Что такое ddos атака — инструкция как защититься

Привет всем! Как оказалось, что не только в жизни, но и в Интернете тебе могут встретиться различного рода недоброжелатели.

Так произошло и с моим сайтом, который подвергся ddos атаке. Если честно, я вообще никогда не слышала о том, что на сайты бываю атаки. Я думала, что это касается только хостингов. И как я ошибалась…

Расстраивает то, что сайт у меня еще совсем «молодой» с  небольшим количеством статей, а тем более посетителей, а уже кому-то я «перешла дорогу».

В интернете нашла информацию, что подобного рода атаки не влияют на поведенческие факторы сайта. Не соглашусь, потому что в те дни, когда шла атака на мой сайт, у меня счетчик liveinternet определил только 2 посетителей, в том числе меня. Поэтому я и догадалась, что что-то идет не так.

Факторы, указывающие, что на ваш сайт идет атака

Итак, как я уже писала выше, обратите внимание на счетчик liveinternet. Мне не сложно было сделать небольшой анализ, потому что в день на мой сайт заходит от 5 до 10 человек. Если вы наблюдаете, что посещение вашего сайта резко упало, пора «бить тревогу». Но этот момент не всегда связан именно с атакой.

Далее вам понадобится сервис Яндекс Метрики. Именно по Яндекс Метрике я увидела, что на сайт идет атака. Потому что он мне выдавал посещений в сутки аж 55 человек!

Что такое ddos атака — инструкция как защититься

Если кто-то может этому обрадоваться, то не спешите, а обратите внимание на показатель Отказы. Если этот показатель возрастает и приближается к 100%, значит, на ваш сайт идет ddos атака.

Что такое ddos атака — инструкция как защититься

Важное замечание: Вебвизор такое посещение «не видит» вообще!

Способы защиты сайта от ddos атак

Давайте разберем по шагам, как защитить свой сайт от ddos атак.

1 шаг – обратитесь в поддержку вашего хостинга. Домен моего сайта находится именно на хостинге TimeWeb, поэтому я обратилась туда. У них есть некоторый «техплан» по спасению вашего сайта, и они предлагают возможную помощь.

Что такое ddos атака — инструкция как защититься

Перед тем как обратиться на хостинг, я искала информацию в интернете по спасению сайта от атак. И как раз про логи информацию увидела. Только вот найти эту папку в корневой директории никак не могла.

Поэтому я и советую сначала обратиться на хостинг. Там мне и подсказали, что прежде, чем скачать логи, нужно их включить!

Кроме этого  TimeWeb предложил мне поставить пароль на директорию. Это мне не подходило, потому что после этого при входе на сайт он стал запрашивать этот самый пароль.

  • В случае атаки на сайт можно поставить кнопку, которая будет отражать автоматизированные запросы.
  • Выглядеть будет она вот таким образом:
  • Что такое ddos атака — инструкция как защититься
  • И если мне понятно назначение данной кнопки, то настоящих посетителей моего сайта она скорей всего отпугнет.
  • Поэтому переходим ко второму шагу…

2 шаг – включите использование Log файлов. Я не знаю каким образом реализуется такая возможность на других хостингах, но именно на TimeWeb ее нужно включить.

  1. Что такое ddos атака — инструкция как защититься
  2. Что такое ddos атака — инструкция как защититься
  3. Если вы срочно хотите разобраться с проблемой, то Log  файлы за предыдущие дни вы можете запросить у хостинга.

За log файла на TimeWeb отвечает папка access log. Здесь вы увидите с каких ip адресов, сайтов идут запросы на ваш сайт.

Что такое ddos атака — инструкция как защититься

Я тогда не сделала скриншот, но суть была в том, что с разных ip шли запросы на мой сайт. С каких-то ip запросов было больше, с каких-то меньше. Так же там есть запросы от Яндекс ботов. Вообщем, чтобы выбрать ip вредителей, вам нужна будет еще одна программа Awstats. Я читала, что ее нужно устанавливать дополнительно. Но на хостинге TimeWeb она стоит по умолчанию.

3 шаг – проанализируйте свой сайт через программу Awstats. Сделать это можно просто: введите в браузерной строке ваш домен/awstats. Потребуется ввести логин и пароль, который вы вводите при входе в админку хостинга.

  • Перед вами откроется примерно такая «картина»:
  • Что такое ddos атака — инструкция как защититься
  • Слева из меню выберите Неразрешенный IP адрес.
  • Что такое ddos атака — инструкция как защититься

Именно здесь и кроются в большинстве случаев вредные ip адреса. Так как в день атаки на моем сайте не было посетителей, то почти все ip адреса – от недоброжелателя).

  1. Кстати, я забыла уточнить, что ip адреса, с которых идет атака на сайт, мы ищем, чтобы запретить через них доступ на свой сайт.
  2. Обратите внимание на столбцы Хиты и Объем.
  3. Что такое ddos атака — инструкция как защититься

На некоторых ip адресах здесь показатели выше, а это значит, что через них автоматических обращений на ваш сайт идет больше. Скопируйте их и сохраните в папке или Блокноте. Сейчас мы будем редактировать файл htaccess.

4 шаг – редактируем файл htaccess. Сейчас мы ограничим доступ к нашему сайту с «вредных» ip адресов.

