DDoS – (от англ. Distributed Denial of Service «отказ в обслуживании») чаще всего атака направлена на то, чтобы ресурс жертвы был недоступен.
DDoS-атака на сайт сродни нажатию красной кнопки, только бахнуть может уже сейчас, а не потом. Сервера жертвы атакуются множественными запросами, и ресурс становится недоступен. Время действия варьируется от одного часа до месяца.
Способ появился ещё в начале 1990-х и не подразумевал ничего серьезного, а лишь использовался в целях шутки.
Но в середине 90-х была произведена атака на провайдере Нью-Йорка – Panix Networks. И она была совсем не шуточной, а скорее мстящей. Провайдер не давал рассылать спам пользователям. В 1996 году был опубликован гайд по противодействию DDoS-атакам. Именно тогда проблему и признали.
Обычно для атаки используют ботнет-сети.
Ботнет-сети – это компьютерная сеть из нескольких хостов, на которых запущены боты (автономное ПО). Служат злоумышленнику для добычи личной информации, рассылки спама и DDoS-атак. Ботнет-сети организовываются из зараженных компьютеров, на которые отправляется спам на почтовый ящик или в социальную сеть с опасным ПО. Чтобы этого не произошло с вами, проверяйте свой ПК на вирусы, не открывайте потенциально странные письма и чистите папку «Спам» в почтовом ящике.
DDOS АТАКА ТЕЛЕФОНА
Хоть это называется «сетью», устройства не объединены между собой.
Ботнет-сети генерируют большой объем трафика (направление запросов на сайт или имитация посещения оного), который в свою очередь и перегружает систему. Ведь не все оборудование может справляться с большими нагрузками.
Внимание, ожидается DDoS-атака: как понять, что сайт хотят положить?
Достаточно просто. Скорее всего, вы знаете, как сайт «ведет» себя в мирное время. При признаках атаки у сайта и сервера возникают проблемы.
ПО начинает тормозить, неадекватно возрастает входящий трафик, логи резко набирают в весе.
Любое отклонение в работе сайта может навести подозрение именно на ддос-атаку.
Кому и зачем нужны DDoS-атаки?
Атаки могут устраивать от мала до велика: от старшеклассника, решившего попробовать свои силы, до профессионального хакера, который не то денег хочет шантажом заработать, не то выполняет заказ какого-либо лица. Все зависит от целей нападения на ресурс.
Например, фирма А (В, Г, Д и т.д.) перед праздниками хочет получить большую прибыль, но их конкуренты, фирма Б, пользуется большей популярностью у клиентов. Поэтому фирма А заказывает атаку на фирму Б, и пока сайт вторых не работает, первые хапают заказы за двоих =)
В общем, DDoS атаками может заниматься как профессионал, так и дилетант, умеющий применять информацию из поисковика, т.к. найти инструкцию, которая поможет совершить DDoS-атаку (хоть и совсем простейшую) несложно.
Какие ресурсы страдают от DDoS-атак чаще всего
В основном жертвами нападений становятся:
- Казино
- Букмекерские конторы
- Интернет-магазины
- Образовательные учреждения
- СМИ
- Игровые сервисы
- Государственные учреждения
- Онлайн-кассы
Также не стоит путать DDoS-атаку со взломом сайта – это абсолютно разные вещи. DDoS-атака никак не внедряется в код сайта, а лишь направляет на него огромное количество обращений, из-за чего сайт не справляется с ними и становится недоступен.
DDoS атака на сайт школы
Больше статей на схожую тематику:
- 6 принципов создания идеального логотипа для сайта
- Сколько стоит лендинг в 2023 году и из чего складывается его цена
- Использование нейросетей в графическом дизайне и в дизайне сайтов
Самая известная DDoS-атака: дело Аэрофлота
В России наиболее известна атака на платежную систему Assist, которая проводила платежи на сайте Аэрофлота. В 2010 году с помощью DDoS-атаки хакерам удалось положить сервера платежной системы Assist. В результате в течение недели было невозможно бронировать билеты на сайте Аэрофлота. За эту неделю компания потеряла как минимум 146 млн рублей. Впечатляет?
Меня вот очень.
