DOS та DDoS-атаки: поняття, різновиди, методи виявлення та захисту. DDoS-атаки: напад та захист Які механізми запуску DDoS-атак

Розподілені атаки типу «відмова в обслуговуванні» або скорочено DDoS стали поширеним явищем і серйозним головним болем для власників інтернет-ресурсів по всьому світу. Саме тому захист від DDoS-атак на сайт є сьогодні не додатковою опцією, а обов'язковою умовою для тих, хто хоче уникнути простою, величезних збитків та зіпсованої репутації.

Розповідаємо докладніше, що це за недугу і як від неї захиститись.

Що таке DDoS

Distributed Denial of Service або «Розподілена відмова від обслуговування» - напад на інформаційну систему для того, щоб та не мала можливості обробляти запити користувача. Простими словами, DDoS полягає у придушенні веб-ресурсу або сервера трафіком з величезної кількості джерел, що робить його недоступним. Часто такий напад проводиться, щоб спровокувати перебої у роботі мережевих ресурсів у великій фірмі чи державній організації

DDoS-атака схожа на іншу поширену веб-загрозу - "Відмова в обслуговуванні" (Denial of Service, DoS). Єдина відмінність у тому, що звичайний розподілений напад йде з однієї точки, а DDos-атака більш масштабна і йде з різних джерел.

Основна мета DDoS-атаки - зробити веб-майданчик недоступним для відвідувачів, заблокувавши його роботу. Але трапляються випадки, коли подібні напади здійснюються для того, щоб відвернути увагу від інших шкідливих впливів. DDoS-атака може, наприклад, проводитися при зламі системи безпеки з метою оволодіти базою даних організації.

DDoS-атаки з'явилися в полі суспільної уваги 1999 року, коли відбулася серія нападів на сайти великих компаній (Yahoo, eBay, Amazon, CNN). З того часу цей вид кібер-злочинності розвинувся в загрозу глобального масштабу. За даними фахівців, останніми роками їх частота зросла в 2,5 разу, а гранична потужність почала перевищувати 1 Тбіт/сек. Жертвою DDoS-атаки хоча б раз ставала кожна шоста російська компанія. До 2020 року їхня загальна кількість досягне 17 мільйонів.

Хостинг-майданчик з цілодобовим захистом від найвитонченіших DDoS-атак.

Причини DDoS-атак

1. Особиста ворожість.Вона нерідко підштовхує зловмисників на те, щоби атакувати корпорації чи урядові компанії. Наприклад, у 1999 році було скоєно напад на веб-вузли ФБР, внаслідок чого вони вийшли з ладу на кілька тижнів. Сталося це через те, що ФБР розпочало масштабний рейд на хакерів.
2. Політичний протест.Зазвичай такі атаки проводять хактивісти – IT-фахівці з радикальними поглядами на громадянський протест. Відомий приклад – серія кібер-атак на естонські державні установи у 2007 році. Їх ймовірною причиною стала можливість знесення Пам'ятника Воїну-визволителю в Таллінні.
3. Розваги.Сьогодні все більше людей захоплюються DDoS і бажають спробувати свої сили. Новачки-хакери нерідко влаштовують напади, щоб розважитися.
4. Вимагання та шантаж.Перед тим, як запускати атаку, хакер зв'язується із власником ресурсу та вимагає викуп.
5. Конкуренція DDoS-атаки можуть бути замовлені від недобросовісної компанії з метою вплинути на своїх конкурентів.

Хто потенційні жертви

DDoS можуть зруйнувати сайти будь-якого масштабу, починаючи від звичайних блогів та закінчуючи найбільшими корпораціями, банками та іншими фінансовими установами.

Згідно з дослідженнями, проведеними Лабораторією Касперського, напад може коштувати фірмі до 1,6 млн доларів. Це серйозна шкода, адже атакований веб-ресурс на якийсь час не може обслуговуватись, через що відбувається простий.

Найчастіше від DDoS-атак страждають сайти та сервери:

• великих компаній та державних установ;
• фінансових установ (банків, керуючих компаній);
• купонних сервісів;
• медичних установ;
• платіжних систем;
• ЗМІ та інформаційних агрегаторів;
• інтернет-магазинів та підприємств електронної комерції;
• онлайн-ігор та ігрових сервісів;
• бірж криптовалюти.

Нещодавно до сумного списку частих жертв DDoS-атак додалося і підключене до інтернету обладнання, яке отримало загальну назву «інтернет речей» (Internet of Things, IoT). Найбільшу динаміку зростання у цьому напрямі показують кібер-напади з метою порушити роботу онлайн-кас великих магазинів чи торгових центрів.

Механізм роботи

Всі веб-сервери мають свої обмеження щодо кількості запитів, які вони можуть опрацьовувати одночасно. Крім цього, передбачена межа для пропускної здатності каналу, що з'єднує мережу та сервер. Щоб обійти ці обмеження, зловмисники створюють комп'ютерну мережу зі шкідливим програмним забезпеченням, яка називається «ботнет» або «зомбі-мережа».

Для створення ботнету кібер-злочинці розповсюджують троян через e-mail розсилки, соціальні мережі чи сайти. Комп'ютери, що входять у ботнет, не мають фізичного зв'язку між собою. Їх поєднує лише «служіння» цілям господаря-хакера.

Під час DDoS-атаки хакер відправляє команди «зараженим» комп'ютерам-зомбі, а ті починають наступ. Ботнети генерують величезний обсяг трафіку, здатний перевантажити будь-яку систему. Основними об'єктами для DDoS зазвичай стає пропускний канал сервера, DNS-сервер, а також саме інтернет-з'єднання.

Ознаки DDoS-атаки

Коли дії зловмисників досягають своєї мети, це миттєво можна визначити зі збоїв у роботі сервера чи розміщеного там ресурсу. Але є ряд непрямих ознак, за якими про DDoS-атаку можна дізнатися ще на самому її початку.

• Серверне ПЗ та ОС починають часто і явно збоїти- зависати, некоректно завершувати роботу тощо.
апаратні потужностісервера, що різко відрізняється від середньоденних показників.
• Стрімке збільшення вхідноготрафікув одному чи ряді портів.
• Багаторазово дубльовані однотипні діїклієнтів на одному ресурсі (перехід на сайт, завантаження файлу).
• Під час аналізу логів (журналів дій користувачів) сервера, брандмауера чи мережевих пристроїв виявлено багато запитіводного типу з різних джерел до одногопорту чи сервісу. Слід особливо насторожитись, якщо аудиторія запитів різко відрізняється від цільової для сайту чи сервісу.

Класифікація типів DDoS-атак

Протокольний наступ (транспортний рівень)

DDoS-атака спрямована на мережевий рівень сервера чи веб-ресурсу, тому часто називають атакою мережевого рівня чи транспортного рівня. Її мета-привести до перевантаження табличного простору на міжмережевому екрані з вбудованим журналом безпеки (брандмауер), в центральній мережі або в системі, що балансує навантаження.

Найпоширеніший метод DDoS на транспортному рівні - мережевий флуд, Створення величезного потоку запитів-пустушок на різних рівнях, з якими фізично не може впорається приймаючий вузол.

Зазвичай мережева служба застосовує правило FIFO, за яким комп'ютер не переходить до обслуговування другого запиту, доки обробить перший. Але при атаці кількість запитів настільки зростає, що пристрою немає ресурсів для того, щоб завершити роботу з першим запитом. У результаті флуд максимально насичує смугу пропускання і наглухо забиває всі канали зв'язку.

Найпоширеніші види мережевого флуду

• HTTP-флуд- на сервер, що атакується, відправляється маса звичайних або шифрованих HTTP-повідомлень, що забивають вузли зв'язку.
• ICMP-флуд- ботнет зловмисника перевантажує хост-машину жертви службовими запитами, куди вона має давати луна-ответы. Приватний приклад такого типу атак Ping-флудабо Smurf-атака, коли канали зв'язку заповнюються ping-запитами, що використовуються для перевірки доступності вузла мережі. Саме через загрозу ICMP-флуду системні адміністратори часто повністю блокують можливість робити ICMP-запити за допомогою фаєрволу.
• SYN-флуд- атака впливає однією з базових механізмів дії протоколу TCP, відомого як принцип «потрійного рукостискання» (алгоритм «запит-ответ»: SYN пакет – SYN-ACK пакет – ACK пакет). Жертву завалюють валом фальшивих SYN-запитів без відповіді. Канал користувача забивається чергою TCP-підключень від вихідних з'єднань, що чекають на відповідний ACK пакет.
• UDP-флуд- Випадкові порти хост-машини жертви завалюються пакетами по протоколу UDP, відповіді на які перевантажує мережеві ресурси. Різновид UDP-флуду, спрямований на DNS-сервер, називається DNS-флуд.
• MAC-флуд- Метою є мережеве обладнання, порти якого забиваються потоками «порожніх» пакетів з різними MAC-адресами. Для захисту від такого типу DdoS-атак на мережних комутаторах налаштовують перевірку валідності та фільтрацію MAC-адрес.