В первую очередь вам необходимо скачать файл .htaccess себе на компьютер. Сделать это можно через FTP например FileZilla.

Открываем этот файл с помощью бесплатной программы Notepad++. Скачать ее можно отсюда notepad-plus-plus.org.

Чтобы правильно прописать команду по ограничению доступа в htaccess, мне 3 раза пришлось обратиться к специалистам хостинга. Потому что иногда они отвечаю так, как будто все владельцы сайтов – это крутые вебмастера). Тем не менее в беде они не бросают. Итак, последний ответ с хостинга, который меня устроил.

В htaccess вам необходимо дописать следующее:

## USER IP BANNING
Order Deny,Allow
Deny from
Deny from
Deny from
Deny from
allow from all

  • Где Deny from – это выявленные вами «вредные» ip адреса.
  • Что получилось у меня:

Теперь обязательно сохраните изменения в файле .htaccess и загрузите его обратно в корневую папку вашего домена через FileZilla.

С этой атакой мы справились. Только 23 августа ровно через 8 дней меня ждал следующий сюрприз.

Атака на сайт перебор XML-RPC

Теперь уже ежедневно анализируя сводку в Яндекс Метрике я увидела, что опять резко возросло количество посетителей одновременно с показателем Отказы.

Наученная горьким опытом я открыла Log файлы. И вот что я там увидела:

De-nezhnye-ruchejki.ru 120.27.114.224 – – [23/Aug/2016:06:56:54 +0300] “POST /xmlrpc.php HTTP/1.0” 200 441 “-” “XML-RPC.NET”

  1. Суть данной атаки – это перебор паролей к админке вашего сайта.
  2. Для отражения данной ddos атаки вам понадобится 2 плагина:
  • Login Security Solution
  • Disable XML-RPC

Скачать эти плагины можно прямо из консоли вашего сайта в меню Плагины – Добавить новый.

Плагин Login Security Solution. Обратите внимание на настройки, которые необходимо изменить. Данный плагин ограничивает попытки авторизации на сайте.

И сейчас я сижу и пишу статью и вижу, что с утра произошло 8 изоляций с последнего сброса счетчика. Значит, атака все еще идет.

  • Плагин Disable XML-RPC настройки не требует, его нужно просто активировать.
  • На сегодняшний день самый простой способ защитить админку сайта от взлома – это блокировка по IP.

Вот таким образом в некоторых случаях можно обезопасить свой сайт от ddos атак. Не знаю, что мой сайт ждет дальше, потому что попытки навредить мне продолжаются. К сожалению, в нашем мире много таких недолюбленных людей, которые сами несчастливы и другим устраивают проблемы.

Денежные ручейки

Источник: https://denezhnye-ruchejki.ru/zashhita-sayta-ot-ddos-atak/

Ddos атака что это такое и как защитить свой сайт/блог от ddos атак?

Что такое ddos атака — инструкция как защититься

Добрый день уважаемые пользователи isif-life.ru. Каждый владелец блога старается защитить свой ресурс всеми силами, используют плагины, усложняют пароли, делают вход в панель управления более сложным, удаляют строки в исходном коде страницы и т.д.

Но, что делать, если атака на ваш сайт совершена? Вот в таких ситуациях пользователи блогосферы, как правило, начинают паниковать. Ну, конечно, кто бы не стал волноваться за то, чему он посвятил не один год и вложил в это дело уйму своего времени и нервов.

Одной из таких неприятностей может стать ddos атака!

В статье я хотел бы рассказать вам о следующем:

  • Что такое ddos атака;
  • Чем опасна ddos атака для сайта;
  • Виды ddos атак;
  • Как защититься от ddos атаки;
  • Как понять, что идет ddos атака на сайт;

 Что такое ddos атака?

DDoS-атака — это аббревиатура Distributed Denial Of Service Attack. Существует также DoS-атаки, отличающиеся от первого вида тем, что нападение происходит не с разных IP-адресов. Но сейчас обо всем по порядку.

DDos-атаки это не простые попытки взломать ваш блог и закинуть туда вирус. Главная цель хакеров парализовать ваш сайт или любой другой веб узел. О таких попытках взлома известно очень давно, еще в 1999 году были выведены из строя интернет ресурсы нескольких крупных компаний. Подобное повторилось в 2000 году и администраторы системы ничего не могли поделать.

А все почему? Потому что на тот момент никто не знал, как справиться с подобными атаками.

Итак, давайте подробнее разберем, как хакеры подвергали опасности хорошо защищенные веб узлы?

Все выглядит достаточно просто, но все же сделать это не так уж легко.

Схема DDoS-атаки построена вот так. Хакеры выбрали один сервер, на который сейчас совершат нападение. И разом обрушивают на него кучу ложных запросов, причем в се это делают со всех уголков мира, а значит с разных IP-адресов. В конце концов ресурс тратит все свои силы на обработку.

Что такое ddos атака — инструкция как защититься

Подобные атаки приводят к тому, что простые пользователи не имеют доступа к сайту. Отмечу, что ложные запросы выполняются  с ПК, ноутбуков тех людей, которые об этом даже и не подразумевают.

