DOS और DDoS हमले: अवधारणा, प्रकार, पता लगाने और सुरक्षा के तरीके। DDoS हमले: हमला और बचाव DDoS हमले शुरू करने के लिए तंत्र क्या हैं

सेवा हमलों से वितरित इनकार, या संक्षेप में DDoS, एक सामान्य घटना बन गई है और दुनिया भर के इंटरनेट संसाधन मालिकों के लिए एक बड़ा सिरदर्द बन गई है। यही कारण है कि आज किसी वेबसाइट पर DDoS हमलों से सुरक्षा एक अतिरिक्त विकल्प नहीं है, बल्कि उन लोगों के लिए एक शर्त है जो डाउनटाइम, भारी नुकसान और क्षतिग्रस्त प्रतिष्ठा से बचना चाहते हैं।

हम आपको विस्तार से बताएंगे कि यह बीमारी क्या है और इससे खुद को कैसे बचाएं।

DDoS क्या है

डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस या "डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस" एक सूचना प्रणाली पर एक हमला है ताकि यह उपयोगकर्ता के अनुरोधों को संसाधित करने में असमर्थ हो। सरल शब्दों में, DDoS में एक वेब संसाधन या सर्वर पर बड़ी संख्या में स्रोतों से ट्रैफ़िक आना शामिल है, जिससे यह अनुपलब्ध हो जाता है। अक्सर ऐसा हमला किसी बड़ी कंपनी या सरकारी संगठन में नेटवर्क संसाधनों के संचालन में रुकावट पैदा करने के लिए किया जाता है

DDoS हमला एक अन्य सामान्य वेब खतरे, डिनायल ऑफ सर्विस (DoS) के समान है। अंतर केवल इतना है कि एक विशिष्ट वितरित हमला एक बिंदु से आता है, जबकि डीडीओएस हमला अधिक व्यापक होता है और विभिन्न स्रोतों से आता है।

DDoS हमले का मुख्य लक्ष्य किसी वेब साइट के संचालन को अवरुद्ध करके उसे आगंतुकों के लिए दुर्गम बनाना है। लेकिन कई बार ऐसे हमले अन्य हानिकारक प्रभावों से ध्यान भटकाने के लिए भी किए जाते हैं। उदाहरण के लिए, DDoS हमला तब किया जा सकता है जब किसी संगठन के डेटाबेस पर कब्ज़ा करने के लिए सुरक्षा प्रणाली का उल्लंघन किया जाता है।

DDoS हमले 1999 में लोगों के ध्यान में आए, जब बड़ी कंपनियों (याहू, ईबे, अमेज़ॅन, सीएनएन) की वेबसाइटों पर हमलों की एक श्रृंखला हुई। तब से, इस प्रकार का साइबर अपराध एक वैश्विक खतरे के रूप में विकसित हो गया है। विशेषज्ञों के अनुसार, हाल के वर्षों में उनकी आवृत्ति 2.5 गुना बढ़ गई है, और अधिकतम शक्ति 1 Tbit/sec से अधिक होने लगी है। हर छठी रूसी कंपनी कम से कम एक बार DDoS हमले का शिकार बनी है। 2020 तक इनकी कुल संख्या 17 मिलियन तक पहुंच जाएगी.

सबसे परिष्कृत DDoS हमलों से 24/7 सुरक्षा वाला एक होस्टिंग प्लेटफ़ॉर्म।

DDoS हमलों के कारण

1. व्यक्तिगत शत्रुता.यह अक्सर हमलावरों को निगमों या सरकारी कंपनियों पर हमला करने के लिए प्रोत्साहित करता है। उदाहरण के लिए, 1999 में, एफबीआई की वेब साइटों पर हमला किया गया, जिसके कारण वे कई हफ्तों तक बंद रहीं। ऐसा इसलिए हुआ क्योंकि FBI ने हैकर्स पर बड़े पैमाने पर छापेमारी शुरू की थी.
2. राजनीतिक विरोध.आमतौर पर, ऐसे हमले हैक्टिविस्टों द्वारा किए जाते हैं - नागरिक विरोध पर कट्टरपंथी विचारों वाले आईटी विशेषज्ञ। एक प्रसिद्ध उदाहरण 2007 में एस्टोनियाई सरकारी एजेंसियों पर साइबर हमलों की एक श्रृंखला है। उनका संभावित कारण तेलिन में सैनिक-मुक्तिदाता के स्मारक के विध्वंस की संभावना थी।
3. मनोरंजन।आज, अधिक से अधिक लोग DDoS में रुचि रखते हैं और इस पर अपना हाथ आज़माना चाहते हैं। नौसिखिया हैकर अक्सर मनोरंजन के लिए हमले शुरू करते हैं।
4. जबरन वसूली और ब्लैकमेल.हमला शुरू करने से पहले, हैकर संसाधन के मालिक से संपर्क करता है और फिरौती की मांग करता है।
5. प्रतियोगिता।अपने प्रतिस्पर्धियों को प्रभावित करने के लिए किसी बेईमान कंपनी से DDoS हमलों का आदेश दिया जा सकता है।

संभावित पीड़ित कौन हैं?

DDoS सामान्य ब्लॉग से लेकर सबसे बड़े निगमों, बैंकों और अन्य वित्तीय संस्थानों तक किसी भी आकार की साइटों को नष्ट कर सकता है।

कैस्परस्की लैब द्वारा किए गए शोध के अनुसार, एक हमले में एक फर्म को 1.6 मिलियन डॉलर तक का नुकसान हो सकता है। यह गंभीर क्षति है, क्योंकि हमला किए गए वेब संसाधन को कुछ समय तक सेवा नहीं दी जा सकती, जिससे डाउनटाइम हो सकता है।

अक्सर, वेबसाइटें और सर्वर DDoS हमलों से पीड़ित होते हैं:

• बड़ी कंपनियाँ और सरकारी एजेंसियाँ;
• वित्तीय संस्थान (बैंक, प्रबंधन कंपनियां);
• कूपन सेवाएँ;
• चिकित्सा संस्थान;
• भुगतान प्रणाली;
• मीडिया और सूचना एग्रीगेटर्स;
• ऑनलाइन स्टोर और ई-कॉमर्स व्यवसाय;
• ऑनलाइन गेम और गेमिंग सेवाएँ;
• क्रिप्टोकरेंसी एक्सचेंज।

कुछ समय पहले, इंटरनेट से जुड़े उपकरण, जिन्हें सामूहिक रूप से "इंटरनेट ऑफ थिंग्स" (IoT) कहा जाता था, को DDoS हमलों के लगातार पीड़ितों की दुखद सूची में जोड़ा गया था। इस क्षेत्र में सबसे बड़ी वृद्धि की गतिशीलता बड़े स्टोरों या शॉपिंग सेंटरों के ऑनलाइन कैश रजिस्टर को बाधित करने के उद्देश्य से साइबर हमलों द्वारा दिखाई गई है।

संचालन का तंत्र

सभी वेब सर्वरों के पास एक साथ संसाधित किए जा सकने वाले अनुरोधों की संख्या की अपनी सीमाएं होती हैं। इसके अलावा, नेटवर्क और सर्वर को जोड़ने वाले चैनल की बैंडविड्थ पर भी एक सीमा होती है। इन प्रतिबंधों से बचने के लिए, हमलावर दुर्भावनापूर्ण सॉफ़्टवेयर युक्त एक कंप्यूटर नेटवर्क बनाते हैं, जिसे "बॉटनेट" या "ज़ोंबी नेटवर्क" कहा जाता है।

बॉटनेट बनाने के लिए, साइबर अपराधी ईमेल न्यूज़लेटर्स, सोशल नेटवर्क या वेबसाइटों के माध्यम से ट्रोजन वितरित करते हैं। बॉटनेट में शामिल कंप्यूटरों का एक दूसरे से कोई भौतिक संबंध नहीं होता है। वे केवल हैकर मालिक के लक्ष्यों को "सेवा" करके एकजुट होते हैं।

DDoS हमले के दौरान, एक हैकर "संक्रमित" ज़ोंबी कंप्यूटरों को कमांड भेजता है, और वे हमला शुरू करते हैं। बॉटनेट भारी मात्रा में ट्रैफ़िक उत्पन्न करते हैं जो किसी भी सिस्टम को ओवरलोड कर सकते हैं। DDoS के लिए मुख्य "ऑब्जेक्ट्स" आमतौर पर सर्वर बैंडविड्थ, DNS सर्वर और इंटरनेट कनेक्शन ही होते हैं।

DDoS हमले के संकेत

जब हमलावरों की हरकतें अपने लक्ष्य को प्राप्त कर लेती हैं, तो इसे सर्वर या वहां होस्ट किए गए संसाधन के संचालन में विफलताओं द्वारा तुरंत निर्धारित किया जा सकता है। लेकिन ऐसे कई अप्रत्यक्ष संकेत हैं जिनके द्वारा आप शुरुआत में ही DDoS हमले के बारे में पता लगा सकते हैं।

• सर्वर सॉफ़्टवेयर और OS बार-बार प्रारंभ होते हैं और स्पष्ट रूप से असफल- फ़्रीज़ करना, गलत तरीके से बंद करना, आदि।
हार्डवेयर क्षमतासर्वर, जो दैनिक औसत से बिल्कुल अलग है।
• तेजी से बढ़ना आने वालीट्रैफ़िकएक या अनेक बंदरगाहों में.
• बार बार एक ही प्रकार की दोहराई गई क्रियाएँएक संसाधन पर ग्राहक (किसी वेबसाइट पर जाना, फ़ाइल अपलोड करना)।
• किसी सर्वर, फ़ायरवॉल या नेटवर्क डिवाइस के लॉग (उपयोगकर्ता कार्यों के लॉग) का विश्लेषण करते समय, यह पता चला अनेक अनुरोधविभिन्न स्रोतों से एक ही प्रकार एक कोबंदरगाह या सेवा. यदि अनुरोधों का श्रोता साइट या सेवा के लक्ष्य से बहुत भिन्न है तो आपको विशेष रूप से सावधान रहना चाहिए।

DDoS हमलों के प्रकारों का वर्गीकरण

प्रोटोकॉल आक्रामक (परिवहन परत)

DDoS हमले का लक्ष्य सर्वर या वेब संसाधन की नेटवर्क परत है, इसलिए इसे अक्सर नेटवर्क परत या ट्रांसपोर्ट परत हमला कहा जाता है। इसका उद्देश्य लॉग-आधारित फ़ायरवॉल, सेंट्रल नेटवर्क या लोड बैलेंसिंग सिस्टम पर टेबल स्पेस कंजेशन पैदा करना है।

ट्रांसपोर्ट लेयर पर सबसे आम DDoS विधि है नेटवर्क बाढ़, विभिन्न स्तरों पर डमी अनुरोधों की एक विशाल धारा तैयार करना जिसे प्राप्तकर्ता नोड भौतिक रूप से संभाल नहीं सकता है।

आमतौर पर, एक नेटवर्क सेवा FIFO नियम का उपयोग करती है, जिसका अर्थ है कि कंप्यूटर तब तक दूसरे अनुरोध की सेवा के लिए आगे नहीं बढ़ता है जब तक कि वह पहले अनुरोध को संसाधित नहीं कर लेता। लेकिन किसी हमले के दौरान अनुरोधों की संख्या इतनी बढ़ जाती है कि डिवाइस के पास पहले अनुरोध को पूरा करने के लिए पर्याप्त संसाधन नहीं रह जाते हैं। परिणामस्वरूप, बाढ़ बैंडविड्थ को यथासंभव संतृप्त कर देती है और सभी संचार चैनलों को पूरी तरह से अवरुद्ध कर देती है।

नेटवर्क बाढ़ के सामान्य प्रकार

• HTTP बाढ़- नियमित या एन्क्रिप्टेड HTTP संदेशों का एक समूह आक्रमणकारी सर्वर पर भेजा जाता है, जिससे संचार नोड्स अवरुद्ध हो जाते हैं।
• आईसीएमपी बाढ़- हमलावर का बॉटनेट पीड़ित की होस्ट मशीन को सेवा अनुरोधों से ओवरलोड कर देता है, जिसके लिए वह इको प्रतिक्रियाएँ प्रदान करने के लिए बाध्य होता है। इस प्रकार के आक्रमण का एक विशेष उदाहरण है पीबाढ़या स्मर्फ हमला, जब संचार चैनल नेटवर्क नोड की उपलब्धता की जांच करने के लिए उपयोग किए जाने वाले पिंग अनुरोधों से भरे होते हैं। यह ICMP बाढ़ के खतरे के कारण ही है कि सिस्टम प्रशासक अक्सर फ़ायरवॉल का उपयोग करके ICMP अनुरोध करने की क्षमता को पूरी तरह से अवरुद्ध कर देते हैं।
• SYN बाढ़- हमला टीसीपी प्रोटोकॉल के बुनियादी तंत्रों में से एक को प्रभावित करता है, जिसे "ट्रिपल हैंडशेक" सिद्धांत (अनुरोध-प्रतिक्रिया एल्गोरिथ्म: SYN पैकेट - SYN-ACK पैकेट - ACK पैकेट) के रूप में जाना जाता है। पीड़ित पर बिना किसी प्रतिक्रिया के फर्जी SYN अनुरोधों की बाढ़ आ जाती है। उपयोगकर्ता का चैनल प्रतिक्रिया ACK पैकेट की प्रतीक्षा कर रहे आउटगोइंग कनेक्शन से टीसीपी कनेक्शन की कतार से भरा हुआ है।
• यूडीपी बाढ़- पीड़ित की होस्ट मशीन के यादृच्छिक पोर्ट यूडीपी पैकेटों से भर जाते हैं, जिनकी प्रतिक्रियाएँ नेटवर्क संसाधनों को अधिभारित करती हैं। DNS सर्वर पर निर्देशित एक प्रकार की UDP बाढ़ कहलाती है डीएनएस बाढ़.
• मैक बाढ़- लक्ष्य नेटवर्क उपकरण है जिसके पोर्ट विभिन्न मैक पते वाले "खाली" पैकेटों की धाराओं से भरे हुए हैं। इस प्रकार के DDoS हमलों से बचाने के लिए, वैधता की जांच करने और MAC पते को फ़िल्टर करने के लिए नेटवर्क स्विच कॉन्फ़िगर किए गए हैं।

अनुप्रयोग परत आक्रमण (बुनियादी ढाँचा परत)