Атаки прикладного рівня (рівень інфраструктури)

Цей різновид використовується, коли необхідно захопити або вивести з ладу апаратні ресурси. Метою «рейдерів» може бути як фізична, так і оперативна пам'ять або процесорний час.

Перевантажувати пропускний канал необов'язково. Достатньо лише привести процесор жертви до перевантаження або, іншими словами, зайняти весь обсяг процесного часу.

Види DDoS-атак прикладного рівня

• Надсилання «важкіх»пакетів, що надходять безпосередньо до процесора. Пристрій не може подужати складні обчислення та починає давати збій, тим самим відключаючи відвідувачів доступ до сайту.
• За допомогою скрипта сервер наповнюється «сміттєвим» вмістом- лог-файлами, «користувацькими коментарями» і т.д. Якщо системний адміністратор не встановив ліміт на сервері, хакер може створити величезні пакети файлів, які призведуть до заповнення всього жорсткого диска.
• Проблеми з системою квотування. Деякі сервери використовують для зв'язку із зовнішніми програмами CGI-інтерфейс (Common Gateway Interface, "загальний інтерфейс шлюзу"). При отриманні доступу до CGI зловмисник може написати свій скрипт, який використовуватиме частину ресурсів, наприклад - процесорний час, в його інтересах.
• Неповна перевіркаданих відвідувача. Це також призводить до тривалого або навіть нескінченного використання ресурсів процесора до їх виснаження.
• Атака другого роду. Воно викликає хибне спрацювання сигналу у системі захисту, що може автоматично закрити ресурс зовнішнього світу.

Атаки на рівні додатків

DDoS-атака рівня додатків використовує недогляди при створенні програмного коду, що створює вразливість програмного забезпечення для зовнішнього впливу. До цього виду можна віднести таку поширену атаку, як "Пінг смерті" (Ping of death) - масове відправлення комп'ютера жертви ICMP-пакетів більшої довжини, що викликають переповнення буфера.

Але професійні хакери рідко вдаються до такого найпростішого методу, як навантаження пропускних каналів. Для атаки складних систем великих компаній вони намагаються повністю розібратися в системній структурі сервера і написати експлойт - програму, ланцюжок команд або частину програмного коду, що враховують вразливість ПЗ жертви і застосовуються для наступу на комп'ютер.

DNS-атаки

1. Перша група спрямована на вразливістьі вПЗ DNS-сервери. До них відносяться такі поширені види кібер-злочинів, як Zero-day attack («Атака нульового дня») та Fast Flux DNS («Швидкий потік»).
   Один з найпоширеніших типів DNS-атак називається DNS-Spoofing (DNS-спуфінг). Під час неї зловмисники замінюють IP-адресу в кеші сервера, перенаправляючи користувача на підставну сторінку. При переході злочинець отримує доступ до персональних даних користувача і може використовувати їх у своїх інтересах. Наприклад, у 2009 році через заміну DNS-запису користувачі не могли зайти в Twitter протягом години. Такий напад мав політичний характер. Зловмисники встановили на головній сторінці соціальної мережі застереження хакерів з Ірану, пов'язані з американською агресією
2. Друга група – це DdoS-атаки, які призводять до непрацездатності DNS-серверів. У разі їх виходу з ладу користувач не зможе зайти на потрібну сторінку, оскільки браузер не знайде IP-адресу, властиву конкретному сайту.

Запобігання та захист від DDoS-атак

Згідно з даними Corero Network Security, більше ⅔ всіх компаній у світі щомісяця зазнають атак «відмови в доступі». Причому їх кількість сягає 50.

Власникам сайтів, які не передбачили захист сервера від DDoS-атак, можуть не тільки зазнати величезних збитків, а й зниженням довіри клієнтів, а також конкурентоспроможності на ринку.

Найефективніший спосіб захисту від DDoS-атак – фільтри, що встановлюються провайдером на інтернет-канали з великою пропускною здатністю. Вони проводять послідовний аналіз всього трафіку і виявляють підозрілу мережну активність чи помилки. Фільтри можуть встановлюватися як на рівні маршрутизаторів, так і за допомогою спеціальних апаратних пристроїв.

Способи захисту

1. Ще на етапі написання програмного забезпечення необхідно замислитись про безпеку сайту. Ретельно перевіряйте ПЗна наявність помилок та вразливостей.
2. Регулярно оновлюйте ПЗ, а також передбачте можливість повернутися до старої версії у разі виникнення проблем.
3. Слідкуйте за обмеженням доступу. Служби, пов'язані з адмініструванням, повинні повністю закриватись від стороннього доступу. Захищайте адміністраторський обліковий запис складними паролями і частіше їх змінюйте. Своєчасно видаляйте облікові записи співробітників, які звільнилися.
4. Доступ до інтерфейсу адміністратораповинен проводитися виключно із внутрішньої мережі або за допомогою VPN.
5. Скануйте систему на наявність уразливостей. Найнебезпечніші варіанти вразливостей регулярно публікує авторитетний рейтинг OWASP Top 10.
6. Застосовуйте брандмауер для програм- WAF (Web Application Firewall). Він переглядає переданий трафік та стежить за легітимністю запитів.
7. Використовуйте CDN(Content Delivery Network). Це мережа з доставки контенту, що функціонує за допомогою розподіленої мережі. Трафік сортується на кількох серверах, що знижує затримку при доступі відвідувачів.
8. Контролюйте вхідний трафік за допомогою списків контролю доступу (ACL), де буде вказано список осіб, які мають доступ до об'єкта (програми, процесу чи файлу), а також їх ролі.
9. Можна, можливо блокувати трафік, Яких виходить від атакуючих пристроїв. Робиться це двома способами: застосування міжмережевих екранів або списків ACL. У першому випадку блокується конкретний потік, але при цьому екрани не можуть відокремити позитивний трафік від негативного. А в другому – фільтруються другорядні протоколи. Тому він не принесе користі, якщо хакер застосовує першочергові запити.
10. Щоб захиститися від DNS-спуфінгу, потрібно періодично очищати кеш DNS.
11. Використати захист від спам-ботів- капча (captcha), «людські» часові рамки заповнення форм, reCaptcha (галочка «Я робот») тощо.
12. Зворотній атака. Весь шкідливий трафік перенаправляється на зловмисника. Він допоможе не лише відбити напад, а й зруйнувати сервер атакуючого.
13. Розміщення ресурсів на кількох незалежних серверах. При виході одного сервера з ладу, що залишилися, забезпечать працездатність.
14. Використання перевірених апаратних засобів захистувід DDoS-атак. Наприклад, Impletec iCore чи DefensePro.
15. Вибирати хостинг-провайдера, який співпрацює з надійним постачальникомпослуг кібербезпеки. Серед критеріїв надійності фахівці виділяють наявність гарантій якості, забезпечення захисту від максимально повного спектру загроз, цілодобова техпідтримка, транспарентність (доступ клієнта до статистики та аналітики), а також відсутність тарифікації шкідливого трафіку.

Висновок

У цій статті ми розглянули, що означає DDoS-атака та як захистити свій сайт від нападів. Важливо пам'ятати, що подібні шкідливі дії можуть вивести з ладу навіть найбезпечніші та найбільші веб-ресурси. Це спричинить серйозні наслідки у вигляді величезних збитків і втрати клієнтів. Саме тому, убезпечити свій ресурс від DDoS-атак – актуальне завдання для всіх комерційних структур та державних установ.

Бажаєте професійний рівень захисту від DDoS-атак - вибирайте! Постійний моніторинг та цілодобова техпідтримка.

Ймовірно, багато сучасних користувачів комп'ютерів та Інтернету чули про наявність DDoS-атак, вироблених зловмисниками щодо будь-яких сайтів або серверів великих компаній. Погляньмо, що таке DDoS-атака, як зробити її самому і як захиститися від таких дій.

Що таке DDoS-атака?

Для початку, мабуть, варто розібратися, що являють собою такі неправомірні дії. Зазначимо відразу, що при розгляді теми «DDoS-атака: як зробити самому» інформація буде подана виключно для ознайомлення, а не для практичного використання. Всі дії такого роду кримінально караються.

Сама ж атака, за великим рахунком, є відсиланням достатньо великої кількості запитів на сервер або сайт, які з перевищенням ліміту звернень блокують роботу веб-ресурсу або служби провайдера у вигляді відключення сервера захисним ПЗ, міжмережевими екранами або спеціалізованим обладнанням.

