DOS i DDoS napadi: pojam, vrste, metode detekcije i zaštite. DDoS napadi: napad i obrana Koji su mehanizmi za pokretanje DDoS napada

Distribuirani napadi uskraćivanja usluge ili skraćeno DDoS postali su uobičajena pojava i velika glavobolja za vlasnike internetskih resursa diljem svijeta. Zato zaštita od DDoS napada na web stranicu danas nije dodatna opcija, već preduvjet za one koji žele izbjeći zastoje, velike gubitke i narušenu reputaciju.

Reći ćemo vam detaljnije što je to bolest i kako se zaštititi od nje.

Što je DDoS

Distributed Denial of Service ili “Distributed Denial of Service” je napad na informacijski sustav tako da nije u mogućnosti obraditi korisničke zahtjeve. Jednostavnim riječima, DDoS uključuje preplavljivanje web resursa ili poslužitelja prometom iz ogromnog broja izvora, čineći ga nedostupnim. Često se takav napad provodi kako bi se izazvali prekidi u radu mrežnih resursa u velikoj tvrtki ili vladinoj organizaciji

DDoS napad sličan je drugoj uobičajenoj web prijetnji, uskraćivanju usluge (DoS). Jedina razlika je u tome što tipični distribuirani napad dolazi iz jedne točke, dok je DDos napad rašireniji i dolazi iz različitih izvora.

Glavni cilj DDoS napada je blokiranjem rada web stranice učiniti nedostupnom posjetiteljima. Ali postoje slučajevi kada se takvi napadi provode kako bi se skrenula pozornost s drugih štetnih utjecaja. DDoS napad može se, primjerice, izvesti kada je sigurnosni sustav ugrožen kako bi se preuzela baza podataka organizacije.

DDoS napadi došli su u žižu javnosti 1999. godine, kada se dogodila serija napada na web stranice velikih kompanija (Yahoo, eBay, Amazon, CNN). Od tada se ova vrsta cyber kriminala razvila u globalnu prijetnju. Prema riječima stručnjaka, posljednjih godina njihova je frekvencija porasla 2,5 puta, a maksimalna snaga počela je prelaziti 1 Tbit/sec. Svaka šesta ruska tvrtka barem je jednom postala žrtva DDoS napada. Do 2020. njihov će ukupan broj dosegnuti 17 milijuna.

Hosting platforma sa 24/7 zaštitom od najsofisticiranijih DDoS napada.

Razlozi DDoS napada

1. Osobni animozitet.Često potiče napadače da napadaju korporacije ili državne tvrtke. Na primjer, 1999. godine napadnute su web stranice FBI-a, što je uzrokovalo da ne rade nekoliko tjedana. To se dogodilo jer je FBI pokrenuo veliku raciju na hakere.
2. Politički protest. Tipično, takve napade izvode haktivisti - IT stručnjaci s radikalnim stavovima o građanskom prosvjedu. Dobro poznati primjer je serija kibernetičkih napada na estonske vladine agencije 2007. Njihov je vjerojatni razlog bila mogućnost rušenja Spomenika vojniku-osloboditelju u Tallinnu.
3. Zabava. Danas je sve više ljudi zainteresirano za DDoS i žele se okušati u tome. Hakeri početnici često pokreću napade iz zabave.
4. Iznude i ucjene. Prije pokretanja napada, haker kontaktira vlasnika resursa i zahtijeva otkupninu.
5. Natjecanje. DDoS napadi mogu se naručiti od beskrupulozne tvrtke kako bi se utjecalo na njezinu konkurenciju.

Tko su potencijalne žrtve?

DDoS može uništiti stranice bilo koje veličine, od običnih blogova do najvećih korporacija, banaka i drugih financijskih institucija.

Prema istraživanju koje je proveo Kaspersky Lab, napad bi mogao koštati tvrtku do 1,6 milijuna dolara. Ovo je ozbiljna šteta, jer napadnuti web resurs neko vrijeme ne može biti servisiran, što uzrokuje zastoj.

Najčešće web stranice i poslužitelji pate od DDoS napada:

• velike tvrtke i državne agencije;
• financijske institucije (banke, društva za upravljanje);
• usluge kupona;
• medicinske ustanove;
• sustavi plaćanja;
• Mediji i agregatori informacija;
• internetske trgovine i e-trgovina;
• online igre i usluge igranja;
• mjenjačnice kriptovaluta.

Nedavno je oprema povezana s internetom, zajednički nazvana "Internet of Things" (IoT), dodana na tužan popis čestih žrtava DDoS napada. Najveću dinamiku rasta u ovom području pokazuju kibernetički napadi čiji je cilj ometanje online blagajni velikih trgovina ili trgovačkih centara.

Mehanizam rada

Svi web poslužitelji imaju svoja ograničenja u broju zahtjeva koje mogu istovremeno obraditi. Osim toga, postoji ograničenje propusnosti kanala koji povezuje mrežu i poslužitelj. Kako bi zaobišli ta ograničenja, napadači stvaraju računalnu mrežu koja sadrži zlonamjerni softver, zvanu "botnet" ili "zombi mreža".

Kako bi stvorili botnet, kibernetički kriminalci distribuiraju trojanca putem e-mail biltena, društvenih mreža ili web stranica. Računala uključena u botnet nemaju međusobnu fizičku vezu. Ujedinjuje ih samo "služenje" ciljeva vlasnika hakera.

Tijekom DDoS napada, haker šalje naredbe "zaraženim" zombi računalima, a ona pokreću napad. Botneti generiraju ogromnu količinu prometa koji može preopteretiti bilo koji sustav. Glavni "objekti" za DDoS obično su propusnost poslužitelja, DNS poslužitelj i sama internetska veza.

Znakovi DDoS napada

Kada radnje napadača postignu svoj cilj, to se može odmah utvrditi kvarovima u radu poslužitelja ili resursa koji se tamo nalazi. Ali postoji niz neizravnih znakova po kojima možete saznati o DDoS napadu na samom početku.

• Poslužiteljski softver i OS pokreću se često i očito uspjeti- zamrzavanje, neispravno isključivanje itd.
hardverski kapacitet servera, što se znatno razlikuje od dnevnog prosjeka.
• Brzo povećanje dolaznipromet u jednoj ili više luka.
• Opetovano duplicirane radnje iste vrste klijenti na jednom resursu (odlazak na web stranicu, učitavanje datoteke).
• Prilikom analize zapisnika (zapisnika radnji korisnika) poslužitelja, vatrozida ili mrežnih uređaja otkriveno je mnogo zahtjeva iste vrste iz različitih izvora na jedan luka ili služba. Trebali biste biti posebno oprezni ako se publika zahtjeva znatno razlikuje od cilja za web mjesto ili uslugu.

Klasifikacija vrsta DDoS napada

Protokolarna ofenziva (transportni sloj)

DDoS napad usmjeren je na mrežni sloj poslužitelja ili web resursa, pa se često naziva napad mrežnog sloja ili transportnog sloja. Njegova je svrha preopteretiti prostor tablice na vatrozidu temeljenom na dnevniku, središnjoj mreži ili sustavu za uravnoteženje opterećenja.

Najčešća DDoS metoda na transportnom sloju je poplava mreže, stvarajući ogroman tok lažnih zahtjeva na različitim razinama koje primateljski čvor fizički ne može obraditi.

Tipično, mrežni servis koristi FIFO pravilo, što znači da računalo ne nastavlja s servisiranjem drugog zahtjeva dok ne obradi prvi. Ali tijekom napada, broj zahtjeva se toliko poveća da uređaj nema dovoljno resursa da izvrši prvi zahtjev. Kao rezultat toga, poplava zasićuje propusnost što je više moguće i potpuno začepljuje sve komunikacijske kanale.

Uobičajene vrste plavljenja mreže

• HTTP poplava- masa običnih ili šifriranih HTTP poruka šalje se napadnutom poslužitelju, začepljujući komunikacijske čvorove.
• ICMP poplava- napadačev botnet preopterećuje žrtvino glavno računalo servisnim zahtjevima, na koje je on dužan dati eho odgovore. Poseban primjer ove vrste napada je Ping poplava ili Smurf napad, kada su komunikacijski kanali ispunjeni ping zahtjevima koji se koriste za provjeru dostupnosti mrežnog čvora. Upravo zbog prijetnje plavljenja ICMP-a administratori sustava često potpuno blokiraju mogućnost postavljanja ICMP zahtjeva pomoću vatrozida.
• SYN poplava- napad utječe na jedan od osnovnih mehanizama TCP protokola, poznat kao princip “trostrukog rukovanja” (algoritam zahtjev-odgovor: SYN paket – SYN-ACK paket – ACK paket). Žrtva je bombardirana poplavom lažnih SYN zahtjeva bez odgovora. Korisnički kanal začepljen je nizom TCP veza iz odlaznih veza koje čekaju odgovor ACK paketa.
• UDP poplava- slučajni priključci žrtvinog računala preplavljeni su UDP paketima, čiji odgovori preopterećuju mrežne resurse. Poziva se vrsta UDP poplave usmjerene na DNS poslužitelj DNS poplava.
• MAC poplava- meta je mrežna oprema čiji su portovi začepljeni tokovima "praznih" paketa s različitim MAC adresama. Za zaštitu od ove vrste DDoS napada, mrežni preklopnici su konfigurirani za provjeru valjanosti i filtriranje MAC adresa.

Napadi na sloj aplikacije (sloj infrastrukture)

Ova se varijacija koristi kada je potrebno zauzeti ili onemogućiti hardverske resurse. Meta "napadača" može biti i fizički i RAM ili procesorsko vrijeme.