По версии следствия исполнителями атаки являлись братья Дмитрий и Игорь Артимовичи.
Заказчик этого дела (владелец платежной системы ChronoPay) как раз хотел добиться разрыва отношений между Аэрофлотом и Assist и занять место последних.
Братья Артимовичи получили по 2,5 года общего режима. На фото Дмитрий Артимович, который непосредственно занимался атакой на платежную систему Assist.
Основные типы DDoS-атак
HTTP-флуд. В этом случае производится отправка серверу пакета, в ответ на который отправляется пакет гораздо большего размера. В заранее специально сформированном запросе к серверу хакер заменяет свой IP-адрес на IP устройства внутри сети жертвы.
ICMP-флуд. А если конкретнее, то Пинг смерти (Ping of Death).
Ping (время ответа сервера) как челночный бег, замеряется время отправки пакетов с ПК до сервера и обратно.
Низкий пинг – хорошо (сервер отвечает быстрее), высокий – уже не очень (медленный ответ сервера).
Так вот, проверяя доступность сервера через командную строку путем ping к ya.ru, например, мы можем видеть время ответа серверов Яндекса.
Для его проверки на сервер отправляются пакеты весом в 32 байта (при максимальном размере в 65 536 байт). И если размер пакета превысит эти 65 536 байт, то у сервера могут начаться проблемы.
А достигается это путем фрагментации этих пакетов. Грубо говоря, пакет размером выше 64 кб делится на несколько частей и отправляется путем запроса на сервер жертвы.
Как только фрагменты оказываются на компьютере атакуемого, он их пытается восстановить и, как правило, устройство жертвы зависает (включая органы управления), а сервер становится недоступен.
На данный момент с высокой степенью защиты способ неактуален.
«Тяжелые пакеты». Злоумышленник с помощью ботнета посылает серверу тяжелые для обработки пакеты данных, которые не переполняют канал связи, но изрядно отнимают ресурсы процессора, что может привести к его перегреву или перегрузке.
Переполнение накопителя. Жертве отправляются неограниченное число логов, которые займут все свободное пространство на накопителях.
И немного об «умной» технике. В век современных технологий уже набрали популярность «умные» приборы. Это может быть колонка, розетка, лампочка, видеокамера, чайник, холодильник и т.д.
Дело в том, что у каждого умного устройства есть ip-адрес, а это значит, что с него можно также отправлять запросы на сервер. Казалось бы, восстание машин ещё 10 лет назад можно было отнести к фантастике, а теперь оно все ближе к реальности.
Можно ли заказать ДДОС-атаку на конкурентов?
Конечно! Найти сервисы по организации этого процесса совсем несложно, но важно помнить, что это незаконно и в качестве наказания может использоваться уголовная ответственность.
Цены разные: кто-то за поддержание сайта в нерабочем состоянии хочет 3 тысячи рублей, а кто-то и все 30 тысяч. Все зависит от степени защищенности ресурса.
Конечно, все сайты по предоставлению таких услуг выглядят сомнительно и есть большая вероятность нарваться на обычных мошенников.
Также такие услуги можно найти на специализированных форумах. Цены не сильно разнятся с сайтами выше.
Так что любой ваш конкурент может поступить, как ChronoPay с Аэрофлотом, не так уж это и дорого. И надо уметь защищаться.
Нравится статья? Тогда смотрите наши курсы!
- Мини-курс «Создаем сайт, который будет продавать 24/7»
- Курс «Сайт на Тильде с нуля»
- Мини-курс «Дизайн и юзабилити»
6 способов защиты от DDOS-атак
- Фильтрация трафика При установке фильтров можно задать специальные параметры, которые помогут защитить сервер и фильтровать трафик с определенными правилами.
- Система мониторинга Если кто-то попытается атаковать ресурс, то система мониторинга вовремя отреагирует и даст понять, что сайт начинает принимать атаку. Нет никаких гарантий, что этот способ поможет отбиться, но он точно поможет выиграть время, которое стоит использовать на защиту.
