Metode de protecție împotriva atacurilor DDoS. Metode de combatere a atacurilor DDoS

Combaterea atacurilor DDoS nu este doar o muncă dificilă, ci și interesantă. Nu este de mirare că fiecare administrator de sistem încearcă în primul rând să-și organizeze apărarea pe cont propriu - mai ales că acest lucru este încă posibil.

Am decis să vă ajutăm în această problemă dificilă și să publicăm câteva sfaturi scurte, banale și neuniversale pentru a vă proteja site-ul de atacuri. Rețetele date nu te vor ajuta să faci față niciunui atac, dar te vor proteja de majoritatea pericolelor.

Ingredientele potrivite

Adevărul dur este că oricine poate distruge multe site-uri folosind atacul Slowloris, care ucide complet Apache, sau organizând un așa-numit SYN flood folosind o fermă de servere virtuale ridicată într-un minut în cloud-ul Amazon EC2. Toate sfaturile noastre suplimentare cu privire la protecția DDoS de tip do-it-yourself se bazează pe următoarele condiții importante.

1. Nu mai utilizați Windows Server

Practica sugerează că un site care rulează pe Windows (2003 sau 2008 - nu contează) este condamnat în cazul unui DDoS. Motivul eșecului constă în stiva de rețea Windows: atunci când există prea multe conexiuni, serverul începe cu siguranță să răspundă prost. Nu știm de ce Windows Server funcționează atât de dezgustător în astfel de situații, dar ne-am întâlnit de mai multe ori sau de două ori. Din acest motiv, acest articol se va concentra pe mijloacele de protecție împotriva atacurilor DDoS atunci când serverul rulează pe Linux. Dacă sunteți norocosul proprietar al unui kernel relativ modern (începând de la 2.6), atunci instrumentele principale vor fi iptables și utilitățile ipset (pentru adăugarea rapidă a adreselor IP), cu ajutorul cărora puteți interzice rapid roboții. O altă cheie a succesului este o stivă de rețea pregătită corespunzător, despre care vom vorbi și mai târziu.

2. Despărțiți-vă de Apache

A doua condiție importantă este abandonarea Apache. Dacă rulați Apache, atunci cel puțin instalați un proxy de cache în fața acestuia - nginx sau lighttpd. Apache este extrem de greu de servit fișierele și, ceea ce este și mai rău, este la un nivel fundamental (adică iremediabil) vulnerabil la cel mai periculos atac Slowloris, care vă permite să blocați serverul cu aproape telefon mobil. Pentru a lupta diverse tipuri Utilizatorii Slowloris Apache au venit mai întâi cu patch-ul Anti-slowloris.diff, apoi mod_noloris, apoi mod_antiloris, mod_limitipconn, mod_reqtimeout... Dar dacă vrei să dormi liniștit noaptea, este mai ușor să folosești un server HTTP care este invulnerabil la Slowloris la nivelul arhitecturii codului. Prin urmare, toate rețetele noastre ulterioare se bazează pe presupunerea că nginx este folosit pe front-end.

Luptând împotriva DDoS

Ce să faci dacă sosește DDoS? O tehnică tradițională de autoapărare este de a citi fișierul jurnal al serverului HTTP, de a scrie un model grep (prinderea solicitărilor de bot) și de a interzice toți cei care se încadrează în acesta. Această tehnică va funcționa... dacă ai noroc. Există două tipuri de rețele bot, ambele periculoase, dar în moduri diferite. Unul vine complet pe site instantaneu, celălalt treptat. Primul omoară totul deodată, dar totul apare în jurnale, iar dacă le încălzești și interzici toate adresele IP, atunci ești un câștigător. Al doilea botnet atacă site-ul ușor și cu atenție, dar este posibil să trebuiască să îl interziceți timp de 24 de ore. Este important ca orice administrator să înțeleagă: dacă intenționați să luptați cu grep, atunci trebuie să fiți pregătit să dedicați câteva zile luptei cu atacul. Mai jos sunt sfaturi despre unde puteți plasa paiele în avans pentru a face căderea mai puțin dureroasă.