Nema potrebe za preopterećenjem propusnosti. Dovoljno je samo izazvati preopterećenje procesora žrtve ili, drugim riječima, oduzeti cjelokupno vrijeme procesa.

Vrste DDoS napada na razini aplikacije

• otprema "teškaX"paketi, dolazi izravno do procesora. Uređaj se ne može nositi sa složenim izračunima i počinje kvariti, čime se posjetiteljima onemogućuje pristup stranici.
• Pomoću skripte, poslužitelj se popunjava "smeća" sadržaja- log datoteke, “korisnički komentari” itd. Ako administrator sustava nije postavio ograničenje na poslužitelju, tada haker može stvoriti ogromne serije datoteka koje će ispuniti cijeli tvrdi disk.
• Problemi sa sustav kvota. Neki poslužitelji koriste CGI sučelje (Common Gateway Interface) za komunikaciju s vanjskim programima. Pri dobivanju pristupa CGI-ju, napadač može napisati vlastitu skriptu, koja će koristiti neke od resursa, na primjer, procesorsko vrijeme, u njegovim interesima.
• Nepotpuna provjera podaci o posjetiteljima. To također dovodi do produljene ili čak beskrajne upotrebe resursa procesora dok se ne iscrpe.
• Napad druge vrste. Izaziva lažni alarm u sigurnosnom sustavu, koji može automatski zatvoriti resurs od vanjskog svijeta.

Napadi na razini aplikacije

DDoS napad na razini aplikacije iskorištava propuste u kreiranju programskog koda, što čini softver ranjivim na vanjske utjecaje. Ova vrsta uključuje tako uobičajeni napad kao što je "Ping smrti" - masovno slanje dužih ICMP paketa na žrtvino računalo, što uzrokuje prekoračenje međuspremnika.

Ali profesionalni hakeri rijetko pribjegavaju tako jednostavnoj metodi kao što je preopterećenje propusnih kanala. Kako bi napali složene sustave velikih tvrtki, pokušavaju u potpunosti razumjeti strukturu sustava poslužitelja i napisati exploit - program, lanac naredbi ili dio programskog koda koji uzima u obzir ranjivost žrtvinog softvera i koristi se za napad Računalo.

DNS napadi

1. Prva grupa je usmjerena na ranjivosti uPO DNS poslužitelji. To uključuje uobičajene vrste cyber kriminala kao što su Zero-day napad i Fast Flux DNS.
   Jedan od najčešćih tipova DNS napada naziva se DNS-Spoofing. Tijekom njega napadači zamjenjuju IP adresu u predmemoriji poslužitelja, preusmjeravajući korisnika na lažnu stranicu. Tijekom prijelaza kriminalac dobiva pristup osobnim podacima korisnika i može ih koristiti u svoju korist. Na primjer, 2009. godine, zbog lažiranja DNS zapisa, korisnici sat vremena nisu mogli pristupiti Twitteru. Ovaj napad je bio političke prirode. Napadači su na glavnu stranicu društvene mreže instalirali upozorenja iranskih hakera vezana uz američku agresiju
2. Druga skupina su DDoS napadi, koji dovode do DNS neoperativnost- poslužitelji. Ako ne uspiju, korisnik neće moći pristupiti željenoj stranici, jer preglednik neće pronaći IP adresu specifičnu za određenu stranicu.

Prevencija i zaštita od DDoS napada

Prema Corero Network Securityju, više od ⅔ svih tvrtki u svijetu izloženo je napadima uskraćivanja pristupa svakog mjeseca. Štoviše, njihov broj doseže 50.

Vlasnici web stranica koji ne osiguraju zaštitu poslužitelja od DDoS napada mogu pretrpjeti ne samo velike gubitke, već i pad povjerenja kupaca, kao i konkurentnost na tržištu.

Najučinkovitiji način zaštite od DDoS napada su filtri koje pružatelj instalira na internetske kanale velike propusnosti. Oni provode dosljednu analizu cjelokupnog prometa i identificiraju sumnjive mrežne aktivnosti ili pogreške. Filtri se mogu instalirati i na razini usmjerivača i pomoću posebnih hardverskih uređaja.

Metode zaštite

1. Čak iu fazi pisanja softvera morate razmišljati o sigurnosti stranice. Temeljito provjerite softver za pogreške i ranjivosti.
2. redovito ažurirajte softver, a također pružaju mogućnost povratka na staru verziju ako se pojave problemi.
3. slijediti ograničenje pristupa. Usluge vezane uz administraciju trebaju biti potpuno zatvorene od pristupa trećih strana. Zaštitite svoj administratorski račun jakim lozinkama i često ih mijenjajte. Odmah izbrišite račune zaposlenika koji daju otkaz.
4. Pristup administrativno sučelje moraju se provoditi isključivo iz interne mreže ili putem VPN-a.
5. Skenirajte sustav za prisutnost ranjivosti. Najopasnije ranjivosti redovito objavljuje autoritativna OWASP Top 10 ocjena.
6. primijeniti aplikacijski vatrozid- WAF (vatrozid web aplikacije). Pregledava preneseni promet i prati legitimnost zahtjeva.
7. Koristiti CDN(Mreža za isporuku sadržaja). To je mreža za isporuku sadržaja koja radi pomoću distribuirane mreže. Promet se razvrstava na više poslužitelja, što smanjuje kašnjenje prilikom pristupa posjetitelja.
8. Kontrolirajte dolazni promet pomoću liste kontrole pristupa (ACL-ovi), koji će označavati popis osoba koje imaju pristup objektu (programu, procesu ili datoteci), kao i njihove uloge.
9. Limenka blokirati promet, koji dolazi od napadačkih uređaja. To se radi na dva načina: korištenjem vatrozida ili ACL-ova. U prvom slučaju, određeni tok je blokiran, ali zasloni ne mogu odvojiti "pozitivan" promet od "negativnog" prometa. A u drugom se filtriraju sporedni protokoli. Stoga neće biti korisno ako haker koristi prioritetne upite.
10. Da biste se zaštitili od lažiranja DNS-a, morate povremeno očisti DNS predmemoriju.
11. Koristiti zaštita od neželjenih robota- captcha, "ljudski" vremenski okviri za ispunjavanje obrazaca, reCaptcha (označite "Nisam robot") itd.
12. Obrnuti napad. Sav zlonamjerni promet preusmjerava se na napadača. Pomoći će ne samo odbiti napad, već i uništiti poslužitelj napadača.
13. Postavljanje resursa na nekoliko neovisnih poslužitelja. Ako jedan poslužitelj zakaže, preostali će osigurati rad.
14. Korištenje provjerenog hardverska zaštita od DDoS napada. Na primjer, Impletec iCore ili DefensePro.
15. Odaberite hosting providera s kojim surađujete pouzdan dobavljač usluge kibernetičke sigurnosti. Među kriterijima pouzdanosti stručnjaci ističu: prisutnost jamstava kvalitete, pružanje zaštite od najšireg spektra prijetnji, 24-satnu tehničku podršku, transparentnost (pristup klijenta statistici i analitici) i odsutnost tarifa za zlonamjerni promet .

Zaključak

U ovom smo članku pogledali što znači DDoS napad i kako zaštititi svoje web mjesto od napada. Važno je zapamtiti da takve zlonamjerne radnje mogu srušiti čak i najsigurnije i najveće web resurse. To će dovesti do ozbiljnih posljedica u obliku velikih gubitaka i gubitka kupaca. Zbog toga je zaštita vašeg resursa od DDoS napada hitan zadatak za sve komercijalne strukture i vladine agencije.

Želite li profesionalnu razinu zaštite od DDoS napada - odaberite! Konstantan nadzor i tehnička podrška 24/7.

Vjerojatno su mnogi moderni korisnici računala i interneta čuli o prisutnosti DDoS napada koje provode napadači na bilo koje web stranice ili poslužitelje velikih tvrtki. Pogledajmo što je DDoS napad, kako to učiniti sami i kako se zaštititi od takvih radnji.

Što je DDoS napad?

Za početak, možda je vrijedno razumjeti što su takve nezakonite radnje. Odmah pojasnimo da će se pri razmatranju teme "DDoS napad: kako to učiniti sami" informacije dati isključivo u informativne svrhe, a ne za praktičnu upotrebu. Sve takve radnje su kazneno kažnjive.

Sam napad, uglavnom, šalje dovoljno velik broj zahtjeva poslužitelju ili web stranici, koji, kada prekorače ograničenje zahtjeva, blokiraju rad web resursa ili usluge pružatelja usluga u obliku gašenja poslužitelja s sigurnosni softver, vatrozid ili specijalizirana oprema.

Jasno je da DIY DDoS napad ne može kreirati jedan korisnik s jednog računalnog terminala bez posebnih programa. Uostalom, neće sjediti danima i svake minute slati zahtjeve napadnutom mjestu. Toliki broj neće funkcionirati, budući da svaki pružatelj pruža zaštitu od DDoS napada, a jedan korisnik nije u mogućnosti pružiti toliki broj zahtjeva poslužitelju ili stranici koji bi u kratkom vremenu premašio ograničenje zahtjeva i pokrenuo razne zaštitne mehanizme. Dakle, morat ćete upotrijebiti nešto drugo za kreiranje vlastitog napada. Ali o tome kasnije.

Zašto prijetnja nastaje?

Ako razumijete što je DDoS napad, kako ga izvesti i poslati prekomjeran broj zahtjeva poslužitelju, vrijedi razmotriti mehanizme kojima se takve radnje provode.