- Разделение ресурсов Зачастую атаки направлены на внешние ресурсы. Внутренние (админка, рабочая структура) попадают, что называется, под горячую руку. Чтобы такого не произошло, внутренние ресурсы следует перенести на другое оборудование или другие дата-центры. Таким образом, если основной ресурс атакован, внутренний продолжит свою работу в штатном режиме.
- Актуальное ПО Необходимо всегда обновлять ПО, если этого требует система. Разработчики постоянно залатывают старые дыры (и открывают новые), повышают безопасность и стабильность программного обеспечения. Зачастую пользователи именно устаревшего ПО становятся жертвами злоумышленников.
- Сервисы В наше время появилось много сервисов по защите от DDoS атак. Они снижают нагрузки на сайт, фильтруют и оптимизируют трафик. Также в такие сервисы включена система мониторинга. Таким образом, на сервер клиента приходит только чистый клиентский трафик. Цены варьируются от 3-х до 30 тысяч рублей в месяц.
- Показательная «порка» Дело Аэрофлота показало, что найти можно кого угодно. Если сайт оказался атакован, и жертва потеряла ресурсы, то нельзя оставлять это безнаказанным. Необходимо добиваться деанонимизации и наказания злоумышленников. Так другие будут видеть, что подобные действия не останутся безнаказанными.
Примеры роста кликов, конверсий, заказов и прибыли:
- Продающая страница для компании по продаже коммерческого транспорта
- Интернет-магазин с Индивидуальным дизайном
- Редизайн сайта
В заключение
Стоит понимать, что DDoS-атаки микрошажками начинают уходить в прошлое. С середины прошлого десятилетия таких атак стало меньше, как раз благодаря уголовным делам и усилению защиты сайтов. Однако это не значит, что стоит расслабляться – всегда нужно быть во всеоружии.
В любом случае стоит проверить ваш сайт на вирусы, ведь зараженный ресурс – опасный ресурс.
22
0
0
1
2
Спасибо за реакцию, она бесценна! Обязательно подпишитесь на наш Telegram-канал, публикуем много интересных и актуальных материалов. Не пользуетесь Telegram, тогда познакомьтесь с Катей и подпишитесь на нашу рассылку. ×
Источник: 1ps.ru
DDoS в обход Куратора: простые действия для спокойной жизни
Недавно в Москве прошла вторая конференция по эксплуатации и администрированию информационных систем Uptime.commuinty, на которой мы тоже поделились своим опытом. У нас, как обычно, о наболевшем — про DDoS.
DDoS-атаки на Хабр начались лет десять назад и до сих пор представляют для нас неприятную проблему. Сначала были робкие попытки чуть-чуть подзалить, а сейчас для нас обычный DDoS — это порядка 30 Гбит/с. Это и не удивительно, потому что сейчас у каждой бабушки в Москве есть 50Мб. Всё по классике: одна старушка — 50, 10 старушек — 500…
Речь пойдёт не о каких-либо ноу-хау и особых джедайских техниках. Всё просто и достаточно прозаично и больше похоже на комплекс банальных гигиенических процедур. Большинству «бывалых» администраторов всё нижесказанное и так известно, но обобщить и повторить ещё раз не лишне.
До многих решений мы доходили самостоятельно на основе своего опыта, так что если получится кому-то сэкономить немного времени — это уже удача. Вы всё ещё не делаете бэкапы? Тогда мы идём к вам!
Немного про нашу архитектуру
На основной площадке железо у нас всё свое, стойка своя, все сервера у нас достаточно мощные, берем по максимуму. Все затянуто в серую сеть, потому что мы стараемся не иметь собственных IP-шников. В стойку подведено три оператора связи, у которых мы арендуем небольшие блоки IP-адресов. Мы думали взять AS c Provider independent адресами, но в таком случае нам пришлось бы покупать оборудование, которое стоит как крыло от «Боинга», и оплачивать каналы, которые стоят как второе крыло. И в итоге для защиты мы выбрали Qrator.
Мы знакомы с коллегами еще с тех пор, когда они только начали работать на технической площадке МГУ под брендом HLL, с тех пор наши отношения в некоторых сферах давно переросли корпоративные. Они были одними из первых в России, кто занимался защитой от DDoS, и до сих пор остаются одними из самых адекватных. Инсайдерской информацией, конечно, делиться я не буду, скажу так: они — одни из лучших на этом рынке.