इस भिन्नता का उपयोग तब किया जाता है जब हार्डवेयर संसाधनों को जब्त करना या अक्षम करना आवश्यक होता है। "हमलावरों" का लक्ष्य भौतिक और रैम या प्रोसेसर समय दोनों हो सकता है।

बैंडविड्थ को ओवरलोड करने की कोई आवश्यकता नहीं है. यह केवल पीड़ित के प्रोसेसर को ओवरलोड करने या दूसरे शब्दों में, प्रक्रिया के पूरे समय को लेने के लिए पर्याप्त है।

एप्लिकेशन-स्तरीय DDoS हमलों के प्रकार

• प्रेषण "भारीएक्स"संकुल, सीधे प्रोसेसर पर आ रहा है। डिवाइस जटिल गणनाओं का सामना नहीं कर पाता है और विफल होने लगता है, जिससे आगंतुकों को साइट तक पहुंचने से रोका जा सकता है।
• एक स्क्रिप्ट का उपयोग करके, सर्वर भर जाता है "कचरा" सामग्री- लॉग फ़ाइलें, "उपयोगकर्ता टिप्पणियाँ", आदि। यदि सिस्टम प्रशासक ने सर्वर पर कोई सीमा निर्धारित नहीं की है, तो एक हैकर फ़ाइलों के विशाल बैच बना सकता है जो पूरी हार्ड ड्राइव को भर देगा।
• के साथ समस्याएं कोटा प्रणाली. कुछ सर्वर बाहरी प्रोग्रामों के साथ संचार करने के लिए CGI इंटरफ़ेस (कॉमन गेटवे इंटरफ़ेस) का उपयोग करते हैं। सीजीआई तक पहुंच प्राप्त करते समय, एक हमलावर अपनी स्क्रिप्ट लिख सकता है, जो कुछ संसाधनों का उपयोग करेगा, उदाहरण के लिए, प्रोसेसर समय, उसके हितों में।
• अपूर्ण जांचआगंतुक डेटा. इससे प्रोसेसर संसाधनों का लंबे समय तक या यहां तक ​​कि अंतहीन उपयोग होता है जब तक कि वे समाप्त नहीं हो जाते।
• दूसरे प्रकार का आक्रमण. यह सुरक्षा प्रणाली में एक गलत अलार्म का कारण बनता है, जो बाहरी दुनिया से संसाधन को स्वचालित रूप से बंद कर सकता है।

अनुप्रयोग स्तर पर हमले

एप्लिकेशन-स्तरीय DDoS हमला प्रोग्राम कोड के निर्माण में चूक का लाभ उठाता है, जो सॉफ़्टवेयर को बाहरी प्रभाव के प्रति संवेदनशील बनाता है। इस प्रकार में "पिंग ऑफ़ डेथ" जैसा सामान्य हमला शामिल है - पीड़ित के कंप्यूटर पर बड़े पैमाने पर लंबे ICMP पैकेट भेजना, जिससे बफर ओवरफ़्लो होता है।

लेकिन पेशेवर हैकर शायद ही कभी बैंडविड्थ चैनलों को ओवरलोड करने जैसी सरल विधि का सहारा लेते हैं। बड़ी कंपनियों के जटिल सिस्टम पर हमला करने के लिए, वे सर्वर की सिस्टम संरचना को पूरी तरह से समझने की कोशिश करते हैं और एक शोषण लिखते हैं - एक प्रोग्राम, कमांड की श्रृंखला या प्रोग्राम कोड का हिस्सा जो पीड़ित के सॉफ़्टवेयर की भेद्यता को ध्यान में रखता है और हमला करने के लिए उपयोग किया जाता है कंप्यूटर।

डीएनएस हमले

1. पहले समूह का लक्ष्य है भेद्यताऔर मेंद्वाराडीएनएस सर्वर. इनमें जीरो-डे अटैक और फास्ट फ्लक्स डीएनएस जैसे सामान्य प्रकार के साइबर अपराध शामिल हैं।
   सबसे सामान्य प्रकार के DNS हमलों में से एक को DNS-स्पूफिंग कहा जाता है। इस प्रक्रिया के दौरान, हमलावर सर्वर कैश में आईपी एड्रेस को बदल देते हैं, और उपयोगकर्ता को एक नकली पेज पर रीडायरेक्ट कर देते हैं। संक्रमण के दौरान, अपराधी उपयोगकर्ता के व्यक्तिगत डेटा तक पहुंच प्राप्त कर लेता है और अपने लाभ के लिए इसका उपयोग कर सकता है। उदाहरण के लिए, 2009 में DNS रिकॉर्ड स्पूफिंग के कारण उपयोगकर्ता एक घंटे तक ट्विटर तक नहीं पहुंच पाए थे। यह हमला राजनीतिक था. हमलावरों ने सोशल नेटवर्क के मुख्य पृष्ठ पर अमेरिकी आक्रामकता से संबंधित ईरानी हैकरों की चेतावनियां स्थापित कीं
2. दूसरा समूह DDoS हमले हैं, जो आगे बढ़ते हैं डीएनएस निष्क्रियता-सर्वर. यदि वे विफल हो जाते हैं, तो उपयोगकर्ता वांछित पृष्ठ तक नहीं पहुंच पाएगा, क्योंकि ब्राउज़र को किसी विशेष साइट के लिए विशिष्ट आईपी पता नहीं मिलेगा।

DDoS हमलों से बचाव और सुरक्षा

कोरेरो नेटवर्क सिक्योरिटी के अनुसार, दुनिया की सभी कंपनियों में से ⅔ से अधिक कंपनियों पर हर महीने एक्सेस हमलों से इनकार किया जाता है। इसके अलावा, उनकी संख्या 50 तक पहुंच जाती है।

जो वेबसाइट मालिक DDoS हमलों से सर्वर सुरक्षा प्रदान नहीं करते हैं, उन्हें न केवल भारी नुकसान हो सकता है, बल्कि ग्राहकों के विश्वास के साथ-साथ बाजार में प्रतिस्पर्धात्मकता में भी कमी आ सकती है।

DDoS हमलों से बचाव का सबसे प्रभावी तरीका प्रदाता द्वारा उच्च-बैंडविड्थ इंटरनेट चैनलों पर स्थापित फ़िल्टर हैं। वे सभी ट्रैफ़िक का लगातार विश्लेषण करते हैं और संदिग्ध नेटवर्क गतिविधि या त्रुटियों की पहचान करते हैं। फ़िल्टर को राउटर स्तर पर और विशेष हार्डवेयर उपकरणों का उपयोग करके स्थापित किया जा सकता है।

बचाव के तरीके

1. सॉफ़्टवेयर लिखने के चरण में भी, आपको साइट की सुरक्षा के बारे में सोचने की ज़रूरत है। अच्छी तरह से सॉफ़्टवेयर की जाँच करेंत्रुटियों और कमजोरियों के लिए.
2. नियमित रूप से सॉफ़्टवेयर अद्यतन करें, और समस्या आने पर पुराने संस्करण पर लौटने की क्षमता भी प्रदान करता है।
3. अनुसरण करना पहुंच प्रतिबंध. प्रशासन से संबंधित सेवाओं को तीसरे पक्ष की पहुंच से पूरी तरह बंद किया जाना चाहिए। अपने व्यवस्थापक खाते को मजबूत पासवर्ड से सुरक्षित रखें और उन्हें बार-बार बदलें। नौकरी छोड़ने वाले कर्मचारियों के खाते तुरंत हटा दें।
4. तक पहुंच व्यवस्थापक इंटरफ़ेसइसे विशेष रूप से आंतरिक नेटवर्क से या वीपीएन के माध्यम से किया जाना चाहिए।
5. के लिए सिस्टम को स्कैन करें कमजोरियों की उपस्थिति. सबसे खतरनाक कमजोरियाँ नियमित रूप से आधिकारिक OWASP टॉप 10 रेटिंग द्वारा प्रकाशित की जाती हैं।
6. आवेदन करना एप्लिकेशन फ़ायरवॉल- WAF (वेब ​​​​एप्लिकेशन फ़ायरवॉल)। यह प्रेषित ट्रैफ़िक की समीक्षा करता है और अनुरोधों की वैधता की निगरानी करता है।
7. उपयोग सीडीएन(सामग्री वितरण प्रसार)। यह एक सामग्री वितरण नेटवर्क है जो वितरित नेटवर्क का उपयोग करके संचालित होता है। ट्रैफ़िक को कई सर्वरों पर क्रमबद्ध किया जाता है, जिससे विज़िटर के पहुंचने पर विलंबता कम हो जाती है।
8. आने वाले ट्रैफ़िक को नियंत्रित करें अभिगम नियंत्रण सूचियाँ (एसीएल), जो उन लोगों की सूची को इंगित करेगा जिनके पास ऑब्जेक्ट (प्रोग्राम, प्रक्रिया या फ़ाइल) तक पहुंच है, साथ ही उनकी भूमिकाएं भी हैं।
9. कर सकना यातायात अवरुद्ध करें, जो हमलावर उपकरणों से आता है। यह दो तरीकों से किया जाता है: फ़ायरवॉल या एसीएल का उपयोग करना। पहले मामले में, एक विशिष्ट प्रवाह अवरुद्ध हो जाता है, लेकिन स्क्रीन "सकारात्मक" ट्रैफ़िक को "नकारात्मक" ट्रैफ़िक से अलग नहीं कर सकती। और दूसरे में छोटे-मोटे प्रोटोकॉल को फ़िल्टर किया जाता है। इसलिए, यदि हैकर प्राथमिकता वाले प्रश्नों का उपयोग करता है तो यह उपयोगी नहीं होगा।
10. डीएनएस स्पूफिंग से खुद को बचाने के लिए, आपको समय-समय पर इसकी आवश्यकता होती है डीएनएस कैश साफ़ करें.
11. उपयोग स्पैम बॉट से सुरक्षा- कैप्चा, फॉर्म भरने के लिए "मानव" समय सीमा, रीकैप्चा ("मैं रोबोट नहीं हूं" चेक करें), आदि।
12. उलटा हमला. सभी दुर्भावनापूर्ण ट्रैफ़िक को हमलावर पर पुनर्निर्देशित किया जाता है। यह न केवल किसी हमले को विफल करने में मदद करेगा, बल्कि हमलावर के सर्वर को भी नष्ट कर देगा।
13. संसाधनों की नियुक्ति कई स्वतंत्र सर्वर. यदि एक सर्वर विफल हो जाता है, तो शेष सर्वर संचालन सुनिश्चित करेंगे।
14. सिद्ध का उपयोग करना हार्डवेयर सुरक्षा DDoS हमलों से. उदाहरण के लिए, Impletec iCore या DefencePro।
15. ऐसा होस्टिंग प्रदाता चुनें जो सहयोग करे विश्वसनीय आपूर्तिकर्तासाइबर सुरक्षा सेवाएँ। विश्वसनीयता मानदंडों के बीच, विशेषज्ञ इस पर प्रकाश डालते हैं: गुणवत्ता की गारंटी की उपस्थिति, खतरों की पूरी श्रृंखला के खिलाफ सुरक्षा का प्रावधान, चौबीसों घंटे तकनीकी सहायता, पारदर्शिता (ग्राहक की सांख्यिकी और विश्लेषण तक पहुंच), और दुर्भावनापूर्ण ट्रैफ़िक के लिए टैरिफ की अनुपस्थिति। .

निष्कर्ष

इस लेख में, हमने देखा कि DDoS हमले का क्या अर्थ है और अपनी वेबसाइट को हमलों से कैसे बचाया जाए। यह याद रखना महत्वपूर्ण है कि इस तरह की दुर्भावनापूर्ण कार्रवाइयां सबसे सुरक्षित और सबसे बड़े वेब संसाधनों को भी नष्ट कर सकती हैं। इसके भारी नुकसान और ग्राहकों की हानि के रूप में गंभीर परिणाम होंगे। इसीलिए, अपने संसाधन को DDoS हमलों से बचाना सभी वाणिज्यिक संरचनाओं और सरकारी एजेंसियों के लिए एक जरूरी काम है।

यदि आप DDoS हमलों के विरुद्ध पेशेवर स्तर की सुरक्षा चाहते हैं - चुनें! निरंतर निगरानी और 24/7 तकनीकी सहायता।

संभवतः, कई आधुनिक कंप्यूटर और इंटरनेट उपयोगकर्ताओं ने बड़ी कंपनियों की किसी भी वेबसाइट या सर्वर के खिलाफ हमलावरों द्वारा किए गए DDoS हमलों की उपस्थिति के बारे में सुना है। आइए देखें कि DDoS हमला क्या है, इसे स्वयं कैसे करें और ऐसे कार्यों से खुद को कैसे बचाएं।

DDoS हमला क्या है?

आरंभ करने के लिए, शायद यह समझने लायक है कि ऐसे गैरकानूनी कार्य क्या हैं। आइए हम तुरंत एक आरक्षण कर दें कि "डीडीओएस हमला: इसे स्वयं कैसे करें" विषय पर विचार करते समय जानकारी केवल सूचनात्मक उद्देश्यों के लिए प्रदान की जाएगी, न कि व्यावहारिक उपयोग के लिए। इस प्रकार के सभी कार्य आपराधिक रूप से दंडनीय हैं।

हमला, कुल मिलाकर, एक सर्वर या वेबसाइट पर पर्याप्त संख्या में अनुरोध भेज रहा है, जो अनुरोधों की सीमा पार होने पर, सर्वर को बंद करने के रूप में एक वेब संसाधन या प्रदाता सेवा के संचालन को अवरुद्ध कर देता है। सुरक्षा सॉफ़्टवेयर, फ़ायरवॉल या विशेष उपकरण का उपयोग करना।

यह स्पष्ट है कि विशेष कार्यक्रमों के बिना एक कंप्यूटर टर्मिनल से एक उपयोगकर्ता द्वारा DIY DDoS हमला नहीं बनाया जा सकता है। आख़िरकार, वह कई दिनों तक नहीं बैठेगा और हर मिनट हमले वाली जगह पर अनुरोध नहीं भेजेगा। ऐसी संख्या काम नहीं करेगी, क्योंकि प्रत्येक प्रदाता DDoS हमलों के खिलाफ सुरक्षा प्रदान करता है, और एक उपयोगकर्ता किसी सर्वर या साइट को इतनी संख्या में अनुरोध प्रदान करने में सक्षम नहीं है जो थोड़े समय में अनुरोध सीमा को पार कर जाए और विभिन्न सुरक्षात्मक तंत्रों को ट्रिगर कर दे। इसलिए आपको अपना आक्रमण बनाने के लिए किसी और चीज़ का उपयोग करना होगा। लेकिन उस पर बाद में।

खतरा क्यों पैदा होता है?