To mogu biti nepouzdani koji se ne mogu nositi s velikim brojem zahtjeva, prazninama u sigurnosnom sustavu pružatelja usluga ili u samim operativnim sustavima, nedostatkom sistemskih resursa za obradu dolaznih zahtjeva s daljnjim zamrzavanjem ili padovima sustava itd.

U zoru ovog fenomena, DDoS napade "uradi sam" provodili su uglavnom sami programeri, koji su uz njegovu pomoć kreirali i testirali performanse zaštitnih sustava. Usput, svojedobno su čak i takvi IT divovi kao što su Yahoo, Microsoft, eBay, CNN i mnogi drugi patili od napada napadača koji su koristili DoS i DDoS komponente kao oružje. Ključna točka u tim situacijama bili su pokušaji eliminacije konkurenata u smislu ograničavanja pristupa njihovim internetskim resursima.

Općenito, moderni elektronički trgovci rade istu stvar. Da biste to učinili, jednostavno preuzmite program za DDoS napade, a onda je, kako kažu, stvar tehnike.

Vrste DDoS napada

Sada nekoliko riječi o klasifikaciji napada ove vrste. Glavna stvar za sve je onemogućiti poslužitelj ili web stranicu. Prva vrsta uključuje pogreške povezane sa slanjem netočnih instrukcija poslužitelju na izvršenje, zbog čega se njegov rad ruši. Druga opcija je masovno slanje korisničkih podataka, što dovodi do beskonačne (cikličke) provjere uz sve veće opterećenje resursa sustava.

Treća vrsta je poplava. U pravilu se radi o zadatku slanja netočno oblikovanih (besmislenih) zahtjeva poslužitelju ili mrežnoj opremi kako bi se povećalo opterećenje. Četvrti tip je takozvano začepljenje komunikacijskih kanala lažnim adresama. Može se koristiti i napad koji dovodi do promjena u konfiguraciji samog računalnog sustava, što dovodi do njegove potpune neoperativnosti. Općenito, popis bi mogao potrajati dugo.

DDoS napad na stranicu

U pravilu je takav napad povezan s određenim hostingom i usmjeren je isključivo na jedan unaprijed definirani web resurs (u primjeru na fotografiji ispod on je konvencionalno označen kao example.com).

Ako ima previše poziva na stranicu, dolazi do prekida komunikacije zbog blokade komunikacije ne od strane same stranice, već od strane serverskog dijela davatelja usluge, odnosno ne čak ni od strane samog servera ili sigurnosnog sustava, već od strane služba za podršku. Drugim riječima, takvi napadi imaju za cilj osigurati da vlasnik hostinga dobije uskraćivanje usluge od pružatelja usluga ako se prekorači određeno ugovorno ograničenje prometa.

DDoS napad na poslužitelj

Što se tiče napada na poslužitelje, ovdje oni nisu usmjereni na neki konkretan hosting, već konkretno na pružatelja koji ga pruža. I nije važno što zbog toga mogu patiti vlasnici web stranica. Glavna žrtva je davatelj.

Aplikacija za organiziranje DDoS napada

Sada smo shvatili kako to učiniti pomoću specijaliziranih uslužnih programa, sada ćemo to shvatiti. Odmah napomenimo da aplikacije ove vrste nisu posebno klasificirane. Dostupni su za besplatno preuzimanje na internetu. Na primjer, najjednostavniji i najpoznatiji program za DDoS napad pod nazivom LOIC dostupan je besplatno na World Wide Webu za preuzimanje. Uz njegovu pomoć možete napadati samo stranice i terminale s prethodno poznatim URL i IP adresama.

Iz etičkih razloga, nećemo sada razmatrati kako dobiti IP adresu žrtve. Pretpostavljamo da imamo početne podatke.

Za pokretanje aplikacije koristi se izvršna datoteka Loic.exe, nakon čega se u gornja dva retka s lijeve strane upisuju adrese izvora, a zatim se pritisnu dvije tipke “Lock on” – malo udesno nasuprot svakog retka . Nakon toga, adresa naše žrtve će se pojaviti u prozoru.

Na dnu se nalaze klizači za podešavanje brzine prijenosa zahtjeva za TCP/UDF i HTTP. Prema zadanim postavkama vrijednost je postavljena na "10". Povećajte ga do krajnjih granica, zatim pritisnite veliku tipku "IMMA CHARGIN MAH LAZER" za početak napada. Možete ga zaustaviti ponovnim pritiskom na isti gumb.

Naravno, jedan takav program, koji se često naziva "laserskim pištoljem", neće moći izazvati probleme nekom ozbiljnom resursu ili pružatelju usluga, jer je zaštita od DDoS napada prilično moćna. Ali ako grupa ljudi koristi desetak ili više ovakvih pušaka u isto vrijeme, nešto se može postići.

Zaštita od DDoS napada

S druge strane, svatko tko pokuša DDoS napad treba shvatiti da ni na "onoj" strani nema budala. Oni lako mogu otkriti adrese s kojih se takav napad izvodi, a to je prepuno najtežih posljedica.

Što se tiče običnih vlasnika hostinga, pružatelj obično odmah nudi paket usluga s odgovarajućom zaštitom. Postoji mnogo načina za sprječavanje takvih radnji. To je, recimo, preusmjeravanje napada na napadača, redistribucija dolaznih zahtjeva na nekoliko poslužitelja, filtriranje prometa, dupliciranje zaštitnih sustava za sprječavanje lažnih pozitivnih rezultata, povećanje resursa itd. Uglavnom, prosječni korisnik nema razloga za brigu.

Umjesto pogovora

Mislim da iz ovog članka postaje jasno da neće biti teško napraviti DDoS napad ako imate poseban softver i neke početne podatke. Druga je stvar isplati li se to učiniti, posebno za neiskusnog korisnika koji se odlučio prepustiti, radi sporta? Svatko mora shvatiti da će svojim postupcima u svakom slučaju izazvati mjere odmazde od strane napadnute, i to, u pravilu, ne u korist korisnika koji je pokrenuo napad. Ali, prema Kaznenim zakonima većine zemalja, za takve radnje možete završiti, kako kažu, u mjestima ne tako udaljenim nekoliko godina. Tko želi ovo?

Nije potrebna velika inteligencija da bi se naručio DDoS napad. Platite hakerima i razmislite o panici svojih konkurenata. Prvo iz redateljske fotelje, a potom i iz zatvorske postelje.

Objašnjavamo zašto je obraćanje hakerima posljednja stvar koju bi pošteni poduzetnik trebao učiniti i koje su posljedice.

Kako napraviti DDoS napadčak i školarac zna

Danas su alati za organiziranje DDoS napada dostupni svima. Barijera za ulazak za hakere početnike je niska. Stoga je udio kratkih, ali snažnih napada na ruske stranice rastao . Čini se da hakerske skupine samo vježbaju svoje vještine.

Slučaj u točki. U 2014. Obrazovni portal Republike Tatarstan pretrpjeli DDoS napade. Na prvi pogled napad nema smisla: ovo nije komercijalna organizacija i od nje se nema što tražiti. Portal prikazuje ocjene, rasporede nastave i tako dalje. Ne više. Stručnjaci Kaspersky Laba pronašli su VKontakte grupu u kojoj su raspravljali studenti i školarci iz Tatarstana kako napraviti DDoS napad.

Zajednica mladih boraca protiv sustava Republike Tatarstan

Izvedeni upiti iz "kako izvršiti DDoS napad u Tatarstanu" doveli su stručnjake za kibernetičku sigurnost do zanimljive objave. Izvođači su brzo pronađeni i morali su platiti štetu.

Prije su kidali stranice u rokovnicima, a sada hakiraju web stranice

Zbog jednostavnosti DDoS napada, novajlije bez moralnih načela ili razumijevanja vlastitih sposobnosti ih preuzimaju. Također mogu preprodavati podatke o kupcima. Pomlađivanje počinitelja DDoS napada je globalni trend.

Zatvorska kazna u proljeće 2017 primio britanski student. Sa 16 godina je stvarao Program za DDoS napad Titanium Stresser. Britanac je od njegove prodaje zaradio 400 tisuća funti sterlinga (29 milijuna rubalja). Pomoću ovog DDoS programa izvršeno je 2 milijuna napada na 650 tisuća korisnika diljem svijeta.

Ispostavilo se da su tinejdžeri članovi velikih DDoS grupa Lizard Squad i PoodleCorp. Mladi Amerikanci smislili su svoje DDoS programe, ali ih je koristio za napad na poslužitelje igara kako bi stekli prednost u online igrama. Tako su pronađeni.

Da li vjerovati reputaciji tvrtke jučerašnjim školarcima, svatko će odlučiti za sebe.

Kazna zaDDoS programiu Rusiji

Kako napraviti DDoS napadzainteresirani za poduzetnike koji ne žele igrati po pravilima konkurencije. To rade zaposlenici Uprave "K" Ministarstva unutarnjih poslova Rusije. Hvataju izvođače.

Rusko zakonodavstvo predviđa kažnjavanje za kibernetičke zločine. Na temelju trenutne prakse, sudionici u DDoS napadu mogu potpasti pod sljedeće članke.

Kupci.Njihovi postupci obično potpadaju pod- protupravni pristup zakonom zaštićenim računalnim informacijama.

Kazna:kazna zatvora do sedam godina ili novčana kazna do 500 tisuća rubalja.

