Что может быть лучше хорошей сессии онлайн-игры после работы или учебы? Красивая «катка в доте», совместный рейд в ролевой игре на грозных чудищ, из которых выпадут редкие артефакты, или радость от того, что ты остался царем горы в «королевской битве»…
И вдруг: внезапная остановка игры, скачки пинга и отключение от сети в результате «падения» сервера из-за DDoS-атаки. Нередко за считанные секунды до желанного результата в игре. Игровые серверы – особенно уязвимая цель, учитывая, что на них и без того ложится огромная нагрузка по обработке движения сотен, нередко тысяч игроков в реальном времени в 3D-среде.
Что можно поделать с DDoS-атаками на игровое пространство? Для начала разберемся в вопросе подробнее, рассмотрим как работают атаки на геймеров, каким целям они служат, и как организовать защиту от DDoS-атак игрового сервера.
Почему игровые серверы – популярная цель
Геймеры нередко становятся мишенью киберпреступников. Современные игры требуют мощных вычислительных ресурсов (в миллионы раз больших чем у компьютера, с помощью которого человека отправили на Луну). Игры особенно требовательны к процессорам и видеокартам, что делает их желанной целью для вирусов, например, скачанных «в нагрузку» вместе с пиратским контентом с торрента.
Многие вирусные программы умеют самостоятельно определять мощность компьютера и активировать по выбору функционал майнера или трояна. После этого машину незадачливого геймера используют либо для добычи криптовалюты, либо для включения компьютера в ботнет – который, по иронии, может атаковать как раз любимый игровой сервер хозяина.
Но зачем в принципе организовывать DDoS-атаки и мешать людям играть? Самый простой ответ такой: в киберспорте и игровой индустрии вообще сегодня крутятся огромные деньги, измеряемые миллиардами долларов. В современном онлайн-ориентированном мире там, где есть большие деньги – будут и большие кибератаки от конкурентов и недоброжелателей.
Из-за гигантского количества незащищенной подключенной к онлайну техники, число которой постоянно растет, возможность организовать ботнет буквально с каждым месяцем становится все проще, а себестоимость DDoS-атаки пропорционально уменьшается. Уже сейчас разрушительную акцию киберустрашения можно заказать в считанные клики и всего за несколько долларов. А вот последствия от нее могут быть весьма серьезные.
Кто становится жертвой DDoS-атак на игровые серверы
Атаки могут происходить как на индивидуальных игроков, так и на площадки в целом. Серверы популярных мультиплеерных игр (например, Minecraft) нередко становятся объектом DDoS-атак со стороны конкурентов, особенно в период, когда новые серверы только открываются и еще не успели заслужить репутацию надежных. Также они могут стать целью вымогателей, которые требуют от администраторов денежную компенсацию за прекращение DDoS-атак.
Что касается атак на отдельных игроков, это прямо связано с конкурентным характером онлайн-игр, особенно коммерческих. Один из самых распространенных способов DDoS: связанные с конкурентом хакеры находят IP-адреса других игроков и «забивают» их пропускную способность, заваливая их соединения трафиком/запросами. Жертва такой атаки испытывает низкую и нестабильную производительность, вплоть до разрыва соединения, что дает злоумышленнику игровое преимущество и позволяет победить.
Бывают и более абстрактно мотивированные атаки: например, если разработчики чем-либо вызвали гнев игрового сообщества (или пользователей соцсетей) или вообще с неясными мотивациями. В таком случае огромные ботнеты атакуют серверы игр в целом, нередко вынуждая их отключать на несколько часов или даже дней.
Так как у пользователей есть широкий выбор, чем им заняться (в конечном счете, они могут просто выбрать другой сервер или даже другую игру), терпеть постоянно падающий и лагающий сервер будут весьма немногие. Таким образом, удачная длительная DDoS-атака на игровое пространство завершится тем, что сервер потеряет часть пользователей, возможно навсегда.