Зрозуміло, що DDoS-атака власноруч не може бути створена одним користувачем з одного комп'ютерного терміналу без спеціальних програм. Зрештою, ну не буде ж він сидіти цілодобово безперервно і щохвилини посилати запити на сайт, що атакується. Такий номер не пройде, оскільки захист від DDoS-атак передбачений у кожного провайдера, а один користувач не в змозі забезпечити таку кількість запитів на сервер або сайт, який би за короткий час перевищив ліміт звернень і спричинив спрацювання різних захисних механізмів. Тож для створення власної атаки доведеться використати дещо інше. Але про це згодом.

Чому виникає небезпека?

Якщо розбиратися, що таке DDoS-атака, як зробити її та надіслати перевищену кількість запитів на сервер, варто врахувати і механізми, за якими такі дії здійснюються.

Це можуть бути ненадійні не здатні справлятися з величезною кількістю запитів, проломи в системі безпеки провайдера або в самих «операційках», брак системних ресурсів для обробки запитів з подальшим зависанням системи або аварійним завершенням роботи і т.д.

На зорі виникнення такого явища в основному DDoS-атака своїми руками здійснювалася переважно самими програмістами, які створювали та тестували за її допомогою працездатність систем захисту. До речі, свого часу від дій зловмисників, які застосовували як зброю компоненти DoS і DDoS, постраждали навіть такі IT-гіганти, як Yahoo, Microsoft, eBay, CNN та багато інших. Ключовим моментом у тих ситуаціях стали спроби усунення конкурентів щодо обмеження доступу до їх інтернет-ресурсів.

Загалом і сучасні електронні комерсанти займаються тим самим. Для цього просто завантажується програма для DDoS-атак, ну а далі, як кажуть, справа техніки.

Види DDoS-атак

Тепер кілька слів щодо класифікації атак такого типу. Основним для всіх є виведення сервера або сайту з ладу. До першого типу можна віднести помилки, пов'язані з посиленням некоректних інструкцій серверу для виконання, внаслідок чого відбувається аварійне завершення роботи. Другий варіант - масове посилання даних користувача, що призводить до нескінченної (циклічної) перевірки зі збільшенням навантаження на системні ресурси.

Третій тип – флуд. Як правило, це завдання заздалегідь неправильно сформованих (безглуздих) запитів сервера або мережного обладнання з метою збільшення навантаження. Четвертий тип - так зване забивання каналів зв'язку хибними адресами. Ще може використовуватися атака, що доводить, що у самої комп'ютерної системі змінюється конфігурація, що зумовлює її повної непрацездатності. Загалом, можна перераховувати довго.

DDoS-атака на сайт

Як правило, така атака пов'язана з конкретним хостингом і спрямована виключно на заздалегідь заданий веб-ресурс (у прикладі на фото нижче умовно позначений як example.com).

При надто великій кількості звернень до сайту порушення зв'язку відбувається через блокування зв'язку не самим сайтом, а серверною частиною провайдерської служби, вірніше, навіть не самим сервером або системою захисту, а службою підтримки. Іншими словами, такі атаки спрямовані на те, щоб власник хостингу отримав від провайдера відмову в обслуговуванні у разі перевищення певного контрактного ліміту трафіку.

DDoS-атака на сервер

Що стосується серверних атак, то тут вони спрямовані не на певний хостинг, а саме на провайдера, який його надає. І не має значення, що через це можуть постраждати власники сайтів. Головна жертва – саме провайдер.

Додаток для організації DDoS-атак

Ось ми підійшли до розуміння того, як зробити її за допомогою спеціалізованих утиліт, ми зараз і розберемося. Відразу зазначимо, що додатки такого типу особливо засекреченими і не є. В Інтернеті вони доступні для безкоштовного скачування. Так, наприклад, найпростіша та найвідоміша програма для DDoS-атак під назвою LOIC вільно викладена у Всесвітньому павутинні для завантаження. З її допомогою можна атакувати лише сайти та термінали із заздалегідь відомими URL- та IP-адресами.

Як отримати у своєму розпорядженні IP-адресу жертви, з етичних міркувань ми зараз не розглядатимемо. Виходимо з того, що початкові дані ми маємо.

Для запуску програми використовується виконуваний файл Loic.exe, після чого у двох верхніх рядках з лівого боку вписуються вихідні адреси, а потім натискаються дві кнопки Lock on - трохи правіше навпроти кожного рядка. Після цього у вікні з'явиться адреса нашої жертви.

Знизу є повзунки регулювання швидкості передачі запитів для TCP/UDF та HTTP. За промовчанням значення виставлено на «10». Збільшуємо до краю, після чого натискаємо велику кнопку "IMMA CHARGIN MAH LAZER" для початку атаки. Зупинити її можна повторним натисканням на ту саму кнопку.

Природно, однією такою програмою, яку часто називають «лазерною гарматою», завдати неприємностей якомусь серйозному ресурсу або провайдеру не вийде, оскільки захист від DDoS-атак там встановлений досить потужний. Але якщо групою осіб застосувати десяток або більше таких гармат одночасно, можна чогось і добитися.

Захист від DDoS-атак

З іншого боку, кожен, хто намагається зробити спробу DDoS-атаки, повинен розуміти, що на тій стороні теж не дурні сидять. Вони запросто можуть обчислити адреси, з яких така атака проводиться, а це загрожує найсумнішими наслідками.

Що стосується рядових власників хостингів, то зазвичай провайдер відразу надає пакет послуг з відповідним захистом. Коштів для запобігання таким діям може бути дуже багато. Це, скажімо, перенаправлення атаки на атакуючого, перерозподіл запитів, що надходять на кілька серверів, фільтрація трафіку, дублювання систем захисту для запобігання їх помилкового спрацьовування, нарощування ресурсів і т. д. За великим рахунком, звичайному користувачеві турбуватися нема про що.

Замість післямови

Здається, з цієї статті стає зрозуміло, що зробити DDoS-атаку самому за наявності спеціального і деяких початкових даних праці не складе. Інша справа - чи варто цим займатися, та ще й недосвідченому користувачеві, який вирішив побалуватись, так, заради спортивного інтересу? Кожен повинен розуміти, що його дії в будь-якому випадку викличуть застосування заходів у відповідь з боку атакованої сторони, причому, як правило, не на користь користувача, що почав атаку. Адже, згідно з Кримінальним кодексом більшості країн, за такі дії можна потрапити, як кажуть, у місця, не настільки віддалені на кілька років. Хто цього хоче?

Замовити Ддос-атаку багато розуму не треба. Заплатив хакерам і думай про паніку конкурентів. Спочатку з крісла директора, а потім із тюремного ліжка.

Пояснюємо, чому звертатися до хакерів – остання справа чесного підприємця і чим це загрожує.

Як зробити Ддос-атакузнає навіть школяр

Сьогодні інструменти для організації Ддос-атаки доступні всім бажаючим. Поріг входження для хакерів-початківців низький. Тому частка коротких, але сильних атак на російські сайтизросла. Схоже, що групи хакерів просто відпрацьовують навички.

Показовий випадок. У 2014 році Освітній портал Республіки Татарстанпіддався Ддос-атакам. На перший погляд, у нападі немає сенсу: це не комерційна організація і спитати з неї нема чого. На порталі виставляють оцінки, розклад занять тощо. Не більше. Експерти "Лабораторія Касперського" знайшли групу "Вконтакте", де студенти та школярі Татарстану обговорювали як зробити Ддос-атаку.

Спільнота юних борців із системою Республіки Татарстан

Похідні запити від «як зробити Ддос-атаку Татарстан» привели фахівців з кібербезпеки до цікавого оголошення. Виконавців швидко знайшли та їм довелосявідшкодувати збиток.

Раніше виривали сторінки у щоденниках, а тепер зламують сайти

Через простоту Ддос-атак за них беруться новачки без моральних принципів та розуміння своїх можливостей. Такі можуть перепродати дані про замовника. Омолодження виконавців Ддос-атак – світова тенденція.

Весною 2017 року тюремний термінодержав британський студент. Коли йому було 16 років, він створив програму для Ддос-атак Titanium Stresser. На продажі британець заробив 400 тисяч фунтів стерлінгів (29 мільйонів рублів). За допомогою цієї Ддос-програми провели 2 мільйони атак на 650 тисяч користувачів у всьому світі.

Підлітками виявились учасники великих Ддос-угруповань Lizard Squad та PoodleCorp. Юні американці вигадали власні Ддос-програми, але використовували їх для атаки на ігрові сервери, щоб отримати переваги в онлайн-іграх. Так їх і виявили.

Чи довіряти репутацію компанії вчорашнім школярам кожен вирішить сам.

Покарання заДдос-програмив Росії

Як зробити Ддос-атакуцікавляться підприємці, які бажають грати за правилами конкуренції. Такими займаються співробітники Управління "К" МВС Росії. Вони ж ловлять виконавців.