यदि आप समझते हैं कि DDoS हमला क्या है, इसे कैसे अंजाम देना है और सर्वर पर अत्यधिक संख्या में अनुरोध भेजना है, तो यह उन तंत्रों पर विचार करने लायक है जिनके द्वारा ऐसी कार्रवाइयां की जाती हैं।

ये अविश्वसनीय हो सकते हैं जो बड़ी संख्या में अनुरोधों का सामना करने में सक्षम नहीं हैं, प्रदाता की सुरक्षा प्रणाली में या स्वयं ऑपरेटिंग सिस्टम में अंतराल, सिस्टम फ्रीज या क्रैश के साथ आने वाले अनुरोधों को संसाधित करने के लिए सिस्टम संसाधनों की कमी आदि।

इस घटना की शुरुआत में, स्वयं करें DDoS हमले मुख्य रूप से स्वयं प्रोग्रामर द्वारा किए गए थे, जिन्होंने इसकी मदद से सुरक्षा प्रणालियों के प्रदर्शन का निर्माण और परीक्षण किया था। वैसे, एक समय में याहू, माइक्रोसॉफ्ट, ईबे, सीएनएन और कई अन्य जैसे आईटी दिग्गज भी उन हमलावरों के कार्यों से पीड़ित थे जिन्होंने DoS और DDoS घटकों को हथियार के रूप में इस्तेमाल किया था। उन स्थितियों में मुख्य बिंदु अपने इंटरनेट संसाधनों तक पहुंच को सीमित करने के संदर्भ में प्रतिस्पर्धियों को खत्म करने का प्रयास था।

सामान्य तौर पर, आधुनिक इलेक्ट्रॉनिक व्यापारी भी यही काम करते हैं। ऐसा करने के लिए, बस DDoS हमलों के लिए एक प्रोग्राम डाउनलोड करें, और फिर, जैसा कि वे कहते हैं, यह तकनीक का मामला है।

DDoS हमलों के प्रकार

अब इस प्रकार के हमलों के वर्गीकरण के बारे में कुछ शब्द। सभी के लिए मुख्य बात सर्वर या वेबसाइट को अक्षम करना है। पहले प्रकार में निष्पादन के लिए सर्वर को गलत निर्देश भेजने से जुड़ी त्रुटियां शामिल हैं, जिसके परिणामस्वरूप इसका ऑपरेशन क्रैश हो जाता है। दूसरा विकल्प उपयोगकर्ता डेटा को बड़े पैमाने पर भेजना है, जिससे सिस्टम संसाधनों पर बढ़ते भार के साथ एक अंतहीन (चक्रीय) जांच होती है।

तीसरा प्रकार है बाढ़। एक नियम के रूप में, यह लोड बढ़ाने के लिए सर्वर या नेटवर्क उपकरण पर गलत तरीके से बनाए गए (अर्थहीन) अनुरोध भेजने का कार्य है। चौथा प्रकार झूठे पतों के साथ संचार चैनलों का तथाकथित अवरुद्ध होना है। एक ऐसे हमले का भी उपयोग किया जा सकता है जो कंप्यूटर सिस्टम के कॉन्फ़िगरेशन में परिवर्तन की ओर ले जाता है, जिससे इसकी पूर्ण निष्क्रियता हो जाती है। सामान्य तौर पर, सूची में लंबा समय लग सकता है।

साइट पर DDoS हमला

एक नियम के रूप में, ऐसा हमला एक विशिष्ट होस्टिंग से जुड़ा होता है और विशेष रूप से एक पूर्वनिर्धारित वेब संसाधन पर लक्षित होता है (नीचे दिए गए फोटो में उदाहरण में इसे पारंपरिक रूप से example.com के रूप में नामित किया गया है)।

यदि साइट पर बहुत अधिक कॉल आती हैं, तो संचार व्यवधान साइट द्वारा नहीं, बल्कि प्रदाता सेवा के सर्वर भाग द्वारा, या बल्कि, स्वयं सर्वर या सुरक्षा प्रणाली द्वारा भी नहीं, बल्कि संचार अवरोधन के कारण होता है। सपोर्ट सेवा। दूसरे शब्दों में, ऐसे हमलों का उद्देश्य यह सुनिश्चित करना है कि यदि एक निश्चित संविदात्मक ट्रैफ़िक सीमा पार हो जाती है तो होस्टिंग मालिक को प्रदाता से सेवा से इनकार कर दिया जाता है।

सर्वर पर DDoS हमला

जहां तक ​​सर्वर हमलों का सवाल है, यहां वे किसी विशिष्ट होस्टिंग पर निर्देशित नहीं हैं, बल्कि विशेष रूप से इसे प्रदान करने वाले प्रदाता पर केंद्रित हैं। और इससे कोई फर्क नहीं पड़ता कि साइट मालिकों को इसकी वजह से नुकसान हो सकता है। मुख्य शिकार प्रदाता है.

DDoS हमलों के आयोजन के लिए आवेदन

अब हमें यह समझ में आ गया है कि विशेष उपयोगिताओं का उपयोग करके इसे कैसे किया जाए, अब हम इसका पता लगाएंगे। आइए हम तुरंत ध्यान दें कि इस प्रकार के अनुप्रयोगों को विशेष रूप से वर्गीकृत नहीं किया जाता है। वे इंटरनेट पर मुफ्त डाउनलोड के लिए उपलब्ध हैं। उदाहरण के लिए, LOIC नामक सबसे सरल और सबसे प्रसिद्ध DDoS अटैक प्रोग्राम डाउनलोड के लिए वर्ल्ड वाइड वेब पर निःशुल्क उपलब्ध है। इसकी मदद से आप केवल पहले से ज्ञात यूआरएल और आईपी पते वाली साइटों और टर्मिनलों पर हमला कर सकते हैं।

नैतिक कारणों से, अब हम इस बात पर विचार नहीं करेंगे कि पीड़ित का आईपी पता कैसे प्राप्त किया जाए। हम मानते हैं कि हमारे पास प्रारंभिक डेटा है।

एप्लिकेशन को लॉन्च करने के लिए, निष्पादन योग्य फ़ाइल Loic.exe का उपयोग किया जाता है, जिसके बाद स्रोत पते को बाईं ओर शीर्ष दो पंक्तियों में दर्ज किया जाता है, और फिर दो "लॉक ऑन" बटन दबाए जाते हैं - प्रत्येक पंक्ति के ठीक विपरीत . इसके बाद विंडो में हमारे पीड़ित का पता दिखाई देगा।

नीचे टीसीपी/यूडीएफ और HTTP के लिए अनुरोध ट्रांसमिशन गति को समायोजित करने के लिए स्लाइडर हैं। डिफ़ॉल्ट रूप से मान "10" पर सेट है। इसे सीमा तक बढ़ाएं, फिर हमला शुरू करने के लिए बड़ा "IMMA CHARGIN MAH LAZER" बटन दबाएं। आप दोबारा वही बटन दबाकर इसे रोक सकते हैं।

स्वाभाविक रूप से, ऐसा एक कार्यक्रम, जिसे अक्सर "लेजर गन" कहा जाता है, किसी गंभीर संसाधन या प्रदाता के लिए परेशानी पैदा करने में सक्षम नहीं होगा, क्योंकि DDoS हमलों के खिलाफ सुरक्षा काफी शक्तिशाली है। लेकिन अगर लोगों का एक समूह एक ही समय में एक दर्जन या अधिक बंदूकों का उपयोग करता है, तो कुछ हासिल किया जा सकता है।

DDoS हमलों से सुरक्षा

दूसरी ओर, जो कोई भी DDoS हमले का प्रयास करता है, उसे यह समझना चाहिए कि "दूसरे" पक्ष में भी कोई मूर्ख नहीं है। वे आसानी से उन पतों का पता लगा सकते हैं जहां से ऐसा हमला किया गया है, और यह सबसे गंभीर परिणामों से भरा होता है।

सामान्य होस्टिंग मालिकों के लिए, प्रदाता आमतौर पर उचित सुरक्षा के साथ सेवाओं का एक पैकेज तुरंत प्रदान करता है। ऐसे कार्यों को रोकने के लिए बहुत सारे साधन हो सकते हैं। यह, मान लीजिए, किसी हमले को हमलावर पर पुनर्निर्देशित करना, आने वाले अनुरोधों को कई सर्वरों पर पुनर्वितरित करना, ट्रैफ़िक को फ़िल्टर करना, झूठी सकारात्मकताओं को रोकने के लिए सुरक्षा प्रणालियों की नकल करना, संसाधनों को बढ़ाना आदि है। कुल मिलाकर, औसत उपयोगकर्ता को चिंता करने की कोई बात नहीं है।

एक उपसंहार के बजाय

मुझे लगता है कि इस लेख से यह स्पष्ट हो जाता है कि यदि आपके पास विशेष सॉफ़्टवेयर और कुछ प्रारंभिक डेटा हैं तो DDoS पर हमला करना मुश्किल नहीं होगा। एक और बात यह है कि क्या ऐसा करना उचित है, खासकर एक अनुभवहीन उपयोगकर्ता के लिए जिसने खेल के लिए इसमें शामिल होने का फैसला किया है? हर किसी को यह समझना चाहिए कि उनके कार्यों से किसी भी मामले में हमलावर पक्ष की ओर से जवाबी कार्रवाई की जाएगी, और, एक नियम के रूप में, हमला शुरू करने वाले उपयोगकर्ता के पक्ष में नहीं होगा। लेकिन, अधिकांश देशों की आपराधिक संहिताओं के अनुसार, ऐसे कार्यों के लिए, जैसा कि वे कहते हैं, आप कुछ वर्षों के लिए इतनी दूर नहीं स्थित स्थानों पर पहुँच सकते हैं। यह कौन चाहता है?

DDoS हमले का आदेश देने के लिए अधिक बुद्धिमत्ता की आवश्यकता नहीं होती है। हैकर्स को भुगतान करें और अपने प्रतिस्पर्धियों की घबराहट के बारे में सोचें। पहले निर्देशक की कुर्सी से, और फिर जेल के बिस्तर से।

हम बताते हैं कि एक ईमानदार उद्यमी को हैकर्स की ओर रुख करना आखिरी काम क्यों करना चाहिए और इसके परिणाम क्या होंगे।

DDoS अटैक कैसे करेंयहां तक ​​कि एक स्कूली छात्र भी जानता है

आज, DDoS हमले के आयोजन के उपकरण सभी के लिए उपलब्ध हैं। नौसिखिया हैकरों के लिए प्रवेश की बाधा कम है। इसलिए, रूसी साइटों पर छोटे लेकिन मजबूत हमलों का हिस्साबढ़ी । ऐसा लगता है कि हैकर समूह केवल अपने कौशल का अभ्यास कर रहे हैं।

इसका स्पष्ट उदहारण। 2014 में, तातारस्तान गणराज्य का शैक्षिक पोर्टल DDoS हमलों का सामना करना पड़ा। पहली नज़र में, हमले का कोई मतलब नहीं है: यह एक वाणिज्यिक संगठन नहीं है और इसके बारे में पूछने के लिए कुछ भी नहीं है। पोर्टल ग्रेड, कक्षा कार्यक्रम आदि प्रदर्शित करता है। अब और नहीं। कैस्परस्की लैब के विशेषज्ञों को एक VKontakte समूह मिला जहां तातारस्तान के छात्रों और स्कूली बच्चों ने चर्चा की DDoS अटैक कैसे करें.

तातारस्तान गणराज्य की व्यवस्था के विरुद्ध युवा सेनानियों का समुदाय

"तातारस्तान में DDoS हमला कैसे करें" से व्युत्पन्न प्रश्नों ने साइबर सुरक्षा विशेषज्ञों को एक दिलचस्प घोषणा की ओर अग्रसर किया। कलाकार तुरंत मिल गए और उन्हें ढूंढना पड़ाहर्जाना चुकाने के लिए.

वे डायरियों के पन्ने फाड़ देते थे, लेकिन अब वे वेबसाइटों को हैक कर लेते हैं

DDoS हमलों की सरलता के कारण, नैतिक सिद्धांतों या अपनी क्षमताओं की समझ के बिना नए लोग इसे अपना लेते हैं। वे ग्राहक डेटा को दोबारा बेच भी सकते हैं। DDoS हमले के अपराधियों का कायाकल्प एक वैश्विक प्रवृत्ति है।

वसंत 2017 में जेल की सजाएक ब्रिटिश छात्र द्वारा प्राप्त किया गया। जब वे 16 वर्ष के थे, तब उन्होंने रचना की DDoS अटैक प्रोग्राम टाइटेनियम स्ट्रेसर। इसकी बिक्री से ब्रिटन ने 400 हजार पाउंड स्टर्लिंग (29 मिलियन रूबल) कमाए। इस DDoS प्रोग्राम का उपयोग करके दुनिया भर में 650 हजार उपयोगकर्ताओं पर 2 मिलियन हमले किए गए।

किशोर बड़े DDoS समूहों लिज़र्ड स्क्वाड और पूडलकॉर्प के सदस्य निकले। युवा अमेरिकी अपना स्वयं का आविष्कार लेकर आए DDoS प्रोग्राम, लेकिन ऑनलाइन गेम में लाभ प्राप्त करने के लिए गेम सर्वर पर हमला करने के लिए उनका उपयोग करते थे। इस तरह वे पाए गए।

कल के स्कूली बच्चों को कंपनी की प्रतिष्ठा पर भरोसा करना है या नहीं, हर कोई खुद तय करेगा।

के लिए सज़ाडीडीओएस कार्यक्रमरूस में

DDoS अटैक कैसे करेंऐसे उद्यमियों में रुचि जो प्रतिस्पर्धा के नियमों से नहीं खेलना चाहते। रूस के आंतरिक मामलों के मंत्रालय के निदेशालय "के" के कर्मचारी यही करते हैं। वे कलाकारों को पकड़ लेते हैं.