Primjer. Zaposlenik odjela za tehničku zaštitu informacija gradske uprave Kurgan osuđen je prema ovom članku. Razvio je višenamjenski program Meta. Uz njegovu pomoć napadač je prikupio osobne podatke o 1,3 milijuna stanovnika regije. Poslije sam ga prodao bankama i agencijama za naplatu. Hackera je dobio dvije godine zatvora.

Izvođači.U pravilu se kažnjavaju poČlanak 273. Kaznenog zakona Ruske Federacije - stvaranje, korištenje i distribucija zlonamjernih računalnih programa.

Kazna.Kazna zatvora do sedam godina s novčanom kaznom do 200 tisuća rubalja.

Primjer.19-godišnji student iz Toljatija dobio 2,5 godine uvjetne kazne i novčanu kaznu od 12 milijuna rubalja. Pomoću programa za DDoS napade, pokušao je srušiti informacijske resurse i web stranice banaka. Nakon napada student je iznuđivao novac.

Nemarni korisnici.Nepoštivanje sigurnosnih pravila prilikom pohranjivanja podataka kažnjava seČlanak 274. Kaznenog zakona Ruske Federacije - kršenje pravila rada sredstava za pohranu, obradu ili prijenos računalnih informacija i informacijskih i telekomunikacijskih mreža.

Kazna:kazna zatvora do pet godina ili novčana kazna do 500 tisuća rubalja.

Primjer.Ukoliko je prilikom pristupa informacijama na bilo koji način ukraden novac, članak će se prekvalificirati kao prijevara u području računalnih informacija (). Dakle dvije godine u koloniji-naselju primili uralski hakeri koji su dobili pristup bankovnim poslužiteljima.

Napadi na medije.Ako su DDoS napadi usmjereni na kršenje novinarskih prava, radnje potpadaju pod - ometanje zakonitog profesionalnog djelovanja novinara.

Kazna:kazna zatvora do šest godina ili novčana kazna do 800 tisuća rubalja.

Primjer.Ovaj se članak često prekvalificira u teže. Kako napraviti DDoS napad znali su oni koji su napadali Novaya Gazeta, Ekho Moskvy i Bolshoy Gorod. Regionalne publikacije također postaju žrtve hakera.

U Rusiji postoje stroge kazne za korištenje DDoS programi . Anonimnost iz Uprave “K” vas neće spasiti.

Programi za DDoS napade

Prema riječima stručnjaka, 2000 botova dovoljno je za napad na prosječnu web stranicu. Cijena DDoS napada počinje od 20 dolara (1100 rubalja). Broj kanala napada i vrijeme rada se dogovaraju pojedinačno. Ima i iznuda.

Pristojan haker će provesti pentest prije napada. Vojska bi ovu metodu nazvala "izviđanje na snazi". Bit pentesta je mali, kontrolirani napad kako bi se saznali obrambeni resursi stranice.

Zanimljiva činjenica.Kako napraviti DDoS napadMnogi ljudi znaju, ali snagu hakera određuje botnet. Često napadači jedni drugima kradu pristupne ključeve "vojski" i zatim ih preprodaju. Poznati trik je “isključivanje” wi-fija kako bi se on prisilno ponovno pokrenuo i vratio na osnovne postavke. U ovom stanju lozinka je standardna. Zatim, napadači dobivaju pristup cjelokupnom prometu organizacije.

Najnoviji hakerski trend je hakiranje pametnih uređaja kako bi se na njih instalirali rudari kriptovalute. Ove radnje mogu se kvalificirati prema članku o korištenju zlonamjernih programa (članak 273. Kaznenog zakona Ruske Federacije). Dakle službenici FSB-a Uhićen je administrator sustava Kontrolnog centra misije. Ugradio je minere na svoju radnu opremu i obogatio se. Napadač je identificiran po udarima struje.

Hakeri će izvesti DDoS napad na konkurenta. Tada mogu dobiti pristup njegovoj računalnoj snazi ​​i rudariti Bitcoin ili dva. Samo ovaj prihod neće ići kupcu.

Rizici naručivanja DDoS napada

Rezimirajmo vaganjem prednosti i nedostataka naručivanja DDoS napada na konkurente.

Ako su konkurenti smetali poslovanju, hakeri neće pomoći. Oni će samo pogoršati stvari. Agencija "Digitalni morski psi" neželjene informacije legalnim putem.

Borba protiv DDoS napada nije samo težak posao, već je i uzbudljiv. Nije iznenađujuće da svaki administrator sustava prije svega pokušava sam organizirati obranu - pogotovo jer je to još uvijek moguće.

Odlučili smo vam pomoći u ovoj teškoj stvari i objaviti nekoliko kratkih, trivijalnih i neuniverzalnih savjeta za zaštitu vaše stranice od napada. Navedeni recepti neće vam pomoći da se nosite s bilo kojim napadom, ali će vas zaštititi od većine opasnosti.

Pravi sastojci

Surova istina je da svatko može srušiti mnoge stranice korištenjem napada Slowloris, koji u potpunosti ubija Apache, ili organiziranjem takozvane SYN poplave koristeći farmu virtualnih poslužitelja podignutih u minuti u oblaku Amazon EC2. Svi naši daljnji savjeti o "uradi sam" DDoS zaštiti temelje se na sljedećim važnim uvjetima.

1. Prestanite koristiti Windows Server

Praksa pokazuje da je stranica koja radi na Windowsima (2003 ili 2008 - svejedno) osuđena na propast u slučaju DDoS-a. Razlog neuspjeha leži u mrežnom skupu Windowsa: kada ima puno veza, poslužitelj sigurno počinje slabo reagirati. Ne znamo zašto Windows Server radi tako odvratno u takvim situacijama, ali smo se s tim susreli više od jednom ili dva puta. Iz tog razloga, ovaj članak će se fokusirati na načine zaštite od DDoS napada u slučaju kada poslužitelj radi na Linuxu. Ako ste sretni vlasnik relativno modernog kernela (počevši od 2.6), tada će primarni alati biti uslužni programi iptables i ipset (za brzo dodavanje IP adresa), s kojima možete brzo zabraniti robote. Drugi ključ uspjeha je ispravno pripremljen mrežni stog, o čemu ćemo također govoriti kasnije.

2. Prekinuti s Apacheom

Drugi važan uvjet je napuštanje Apachea. Ako koristite Apache, onda ispred njega barem instalirajte proxy za predmemoriju - nginx ili lighttpd. Apache je iznimno težak za prijenos datoteka, a što je još gore, on je na fundamentalnoj razini (odnosno nepopravljivo) ranjiv na najopasniji Slowloris napad, koji vam omogućuje da preplavite poslužitelj gotovo s mobilnog telefona za borbu protiv raznih vrste Slowlorisa, prvo su korisnici Apachea smislili zakrpu Anti-slowloris.diff, pa mod_noloris, pa mod_antiloris, mod_limitipconn, mod_reqtimeout... Ali ako noću želite mirno spavati, lakše je koristiti HTTP poslužitelj koji je imun na na Slowloris na razini arhitekture koda Stoga se svi naši daljnji recepti temelje na pretpostavci da se taj nginx koristi na sučelju.

Borba protiv DDoS-a

Što učiniti ako stigne DDoS? Tradicionalna tehnika samoobrane je čitanje log datoteke HTTP poslužitelja, pisanje grep uzorka (hvatanje zahtjeva bota) i zabrana svakoga tko potpada pod njega. Ova tehnika će uspjeti... ako budete imali sreće. Postoje dvije vrste botneta, obje opasne, ali na različite načine. Jedan potpuno dolazi na stranicu odmah, drugi postupno. Prvi ubije sve odjednom, ali se cijela pojavi u logovima, a ako ih podgrijate i zabranite sve IP adrese, onda ste pobjednik. Drugi botnet napada stranicu nježno i pažljivo, ali ćete je možda morati zabraniti na 24 sata. Važno je da svaki administrator razumije: ako se planirate boriti s grep-om, morate biti spremni posvetiti nekoliko dana borbi protiv napada. U nastavku su savjeti o tome gdje možete unaprijed postaviti slamke kako bi pad bio manje bolan.

3. Koristite modul testcookie

Možda najvažniji, učinkovit i operativni recept u ovom članku. Ako DDoS dođe na vašu stranicu, najučinkovitiji način za uzvrat može biti testcookie-nginx modul, koji je razvio habrauser @kyprizel. Ideja je jednostavna. Najčešće su botovi koji implementiraju HTTP flooding prilično glupi i nemaju HTTP kolačiće i mehanizme preusmjeravanja. Ponekad naiđete na naprednije - mogu koristiti kolačiće i obrađivati ​​preusmjeravanja, ali gotovo nikad DoS bot ne nosi potpuni JavaScript mehanizam (iako je to sve češće). Testcookie-nginx radi kao brzi filter između botova i pozadine tijekom L7 DDoS napada, omogućujući vam filtriranje bezvrijednih zahtjeva. Što je uključeno u te provjere? Zna li klijent kako izvesti HTTP Redirect, podržava li JavaScript, je li to preglednik za koji se predstavlja (budući da je JavaScript svugdje drugačiji i ako klijent kaže da je to, recimo, Firefox, onda to možemo provjeriti). Provjera se provodi pomoću kolačića različitim metodama:

• “Set-Cookie” + preusmjeravanje pomoću 301 HTTP lokacije;
• “Set-Cookie” + preusmjeravanje pomoću HTML meta osvježavanja;
• bilo koji predložak, a možete koristiti i JavaScript.

