Ддосить что это значит
DDoS-атака: что такое, как работает и можно ли защититься
Распределенные атаки типа «отказ в обслуживании» или сокращенно DDoS, стали распространенным явлением и серьезной головной болью для владельцев интернет-ресурсов по всему миру. Именно поэтому, защита от DDoS-атак на сайт является сегодня не дополнительной опцией, а обязательным условием для тех, кто хочет избежать простоя, огромных убытков и испорченной репутации.
Рассказываем подробнее, что это за недуг и как от него защититься.
Что такое DDoS
Distributed Denial of Service или «Распределенный отказ от обслуживания» — нападение на информационную систему для того, чтобы та не имела возможности обрабатывать пользовательские запросы. Простыми словами, DDoS заключается в подавлении веб-ресурса или сервера трафиком из огромного количества источников, что делает его недоступным. Часто такое нападение проводится, чтобы спровоцировать перебои в работе сетевых ресурсов в крупной фирме или государственной организации
DDoS-атака похожа на другую распространённую веб-угрозу — «Отказ в обслуживании» (Denial of Service, DoS). Единственное различие в том, что обычное распределенное нападение идет из одной точки, а DDos-атака более масштабна и идет из разных источников.
Основная цель DDoS-атаки — сделать веб-площадку недоступной для посетителей, заблокировав её работу. Но бывают случаи, когда подобные нападения производятся для того, чтобы отвлечь внимание от других вредных воздействий. DDoS-атака может, например, проводиться при взломе системы безопасности с целью завладеть базой данных организации.
DDoS-атаки появились в поле общественного внимания в 1999 году, когда произошла серия нападений на сайты крупных компаний (Yahoo, eBay, Amazon, CNN). С тех пор, этот вид кибер-преступности развился в угрозу глобального масштаба. По данным специалистов, за последние годы их частота возросла в 2,5 раза, а предельная мощность стала превышать 1 Тбит/сек. Жертвой DDoS-атаки хотя бы раз становилась каждая шестая российская компания. К 2020 году их общее число достигнет 17 миллионов.
Виртуальный хостинг от Eternalhost — хостинг-площадка с круглосуточной защитой от самых изощрённых DDoS-атак.
Причины DDoS-атак
Кто потенциальные жертвы
DDoS могут разрушить сайты любого масштаба, начиная от обычных блогов и заканчивая крупнейшими корпорациями, банками и другими финансовыми учреждениями.
Согласно исследованиям, проведенным «Лабораторией Касперского», нападение может стоить фирме до 1,6 млн долларов. Это серьезный урон, ведь атакованный веб-ресурс на какое-то время не может обслуживании, из-за чего происходит простой.
Чаще всего от DDoS-атак страдают сайты и сервера:
Не так давно к печальному списку частых жертв DDoS-атак добавилось и подключённое к интернету оборудование, получившее общее название «интернет вещей» (Internet of Things, IoT). Самую большую динамику роста на этом направлении показывают кибер-нападения с целью нарушить работу онлайн-касс больших магазинов или торговых центров.
Механизм работы
Все веб-серверы имеют свои ограничения по числу запросов, которые они могут обрабатывать одновременно. Кроме этого, предусмотрен предел для пропускной способности канала, соединяющего Сеть и сервер. Чтобы обойти эти ограничения, ззлоумышленники создают компьютерную сеть с вредоносным программным обеспечением, называемую «ботнет» или «зомби-сеть».
Для создания ботнета кибер-преступники распространяют троян через e-mail рассылки, социальные сети или сайты. Компьютеры, входящие в ботнет не имеют физической связи между собой. Их объединяет только «служение» целям хозяина-хакера.
В ходе DDoS-атаки хакер отправляет команды «зараженным» компьютерам-зомби, а те начинают наступление. Ботнеты генерируют огромный объем трафика, способный перегрузить любую систему. Основными «объектами» для DDoS обычно становится пропускной канал сервера, DNS-сервер, а также само интернет-соединение.
Признаки DDoS-атаки
Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещённого там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать ещё в самом её начале.
Классификация типов DDoS-атак
Протокольное наступление (транспортный уровень)
DDoS-атака направлена на сетевой уровень сервера или веб-ресурса, поэтому её часто называют атакой сетевого уровня или транспортного уровня. Её цель— привести к перегрузке табличного пространства на межсетевом экране со встроенным журналом безопасности (брандмауэре), в центральной сети или в системе, балансирующей нагрузку.
Самый распространённый метод DDoS на транспортном уровне — сетевой флуд, создание огромного потока запросов-пустышек на разных уровнях, с которыми физически не может справится принимающий узел.