रूसी कानून साइबर अपराधों के लिए सजा का प्रावधान करता है। वर्तमान अभ्यास के आधार पर, DDoS हमले में भाग लेने वाले निम्नलिखित लेखों के अंतर्गत आ सकते हैं।

ग्राहक.उनके कार्य आमतौर पर नीचे आते हैं- कानूनी रूप से संरक्षित कंप्यूटर जानकारी तक गैरकानूनी पहुंच।

सज़ा:सात साल तक की कैद या 500 हजार रूबल तक का जुर्माना।

उदाहरण. कुर्गन शहर प्रशासन के तकनीकी सूचना संरक्षण विभाग के एक कर्मचारी को इस लेख के तहत दोषी ठहराया गया था। उन्होंने मल्टीफ़ंक्शनल मेटा प्रोग्राम विकसित किया। इसकी मदद से हमलावर ने क्षेत्र के 13 लाख निवासियों का निजी डेटा एकत्र किया. बाद में मैंने इसे बैंकों और संग्रहण एजेंसियों को बेच दिया। हैकेरा को दो साल की जेल हुई।

कलाकार.एक नियम के रूप में, उन्हें दंडित किया जाता हैरूसी संघ के आपराधिक संहिता का अनुच्छेद 273 - दुर्भावनापूर्ण कंप्यूटर प्रोग्राम का निर्माण, उपयोग और वितरण।

सज़ा.200 हजार रूबल तक के जुर्माने के साथ सात साल तक की कैद।

उदाहरण।तोगलीपट्टी का 19 वर्षीय छात्र 2.5 साल की निलंबित सजा और 12 मिलियन रूबल का जुर्माना मिला। का उपयोग करके DDoS हमलों के कार्यक्रमों के माध्यम से, उन्होंने सूचना संसाधनों और बैंक वेबसाइटों को बंद करने का प्रयास किया। हमले के बाद छात्र से पैसे की उगाही की.

लापरवाह उपयोगकर्ता.डेटा संग्रहीत करते समय सुरक्षा नियमों का पालन करने में विफलता दंडनीय हैरूसी संघ के आपराधिक संहिता का अनुच्छेद 274 - कंप्यूटर सूचना और सूचना और दूरसंचार नेटवर्क के भंडारण, प्रसंस्करण या संचारण के संचालन के नियमों का उल्लंघन।

सज़ा:पांच साल तक की कैद या 500 हजार रूबल तक का जुर्माना।

उदाहरण।यदि सूचना तक पहुंच के दौरान किसी भी तरह से पैसा चुराया गया था, तो लेख को कंप्यूटर सूचना के क्षेत्र में धोखाधड़ी के रूप में पुनः वर्गीकृत किया जाएगा (). तो दो साल एक कॉलोनी-बस्ती में यूराल हैकर्स द्वारा प्राप्त किया गया जिन्होंने बैंक सर्वर तक पहुंच प्राप्त की।

मीडिया पर हमले.यदि DDoS हमलों का उद्देश्य पत्रकारिता के अधिकारों का उल्लंघन करना है, तो कार्रवाई इसके अंतर्गत आती है - एक पत्रकार की वैध व्यावसायिक गतिविधियों में बाधा डालना।

सज़ा:छह साल तक की कैद या 800 हजार रूबल तक का जुर्माना।

उदाहरण।इस लेख को अक्सर अधिक कठिन लेखों में पुनर्वर्गीकृत किया जाता है। DDoS अटैक कैसे करेंनोवाया गज़ेटा, एको मोस्किवी और बोल्शॉय गोरोड पर हमला करने वाले लोग जानते थे। क्षेत्रीय प्रकाशन भी हैकरों का शिकार बन रहे हैं.

रूस में इसके इस्तेमाल पर गंभीर दंड का प्रावधान हैडीडीओएस कार्यक्रम . निदेशालय "के" से गुमनामी आपको नहीं बचाएगी।

DDoS हमलों के लिए कार्यक्रम

विशेषज्ञों के अनुसार, एक औसत वेबसाइट पर हमला करने के लिए 2,000 बॉट पर्याप्त हैं। DDoS हमले की लागत $20 (1,100 रूबल) से शुरू होती है। हमले के चैनलों की संख्या और परिचालन समय पर व्यक्तिगत रूप से चर्चा की जाती है। जबरन वसूली भी होती है.

एक सभ्य हैकर किसी हमले से पहले एक पेन्टेस्ट आयोजित करेगा। सेना इस पद्धति को "बलपूर्वक टोही" कहेगी। पेंटेस्ट का सार साइट के रक्षा संसाधनों का पता लगाने के लिए एक छोटा, नियंत्रित हमला है।

दिलचस्प तथ्य।DDoS अटैक कैसे करेंबहुत से लोग जानते हैं, लेकिन एक हैकर की ताकत एक बॉटनेट से तय होती है। अक्सर, हमलावर एक-दूसरे से "सेनाओं" तक पहुंच कुंजी चुरा लेते हैं और फिर उन्हें दोबारा बेच देते हैं। एक प्रसिद्ध तरकीब है वाई-फाई को "बंद" करना ताकि यह जबरदस्ती रीबूट हो जाए और मूल सेटिंग्स पर वापस आ जाए। इस स्थिति में, पासवर्ड मानक है. इसके बाद, हमलावर संगठन के सभी ट्रैफ़िक तक पहुंच प्राप्त कर लेते हैं।

नवीनतम हैकर प्रवृत्ति स्मार्ट उपकरणों को हैक करके उन पर क्रिप्टोकरेंसी माइनर स्थापित करना है। ये कार्रवाइयां दुर्भावनापूर्ण कार्यक्रमों के उपयोग पर लेख (रूसी संघ के आपराधिक संहिता के अनुच्छेद 273) के तहत योग्य हो सकती हैं। तो एफएसबी अधिकारीमिशन नियंत्रण केंद्र के सिस्टम प्रशासक को हिरासत में लिया गया। उन्होंने अपने कामकाजी उपकरणों पर खनिक स्थापित किए और खुद को समृद्ध किया। हमलावर की पहचान पावर सर्ज से हुई.

हैकर्स किसी प्रतिस्पर्धी पर DDoS हमला करेंगे। फिर वे इसकी कंप्यूटिंग शक्ति तक पहुंच प्राप्त कर सकते हैं और एक या दो बिटकॉइन माइन कर सकते हैं। केवल यह आय ग्राहक के पास नहीं जाएगी।

DDoS हमले का आदेश देने के जोखिम

आइए प्रतिस्पर्धियों पर DDoS हमले का आदेश देने के फायदे और नुकसान का मूल्यांकन करके संक्षेप में बताएं।

यदि प्रतिस्पर्धियों ने व्यवसाय को परेशान कर दिया है, तो हैकर्स मदद नहीं करेंगे। वे केवल चीजों को बदतर बना देंगे. एजेंसी "डिजिटल शार्क" कानूनी तरीकों से अवांछित जानकारी।

DDoS हमलों का मुकाबला करना न केवल कठिन काम है, बल्कि रोमांचक भी है। यह आश्चर्य की बात नहीं है कि प्रत्येक सिस्टम प्रशासक सबसे पहले अपने दम पर रक्षा को व्यवस्थित करने का प्रयास करता है - खासकर जब से यह अभी भी संभव है।

हमने इस कठिन मामले में आपकी मदद करने और आपकी साइट को हमलों से बचाने के लिए कुछ संक्षिप्त, तुच्छ और गैर-सार्वभौमिक युक्तियाँ प्रकाशित करने का निर्णय लिया है। दिए गए नुस्खे आपको किसी भी हमले से निपटने में मदद नहीं करेंगे, लेकिन वे आपको अधिकांश खतरों से बचाएंगे।

सही सामग्री

कठोर सच्चाई यह है कि कोई भी स्लोलोरिस हमले का उपयोग करके कई साइटों को हटा सकता है, जो अपाचे को पूरी तरह से मार देता है, या अमेज़ॅन ईसी 2 क्लाउड में एक मिनट में उठाए गए वर्चुअल सर्वर के एक फार्म का उपयोग करके तथाकथित SYN बाढ़ का आयोजन कर सकता है। स्वयं करें DDoS सुरक्षा पर हमारी सभी सलाह निम्नलिखित महत्वपूर्ण शर्तों पर आधारित हैं।

1. विंडोज सर्वर का उपयोग बंद करें

अभ्यास से पता चलता है कि एक साइट जो विंडोज़ (2003 या 2008 - इससे कोई फर्क नहीं पड़ता) पर चलती है, DDoS की स्थिति में बर्बाद हो जाती है। विफलता का कारण विंडोज नेटवर्क स्टैक में निहित है: जब बहुत अधिक कनेक्शन होते हैं, तो सर्वर निश्चित रूप से खराब प्रतिक्रिया देना शुरू कर देता है। हम नहीं जानते कि विंडोज़ सर्वर ऐसी स्थितियों में इतना खराब काम क्यों करता है, लेकिन हमने एक या दो से अधिक बार इसका सामना किया है। इस कारण से, यह आलेख उस स्थिति में DDoS हमलों से सुरक्षा के साधनों पर ध्यान केंद्रित करेगा जब सर्वर Linux पर चल रहा हो। यदि आप अपेक्षाकृत आधुनिक कर्नेल (2.6 से शुरू) के भाग्यशाली मालिक हैं, तो प्राथमिक उपकरण आईपीटेबल्स और आईपीसेट उपयोगिताएँ (आईपी पते को जल्दी से जोड़ने के लिए) होंगे, जिसके साथ आप बॉट्स पर तुरंत प्रतिबंध लगा सकते हैं। सफलता की दूसरी कुंजी ठीक से तैयार किया गया नेटवर्क स्टैक है, जिसके बारे में हम बाद में भी बात करेंगे।

2. अपाचे से नाता तोड़ो

दूसरी महत्वपूर्ण शर्त अपाचे का परित्याग है। यदि आप अपाचे चला रहे हैं, तो कम से कम उसके सामने एक कैशिंग प्रॉक्सी स्थापित करें - nginx याlighttpd। अपाचे फ़ाइलों को स्थानांतरित करना बेहद मुश्किल है, और, इससे भी बदतर, यह एक बुनियादी स्तर पर (अर्थात, अपूरणीय रूप से) सबसे खतरनाक स्लोलोरिस हमले के प्रति संवेदनशील है, जो आपको मोबाइल फोन से सर्वर को लगभग प्रभावित करने की अनुमति देता है स्लोलोरिस के प्रकार, अपाचे उपयोगकर्ता पहले एक पैच लेकर आए एंटी-स्लोलोरिस.डिफ, फिर mod_noloris, फिर mod_antiloris, mod_limitipconn, mod_reqtimeout... लेकिन अगर आप रात में शांति से सोना चाहते हैं, तो HTTP सर्वर का उपयोग करना आसान है कोड आर्किटेक्चर स्तर पर स्लोलोरिस के लिए अभेद्य, इसलिए, हमारी सभी आगे की रेसिपी इस धारणा पर आधारित हैं कि nginx का उपयोग फ्रंटएंड पर किया जाता है।

DDoS से लड़ना

अगर DDoS आ जाए तो क्या करें? एक पारंपरिक आत्मरक्षा तकनीक HTTP सर्वर लॉग फ़ाइल को पढ़ना, एक grep पैटर्न लिखना (बॉट अनुरोधों को पकड़ना) और इसके अंतर्गत आने वाले सभी लोगों पर प्रतिबंध लगाना है। यदि आप भाग्यशाली हैं तो यह तकनीक काम करेगी... बॉटनेट दो प्रकार के होते हैं, दोनों खतरनाक, लेकिन अलग-अलग तरीके से। एक पूरी तरह से तुरंत साइट पर आ जाता है, दूसरा धीरे-धीरे। पहला एक ही बार में सब कुछ खत्म कर देता है, लेकिन पूरी चीज़ लॉग में दिखाई देती है, और यदि आप उन्हें गर्म करते हैं और सभी आईपी पते पर प्रतिबंध लगाते हैं, तो आप विजेता हैं। दूसरा बॉटनेट धीरे और सावधानी से साइट पर हमला करता है, लेकिन आपको इसे 24 घंटे के लिए प्रतिबंधित करना पड़ सकता है। किसी भी प्रशासक के लिए यह समझना महत्वपूर्ण है: यदि आप ग्रेप से लड़ने की योजना बना रहे हैं, तो आपको हमले से लड़ने के लिए कुछ दिन समर्पित करने के लिए तैयार रहना चाहिए। गिरने को कम दर्दनाक बनाने के लिए आप पहले से कहां तिनके रख सकते हैं, इसके बारे में नीचे सुझाव दिए गए हैं।

3. टेस्टकुकी मॉड्यूल का उपयोग करें

शायद इस लेख में सबसे महत्वपूर्ण, प्रभावी और कारगर नुस्खा। यदि DDoS आपकी साइट पर आता है, तो इससे लड़ने का सबसे प्रभावी तरीका testcookie-nginx मॉड्यूल हो सकता है, जिसे habrauser @kyprigel द्वारा विकसित किया गया है। विचार सरल है. अक्सर, HTTP फ्लडिंग लागू करने वाले बॉट काफी बेवकूफी भरे होते हैं और उनमें HTTP कुकी और रीडायरेक्ट तंत्र नहीं होते हैं। कभी-कभी आपको अधिक उन्नत वाले मिलते हैं - वे कुकीज़ का उपयोग कर सकते हैं और रीडायरेक्ट को संसाधित कर सकते हैं, लेकिन लगभग कभी भी DoS बॉट में पूर्ण जावास्क्रिप्ट इंजन नहीं होता है (हालांकि यह अधिक से अधिक सामान्य होता जा रहा है)। Testcookie-nginx L7 DDoS हमले के दौरान बॉट्स और बैकएंड के बीच एक तेज़ फ़िल्टर के रूप में काम करता है, जिससे आप जंक अनुरोधों को फ़िल्टर कर सकते हैं। इन चेकों में क्या शामिल है? क्या क्लाइंट HTTP रीडायरेक्ट करना जानता है, क्या यह जावास्क्रिप्ट का समर्थन करता है, क्या यह वह ब्राउज़र है जिसका वह दावा करता है (चूंकि जावास्क्रिप्ट हर जगह अलग है और यदि क्लाइंट कहता है कि यह फ़ायरफ़ॉक्स है, तो हम इसकी जांच कर सकते हैं)। विभिन्न तरीकों का उपयोग करके कुकीज़ का उपयोग करके सत्यापन कार्यान्वित किया जाता है:

• "सेट-कुकी" + 301 HTTP स्थान का उपयोग करके रीडायरेक्ट;
• "सेट-कुकी" + HTML मेटा रिफ्रेश का उपयोग करके रीडायरेक्ट करें;
• कोई भी टेम्पलेट, और आप जावास्क्रिप्ट का उपयोग कर सकते हैं।