Kako bi se izbjeglo automatsko analiziranje, kolačić za provjeru valjanosti može se šifrirati s AES-128 i kasnije dešifrirati na strani JavaScript klijenta. Nova verzija modula ima mogućnost postavljanja kolačića putem Flasha, što također omogućuje učinkovito filtriranje botova (koje Flash u pravilu ne podržava), ali, međutim, također blokira pristup mnogim legitimnim korisnicima (u zapravo, svi mobilni uređaji). Važno je napomenuti da je vrlo lako početi koristiti testcookie-nginx. Razvojni programer posebno daje nekoliko jasnih primjera upotrebe (za različite slučajeve napada) s uzorcima konfiguracija za nginx.

Osim svojih prednosti, testcookie ima i nedostatke:

• reže sve botove, uključujući Googlebot. Ako planirate zadržati testcookie na trajnoj osnovi, pobrinite se da nećete nestati iz rezultata pretraživanja;
• stvara probleme korisnicima s Linkovima, w3m i sličnim preglednicima;
• ne štiti od botova opremljenih potpunim motorom preglednika s JavaScriptom.

Ukratko, testcookie_module nije univerzalan. Ali pomaže u brojnim stvarima, kao što su, na primjer, primitivni alati u Javi i C#. Na ovaj način odsiječete dio prijetnje.

4. Šifra 444

Cilj DDoS-a često je dio stranice koji zahtijeva najviše resursa. Tipičan primjer je pretraživanje, koje izvodi složene upite baze podataka. Naravno, napadači to mogu iskoristiti učitavanjem nekoliko desetaka tisuća zahtjeva u tražilicu odjednom. Što možemo učiniti? Privremeno onemogući pretraživanje. Iako klijenti možda neće moći pretraživati ​​informacije koje su im potrebne pomoću ugrađenih alata, cijela glavna stranica ostat će funkcionalna dok ne pronađete korijen svih problema. Nginx podržava nestandardni kod 444, koji vam omogućuje da jednostavno zatvorite vezu i ne vratite ništa kao odgovor:

Lokacija / pretraga ( povratak 444; )

Na taj način možete, primjerice, brzo implementirati filtriranje prema URL-u. Ako ste sigurni da zahtjevi za lociranje /pretraživanje dolaze samo od botova (na primjer, vaše se uvjerenje temelji na činjenici da vaša stranica uopće nema odjeljak /pretraživanje), možete instalirati ipset paket na poslužitelj i zabraniti roboti s jednostavnom shell skriptom:

Ipset -N ban iphash tail -f access.log | dok čitate LINE; do echo "$LINE" | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A zabrana "$(L%% *)"; gotovo

Ako je format datoteke dnevnika nestandardan (nije kombiniran) ili trebate zabraniti na temelju kriterija koji nisu status odgovora, možda ćete morati zamijeniti rez regularnim izrazom.

5. Zabranjujemo geolokacijom

Nestandardni kod odgovora 444 također može biti koristan za brzo zabranjivanje klijenata na temelju geografskih karakteristika. Možete strogo ograničiti određene zemlje koje vam stvaraju nelagodu. Na primjer, malo je vjerojatno da online trgovina fotoaparatima iz Rostova na Donu ima mnogo korisnika u Egiptu. Ovo nije baš dobra metoda (iskreno rečeno, odvratna), budući da su GeoIP podaci netočni, a Rostoviti ponekad lete u Egipat na odmor. Ali ako nemate što izgubiti, slijedite upute:

1. Spojite GeoIP modul na nginx (wiki.nginx.org/HttpGeoipModule).
2. Prikaz informacija o georeferenciranju u zapisniku pristupa.
3. Zatim, modificiranjem gornje skripte ljuske, pokrenite nginxov accesslog i dodajte geografski isključene klijente u zabranu.

Ako su, na primjer, botovi većinom iz Kine, onda bi ovo moglo pomoći.

6. Neuronska mreža (PoC)

Na kraju, možete ponoviti iskustvo korisnika habre @SaveTheRbtz, koji je uzeo neuronsku mrežu PyBrain, ubacio log u nju i analizirao upite (habrahabr.ru/post/136237). Metoda djeluje, iako nije univerzalna :). Ali ako doista poznajete unutrašnjost svoje stranice - a vi, kao administrator sustava, trebate - onda imate priliku da vam u najtragičnijim situacijama takav alat temeljen na neuronskim mrežama, obuci i unaprijed prikupljenim informacijama pomogne. U ovom slučaju, vrlo je korisno imati access.log prije početka DDoS-a, budući da opisuje gotovo 100% legitimnih klijenata, a time i odličan skup podataka za obuku neuronske mreže. Štoviše, botovi nisu uvijek vidljivi u zapisniku .

Dijagnoza problema

Stranica ne radi - zašto? Je li to DDoSed ili je to greška u motoru koju programer nije primijetio? Nije važno. Ne tražite odgovor na ovo pitanje. Ako mislite da je vaša stranica možda napadnuta, obratite se tvrtkama koje pružaju zaštitu od napada - brojne anti-DDoS usluge nude besplatne prve dane nakon povezivanja - i nemojte više gubiti vrijeme tražeći simptome. Usredotočite se na problem. Ako je web mjesto sporo ili se uopće ne otvara, nešto nije u redu s njegovim radom i - bilo da postoji DDoS napad ili ne - vaša je odgovornost kao profesionalca razumjeti što ga uzrokuje. U više smo navrata svjedočili kako je tvrtka koja je zbog DDoS napada imala poteškoća s radom svoje web stranice, umjesto da traži slabosti u motoru web stranice, pokušala poslati očitovanje Ministarstvu unutarnjih poslova kako bi se pronašli i kaznili napadači. Nemojte činiti ove greške. Pronalaženje kibernetičkih kriminalaca je težak i dugotrajan proces, kompliciran samom strukturom i principom rada interneta, a problem rada stranice potrebno je promptno riješiti. Zamolite tehničke stručnjake da pronađu razlog pada performansi stranice, a odvjetnici mogu napisati izjavu.

7. Koristite profiler i debugger

Za najčešću platformu za izradu web stranica - PHP + MySQL - usko grlo se može pronaći pomoću sljedećih alata:

• Xdebug profiler će pokazati na koje pozive aplikacija troši najviše vremena;
• ugrađeni APD program za ispravljanje pogrešaka i izlaz za ispravljanje pogrešaka u zapisniku pogrešaka pomoći će vam da saznate točno koji kod upućuje te pozive;
• u većini slučajeva, pas je zakopan u složenosti i težini upita baze podataka. Ovdje će pomoći SQL direktiva objašnjenja ugrađena u pogon baze podataka.

Ako stranica ne radi i ništa ne gubite, odspojite se s mreže, pogledajte zapise, pokušajte ih igrati. Ako ga nema, prođite kroz stranice i pogledajte bazu.

Primjer je za PHP, ali ideja vrijedi za bilo koju platformu. Programer koji piše softverske proizvode u bilo kojem programskom jeziku mora biti sposoban brzo koristiti i debugger i profiler. Vježbajte unaprijed!

8. Analizirajte pogreške

Analizirajte količinu prometa, vrijeme odgovora poslužitelja i broj grešaka. Da biste to učinili, pogledajte zapisnike. U nginx-u, vrijeme odgovora poslužitelja bilježi se u dnevnik pomoću dvije varijable: request_time i upstream_response_time. Prvi je ukupno vrijeme izvršenja zahtjeva, uključujući mrežna kašnjenja između korisnika i poslužitelja; drugi govori koliko je dugo backend (Apache, php_fpm, uwsgi...) izvršavao zahtjev. Vrijednost upstream_response_time iznimno je važna za stranice s puno dinamičkog sadržaja i aktivnom komunikacijom između sučelja i baze podataka; ne smije se zanemariti. Možete koristiti sljedeću konfiguraciju kao format dnevnika:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Ovo je kombinirani format s dodanim vremenskim poljima.

9. Pratite zahtjeve u sekundi

Također pogledajte broj zahtjeva u sekundi. U slučaju nginxa, ovu vrijednost možete grubo procijeniti sljedećom naredbom ljuske (varijabla ACCESS_LOG sadrži put do dnevnika zahtjeva nginxa u kombiniranom formatu):

Echo $(($(fgrep -c "$(env LC_ALL=C date --date=@$(($(date \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

U usporedbi s uobičajenom razinom za ovo doba dana, broj zahtjeva u sekundi može pasti ili porasti. Rastu ako je stigao veliki botnet, a padaju ako je nadolazeći botnet srušio stranicu i učinio je potpuno nedostupnom legitimnim korisnicima, a pritom botnet ne traži statiku, već legitimni korisnici. Pad broja zahtjeva uočava se upravo zbog statike. Ali, na ovaj ili onaj način, govorimo o ozbiljnim promjenama pokazatelja. Kada se to iznenada dogodi - dok sami pokušavate riješiti problem i ako ga ne vidite odmah u zapisniku, bolje je brzo provjeriti motor i istodobno kontaktirati stručnjake.

10. Ne zaboravite na tcpdump

Mnogi ljudi zaboravljaju da je tcpdump izvrstan dijagnostički alat. Dat ću vam par primjera. U prosincu 2011. otkrivena je greška u jezgri Linuxa kada je otvorila TCP vezu kada su postavljene oznake TCP segmenta SYN i RST. Prvo izvješće o pogrešci poslao je administrator sustava iz Rusije, čiji je resurs napadnut ovom metodom - napadači su saznali za ranjivost prije cijelog svijeta. Očito mu je ta dijagnoza pomogla. Još jedan primjer: nginx ima jedno ne baš ugodno svojstvo - piše u dnevnik tek nakon što je zahtjev u potpunosti obrađen. Postoje situacije kada stranica ne radi, ništa ne radi i nema ništa u zapisima. To je zato što svi zahtjevi koji trenutno učitavaju poslužitelj još nisu dovršeni. Tcpdump će i ovdje pomoći.