Обычно сетевая служба применяет правило FIFO, согласно которому компьютер не переходит к обслуживанию второго запроса, пока не обработает первый. Но при атаке количество запросов настолько возрастает, что устройству недостает ресурсов для того, чтобы завершить работу с первым запросом. В итоге, флуд максимально насыщает полосу пропускания и наглухо забивает все каналы связи.
Распространённые виды сетевого флуда
Атаки прикладного уровня (уровень инфраструктуры)
Эта разновидность используется, когда необходимо захватить или вывести из строя аппаратные ресурсы. Целью «рейдеров» может быть, как физическая, так и оперативная память или процессорное время.
Перегружать пропускной канал не обязательно. Достаточно только привести процессор жертвы к перегрузке или, другими словами, занять весь объем процессного времени.
Виды DDoS-атак прикладного уровня
Атаки на уровне приложений
DDoS-атака уровня приложений использует упущения при создании программного кода, которая создаёт уязвимость ПО для внешнего воздействия. К данному виду можно отнести такую распространённую атаку, как «Пинг смерти» (Ping of death) — массовая отправка компьютеру жертвы ICMP-пакетов большей длины, вызывающих переполнение буфера.
Но профессиональные хакеры редко прибегают к такому простейшему методу, как перегрузка пропускных каналов. Для атаки сложных систем крупных компаний, они стараются полностью разобраться в системной структуре сервера и написать эксплойт — программу, цепочку команд или часть программного кода, учитывающие уязвимость ПО жертвы и применяющиеся для наступления на компьютер.
DNS-атаки
Предотвращение и защита от DDoS-атак
Согласно данным Corero Network Security, более ⅔ всех компаний в мире ежемесячно подвергаются атакам «отказа в доступе». Причём их число доходит до 10 миллионов в год и имеет постоянную тенденцию к росту.
Владельцам сайтов, не предусмотревших защиту сервера от DDoS-атак, могут не только понести огромные убытками, но и снижением доверия клиентов, а также конкурентоспособности на рынке.
Самый эффективный способ защиты от DDoS-атак — фильтры, устанавливаемые провайдером на интернет-каналы с большой пропускной способностью. Они проводят последовательный анализ всего трафика и выявляют подозрительную сетевую активность или ошибки. Фильтры могут устанавливаться, как на уровне маршрутизаторов, так и с помощью специальных аппаратных устройств.
Способы защиты
Заключение
В этой статье мы рассмотрели, что значит DDoS-атака и как защитить свой сайт от нападений. Важно помнить, что подобные вредоносные действия могут вывести из строя даже самые безопасные и крупнейшие веб-ресурсы. Это повлечет за собой серьезные последствия в виде огромных убытков и потери клиентов. Именно поэтому, обезопасить свой ресурс от DDoS-атак — актуальная задача для всех коммерческих структур и государственных учреждений.
Хотите профессиональный уровень защиты от DDoS-атак — выбирайте VDS от Eternalhost! Постоянный мониторинг и круглосуточная техподдержка.
Защита от DDoS-атак. Что нужно знать
Содержание
Содержание
Каждые сутки хакеры проводят около 2000 атак по всему миру. Представители малого и среднего бизнеса теряют в среднем 50 000$ за одну атаку, крупные компании — до 500 000$ и больше. Uber выплатил 149 миллионов долларов клиентам, чьи данные были украдены, Facebook заплатил штраф в размере 5 миллиардов долларов. Цели большинства атак: похищение конфиденциальных данных, вымогательство, желание сделать бяку конкуренту.
Что такое DDoS?
DDoS — Distributed Denial Of Service Attack или, по-русски говоря, — «доведение сервера до обморока». Множественные запросы посылаются на главный компьютер, снижая пропускную способность канала связи.
Когда пользователь заходит на сайт, браузер отправляет запрос на сервер, в ответ получая пакет с данными — на экране появляются текст и мультимедийный контент. Если сервер загружен, приходится долго ждать отрисовки картинок. DDoS-атака может замедлить работу сервера или «положить» его, то есть сделать сайт недоступным для пользователя.
Кого и зачем атакуют
Хакеры в основном совершают «налеты» на банкиров, IT-сектор, государственные сайты, образовательные платформы, киберспортивные состязания, онлайн-кинотеатры, реже на ритейлеров и новостные агентства.
Школьники учатся программированию и хакингу, тренируясь на «кошках». Профессиональные хакеры делают то же самое, но на более качественном уровне, с целью вымогательства и похищения данных. Частные и государственные структуры используют дудос, чтобы повлиять на ход выборов в других странах. Иногда заказчиками являются конкуренты по бизнесу — личная обида или желание «завалить» товарища в период активных продаж.
