Ochrona DDOS (DDOS Protection)

Atak DDoS polega na przeprowadzeniu ataku jednocześnie z wielu miejsc w tym samym czasie (z wielu komputerów). Atak taki przeprowadzany jest głównie z komputerów, nad którymi przejęto kontrolę, przy użyciu specjalnego oprogramowania
Pełny artykuł na DDOS Protection ...

Pokaż filtr
Hosting Filters
Host Me Host Filter

System operacyjny

Miejsca na dysku

Pamięć RAM

Typ dysku

Rdzenie procesora

Sortować


 

ddos

 

 

Ataki DDoS (zwane rozproszoną odmową usługi, w wolnym tłumaczeniu: rozproszona odmowa usługi) należą do najczęstszych ataków hakerów, które są skierowane na systemy komputerowe lub usługi sieciowe i mają na celu zajęcie wszystkich dostępnych i wolnych zasobów w celu uniemożliwić funkcjonowanie całej usługi w Internecie (np. Twoja strona internetowa i hostowana poczta elektroniczna).

 

Co to jest atak DDoS?

 

Atak DDoS polega na przeprowadzeniu ataku jednocześnie z wielu miejsc w tym samym czasie (z wielu komputerów). Atak taki przeprowadzany jest głównie z komputerów, nad którymi przejęto kontrolę, przy użyciu specjalnego oprogramowania (np. Botów i trojanów). Oznacza to, że właściciele tych komputerów mogą nawet nie wiedzieć, że ich komputer, laptop lub inne urządzenie podłączone do sieci może być po prostu użyte bez ich wiedzy do przeprowadzenia ataku DDoS.

 

Atak DDoS rozpoczyna się, gdy wszystkie zaatakowane komputery zaczynają jednocześnie atakować usługę internetową lub system ofiary. Cel ataku DDoS jest następnie zalewany fałszywymi próbami skorzystania z usług (np. Mogą to być próby wywołania strony internetowej lub inne żądania).

 

Dlaczego atak DDoS powoduje przerwy w świadczeniu usług?

 

Każda próba skorzystania z usługi (np. Próba wywołania strony internetowej) wymaga od zaatakowanego komputera przydzielenia odpowiednich zasobów do obsługi tego żądania (np. Procesor, pamięć, przepustowość sieci), co przy bardzo dużej liczbie takich żądań prowadzi do wyczerpanie dostępnych zasobów, aw konsekwencji przerwa w działaniu, a nawet zawieszenie zaatakowanego systemu.

 

 

ddos

 

 

Jak uchronić się przed atakami DDoS?

 

Ataki DDoS są obecnie najbardziej prawdopodobnym zagrożeniem dla firm działających w sieci, a ich konsekwencje wykraczają poza obszar IT, ale również powodują realne, wymierne straty finansowe i wizerunkowe. Ataki tego typu nieustannie ewoluują i stają się coraz bardziej precyzyjne. Ich celem jest wykorzystanie wszystkich dostępnych zasobów infrastruktury sieciowej lub łącza internetowego.

 

W Internecie można znaleźć oferty ochrony przed atakami DDoS. Najczęściej aktywacja takiej ochrony przed atakami DDoS odbywa się poprzez zmianę rekordów DNS, co spowoduje skierowanie całego ruchu HTTP / HTTPS przez warstwę filtrującą, w której przeprowadzana jest szczegółowa inspekcja każdego pakietu i zapytania.

 

Wówczas zaawansowane algorytmy oraz odpowiednio zdefiniowane reguły odfiltrowują błędne pakiety i próby ataków, dzięki czemu na serwer trafia tylko czysty ruch. Firmy chroniące przed atakami DDoS mają lokalizacje w różnych częściach świata, dzięki czemu mogą skutecznie blokować ataki u źródła, a także obsługiwać statyczne dane z najbliższego centrum danych, skracając tym samym czas ładowania strony.

 

Atak DDoS i szantażowanie go to przestępstwo

 

Zagrożenie atakiem DDoS jest czasami wykorzystywane do szantażu firm, np. serwisy aukcyjne, firmy maklerskie itp., w których przerwanie systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów. W takich przypadkach osoby stojące za atakiem żądają okupu za anulowanie lub zatrzymanie ataku. Taki szantaż to przestępstwo.

 

 

What-is-a-DDoS-attack

 

 

Jak chronić się przed atakami DoS / DDoS

 

Mówiąc prościej, ataki DoS są formą złośliwej aktywności, której celem jest doprowadzenie systemu komputerowego do punktu, w którym nie może on służyć uprawnionym użytkownikom lub prawidłowo wykonywać zamierzonych funkcji. Błędy w oprogramowaniu (oprogramowaniu) lub nadmierne obciążenie kanału sieciowego lub systemu jako całości zwykle prowadzą do stanu „odmowy usługi”. W rezultacie oprogramowanie lub cały system operacyjny komputera „zawiesza się” lub znajduje się w stanie „zapętlenia”. A to grozi przestojami, utratą gości / klientów i stratami.