Toliko je dobro da sam savjetovao ljudima da ne koriste binarne protokole dok se ne uvjere da je sve u redu - uostalom, tekstualne protokole je lako ispraviti s tcpdumpom, ali ne binarne. Međutim, njuškalo je dobro kao dijagnostika oruđe – kao sredstvo za održavanje proizvodnje“ i on je strašan. Lako može izgubiti nekoliko paketa odjednom i uništiti vašu korisničku povijest. Zgodno je pogledati njegov izlaz i koristan je za ručnu dijagnostiku i zabrane, ali pokušajte ne temeljiti ništa kritično na njemu. Drugi omiljeni alat za "zakopavanje zahtjeva" - ngrep - općenito prema zadanim postavkama pokušava zatražiti oko dva gigabajta nezamjenjive memorije i tek tada počinje smanjivati ​​svoje zahtjeve.

11. Napasti ili ne?

Kako razlikovati npr. DDoS napad od učinka reklamne kampanje? Ovo pitanje može izgledati smiješno, ali tema nije ništa manje složena. Ima dosta smiješnih slučajeva. Neki dobri momci, kad su se napregli i dobro zeznuli keširanje, stranica je pala na par dana. Ispostavilo se da su nekoliko mjeseci ovu stranicu tiho dataminirali neki Nijemci, a prije nego što je keširanje optimizirano, stranicama ovih Nijemaca sa svim slikama trebalo je prilično dugo da se učitaju. Kada se stranica odmah počela posluživati ​​iz predmemorije, bot, koji nije imao vremensko ograničenje, također ih je odmah počeo skupljati. Bilo je teško. Slučaj je posebno težak iz razloga što ako ste sami promijenili postavku (uključili caching) i stranica je nakon toga prestala raditi, tko je onda, po vašem i mišljenju vašeg šefa, kriv? Točno. Ako vidite nagli porast broja zahtjeva, pogledajte, primjerice, u Google Analyticsu tko je koje stranice posjećivao.

Podešavanje web poslužitelja

Koje druge ključne točke postoje? Naravno, možete instalirati zadani nginx i nadati se da će sve biti u redu. Međutim, stvari ne idu uvijek dobro. Stoga administrator bilo kojeg poslužitelja mora posvetiti puno vremena finom podešavanju i podešavanju nginxa.

12. Ograničite resurse (veličine međuspremnika) u nginxu

Čega se prvo trebate sjetiti? Svaki resurs ima ograničenje. Prije svega, to se odnosi na RAM. Stoga, veličine zaglavlja i svih korištenih međuspremnika moraju biti ograničene na odgovarajuće vrijednosti za klijenta i cijeli poslužitelj. Moraju biti registrirani u nginx konfiguraciji.

• veličina_spremnika_zaglavlja klijenta_ _ Postavlja veličinu međuspremnika za čitanje zaglavlja zahtjeva klijenta. Ako redak zahtjeva ili polje zaglavlja zahtjeva ne stane u potpunosti u ovaj međuspremnik, tada se dodjeljuju veći međuspremnici, navedeni u direktivi large_client_header_buffers.
• veliki_klijent_zaglavlja_spremnici Postavlja najveći broj i veličinu međuspremnika za čitanje velikog zaglavlja zahtjeva klijenta.
• veličina_spremnika_tijela_klijenta Postavlja veličinu međuspremnika za čitanje tijela zahtjeva klijenta. Ako je tijelo zahtjeva veće od navedenog međuspremnika, tada se cijelo tijelo zahtjeva ili samo njegov dio zapisuje u privremenu datoteku.
• client_max_body_size Postavlja najveću dopuštenu veličinu tijela zahtjeva klijenta, navedenu u polju "Content-Length" u zaglavlju zahtjeva. Ako je veličina veća od navedene, klijentu se vraća pogreška 413 (Request Entity Too Large).

13. Postavljanje vremenskih ograničenja u nginxu

Vrijeme je također resurs. Stoga bi sljedeći važan korak trebao biti postavljanje svih vremenskih ograničenja, što je opet vrlo važno pažljivo odrediti u postavkama nginxa.

• reset_timeout_connection uključen; Pomaže u rješavanju utičnica zaglavljenih u FIN-WAIT fazi.
• client_header_timeout Postavlja vremensko ograničenje pri čitanju zaglavlja zahtjeva klijenta.
• tijelo_klijenta_timeout Postavlja vremensko ograničenje pri čitanju tijela klijentskog zahtjeva.
• keepalive_timeout Postavlja vremensko ograničenje tijekom kojeg se održavajuća veza s klijentom neće zatvoriti sa strane poslužitelja. Mnogi ljudi se boje postaviti velike vrijednosti ovdje, ali nismo sigurni da je taj strah opravdan. Po izboru, možete postaviti vrijednost vremenskog ograničenja u Keep-Alive HTTP zaglavlju, ali Internet Explorer je poznat po tome što zanemaruje ovu vrijednost
• slanje_timeout Postavlja vrijeme čekanja prilikom slanja odgovora klijentu. Ako nakon tog vremena klijent ništa ne prihvati, veza će biti prekinuta.

Odmah se postavlja pitanje: koji su parametri međuspremnika i vremenskih ograničenja točni? Ovdje nema univerzalnog recepta; svaka situacija ima svoj. Ali postoji dokazani pristup. Potrebno je postaviti minimalne vrijednosti pri kojima stranica ostaje operativna (u mirnodopskim uvjetima), odnosno, stranice se poslužuju i zahtjevi se obrađuju. To se utvrđuje samo testiranjem – i sa stolnih računala i s mobilnih uređaja. Algoritam za pronalaženje vrijednosti svakog parametra (veličina međuspremnika ili vremensko ograničenje):

1. Postavljamo matematički minimalnu vrijednost parametra.
2. Počinjemo provoditi testove stranice.
3. Ako sve funkcionalnosti stranice rade bez problema, parametar je definiran. Ako nije, povećajte vrijednost parametra i idite na korak 2.
4. Ako vrijednost parametra premašuje čak i zadanu vrijednost, to je razlog za raspravu u razvojnom timu.

U nekim slučajevima, revizija ovih parametara trebala bi dovesti do refaktoriranja/redizajna stranice. Na primjer, ako stranica ne radi bez trominutnih AJAX dugih zahtjeva za anketiranje, tada ne trebate povećavati timeout, već zamijenite dugo anketiranje nečim drugim - botnet od 20 tisuća strojeva, koji visi na zahtjevima tri minute, lako će ubiti prosječnog jeftinog poslužitelja.

14. Ograničite veze u nginxu (limit_conn i limit_req)

Nginx također ima mogućnost ograničavanja veza, zahtjeva i tako dalje. Ako niste sigurni kako će se ponašati određeni dio vaše stranice, idealno je da ga testirate, shvatite koliko će zahtjeva obraditi i to zapišete u nginx konfiguraciju. Jedna je stvar kada stranica ne radi, a vi možete doći i preuzeti je. A sasvim je druga stvar kada padne do te mjere da server ode u swap. U ovom slučaju, često je lakše ponovno pokrenuti nego čekati njegov trijumfalni povratak.

Pretpostavimo da stranica ima odjeljke s opisnim nazivima /download i /search. U isto vrijeme mi:

• ne želimo da botovi (ili ljudi s pretjerano revnim rekurzivnim upraviteljima preuzimanja) popune našu tablicu TCP veze svojim preuzimanjima;
• Ne želimo da roboti (ili nasumični pretraživači) iscrpe računalne resurse DBMS-a s mnoštvom upita za pretraživanje.

U ove svrhe radit će sljedeća konfiguracija:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( location /download/ ( limit_conn download_c 1; # Other configuration location ) location /search/ ( limit_req zone= search_r burst=5; # Druga konfiguracijska lokacija ) ) )

Obično ima izravnog smisla postaviti limit_conn i limit_req ograničenja za lokacije na kojima se nalaze skripte čije je izvođenje skupo (primjer prikazuje pretraživanje, i to s dobrim razlogom). Ograničenja se moraju odabrati na temelju rezultata testiranja opterećenja i regresijskog testiranja, kao i zdravog razuma.

Obratite pažnju na parametar 10m u primjeru. To znači da će se za izračun ovog ograničenja dodijeliti rječnik s međuspremnikom od 10 megabajta i niti jedan megabajt više. U ovoj konfiguraciji to će omogućiti praćenje 320.000 TCP sesija. Kako bi se optimizirao memorijski otisak, varijabla $binary_remote_addr koristi se kao ključ u rječniku, koji sadrži korisničku IP adresu u binarnom obliku i zauzima manje memorije od obične varijable niza $remote_addr. Treba napomenuti da drugi parametar direktive limit_req_zone može biti ne samo IP, već i bilo koja druga nginx varijabla dostupna u ovom kontekstu - na primjer, u slučaju kada ne želite pružiti nježniji način rada za proxy, možete koristiti $binary_remote_addr$http_user_agent ili $binary_remote_addr$http_cookie_myc00kiez - ali takve konstrukcije trebate koristiti s oprezom, budući da, za razliku od 32-bitnog $binary_remote_addr, ove varijable mogu biti značajno duže i “10m” koje ste deklarirali može iznenada završiti.