Російське законодавство передбачає покарання за кібер-злочини. Виходячи з практики, що склалася, учасники Ддос-атаки можуть потрапити під наступні статті.

Замовники.Їх дії зазвичай підпадають під- неправомірний доступ до комп'ютерної інформації, що охороняється законом.

Покарання:позбавлення волі до 7 років або штраф до 500 тисяч рублів.

приклад. За цією статтею засуджено співробітника відділу технічного захисту інформації адміністрації міста Курган. Він розробив багатофункціональну програму Мета. За її допомогою зловмисник зібрав персональні дані на 1,3 мільйона мешканців області. Після – продавав банкам та колекторським агентствам. Хакер отримав два роки позбавлення волі.

Виконавці.Як правило, караються застатті 273 КК РФ - створення, використання та розповсюдження шкідливих комп'ютерних програм.

Покарання.Позбавлення волі до семи років зі штрафом до 200 тисяч рублів.

приклад.19-річний студент із Тольяттіотримав 2,5 року умовного терміну та штраф 12 млн рублів. За допомогою програми для Ддос-атак він намагався обрушити інформаційні ресурси та сайти банків. Після атаки студент вимагав гроші.

Необережні юзери.Недотримання правил безпеки при зберіганні даних карається застатті 274 КК РФ - порушення правил експлуатації засобів зберігання, обробки чи передачі комп'ютерної інформації та інформаційно-телекомунікаційних мереж.

Покарання:позбавлення волі до 5 років або штрафом до 500 тисяч рублів.

приклад.Якщо під час доступу до інформації будь-яким чином було викрадено гроші, статтю перекваліфікують у шахрайстві у сфері комп'ютерної інформації (). Так два роки у колонії-поселенні отримали уральські хакери, які отримали доступ до серверів банків.

Напади на ЗМІ.Якщо Ддос-атаки спрямовані на порушення журналістських прав, дії підпадають під - перешкоджання законній професійній діяльності журналіста.

Покарання:позбавлення волі до шести років чи штрафом до 800 тисяч рублів.

приклад.Цю статтю часто перекваліфікують на більш важкі. Як зробити Ддос-атакузнали напали на «Нову газету», «Эхо Москвы» і «Велике місто». Жертвами хакерів стають і регіональні видання.

У Росії суворе покарання використанняДдос-програм . Анонімність від Управління "К" не врятує.

Програми для Ддос-атак

За інформацією експертів, для атаки на середній сайт достатньо 2000 ботів. Вартість Ддос-атаки починається від 20 доларів (1100 рублів). Кількість атакуючих каналів та час роботи обговорюються індивідуально. Зустрічаються і здирства.

Пристойний хакер перед атакою проведе пентест. Військові назвали цей метод «розвідка боєм». Суть пентесту у невеликій контрольованій атаці, щоб дізнатися про ресурси захисту сайту.

Цікавий факт.Як зробити Ддос-атакузнає багато хто, але сила хакера визначається ботнетом. Часто зловмисники крадуть один одного ключі доступу до «армій», а потім перепродують. Відомий прийом – «покласти» wi-fi, щоб той примусово перезавантажився та повернувся до базових налаштувань. У такому стані пароль стоїть стандартний. Далі зловмисники одержують доступ до всього трафіку організації.

Останній хакерський тренд – злом «розумних» пристроїв для встановлення на них програм-майнерів криптовалюти. Ці дії можуть кваліфікуватися за статтею використання шкідливих програм (ст. 273 КК РФ). Так співробітники ФСБзатримано системного адміністратора Центру управління польотами. Він встановив на робоче обладнання майнери та збагачувався. Вирахували зловмисника по стрибках напруги.

Хакери проведуть Ддос-атаку на конкурента. Потім можуть отримати доступ до його обчислювальної потужності і замайнити біткоін-другий. Тільки ці доходи замовнику не дістануться.

Ризики замовлення Ддос-атаки

Підіб'ємо підсумок, зваживши переваги та недоліки замовлення Ддос-атаки на конкурентів.

Якщо конкуренти насолили бізнесу, хакери не допоможуть. Вони зроблять лише гірше. Агентство «Digital Sharks» небажану інформацію законними способами.

Боротьба з DDoS-атаками – робота не лише складна, а й захоплююча. Не дивно, що кожен сисадмін насамперед намагається організувати оборону самотужки - тим більше, що поки що це можливо.

Ми вирішили допомогти вам у цій нелегкій справі та опублікувати кілька коротких, тривіальних та не універсальних порад щодо захисту вашого сайту від атак. Наведені рецепти не допоможуть вам впоратися з будь-якою атакою, але від більшості небезпек вони вас убережуть.

Правильні інгредієнти

Сувора правда така, що багато сайтів може покласти будь-хто, скориставшись атакою Slowloris, що наглухо вбиває Apache, або влаштувавши так званий SYN-флуд за допомогою ферми віртуальних серверів, піднятих за хвилину в хмарі Amazon EC2. Всі наші подальші поради щодо захисту від DDoS самотужки ґрунтуються на наступних важливих умовах.

1. Відмовитися від Windows Server

Практика підказує, що сайт, який працює на вінді (2003 або 2008 – неважливо), у разі DDoS приречений. Причина невдачі криється в винтовому мережевому стеку: коли з'єднань стає дуже багато, то сервер неодмінно починає погано відповідати. Ми не знаємо, чому Windows Server у таких ситуаціях працює настільки огидно, але стикалися з цим не раз і не два. З цієї причини мова в цій статті йтиме про засоби захисту від DDoS-атак у разі, коли сервер крутиться на Linux. Якщо ви щасливий власник щодо сучасного ядра (починаючи з 2.6), то як первинний інструментарій будуть виступати утиліти iptables та ipset (для швидкого додавання IP-адрес), за допомогою яких можна оперативно забанити ботів. Ще один ключ до успіху - правильно приготовлений мережевий стек, про що ми також говоритимемо далі.

2. Розлучитися з Apache

Друга важлива умова – відмова від Apache. Якщо у вас, не рівна година, стоїть Apache, то як мінімум поставте перед ним проксі, що кешує - nginx або lighttpd. Apache"вкрай важко віддавати файли, і, що ще гірше, він на фундаментальному рівні (тобто невиправно) вразливий для небезпечної атаки Slowloris, що дозволяє завалити сервер мало не з мобільного телефону. Для боротьби з різними видами Slowloris користувачі Apache придумали спочатку патч Anti-slowloris.diff, потім mod_noloris, потім mod_antiloris, mod_limitipconn, mod_reqtimeout... Але якщо ви хочете спокійно спати ночами, простіше взяти HTTP-сервер, невразливий для Slowloris на рівні архітектури коду, тому всі наші подальші рецепти ґрунтуються що на фронтенді використовується nginx.

Відбиваємось від DDoS

Що робити, коли прийшов DDoS? Традиційна техніка самооборони – почитати лог-файл HTTP-сервера, написати патерн для grep (що відловлює запити ботів) та забанити всіх, хто під нього підпаде. Ця методика спрацює... якщо пощастить. Ботнети бувають двох типів, обидва небезпечні, але по-різному. Один цілком приходить на сайт миттєво, інший поступово. Перший вбиває все й одразу, зате в логах з'являється весь повністю, і якщо ви їх проgrepаєте та забаните всі IP-адреси, то ви – переможець. Другий ботнет укладає сайт ніжно та обережно, але банити вам його доведеться, можливо, протягом доби. Будь-якому адміністратору важливо розуміти: якщо планується боротися grep'ом, то треба бути готовим присвятити боротьбі з атакою кілька днів. Нижче поради про те, куди можна заздалегідь підкласти соломки, щоб не так боляче було падати.

3. Використовувати модуль testcookie

Мабуть, найголовніший, найдієвіший і оперативніший рецепт цієї статті. Якщо на ваш сайт приходить DDoS, то максимально дієвим способом дати відсіч може стати модуль testcookie-nginx, розроблений хабракористувачем @kyprizel. Ідея проста. Найчастіше роботи, що реалізують HTTP-флуд, досить тупі і не мають механізмів HTTP cookie та редиректу. Іноді трапляються просунутіші - такі можуть використовувати cookies і обробляти редиректи, але майже ніколи DoS-бот не несе в собі повноцінного JavaScript-движка (хоча це зустрічається все частіше і частіше). Testcookie-nginx працює як швидкий фільтр між ботами та бекендом під час L7 DDoS-атаки, що дозволяє відсіювати сміттєві запити. Що входить до цих перевірок? Чи вміє клієнт виконувати HTTP Redirect, чи підтримує JavaScript, чи він браузер, за який себе видає (оскільки JavaScript скрізь різний і якщо клієнт каже, що він, скажімо, Firefox, то ми можемо це перевірити). Перевірка реалізована за допомогою кукісів з використанням різних методів:

• "Set-Cookie" + редирект за допомогою 301 HTTP Location;
• "Set-Cookie" + редирект за допомогою HTML meta refresh;
• довільним шаблоном, причому можна використовувати JavaScript.