Главная проблема
Мы прекрасно представляем, как работает Qrator, и претензий к работе у нас нет. Речь не о них, а в принципе о таком типе защиты от DDoS. У любой защиты есть архитектурные ограничения, и, соответственно, способы этими ограничениями воспользоваться злоумышленнику.
Какая бы не была защита хорошей, она — всего лишь первый рубеж и помогает только от атаки в лоб. Это помогает от хакеров-пионеров, но если сайт «заказали», то просто долбёжкой по домену злоумышленники ограничиваться не будут, обязательно запарятся поиском более уязвимых реальных адресов ресурсов, и бить будут именно туда.
Откуда злоумышленник может узнать настоящие сетевые адреса?
Публичный whois и другие базы типа Ripe DB
Первое — это базы данных, например RIPE, где указано много публичной информации. Там нет прямого аналога «Privacy WHOIS», как в доменах. Там все данные указаны прямым текстом: админские контакты, название компании и иные технические данные. Очень полезная информация для злоумышленников. Допустим, мы называемся «Habrahabr». Он может поискать там слово «Habr» или что-то похожее, и может найти нас.
Сейчас это не так просто, как раньше. Но есть такой вариант.
Нужно помнить, что кроме RIPE DB есть еще некоторые хостеры (типа «Hetzner»), которые всегда требуют заполнять специальный формуляр для RIPE, даже если арендуешь у них один сервер. Они также где-то могут пометить арендованные адреса в whois, например хостер все равно может указать название организации в ремарках к адресу. И всё это тоже будет видно при обычном парсинге базы. Чуть более толковый злоумышленник может отсортировать по nic-handle персоны-администратора или по майнтэйнеру.
Потенциальная защита: надо максимально обезличить свои блоки IP-адресов.
Обратный resolve
Правильные PTR — это удобно и правильно, но это ещё одно оружие злоумышленника. Как правило используется комбинировано с иными методами исследования периметра.
Все знают, что для нормальной работы почты нужно прописывать PTR. Кроме этого, например, без PTR может быть долгий резолв. Но их надо обезличивать, потому что если в PTR прописать технический домен, то злоумышленник может начать сканировать по этому домену и найти интересные записи в поддоменах. Все публичные PTR желательно либо закрывать доменом провайдера, node-0-0-0-0.yatvoidomtrubashatalisp.net , например. Либо написать какую-нибудь белиберду, которая ничего толкового не сообщит злоумышленникам.
Потенциальная защита: использовать обезличенные PTR, в обратной зоне оператора.
Подбор адресов, сканирование портов и служб
Злоумышленник может произвести сканирование блока адресов на открытые порты, в том числе всего LIR (оператора), так как их в целом относительно немного. Получив список адресов с активными web-серверами, злоумышленник может сделать запрос а-ля curl -H «host: example.com» http://INET_ADDR/ с целью получить ответы web-сервера с атакуемым virtualhost. В этом злоумышленнику может помочь HTTPS, особенно, если сертификат на сервере всего один и нет TLS SNI. И, допустим, может быть такое, что злоумышленник даже не пытается с помощью cURL дернуть с заголовком имя конкретного сайта, а просто тупо дергает IP-адрес по порту 443. И он может получить дефолтный сертификат, в котором будет указано имя сайта и его домен.
Потенциальная защита: методов защиты от таких исследований много, и лучше всего вообще ограничить входящие соединения на уровне firewall: на все, что приходит не с доверенных сетей и не с сетей точек фильтрации трафика — просто не отвечать. Если используется центр очистки данных, то нужно взять список его адресов и добавить их в white-листы и полностью закрыть вход для всех остальных. Например, Куратор недавно ввёл автоматическое тестирование доступности защищаемых хостов не с адресов точек очистки трафика, за что ему спасибо.
Следует помнить, что если вы думаете, что если вы указали в А-записи для сайта адрес центра очистки данных, то ваш nginx его не отдаст — вы ошибаетесь. Конечно отдаст. Ещё раз: проще всего просто все сокровенное скрывать фаерволом.