 

Anatomia ataku DoS

 

Ataki DoS są klasyfikowane jako lokalne i zdalne. Do lokalnych exploitów należą różne exploity, bomby widłowe i programy, które za każdym razem otwierają milion plików lub uruchamiają algorytm cykliczny, który pochłania zasoby pamięci i procesora. Nie będziemy się nad tym rozwodzić. Przyjrzyjmy się bliżej zdalnym atakom DoS. Są podzielone na dwa typy:


  1. Zdalne wykorzystywanie błędów oprogramowania w celu unieruchomienia go.


  1. Flood - wysyłanie ogromnej liczby bezsensownych (rzadziej znaczących) pakietów na adres ofiary. Celem powodzi może być kanał komunikacyjny lub zasoby maszynowe. W pierwszym przypadku strumień pakietów zajmuje całą przepustowość i nie daje zaatakowanej maszynie możliwości przetwarzania uzasadnionych żądań. W drugim przypadku zasoby maszyny są przechwytywane przez powtarzające się i bardzo częste wywołania dowolnej usługi, która wykonuje złożoną operację wymagającą dużych zasobów. Może to być na przykład długie wywołanie jednego z aktywnych składników (skryptu) serwera WWW. Serwer zużywa wszystkie zasoby maszyny na przetwarzanie żądań atakującego, a użytkownicy muszą czekać.

 

W tradycyjnej wersji (jeden napastnik - jedna ofiara) skuteczny jest teraz tylko pierwszy typ ataków. Klasyczna powódź jest bezużyteczna. Tylko dlatego, że przy dzisiejszej przepustowości serwerów, poziomie mocy obliczeniowej i powszechnym stosowaniu różnych technik anty-DoS w oprogramowaniu (na przykład opóźnienia, gdy ten sam klient wielokrotnie wykonuje te same czynności), atakujący zamienia się w irytującego komara, który jest nie był w stanie wyrządzić żadnej szkody i nie było żadnych szkód.

 

Ale jeśli są setki, tysiące, a nawet setki tysięcy tych komarów, mogą z łatwością postawić serwer na łopatkach. Tłum jest straszną siłą nie tylko w życiu, ale także w świecie komputerów. Rozproszony atak typu „odmowa usługi” (DDoS), zwykle przeprowadzany przy użyciu wielu zombie, może odciąć nawet najtrudniejszy serwer od świata zewnętrznego.

 

Metody kontroli

 

Niebezpieczeństwo większości ataków DDoS polega na ich całkowitej przejrzystości i „normalności”. W końcu, jeśli błąd oprogramowania można zawsze naprawić, to całkowite zużycie zasobów jest prawie powszechnym zjawiskiem. Wielu administratorów mierzy się z nimi, gdy zasoby maszynowe (przepustowość) stają się niewystarczające lub witryna cierpi na efekt Slashdot (serwis twitter.com stał się niedostępny w ciągu kilku minut po pierwszych wiadomościach o śmierci Michaela Jacksona). A jeśli zmniejszysz ruch i zasoby dla wszystkich z rzędu, zostaniesz uratowany przed atakami DDoS, ale stracisz dobrą połowę klientów.

 

 

What-is-a-DDoS-attack

 

 

Praktycznie nie ma wyjścia z tej sytuacji, ale konsekwencje ataków DDoS i ich skuteczność można znacznie zmniejszyć poprzez odpowiednią konfigurację routera, firewalla i ciągłą analizę anomalii w ruchu sieciowym. W następnej części artykułu przyjrzymy się:


  • sposoby rozpoznawania rozpoczynającego się ataku DDoS;

  • metody radzenia sobie z określonymi typami ataków DDoS;

  • ogólne porady, które pomogą Ci przygotować się na atak DoS i zmniejszyć jego skuteczność.

 

Na sam koniec odpowiedź zostanie udzielona na pytanie: co zrobić, gdy rozpoczął się atak DDoS.

 

Walcz z atakami powodzi

 

Istnieją więc dwa rodzaje ataków DoS / DDoS, a najczęstszy z nich opiera się na idei flooding, czyli zalewania ofiary ogromną liczbą pakietów. Flood jest inny: powódź ICMP, powódź SYN, powódź UDP i powódź HTTP. Współczesne boty DoS potrafią używać wszystkich tego typu ataków jednocześnie, dlatego warto wcześniej zadbać o odpowiednią ochronę przed każdym z nich. Przykład obrony przed najpopularniejszymi typami ataków.