Щоб уникнути автоматичного парсингу, перевіряюча кукіса може бути зашифрована за допомогою AES-128 і пізніше розшифрована на клієнтській стороні JavaScript. У новій версії модуля з'явилася можливість встановлювати кукісу через Flash, що також дозволяє ефективно відсіяти ботів (які Flash, як правило, не підтримують), але, щоправда, блокує доступ для багатьох легітимних користувачів (фактично всіх мобільних пристроїв). Примітно, що використовувати testcookie-nginx вкрай просто. Розробник, зокрема, наводить кілька зрозумілих прикладів використання (на різні випадки атаки) із семплами конфігів для nginx.

Крім переваг, у testcookie є і недоліки:

• ріже всіх роботів, у тому числі Googlebot. Якщо ви плануєте залишити testcookie на постійній основі, переконайтеся, що ви не пропадете з пошукової видачі;
• створює проблеми користувачам з браузерами Links, w3m та їм подібними;
• не рятує від роботів, оснащених повноцінним браузерним двигуном з JavaScript.

Словом, testcookie_module не є універсальним. Але від ряду речей, таких як, наприклад, примітивні інструментарії Java і C#, він допомагає. Таким чином ви відсікаєте частину загрози.

4. Код 444

Метою DDoS'єрів часто стає найбільш ресурсомістка частина сайту. Типовий приклад – пошук, який виконує складні запити до бази. Звичайно, цим можуть користуватися зловмисники, зарядивши відразу кілька десятків тисяч запитів до пошукового двигуна. Що ми можемо вдіяти? Час відключити пошук. Нехай клієнти не зможуть шукати потрібну інформацію вбудованими засобами, але весь основний сайт залишатиметься в працездатному стані доти, поки ви не знайдете корінь всіх проблем. Nginx підтримує нестандартний код 444, який дозволяє просто закрити з'єднання і нічого не віддавати у відповідь:

Location /search ( return 444; )

Таким чином, можна, наприклад, оперативно реалізувати фільтрацію по URL. Якщо ви впевнені, що запити до location /search приходять тільки від ботів (наприклад, ваша впевненість полягає в тому, що на вашому сайті взагалі немає розділу /search), ви можете встановити на сервер пакет ipset і забанити ботів простим shell-скриптом:

Ipset-N ban iphash tail-f access.log | while read LINE; do echo "$LINE" | \ cut -d "" -f3 | cut -d " " -f2 | grep -q 444 && ipset -A ban "$(L%% *)";

Якщо формат лог-файлів нестандартний (не combined) або потрібно банити за іншими ознаками, ніж статус відповіді, може знадобитися замінити cut на регулярне вираження.

5. Банім з геопризнаку

Нестандартний код відповіді 444 може стати у нагоді ще й для оперативного бана клієнтів з геоознаки. Ви можете жорстко обмежити окремі країни, від яких відчуваєте незручність. Скажімо, навряд чи інтернет-магазин фотоапаратів з Ростова-на-Дону має багато користувачів в Єгипті. Це не дуже хороший спосіб (прямо скажемо - огидний), оскільки дані GeoIP неточні, а лихварі іноді літають до Єгипту на відпочинок. Але якщо вам втрачати нічого, то дотримуйтесь інструкцій:

1. Підключіть до nginx GeoIP-модуль (wiki.nginx.org/HttpGeoipModule).
2. Виведіть інформацію про геоприв'язку в access log.
3. Далі, модифікувавши наведений вище шелл-скрипт, проgrepайте accesslog nginx'а і додайте відфутболених за географічною ознакою клієнтів у бан.

Якщо, наприклад, боти здебільшого були з Китаю, це може допомогти.

6. Нейронна мережа (PoC)

Нарешті, ви можете повторити досвід хабракористувача @SaveTheRbtz, який взяв нейронну мережу PyBrain, запхав у неї лог і проаналізував запити (habrahabr.ru/post/136237). Метод робочий, хоч і не універсальний:). Але якщо ви дійсно знаєте нутрощі свого сайту – а ви, як системний адміністратор, повинні, – то у вас є шанси, що в найбільш трагічних ситуаціях такий інструментарій на основі нейронних мереж, навчання та заздалегідь зібраної інформації вам допоможе. У цьому випадку дуже корисно мати access.log до початку DDoS"а, тому що він описує практично 100% легітимних клієнтів, а отже, відмінний dataset для тренування нейронної мережі. Тим більше очима в лозі боти видно не завжди.

Діагностика проблеми

Сайт не працює – чому? Його DDoS'ят чи це баг движка, не помічений програмістом? Неважливо. Не шукайте відповіді це питання. Якщо ви вважаєте, що ваш сайт можуть атакувати, зверніться до компаній, що надають захист від атак - у ряду анти-DDoS-сервісів перша доба після підключення безкоштовна - і не витрачайте більше часу на пошук симптомів. Зосередьтеся на проблемі. Якщо сайт працює повільно або не відкривається взагалі, значить, у нього щось не в порядку з продуктивністю, і – незалежно від того, чи йде DDoS-атака чи ні – ви, як професіонал, зобов'язані зрозуміти, чим це викликано. Ми неодноразово були свідками того, як компанія, яка відчуває труднощі з роботою свого сайту через DDoS-атаки, замість пошуку слабких місць у движку сайту намагалася направляти заяви до МВС, щоб знайти та покарати зловмисників. Не допускайте таких помилок. Пошук кіберзлочинців - це важкий і тривалий процес, ускладнений структурою та принципами роботи мережі Інтернет, а проблему з роботою сайту потрібно вирішувати оперативно. Змусіть технічних фахівців знайти, у чому полягає причина падіння продуктивності сайту, а заяву зможуть написати юристи.

7. Юзайте профайлер та відладчик

Для найпоширенішої платформи створення веб-сайтів – PHP + MySQL – вузьке місце можна шукати за допомогою наступних інструментів:

• профайлер Xdebug покаже, на які виклики програма витрачає найбільше часу;
• вбудований налагоджувач APD та налагоджувальний висновок у лог помилок допоможуть з'ясувати, який саме код виконує ці виклики;
• в більшості випадків собака заритий у складності та великоваговості запитів до бази даних. Тут допоможе вбудована в двигун бази даних SQL-директива explain.

Якщо сайт лежить навзнак і ви нічого не втрачаєте, відключіться від мережі, подивіться логи, спробуйте їх програти. Якщо не лежить, то пойдіть сторінками, подивіться на базу.

Приклад наведено для PHP, але ідея є справедливою для будь-якої платформи. Розробник, що пише програмні продукти якою б то не було мовою програмування, повинен вміти оперативно застосовувати і відладчик, і профільник. Потренуйтеся заздалегідь!

8. Аналізуйте помилки

Проаналізуйте обсяг трафіку, час відповіді сервера кількість помилок. Для цього дивіться логі. У nginx час відповіді сервера фіксується у лозі двома змінними: request_time та upstream_response_time. Перша - це повний час виконання запиту, включаючи затримки мережі між користувачем і сервером; друга повідомляє, скільки бекенд (Apache, php_fpm, uwsgi...) виконував запит. Значення upstream_response_time надзвичайно важливе для сайтів з великою кількістю динамічного контенту та активним спілкуванням фронтенду з базою даних, їх не можна нехтувати. Як формат лога можна використовувати такий конфіг:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Це combined-формат із доданими полями таймінгу.

9. Відстежуйте кількість запитів на секунду

Також подивіться на кількість запитів за секунду. У разі nginx ви можете приблизно оцінити цю величину наступною shell-командою (змінна ACCESS_LOG містить шлях до журналу запитів nginx у combined-форматі):

Echo $(($(fgrep -c "$(env LC_ALL=C date --date=@$(($(date \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

Порівняно з нормальним для цього часу рівнем кількість запитів в секунду може як падати, так і зростати. Зростають вони у випадку, якщо прийшов великий ботнет, а падають, якщо ботнет, що прийшов, обрушив сайт, зробивши його повністю недоступним для легітимних користувачів, і при цьому ботнет статику не запитує, а легітимні користувачі запитують. Падіння кількості запитів спостерігається за рахунок статики. Але, так чи інакше, ми ведемо мову про серйозні зміни показників. Коли це відбувається раптово - поки ви намагаєтеся вирішити проблему самотужки і якщо не бачите її відразу в лозі, краще швидко перевірте двигун і паралельно зверніться до фахівців.