Знай врага в лицо
Последние годы наблюдается тренд на организованные совместные атаки — профессиональные взломщики сбиваются в стайки и называют себя RedDoor, Lizard Squad, ezBTC. Пока вы мирно смотрите очередной блокбастер, ваш компьютер атакует Пентагон. Сеть из множества ПК, в едином порыве занимающихся коллективным дудосом, называют «ботнетом».
IoT-боты стали бичом современности. Хакерская атакующая когорта может состоять из бытовых приборов «умного дома» — у каждого такого устройства есть персональный IP-адрес, с которого отправляются запросы на сервер.
Кроме настольного друга, DDoS-атакой в вашем доме может заниматься холодильник, электрочайник, видеокамера и даже умная лампочка.
Что нужно для DDoS-атаки и сколько это стоит
Самый простой способ сделать подножку ненавистному сайту — заказать стресс-тест у сервиса, предлагающего защиту от атак. Это работает только с самыми простенькими сайтами на бесплатных CMS и дешевых виртуальных хостингах. Тест длится от 2 до 20 минут. Более серьезную атаку можно организовать с помощью автоматических инструментов.
Цена DDos-атаки стартует с 50$, конечная стоимость будет зависеть от количества задействованных ресурсов. Сервисы, предоставляющие услуги, предлагают анонимную консультацию, «манибэк», отчет о выполненных работах и даже дают почитать отзывы довольных клиентов.
Если у жертвы есть надежная защита, «налет» обойдется намного дороже. Атака на VDS-сервер стоит 75–100 долларов за 5 минут, если сайт использует услуги anti-DDoS, стоимость начинается уже с 250 долларов. Блокировка домена на уровне регистратора — от 1000 долларов. Взлом Skype — 75 долларов.
Как вычисляют жертву?
У каждого сайта есть свой персональный адрес. Мы видим только название ресурса, программы, его IP-адрес. Нападению может подвергнуться не только сайт, но и конкретный пользователь. Приличный хакер перед атакой проведет «пентест». Военные назвали бы этот метод «разведка боем». Суть пентеста в небольшой контролируемой атаке, с помощью которой можно узнать уровень защиты сайта.
Частный случай
Проникнуть в любую сеть можно через Wi-Fi. Хакеры удаленно перезагружают устройство с помощью программы типа Websploit. Роутер возвращается к базовым настройкам и стандартному паролю. Злоумышленник получает доступ ко всему трафику организации.
Выявить адрес жертвы можно с помощью Skype или другого мессенджера. Делается это с помощью хакерского ПО на Linux. На полученный адрес посылается множество пакетов данных. Бонусом можно поставить программку автодозвона на определенный номер.
На рабочей панели отображается адрес, статус, вид операции. Подготовка пакета с ложными данными займет пару минут и в дело вступит автоматика, — но это вариант для «ламеров».
Настоящие «кулхацкеры» собирают собственную команду, заражая десятки тысяч компьютеров и утюгов. Иногда мелкие сети объединяются в более крупные, но тут не обойтись без рисков. Часто злоумышленники крадут друг у друга ключи доступа к «армиям», чтобы потом перепродать «войско».
Можно обойтись и без армии компьютеров, как говорится: «Не имей 100 рублей, а имей 100 друзей». Правда друзей потребуется 100 000, а лучше пару миллионов. Такой флэшмоб организовывается очень просто — через социальные сети.
Виды DDoS-атак
«Пинг смерти» — слишком большой пакет размером более 65535 байт. Такой вид хаккинга был популярен в 90-х годах, он приводил к ошибкам или отключению сервера.
HTTP(S) GET-флуд — на сервер отправляется ничего не значащая информация, забивающая канал передачи данных и расходующая ресурсы сервера.
Smurf-атака — взломщик отправляет операционной системе запрос с подменным mac-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул воришка.
HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.
UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.
SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».
POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»
Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых — коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.
Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.
Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.
Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.
Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.
Что делать во время DDoS-атаки
Можно провести обратную DDoS-атаку, перенаправив присланную бяку, атакующему. Если повезет, выведите из строя его оборудование. Для этого надо знать адрес сервера хакера и обладать хорошими навыками программирования. Без специалиста в этой области не обойтись — они редки и очень дорого стоят.
Активные методы защиты
Построение распределенных систем — целое искусство, позволяющее раскидывать запросы по разным узлам единой системы, если какие-то сервера стали не доступными. Вся информация дублируется, физически сервера находятся в Data-центрах разных стран. Такой подход имеет смысл использовать только для крупных проектов с большим количеством пользователей или высокими требованиями к бесперебойному доступу — банки, социальные сети.