DDoS trendovi

1. Snaga napada na mrežni i transportni sloj neprestano raste. Potencijal prosječnog SYN flood napada već je dosegao 10 milijuna paketa u sekundi.
2. U posljednje vrijeme posebno su traženi napadi na DNS. UDP flooding s važećim DNS upitima s lažiranim izvornim IP adresama jedan je od napada koje je najlakše implementirati, a teško im se suprotstaviti. Mnoge velike ruske tvrtke (uključujući hosting tvrtke) nedavno su imale problema kao rezultat napada na njihove DNS poslužitelje. Što dalje idete, takvih će napada biti više, a njihova snaga će rasti.
3. Sudeći prema vanjskim znakovima, većina botneta se ne kontrolira centralno, već kroz peer-to-peer mrežu. To napadačima daje priliku da sinkroniziraju radnje botneta tijekom vremena - ako su prethodno kontrolne naredbe bile distribuirane preko botneta od 5 tisuća strojeva u desecima minuta, sada se broje sekunde, a vaša stranica može neočekivano doživjeti stostruko povećanje broja zahtjeva .
4. Udio botova opremljenih potpunim motorom preglednika s JavaScriptom još uvijek je mali, ali stalno raste. Takav je napad teže odbiti ugrađenim improviziranim sredstvima, pa bi DIYers trebali s oprezom promatrati ovaj trend.

priprema OS-a

Osim finog podešavanja nginxa, morate voditi računa o postavkama mrežnog steka sustava. U najmanju ruku, odmah omogućite net.ipv4.tcp_syncookies u sysctl kako biste se odmah zaštitili od malog SYN-flood napada.

15. Ugodite jezgru

Obratite pozornost na naprednije postavke mrežnog dijela (kernela), opet u vezi timeouta i memorije. Ima važnijih i manje važnih. Prije svega, morate obratiti pozornost na:

• net.ipv4.tcp_fin_timeout Vrijeme koje će socket provesti u TCP FIN-WAIT-2 fazi (čekanje na FIN/ACK segment).
• net.ipv4.tcp_(,r,w)mem Veličina međuspremnika za primanje TCP utičnice. Tri vrijednosti: minimalna, zadana i maksimalna.
• net.core.(r,w)mem_max Isto vrijedi i za međuspremnike koji nisu TCP.

S kanalom od 100 Mbit/s, zadane vrijednosti još uvijek su nekako prikladne; ali ako imate na raspolaganju barem gigabit po sekundi, onda je bolje koristiti nešto poput:

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w net.ipv4.tcp_wmem="4096 65536 83 88608" " sysctl - w net.ipv4.tcp_fin_timeout=10

16. Revizija /proc/sys/net/**

Idealno je istražiti sve parametre u /proc/sys/net/**. Moramo vidjeti koliko se razlikuju od zadanih i razumjeti koliko su adekvatno postavljeni. Linux programer (ili administrator sustava) koji razumije rad internetske usluge pod svojom kontrolom i želi je optimizirati trebao bi sa zanimanjem pročitati dokumentaciju o svim parametrima kernel mrežnog steka. Možda će tamo pronaći varijable specifične za web-mjesto koje će pomoći ne samo zaštititi web-mjesto od uljeza, već i ubrzati njegov rad.

Ne boj se!

Uspješni DDoS napadi iz dana u dan gase e-trgovinu, tresu medije i jednim udarcem nokautiraju najveće sustave plaćanja. Milijuni korisnika interneta gube pristup kritičnim informacijama. Prijetnja je hitna, pa se moramo suočiti s njom direktno. Napravi zadaću, ne boj se i hladne glave. Niste prvi niti zadnji koji će se suočiti s DDoS napadom na Vašu web stranicu, au Vašoj je moći, vođeni svojim znanjem i zdravim razumom, posljedice napada svesti na minimum.

Naslovi vijesti danas su puni izvješća o napadima DDoS (Distributed Denial of Service). Svaka organizacija prisutna na Internetu podložna je napadima distribuiranog uskraćivanja usluge. Nije pitanje hoćete li biti napadnuti ili ne, nego kada će se to dogoditi. Državne agencije, mediji i stranice za e-trgovinu, korporativne stranice, komercijalne i neprofitne organizacije potencijalne su mete DDoS napada.

Tko je napadnut?

Istodobno, DDoS napadi nisu prouzročili značajniju štetu bankama - one su dobro zaštićene, pa takvi napadi, iako su uzrokovali probleme, nisu bili kritični i nisu poremetili niti jednu uslugu. Ipak, može se konstatirati da je antibankarska aktivnost hakera značajno porasla.

U veljači 2017. tehničke službe ruskog Ministarstva zdravstva odbile su najveći DDoS napad posljednjih godina, koji je na svom vrhuncu dosegao 4 milijuna zahtjeva u minuti. Bilo je i DDoS napada na državne registre, no i oni su bili neuspješni i nisu doveli do promjena podataka.

Međutim, brojne organizacije i tvrtke koje nemaju tako moćnu “obranu” postaju žrtve DDoS napada. U 2017. godini očekuje se porast štete od cyber prijetnji – ransomwarea, DDoS-a i napada na uređaje Interneta stvari.

Proveden je protiv francuskog pružatelja usluga hostinga OVH. Bio je to snažan DDoS napad - gotovo 1 Tbit/s. Hakeri su koristili botnet za iskorištavanje 150 tisuća IoT uređaja, većinom CCTV kamera. Napadi Mirai botneta doveli su do mnogih botneta IoT uređaja. Prema stručnjacima, u 2017. IoT botneti će i dalje biti jedna od glavnih prijetnji u kibernetičkom prostoru.

Primjetan trend u DDoS napadima je širenje “popisa žrtava”. Sada uključuje predstavnike gotovo svih industrija. Osim toga, metode napada se poboljšavaju.
Prema Nexusguardu, krajem 2016. broj DDoS napada mješovitog tipa - koristeći nekoliko ranjivosti odjednom - zamjetno je porastao. Najčešće su im bile podvrgnute financijske i državne organizacije. Glavni motiv kibernetičkih kriminalaca (70% slučajeva) je krađa podataka ili prijetnja njihovim uništenjem radi otkupnine. Rjeđe – politički ili društveni ciljevi. Zbog toga je obrambena strategija važna. Može se pripremiti za napad i minimizirati njegove posljedice, smanjujući financijske i reputacijske rizike.

Posljedice napada

Prosječni gubici od DDoS napada globalno se procjenjuju na 50.000 USD za male organizacije i gotovo 500.000 USD za velika poduzeća. Uklanjanje posljedica DDoS napada zahtijevat će dodatno radno vrijeme osoblja, preusmjeravanje resursa s drugih projekata za osiguranje sigurnosti, razvoj plana ažuriranja softvera, modernizaciju opreme itd.

Vrste DDoS napada

Organiziranje DDoS napada postalo je osjetno jednostavnije: sada postoje široko dostupni automatizirani alati koji od kibernetičkih kriminalaca ne zahtijevaju gotovo nikakvo posebno znanje. Postoje i plaćene DDoS usluge za anonimni napad na cilj. Na primjer, vDOS servis nudi svoje usluge bez provjere je li kupac vlasnik stranice koji je želi testirati “pod opterećenjem” ili se to radi u svrhu napada.

Godišnji porast broja DDoS napada procjenjuje se na 50% (prema www.leaseweb.com), no podaci iz različitih izvora se razlikuju i ne doznaju se svi incidenti. Prosječna snaga Layer 3/4 DDoS napada porasla je posljednjih godina s 20 na nekoliko stotina GB/s. Iako su masivni DDoS i napadi na razini protokola sami po sebi dovoljno loši, kibernetički kriminalci ih sve više kombiniraju s Layer 7 DDoS napadima, odnosno na razini aplikacije, koji su usmjereni na promjenu ili krađu podataka. Takvi "viševektorski" napadi mogu biti vrlo učinkoviti.

U slučaju masovnog DDoS napada (volume based) koristi se velik broj zahtjeva, često poslanih s legitimnih IP adresa, tako da se stranica “guši” u prometu. Cilj takvih napada je "začepiti" svu raspoloživu propusnost i blokirati legitiman promet.

U slučaju napada na razini protokola (kao što je UDP ili ICMP), cilj je iscrpiti resurse sustava. Da bi se to postiglo, šalju se otvoreni zahtjevi, na primjer, TCP/IP zahtjevi s lažnim IP adresama, a kao rezultat iscrpljenosti mrežnih resursa postaje nemoguće obraditi legitimne zahtjeve. Tipični predstavnici su DDoS napadi, u užim krugovima poznati kao Smurf DDos, Ping of Death i SYN flood. Druga vrsta DDoS napada na razini protokola uključuje slanje velikog broja fragmentiranih paketa koje sustav ne može obraditi.

DDoS napadi sloja 7 uključuju slanje naizgled bezazlenih zahtjeva koji izgledaju kao rezultat uobičajenih radnji korisnika. Obično se provode pomoću botneta i automatiziranih alata. Dobro poznati primjeri su Slowloris, Apache Killer, Cross-site scripting, SQL injection, Remote file injection.

U razdoblju od 2012. do 2014. većina masivnih DDoS napada bili su Stateless napadi (bez pamćenja stanja ili praćenja sesija) - koristili su UDP protokol. U slučaju Statelessa, mnogo paketa kruži u jednoj sesiji (na primjer, otvaranje stranice). Uređaji bez statusa u pravilu ne znaju tko je započeo sesiju (zatražio stranicu).

UDP protokol je osjetljiv na lažiranje - zamjenu adrese. Na primjer, ako ste željeli napasti DNS poslužitelj na 56.26.56.26 koristeći napad pojačanja DNS-a, možete stvoriti skup paketa s izvornom adresom 56.26.56.26 i poslati ih DNS poslužiteljima širom svijeta. Ovi poslužitelji će poslati odgovor na 56.26.56.26.