10. Не забувайте про tcpdump

Багато хто забуває, що tcpdump - це шалений засіб діагностики. Я наведу кілька прикладів. У грудні 2011-го виявили баг в ядрі Linux, коли воно відкривало TCP-з'єднання при виставлених прапорах TCP-сегменту SYN і RST. Першим багрепорт відправив саме системний адміністратор з Росії, чий ресурс був атакований цим методом - атакуючі дізналися про вразливість раніше, ніж весь світ. Йому, мабуть, така діагностика допомогла. Інший приклад: у nginx є одна не дуже приємна властивість - він пише в балку тільки після повної відпрацювання запиту. Бувають ситуації, коли сайт лежить, нічого не працює і нічого немає. Все тому, що всі запити, які зараз завантажують сервер, ще не виконалися. Tcpdump допоможе тут.

Він настільки хороший, що я радив людям не використовувати бінарні протоколи до того, як вони переконаються, що все гаразд, - адже текстові протоколи налагоджувати tcpdump"ом легко, а бінарні - ні. Однак сніффер хороший як засіб діагностики - як засіб підтримки production"а він страшний. Він легко може втратити відразу кілька пакетів та зіпсувати вам історію користувача. Дивитися його висновок зручно, і він стане в нагоді для ручної діагностики та бана, але намагайтеся нічого критичного на ньому не засновувати. Інший улюблений багатьма засіб «погріпати запити» - ngrep - взагалі за замовчуванням намагається запросити в районі двох гігабайт пам'яті, що несвопується, і тільки потім починає зменшувати свої вимоги.

11. Атака чи ні?

Як відрізнити DDoS-атаку, наприклад, від ефекту рекламної кампанії? Це питання може здатися смішним, але ця тема не менш складна. Бувають досить курйозні випадки. В одних добрих хлопців, коли вони напружилися і ґрунтовно прикрутили кешування, сайт зліг на пару днів. З'ясувалося, що протягом кількох місяців цей сайт непомітно датамайнили якісь німці і до оптимізації кешування сторінки сайту у цих німців з усіма картинками вантажилися досить довго. Коли сторінка почала видаватися з кешу миттєво, бот, який не мав ніяких тайм-аутів, теж почав збирати їх миттєво. Тяжко довелося. Випадок особливо складний тому, що якщо ви самі змінили налаштування (включили кешування) і сайт після цього перестав працювати, то хто, на вашу і начальницьку думку, винен? Ось ось. Якщо ви спостерігаєте різке зростання кількості запитів, подивіться, наприклад, у Google Analytics, хто приходив на якісь сторінки.

Тюнінг веб-сервера

Які є ще ключові моменти? Звичайно, ви можете поставити «умолчальний» nginx і сподіватися, що у вас все буде гаразд. Однак добре завжди не буває. Тому адміністратор будь-якого сервера повинен присвятити чимало часу тонкому налаштуванню та тюнінгу nginx.

12. Лімітуємо ресурси (розміри буферів) у nginx

Про що треба пам'ятати насамперед? Кожен ресурс має ліміт. Насамперед це стосується оперативної пам'яті. Тому розміри заголовків і всіх буферів потрібно обмежити адекватними значеннями на клієнта і на сервер цілком. Їх обов'язково потрібно прописати у конфізі nginx.

• client_header_buffer_size_ _ Задає розмір буфера для читання заголовка запиту клієнта. Якщо рядок запиту або поле заголовка запиту не поміщаються повністю в цей буфер, виділяються буфери більшого розміру, що задаються директивою large_client_header_buffers.
• large_client_header_buffersЗадає максимальне число та розмір буферів для читання великого заголовка запиту клієнта.
• client_body_buffer_sizeЗадає розмір буфера для читання запиту клієнта. Якщо тіло запиту більше заданого буфера, все тіло запиту чи лише його частина записується в тимчасовий файл.
• client_max_body_sizeЗадає максимально допустимий розмір тіла запиту клієнта, що вказується в полі Content-Length заголовка запиту. Якщо розмір більше заданого, клієнту повертається помилка 413 (Request Entity Too Large).

13. Налаштовуємо тайм-аути в nginx

Ресурсом є час. Тому наступним важливим кроком має стати установка всіх тайм-аутів, які знову ж таки дуже важливо акуратно прописати в налаштуваннях nginx.

• reset_timedout_connection on;Допомагає боротися із сокетами, що зависли у фазі FIN-WAIT.
• client_header_timeoutЗадає тайм-аут під час читання заголовка запиту клієнта.
• client_body_timeoutЗадає тайм-аут під час читання тіла запиту клієнта.
• keepalive_timeoutЗадає тайм-аут, протягом якого keep-alive з'єднання з клієнтом не буде закрито сервером. Багато хто боїться задавати тут великі значення, але ми не впевнені, що цей страх виправданий. Опціонально можна виставити значення тайм-ауту в заголовку HTTP Keep-Alive, але Internet Explorer відомий тим, що ігнорує це значення
• send_timeoutЗадає тайм-аут під час передачі відповіді клієнту. Якщо після цього клієнт нічого не прийме, з'єднання буде закрито.

Відразу питання: які параметри буферів та тайм-аутів правильні? Універсального рецепта тут немає, у кожній ситуації вони свої. Але є перевірений підхід. Потрібно виставити мінімальні значення, за яких сайт залишається у працездатному стані (у мирний час), тобто сторінки віддаються та запити обробляються. Це визначається лише тестуванням – як із десктопів, так і з мобільних пристроїв. Алгоритм пошуку значень кожного параметра (розмір буфера або тайм-ауту):

1. Виставляємо математично мінімальне значення параметра.
2. Запускаємо прогін тестів сайту.
3. Якщо весь функціонал сайту працює без проблем – параметр визначено. Якщо ні – збільшуємо значення параметра та переходимо до п. 2.
4. Якщо значення параметра перевищило навіть значення за промовчанням, це привід для обговорення в команді розробників.

У ряді випадків ревізія даних параметрів повинна призводити до рефакторингу/редизайну сайту. Наприклад, якщо сайт не працює без трихвилинних AJAX long polling запитів, то потрібно не тайм-аут підвищувати, а long polling замінювати на щось інше - ботнет у 20 тисяч машин, що висить на запитах по три хвилини, легко вб'є дешевий середньостатистичний сервер.

14. Лімітуємо з'єднання в nginx (limit_conn та limit_req)

Nginx також має можливість лімітувати з'єднання, запити і так далі. Якщо ви не впевнені в тому, як поведеться певна частина вашого сайту, то в ідеалі вам потрібно протестувати її, зрозуміти скільки запитів вона витримає, і прописати це в конфігурації nginx. Одна річ, коли сайт лежить і ви здатні прийти та підняти його. І зовсім інша справа - коли він ліг настільки, що сервер пішов у swap. У цьому випадку найчастіше простіше перезавантажитись, ніж дочекатися його тріумфального повернення.

Припустимо, що на сайті є розділи з назвами /download і /search. При цьому ми:

• не хочемо, щоб боти (або люди з надто ретивими рекурсивними download-менеджерами) забили нам таблицю TCP-з'єднань своїми закачуваннями;
• не хочемо, щоб боти (або залітні краулери пошукових систем) вичерпали обчислювальні ресурси СУБД безліччю пошукових запитів.

Для цього пригодиться конфігурація такого виду:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( location /download/ ( limit_conn download_c 1; # Інша конфігурація search_r burst = 5; # Інша конфігурація location ) ) )

Зазвичай має пряме значення встановити обмеження limit_conn і limit_req для locations, у яких перебувають дорогі до виконання скрипти (у прикладі вказаний пошук, і це неспроста). Обмеження необхідно вибирати, керуючись результатами навантажувального та регресійного тестування, а також здоровим глуздом.

Зверніть увагу на параметр 10m у прикладі. Він означає, що на розрахунок даного ліміту буде виділено словник з буфером 10 мегабайт і ні мегабайтом більше. У цій конфігурації це дозволить відстежувати 320 000 TCP-сесій. Для оптимізації займаної пам'яті як ключ у словнику використовується змінна $binary_remote_addr, яка містить IP-адресу користувача в бінарному вигляді і займає менше пам'яті, ніж звичайна строкова змінна $remote_addr. Потрібно зауважити, що другим параметром до директиви limit_req_zone може бути не тільки IP, але й будь-яка інша змінна nginx, доступна в даному контексті, - наприклад, у випадку, коли ви не хочете забезпечити більш щадний режим для проксі, можна використовувати $binary_remote_addr$http_user_agent або $binary_remote_addr$http_cookie_myc00kiez - але використовувати такі конструкції потрібно з обережністю, оскільки, на відміну від 32-бітного $binary_remote_addr, ці змінні можуть бути істотно більшої довжини і декларовані вами «10m» можуть раптово закінчитися.