Если у сервера нет надежной защиты или принятые меры не дали результатов — руби канаты.
Весь DDoS-трафик поступает от одного провайдера и магистрального маршрутизатора, поэтому можно заблокировать все, подключившись к резервной линии Интернет-соединения. Метод действенный, пока вас снова не обнаружат.
Самый надежный способ защититься — поставить на сайт заглушку, заварить чаек, усесться в позу «ждуна» и наслаждаться представлением. Рано или поздно атака прекратится по причине исчерпания бюджета.
«Заглушка» — контрольно-пропускной пункт, специальная страница весом около 2 килобайт с кодом фильтра и текстовым сообщением об атаке. Фильтр отделяет данные, отсылаемые атакующими от реальных пользователей, автоматически присваивает юзерам «куки» и перенаправляет на искомую страницу сайта. Но этот вариант не подходит банкам, крупным торговым сетям, организаторам киберспортивных состязаний. Для установки заглушки потребуется программист.
«Дальше действовать будем мы»
Конечно, в идеале сделать это до того, как сисадмин начнет бегать по офису с криками «Все пропало!», но и во время атаки не поздно обратиться в сервис по комплексной защите от DDoS-атак. На рынке представлено несколько десятков программно-аппаратных комплексов для защиты от хакеров: Juniper, F5, Cisco, Arbor Networks, Qrator, Selectel, CloudFlare и другие.
Как защищают сервисы
Весь интернет-трафик, поступающий на сайт, перенаправляется на сервера программно-аппаратных комплексов защиты, клиент получает только очищенный входящий трафик. Исходящий проходит через другие сервера.
Как правило, стоимость таких услуг довольна высока. Эти же сервисы предлагают постоянный мониторинг и выделенный IP, чтобы скрыть реальный адрес. Деньги берут в зависимости от объема трафика, поступающего на сервер. Расходы на защиту колеблются от 250 до нескольких тысяч долларов год.
Выбор стратегии зависит от серьезности угрозы и важности бесперебойной работы ресурса. Для большинства сайтов достаточно превентивных мер:межсетевые экраны, фильтрация запросов по ACL-списку, установка программ пассивного мониторинга, создание резервной линии Интернет-соеденения. Если доход от сайта исчисляется сотнями тысяч в день, стоит подумать о надежной защите на постоянной основе.
Количество атак увеличивается каждый год на 200%. Видеокамеры объединяются «в группы по интересам», атакуя финансовые организации, холодильники «названивают» в Uber, а на Amazon ополчились кофемолки. В следующий раз, смотря на свой «умный» чайник, приглядитесь повнимательней, может именно в этот момент он тащит пароли от ВК или пытается похитить данные банковской карточки.
Что такое DDoS?
Работаю в хостинге: размещаем сайты пользователей на своих серверах.
Ввиду гигантского количества вопросов, которые нам задают и начинающие, и опытные пользователи, при помощи Пикабу хочу разъяснить некоторые принципы, аспекты и особенности этого ответвления IT-сферы. Не уверен, что количество вопросов от наших пользователей уменьшится, но попытаться стоит.
Даже если вы не пользуетесь хостингом, предположу, что эта информация может быть познавательна.
Немного о наболевшем. DDoS-атаки. Последние несколько недель наша площадка была целью довольно сильной DDoS-атаки, из-за чего мы потеряли несколько хороших клиентов, много часов сна и несколько десятков нервных клеток. Если точнее, как выяснилось чуть позднее, целью был один из клиентских сайтов, хостящийся на одном из наших серверов.
Но, с самого начала. Что такое DDoS-атака? По традиции, вольное определение в условиях моей работы. DDoS — это атака на хостинг-сервер, целью которой является вывод из рабочего состояния какого-либо веб-сайта или сервиса, размещённого на атакуемом сервере.
Аббревиатура DDoS означает Distributed Denial of Service (распределённый отказ в обслуживании). «Распределённый» означает, что атака ведётся с большого числа компьютеров и других устройств, имеющих доступ в Сеть.
Почему я не ограничиваю атакующих только компьютерами? В моей практике были случаи, когда атакующие был определёны, как МФУ, например HP. Это, собственно говоря, уже не вызывает удивления, т. к. почти любое современное устройство имеет собственную ОС, набор протоколов в ней, командную строку и, в общем-то, весь необходимый функционал для управления устройством, как непосредственно с самого устройства, так и удалённо.