3. Utilizați modulul testcookie

Poate cea mai importantă, eficientă și eficientă rețetă din acest articol. Dacă DDoS vine pe site-ul dvs., atunci cea mai eficientă modalitate de a riposta poate fi modulul testcookie-nginx, dezvoltat de habrauser @kyprizel. Ideea este simplă. Cel mai adesea, boții care implementează HTTP flooding sunt destul de proști și nu au cookie HTTP și mecanisme de redirecționare. Uneori întâlniți altele mai avansate - pot folosi cookie-uri și procesa redirecționări, dar aproape niciodată un robot DoS poartă un motor JavaScript complet (deși acest lucru devine din ce în ce mai comun). Testcookie-nginx funcționează ca un filtru rapid între roboți și backend în timpul unui atac DDoS L7, permițându-vă să filtrați cererile nedorite. Ce este inclus în aceste verificări? Știe clientul cum să efectueze redirecționarea HTTP, acceptă JavaScript, este browserul pe care pretinde că este (deoarece JavaScript este diferit peste tot și dacă clientul spune că este, de exemplu, Firefox, atunci putem verifica acest lucru). Verificarea este implementată folosind cookie-uri folosind diferite metode:

• „Set-Cookie” + redirecționare folosind 301 HTTP Location;
• „Set-Cookie” + redirecționare folosind meta reîmprospătare HTML;
• orice șablon și puteți utiliza JavaScript.

Pentru a evita analiza automată, cookie-ul de validare poate fi criptat cu AES-128 și ulterior decriptat pe partea clientului JavaScript. ÎN noua versiune modul, a devenit posibilă setarea cookie-urilor prin Flash, care vă permite, de asemenea, să eliminați eficient boții (pe care Flash, de regulă, nu îi acceptă), dar, totuși, blochează și accesul pentru mulți utilizatori legitimi (de fapt, toți cei de pe mobil dispozitive). Este de remarcat faptul că este extrem de ușor să începeți să utilizați testcookie-nginx. Dezvoltatorul, în special, oferă câteva exemple clare de utilizare (pentru diferite cazuri de atac) cu mostre de configurații pentru nginx.

Pe lângă avantajele sale, testcookie are și dezavantaje:

• reduce toți roboții, inclusiv Googlebot. Dacă intenționați să păstrați testcookie în mod permanent, asigurați-vă că nu veți dispărea din rezultatele căutării;
• creează probleme utilizatorilor cu Link-uri, w3m și browsere similare;
• nu protejează împotriva roboților echipați cu un motor de browser complet cu JavaScript.

Pe scurt, testcookie_module nu este universal. Dar ajută cu o serie de lucruri, cum ar fi, de exemplu, instrumentele primitive în Java și C#. În acest fel, tăiați o parte din amenințare.

4. Cod 444

Ținta DDoSers este adesea partea a site-ului cu cea mai mare cantitate de resurse. Un exemplu tipic este căutarea, care efectuează interogări complexe în bazele de date. Desigur, atacatorii pot profita de acest lucru încărcând simultan câteva zeci de mii de solicitări în motorul de căutare. Ce putem face? Dezactivați temporar căutarea. Deși este posibil ca clienții să nu poată căuta informațiile de care au nevoie folosind instrumente încorporate, întregul site principal va rămâne operațional până când veți găsi rădăcina tuturor problemelor. Nginx acceptă un cod 444 non-standard, care vă permite să închideți pur și simplu conexiunea și să nu returnați nimic ca răspuns:

Locație/căutare ( return 444; )

În acest fel, puteți, de exemplu, să implementați rapid filtrarea după URL. Dacă sunteți sigur că solicitările de locație /căutare vin doar de la roboți (de exemplu, încrederea dvs. se bazează pe faptul că site-ul dvs. nu are deloc o secțiune /căutare), puteți instala pachetul ipset pe server și interziceți roboți cu un script shell simplu:

Ipset -N ban iphash tail -f access.log | în timp ce citește LINE; face eco „$LINE” | \ cut -d""" -f3 | cut -d" " -f2 | grep -q 444 && ipset -A ban "$(L%% *)"; gata

Dacă formatul fișierului jurnal nu este standard (nu este combinat) sau trebuie să interziceți pe baza altor criterii decât starea răspunsului, poate fi necesar să înlocuiți cut cu o expresie regulată.

5. Interzicem prin geolocalizare

Codul de răspuns non-standard 444 poate fi, de asemenea, util pentru interzicerea rapidă a clienților pe baza caracteristicilor bazate pe geometrie. Puteți limita strict anumite țări care vă fac inconfortabil. De exemplu, este puțin probabil ca un magazin de camere online din Rostov-pe-Don să aibă mulți utilizatori în Egipt. Nu este foarte cale bună(ca să spunem direct, dezgustător), deoarece datele GeoIP sunt inexacte, iar rostoviții zboară uneori în Egipt în vacanță. Dar dacă nu aveți nimic de pierdut, urmați instrucțiunile:

Conectați modulul GeoIP la nginx (wiki.nginx.org/HttpGeoipModule).

Afișați informațiile de georeferențiere în jurnalul de acces.

Apoi, modificând scriptul shell de mai sus, rulați jurnalul de acces al nginx și adăugați clienți excluși din punct de vedere geografic la interdicție.