Какие типы атак угрожают игровым серверам
Чаще всего наблюдаются два типа нападений на игровые пространства – волюметрический тип (бомбардировка трафиком) или атака на уровне L7 (по модели OSI), когда целью становится непосредственно прикладная часть. Второй тип требует намного меньше усилий, однако может приводить при грамотном исполнении к такому же результату: неработающему серверу.
Учитывая мощности ботнетов в десятки и сотни тысяч устройств, которые сдаются внаем в даркнете, с точки зрения ресурсов атакующие практически не имеют ограничений. Ограничения, однако, имеют атакуемые серверы, и поэтому они нуждаются в организации защиты от DDoS.
Как сохранить доступность игрового сервера во время DDoS-атаки
Построение эффективной системы защиты для игрового сервера должно начинаться с правильной конфигурации бэкенда, самого сервера с игровым приложением. Для этого, в свою очередь, необходим квалифицированный администратор, который готов и способен приложить максимум усилий по тонкой настройке сервера:
- Правильно настройте сетевую подсистему из расчета на работу с высокой нагрузкой на сервер и на сетевой стек
- Установите и корректно настройте брандмауэр, запретите любые виды трафика и открытых портов кроме тех, что нужны для работы
- Настройте белые и черные списки IP-адресов
- Используйте обратный прокси-сервер, который бы действовал как буфер между трафиком и фактическим выделенным игровым сервером
- Используйте VPN
Впрочем, все эти меры могут только временно смягчить ущерб от действительно сильной DDoS-атаки, но не защитить игровой сервер от нее полностью.
Профессиональная защита как необходимость
Для постоянной и надежной защиты игрового сервера от DDoS-атак рекомендуется подключить профессиональную услугу, например, арендовать защищенный выделенный сервер (DS) с полным контролем над ОС и ресурсами.
Перенос игрового сервера на мощности DDoS-Guard обеспечит круглосуточную защиту и отказоустойчивость даже при очень высоких нагрузках. Благодаря такому решению, падение FPS и лаги в играх минимизируются, а постоянный мониторинг и анализ сетевого трафика позволит гарантировать игрокам и собственникам игровых серверов комфортное времяпровождение, свободное от DDoS-атак.
Источник: ddos-guard.net
Автогол. Как я сделал небольшую DDoS атаку на наш сервер
Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и […]
Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и без неё.
- План действий
- Настройка приложения и защиты
- Подключение услуги по защите от DDoS
О типах DDoS-атак и способах защиты от них мы уже писали в нашем предыдущем материале. Помимо базовых решений по контролю и фильтрации сетевого трафика, Selectel предоставляет услугу по расширенной защите от DDoS-атак. Подобный уровень защиты добавляет в комплекс очистки трафика дополнительную ступень в виде специального прокси-сервера, настроенного под конкретные приложения.
В этой статье мы рассмотрим случай атаки, нацеленной на перегрузку полосы пропускания, а конкретно используем метод DrDOS (Distributed Reflection Denial of Service), использующий технику отражения запросов. Подобный метод интересен тем, что позволяет многократно усиливать объем атаки по сравнению с пропускной способностью зараженной машины, и был выбран нами поскольку наглядно показывает масштаб возможной атаки.
План действий
Демонстрацию услуги по защите от DDoS-атак мы проведем с помощью эксперимента, целью которого будет сравнение работоспособности веб-сервера, находящегося под DDoS-атакой, с подключенной услугой и без неё. Для этого мы организуем два стресс-теста с одинаковыми параметрами атаки на заранее подготовленный веб-сервер в VPC через защищенный и прямой IP-адрес. Степень влияния услуги по защите от DDoS-атак на фильтрацию нежелательного трафика мы оценим с помощью метрик загрузки процессора и сетевого устройства. Кроме того, используем инструмент мониторинга сервисов для определения доступности веб-сервера в разных локациях.
Веб-сервер:
- Простой сайт на WordPress, развернутый с помощью стандартного LAMP-стека;
- Виртуальный сервер в VPC с 1 vCPU и 1 GB оперативной памяти на Ubuntu.