Читайте также:  Как выбрать кулер для процессора: разбор основных параметров

Ведать, злоумышленники сначала взламывают компы у сотни пользователей, а потом организовывают массовую атаку. Взломать чей-то компьютер также бывает не всегда легко. Некоторые пользуются троянскими программами, другие проникают в незащищенные сети и потом зомбируют устройство и IP-адрес полностью им подчиняется.

Dos-атака

Теперь немного о Dos-атаки. Это немного иное, нежели чем ddos, однако также отказ в обслуживании ресурса будет вам обеспечен.

Суть её заключается в том, хакер используют уязвимость на компьютере, которая способствуют появлению ошибки. Она в свою очередь приостанавливает работу веб- ресурса.

Если уязвимость на ПК закинуть не получилось, то злоумышленник пользуется вторым вариантом, который немного схож с  ddos атакой.

В общем,  происходит отсылка большого количества информации с разных адресов. Система обрабатывает один файл и так постепенно все остальные. Если массово навалить кучу инфы, то компьютер перегружается и возможно «зависание», чего и хотят добиться хакеры.

Виды ddos атак и как от них защититься?

Полностью обезопасить свой сайт от ddos атак нельзя. Как правило, все те, кто хотят защитить свой ресурс никогда сто процентной информации не находят. Поэтому защита в основном строится на грамотной профилактике и настройке.

Вот, что вам следует проделать, точнее операции необходимо выполнить:

Предотвращение.

В первую очередь очень важно не возбуждать против себя ddos атаки, ведь делают их люди, которым что-то надо от вас. Чаще всего все это происходит из-за конфликта на почве религии, политики, каких-то других разногласий. Могу сказать точно, что редки те случаи, когда подобного рода нападения происходят ради любопытства и игры.

Фильтрация.

Что такое ddos атака — инструкция как защититься

Если вы заметили трафик от атакующих машин, то смело блокируйте его любыми методами. Например, воспользуйтесь плагин WordFence Security, позволяющий закрыть доступ  IP-адресам, даже целых стран.

Но с этим баловаться очень опасно, так и самим себя загубить можно. Короче, действуйте лишь тогда, когда уверены, что вы правы.

Здесь нет такого выражения: «Риск благородное дело» или»Кто не рискует тот не пьет шампанского».

Обратный DDOS.

Есть возможность перенаправить трафика на злоумышленника. Я так делать не умею, поэтому и вас не учу, однако существуют спецы, которые разбираются в подобных вещах.

Устранение уязвимостей.

Уязвимость можно убрать при помощи Антивируса. Лично я использую Касперского, о его преимуществах и характеристиках можете ознакомиться в статье про Антивирус Касперского.

Рассредоточение.

Немаловажным является факт дублирования системы, то есть, если на вас произвели атаку и нападение было успешным со стороны хакеров, то вы просто работаете через другую поддерживающую ваш сайт систему. Это очень удобно, но в тоже время выполняется достаточно не просто.

Такой метод профилактики отлично подойдет для себ ресурсов корпораций, крупных компаний, фирм и т.д.

  • Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение.
  • Постоянно следить за тем, когда происходят атаки на других ресурсах и стараться не сохранять какую-то информацию о своем домене на подобных сайтах.
  • Активные ответные меры.

Думаю, что простому блоггеру воздействовать на хакеров, производящих ddos-атаки просто не получится. Для этого дела нужны веб-мастера посильнее, ну или хотя такие, которые знают толк в своей работе. Если дать отпор, то потом уже они не захотят тратить свое время на борьбу.

С профилактическими мерами ознакомились. Теперь познакомлю вас с видами ddos-атак.

Виды ddos-атак

Сперва я затрону тему флуд атак. Они нацелены на то, чтобы исчерпать системный ресурс, а это объем памяти, канал связи, или тот же процессор.

памтHTTP-флуд.

На чей-то веб ресурс закидывают http-файлы, на что сервер отвечает еще большей информацией. Если произвести это действие с большим потоком, то полоса пропускания в жертвы пополняется и система пополняется. В итоге отказ работы. Не для кого не доступно. Но как попадает туда хакер? Он изменяет свой сетевой адрес на адрес веб узлов, которые находятся внутри канала.

ICMP-флуд (Smurf-атака).

Что такое ddos атака — инструкция как защититься

Это самый опасный тип ddos-атаки. Все происходит вот так: системе отправляют поддельный пакет инфы с данными. Хакер изменяет свой адрес на адрес атакуемого объекта. Для более эффективного нападения используют «зомби-компьютеры».

В начале статьи  я об этом говорил. Допустим набрали 1000 IP-адресов и отправляют пакет инфы, но не просто так, а усилив 1 к комп в 1 к раз.Это значит направили на ресурс 1000 запросов, при этом увеличив их число в тысячу раз.

Один раз в жизни был такой случай, когда мощность проводимой атаки на сервер  достигла 300 Гбит/с. Но при этом система смогла выдержать нападение. Основным элементом защиты было обратные атаки и пере-направление трафика на свои дополнительные дата-центры.

Представляете, что это такое? Наверное, нет. В общем, миллионы пользователей ПК и других гаджетов почувствовали на себе эту мощь. Ведь многие сайты и блоги начинали глючить и все из-за какой-то ddos-атаки.