Dacă, de exemplu, roboții erau în mare parte din China, atunci acest lucru ar putea ajuta.

6. Rețea neuronală (PoC)

În cele din urmă, puteți repeta experiența utilizatorului habra @SaveTheRbtz, care a preluat rețeaua neuronală PyBrain, a introdus jurnalul în ea și a analizat interogările (habrahabr.ru/post/136237). Metoda funcționează, deși nu universală :). Dar dacă știi cu adevărat interiorul site-ului tău - și tu, ca administrator de sistem, ar trebui - atunci ai șansa ca în cele mai tragice situații un astfel de set de instrumente bazat pe rețele neuronale, instruire și informații colectate în prealabil să te ajute. În acest caz, este foarte util să aveți access.log înainte de începerea DDoS, deoarece descrie aproape 100% dintre clienții legitimi și, prin urmare, un set de date excelent pentru antrenarea unei rețele neuronale. În plus, boții nu sunt întotdeauna vizibili în jurnal .

Diagnosticarea problemei

Site-ul nu funcționează - de ce? Este DDoSed sau este o eroare a motorului care nu a fost observată de programator? Nu contează. Nu căutați un răspuns la această întrebare. Dacă credeți că site-ul dvs. poate fi atacat, contactați companiile care oferă protecție împotriva atacurilor - o serie de servicii anti-DDoS oferă gratuit primele zile după conectare - și nu mai pierdeți timpul căutând simptome. Concentrați-vă pe problemă. Dacă un site este lent sau nu se deschide deloc, există ceva în neregulă cu performanța sa și – indiferent dacă există sau nu un atac DDoS – este responsabilitatea ta ca profesionist să înțelegi ce îl cauzează. Am asistat în repetate rânduri la modul în care o companie care întâmpina dificultăți în funcționarea site-ului său din cauza unui atac DDoS, în loc să caute slăbiciuni în motorul site-ului, a încercat să trimită declarații către Ministerul Afacerilor Interne pentru a găsi și pedepsi atacatorii. Nu face aceste greșeli. Găsirea infractorilor cibernetici este un proces dificil și îndelungat, complicat de însăși structura și principiile de funcționare ale Internetului, iar problema cu funcționarea site-ului trebuie rezolvată cu promptitudine. Apelați specialiști tehnici pentru a găsi motivul scăderii performanței site-ului, iar avocații pot scrie o declarație.

7. Utilizați un profiler și un depanator

Pentru cea mai comună platformă de creare de site-uri web - PHP + MySQL - blocajul poate fi găsit folosind următoarele instrumente:

• profilerul Xdebug va arăta pentru care apeluri petrece cel mai mult timp aplicația;
• depanatorul APD încorporat și ieșirea de depanare din jurnalul de erori vă vor ajuta să aflați exact ce cod face aceste apeluri;
• în cele mai multe cazuri, câinele este îngropat în complexitatea și greutatea interogărilor bazei de date. Directiva explică SQL încorporată în motorul bazei de date vă va ajuta aici.

Dacă site-ul este defect și nu pierdeți nimic, deconectați-vă de la rețea, uitați-vă la jurnalele, încercați să le redați. Dacă nu este acolo, atunci parcurgeți paginile și uitați-vă la bază.

Exemplul este pentru PHP, dar ideea este valabilă pentru orice platformă. Un dezvoltator care scrie produse software în orice limbaj de programare trebuie să poată folosi rapid atât un depanator, cât și un profiler. Practică în avans!

8. Analizați erorile

Analizați volumul de trafic, timpul de răspuns al serverului și numărul de erori. Pentru a face acest lucru, uitați-vă la jurnalele. În nginx, timpul de răspuns al serverului este înregistrat în jurnal de două variabile: request_time și upstream_response_time. Primul este cu normă întreagă executarea cererii, inclusiv întârzierile de rețea între utilizator și server; al doilea spune cât timp backend-ul (Apache, php_fpm, uwsgi...) a executat cererea. Valoarea upstream_response_time este extrem de importantă pentru site-urile cu un număr mare continut dinamic si comunicare activa intre frontend si baza de date, acestea nu pot fi neglijate. Puteți utiliza următoarea configurație ca format de jurnal:

Log_format xakep_log "$remote_addr - $remote_user [$time_local] " ""$request" $status $body_bytes_sent " ""$http_referer" "$http_user_agent" $request_time \ $upstream_response_time";

Acesta este un format combinat cu câmpuri de sincronizare adăugate.