Что происходит во время такой атаки? Некоторое количество устройств (от нескольких десятков до нескольких миллионов) с определённой частотой направляет запрос к какому-либо сайту. Какой запрос? Да, в общем-то, любой. Например, если действительно говорить об атаке сайта, устройства запрашивают у этого сайта главную страницу.
Ну и что ж в этом такого страшного? Обращения к сайтам есть всегда. Ничего страшного в самом обращении к сайту нет. Беда кроется в количестве таких обращений. Хорошо настроенный хостинг-сервер, поддерживающий 1500-2000 сайтов, комфортно работает в диапазоне 0-4000 пакетов в секунду. В случае с DdoS эти цифры возрастают в сотни раз, и сервер начинает «тормозить» или «умирает».
Попробую пояснить. Представьте, что сервер — это станция метро. В вестибюле станции есть некоторое количество входов и выходов — это каналы связи нашего сервера с Сетью. В обычном режиме станция обслуживает N-ое количество входящих пассажиров (сетевых пакетов с обращениями к серверу) в секунду. В часы пик количество становится довольно большим, и перед входом на станцию скапливается некоторое количество людей. Примерно такая же ситуация при работе сервера под большой нагрузкой. А теперь представьте, что станция находится рядом со спортивным или концертным комплексом. Когда мероприятие закончилось, на станцию хлынул огромный поток людей. Толпа стоит перед входом, движение очень медленное. Все негодуют и ругают власть.
Сравнение, конечно, очень грубое. Но картина должна представиться примерно понятной. Когда один из серверов хостера атакуют, в лучшем случае перестаёт нормально работать только атакуемый сервер. В худшем случае «лечь» могут все сервера, использующие тот же сетевой маршрутизатор, что и атакуемый сервер. Это может произойти если ёмкость атаки превышает возможности канала связи всей технической площадки.
Под ёмкостью атаки подразумевается суммарный объём данных, которые направляют атакующие устройства на атакуемый сервер.
В качестве примера: несколько лет назад, когда я работал в другой хостинг-компании, ёмкость одной из атак составила 50 Гб/с. На тот момент суммарная пропускная способность всех каналов той компании была в 5 раз меньше, то есть выделенный ЦОДом канал связи для всех серверов этого хостера был около 10 Гб/с. Соответственно, всё сервера, стоявшие в том ЦОД стали недоступны из внешней сети.
Работа серверов в обычном режиме (визуализация).
Как проводится такая атака? Очень грубая схема: есть некоторый набор устройств, имеющих доступ в глобальную Сеть. Компьютеры, смартфоны, МФУ, чайники, холодильники и т. д. Они взломаны злоумышленником. Но владельцы этих устройств об этом не знают и, скорее всего, никогда не узнают. Такое устройство в IT-сфере называют «зомби». Группа таких зомбированных устройств называется «бот-нет». Вирус, размещённый на устройстве, никак себя не выдаст, т. к. в противном случае бот-нет потеряет бойца. Как только зомбированное устройство получает инструкции для атаке, оно начинает действовать. Как я уже говорил ранее, например, запрашивать главную страницу атакуемого сайта.
Работа серверов под DdoS-атакой (визуализация)
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются. Но процесс вычисления атакуемого может занять несколько часов. Всё это время все остальные сайты, размещённые на атакуемом сервере, скорее всего, работать не будут. Что и вызывает тонны негодования, криков, жалоб и раскалённый добела телефон со стороны владельцев всех размещаемых на этом сервере сайтов.
Как защищаться от DdoS? К сожалению, никак. Безусловно, есть сервисы, которые предоставляют защиту от такого рода атак. Но они зачастую не дают каких-то гарантий, и защитить от атак ёмкостью более 1 Тб/с (а сейчас атаки постепенно переходят именно на такой уровень) и 80-100 млн пакетов в секунду уже мало кто сможет. Услуги таких сервисов обычно стоят довольно больших денег и, соответственно, нет большого смысла в защите сайта, размещённого на шаред-хостинге.
У самих хостеров, всё же есть некоторая защита от «первой волны», когда DdoS ещё не набрал большие обороты, и можно успеть вычислить и отключить атакуемый сайт. Обычно, подробной информации о первом рубеже хостера вам никто не даст, т. к. это гарантирует самому рубежу его работоспособность.
В завершении хотелось бы обратиться к тем, кто использует любой платный хостинг. Если вдруг ваш сайт перестал работать, а на ваш вопрос «WTF?!» тех. поддержка говорит «Извините за неудобства, нас атакуют», потерпите немного. Поверьте, они делают всё возможное, чтобы как можно быстрее возобновить работу сервера. Это в их же интересах.
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Спасибо, что прочли. Есть вопросы? Жду в комментариях.