Тренди в DDoS

1. Безперервно зростає потужність атак мережного та транспортного рівня. Потенціал середньостатистичної атаки типу SYN-флуд досяг уже 10 мільйонів пакетів на секунду.
2. Особливий попит останнім часом мають атаки на DNS. UDP-флуд валідними DNS-запитами зі spoof'ленними IP-адресами джерела - це одна з найпростіших у реалізації та складних у плані протидії атак. Багато великих російських компаній (у тому числі хостингів) відчували останнім часом проблеми в результаті атак на їхні DNS-сервери. Чим далі, тим таких атак буде більше, а їхня потужність зростатиме.
3. Судячи з зовнішніх ознак, більшість ботнетів управляється не централізовано, а у вигляді пірингової мережі. Це дає зловмисникам можливість синхронізувати дії ботнета в часі - якщо раніше керуючі команди поширювалися по ботнету в 5 тисяч машин за десятки хвилин, то тепер рахунок йде на секунди, а ваш сайт може несподівано випробувати миттєве зростання кількості запитів.
4. Частка роботів, оснащених повноцінним браузерним двигуном з JavaScript, все ще невелика, але безперервно зростає. Таку атаку складніше відбити вбудованими підручними засобами, тому Саморобкіни повинні з побоюванням стежити за цим трендом.

готуємо ОС

Крім тонкого налаштування nginx, потрібно подбати про налаштування мережевого стека системи. Щонайменше - відразу включити net.ipv4.tcp_syncookies в sysctl, щоб разом захистити себе від атаки SYN-flood невеликого розміру.

15. Тюним ядро

Зверніть увагу на більш просунуті налаштування мережної частини (ядра) знову ж таки за тайм-аутами та пам'яті. Є більш важливі та менш важливі. Насамперед треба звернути увагу на:

• net.ipv4.tcp_fin_timeoutЧас, який сокет проведе у TCP-фазі FIN-WAIT-2 (очікування FIN/ACK-сегмента).
• net.ipv4.tcp_(,r,w)memРозмір приймального буфера сокетів TCP. Три значення: мінімум, значення за замовчуванням та максимум.
• net.core.(r,w)mem_maxТе ж саме для не TCP буферів.

При каналі в 100 Мбіт/с значення за умовчанням якось годяться; але якщо у вас є хоча б гігабіт в секунду, то краще використовувати щось на кшталт:

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl4m 388608" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Ревізія /proc/sys/net/**

Ідеально вивчити всі параметри /proc/sys/net/**. Потрібно подивитися, наскільки вони відрізняються від дефолтних, і зрозуміти, наскільки вони адекватно виставлені. Linux-розробник (або системний адміністратор), який знається на роботі підвладного йому інтернет-сервісу і бажає його оптимізувати, повинен з цікавістю прочитати документацію всіх параметрів мережевого стека ядра. Можливо, він знайде там специфічні для свого сайту змінні, які допоможуть не лише захистити сайт від зловмисників, а й прискорити його роботу.

Не боятися!

Успішні DDoS-атаки день у день гасять e-commerce, стрясають ЗМІ, з одного удару відправляють у нокаут найбільші платіжні системи. Мільйони інтернет-користувачів втрачають доступ до критичної інформації. Загроза насущна, тому потрібно зустрічати її у всеозброєнні. Виконайте домашню роботу, не бійтеся та тримайте голову холодною. Ви не перший і не останній, хто зіткнеться з DDoS-атакою на свій сайт, і у ваших силах, керуючись своїми знаннями та здоровим глуздом, звести наслідки атаки до мінімуму.

Заголовки новин сьогодні рясніють повідомленнями про DDoS-атаки (Distributed Denial of Service). Розподіленим атакам «відмова в обслуговуванні» схильні до будь-яких організацій, присутніх в інтернеті. Питання не в тому, чи атакують вас, чи ні, а в тому, коли це станеться. Державні установи, сайти ЗМІ та електронної комерції, сайти компаній, комерційних та некомерційних організацій – усі вони є потенційними цілями DDoS-атак.

Кого атакують?

При цьому DDoS-атаки суттєвих збитків банкам не завдали – вони непогано захищені, тому такі атаки, хоч і завдавали неприємностей, але не мали критичного характеру і не порушили жодного сервісу. Проте можна констатувати, що антибанківська активність хакерів значно збільшилася.

У лютому 2017 року технічні служби МОЗ Росії відобразили наймасштабнішу за останні роки DDoS-атаку, яка в піковому режимі досягала 4 мільйонів запитів за хвилину. Здійснювалися і DDoS-атаки на державні реєстри, але вони також були безуспішними і не призвели до будь-яких змін даних.

Однак жертвами DDoS-атак стають як численні організації та компанії, які мають таку потужну «оборону». У 2017 році очікується зростання збитків від кіберзагроз – програм-вимагачів, DDoS та атак на пристрої інтернету речей.

Вона була здійснена проти французького хостинг-провайдера OVH. Це була найпотужніша DDoS-атака – майже 1 Тбіт/с. Хакери за допомогою ботнету задіяли 150 тис. пристроїв IoT, переважно камери відеоспостереження. Атаки з використанням ботнету Mirai започаткували появу безлічі ботнетів з пристроїв IoT. На думку експертів, у 2017 році IoT-ботнети, як і раніше, будуть однією з головних загроз у кіберпросторі.

Цікава тенденція DDoS-атак – розширення «списку жертв». Він включає тепер представників майже всіх галузей. З іншого боку, вдосконалюються методи нападу.
За даними Nexusguard, наприкінці 2016 року помітно зросла кількість DDoS-атак змішаного типу – з використанням одразу кількох вразливостей. Найчастіше їм зазнавали фінансові та державні організації. Основний мотив кібезлочинців (70% випадків) – крадіжка даних або загроза їхнього знищення з метою викупу. Рідше – політичні чи соціальні цілі. Ось чому важливою є стратегія захисту. Вона може підготуватися до атаки та мінімізувати її наслідки, знизити фінансові та репутаційні ризики.

Наслідки атак

Середні збитки від DDoS-атак оцінюються у світі в 50 тис. доларів для невеликих організацій і майже 500 тис. доларів для великих підприємств. Усунення наслідків DDoS-атаки вимагатиме додаткового робочого часу співробітників, відволікання ресурсів з інших проектів на безпеку, розробки плану оновлення ПЗ, модернізації обладнання та ін.

Типи DDoS-атак

Організація DDoS-атак помітно спростилася: зараз є широко доступні автоматизовані інструменти, які практично не вимагають від кіберзлочинців спеціальних знань. Існують і платні послуги DDoS для анонімної атаки мети. Наприклад, сервіс vDOS пропонує свої послуги, не перевіряючи, чи є замовник власником сайту, який бажає протестувати його «під навантаженням», чи це робиться з метою атаки.

Щорічне зростання кількості DDoS-атак оцінюється в 50% (за відомостями www.leaseweb.com), але дані різних джерел розходяться, і не всі інциденти стають відомими. Середня потужність DDoS-атак Layer 3/4 зросла останніми роками з 20 до кількох сотень Гбайт/с. Хоча масові DDoS-атаки та атаки на рівні протоколів вже самі по собі – штука неприємна, кіберзлочинці все частіше комбінують їх із DDoS-атаками Layer 7, тобто на рівні додатків, які націлені на зміну чи крадіжку даних. Такі «багатовекторні» атаки можуть бути дуже ефективними.

У разі масової DDoS-атаки (volume based) використовується велика кількість запитів, які нерідко надсилаються з легітимних IP-адрес, щоб сайт «захлинувся» у трафіку. Мета таких атак - "забити" всю доступну смугу пропускання та перекрити легітимний трафік.

У разі атаки на рівні протоколу (наприклад, UDP чи ICMP) метою є вичерпання ресурсів системи. Для цього надсилаються відкриті запити, наприклад, запити TCP/IP з підробленими IP, і в результаті вичерпання мережевих ресурсів стає неможливою обробка легітимних запитів. Типові представники - DDoS-атаки, відомі у вузьких колах як Smurf DDos, Ping of Death та SYN flood. Інший вид DDoS-атак протокольного рівня полягає у надсиланні великої кількості фрагментованих пакетів, з якими система не справляється.

DDoS-атаки Layer 7 – це відправлення необразливих на вигляд запитів, що виглядають як результат звичайних дій користувачів. Зазвичай для їх здійснення використовують ботнети та автоматизовані інструменти. Відомі приклади - Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

У 2012–2014 роках більшість масованих DDoS-атак були атаками типу Stateless (без запам'ятовування станів та відстеження сесій) – вони використовували протокол UDP. У випадку Stateless в одній сесії (наприклад, відкриття сторінки) циркулює багато пакетів. Хто розпочав сесію (запросив сторінку), Stateless-пристрої, як правило, не знають.

Протокол UDP схильний до спуфінгу – заміни адреси. Наприклад, якщо потрібно атакувати сервер DNS за адресою 56.26.56.26, використовуючи атаку DNS Amplification, можна створити набір пакетів з адресою відправника 56.26.56.26 і відправити їх DNS-серверам по всьому світу. Ці сервери надішлють відповідь за адресою 56.26.56.26.