Инструменты мониторинга:
- Утилита Netdata для просмотра сведений о системе в реальном времени;
- Мониторинг доступности сервисов, в котором мы используем простой GET-запрос для проведения теста.
Инструмент для стресс-теста:
- IP Stresser, предоставляющий возможность создания теста с объемом атаки до 3 Гбит/c.
В результате проведения испытаний ожидается, что при подключенной услуге по защите от DDoS-атак работоспособность сервиса нарушена не будет. В следующей части мы рассмотрим создание и настройку приложения в VPC и процесс подключения услуги. Затем проведем стресс-тесты и сравним показания метрик.
Настройка приложения и подключение услуги по защите от DDoS
В качестве среды для размещения веб-сервера мы выбрали виртуальное приватное облако за возможность быстрого создания виртуальной машины и подключения публичной подсети:
В состав выделенных ресурсов мы также включили публичную подсеть — для работы с услугой по защите от DDoS плавающий IP-адрес не подходит:
Далее создадим сервер внутри проекта, используя в качестве источника для установки системы готовый образ Ubuntu 16.04. В разделе настройки сети необходимо выбрать подключение через зарезервированную ранее публичную подсеть, а также выбрать и записать публичный IP-адрес: он понадобится нам позже.
После установки сервера настроим WordPress, используя стандартный LAMP-стек :
Убедившись в работоспособности приложения, перейдем к заказу услуги по защите от DDoS.
Подключение услуги Базовая защита от DDoS
Заказ услуги осуществляется в разделе Сети и услуги в личном кабинете Selectel:
Выберем пункт Базовая защита от DDoS 10 Мбит/с и произведем оплату услуги:
После подключения услуги будет создан тикет в техническую поддержку для настройки защиты под ваше приложение. Сотруднику техподдержки необходимо сообщить IP-адрес и тип приложения. После получения всей необходимой информации будет произведена настройка защиты. Дополнительные сведения о подключенной защите и сервисах будут в ответном сообщении службы поддержки:
Нам был выделен защищенный IP-адрес, который мы настроим далее, а также указаны данные для доступа к сервису статистики атак. Кроме того, как видно из сообщения, необходимо настроить приложение для работы с новым выделенным защищенным IP-адресом, поскольку трафик, поступающий на первоначальный IP-адрес не будет фильтроваться.
Настройка алиасов немного различается в различных системах, в нашем примере мы используем Ubuntu, где это осуществляется следующей командой:
$ sudo ifconfig eth0:0 95.213.255.18 up
Для многих компаний техподдержка не является главным приоритетом и поэтому время ответа на запросы может стремиться к бесконечности, а качество предлагаемых решений оставляет желать лучшего. Однако, в Selectel круглосуточная поддержка, которая отвечает даже в вечер воскресенья (у автора статьи возникла проблема с доступом к сервису статистики):
На данном этапе остается протестировать работу и доступность сервиса через защищенный IP-адрес:
Стресс-тест на незащищенный IP-адрес
Перейдем к стресс-тесту системы на незащищенный IP-адрес со следующими настройками атаки:
В качестве целевого хоста указан адрес, который при реальном использовании услуги необходимо будет скрывать — трафик, идущий на него не будет фильтроваться и приведет к отказу работоспособности системы.
Начнём первый стресс-тест:
Видно, что почти мгновенно происходит перегрузка процессора и объем принимаемого трафика стремится к 3Гбит/с:
Теперь оценим доступность и время отклика сервиса в разных географических точках:
Большая часть точек проверок показала недоступность указанного сервиса и большое время отклика, что говорит об успешном проведении стресс-теста и уязвимости текущей конфигурации перед DDoS-атаками транспортного уровня.