9. Urmăriți cererile pe secundă

Uită-te și la numărul de solicitări pe secundă. În cazul nginx, puteți estima aproximativ această valoare cu următoarea comandă shell (variabila ACCESS_LOG conține calea către jurnalul de cereri nginx în format combinat):

Echo $(($(fgrep -c "$(env LC_ALL=C data --date=@$(($(data \ +%s)-60)) +%d/%b/%Y:%H: %M)" "$ACCESS_LOG")/60))

În comparație cu nivelul normal pentru acest moment al zilei, numărul de solicitări pe secundă poate fie să scadă, fie să crească. Ele cresc dacă a sosit un botnet mare și cad dacă botnetul primit a doborât site-ul, făcându-l complet inaccesibil pentru utilizatorii legitimi și, în același timp, botnetul nu solicită statice, dar utilizatorii legitimi o fac. Scăderea numărului de solicitări se observă tocmai din cauza staticei. Dar, într-un fel sau altul, vorbim de schimbări serioase ale indicatorilor. Când acest lucru se întâmplă brusc - în timp ce încercați să rezolvați singur problema și dacă nu o vedeți imediat în jurnal, este mai bine să verificați rapid motorul și, în același timp, să contactați specialiștii.

10. Nu uitați de tcpdump

Mulți oameni uită că tcpdump este un instrument minunat de diagnosticare. Vă dau câteva exemple. În decembrie 2011, a fost descoperită o eroare în kernel-ul Linux când a deschis o conexiune TCP când au fost setate steaguri de segment TCP SYN și RST. Primul raport de eroare a fost trimis de administratorul de sistem din Rusia, a cărui resursă a fost atacată prin această metodă - atacatorii au aflat despre vulnerabilitate înaintea lumii întregi. Evident, acest diagnostic l-a ajutat. Un alt exemplu: nginx are o proprietate nu foarte plăcută - scrie în jurnal numai după ce cererea a fost procesată complet. Există situații în care site-ul este oprit, nimic nu funcționează și nu există nimic în jurnalele. Acest lucru se datorează faptului că toate solicitările care în acest moment se încarcă serverul, nu au fost încă finalizate. Tcpdump va ajuta și aici.

Este atât de bine încât i-am sfătuit pe oameni să nu folosească protocoale binare până nu sunt siguri că totul este în ordine - la urma urmei, protocoalele text sunt ușor de depanat cu tcpdump, dar cele binare nu sunt. Cu toate acestea, sniffer-ul este bun ca diagnostic unealtă – ca mijloc de menținere a producției” și este înfricoșător. Poate pierde cu ușurință mai multe pachete simultan și poate distruge istoricul utilizatorilor. Este convenabil să vă uitați la ieșirea sa și este util pentru diagnosticarea manuală și interdicții, dar încercați să nu bazați nimic critic pe el. Un alt instrument preferat pentru „îngroparea solicitărilor” - ngrep - în general, în mod implicit, încearcă să solicite aproximativ doi gigaocteți de memorie care nu poate fi schimbată și abia apoi începe să își reducă cerințele.

11. Ataca sau nu?

Cum să distingem un atac DDoS, de exemplu, de efectul unei campanii de publicitate? Această întrebare poate părea amuzantă, dar subiectul nu este mai puțin complex. Sunt cazuri destul de amuzante. Câțiva băieți buni, când s-au încordat și au înșelat complet memorarea în cache, site-ul s-a oprit pentru câteva zile. S-a dovedit că, timp de câteva luni, acest site a fost datamined în liniște de unii germani, iar înainte ca memorarea în cache să fie optimizată, paginile de site ale acestor germani cu toate pozele au durat destul de mult să se încarce. Când pagina a început să fie difuzată instantaneu din cache, botul, care nu avea niciun timeout, a început și el să le colecteze instantaneu. A fost greu. Cazul este deosebit de dificil din cauza faptului că dacă tu însuți ai schimbat setarea (ai activat memorarea în cache) și site-ul a încetat să mai funcționeze după aceea, atunci cine este de vină, în opinia ta și a șefului tău? Asta este. Dacă observați o creștere bruscă a numărului de solicitări, atunci uitați-vă, de exemplu, în Google Analytics, cine a vizitat ce pagini.

Reglarea serverului web

Ce alte puncte cheie mai sunt? Desigur, puteți instala nginx implicit și sperați că totul va fi bine. Cu toate acestea, lucrurile nu merg întotdeauna bine. Prin urmare, administratorul oricărui server trebuie să dedice mult timp reglajului fin și reglajului nginx.

12. Limitați resursele (dimensiunile bufferului) în nginx

Ce ar trebui să vă amintiți mai întâi? Fiecare resursă are o limită. În primul rând, acest lucru se referă RAM. Prin urmare, dimensiunile antetelor și ale tuturor bufferelor utilizate trebuie limitate la valori adecvate pentru client și server în ansamblu. Ele trebuie să fie înregistrate în configurația nginx.