स्वचालित पार्सिंग से बचने के लिए, सत्यापन कुकी को AES-128 के साथ एन्क्रिप्ट किया जा सकता है और बाद में जावास्क्रिप्ट क्लाइंट साइड पर डिक्रिप्ट किया जा सकता है। मॉड्यूल के नए संस्करण में फ्लैश के माध्यम से कुकीज़ सेट करने की क्षमता है, जो आपको बॉट्स को प्रभावी ढंग से फ़िल्टर करने की भी अनुमति देता है (जो फ्लैश, एक नियम के रूप में, समर्थन नहीं करता है), लेकिन, हालांकि, कई वैध उपयोगकर्ताओं के लिए पहुंच को भी अवरुद्ध करता है। वास्तव में, सभी मोबाइल डिवाइस)। उल्लेखनीय है कि testcookie-nginx का उपयोग शुरू करना बेहद आसान है। डेवलपर, विशेष रूप से, nginx के लिए कॉन्फ़िगरेशन के नमूनों के साथ उपयोग के कई स्पष्ट उदाहरण (विभिन्न हमले के मामलों के लिए) प्रदान करता है।

इसके फायदों के अलावा, टेस्टकुकी के नुकसान भी हैं:

• Googlebot सहित सभी बॉट्स को काट देता है। यदि आप टेस्टकुकी को स्थायी आधार पर रखने की योजना बना रहे हैं, तो सुनिश्चित करें कि आप खोज परिणामों से गायब नहीं होंगे;
• लिंक, w3m और समान ब्राउज़र वाले उपयोगकर्ताओं के लिए समस्याएँ पैदा करता है;
• जावास्क्रिप्ट के साथ पूर्ण विकसित ब्राउज़र इंजन से लैस बॉट्स से सुरक्षा नहीं करता है।

संक्षेप में, testcookie_module सार्वभौमिक नहीं है। लेकिन यह कई चीजों में मदद करता है, जैसे, उदाहरण के लिए, जावा और सी# में आदिम उपकरण। इस तरह आप खतरे का एक हिस्सा काट देते हैं।

4. कोड 444

DDoSers का लक्ष्य अक्सर साइट का सबसे अधिक संसाधन-गहन हिस्सा होता है। एक विशिष्ट उदाहरण खोज है, जो जटिल डेटाबेस क्वेरी निष्पादित करता है। स्वाभाविक रूप से, हमलावर एक ही बार में खोज इंजन पर कई दसियों हज़ार अनुरोध लोड करके इसका लाभ उठा सकते हैं। हम क्या कर सकते हैं? खोज को अस्थायी रूप से अक्षम करें. हालाँकि ग्राहक अंतर्निहित टूल का उपयोग करके आवश्यक जानकारी खोजने में सक्षम नहीं हो सकते हैं, लेकिन जब तक आप सभी समस्याओं की जड़ नहीं खोज लेते, तब तक पूरी मुख्य साइट चालू रहेगी। Nginx एक गैर-मानक 444 कोड का समर्थन करता है, जो आपको केवल कनेक्शन बंद करने और प्रतिक्रिया में कुछ भी वापस नहीं करने की अनुमति देता है:

स्थान/खोज (वापसी 444;)

इस तरह, उदाहरण के लिए, आप URL द्वारा फ़िल्टरिंग को शीघ्रता से लागू कर सकते हैं। यदि आप सुनिश्चित हैं कि स्थान/खोज के अनुरोध केवल बॉट्स से आते हैं (उदाहरण के लिए, आपका विश्वास इस तथ्य पर आधारित है कि आपकी साइट में बिल्कुल भी/खोज अनुभाग नहीं है), तो आप सर्वर पर आईपीसेट पैकेज स्थापित कर सकते हैं और प्रतिबंध लगा सकते हैं सरल शेल स्क्रिप्ट वाले बॉट:

Ipset -N प्रतिबंध iphash टेल -f access.log | जबकि लाइन पढ़ें; "$LINE" को प्रतिध्वनित करें | \ कट -डी"" -एफ3 | कट -डी" " -एफ2 | ग्रेप -क्यू 444 && आईपीसेट -ए प्रतिबंध "$(एल%% *)"; हो गया

यदि लॉग फ़ाइल प्रारूप गैर-मानक है (संयुक्त नहीं है) या आपको प्रतिक्रिया स्थिति के अलावा अन्य मानदंडों के आधार पर प्रतिबंध लगाने की आवश्यकता है, तो आपको कट को नियमित अभिव्यक्ति से बदलने की आवश्यकता हो सकती है।

5. हम जियोलोकेशन के आधार पर प्रतिबंध लगाते हैं

गैर-मानक प्रतिक्रिया कोड 444 भू-आधारित विशेषताओं के आधार पर ग्राहकों पर त्वरित प्रतिबंध लगाने के लिए भी उपयोगी हो सकता है। आप कुछ ऐसे देशों को सख्ती से सीमित कर सकते हैं जो आपको असहज करते हैं। उदाहरण के लिए, यह संभावना नहीं है कि रोस्तोव-ऑन-डॉन के एक ऑनलाइन कैमरा स्टोर के मिस्र में कई उपयोगकर्ता हों। यह बहुत अच्छा तरीका नहीं है (स्पष्ट रूप से कहें तो घृणित), क्योंकि जियोआईपी डेटा गलत है, और रोस्तोववासी कभी-कभी छुट्टियों पर मिस्र के लिए उड़ान भरते हैं। लेकिन अगर आपके पास खोने के लिए कुछ नहीं है, तो निर्देशों का पालन करें:

1. जियोआईपी मॉड्यूल को nginx (wiki.nginx.org/HttpGeoipModule) से कनेक्ट करें।
2. एक्सेस लॉग में जियोरेफ़रेंसिंग जानकारी प्रदर्शित करें।
3. इसके बाद, उपरोक्त शेल स्क्रिप्ट को संशोधित करके, nginx का एक्सेसलॉग चलाएं और भौगोलिक रूप से बहिष्कृत क्लाइंट को प्रतिबंध में जोड़ें।

यदि, उदाहरण के लिए, बॉट अधिकतर चीन से थे, तो इससे मदद मिल सकती है।

6. तंत्रिका नेटवर्क (PoC)

अंत में, आप habra उपयोगकर्ता @SaveTheRbtz के अनुभव को दोहरा सकते हैं, जिन्होंने PyBrain न्यूरल नेटवर्क लिया, उसमें लॉग डाला और प्रश्नों का विश्लेषण किया (habrahabr.ru/post/136237)। विधि काम करती है, हालाँकि सार्वभौमिक नहीं :)। लेकिन अगर आप वास्तव में अपनी साइट के अंदरूनी हिस्सों को जानते हैं - और एक सिस्टम प्रशासक के रूप में आपको पता होना चाहिए - तो आपके पास एक मौका है कि सबसे दुखद स्थितियों में तंत्रिका नेटवर्क, प्रशिक्षण और पहले से एकत्र की गई जानकारी पर आधारित टूलकिट आपकी मदद करेगा। इस मामले में, DDoS की शुरुआत से पहले access.log का होना बहुत उपयोगी है, क्योंकि यह लगभग 100% वैध ग्राहकों का वर्णन करता है, और इसलिए तंत्रिका नेटवर्क को प्रशिक्षित करने के लिए एक उत्कृष्ट डेटासेट है, इसके अलावा, बॉट हमेशा लॉग में दिखाई नहीं देते हैं .

समस्या का निदान

साइट काम नहीं कर रही - क्यों? क्या यह DDoSed है या यह एक इंजन बग है जिस पर प्रोग्रामर का ध्यान नहीं गया? कोई फर्क नहीं पड़ता। इस प्रश्न का उत्तर न खोजें. यदि आपको लगता है कि आपकी साइट पर हमला हो सकता है, तो उन कंपनियों से संपर्क करें जो हमलों के खिलाफ सुरक्षा प्रदान करती हैं - कई एंटी-डीडीओएस सेवाएं कनेक्शन के बाद पहले दिन मुफ्त प्रदान करती हैं - और लक्षणों की तलाश में अधिक समय बर्बाद न करें। समस्या पर ध्यान दें. यदि कोई साइट धीमी है या बिल्कुल नहीं खुलती है, तो उसके प्रदर्शन में कुछ गड़बड़ है, और - चाहे DDoS हमला हो या नहीं - एक पेशेवर के रूप में यह आपकी ज़िम्मेदारी है कि आप समझें कि इसका कारण क्या है। हमने बार-बार देखा है कि कैसे DDoS हमले के कारण अपनी वेबसाइट के संचालन में कठिनाइयों का सामना करने वाली एक कंपनी ने वेबसाइट इंजन में कमजोरियों की तलाश करने के बजाय, हमलावरों को खोजने और दंडित करने के लिए आंतरिक मामलों के मंत्रालय को बयान भेजने की कोशिश की। ये गलतियाँ न करें. साइबर अपराधियों को ढूंढना एक कठिन और लंबी प्रक्रिया है, जो इंटरनेट की संरचना और संचालन सिद्धांतों से जटिल है, और साइट के संचालन की समस्या को तुरंत हल किया जाना चाहिए। साइट के प्रदर्शन में गिरावट का कारण जानने के लिए तकनीकी विशेषज्ञों से संपर्क करें और वकील एक बयान लिख सकते हैं।

7. प्रोफाइलर और डिबगर का उपयोग करें

सबसे आम वेबसाइट निर्माण प्लेटफ़ॉर्म - PHP + MySQL - के लिए निम्नलिखित टूल का उपयोग करके बाधा पाई जा सकती है:

• Xdebug प्रोफाइलर दिखाएगा कि एप्लिकेशन किस कॉल पर सबसे अधिक समय व्यतीत करता है;
• त्रुटि लॉग में अंतर्निहित एपीडी डिबगर और डिबगिंग आउटपुट आपको यह पता लगाने में मदद करेगा कि वास्तव में कौन सा कोड ये कॉल करता है;
• ज्यादातर मामलों में, कुत्ता डेटाबेस प्रश्नों की जटिलता और भारीपन में दब जाता है। डेटाबेस इंजन में निर्मित व्याख्या SQL निर्देश यहां मदद करेगा।

यदि साइट बंद है और आप कुछ भी नहीं खो रहे हैं, तो नेटवर्क से डिस्कनेक्ट करें, लॉग देखें, उन्हें चलाने का प्रयास करें। यदि यह वहां नहीं है, तो पृष्ठों पर जाएं और आधार देखें।

उदाहरण PHP के लिए है, लेकिन यह विचार किसी भी प्लेटफ़ॉर्म के लिए मान्य है। किसी भी प्रोग्रामिंग भाषा में सॉफ्टवेयर उत्पाद लिखने वाले डेवलपर को डिबगर और प्रोफाइलर दोनों का तुरंत उपयोग करने में सक्षम होना चाहिए। पहले से अभ्यास करें!

8. त्रुटियों का विश्लेषण करें

ट्रैफ़िक की मात्रा, सर्वर प्रतिक्रिया समय और त्रुटियों की संख्या का विश्लेषण करें। ऐसा करने के लिए, लॉग देखें. Nginx में, सर्वर प्रतिक्रिया समय को लॉग में दो चर द्वारा दर्ज किया जाता है: request_time और upstream_response_time। पहला कुल अनुरोध निष्पादन समय है, जिसमें उपयोगकर्ता और सर्वर के बीच नेटवर्क विलंब भी शामिल है; दूसरा बताता है कि बैकएंड (अपाचे, php_fpm, uwsgi...) ने कितनी देर तक अनुरोध निष्पादित किया। अपस्ट्रीम_रेस्पॉन्स_टाइम मान उन साइटों के लिए अत्यंत महत्वपूर्ण है जिनमें बहुत अधिक गतिशील सामग्री और फ्रंटएंड और डेटाबेस के बीच सक्रिय संचार है; इसे उपेक्षित नहीं किया जाना चाहिए। आप निम्न कॉन्फ़िगरेशन को लॉग प्रारूप के रूप में उपयोग कर सकते हैं:

लॉग प्रारूप

यह अतिरिक्त समय फ़ील्ड के साथ एक संयुक्त प्रारूप है।

9. प्रति सेकंड ट्रैक अनुरोध

प्रति सेकंड अनुरोधों की संख्या भी देखें। Nginx के मामले में, आप निम्नलिखित शेल कमांड के साथ इस मान का मोटे तौर पर अनुमान लगा सकते हैं (ACCESS_LOG वैरिएबल में संयुक्त प्रारूप में nginx अनुरोध लॉग का पथ शामिल है):

इको $(($(fgrep -c "$(env LC_ALL=C date --date=@$(($(date \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

दिन के इस समय के सामान्य स्तर की तुलना में, प्रति सेकंड अनुरोधों की संख्या या तो गिर सकती है या बढ़ सकती है। यदि कोई बड़ा बॉटनेट आ गया है तो वे बढ़ते हैं, और यदि आने वाले बॉटनेट ने साइट को बंद कर दिया है, तो वे गिर जाते हैं, जिससे यह वैध उपयोगकर्ताओं के लिए पूरी तरह से दुर्गम हो जाता है, और साथ ही बॉटनेट स्टैटिक्स का अनुरोध नहीं करता है, लेकिन वैध उपयोगकर्ता करते हैं। अनुरोधों की संख्या में गिरावट निश्चित रूप से सांख्यिकी के कारण देखी गई है। लेकिन, किसी न किसी तरह, हम संकेतकों में गंभीर बदलाव के बारे में बात कर रहे हैं। जब ऐसा अचानक होता है - जब आप स्वयं समस्या को हल करने का प्रयास कर रहे हों और यदि आप इसे तुरंत लॉग में नहीं देखते हैं, तो बेहतर होगा कि आप जल्दी से इंजन की जांच करें और साथ ही विशेषज्ञों से संपर्क करें।

10. tcpdump के बारे में मत भूलना

बहुत से लोग यह भूल जाते हैं कि tcpdump एक अद्भुत निदान उपकरण है। मैं आपको कुछ उदाहरण दूंगा. दिसंबर 2011 में, लिनक्स कर्नेल में एक बग की खोज की गई थी जब टीसीपी खंड के झंडे SYN और RST सेट होने पर एक टीसीपी कनेक्शन खोला गया था। पहली बग रिपोर्ट रूस के सिस्टम प्रशासक द्वारा भेजी गई थी, जिसके संसाधन पर इस पद्धति से हमला किया गया था - हमलावरों को पूरी दुनिया से पहले भेद्यता के बारे में पता चला। जाहिर है, इस निदान से उन्हें मदद मिली। एक और उदाहरण: nginx में एक बहुत ही सुखद संपत्ति नहीं है - यह अनुरोध पूरी तरह से संसाधित होने के बाद ही लॉग में लिखता है। ऐसी स्थितियाँ होती हैं जब साइट डाउन हो जाती है, कुछ भी काम नहीं करता है और लॉग में कुछ भी नहीं होता है। ऐसा इसलिए है क्योंकि वर्तमान में सर्वर पर लोड होने वाले सभी अनुरोध अभी तक पूरे नहीं हुए हैं। टीसीपीडम्प यहां भी मदद करेगा।

यह इतना अच्छा है कि मैंने लोगों को बाइनरी प्रोटोकॉल का उपयोग न करने की सलाह दी जब तक कि वे आश्वस्त न हो जाएं कि सब कुछ क्रम में है - आखिरकार, टेक्स्ट प्रोटोकॉल को टीसीपीडम्प के साथ डीबग करना आसान है, लेकिन बाइनरी वाले को नहीं, हालांकि, डायग्नोस्टिक के रूप में स्निफर अच्छा है उपकरण - उत्पादन को बनाए रखने के साधन के रूप में" और वह डरावना है। यह आसानी से एक साथ कई पैकेट खो सकता है और आपके उपयोगकर्ता इतिहास को बर्बाद कर सकता है। इसके आउटपुट को देखना सुविधाजनक है, और यह मैन्युअल डायग्नोस्टिक्स और प्रतिबंधों के लिए उपयोगी है, लेकिन इस पर कुछ भी महत्वपूर्ण आधार न बनाने का प्रयास करें। "अनुरोधों को दफनाने" के लिए एक और पसंदीदा उपकरण - ngrep - आम तौर पर डिफ़ॉल्ट रूप से लगभग दो गीगाबाइट गैर-स्वैप योग्य मेमोरी का अनुरोध करने का प्रयास करता है और उसके बाद ही इसकी आवश्यकताओं को कम करना शुरू करता है।

11. हमला हुआ या नहीं?