Сейчас я рассказал вам о двух видах флуда. Остальные затрагивать не буду, поскольку суть их однотипная. Все хотят выполнить банальную перегрузку и тем самым заставить систему тормозить.

Как понять, что идет ddos атака на сайт?

Как правило, никаких программ для этого не требуется, так как все заметно невооруженным глазом. Однако не всегда это так. Бывает зайдешь, а уже все сайт отказывается работать.

Чтобы этого избежать надо заранее позаботиться об обнаружении ddos -атак на свой блог.

В первую очередь следует  следить за трафиком на вашем ресурсе. Анализ можете проводить с панели управления счетчика от liveinternet. Не устаю понимать, что сервис действительно уникален, других таких нет.

Вы можете понаблюдать, откуда к вам заходят на сайт, с каких стран. Но тут, конечно, все может выглядеть правдоподобно, однако эти IP-адреса могут быть уже в руках злоумышленников. Поэтому воспользуемся Scrutinize. При помощи него вы можете проводить анализ сетевого трафика.

Что такое ddos атака — инструкция как защититься

Надеюсь, что вы сможете защитить свой блог от ddos-атак. Применяйте на практике все те методы борьбы, которые я рассказал в статье и тогда вы сможете обезопасить свой веб-ресурс.

До свидания, уважаемые читатели!

 С уважением, Жук Юрий.

Что такое ddos атака — инструкция как защититься

Источник: https://isif-life.ru/web/ddos-ataka-chto-eto-takoe-i-kak-zashhitit-svoj-sajtblog-ot-ddos-atak.html

DDoS-атака: что это, как работает и виды атак

  • DDoS-атаки, или распределенные атаки типа отказа в обслуживании — угроза, которую должны знать все владельцы сайтов.
  • Чтобы вы понимали, что это такое и как избежать таких атак, мы перевели это руководство.
  • Что такое ddos атака — инструкция как защититься

Что такое DDoS-атака

  1. DDoS-атака — атака на вычислительную систему, которая выполняется одновременно с большого числа компьютеров.
  2. Цель атаки: сделать так, чтобы система перестала работать, и пользователи не могли получить доступ к системным ресурсам.
  3. Чтобы DDoS-атака была успешной, атакующему нужно посылать больше запросов, чем может обработать атакуемый сервер.

Виды DDoS-атак

DDoS-атаки на уровне канала связи

Цель таких атак — перегрузить трафик сайта или создать проблемы использования CPU или IOPS. Тот, у кого больше ресурсов, выигрывает.

Часто атакующим легко достичь своих целей. Большинство владельцев сайтов размещает сайты на виртуальных серверах, где у каждого ограниченное количество ресурсов.

Такие DDoS-атаки включают в себя:

  • UDP-флуды: Во время такой атаки сервер-жертва получает огромное количество поддельных UDP-пакетов от широкого диапазона IP-адресов. Сервер-жертва или сетевое оборудование перед ним переполняет поддельными-UDP пакетами. Из-за атаки занимается вся полоса пропускан перегружает сетевые интерфейсы.
  • ICMP-флуды: Атакующие направляют на сервер ложные ICMP-пакеты, которые отправляются с широкого диапазона IP-адресов.
    В результате такой атаки ресурсы сервера иссякают и не могут обрабатывать запросы. Из-за этого сервер перезагружается или очень медленно работает.
  • Ping-флуды: Атакующие направляют на сервер ложные ping-пакеты с большого диапазона IP-адресов. Цель атакующих — зафлудить сервер, чтобы он выключился. Самый большой недостаток этой атаки для владельцев сайтов — то, что ее можно перепутать с обычным трафиком.
  • Другие флуды с ложными пакетами

DDoS-атаки на уровне протокола

Этот тип атаки потребляет ресурсы сервера или другого аппаратного оборудования сети во время обработки информации. Это приводит
к нестабильной работе системы.

В этих атаках серверу-мишени отправляют или больше пакетов, чем он может обработать, или больше трафика, чем сетевые порты могут обработать.

DDoS-атаки, использующие уязвимости протоколов, включают:

  • Пинг смерти: Серверу-жертве отправляется слишком большой пакет размера более 65535 байт, что приводит к ошибкам и отключению сервера. Этот вид атаки был очень популярен в 90-х. Сегодня такие атаки направлены на приложения или аппаратное оборудование. В результате такой атаки сервер перезагружается или полностью ломается. Поэтому DDoS-атаку никогда не стоит недооценивать — один атакующий может остановить работу целого дата-центра.
  • Синхронная атака: Атакующие используют уязвимости TCP-протокола в процессе рукопожатия между клиентом, хостом и сервером. Принцип атаки заключается в том, что злоумышленник, посылая запросы на подключение, переполняет очередь на сервере.Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого клиенты или не могут установить связь с сервером, или устанавливают её с большими задержками.

DDoS-атаки на уровне приложений

Такие атаки обычно нацелены против приложений типа веб-серверов — например, Windows IIS, Apache. Однако атаки на прикладном уровне уже распространяются и на CMS-платформы — WordPress, Joomla!, Drupal, Magento.

Цели такой атаки — выключить приложение, онлайн-сервис или сайт. Обычно эти атаки небольшие, особенно по сравнению с атаками на уровне сети, но они могут нанести такой же урон.