• client_header_buffer_size_ _ Setează dimensiunea tamponului pentru citirea antetului cererii client. Dacă linia de cerere sau câmpul antet al cererii nu se potrivește în întregime în acest buffer, atunci sunt alocate buffer-uri mai mari, specificate de directiva large_client_header_buffers.
• large_client_header_buffers Setează numărul maxim și dimensiunea de buffer-uri pentru citirea unui antet mare de solicitare a clientului.
• client_body_buffer_size Setează dimensiunea bufferului pentru citirea corpului cererii client. Dacă corpul cererii este mai mare decât buffer-ul specificat, atunci întregul corp al cererii sau doar o parte a acestuia este scris într-un fișier temporar.
• client_max_body_size Setează dimensiunea maximă permisă a corpului cererii clientului, specificată în câmpul „Lungimea conținutului” din antetul cererii. Dacă dimensiunea este mai mare decât cea specificată, atunci eroarea 413 (Request Entity Too Large) este returnată clientului.

13. Configurarea timeout-urilor în nginx

Timpul este, de asemenea, o resursă. Prin urmare, următorul pas important ar trebui să fie setarea tuturor timeout-urilor, care din nou sunt foarte importante de specificat cu atenție în setările nginx.

• reset_timedout_connection activat;
• Ajută la tratarea prizelor blocate în faza FIN-WAIT.
• client_header_timeout Setează timpul de expirare la citirea antetului solicitării clientului.
• client_body_timeout Setează timpul de expirare la citirea corpului solicitării clientului. keepalive_timeout Specifică intervalul de timp în care conexiunea keep-alive cu clientul nu va fi închisă din partea serverului. Mulți oameni se tem să întrebe aici valori mari
• , dar nu suntem siguri că această teamă este justificată. Opțional, puteți seta o valoare de timeout în antetul Keep-Alive HTTP, dar Internet Explorer este renumit pentru ignorarea acestei valori

Imediat întrebarea este: ce parametri de buffer-uri și timeout-uri sunt corecte? Nu există o rețetă universală aici, fiecare situație are propria sa. Dar există o abordare dovedită. Este necesar să se stabilească valorile minime la care site-ul rămâne operațional (în timp de pace), adică paginile sunt servite și cererile sunt procesate. Acest lucru este determinat doar prin testare - atât de pe desktop-uri, cât și de pe dispozitive mobile. Algoritm pentru găsirea valorilor fiecărui parametru (dimensiunea tamponului sau timeout):

Setăm valoarea minimă matematic a parametrului.

Începem să executăm teste de site.

Dacă toate funcționalitățile site-ului funcționează fără probleme, parametrul este definit. Dacă nu, creșteți valoarea parametrului și treceți la pasul 2.

Dacă valoarea parametrului depășește chiar și valoarea implicită, acesta este un motiv de discuție în echipa de dezvoltare.

În unele cazuri, o revizuire a acestor parametri ar trebui să conducă la o refactorizare/reproiectare a sitului. De exemplu, dacă un site nu funcționează fără solicitări de sondare lungi AJAX de trei minute, atunci nu trebuie să măriți timpul de expirare, ci să înlocuiți sondajul lung cu altceva - o rețea botnet de 20 de mii de mașini suspendate la cereri timp de trei minute va fi ușor. ucide serverul mediu ieftin.

14. Limitați conexiunile în nginx (limit_conn și limit_req)

Nginx are, de asemenea, capacitatea de a limita conexiunile, solicitările și așa mai departe. Dacă nu sunteți sigur cum se va comporta o anumită parte a site-ului dvs., atunci în mod ideal ar trebui să o testați, să înțelegeți câte solicitări va gestiona și să scrieți acest lucru în configurația nginx. Este un lucru atunci când site-ul este oprit și poți să vii să-l ridici. Și este cu totul altă chestiune când se reduce într-o asemenea măsură încât serverul intră în schimb. În acest caz, este adesea mai ușor să reporniți decât să așteptați revenirea lui triumfală.

Să presupunem că site-ul are secțiuni cu nume descriptive /descărcare și /căutare. În același timp noi:

• nu vrem ca roboții (sau oameni cu manageri de descărcare recursivi prea zeloși) să umple tabelul nostru de conexiuni TCP cu descărcările lor;
• Nu dorim ca roboții (sau crawlerele aleatorii ale motoarelor de căutare) să epuizeze resursele de calcul ale DBMS cu o multitudine de interogări de căutare.