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
С такой политикой у вас вообще есть клиенты?))
А как узнать, не зомби ли мой пука? Может долбаный мультиплеер инквизиции глючит по страшному из-за того, что кто-то кого-то дудосит моим компом. Ну или биовары ублюдки.
Это утверждение, не верно.
«Смешались в кучу кони, люди»
Если уж начал рассказывать так рассказывай нормально. А не как первая линия поддержки.
Смешаны в кучу L5-L7 атаки с атаками на канал L3 и L4
Первые отсечь во общем то обычно проблем нет. Просто хостерам это на фиг не надо. Оно и правильно, клиенту нужно пусть платит деньги.
«Как защищаться от DdoS? К сожалению, никак. «
Были бы деньги защититься проблем нет. Но стоит это до хрена, почему так. Просто что бы отфильтровать трафик его нужно принять. А это стоит бабла. Собственно поэтому же и отключение «сайта» при этих атаках не даст нужного результата. Только вычисление ip на который идет атака передача этой инфы аплинкам и нульроут его там. При нормальной настройке оборудования и netflow это процедура занимает минут 5-10 в автоматическом режиме столько и составит недоступность ЦОД/стойки/сервера, нужное подчеркнуть.
В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
Я надеюсь, временный? Владелец сайта же не виноват, что его дудосят.
И ещё вопрос, на сколько хорошо антивирусники чистят подобных вирусов, которые твой комп в зомби превращают? Слышал что это используется ещё и что бы биткоины для хозяев заразы зарабатывать и прочее. Как от этого спастись?
*не стала читать умный холивар выше* автор, дай есчо постов, это познавательно и нужно
а какая цель у таких атак? положить конкретный сайт?
а как сбя показывает ввод капчи перед загрузкой сайта?
ЭТИ БАБЫ В КРАЙ ОХУЕЛИ!
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Золотые слова. каждый 3й просит чтоб его заранее о Ддосе предупреждали, и совершенно не понимают что это не предсказуемо.
Здравствуйте! Очень интересная и доступная статья.
Хотелось бы узнать у вас совета. С чего и как начать изучение ИТ?
Если вам несложно ответьте пожалуйста, как сможете 🙂
хм. как круто иметь официальное сообщество вконтактике. нах хостинги.. нах ддосы..
все ясно понятно, но вопрос имею: в сводке новостей в связи с ДДОС атакой были похищены 100500 данных пользователей, а как хищение происходит?
Блокировать по IP после нескольких одинаковых запросов? Отвалиться и много реальных пользователей, но я вижу это как-то так.
Было бы интересно почитать подробнее о том, что предлагают сервисы по защите от таких атак.
Ностальгия. Где мой 97 год, когда я заказал на сайте письмо с вложенными 30 mp3-шками и на полдня положил канал провайдера.
Как защищаться от DdoS? К сожалению, никак. Ограничение количества запросов с одного ip за определенный промежуток времени можно выставить, и я уверен что это не единственный способ
на сколько я знаю канал для каждого клиента режется активным оборудованием, нагрузка на процессор и оперативка системой виртуализации. поэтому ложится только одна виртуальная машина кластера.
На сколько хлебная у Вас работа?
я у себя на хостинге cloudlinux os развернул, если и ддосят какой-то из сайтов, он просто отмирает, а остальные продолжают работать в штатном режиме
В Страсбурге сгорел дата-центр OVH SBG2
10 марта в 02:42 по московскому времени облачным провайдером OVH было опубликовано оповещение о деградации сервиса в дата-центре SBG1 в Страсбурге, которое позже было дополнено информацией о пожаре в здании SBG2:
«В настоящее время в нашем центре обработки данных в Страсбурге произошел серьезный инцидент, связанный с пожаром в здании SBG2. Пожарные немедленно прибыли на место происшествия, но не смогли справиться с возгоранием в SBG2. Все здание было изолировано, что влияет на все наши услуги на SBG1, SBG2, SBG3 и SBG4. Если ваш сервис хостится в Страсбурге, мы рекомендуем активировать План аварийного восстановления. Все наши бригады полностью мобилизованы вместе с пожарными. Мы будем держать вас в курсе по мере поступления дополнительной информации.»
SBG2 является частью кампуса SBG, состоящего из 4 ЦОД. В SBG2 предоставлялись услуги аренды выделенных серверов (dedicated) и облачные сервисы. И если облачным сервисам OVH должен был обеспечивать резервное копированием своими силами, то для арендаторов выделенных серверов эта ситуация в отсутствии резервных копий может быть фатальной.