Читайте также:  Как удалить музыку с iphone через itunes: пошаговая инструкция

Например, небольшой VPS-сервер на Linode, Digital Ocean или Amazon может легко справиться со 100,000-200,000 пакетами в секунду . Однако тот же сервер, работающий на WordPress или Joomla, едва сможет обработать 500 HTTP-запросов без того, чтобы не отключиться. Поэтому атаки на уровне приложений могут принести столько же вреда, сколько и атаки на уровне сети.

Атаки на уровне приложений включают:

  • Атаки на DNS-сервер: В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS.
    Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Когда сервер получает ложный ответный пакет с подходящим ID, он начинает воспринимать хакера как DNS и дает клиенту IP–адрес, посланный атакующим компьютером. Затем запрос занесется в кэш, и при следующих подобных запросах пользователи будут переходить на подставной IP.
  • Layer 7 HTTP-флуд: атака, которая перегружает отдельные части сайта или сервера. Такие атаки сложно идентифицировать, так как запросы выглядят как обычный трафик. Запросы, посланные атакующими, потребляют ресурсы сервера и приводят к падению сайта. Такие запросы также могут отправляться ботами, что делает атаки более мощными.Интересно, то, что эти атаки мало зависят от пропускной способности канала. За счет этого атакующие могут легко вывести сервер из строя.В зависимости от веб-сервера и стека приложений даже небольшое количество запросов в секунду может замедлить работу приложений и баз данных серверной части. В среднем атаки, которые посылают более 100 запросов в секунду, могут выключить большинство сайтов среднего размера.

В следующей части руководства расскажем, как защищаться от DDoS-атак и как их предупреждать.

Источник: статья в блоге Sucuri

(4

Источник: https://VPS.ua/blog/ddos-attacks-and-their-types/

16 рецептов защиты от DDoS-атак своими силами

Содержание статьи

Борьба с DDoS-атаками — работа не только сложная, но и увлекательная. Неудивительно, что каждый сисадмин первым делом пытается организовать оборону своими силами — тем более что пока еще это возможно.

Мы решили помочь вам в этом нелегком деле и опубликовать несколько коротких, тривиальных и не универсальных советов по защите вашего сайта от атак. Приведенные рецепты не помогут вам справиться с любой атакой, но от большинства опасностей они вас уберегут.

Суровая правда такова, что многие сайты может положить любой желающий, воспользовавшись атакой Slowloris, наглухо убивающей Apache, или устроив так называемый SYN-флуд с помощью фермы виртуальных серверов, поднятых за минуту в облаке Amazon EC2. Все наши дальнейшие советы по защите от DDoS своими силами основываются на следующих важных условиях.

1. Отказаться от Windows Server

Практика подсказывает, что сайт, который работает на винде (2003 или 2008 — неважно), в случае DDoS обречен. Причина неудачи кроется в виндовом сетевом стеке: когда соединений становится очень много, то сервер непременно начинает плохо отвечать.

Мы не знаем, почему Windows Server в таких ситуациях работает настолько отвратно, но сталкивались с этим не раз и не два. По этой причине речь в данной статье будет идти о средствах защиты от DDoS-атак в случае, когда сервер крутится на Linux.

Если вы счастливый обладатель относительно современного ядра (начиная с 2.6), то в качестве первичного инструментария будут выступать утилиты iptables и ipset (для быстрого добавления IP-адресов), с помощью которых можно оперативно забанить ботов.

Еще один ключ к успеху — правильно приготовленный сетевой стек, о чем мы также будем говорить далее.

2. Расстаться с Apache

Второе важное условие — отказ от Apache. Если у вас, не ровен час, стоит Apache, то как минимум поставьте перед ним кеширующий прокси — nginx или lighttpd. Apache'у крайне тяжело отдавать файлы, и, что еще хуже, он на фундаментальном уровне (то есть неисправимо) уязвим для опаснейшей атаки Slowloris, позволяющей завалить сервер чуть ли не с мобильного телефона.

Для борьбы с различными видами Slowloris пользователи Apache придумали сначала патч Anti-slowloris.diff, потом mod_noloris, затем mod_antiloris, mod_limitipconn, mod_reqtimeout… Но если вы хотите спокойно спать по ночам, проще взять HTTP-сервер, неуязвимый для Slowloris на уровне архитектуры кода.

Поэтому все наши дальнейшие рецепты основываются на предположении, что на фронтенде используется nginx.

Что делать, если пришел DDoS? Традиционная техника самообороны — почитать лог-файл HTTP-сервера, написать паттерн для grep (отлавливающий запросы ботов) и забанить всех, кто под него подпадет. Эта методика сработает… если повезет.

Ботнеты бывают двух типов, оба опасны, но по-разному. Один целиком приходит на сайт моментально, другой — постепенно. Первый убивает все и сразу, зато в логах появляется весь полностью, и если вы их проgrepаете и забаните все IP-адреса, то вы — победитель.

Второй ботнет укладывает сайт нежно и осторожно, но банить вам его придется, возможно, на протяжении суток. Любому администратору важно понимать: если планируется бороться grep’ом, то надо быть готовым посвятить борьбе с атакой пару дней.

Ниже следуют советы о том, куда можно заранее подложить соломки, чтобы не так больно было падать.