 

Powódź HTTP

 

Jedna z najbardziej rozpowszechnionych obecnie metod zalewania. Opiera się na niekończącym się wysyłaniu wiadomości HTTP GET na porcie 80 w celu załadowania serwera internetowego, aby nie był w stanie przetworzyć wszystkich innych żądań. Często celem powodzi nie jest katalog główny serwera WWW, ale jeden ze skryptów, które wykonują zadania wymagające dużej ilości zasobów lub pracują z bazą danych. W każdym razie nienormalnie szybki wzrost dzienników serwera WWW będzie służył jako wskaźnik rozpoczętego ataku.

 

Metody radzenia sobie z zalewaniem HTTP obejmują strojenie serwera WWW i bazy danych w celu złagodzenia skutków ataku, a także odfiltrowywanie botów DoS przy użyciu różnych technik. Najpierw należy jednocześnie zwiększyć maksymalną liczbę połączeń z bazą danych. Po drugie, zainstaluj lekki i wydajny nginx przed serwerem WWW Apache - będzie buforował żądania i obsługiwał statyczne. To obowiązkowe rozwiązanie, które nie tylko ograniczy efekt ataków DoS, ale także pozwoli serwerowi wytrzymać ogromne obciążenia.

 

W razie potrzeby możesz skorzystać z modułu nginx, który ogranicza liczbę jednoczesnych połączeń z jednego adresu. Skrypty wymagające dużej ilości zasobów można chronić przed botami za pomocą opóźnień, przycisków „Kliknij mnie”, ustawiania plików cookie i innych sztuczek mających na celu sprawdzenie „człowieczeństwa”.

 

Uniwersalne wskazówki

 

Aby nie wpaść w beznadziejną sytuację podczas załamania się burzy DDoS na systemy, należy je starannie przygotować na taką sytuację:


  • Wszystkie serwery z bezpośrednim dostępem do sieci zewnętrznej muszą być przygotowane na szybki i łatwy zdalny restart. Dużym plusem będzie obecność drugiego, administracyjnego interfejsu sieciowego, przez który można uzyskać dostęp do serwera w przypadku zatkania kanału głównego.


  • Oprogramowanie używane na serwerze musi być zawsze aktualne. Wszystkie dziury są załatane, aktualizacje są zainstalowane (proste jak rozruch, rada, której wielu nie przestrzega). To ochroni Cię przed atakami DoS, które wykorzystują błędy w usługach.


  • Wszystkie nasłuchujące usługi sieciowe przeznaczone do użytku administracyjnego muszą być ukryte przez zaporę ogniową przed każdym, kto nie powinien mieć do nich dostępu. Wówczas atakujący nie będzie mógł ich użyć do ataków DoS lub ataków siłowych.


  • Przy podejściu do serwera (najbliższego routera) należy zainstalować system analizy ruchu, który pozwoli na szybkie rozpoznanie trwającego ataku i podjęcie w odpowiednim czasie działań zapobiegających mu.

 

Należy zauważyć, że wszystkie techniki mają na celu zmniejszenie skuteczności ataków DDoS, które mają na celu wykorzystanie zasobów maszyny. Prawie niemożliwe jest obronienie się przed powodzią, która zatyka kanał gruzem, a jedynym słusznym, ale nie zawsze wykonalnym sposobem walki jest „pozbawienie znaczenia ataku”. Jeśli masz do dyspozycji naprawdę szeroki kanał, który z łatwością pozwoli na ruch z małego botnetu, weź pod uwagę, że Twój serwer jest chroniony przed 90% ataków.

 

Jest bardziej wyrafinowana obrona. Opiera się na organizacji rozproszonej sieci komputerowej, która obejmuje wiele redundantnych serwerów podłączonych do różnych sieci szkieletowych. W przypadku wyczerpania mocy obliczeniowej lub przepustowości kanału wszyscy nowi klienci są przekierowywani na inny serwer lub stopniowo. "

 

Innym mniej lub bardziej skutecznym rozwiązaniem jest zakup systemów sprzętowych. Działając w tandemie, mogą stłumić początkowy atak, ale jak większość innych rozwiązań opartych na uczeniu się i analizie stanu zawodzą.

 

Wygląda na to, że się zaczęło. Co robić?

 

Przed natychmiastowym rozpoczęciem ataku boty „rozgrzewają się”, stopniowo zwiększając przepływ pakietów do atakowanej maszyny. Ważne jest, aby wykorzystać chwilę i zacząć działać. Pomoże w tym stały monitoring routera podłączonego do sieci zewnętrznej. Na serwerze ofiary możesz określić początek ataku za pomocą dostępnych środków.