În aceste scopuri, următoarea configurație va funcționa:

Http ( limit_conn_zone $binary_remote_addr zone=download_c:10m; limit_req_zone $binary_remote_addr zone=search_r:10m \ rate=1r/s; server ( locație /descărcare/ ( limit_conn download_c 1; # Altă locație de configurare ) locație /căutare/ ( limit_req zone) search_r burst=5 # Altă locație de configurare ) ) )

De obicei, are sens direct să setați restricții limit_conn și limit_req pentru locațiile în care se află scripturi care sunt costisitoare de executat (exemplul arată o căutare, iar acest lucru nu este fără motiv). Constrângerile trebuie alese pe baza rezultatelor testelor de încărcare și regresie, precum și de bunul simț.

Observați parametrul 10m din exemplu. Înseamnă că un dicționar cu un buffer de 10 megaocteți și nu un megaoctet în plus va fi alocat pentru a calcula această limită. În această configurație, aceasta va permite monitorizarea a 320.000 de sesiuni TCP. Pentru a optimiza amprenta memoriei, variabila $binary_remote_addr este folosită ca o cheie în dicționar, care conține adresa IP a utilizatorului în formă binară și ocupă mai puțină memorie decât variabila șir $remote_addr obișnuită. Trebuie remarcat faptul că al doilea parametru al directivei limit_req_zone poate fi nu numai IP, ci și orice altă variabilă nginx disponibilă în acest context - de exemplu, în cazul în care nu doriți să furnizați un mod mai blând pentru proxy, puteți folosi $binary_remote_addr$http_user_agent sau $binary_remote_addr$http_cookie_myc00kiez - dar trebuie să utilizați astfel de construcții cu precauție, deoarece, spre deosebire de $binary_remote_addr pe 32 de biți, aceste variabile pot fi semnificativ mai lungi, iar „10m” pe care l-ați declarat se poate termina brusc.

Tendințe DDoS

Puterea atacurilor la nivel de rețea și transport este în continuă creștere. Potențialul unui atac mediu de inundații SYN a ajuns deja la 10 milioane de pachete pe secundă.

În special la cerere în în ultima vreme utilizați atacuri DNS. Inundarea UDP cu interogări DNS valide cu adrese IP sursă falsificate este unul dintre cele mai ușor de implementat și dificil de contracarat. Multe companii mari din Rusia (inclusiv companiile de găzduire) s-au confruntat recent cu probleme ca urmare a atacurilor asupra serverelor lor DNS. Cu cât mergi mai departe, cu atât vor exista mai multe astfel de atacuri, iar puterea lor va crește.

Judecând după semne externe, majoritatea botnet-urilor nu sunt controlate central, ci printr-o rețea peer-to-peer. Acest lucru le oferă atacatorilor posibilitatea de a sincroniza acțiunile rețelei botnet în timp - dacă anterior comenzile de control erau distribuite într-o rețea botnet de 5 mii de mașini în zeci de minute, acum contează secundele, iar site-ul dvs. poate experimenta în mod neașteptat o creștere instantanee de o sută de ori a numărului de solicitări. .

Ponderea roboților echipați cu un motor de browser cu drepturi depline cu JavaScript este încă mică, dar este în continuă creștere. Un astfel de atac este mai greu de respins cu mijloace improvizate încorporate, așa că amatorii de bricolaj ar trebui să urmărească această tendință cu prudență.

pregătirea sistemului de operare

Pe lângă reglarea fină a nginx, trebuie să aveți grijă de setările stivei de rețea a sistemului. Cel puțin, activați imediat net.ipv4.tcp_syncookies în sysctl pentru a vă proteja imediat de un mic atac SYN-flood.

15. Acordați miezul

Fiți atenți la setările mai avansate ale părții de rețea (kernel), din nou în ceea ce privește timeout-urile și memorie. Sunt mai importante și mai puțin importante. În primul rând, trebuie să acordați atenție:

• net.ipv4.tcp_fin_timeout Timpul pe care socketul îl va petrece în faza TCP FIN-WAIT-2 (în așteptarea segmentului FIN/ACK).
• net.ipv4.tcp_(,r,w)mem socket TCP primiți dimensiunea tamponului. Trei valori: minim, implicit și maxim.
• net.core.(r,w)mem_max Același lucru pentru bufferele non-TCP.