3. Использовать модуль testcookie

Пожалуй, самый главный, действенный и оперативный рецепт этой статьи. Если на ваш сайт приходит DDoS, то максимально действенным способом дать отпор может стать модуль testcookie-nginx, разработанный хабрапользователем @kyprizel. Идея простая.

Чаще всего боты, реализующие HTTP-флуд, довольно тупые и не имеют механизмов HTTP cookie и редиректа. Иногда попадаются более продвинутые — такие могут использовать cookies и обрабатывать редиректы, но почти никогда DoS-бот не несет в себе полноценного JavaScript-движка (хотя это встречается все чаще и чаще).

Testcookie-nginx работает как быстрый фильтр между ботами и бэкендом во время L7 DDoS-атаки, позволяющий отсеивать мусорные запросы.

Что входит в эти проверки? Умеет ли клиент выполнять HTTP Redirect, поддерживает ли JavaScript, тот ли он браузер, за который себя выдает (поскольку JavaScript везде разный и если клиент говорит, что он, скажем, Firefox, то мы можем это проверить). Проверка реализована с помощью кукисов с использованием разных методов:

  • «Set-Cookie» + редирект с помощью 301 HTTP Location;
  • «Set-Cookie» + редирект с помощью HTML meta refresh;
  • произвольным шаблоном, причем можно использовать JavaScript.

Чтобы избежать автоматического парсинга, проверяющая кукиса может быть зашифрована с помощью AES-128 и позже расшифрована на клиентской стороне JavaScript.

В новой версии модуля появилась возможность устанавливать кукису через Flash, что также позволяет эффективно отсеять ботов (которые Flash, как правило, не поддерживают), но, правда, и блокирует доступ для многих легитимных пользователей (фактически всех мобильных устройств).

Примечательно, что начать использовать testcookie-nginx крайне просто. Разработчик, в частности, приводит несколько понятных примеров использования (на разные случаи атаки) с семплами конфигов для nginx.

Помимо достоинств, у testcookie есть и недостатки:

Источник: https://xakep.ru/2012/12/29/16-antiddos-recipes/

Защита от DDoS: как своими силами отбить атаку – руководство

  • Многие популярные ресурсы подвергаются DDoS-атакам с той или иной целью.
  • Если являетесь владельцем популярных или стремительно растущих ресурсов, следует задумать о безопасности своего детища.
  • Сегодня мы расскажем, что такое DoS и DDoS атаки, каким образом осуществляются последние и какая эффективная защита от них существует.
  • С сутью DDoS атак знакомы все школьники, не желающие выслушивать очередные бредни преподавателя по теме, и начинающие забрасывать его вопросами.
  • DDoS называют хакерскую атаку на сервер (-ы), которые обрабатывают запросы пользователей (посетителей сайта), с целью создания таких условий, когда тот перестанет справляться с нагрузкой.
  • То есть комплекс действий злоумышленников нацелен на то, чтобы ресурса сервера перестало хватать на обработку запросов пользователей или она была затруднена.
  • DDoS отличается от DoS тем, что неугодный ресурс атакуется большим количеством компьютеров, как добровольцев, заинтересованных в этом, так и зараженных вирусами.
  • Во время подготовительного этапа недоброжелатели сканируют масштабную компьютерную сеть на предмет уязвимостей, а определив слабые места и получив определёнными преимуществами, распространяют троянскую программу, функционирующую в фоновом режиме.

Она ждёт своей очереди, и после отправки определённой команды подключает компьютер пользователя к масштабной атаке. Этот ПК называется зомби.

Рис. 2 – Как защититься от атаки

  1. Защититься от DDoS на 100% не может никто и нигде, ведь любой программный код имеет свои недостатки, плюс его можно взломать.
  2. Да и человеческий фактор в таком случае играет далеко не второстепенную роль: правильная настройка оборудования и программного обеспечения – залог успешной работы.
  3. Второй и менее распространённый алгоритм – приглашение добровольцев для участия в массированной отправке запросов на указанный сервер через специальное программное обеспечение.

Третья разновидность таких кибепреступных действий – размещение ссылок на целевой ресурс на крупных порталах (новостных). Из-за стремительного наплыва юзеров сервер не выдерживает нагрузки и «падает».

Причём проблему может спровоцировать сам владелец сайта, активно рекламируя его на посещаемых порталах.

Рис. 3 – Распространённые типы атак

Специалисты в области компьютерной безопасности выделяют несколько факторов, провоцирующих DDoS:

  • Самообразование, развлечение – начинающие взломщики могут попытаться навредить небольшому ресурсу с целью попрактиковаться в организации DDoS или проверить свои силы на деле.
  • Личные мотивы – может быть местью кому-либо или какой-нибудь организации, например, после облав на группы хакеров веб-узлы американской спецслужбы ФБР и некоторых правительственных ведомств несколько недель не функционировали.
  • Политическая акция, протест, например, против закрытия пиратских ресурсов.
  • Недобросовестная конкурентная борьба – пока сайт не функционирует, есть вероятность того, что часть его посетителей перебежит к конкуренту.
Читайте также:  Dropmefiles – обзор и подробная инструкция по использованию бесплатного файлообменнка

В последние 2 года, например, увеличилось количество атак на российские банки, дабы подорвать доверие к ним, и правительственные органы. В феврале 2017 года была успешно отражена массивная атака на машины Минздрава и госреестров.