Тем временем real-time мониторинг доступности выделенных серверов в SBG2 рапортует о полной доступности всего оборудования в ЦОД. Вероятно, сервера мониторинга располагались в том же дата-центре.
Среди облачных провайдеров, не входящих в «большую тройку» (AWS, Azure и Google Cloud), OVH является одним из наиболее популярных. Большинство из 27 дата-центров OVH расположены в Европе. Последняя крупная авария у OVH также произошла в кампусе SBG в 2017 году. В результате отключения электроэнергии весь кампус SBG был отключен. Сорок минут спустя другой кампус RBX (Рубе, Франция) потерял связь из-за несвязанной ошибки программного обеспечения в сетевом оборудовании.
Сочувствуем всем проектам, у кого сервера находились в данном дата-центре, а остальным напоминаем про давно известный чек-лист:
Храните бекапы в (сберегательных кассах) отдельных дата-центрах;
Периодически проверяйте работоспособность своих бекапов;
Имейте наготове план аварийного восстановления доступности сервиса.
UPD: В 9:20 по московскому времени пожар закончился. Судя по сообщениям Octave Klaba (основателя и владельца OVH) в Twitter, в связи с близким расположением зданий дата-центров SBG1, SBG3 и SBG4 к сгоревшему SBG2, пожарным пришлось их «охлаждать», в связи с чем в настоящий момент отсутствует доступ в эти здания и работа данных ЦОД сегодня восстановлена быть не может.
Как попасть в ИТ без знаний
Может быть интересно тем, кто хочет попасть в ИТ.
Обычно нужна многомесячная подготовка, но если у вас лоб крепок, стену можно попробовать пробить.
2013 год, прошел собеседование в техническую поддержку хостинга и меня взяли на стажировку.
Я был слаб, требовалась компетенция linux, а я знал всего 5-6 команд и как выглядит консоль.
Взяли меня тогда за горящие глаза, видимо.
Я сел и понял, что я вообще ничего не понимаю, не запомнил даже названия программ. У меня не было ни одной идеи, как это все установить.
Ледяной ужас окатил с ног до головы.
Google, как установить LAMP, куча статей и гайдов. Все на английском, на русском очень и очень мало. Я не знаю языка, гугл транслейт, корявищий перевод.
Простыни конфигураций и тонны абсолютно новой информации.
Стресса я хапнул на 2 месяца вперед.
Я пил только кофе, ничего не ел, чтобы не упустить драгоценные минуты, которых может не хватить для сдачи задания.
Команды, которые я запускал выдавали все новые и новые ошибки, им не было конца, я тонул без единой контрольной точки. Не работал ни один из сервисов.
Я хотел успеть все установить, чтобы потратить второй день на отладку, но навел такого бардака в системе, что решил все удалить и начать заново.
Вечер с гуглом подготовки, бессонная ночь, стресс зашкаливает.
До 12 я успел развернуть apache, php, nginx.
БД никак не поддавалась, для работы с ней требовалась минимальная компетенция, а не набор команд.
Экстренное гугление, ура есть инфа на русском, базовые навыки за 2 часа.
Ошибка, ошибка, ошибка …. запустилось. Твою мать, наконец то.
Установка CMS, без ошибок.
“Все ок, но не установлен SSL сертификат”
Это было задание на звездочку, но я этого не знал.
Погружение в мир сертификатов, выпуск free, привязка, готово.
Завис mysql, попытки привести его в чувство успехом не увенчались.
Я решил ребутнуть машину, чтобы запустить все сервисы заново.
Была общая проблема на хосте VPS серверов, я не виноват, но перезапуск был ошибкой.
В этот же момент он сказал, что я прошел.
Эйфория по пути домой, за 2 дня я смог настроить сервер, 95% информации о котором слышал впервые.
Конечно, я не получил компетенции, использовал копипасты команд и не мог точно сказать, как он работает.
Хостинг хорошо прокачал меня в администрировании linux, там же ступил на путь менеджмента, но это уже совсем другая история.
Но google ваш друг, он вытащит вас из любой жопы.
Опубликованы утилиты для DDoS-атак с применением Memcached
Одним из главных событий последних недель можно назвать мощнейшие DDoS-атаки, достигавшие мощности 1,7 Тб/сек за счет Memcached-амплификации. Теперь в сети были опубликованы PoC-утилиты для организации таких атак, а также IP-адреса 17 000 уязвимых серверов. Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты.
Напомню, что злоумышленники научились использовать для амплификации DDoS-атак серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз. Данный метод впервые был описан (PDF) в ноябре 2017 года группой исследователей 0Kee Team из компании Qihoo 360. Тогда эксперты предрекали, что из-за эксплуатации Memcached-серверов мы увидим DDoS-атаки мощностью вплоть до 2 Тб/сек.