Cu un canal de 100 Mbit/s, valorile implicite sunt încă potrivite; dar dacă aveți cel puțin un gigabit pe secundă disponibil, atunci este mai bine să utilizați ceva de genul:

Sysctl -w net.core.rmem_max=8388608 sysctl -w net.core.wmem_max=8388608 sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608" sysctl -w net.ipv60 ="8pv4.tc4.tc 8"8"8" sysctl - w net.ipv4.tcp_fin_timeout=10

16. Revizia /proc/sys/net/**

Este ideal să explorați toți parametrii din /proc/sys/net/**. Trebuie să vedem cât de diferite sunt acestea de cele implicite și să înțelegem cât de adecvat sunt setate. Un dezvoltator Linux (sau administrator de sistem) care înțelege funcționarea serviciului Internet sub controlul său și dorește să-l optimizeze ar trebui să citească cu interes documentația tuturor parametrilor stivei de rețea kernel. Poate că va găsi acolo variabile specifice site-ului care vor ajuta nu numai la protejarea site-ului de intruși, ci și la accelerarea funcționării acestuia.

Nu-ți fie frică!

Atacurile DDoS de succes zi de zi sting comerțul electronic, zguduie mass-media și distrug cele mai mari sisteme de plată dintr-o singură lovitură. Milioane de utilizatori de Internet pierd accesul la informații critice. Amenințarea este urgentă, așa că trebuie să o facem față direct. Fă-ți temele, nu-ți fie frică și ține-ți capul rece. Nu ești primul și nici ultimul care se va confrunta cu un atac DDoS pe site-ul tău și stă în puterea ta, ghidat de cunoștințele și bunul simț, să reducă la minimum consecințele atacului.

Aș dori să vorbesc cu dumneavoastră despre un subiect care este relevant astăzi, și anume despre DDoS și metodele de combatere a acestuia. Administratorii obișnuiți știu ce este, dar pentru majoritatea webmasterilor această abreviere rămâne un mister până când se confruntă cu această problemă din experiența personală. Deci, DDoS este o abreviere pentru Distributed Denial of Service, atunci când mii de computere infectate trimit multe solicitări către server, cărora ulterior nu le poate face față. Scopul unui atac DDoS este acela de a perturba funcționarea normală a serverului și, ulterior, de a „crash” întregul site sau server.

Cum te poți proteja de asta? Din păcate, încă nu există măsuri de protecție universală împotriva atacurilor DDoS. Aici este nevoie de o abordare integrată, care va include hardware, software și chiar măsuri organizaționale.

Sistemele software și hardware de la gigantul de rețele Cisco sunt cele mai eficiente, dar va trebui să plătiți destul de mult pentru ele.

Pentru a proteja serverele IIS, puteți folosi o soluție (software) de la Microsoft, dar cunoscând generozitatea acestei companii, puteți ghici că și acestea sunt departe de a fi gratuite.

În prezent, atacurile DDoS personalizate au devenit o nișă profitabilă și în curs de dezvoltare a criminalității online. Dacă cauți pe Google, poți găsi zeci de propuneri de la „experți” pentru a elimina site-urile concurenților tăi.

Care sunt principiile de bază pentru protecția DDoS? În primul rând, nu este nevoie să atragi atenția inutilă asupra ta (site-ul tău web) din partea publicului radical publicând conținut care poate ofensa sentimentele rasiale, naționale sau religioase ale oricărei persoane.

Dacă ați fost „comandat”, sau nu ați ascultat sfaturile anterioare, fiți în gardă - resursele hardware ale serverului web trebuie să aibă o oarecare rezervă de performanță, iar sistemele distribuite și redundante trebuie construite cât mai eficient posibil. Fără înțelegerea principiilor funcționării DDoS, este pur și simplu imposibil să construiți o protecție eficientă. Atacurile DDoS folosesc un număr mare de computere infectate cu cod rău intenționat. Aceste computere sunt unite în rețele bot („bot-nets” - rețele de mașini zombi), care, la ordinul unui atacator, efectuează atacuri DDoS, iar proprietarii computerelor de multe ori nici măcar nu bănuiesc acest lucru.

Noi, în calitate de companie de găzduire, ne confruntăm zilnic cu atacuri DDoS pe site-urile clienților noștri și avem o anumită experiență în tratarea acestora. După cum am menționat mai sus, pur și simplu nu există măsuri de protecție universale, dar un atac poate fi respins. Să presupunem că un anumit site (să fie domain.ru) este supus unui atac DDoS. Jurnalele arată că un număr mare de solicitări GET sunt trimise către pagina de start. În cele mai multe dintre aceste cazuri, roboții pot fi păcăliți folosind o redirecționare javascript. De exemplu:

window.location = "domain.ru/index.php"

Ca urmare, cu fiecare secțiune care este atacată de o solicitare GET direct la rădăcină, dimensiunea fișierului va fi de doar câțiva octeți, ceea ce este mult mai bun decât atunci când botul intră în contact cu o pagină de ~50-100 kb și la în același timp, atrage ~5-10 interogări SQL. Utilizatorii legitimi care nu au javascript dezactivat în browser sunt redirecționați către index.php.