उदाहरण के लिए, किसी विज्ञापन अभियान के प्रभाव से DDoS हमले को कैसे अलग किया जाए? यह सवाल अजीब लग सकता है, लेकिन विषय भी कम जटिल नहीं है. काफी मजेदार मामले हैं. कुछ अच्छे लोगों ने, जब खुद पर दबाव डाला और कैशिंग को पूरी तरह से खराब कर दिया, तो साइट कुछ दिनों के लिए बंद हो गई। यह पता चला कि कई महीनों तक इस साइट को कुछ जर्मनों द्वारा चुपचाप डेटामाइन किया गया था, और कैशिंग को अनुकूलित करने से पहले, सभी चित्रों के साथ इन जर्मनों के साइट पृष्ठों को लोड होने में काफी लंबा समय लगा। जब पेज तुरंत कैश से परोसा जाने लगा, तो बॉट, जिसमें कोई टाइमआउट नहीं था, ने भी उन्हें तुरंत इकट्ठा करना शुरू कर दिया। यह मुश्किल था। मामला विशेष रूप से इस कारण से कठिन है कि यदि आपने स्वयं सेटिंग बदल दी (कैशिंग चालू कर दी) और उसके बाद साइट ने काम करना बंद कर दिया, तो आपकी और आपके बॉस की राय में, किसे दोष देना है? बिल्कुल। यदि आप अनुरोधों की संख्या में तीव्र वृद्धि देखते हैं, तो उदाहरण के लिए, Google Analytics में देखें कि कौन कौन से पेज पर गया।

वेब सर्वर ट्यूनिंग

और क्या हैं मुख्य बिंदु? बेशक, आप डिफ़ॉल्ट nginx स्थापित कर सकते हैं और आशा करते हैं कि सब कुछ ठीक हो जाएगा। हालाँकि, चीज़ें हमेशा अच्छी नहीं होतीं। इसलिए, किसी भी सर्वर के व्यवस्थापक को nginx को फाइन-ट्यूनिंग और ट्यूनिंग करने के लिए बहुत समय देना होगा।

12. nginx में संसाधनों (बफर आकार) को सीमित करें

आपको सबसे पहले क्या याद रखना चाहिए? प्रत्येक संसाधन की एक सीमा होती है। सबसे पहले, यह RAM से संबंधित है। इसलिए, हेडर और सभी प्रयुक्त बफ़र्स का आकार क्लाइंट और संपूर्ण सर्वर के लिए पर्याप्त मानों तक सीमित होना चाहिए। उन्हें nginx config में पंजीकृत होना चाहिए।

• क्लाइंट_हेडर_बफ़र_आकार_ _ क्लाइंट अनुरोध हेडर को पढ़ने के लिए बफर आकार सेट करता है। यदि अनुरोध पंक्ति या अनुरोध हेडर फ़ील्ड पूरी तरह से इस बफ़र में फिट नहीं होती है, तो बड़े बफ़र्स आवंटित किए जाते हैं, जो कि big_client_header_buffers निर्देश द्वारा निर्दिष्ट होते हैं।
• बड़े_क्लाइंट_हेडर_बफ़र्सबड़े क्लाइंट अनुरोध हेडर को पढ़ने के लिए बफ़र्स की अधिकतम संख्या और आकार निर्धारित करता है।
• क्लाइंट_बॉडी_बफ़र_साइज़क्लाइंट अनुरोध निकाय को पढ़ने के लिए बफ़र आकार सेट करता है। यदि अनुरोध निकाय निर्दिष्ट बफ़र से बड़ा है, तो संपूर्ण अनुरोध निकाय या उसका केवल एक भाग एक अस्थायी फ़ाइल में लिखा जाता है।
• client_max_body_sizeअनुरोध शीर्षलेख के "सामग्री-लंबाई" फ़ील्ड में निर्दिष्ट अधिकतम अनुमत क्लाइंट अनुरोध बॉडी आकार सेट करता है। यदि आकार निर्दिष्ट से बड़ा है, तो त्रुटि 413 (अनुरोध इकाई बहुत बड़ी) क्लाइंट को लौटा दी जाती है।

13. nginx में टाइमआउट सेट करना

समय भी एक संसाधन है. इसलिए, अगला महत्वपूर्ण कदम सभी टाइमआउट सेट करना होना चाहिए, जिन्हें nginx सेटिंग्स में सावधानीपूर्वक निर्दिष्ट करना फिर से बहुत महत्वपूर्ण है।

• रीसेट_टाइमआउट_कनेक्शन चालू; FIN-WAIT चरण में फंसे सॉकेट से निपटने में मदद करता है।
• client_header_timeoutक्लाइंट अनुरोध हेडर पढ़ते समय टाइमआउट सेट करता है।
• क्लाइंट_बॉडी_टाइमआउटक्लाइंट अनुरोध के मुख्य भाग को पढ़ते समय टाइमआउट सेट करता है।
• समय समाप्ति को जीवित रखेंवह टाइमआउट सेट करता है जिसके दौरान क्लाइंट से कीप-अलाइव कनेक्शन सर्वर साइड से बंद नहीं होगा। बहुत से लोग यहां बड़े मूल्य स्थापित करने से डरते हैं, लेकिन हमें यकीन नहीं है कि यह डर उचित है। वैकल्पिक रूप से, आप कीप-अलाइव HTTP हेडर में एक टाइमआउट मान सेट कर सकते हैं, लेकिन इंटरनेट एक्सप्लोरर इस मान को अनदेखा करने के लिए प्रसिद्ध है
• सेंड_टाइमआउटक्लाइंट को प्रतिक्रिया भेजते समय टाइमआउट सेट करता है। यदि इस समय के बाद ग्राहक कुछ भी स्वीकार नहीं करता है, तो कनेक्शन बंद कर दिया जाएगा।

तुरंत सवाल यह है: बफ़र्स और टाइमआउट के कौन से पैरामीटर सही हैं? यहां कोई सार्वभौमिक नुस्खा नहीं है; प्रत्येक स्थिति का अपना है। लेकिन एक सिद्ध दृष्टिकोण है. न्यूनतम मान निर्धारित करना आवश्यक है जिस पर साइट चालू रहती है (शांतिकाल में), यानी, पेज परोसे जाते हैं और अनुरोध संसाधित किए जाते हैं। यह केवल परीक्षण द्वारा निर्धारित किया जाता है - डेस्कटॉप और मोबाइल डिवाइस दोनों से। प्रत्येक पैरामीटर (बफर आकार या टाइमआउट) के मान खोजने के लिए एल्गोरिदम:

1. हम पैरामीटर का गणितीय रूप से न्यूनतम मान निर्धारित करते हैं।
2. हम साइट परीक्षण चलाना शुरू करते हैं।
3. यदि साइट की सभी कार्यक्षमता समस्याओं के बिना काम करती है, तो पैरामीटर परिभाषित किया गया है। यदि नहीं, तो पैरामीटर का मान बढ़ाएँ और चरण 2 पर जाएँ।
4. यदि पैरामीटर मान डिफ़ॉल्ट मान से भी अधिक है, तो यह विकास टीम में चर्चा का एक कारण है।

कुछ मामलों में, इन मापदंडों के संशोधन से साइट की रीफैक्टरिंग/रीडिज़ाइन हो सकती है। उदाहरण के लिए, यदि कोई साइट तीन मिनट के AJAX लंबे मतदान अनुरोधों के बिना काम नहीं करती है, तो आपको टाइमआउट बढ़ाने की आवश्यकता नहीं है, लेकिन लंबे मतदान को किसी और चीज़ से बदल दें - 20 हजार मशीनों का एक बॉटनेट, तीन मिनट के लिए अनुरोधों पर लटका हुआ है, औसत सस्ते सर्वर को आसानी से खत्म कर देगा।

14. nginx में कनेक्शन सीमित करें (limit_conn और Limit_req)

Nginx में कनेक्शन, अनुरोध आदि को सीमित करने की क्षमता भी है। यदि आप निश्चित नहीं हैं कि आपकी साइट का एक निश्चित भाग कैसा व्यवहार करेगा, तो आदर्श रूप से आपको इसका परीक्षण करने की आवश्यकता है, समझें कि यह कितने अनुरोधों को संभालेगा, और इसे nginx कॉन्फ़िगरेशन में लिखें। यह एक बात है जब साइट बंद हो जाती है और आप आकर उसे उठा सकते हैं। और यह बिल्कुल अलग बात है जब यह इस हद तक नीचे चला जाता है कि सर्वर स्वैप में चला जाता है। इस मामले में, उसकी विजयी वापसी की प्रतीक्षा करने की तुलना में रिबूट करना अक्सर आसान होता है।

आइए मान लें कि साइट में वर्णनात्मक नाम / डाउनलोड और / खोज वाले अनुभाग हैं। साथ ही हम:

• हम नहीं चाहते कि बॉट (या अत्यधिक उत्साही पुनरावर्ती डाउनलोड प्रबंधक वाले लोग) हमारी टीसीपी कनेक्शन तालिका को उनके डाउनलोड से भरें;
• हम नहीं चाहते कि बॉट (या यादृच्छिक खोज इंजन क्रॉलर) बड़ी संख्या में खोज क्वेरी के साथ डीबीएमएस के कंप्यूटिंग संसाधनों को समाप्त कर दें।

इन उद्देश्यों के लिए, निम्नलिखित कॉन्फ़िगरेशन काम करेगा:

Http ( सीमा_conn_zone $binary_remote_addr जोन=डाउनलोड_c:10m; लिमिट_req_zone $binary_remote_addr जोन=search_r:10m \ रेट=1r/s; सर्वर ( स्थान / डाउनलोड/ ( सीमा_conn डाउनलोड_c 1; # अन्य कॉन्फ़िगरेशन स्थान ) स्थान / खोज / ( सीमा_req क्षेत्र = search_r बर्स्ट=5; # अन्य कॉन्फ़िगरेशन स्थान ) ) )

आम तौर पर उन स्थानों के लिए लिमिट_कॉन और लिमिट_रेक प्रतिबंध सेट करना सीधा समझ में आता है जहां निष्पादित करने के लिए महंगी स्क्रिप्ट स्थित हैं (उदाहरण एक खोज दिखाता है, और यह बिना कारण के नहीं है)। बाधाओं को लोड और प्रतिगमन परीक्षण परिणामों के साथ-साथ सामान्य ज्ञान के आधार पर चुना जाना चाहिए।

उदाहरण में 10 मीटर पैरामीटर पर ध्यान दें। इसका मतलब है कि इस सीमा की गणना करने के लिए 10 मेगाबाइट के बफर वाला एक शब्दकोश आवंटित किया जाएगा, न कि एक मेगाबाइट अधिक। इस कॉन्फ़िगरेशन में, यह 320,000 टीसीपी सत्रों की निगरानी की अनुमति देगा। मेमोरी फ़ुटप्रिंट को अनुकूलित करने के लिए, $binary_remote_addr वेरिएबल का उपयोग शब्दकोश में एक कुंजी के रूप में किया जाता है, जिसमें उपयोगकर्ता का आईपी पता बाइनरी रूप में होता है और नियमित $remote_addr स्ट्रिंग वेरिएबल की तुलना में कम मेमोरी लेता है। यह ध्यान दिया जाना चाहिए कि लिमिट_रेक_ज़ोन निर्देश का दूसरा पैरामीटर न केवल आईपी हो सकता है, बल्कि इस संदर्भ में उपलब्ध कोई अन्य nginx वैरिएबल भी हो सकता है - उदाहरण के लिए, उस स्थिति में जब आप प्रॉक्सी के लिए अधिक सौम्य मोड प्रदान नहीं करना चाहते हैं, आप $binary_remote_addr$http_user_agent या $binary_remote_addr$http_cookie_myc00kiez का उपयोग कर सकते हैं - लेकिन आपको ऐसे निर्माणों का उपयोग सावधानी से करने की आवश्यकता है, क्योंकि, 32-बिट $binary_remote_addr के विपरीत, ये चर काफी लंबे हो सकते हैं और आपके द्वारा घोषित "10m" अचानक समाप्त हो सकता है।