Вновь о таком методе амплификации заговорили в конце февраля и начале марта 2018 года. Тогда компании Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что преступники действительно начали использовать Memcached для амплификации DDoS-атак, и отчитались от отражении атак мощностью 260-480 Гб/сек. Затем на GitHub обрушилась атака мощностью 1,35 Тб/сек, а также были зафиксированы случаи вымогательских DDoS-атак, тоже усиленных при помощи Memcached.
Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети.
Первая утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления DDoS-атаки. Автором данного решения является ИБ-специалист, ведущий блог Spuz.me.
Вторая утилита была опубликована на Pastebin еще в начале текущей недели, ее автор неизвестен. Инструмент написан на C и комплектуется списком из 17 000 IP-адресов, принадлежащих уязвимым Memcached-серверам. Скрипт запускает DDoS-атаку, используя адреса из списка для ее амплификации.
К сожалению, невзирая на терабитные DDoS-атаки, количество уязвимых Memcached-серверов в сети убывает очень медленно. К примеру, известный исследователь и глава GDI Foundation Виктор Геверс (Victor Gevers) уже более двух лет пытается исправить сложившуюся ситуация, связывается с владельцами проблемных серверов и объясняет им, как обезопасить себя и окружающих.
«Очень жаль видеть, что после двух лет предупреждений DDoS-атаки все-таки начали происходить. Иногда очень не хочется оказаться правым, — рассказал Геверс журналистам Bleeping Computer. — Находить владельцев [уязвимых серверов], предупреждать их о рисках и заставлять действовать, это очень практически тщетно. Дело в том, что риска утечки данных нет, и люди зачастую вообще не отвечают на наши электронные письма.
Угроза мощных DDoS-атак никуда не исчезнет. Теперь, когда написаны PoC-решения и опубликованы готовые списки [уязвимых серверов], уже на следующей неделе нас ожидает значительный рост амплифицированных посредством Memcached атак».
Хочется надеяться, что мрачные предсказания Виктора Геверса не воплотятся в жизнь, ведь далеко не все ИБ-специалисты работали над PoC-утилитами для организации атак. Например, эксперты компании Corero Network Security искали возможные способы решения проблемы и сообщают, что им удалось найти «рубильник», способный прекратить Memcached-DDoS.
Еще неделю назад один из разработчиков Memcached предложил использовать для защиты от уже начавшихся атак команды flush_all и shutdown, которые жертва может отправить на серверы, с которых исходит DDoS.
For what it’s worth, if you’re getting attacked by memcached’s, it’s pretty easy to disable them since the source won’t be spoofed. They may accept «shutdownrn», but also running «flush_allrn» in a loop will prevent amplification.
— dormando (@dormando) February 27, 2018
Этот совет оставался незамеченным вплоть до 7 марта 2018 года, пока специалисты Corero Network Security не опубликовали пресс-релиз, посвященный Memcached-атакам. Разработчики компании пишут, что их решение для защиты от DDoS-атак было обновлено и теперь содержит «стопроцентно эффективный» способ их пресечения. Как не трудно догадаться, специалисты взяли на вооружение совет разработчика Memcached, и используют flush_all, подчеркивая, что никаких минусов у данного метода просто нет.
Применить этот метод, в теории, может любая компания, даже если она не может позволит себе услуги специальных защитных сервисов. Достаточно создать скрипты, которые будут отсылать атакующим серверам команды shutdown и flush_all, заставляя те очистить кеш от вредоносных пакетов.
Также стоит отметить, что разработчики Memcached выпустили обновленную версию своего продукта, Memcached v1.5.6, в которой была исправлена уязвимость CVE-2018-1000115. Дело в том, что по умолчанию Memcached-серверы доступны через порт 11211, и именно эту особенность злоумышленники используют для амплификации атак. Своим исправлением разработчики изменили конфигурацию по умолчанию, отключив протокол UDP «из коробки».
Огласка в СМИ и патч, выпущенный разработчиками, похоже, делают свое дело. Так, специалисты компании Rapid7 сообщили, что количество уязвимых Memcached-серверов с открытым портом 11211 все же начало снижаться. По данным компании, 1 марта 2018 года их число равнялось 18 000, но уже 5 марта 2018 года оно снизилось до 12 000.
Похожую картину наблюдает и вышеупомянутый Виктор Геверс, о чем эксперт сообщил у себя в Twitter. Он пишет, что утром 8 марта 2018 года количество уязвимых серверов равнялось 107 431, согласно статистике Shodan, и постепенно продолжает снижаться.