Резюмируя полученные результаты, очевидно, что веб-сервер полностью принял на себя весь объем тестовой атаки, а в случае увеличения нагрузки произошел бы отказ работоспособности приложения. Далее мы протестируем доступность веб-сервера с подключенной
Стресс-тест на защищенный IP-адрес
Используя полностью аналогичные параметры для атаки кроме IP-адреса, запустим стресс-тест:
Видно, что регистрируемый объем входящего трафика составляет около 120 Мбит/с, а нагрузка на процессор составляет около 20%:
Теперь перейдем к тестированию доступности и времени отклика веб-сервера через инструмент мониторинга:
Уже сейчас можно сказать, что использование подобной услуги по защите от DDoS-атак обеспечивает определенный уровень безопасности веб-сервера.
Мониторинг атак и статистика
Как только начинается атака на защищенный адрес, служба Servicepipe уведомляет клиента об этом по email:
Для просмотра информации об атаках в реальном времени доступен веб-интерфейс:
В нем содержится более подробная информация о поступающем трафике:
А также можно увидеть источники трафика по странам:
Вывод
Проведенный опыт показал сохранение работоспособности веб-сервера под тестовой DDoS-атакой при подключенной услуге по защите от DDoS. Кроме того, использование сервиса Servicepipe позволяет отслеживать в реальном времени поступающие DDoS-атак без дополнительных настроек рабочих систем и оперативно реагировать на них.
В пространство дальнейших исследований можно включить создание более сложных стресс-тестов и использование не только базовой защиты, но и расширенной с более совершенными инструментами фильтрации трафика.
Ознакомиться с типами защит и успешным опытом наших клиентов можно на странице услуги.
Источник: selectel.ru
Soft Memcrashed — самый мощный DDoS
Memcrashed — это инструмент, позволяющий использовать Shodan.io для получения сотен уязвимых Memcached серверов. Затем он позволяет использовать те же серверы для запуска широко распространенной атаки типа DDoS путем подделки пакетов UDP, полученных вашей жертвой.
Полезная нагрузка по умолчанию включает в себя команду memcached «stats», 10 байтов для отправки, но ответ составляет от 1500 байт до сотен килобайт. Только представьте себе цифры. Очень грозное оружие. Чтобы ознакомится с последствиями уже произведенных атак, просто загуглите. Последствия и мощность просто поражают.
28 февраля 2108 г. на GitHub.com произошла атака мощностью 1,35 Тб/сек.
Данная статья предоставлена исключительно в целях ознакомления, применение на практике влечет за собой ответственность, предусмотренную законодательством вашей страны.
Если вы вдруг не совсем осведомлены:
DoS (Denial of Service «отказ в обслуживании») — хакерская атака на сервер с целью довести её до отказа, то есть создание таких условий, при которых пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. В настоящее время DoS и DDoS атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик. И еще, простыми словами DoS — это атака с одного компьютера (зачастую не эффективна), DDoS — это атака выполняемая одновременно с большого числа компьютеров. Не путайте.
Немного теории (принцип работы инструмента):
Амплифицированная DDoS-атака — это тип DDoS-атак с отражением, эксплуатирующий набор сетевых протоколов Universal Plug and Play (UPnP) для отправки амплифицированного потока трафика серверу-жертве. Этот трафик переполняет инфраструктуру атакуемого сервера и приводит к его отказу. Простыми словами серверы memcached имеют возможность работать по протоколу UDP. UDP — это сетевой протокол, который позволяет отправлять данные без предварительного получения так называемого «рукопожатия», представляющего собой сетевой процесс, в котором обе стороны соглашаются установить связь. Протокол UDP используется потому, что для отправки данных целевому серверу, не нужно его предварительное согласие на прием данных, что позволяет отправлять огромное количество данных без подтверждения со стороны целевого сервера.