DDoS रुझान

1. नेटवर्क और ट्रांसपोर्ट लेयर हमलों की शक्ति लगातार बढ़ रही है। औसत SYN बाढ़ हमले की क्षमता पहले ही 10 मिलियन पैकेट प्रति सेकंड तक पहुँच चुकी है।
2. DNS पर हमलों की हाल ही में विशेष मांग रही है। नकली स्रोत आईपी पते के साथ वैध डीएनएस प्रश्नों के साथ यूडीपी बाढ़ लागू करने के लिए सबसे आसान हमलों में से एक है और इसका मुकाबला करना मुश्किल है। कई बड़ी रूसी कंपनियों (होस्टिंग कंपनियों सहित) ने हाल ही में अपने DNS सर्वर पर हमलों के परिणामस्वरूप समस्याओं का अनुभव किया है। आप जितना आगे बढ़ेंगे, ऐसे हमले उतने ही अधिक होंगे और उनकी शक्ति बढ़ती जाएगी।
3. बाहरी संकेतों को देखते हुए, अधिकांश बॉटनेट को केंद्रीय रूप से नियंत्रित नहीं किया जाता है, बल्कि एक पीयर-टू-पीयर नेटवर्क के माध्यम से नियंत्रित किया जाता है। इससे हमलावरों को समय के साथ बॉटनेट की गतिविधियों को सिंक्रनाइज़ करने का अवसर मिलता है - यदि पहले नियंत्रण आदेश दसियों मिनटों में 5 हजार मशीनों के बॉटनेट पर वितरित किए जाते थे, तो अब सेकंड गिनती करते हैं, और आपकी साइट अचानक संख्या में सौ गुना वृद्धि का अनुभव कर सकती है अनुरोधों का.
4. जावास्क्रिप्ट के साथ पूर्ण विकसित ब्राउज़र इंजन से लैस बॉट्स की हिस्सेदारी अभी भी छोटी है, लेकिन लगातार बढ़ रही है। इस तरह के हमले को अंतर्निहित तात्कालिक साधनों से रोकना अधिक कठिन होता है, इसलिए DIYers को इस प्रवृत्ति को सावधानी से देखना चाहिए।

ओएस तैयार कर रहा हूं

nginx को ठीक-ठीक करने के अलावा, आपको सिस्टम नेटवर्क स्टैक सेटिंग्स का ध्यान रखना होगा। कम से कम, अपने आप को एक छोटे SYN-बाढ़ हमले से तुरंत बचाने के लिए sysctl में तुरंत net.ipv4.tcp_syncookies सक्षम करें।

15. कोर को ट्यून करें

टाइमआउट और मेमोरी के संबंध में, नेटवर्क पार्ट (कर्नेल) की अधिक उन्नत सेटिंग्स पर ध्यान दें। अधिक महत्वपूर्ण और कम महत्वपूर्ण हैं। सबसे पहले, आपको इस पर ध्यान देने की आवश्यकता है:

• Net.ipv4.tcp_fin_timeoutवह समय जो सॉकेट TCP FIN-WAIT-2 चरण (FIN/ACK सेगमेंट की प्रतीक्षा) में व्यतीत करेगा।
• Net.ipv4.tcp_(,r,w)memटीसीपी सॉकेट बफर आकार प्राप्त करता है। तीन मान: न्यूनतम, डिफ़ॉल्ट और अधिकतम।
• नेट.कोर.(आर,डब्ल्यू)मेम_मैक्सयही बात गैर-टीसीपी बफ़र्स के लिए भी लागू होती है।

100 Mbit/s के चैनल के साथ, डिफ़ॉल्ट मान अभी भी किसी तरह उपयुक्त हैं; लेकिन यदि आपके पास कम से कम गीगाबिट प्रति सेकंड उपलब्ध है, तो कुछ इस तरह का उपयोग करना बेहतर है:

Sysctl -w नेट.कोर.rmem_max=8388608 sysctl -w नेट.कोर.wmem_max=8388608 sysctl -w नेट.ipv4.tcp_rmem='4096 87380 8388608' sysctl -w नेट.ipv4.tcp_wmem='4096 65536 838860 8" sysctl - w Net.ipv4.tcp_fin_timeout=10

16. संशोधन /proc/sys/net/**

/proc/sys/net/** में सभी मापदंडों की जांच करना आदर्श है। हमें यह देखने की जरूरत है कि वे डिफ़ॉल्ट से कितने अलग हैं और यह समझने की जरूरत है कि वे कितने पर्याप्त रूप से सेट हैं। एक लिनक्स डेवलपर (या सिस्टम प्रशासक) जो अपने नियंत्रण में इंटरनेट सेवा के संचालन को समझता है और इसे अनुकूलित करना चाहता है, उसे कर्नेल नेटवर्क स्टैक के सभी मापदंडों के दस्तावेज़ीकरण को रुचि के साथ पढ़ना चाहिए। शायद उसे वहां साइट-विशिष्ट चर मिलेंगे जो न केवल साइट को घुसपैठियों से बचाने में मदद करेंगे, बल्कि इसके संचालन को भी तेज करेंगे।

डरो नहीं!

दिन-ब-दिन सफल DDoS हमले ई-कॉमर्स को ख़त्म कर देते हैं, मीडिया को हिला देते हैं और सबसे बड़ी भुगतान प्रणालियों को एक झटके में ख़त्म कर देते हैं। लाखों इंटरनेट उपयोगकर्ता महत्वपूर्ण जानकारी तक पहुंच खो रहे हैं। खतरा अत्यावश्यक है, इसलिए हमें इसका डटकर सामना करना होगा। अपना होमवर्क करो, डरो मत और अपना दिमाग ठंडा रखो। आप पहले और आखिरी नहीं हैं जो आपकी वेबसाइट पर DDoS हमले का सामना करेंगे, और यह आपकी शक्ति में है, अपने ज्ञान और सामान्य ज्ञान द्वारा निर्देशित, हमले के परिणामों को न्यूनतम तक कम करने के लिए।

आज समाचारों की सुर्खियाँ DDoS (डिस्ट्रीब्यूटेड डेनियल ऑफ सर्विस) हमलों की रिपोर्टों से भरी हुई हैं। इंटरनेट पर मौजूद कोई भी संगठन वितरित सेवा अस्वीकरण हमलों के प्रति संवेदनशील है। सवाल यह नहीं है कि आप पर हमला होगा या नहीं, सवाल यह है कि कब होगा। सरकारी एजेंसियां, मीडिया और ई-कॉमर्स साइटें, कॉर्पोरेट साइटें, वाणिज्यिक और गैर-लाभकारी संगठन सभी DDoS हमलों के संभावित लक्ष्य हैं।

किस पर हमला हो रहा है?

उसी समय, DDoS हमलों से बैंकों को महत्वपूर्ण नुकसान नहीं हुआ - वे अच्छी तरह से संरक्षित हैं, इसलिए ऐसे हमले, हालांकि उन्होंने परेशानी पैदा की, गंभीर नहीं थे और एक भी सेवा को बाधित नहीं किया। हालाँकि, यह कहा जा सकता है कि हैकर्स की एंटी-बैंकिंग गतिविधि काफी बढ़ गई है।

फरवरी 2017 में, रूसी स्वास्थ्य मंत्रालय की तकनीकी सेवाओं ने हाल के वर्षों में सबसे बड़े DDoS हमले को विफल कर दिया, जो अपने चरम पर प्रति मिनट 4 मिलियन अनुरोधों तक पहुंच गया था। सरकारी रजिस्ट्रियों पर भी DDoS हमले हुए हैं, लेकिन वे भी असफल रहे और डेटा में कोई बदलाव नहीं हुआ।

हालाँकि, ऐसे कई संगठन और कंपनियाँ जिनके पास ऐसी शक्तिशाली "सुरक्षा" नहीं है, DDoS हमलों के शिकार बन जाते हैं। 2017 में, साइबर खतरों - रैंसमवेयर, DDoS और इंटरनेट ऑफ थिंग्स उपकरणों पर हमलों से नुकसान बढ़ने की उम्मीद है।

इसे फ्रांसीसी होस्टिंग प्रदाता ओवीएच के खिलाफ अंजाम दिया गया था। यह एक शक्तिशाली DDoS हमला था - लगभग 1 Tbit/s। हैकरों ने 150 हजार IoT उपकरणों, जिनमें अधिकतर सीसीटीवी कैमरे थे, का फायदा उठाने के लिए एक बॉटनेट का उपयोग किया। मिराई बॉटनेट हमलों ने कई IoT डिवाइस बॉटनेट को जन्म दिया है। विशेषज्ञों के अनुसार, 2017 में, IoT बॉटनेट साइबरस्पेस में मुख्य खतरों में से एक बना रहेगा।

DDoS हमलों में एक उल्लेखनीय प्रवृत्ति "पीड़ितों की सूची" का विस्तार है। इसमें अब लगभग सभी उद्योगों के प्रतिनिधि शामिल हैं। इसके अलावा, हमले के तरीकों में सुधार किया जा रहा है।
नेक्ससगार्ड के अनुसार, 2016 के अंत में, मिश्रित प्रकार के DDoS हमलों की संख्या - एक साथ कई कमजोरियों का उपयोग करते हुए - उल्लेखनीय रूप से वृद्धि हुई। सबसे अधिक बार, वित्तीय और सरकारी संगठन उनके अधीन थे। साइबर अपराधियों का मुख्य मकसद (70% मामलों में) डेटा की चोरी या फिरौती के लिए उसे नष्ट करने की धमकी देना है। कम अक्सर - राजनीतिक या सामाजिक लक्ष्य। यही कारण है कि एक रक्षा रणनीति महत्वपूर्ण है। यह किसी हमले की तैयारी कर सकता है और इसके परिणामों को कम कर सकता है, वित्तीय और प्रतिष्ठित जोखिमों को कम कर सकता है।

हमलों के परिणाम

DDoS हमलों से वैश्विक स्तर पर छोटे संगठनों के लिए औसत नुकसान $50,000 और बड़े उद्यमों के लिए लगभग $500,000 का अनुमान लगाया गया है। DDoS हमले के परिणामों को खत्म करने के लिए अतिरिक्त स्टाफ समय, सुरक्षा सुनिश्चित करने के लिए अन्य परियोजनाओं से संसाधनों का विचलन, सॉफ़्टवेयर अद्यतन योजना का विकास, उपकरण आधुनिकीकरण आदि की आवश्यकता होगी।

DDoS हमलों के प्रकार

DDoS हमलों को व्यवस्थित करना काफी सरल हो गया है: अब व्यापक रूप से उपलब्ध स्वचालित उपकरण हैं जिनके लिए साइबर अपराधियों से किसी विशेष ज्ञान की आवश्यकता नहीं होती है। लक्ष्य पर गुमनाम रूप से हमला करने के लिए सशुल्क DDoS सेवाएँ भी उपलब्ध हैं। उदाहरण के लिए, vDOS सेवा यह जाँचे बिना अपनी सेवाएँ प्रदान करती है कि क्या ग्राहक उस साइट का मालिक है जो इसे "अंडर लोड" परीक्षण करना चाहता है, या क्या यह किसी हमले के उद्देश्य से किया गया है।

DDoS हमलों की संख्या में वार्षिक वृद्धि 50% अनुमानित है (www.leaseweb.com के अनुसार), लेकिन विभिन्न स्रोतों से डेटा अलग-अलग है, और सभी घटनाएं ज्ञात नहीं हो पाती हैं। लेयर 3/4 DDoS हमलों की औसत शक्ति हाल के वर्षों में 20 से कई सौ GB/s तक बढ़ गई है। हालाँकि बड़े पैमाने पर DDoS और प्रोटोकॉल-स्तर के हमले अपने आप में काफी बुरे हैं, साइबर अपराधी तेजी से उन्हें लेयर 7 DDoS हमलों के साथ जोड़ रहे हैं, यानी एप्लिकेशन स्तर पर, जिसका उद्देश्य डेटा को बदलना या चोरी करना है। ऐसे "मल्टी-वेक्टर" हमले बहुत प्रभावी हो सकते हैं।

बड़े पैमाने पर DDoS हमले (वॉल्यूम आधारित) के मामले में, बड़ी संख्या में अनुरोधों का उपयोग किया जाता है, जो अक्सर वैध आईपी पते से भेजे जाते हैं, ताकि साइट ट्रैफ़िक में "अवरुद्ध" हो जाए। ऐसे हमलों का लक्ष्य सभी उपलब्ध बैंडविड्थ को "बंद" करना और वैध ट्रैफ़िक को अवरुद्ध करना है।

प्रोटोकॉल-स्तरीय हमले (जैसे यूडीपी या आईसीएमपी) के मामले में, लक्ष्य सिस्टम संसाधनों को समाप्त करना है। ऐसा करने के लिए, खुले अनुरोध भेजे जाते हैं, उदाहरण के लिए, नकली आईपी के साथ टीसीपी/आईपी अनुरोध, और नेटवर्क संसाधनों की समाप्ति के परिणामस्वरूप, वैध अनुरोधों को संसाधित करना असंभव हो जाता है। विशिष्ट प्रतिनिधि DDoS हमले हैं, जिन्हें संकीर्ण दायरे में स्मर्फ़ DDos, पिंग ऑफ़ डेथ और SYN फ्लड के नाम से जाना जाता है। एक अन्य प्रकार के प्रोटोकॉल-स्तरीय DDoS हमले में बड़ी संख्या में खंडित पैकेट भेजना शामिल है जिन्हें सिस्टम संभाल नहीं सकता है।

परत 7 DDoS हमलों में प्रतीत होने वाले अहानिकर अनुरोध भेजना शामिल है जो सामान्य उपयोगकर्ता क्रियाओं का परिणाम प्रतीत होते हैं। आमतौर पर, इन्हें बॉटनेट और स्वचालित उपकरणों का उपयोग करके किया जाता है। सुप्रसिद्ध उदाहरण स्लोलोरिस, अपाचे किलर, क्रॉस-साइट स्क्रिप्टिंग, एसक्यूएल इंजेक्शन, रिमोट फ़ाइल इंजेक्शन हैं।

2012-2014 में, अधिकांश बड़े DDoS हमले स्टेटलेस हमले थे (राज्यों या ट्रैकिंग सत्रों को याद किए बिना) - उन्होंने यूडीपी प्रोटोकॉल का उपयोग किया था। स्टेटलेस के मामले में, कई पैकेट एक सत्र में प्रसारित होते हैं (उदाहरण के लिए, एक पृष्ठ खोलना)। स्टेटलेस डिवाइस, एक नियम के रूप में, यह नहीं जानते कि सत्र किसने शुरू किया (पेज का अनुरोध किया)।

यूडीपी प्रोटोकॉल स्पूफिंग - पता प्रतिस्थापन के प्रति संवेदनशील है। उदाहरण के लिए, यदि आप DNS एम्प्लीफिकेशन हमले का उपयोग करके 56.26.56.26 पर DNS सर्वर पर हमला करना चाहते हैं, तो आप स्रोत पते 56.26.56.26 के साथ पैकेट का एक सेट बना सकते हैं और उन्हें दुनिया भर के DNS सर्वरों पर भेज सकते हैं। ये सर्वर 56.26.56.26 पर प्रतिक्रिया भेजेंगे।