Почтовики
Первое — почтовый сервер может в helo отдать технические домены, которые могут быть впоследствии использованы для сканирования.
Второе, на что мы, подозреваю, однажды сами попались — заголовки Received : в заголовках может быть указан каждый hop, где прошло письмо. И там может быть указано, что сервер с таким-то IP получил от сервера с таким-то IP письмо, по конкретному протоколу, в конкретное время, с конкретным ID письма. Просто посмотрев исходник письма можно увидеть ваши IP-шники.
Потенциальная защита: почту лучше выводить через пограничный почтовик, который находится в изолированном от основной инфраструктуры сетевом пространстве, к примеру на арендованном сервере или виртуалке. Надо контролировать заголовки писем и маскировать/удалять компрометирующие заголовки received в автоматическом режиме. Или пользоваться внешним ресурсом, типа Mailgun, там такой проблемы нет (но есть другие).
DNS
Целая куча возможностей для атаки, все и не перечислишь. Ключевой узел — primary NS, которой является источником всех обновлений для всех secondary. Если primary положат, то при этом заблокируют еще и возможность сменить обычную А-запись. И ничего ведь не сделать, потому что сначала нужно будет переделегировать домен на другие NS сервера.
В общем — куча проблем, с которыми мы тоже сталкивались, года 3 назад. В итоге primary мы просто скрываем. То есть мы их нигде не анонсируем. Они у нас есть, но они далеко. Он не один, и их IP-адреса и доменные имена вообще нигде не указывается.
В записи SOA, где мы по идее должны указать primary, мы указываем адрес одного из secondary. Все очевидно. И мы не обновляем DNS с помощью axfr. Так как DNS был придуман достаточно давно, эта технология не очень подходящая для нашей схемы. Мы используем PowerDNS с MySQL бекендом, где мы храним все базы. Все наши secondary — это MySQL слейвы с PowerDNS.
И даже если какой-то из наших DNS будут ддосить — у нас их все равно очень много. В том числе DNS, которые прикрыты защитой от DDoS-атак от Куратора. Мы купили кучу виртуалок, их действительно много.
Потенциальная защита: как и в случае с почтовиками, не держать DNS в одной инфраструктуре с основной инженеркой. Master вообще лучше спрятать подальше и никак не анонсировать. Делегировать домены лучше на secondary, в том числе и в SOA-записи.
Про AS
Мы думали, гадали, брать ли нам свою AS. Нам даже предлагали сделать практически на халяву со статусом LIR, но, во-первых, нам не нужно столько адресов (/23 — 512 штук). Во-вторых, это лишняя ответственность, потому что нужно общаться с RIPE, а общаться с ними надо уметь. В-третьих, нужно платить RIPE деньги за IP-шники (формально нет). И, самое главное: все данные, все IP-шники будут доступны для всех.
Соответственно, нужно ставить дорогостоящие железки, нужно иметь очень хорошие каналы, иметь кучу аплинков, повысить контроль над сетью. Это совсем не для нас, но нормальная схема для кого-то покрупнее.
Спалили, льют 30 гигов в канал. Что сделать для минимизации потерь?
Независимые каналы
Иметь несколько независимых каналов независимых операторов, с независимыми роутерами. По два-три небольших блока из разных частей блоков адресов оператора. Это позволит оперативно и безопасно «слить» атакованный блок в nullroute.
Даже имея центр очистки данных, мы ему в апстримах указываем адреса нескольких наших внешних провайдеров, чтобы в случае, если у нас возникнет проблема с одним из провайдеров, например потеря сети или DDoS-атака, чтобы Куратор мог перенести всю нагрузку на другой. Это похоже на upstream от nginx, который умеет выкидывать нерабочие апстримы.
Вменяемые операторы
Очень важно работать только с нормальными операторами с оперативной службой поддержки. Есть хорошие операторы: как правило, это не очень большие компании, но прочно обосновавшиеся на рынке. У них все круто, можно позвонить, понять, что именно происходит и как решается проблема. Всегда можно нормально дозвониться до человека, который принимает решения.