  • Финансовая выгода – злоумышленник требует определённую пользу от владельца веб-ресурса, как правило, финансовую. Такими поступками известны группы ezBTC и RedDoor.

Сделать систему не функционирующей на протяжении определённого времени намного проще, быстрее и дешевле, чем взломать. Затруднить доступ юзеров к какому-либо сайту можно несколькими способами.

Самый распространённый алгоритм – занять всю ширину интернет-канала, чтобы запросы пользователей не могли попадать на сервер или хотя бы обрабатываться им. Для этого пишутся специальные приложения. Они открывают большое количество ложных соединений, число которых достигает максимально возможного поддерживаемого сервером, или посылают ложные запросы в огромном количестве.

SYN-флуд – переполнение вычислительных возможностей системы ложными запросами. После установки соединения система под каждый запрос выделяет определённое количество физических ресурсов сервера.

Злоумышленник отправляет пакет жертве, недожавшись ответа, изменяет свой IP-адрес и отправляет пакет данных повторно. На их обработку требуется больше времени, чем на изменения IP и отправку нового. Так исчерпывается физический ресурс сервера.

Захват аппаратных ресурсов – схож с предыдущим типом, его цель – загрузить центральный процессор жертвы на 100%.

Рис. 4 – Уровни модели OSI

HTTP и ping-флуд применяются для атаки серверов со сравнительно небольшой пропускной способностью, когда скорость интернета хакера меньше жертвы не более, чем на порядок, а то и вовсе больше.

Smurf-атака. Самый серьёзный алгоритм ввиду большой вероятности того, что в обслуживании атакованной машины будет отказано.

Недоброжелатель применяет широковещательную рассылку посредством ping-ов. После отправки поддельного пакета киберпреступник изменят свой IP на адрес атакованной системы, из-за чего та сама себе посылает ответные пакеты. Когда количество атакующих возрастает, сервер попросту не справляется с обработкой посылаемых себе запросов.

Рис. 5 – Smurf — самая мощная атака

UDP-флуд – Жертве посылаются echo-команды, IP атакующего изменяется на адрес атакованного, который вынужден принимать собственные запросы в большом количестве и так до занятия ложными ответами всей полосы.

Переполнение вычислительных мощностей – посылание запросов, которые для обработки требуют много процессорного времени. Когда ЦП будет загружен на 100%, пользователи доступ к сайту не получат.

Переполнение HDD лог-файлами. Мы говорили о влиянии квалификации системного администратора на возможность осуществления атаки на серверы, которые тот обслуживает.

Если неопытный человек не установит определённые лимиты на размер лог-файла или количество записей в нём, протоколирование многочисленных запросов займет всё дисковое пространство и выведет сервер из строя.

Недостатки кода. Профессионалы не опускаются до уровня рассылки запросов, они тщательно изучают систему жертвы и пишут эксплойты – небольшие программы, позволяющие использовать дыры системы в целях разработчика этих самых приложений. В большинстве случаев такой код провоцирует обращение к несуществующему пространству или недопустимой функции.

Атаки на кэш – подмена IP DNS-сервера на адрес жертвы. Запрос приводит не на страницу атакованного ресурса, а на сайт злоумышленника. При наличии огромного количества зомби-компьютеров они насыщают DNS-сервер запросами, ввиду чего тот не справляется с преобразованием IP в доменные имена.

  • 11
  • Layer 7 – на запрос сервер должен отправить тяжелый пакет, например, архив или pdf-файл.
  • Он предоставляет услуги всем, не спрашивая имени пользователя и цели эксплуатации сервиса.
  • Разберёмся, как это делается.
  • В большинстве ситуаций атаку заметить если и возможно, то чрезвычайно тяжело, тем более в первые ее часы.
  • Многие жертвы замечали нашествие ложных запросов на их серверы спустя несколько суток после удачной атаки или через пару недель после её завершения, когда жертва получала статистику или счёт за перерасход трафика или изрядное расширение канала.

Рис. 6 – Архитектура

  1. Для своевременного обнаружения злодеяния необходимо точно знать тип и алгоритм атаки, затем мы и рассмотрели их, пускай и очень кратко.
  2. Рядовой пользователь вряд ли сможет что-либо сделать без помощи квалифицированного специалиста со службы безопасности.
  3. Такие люди помогут выполнить пару манипуляций в настройках для отражения атаки. Средства их выявления относятся к нескольким категориям:
  • статистика – изучение активности пользователей на ресурсе;
  • сигнатуры – качественный анализ входящего и исходящего трафика;
  • комбинация первой и второй.

Предотвращение атак и борьба с преступниками осуществляется путём правильной настройки оборудования и программного обеспечения, но спасут они лишь от слабых нападок.

Да и то, порой лишь снизят эффективность атаки. Закрытие дыр в программном коде – более эффективная мера борьбы с зомби-компьютерами и сетями ботнетов.

Разберёмся, какие меры следует предпринимать при запуске сервера, создании сети и настройке ПО, чтобы избежать роли жертвы.

Выигрываем время

В зависимости от типа злодеяния различают разные алгоритмы предотвращения прерывания обслуживания.