Практика
Переходим к установке инструмента. Я буду использовать распространенную в сфере ИБ ОС Kali linux (x64 в моем случаи)
Данный инструмент пылиться в недрах гитхаба. для его установке запускаем Кали, открывает терминал и вводим следующее:
apt-get update Would you like to display all the bots from Shodan? : » при вводе «y» начнется перечисление серверов на мониторе:
я остановил этот процесс, так как мне это не нужно. Мы же только ознакамливаемся
Помните, DDoS это уголовно наказуемая деятельность.
s unity
Well-known member
„Только атаки дилетантов нацелены на машины; атаки профессионалов нацелены на людей.“
— Брюс Шнайер
Green Team
technik_ekb
One Level
30.11.2019 1 1
Искал, искал, но так и не удалось найти api key shodan (про бесплатный для всех знаю)(нужен платный но без денег)
s unity
Green Team
18.09.2019 208 24
Искал, искал, но так и не удалось найти api key shodan (про бесплатный для всех знаю)(нужен платный но без денег)
Плохо искал, я за 10 минут валидный ключ нашел на гитхабе по кодам
Ruby
One Level
16.07.2019 8 28
Для самых ленивых
PSKINdQe1GyxGgecYz2191H2JoS9qvgD
mazahacker
One Level
13.11.2019 3 1
Для самых ленивых
PSKINdQe1GyxGgecYz2191H2JoS9qvgD
я тоже такой юзаю)
NeoLight
One Level
09.12.2019 1 1
Подскажите пожалуйста, вот есть у меня получается несколько рабочих валидатных ключей, я делаю все как на инструкции и ни какого ддос нету — максимум это пакеты размером 56кб (проверка через wireshark) даже собственный инет не посадило. Помогите, что делать?
Последнее редактирование: 09.12.2019
toretto
Green Team
11.11.2019 31 4
В этой статье я познакомлю вас с утилитой Memcrashed.
Memcrashed — это инструмент, позволяющий использовать Shodan.io для получения сотен уязвимых Memcached серверов. Затем он позволяет использовать те же серверы для запуска широко распространенной атаки типа DDoS путем подделки пакетов UDP, полученных вашей жертвой.
Полезная нагрузка по умолчанию включает в себя команду memcached «stats», 10 байтов для отправки, но ответ составляет от 1500 байт до сотен килобайт. Только представьте себе цифры. Очень грозное оружие. Чтобы ознакомится с последствиями уже произведенных атак, просто загуглите. Последствия и мощность просто поражают.
28 февраля 2108 г. на GitHub.com произошла атака мощностью 1,35 Тб/сек.
Данная статья предоставлена исключительно в целях ознакомления, применение на практике влечет за собой ответственность, предусмотренную законодательством вашей страны.
Если вы вдруг не совсем осведомлены:
DoS (Denial of Service «отказ в обслуживании») — хакерская атака на сервер с целью довести её до отказа, то есть создание таких условий, при которых пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. В настоящее время DoS и DDoS атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик. И еще, простыми словами DoS — это атака с одного компьютера (зачастую не эффективна), DDoS — это атака выполняемая одновременно с большого числа компьютеров. Не путайте.
Немного теории (принцип работы инструмента):
Амплифицированная DDoS-атака — это тип DDoS-атак с отражением, эксплуатирующий набор сетевых протоколов Universal Plug and Play (UPnP) для отправки амплифицированного потока трафика серверу-жертве. Этот трафик переполняет инфраструктуру атакуемого сервера и приводит к его отказу. Простыми словами серверы memcached имеют возможность работать по протоколу UDP. UDP — это сетевой протокол, который позволяет отправлять данные без предварительного получения так называемого «рукопожатия», представляющего собой сетевой процесс, в котором обе стороны соглашаются установить связь. Протокол UDP используется потому, что для отправки данных целевому серверу, не нужно его предварительное согласие на прием данных, что позволяет отправлять огромное количество данных без подтверждения со стороны целевого сервера.
Практика
Переходим к установке инструмента. Я буду использовать распространенную в сфере ИБ ОС Kali linux (x64 в моем случаи)
Данный инструмент пылиться в недрах гитхаба. для его установке запускаем Кали, открывает терминал и вводим следующее:
apt-get update https://codeby.net/threads/memcrashed-samyj-moschnyj-ddos.69810/» target=»_blank»]codeby.net[/mask_link]