По нашему опыту крупные операторы — зло. Если вы не гигантская корпорация, то они не будут с вами нормально работать. Неповоротливая бюрократия, в любом случае, мешает быстро принимать решения, дозвониться элементарно до техподдержки — уже большая проблема.
BFG
Иметь на стыке с оператором BGP, даже в случае отсутствия нормальной AS и блока адресов. BGP для многих — это три страшные буквы, которыми называется особенно темный лес с особым крепким сортом темной магии. На самом деле, ничего страшного здесь нет. Даже если у вас нет никакой AS, BGP — это хорошо.
Потому что нормальные операторы могут позволить свой же маленький блок адресов анонсировать себе же с роутеров клиента под «серой» AS. Если вдруг заливают какой-то определенный префикс, то вы снимаете его у себя с анонса на пограничных роутерах, и атака затыкается на стороне оператора, и автоматом не доходит до маршрутизатора.
Даже если льется какой-нибудь UDP, который тяжело контролировать, то оно уже терминируется на уровне оператора. У него хорошие каналы, и он это выдерживает. А наши роутеры, хотя и нормальные, но не лютый энтерпрайз, конечно же и 30 гигабит они не выдержат. Так что советую разобраться с сетью: как она работает, как работает маршрутизация, в том числе — в глобальной сети; что такое BGP, хотя бы основное. Без насмешек, хороший учебник по сети — Cisco CCNA, там даже расскажут про семейку Флинстоун.
Be calm
В случае атаки делать всё медленно и вдумчиво. Самое главное правило, правильно вообще его сделать первым. Если вдруг что-то случилось, нельзя терять голову. Особенно, когда начальство бесится от того, что что-то не работает, ни в коем случае не делать резких движений, потому что можно случайно потерять вообще все.
К примеру, банально не в тот access-list прописать какой-нибудь не тот IP-шник, и можно потерять всю сетку целиком. Либо, когда лежит сервак, умерла база данных, нужно сначала понять, что именно умерло, прежде чем чинить, потому что можно сделать только хуже, и заодно сломать бэкап. Не зря есть пословица: «семь раз отмерь, один отрежь». Нужно все делать вдумчиво.
Заказать pentest или воспользоваться WAF
Никогда не зазорно дать контролируемо поломать защиту периметра. Скорее всего pentest будет недешёвым удовольствием для «человека с улицы», но всегда «возможны варианты». Что касается WAF — штука хорошая, но только в комплексе. Многие из присутствующих на рынке поставщиков WAF выглядят странными шарлатанами.
IDDQD mode
Если у компании действительно много денег. Всю AS целиком можно анонсировать по BGP в центр очистки данных. Это достаточно дорого, потому что необходимо здраво просчитать утилизацию каналов, так как тарификация ведётся за полосу трафика. Если кто-то начнет через эти IP-шники что-то лить не то, то налить он может на очень много денег.
Дополнительно — это добавляет геморроя, так как придётся уже основательно разбираться в сетевых технологиях и уметь их готовить. Скорее всего это будет отличным вариантом для средней компании с развитой инфраструктурой и сформированным отделом эксплуатации.
Как и во всех важных делах, в случае с защитой периметра сети полагаться на авось не очень хорошо. Также верно утверждение про «волшебные пилюли» — их не существует. ДДоС — неприятная штука, но необязательно фатальная. Соблюдайте правила безопасности, не подставляйтесь, все что надо прятать — прячьте.
Всем хорошим ребятам мы желаем успешно отбивать все атаки, злоумышленникам желаем всяческих неудач. И да пребудет с вами сила!
Источник: habr.com
Лучшая программа для смс-спама и ддос-атак
Listen to this article
Сегодня я бы хотел вам показать очень хорошую тулзу для виндовса, для спама смс — дудос аттак. Название этого чуда: Impulse Denial-of-service ToolKit. И так давайте разберемся что умеет эта тулза.
Installing — данная программа заточена под виндовс
Для этого заходим на: https://github.com/LimerBoy/Impulse/. Если у вас виндовс то просто нажмем на Clone Or Download. После чего запускаем консоль в папке с файлом и пишем:
pip install -r requirements.txt
И у нас установятся всё нужные репы. Также есть версия exe.