Ista metoda radi za NTP poslužitelje, uređaje s omogućenim SSDP-om. NTP protokol je možda najpopularnija metoda: u drugoj polovici 2016. korišten je u 97,5% DDoS napada.
Pravilo 38 najbolje trenutne prakse (BCP) preporučuje da ISP-ovi konfiguriraju pristupnike kako bi spriječili prijevaru - kontroliraju se adresa pošiljatelja i izvorna mreža. Ali ne slijede sve zemlje ovu praksu. Osim toga, napadači zaobilaze kontrole BCP 38 korištenjem Stateful napada na TCP razini. Prema F5 Security Operations Center (SOC), takvi su napadi dominirali u posljednjih pet godina. U 2016. godini bilo je dvostruko više TCP napada nego UDP napada.

Napade sloja 7 uglavnom koriste profesionalni hakeri. Princip je sljedeći: uzima se "teški" URL (s PDF datotekom ili zahtjevom za veliku bazu podataka) i ponavlja desetke ili stotine puta u sekundi. Napadi sloja 7 imaju teške posljedice i teško ih je otkriti. Oni sada čine oko 10% DDoS napada.

DDoS napadi često su vremenski usklađeni s razdobljima najvećeg prometa, na primjer, danima internetske prodaje. Veliki tokovi osobnih i financijskih podataka u ovom trenutku privlače hakere.

DDoS napadi na DNS

DDoS napade teško je detektirati, pogotovo na početku kada se promet čini normalnim. DNS infrastruktura može biti predmet raznih vrsta DDoS napada. Ponekad je to izravan napad na DNS poslužitelje. U drugim slučajevima, exploit se koristi korištenjem DNS sustava za napad na druge elemente IT infrastrukture ili usluga.

Time se postiže dvostruki učinak. Ciljani sustav bombardiran je tisućama i milijunima DNS odgovora, a DNS poslužitelj može pasti, nesposoban se nositi s opterećenjem. Sam DNS zahtjev obično je manji od 50 bajtova, ali je odgovor deset puta duži. Osim toga, DNS poruke mogu sadržavati dosta drugih informacija.

Recimo da je napadač poslao 100.000 kratkih DNS zahtjeva od po 50 bajtova (ukupno 5 MB). Ako svaki odgovor sadrži 1 KB, tada je ukupan broj već 100 MB. Otuda i naziv – Amplifikacija. Kombinacija napada DNS Reflection i Amplification može imati vrlo ozbiljne posljedice.

Kako se zaštititi od DDoS napada?

1. Sigurnost softverskog koda. Prilikom pisanja softvera moraju se uzeti u obzir sigurnosni aspekti. Preporuča se slijediti standarde "sigurnog kodiranja" i temeljito testirati svoj softver kako bi se izbjegle uobičajene pogreške i ranjivosti kao što su skriptiranje na više stranica i SQL injection.
2. Razvijte plan ažuriranja softvera. Uvijek bi trebala postojati opcija vraćanja ako nešto pođe po zlu.
3. Odmah ažurirajte svoj softver. Ako ste uspjeli preuzeti ažuriranja, ali su se pojavili problemi, pogledajte točku 2.
4. Ne zaboravite na ograničenja pristupa. admin i/ili računi trebaju biti zaštićeni jakim i redovito mijenjanim lozinkama. Potrebna je i periodična revizija prava pristupa i pravovremeno brisanje računa zaposlenika koji su dali otkaz.
5. Administratorsko sučelje mora biti dostupno samo s interne mreže ili putem VPN-a. Odmah zatvorite VPN pristup zaposlenicima koji daju otkaz i, posebno, otkazima.
6. Uključite ublažavanje DDoS napada u svoj plan oporavka od katastrofe. Plan bi trebao sadržavati načine otkrivanja činjenice takvog napada, kontakte za komunikaciju s internetom ili pružateljem usluga hostinga te stablo "eskalacije problema" za svaki odjel.
7. Skeniranje ranjivosti pomoći će u prepoznavanju problema u vašoj infrastrukturi i softveru te smanjiti rizike. Jednostavan OWASP test top 10 ranjivosti otkrit će najkritičnije probleme. Testovi penetracije također će biti korisni - pomoći će u pronalaženju slabih točaka.
8. Hardverska zaštita od DDoS napada može biti skupa. Ako vaš budžet to ne dopušta, onda postoji dobra alternativa – DDoS zaštita na zahtjev. Takvu uslugu moguće je omogućiti jednostavnom promjenom sheme usmjeravanja prometa u hitnim slučajevima ili je trajno zaštićena.
9. Koristite CDN partnera. Mreže za isporuku sadržaja omogućuju vam isporuku sadržaja web stranice putem distribuirane mreže. Promet se distribuira preko više poslužitelja, čime se smanjuje kašnjenje pri pristupu korisnicima, uključujući one geografski udaljene. Iako je glavna prednost CDN-a brzina, on također služi kao prepreka između glavnog poslužitelja i korisnika.
10. Koristite Web Application Firewall - vatrozid za web aplikacije. Nadzire promet između stranice ili aplikacije i preglednika, provjeravajući legitimnost zahtjeva. Radeći na razini aplikacije, WAF može otkriti napade na temelju pohranjenih uzoraka i otkriti neobično ponašanje. Napadi na razini aplikacije česti su u e-trgovini. Kao i kod CDN-a, WAF usluge možete koristiti u oblaku. Međutim, konfiguriranje pravila zahtijeva određeno iskustvo. Idealno bi bilo da sve osnovne aplikacije budu zaštićene WAF-om.

DNS zaštita

1. Praćenje sumnjivih aktivnosti na DNS poslužiteljima prvi je korak u zaštiti vaše DNS infrastrukture. Komercijalna DNS rješenja i proizvodi otvorenog koda kao što je BIND pružaju statistiku u stvarnom vremenu koja se može koristiti za otkrivanje DDoS napada. Praćenje DDoS napada može biti zahtjevan zadatak. Najbolje je stvoriti osnovni profil infrastrukture u normalnim radnim uvjetima, a zatim ga ažurirati s vremena na vrijeme kako se infrastruktura razvija i prometni obrasci mijenjaju.
2. Dodatni resursi DNS poslužitelja mogu pomoći u borbi protiv napada malih razmjera pružanjem redundancije DNS infrastrukturi. Resursi poslužitelja i mreže trebali bi biti dovoljni za obradu veće količine zahtjeva. Naravno, otpuštanje košta. Plaćate za resurse poslužitelja i mreže koji se obično ne koriste u normalnim uvjetima. A uz značajnu "rezervu" snage, ovaj pristup vjerojatno neće biti učinkovit.
3. Omogućavanje DNS Response Rate Limiting (RRL) smanjit će vjerojatnost da će poslužitelj biti uključen u napad DDoS Reflection smanjenjem brzine kojom odgovara na ponovljene zahtjeve. RRL-ove podržavaju mnoge DNS implementacije.
4. Koristite konfiguracije visoke dostupnosti. Možete se zaštititi od DDoS napada postavljanjem DNS usluge na poslužitelj visoke dostupnosti (HA). Ako jedan fizički poslužitelj padne kao rezultat napada, DNS usluga može se vratiti na rezervni poslužitelj.

Uz Unicast, svaki DNS poslužitelj vaše tvrtke dobiva jedinstvenu IP adresu. DNS održava tablicu DNS poslužitelja vaše domene i njihovih odgovarajućih IP adresa. Kada korisnik unese URL, jedna od IP adresa se nasumično odabire za dovršetak zahtjeva.

Uz Anycast shemu adresiranja, različiti DNS poslužitelji dijele zajedničku IP adresu. Kada korisnik unese URL, vraća se skupna adresa DNS poslužitelja. IP mreža usmjerava zahtjev na najbliži poslužitelj.

Anycast pruža temeljne sigurnosne prednosti u odnosu na Unicast. Unicast pruža pojedinačne IP adrese poslužitelja tako da napadači mogu pokrenuti ciljane napade na određene fizičke poslužitelje i virtualne strojeve, a kada se resursi tog sustava iscrpe, usluga pada. Anycast može pomoći u ublažavanju DDoS napada distribucijom zahtjeva preko grupe poslužitelja. Anycast je također koristan za izolaciju učinaka napada.

DDoS zaštita koju pruža davatelj usluga

Upravljani DNS pružatelji usluga upravljaju velikim Anycast mrežama i imaju točke prisutnosti diljem svijeta. Stručnjaci za mrežnu sigurnost nadziru mrežu 24/7/365 i koriste posebne alate za ublažavanje učinaka DDoS napada.

Druga opcija je zaštita IP adrese. Pružatelj smješta IP adresu koju je klijent odabrao kao zaštićenu u poseban mrežni analizator. Tijekom napada, promet prema klijentu usklađuje se s poznatim obrascima napada. Kao rezultat toga, klijent prima samo čisti, filtrirani promet. Stoga korisnici stranice možda neće znati da je protiv njih pokrenut napad. Da bi se to organiziralo, stvorena je distribuirana mreža čvorova za filtriranje tako da se za svaki napad može odabrati najbliži čvor i minimizirati kašnjenje u prijenosu prometa.

Rezultat korištenja usluga zaštite od DDoS napada bit će pravovremeno otkrivanje i sprječavanje DDoS napada, kontinuitet rada stranice i njezina stalna dostupnost za korisnike, minimiziranje financijskih i reputacijskih gubitaka zbog zastoja stranice ili portala.