  • Для предотвращения HTTP-флуда повышаем число одновременных соединений с базой, а если атака развивается, сбрасываем эти соединения.
  • ICMP-флуд – отключаем ответы на ICMP ECHO запросы.
  • UDP-флуд – также отключаем данный вид запросов или ограничиваем их допустимое количество.
  • SYN-флуд – если определили его наличие, уменьшаем очередь полуоткрытых соединений TCP до 1-3-х.

При наличии соответствующих навыков эти действия лишь на время понизят эффективность стараний злоумышленников, необходимое для обращения к поставщику интернет-услуг.

Рис. 7 – Как происходит ДДоС

Советы

  • Своевременное обновление ПО на сервере и движка сайта.
  • Наличие плана реагирования на появление внештатной ситуации.
  • Учёт вероятности DDoS ещё на стадии написания/заказа программного кода, его тщательное тестирование.
  • Отсутствие доступа к интерфейсу администрирования с внешней сети.
  • Эксплуатация тестов на проникновение и критические проблемы OWASP Top 10 Vulnerability.
  • Если аппаратные средства обеспечения безопасности недоступны, предусмотрите услугу программной защиты по требованию путём внесения корректировок в схему маршрутизации.
  • Эксплуатация сетей доставки контента CDN. Они позволяют распределить трафик между несколькими серверами для уменьшения таймингов и повышения скорости доступа.
  • Установка файрвола Web Application Firewall на веб-приложения, который будет мониторить трафик, приходящий на сайт, и проверять его подлинность, что с большой вероятностью исключит ложные запросы.
  • Не используем Apache. При эксплуатации Апачи устанавливайте кэширующий прокси nginx, но и он не спасёт от Slowloris – самого опасного способа DDoS. Лучше остановитесь на защищенном HTTPS-сервере.
  • Воздействие на источник проблемы. Если знаете обидчика, посредством законодательства или иных рычагов давления вынудите его прекратить противозаконные действия. Для этого даже специальные фирмы существуют.

Безопасность DNS

В случае с атакой на DNS брандмауэр не поможет, он сам является уязвимостью.

Помогут сервисы для онлайн-очистки трафика. Он перенаправляется на облачный сервис, где проверяется, а затем доходит до адресата.

Регулярная проверка серверов на наличие подозрительной активности. Коммерческие решения, вроде BIND, открывают доступ к статистике в реальном времени. Такие процедуры очень ресурсоёмкие, поэтому рекомендуется создать базовый профиль при нормальной нагрузке и сравнивать его с текущей в критические моменты. 

Активация Response Rate Limiting снизит быстроту ответа на повторяющиеся запросы. 

Развёртывание DNS на сервере HL (высокой доступности). После падения первого активируется второй. 

Рис. 8 – Принцип защиты DNS

Приведённые способы требуют вложения ресурсов, в первую очередь финансовых, и подходят не для всех случаев.

На практике более эффективно себя зарекомендовало использование распределённых сетей DNS посредством Anycast либо Unicast.

  • Anycast более надёжный за счёт использования общего IP.
  • При Unicast все серверы получают уникальные IP. За счёт этого смягчается нагрузка: после заполнения одного сервера подключается второй.

Инструменты провайдера

Все поставщики интернет-услуг имеют средства для защиты от массированных DDoS атак круглосуточно либо по требованию, а также инструменты для смягчения последствий ДДоС.

Более эффективным будет вариант размещения защищаемого IP в анализатор, в результате чего пользователь получает реальный трафик, пропущенный через сеть фильтров.

Фактически любой мало-мальски подготовленный пользователь без усилий отправит рядовой сервер в нокаут. Чтобы этого не произошло с вашим, следует соблюдать основные принципы.

Долой Windows

Самая распространённая платформа является и наиболее уязвимой. Когда число запросов растёт, Windows Server непременно начинает тормозить.

Останавливайтесь на решениях, которые работают на ядре Linux. Хакеры не столь прониклись знаниями об этой платформе.

Основным инструментом для прерывания атаки являются консольные утилиты iptables и ipset. C их помощью боты легко отправляются в бан.

Модуль testcookie

Одним из наиболее быстрых и эффективных рецептов вернуть сайт к нормальному состоянию является модуль testcookie-nginx, способный предотвратить простые атаки, разработанные начинающими программистами на C#/Java.

Его работа основывается на том, что боты в своём большинстве не обладают функцией переадресации и не используют cookies.

Модуль отслеживает мусорные запросы, ведь тело бота почти никогда (но случаи становятся всё более частыми) не несёт в себе движка JavaScript. Он становится фильтром в случае атаки Layer 7.

  • действительно ли бот является браузером, за который себя выдаёт:
  • на самом ли деле он поддерживает JS;
  • умеет ли тот переадресовывать.

Рис. 9 – Алгоритм работы testcookies

Способов проверки несколько и для их всех задействуются cookies, которые в последней версии еще и шифруются посредством AES-128 при необходимости. Также cookies может инсталлироваться через Flash, который боты не поддерживают.

Инструмент распространяется бесплатно и поставляется с файлами конфигурации для различных случаев.

Источник: https://ddr64.ru/Zaschita_ot_DDoS__kak_svoimi_silami_otbity_ataku_____rukovodstvo/

Ссылка на основную публикацию