Той самий метод працює для серверів NTP, пристроїв із підтримкою SSDP. Протокол NTP – чи не найпопулярніший метод: у другій половині 2016 року він використовувався у 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендує провайдерам конфігурувати шлюзи для запобігання спуфінгу – контролюється адреса відправника, вихідна мережа. Але такої практики йдуть не всі країни. Крім того, атакуючі обходять контроль BCP 38, переходячи на атаки типу Stateful, на рівні TCP. За даними F5 Security Operations Center (SOC), останні п'ять років такі атаки домінують. У 2016 році TCP-атак було вдвічі більше, ніж атак із використанням UDP.

До атак Layer 7 вдаються переважно професійні хакери. Принцип наступний: береться «важкий» URL (з PDF або запитом до великої БД) і повторюється десятки чи сотні разів на секунду. Атаки Layer 7 мають тяжкі наслідки і важко розпізнаються. Нині вони становлять близько 10% DDoS-атак.

Нерідко DDoS-атаки приурочують до періодів пікового трафіку, наприклад до днів інтернет-розпродажів. Великі потоки персональних та фінансових даних у цей час приваблюють хакерів.

DDoS-атаки на DNS

DDoS-атаки важко виявити, особливо спочатку, коли трафік виглядає нормальним. Інфраструктура DNS може піддаватися різним типам DDoS-атак. Іноді це пряма атака на DNS сервери. В інших випадках використовують експлойти, задіявши DNS системи для атаки на інші елементи ІТ-інфраструктури або сервіси.

При цьому досягається подвійний ефект. Цільову систему бомбардують тисячі та мільйони відповідей DNS, а DNS-сервер може «лягти», не впоравшись із навантаженням. Сам запит DNS – це зазвичай менше 50 байт, відповідь раз на десять довша. Крім того, повідомлення DNS можуть містити багато іншої інформації.

Припустимо, що атакуючий видав 100 000 коротких запитів DNS по 50 байт (всього 5 Мбайт). Якщо кожна відповідь містить 1 Кбайт, то це вже 100 Мбайт. Звідси й назва – Amplification (посилення). Комбінація атак DNS Reflection та Amplification може мати дуже серйозні наслідки.

Як захиститись від DDoS-атак?

1. Безпека програмного коду При написанні програмного забезпечення повинні братися до уваги міркування безпеки. Рекомендується дотримуватися стандартів «безпечного кодування» та ретельно тестувати програмне забезпечення, щоб уникнути типових помилок та вразливостей, таких як міжсайтові скрипти та SQL-ін'єкції.
2. Розробте план дій під час оновлення програмного забезпечення. Завжди має бути можливість «відкату» у тому випадку, якщо щось піде не так.
3. Вчасно оновлюйте програмне забезпечення. Якщо накотити апдейти вдалося, але виникли проблеми, див. п.2.
4. Не забувайте про обмеження доступу. Облікові записи admin та/або повинні бути захищені сильними та регулярно змінюваними паролями. Необхідний також періодичний аудит прав доступу, своєчасне видалення акаунтів співробітників, що звільнилися.
5. Інтерфейс адміністратора має бути доступний лише з внутрішньої мережі або через VPN. Вчасно закривайте VPN-доступ для звільнених і звільнених співробітників.
6. Увімкніть усунення наслідків DDoS-атак у план аварійного відновлення. План має передбачати способи виявлення факту такої атаки, контакти для зв'язку з інтернет- або хостинг-провайдером, дерево «ескалації проблеми» для кожного департаменту.
7. Сканування на наявність уразливостей допоможе виявити проблеми у вашій інфраструктурі та програмному забезпеченні, знизити ризики. Простий тест OWASP Top 10 Vulnerability виявить найкритичніші проблеми. Корисними будуть тести на проникнення – вони допоможуть знайти слабкі місця.
8. Апаратні засоби захисту від DDoS-атак можуть бути недешевими. Якщо ваш бюджет такого не передбачає, то є хороша альтернатива – захист від DDoS «на вимогу». Таку послугу можна включати простою зміною схеми маршрутизації трафіку в екстреній ситуації, або перебуває під захистом постійно.
9. Використовуйте CDN-партнер. Мережі доставки контенту (Content Delivery Network) дозволяють доставляти контент сайту за допомогою розподіленої мережі. Трафік розподіляється по безлічі серверів, зменшується затримка доступу користувачів, зокрема географічно віддалених. Таким чином, хоча основна перевага CDN – це швидкість, вона є також бар'єром між основним сервером та користувачами.
10. Використовуйте Web Application Firewall – файрвол для веб-застосунків. Він моніторить трафік між сайтом або програмою та браузером, перевіряючи легітимність запитів. Працюючи на рівні додатків, WAF може виявляти атаки за шаблонами, що зберігаються, і виявляти незвичайну поведінку. Атаки на рівні додатків нерідкі в електронній комерції. Як і у випадку CDN, можна скористатися сервісами WAF у хмарі. Однак конфігурування правил потребує певного досвіду. В ідеалі захистом WAF мають бути забезпечені всі основні програми.

Захист DNS

1. Моніторинг DNS-серверів щодо підозрілої діяльності є першим кроком у справі захисту інфраструктури DNS. Комерційні рішення DNS та продукти з відкритим вихідним кодом, такі як BIND, надають статистику в реальному часі, яку можна використовувати для виявлення атак DDoS. Моніторинг DDoS-атак може бути ресурсомістким завданням. Найкраще створити базовий профіль інфраструктури за нормальних умов функціонування і потім оновлювати його час від часу в міру розвитку інфраструктури та зміни шаблонів трафіку.
2. Додаткові ресурси DNS-сервера допоможуть впоратися з дрібномасштабними атаками за рахунок надмірності інфраструктури DNS. Ресурсів сервера та мережевих ресурсів має вистачати не обробку більшого обсягу запитів. Звичайно, надмірність коштує грошей. Ви платите за серверні та мережеві ресурси, які зазвичай не використовуються в нормальних умовах. І за значного «запасу» потужності цей підхід навряд чи буде ефективним.
3. Увімкнення DNS Response Rate Limiting (RRL) знизить ймовірність того, що сервер буде задіяний в атаці DDoS Reflection – зменшиться швидкість реакції на повторні запити. RRL підтримує багато реалізації DNS.
4. Використовуйте конфігурацію високої доступності. Можна захиститися від DDoS-атак шляхом розгортання DNS на сервері високої доступності (HA). Якщо в результаті атаки «впаде» один фізичний сервер, служба DNS може бути відновлена ​​на резервному сервері.

У разі Unicast кожен із серверів DNS вашої компанії отримує унікальну IP-адресу. DNS підтримує таблицю DNS-серверів вашого домену та відповідних IP-адрес. Коли користувач вводить URL-адресу, для виконання запиту вибирається одна з IP-адрес у випадковому порядку.

При схемі адресації Anycast різні сервери DNS використовують спільну IP-адресу. При введенні користувачем URL повертається колективна адреса серверів DNS. IP-мережа маршрутизує запит на найближчий сервер.

Anycast надає фундаментальні переваги перед Unicast щодо безпеки. Unicast надає IP-адреси окремих серверів, тому нападники можуть ініціювати цілеспрямовані атаки на певні фізичні сервери та віртуальні машини, і коли вичерпані ресурси цієї системи, відбувається відмова служби. Anycast може допомогти пом'якшити DDoS-атаки шляхом розподілу запитів між групою серверів. Anycast також корисно використовувати для ізоляції наслідків атаки.

Засоби захисту від DDoS-атак, що надаються провайдером

Постачальники послуг Managed DNS експлуатують великомасштабні мережі Anycast і мають точки присутності по всьому світу. Експерти з безпеки мережі здійснюють моніторинг мережі в режимі 24/7/365 та застосовують спеціальні засоби для пом'якшення наслідків DDoS-атак.

Ще один варіант – захист IP-адрес. Провайдер поміщає IP-адресу, яку клієнт вибрав як спеціальну мережу-аналізатор. Під час атаки трафік до клієнта зіставляється з відомими шаблонами атак. В результаті клієнт отримує лише чистий, відфільтрований трафік. Таким чином, користувачі сайту можуть і не дізнатися, що на нього було здійснено атаку. Для організації такого створюється розподілена мережа фільтруючих вузлів так, щоб для кожної атаки можна було вибрати найближчий вузол і мінімізувати затримку передачі трафіку.

Результатом використання сервісів захисту від DDoS-атак буде своєчасне виявлення та запобігання DDoS-атак, безперервність функціонування сайту та його постійна доступність для користувачів, мінімізація фінансових та репутаційних втрат від простоїв сайту чи порталу.