यही विधि एनटीपी सर्वर, एसएसडीपी सक्षम उपकरणों के लिए काम करती है। एनटीपी प्रोटोकॉल शायद सबसे लोकप्रिय तरीका है: 2016 की दूसरी छमाही में, इसका उपयोग 97.5% DDoS हमलों में किया गया था।
सर्वोत्तम वर्तमान अभ्यास (बीसीपी) नियम 38 अनुशंसा करता है कि आईएसपी स्पूफिंग को रोकने के लिए गेटवे को कॉन्फ़िगर करें - प्रेषक का पता, मूल नेटवर्क नियंत्रित किया जाता है। लेकिन सभी देश इस प्रथा का पालन नहीं करते हैं। इसके अलावा, हमलावर टीसीपी स्तर पर स्टेटफुल हमलों का उपयोग करके बीसीपी 38 नियंत्रणों को बायपास करते हैं। F5 सिक्योरिटी ऑपरेशंस सेंटर (SOC) के मुताबिक, पिछले पांच सालों में ऐसे हमलों का बोलबाला रहा है। 2016 में, यूडीपी हमलों की तुलना में टीसीपी हमलों की संख्या दोगुनी थी।

लेयर 7 हमलों का उपयोग मुख्य रूप से पेशेवर हैकर्स द्वारा किया जाता है। सिद्धांत इस प्रकार है: एक "भारी" यूआरएल लिया जाता है (पीडीएफ फाइल या बड़े डेटाबेस के लिए अनुरोध के साथ) और प्रति सेकंड दसियों या सैकड़ों बार दोहराया जाता है। परत 7 के हमलों के गंभीर परिणाम होते हैं और उनका पता लगाना मुश्किल होता है। वे अब लगभग 10% DDoS हमले करते हैं।

DDoS हमले अक्सर चरम ट्रैफ़िक की अवधि के साथ मेल खाते हैं, उदाहरण के लिए, ऑनलाइन बिक्री के दिन। इस समय व्यक्तिगत और वित्तीय डेटा का बड़ा प्रवाह हैकर्स को आकर्षित करता है।

DDoS DNS पर हमला करता है

DDoS हमलों का पता लगाना मुश्किल है, खासकर शुरुआत में जब ट्रैफ़िक सामान्य लगता है। DNS इन्फ्रास्ट्रक्चर विभिन्न प्रकार के DDoS हमलों के अधीन हो सकता है। कभी-कभी यह DNS सर्वर पर सीधा हमला होता है। अन्य मामलों में, आईटी बुनियादी ढांचे या सेवाओं के अन्य तत्वों पर हमला करने के लिए डीएनएस सिस्टम का उपयोग करके शोषण का उपयोग किया जाता है।

इससे दोहरा प्रभाव प्राप्त होता है। लक्ष्य प्रणाली पर हजारों और लाखों DNS प्रतिक्रियाओं की बमबारी हो जाती है, और DNS सर्वर लोड का सामना करने में असमर्थ होकर क्रैश हो सकता है। DNS अनुरोध आमतौर पर 50 बाइट्स से कम होता है, लेकिन प्रतिक्रिया दस गुना लंबी होती है। इसके अलावा, DNS संदेशों में काफी अन्य जानकारी भी हो सकती है।

मान लीजिए कि हमलावर ने 50 बाइट्स (कुल 5 एमबी) के 100,000 छोटे डीएनएस अनुरोध जारी किए। यदि प्रत्येक प्रतिक्रिया में 1 केबी है, तो कुल पहले से ही 100 एमबी है। इसलिए नाम - प्रवर्धन। डीएनएस रिफ्लेक्शन और एम्प्लीफिकेशन हमलों के संयोजन के बहुत गंभीर परिणाम हो सकते हैं।

DDoS हमलों से खुद को कैसे बचाएं?

1. सॉफ़्टवेयर कोड सुरक्षा. सॉफ़्टवेयर लिखते समय सुरक्षा संबंधी बातों को ध्यान में रखा जाना चाहिए। क्रॉस-साइट स्क्रिप्टिंग और एसक्यूएल इंजेक्शन जैसी सामान्य त्रुटियों और कमजोरियों से बचने के लिए "सुरक्षित कोडिंग" मानकों का पालन करने और अपने सॉफ़्टवेयर का पूरी तरह से परीक्षण करने की अनुशंसा की जाती है।
2. एक सॉफ़्टवेयर अद्यतन योजना विकसित करें. यदि कुछ गलत होता है तो हमेशा रोलबैक विकल्प होना चाहिए।
3. अपने सॉफ़्टवेयर को तुरंत अपडेट करें. यदि आप अपडेट डाउनलोड करने में सक्षम थे, लेकिन समस्याएं सामने आईं, तो बिंदु 2 देखें।
4. पहुंच प्रतिबंधों के बारे में मत भूलना. व्यवस्थापक और/या खातों को मजबूत और नियमित रूप से बदले जाने वाले पासवर्ड से सुरक्षित किया जाना चाहिए। समय-समय पर पहुंच अधिकारों का ऑडिट करना और इस्तीफा देने वाले कर्मचारियों के खातों को समय पर हटाना भी आवश्यक है।
5. व्यवस्थापक इंटरफ़ेस केवल आंतरिक नेटवर्क या वीपीएन के माध्यम से पहुंच योग्य होना चाहिए। नौकरी छोड़ने वालों और विशेष रूप से नौकरी से निकाले गए कर्मचारियों के लिए वीपीएन एक्सेस तुरंत बंद करें।
6. अपनी आपदा पुनर्प्राप्ति योजना में DDoS आक्रमण शमन को शामिल करें। योजना में ऐसे हमले के तथ्य का पता लगाने के तरीके, इंटरनेट या होस्टिंग प्रदाता के साथ संचार के लिए संपर्क और प्रत्येक विभाग के लिए "समस्या वृद्धि" वृक्ष शामिल होना चाहिए।
7. भेद्यता स्कैनिंग से आपके बुनियादी ढांचे और सॉफ़्टवेयर में समस्याओं की पहचान करने और जोखिमों को कम करने में मदद मिलेगी। एक सरल OWASP टॉप 10 भेद्यता परीक्षण सबसे महत्वपूर्ण मुद्दों को उजागर करेगा। पेनेट्रेशन परीक्षण भी उपयोगी होंगे - वे कमजोर बिंदुओं को खोजने में मदद करेंगे।
8. DDoS हमलों के विरुद्ध हार्डवेयर सुरक्षा महंगी हो सकती है। यदि आपका बजट इसकी अनुमति नहीं देता है, तो एक अच्छा विकल्प है - ऑन-डिमांड DDoS सुरक्षा। ऐसी सेवा को आपातकालीन स्थिति में केवल ट्रैफ़िक रूटिंग योजना को बदलकर सक्षम किया जा सकता है, या इसे स्थायी रूप से संरक्षित किया जा सकता है।
9. CDN पार्टनर का उपयोग करें. सामग्री वितरण नेटवर्क आपको वितरित नेटवर्क पर वेबसाइट सामग्री वितरित करने की अनुमति देता है। ट्रैफ़िक को कई सर्वरों पर वितरित किया जाता है, जिससे भौगोलिक रूप से दूरस्थ सर्वरों सहित उपयोगकर्ताओं तक पहुँचने में होने वाली देरी कम हो जाती है। इसलिए जबकि सीडीएन का मुख्य लाभ गति है, यह मुख्य सर्वर और उपयोगकर्ताओं के बीच एक बाधा के रूप में भी कार्य करता है।
10. वेब एप्लिकेशन फ़ायरवॉल का उपयोग करें - वेब अनुप्रयोगों के लिए एक फ़ायरवॉल। यह किसी साइट या एप्लिकेशन और ब्राउज़र के बीच ट्रैफ़िक की निगरानी करता है, अनुरोधों की वैधता की जाँच करता है। एप्लिकेशन स्तर पर काम करते हुए, WAF संग्रहीत पैटर्न के आधार पर हमलों का पता लगा सकता है और असामान्य व्यवहार का पता लगा सकता है। ई-कॉमर्स में एप्लिकेशन-स्तरीय हमले आम हैं। CDN की तरह, आप क्लाउड में WAF सेवाओं का उपयोग कर सकते हैं। हालाँकि, नियमों को कॉन्फ़िगर करने के लिए कुछ अनुभव की आवश्यकता होती है। आदर्श रूप से, सभी मुख्य अनुप्रयोगों को WAF द्वारा संरक्षित किया जाना चाहिए।

डीएनएस सुरक्षा

1. संदिग्ध गतिविधि के लिए DNS सर्वर की निगरानी करना आपके DNS बुनियादी ढांचे की सुरक्षा में पहला कदम है। वाणिज्यिक DNS समाधान और BIND जैसे ओपन सोर्स उत्पाद वास्तविक समय के आँकड़े प्रदान करते हैं जिनका उपयोग DDoS हमलों का पता लगाने के लिए किया जा सकता है। DDoS हमलों की निगरानी करना एक संसाधन-गहन कार्य हो सकता है। सामान्य परिचालन स्थितियों के तहत बुनियादी ढांचे की आधारभूत प्रोफ़ाइल बनाना और फिर समय-समय पर इसे अपडेट करना सबसे अच्छा है क्योंकि बुनियादी ढांचा विकसित होता है और यातायात पैटर्न बदलता है।
2. अतिरिक्त DNS सर्वर संसाधन DNS बुनियादी ढांचे को अतिरेक प्रदान करके छोटे पैमाने के हमलों से निपटने में मदद कर सकते हैं। बड़ी मात्रा में अनुरोधों को संभालने के लिए सर्वर और नेटवर्क संसाधन पर्याप्त होने चाहिए। बेशक, अतिरेक में पैसा खर्च होता है। आप उन सर्वर और नेटवर्क संसाधनों के लिए भुगतान कर रहे हैं जिनका सामान्य परिस्थितियों में आमतौर पर उपयोग नहीं किया जाता है। और शक्ति के एक महत्वपूर्ण "भंडार" के साथ, यह दृष्टिकोण प्रभावी होने की संभावना नहीं है।
3. डीएनएस रिस्पांस रेट लिमिटिंग (आरआरएल) को सक्षम करने से यह संभावना कम हो जाएगी कि सर्वर बार-बार अनुरोधों का जवाब देने की गति को कम करके डीडीओएस रिफ्लेक्शन हमले में शामिल होगा। आरआरएल कई डीएनएस कार्यान्वयन द्वारा समर्थित हैं।
4. उच्च उपलब्धता कॉन्फ़िगरेशन का उपयोग करें. आप उच्च उपलब्धता (HA) सर्वर पर DNS सेवा को तैनात करके DDoS हमलों से बचाव कर सकते हैं। यदि किसी हमले के परिणामस्वरूप एक भौतिक सर्वर बंद हो जाता है, तो DNS सेवा को बैकअप सर्वर पर बहाल किया जा सकता है।

यूनिकैस्ट के साथ, आपकी कंपनी के प्रत्येक DNS सर्वर को एक अद्वितीय आईपी पता प्राप्त होता है। DNS आपके डोमेन के DNS सर्वर और उनके संबंधित आईपी पते की एक तालिका बनाए रखता है। जब कोई उपयोगकर्ता एक यूआरएल दर्ज करता है, तो अनुरोध को पूरा करने के लिए आईपी पते में से एक को यादृच्छिक रूप से चुना जाता है।

एनीकास्ट एड्रेसिंग स्कीम के साथ, विभिन्न DNS सर्वर एक सामान्य आईपी पता साझा करते हैं। जब कोई उपयोगकर्ता URL दर्ज करता है, तो DNS सर्वर का सामूहिक पता वापस आ जाता है। आईपी ​​नेटवर्क अनुरोध को निकटतम सर्वर तक रूट करता है।

एनीकास्ट, यूनिकास्ट की तुलना में मूलभूत सुरक्षा लाभ प्रदान करता है। यूनिकैस्ट व्यक्तिगत सर्वरों के आईपी पते प्रदान करता है ताकि हमलावर विशिष्ट भौतिक सर्वर और वर्चुअल मशीनों पर लक्षित हमले शुरू कर सकें, और जब उस सिस्टम के संसाधन समाप्त हो जाते हैं, तो सेवा विफलता होती है। एनीकास्ट सर्वरों के एक समूह में अनुरोध वितरित करके DDoS हमलों को कम करने में मदद कर सकता है। एनीकास्ट किसी हमले के प्रभाव को अलग करने के लिए भी उपयोगी है।

प्रदाता द्वारा प्रदान की गई DDoS सुरक्षा

प्रबंधित DNS सेवा प्रदाता बड़े पैमाने पर एनीकास्ट नेटवर्क संचालित करते हैं और दुनिया भर में उनकी उपस्थिति के बिंदु हैं। नेटवर्क सुरक्षा विशेषज्ञ 24/7/365 नेटवर्क की निगरानी करते हैं और DDoS हमलों के प्रभाव को कम करने के लिए विशेष उपकरणों का उपयोग करते हैं।

दूसरा विकल्प आईपी एड्रेस सुरक्षा है। प्रदाता उस आईपी पते को रखता है जिसे ग्राहक ने एक विशेष नेटवर्क विश्लेषक में संरक्षित के रूप में चुना है। किसी हमले के दौरान, क्लाइंट के ट्रैफ़िक का मिलान ज्ञात हमले के पैटर्न से किया जाता है। परिणामस्वरूप, क्लाइंट को केवल साफ़, फ़िल्टर किया गया ट्रैफ़िक प्राप्त होता है। इस प्रकार, साइट उपयोगकर्ताओं को पता भी नहीं चलेगा कि उन पर हमला किया गया है। इसे व्यवस्थित करने के लिए, फ़िल्टरिंग नोड्स का एक वितरित नेटवर्क बनाया जाता है ताकि प्रत्येक हमले के लिए निकटतम नोड का चयन किया जा सके और ट्रैफ़िक ट्रांसमिशन में देरी को कम किया जा सके।

DDoS हमला सुरक्षा सेवाओं का उपयोग करने का परिणाम DDoS हमलों का समय पर पता लगाना और उन्हें रोकना, वेबसाइट संचालन की निरंतरता और उपयोगकर्ताओं के लिए इसकी निरंतर उपलब्धता, वेबसाइट या पोर्टल डाउनटाइम से वित्तीय और प्रतिष्ठित नुकसान को कम करना होगा।