoS útokov

Na odoslanie veľkého množstva požiadaviek na zdroj obete kyberzločinec často vytvorí sieť infikovaných „zombie počítačov“. Keďže útočník kontroluje akcie každého infikovaného počítača, útok môže byť príliš silný pre webový zdroj obete.

Povaha moderných DDoS hrozieb

Na začiatku až do polovice roku 2000 bola takáto trestná činnosť celkom bežná. Počet úspešných DDoS útokov však klesá. Je to pravdepodobne spôsobené nasledujúcimi faktormi:

• Policajné vyšetrovanie, ktoré viedlo k zatknutiu zločincov na celom svete
• Technické protiopatrenia úspešne používané na boj proti DDoS útokom