Dar există un mare DAR - boții de căutare nu sunt, de asemenea, echipați cu interpreți js și, la fel ca roboții de atac, se vor îneca în redirecționările js. Puteți utiliza utilitare UNIX, cum ar fi tcpdump sau netstat, pentru a scrie un mic script care va număra numărul de conexiuni de la o anumită adresă IP și o va interzice.

Puteți identifica un bot, de exemplu, verificându-i gazda. Un mic exemplu de script de bază pentru blocarea IP-urilor care creează multe conexiuni la server (această opțiune a fost testată pe Centos 5.6):

Înregistrare în crond

*/1 * * * * netstat -an | grep tcp | awk „(tipărește $5)” | tăiat -d: -f1 | sortare -n | uniq -c > /var/log/ip.list

Această comandă creează o listă cu numărul de conexiuni și IP-ul în sine, de exemplu:

10 209.232.223.117
1 209.85.161.191
2 212.113.39.162
1 212.78.78.78
61 213.142.213.19
5 213.151.240.177
1 210.169.67.225
1 216.179.59.97

Scriptul în sine, care poate fi rulat pe ecran sau poate fi făcut un demon:

#!/bin/bash
connects=150 /dev/null 2>&1
apoi
// dacă numele gazdei conține cuvântul google (boții Google au acest cuvânt)
if echo $nume gazdă | grep "google" > /dev/null 2>&1
apoi
// apoi adăugați-l la lista albă și înregistrați-l în jurnal
echo "$ip" >> /etc/white.list
echo `date +%H:%M_%d-%m-%Y` $ip "- ADĂUGAT ÎN LISTA ALBĂ CA $nume gazdă CĂUTARE IP BOT" >> /var/log/ddos_log
altfel
// dacă nu Google, blocați-l
route add $hostname respinge
fi
fi
fi
făcut< /var/log/ip.list

Să ne uităm și la configurarea setărilor Apache care vor ajuta la evitarea unora dintre problemele cauzate de un atac DDoS.

TimeOut – specificați cea mai mică valoare posibilă pentru această directivă (server web care este supus unui atac DDoS).

Directiva KeepAliveTimeout – trebuie, de asemenea, să-i reduceți valoarea sau să o dezactivați complet.

Merită să verificați semnificațiile diferitelor directive de timeout furnizate de alte module.

Directivele LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody trebuie să fie atent configurate pentru a limita consumul de resurse cauzat de solicitările clientului.

Asigurați-vă că utilizați directiva AcceptFilter (pentru sistemele de operare care o acceptă). În mod implicit, este activat în configurația Apache httpd, dar pentru ca acesta să funcționeze poate necesita o reconstrucție cu noi setări pentru nucleul sistemului de operare (*nix, *bsd).

Utilizați directiva MaxClients pentru a specifica numărul maxim de clienți care pot fi conectați simultan la server - prin scăderea valorii directivei puteți reduce sarcina pe serverul web.

Vă puteți proteja de DDoS activat nivelul programului. Un script gratuit vă va ajuta în acest sens - DDoS Deflate. Cu ajutorul acestuia, puteți scăpa cu ușurință de inundațiile copiilor și DDoS. Scriptul folosește comanda „netstat” pentru a detecta DDoS și inundații, apoi blochează adresele IP ale dăunătorilor folosind firewall-ul iptables sau apf. Dar nu ar trebui să vă relaxați și să presupuneți că un DDoS slab nu vă poate deteriora serverul. Să luăm, de exemplu, că există doar 10-50 de mașini zombie care atacă, dar toate au canale groase, iar tu, după noroc, ai plecat într-o călătorie de afaceri sau ai zeci (sau chiar sute) de servere. , și nu ai timp să le „monitorezi” fizic pe toate. În acest caz, chiar și un număr mic de mașini va putea „inunda” canalul sau poate provoca eșecul serverului web apache, mysql etc. Este o altă problemă când un administrator „monitorizează” serverul non-stop și detectează cu ușurință atacurile. Dar acest lucru se întâmplă extrem de rar, așa că trebuie să conectați un sistem de alarmă și să automatizați procesul de blocare a mașinilor zombie care atacă.

P.S. Articolul mi-a fost trimis de un utilizator. Vă rugăm să trimiteți întrebări despre articol, recomandări pentru articole și subiecte viitoare și întrebări de interes pentru el.

Vă mulțumim pentru atenție!

Titlurile știrilor de astăzi sunt pline de rapoarte despre atacuri DDoS (Distributed Denial of Service). Orice organizație prezentă pe Internet este susceptibilă la atacuri distribuite de denial of service. Întrebarea nu este dacă vei fi atacat sau nu, ci când se va întâmpla. Instituţiile guvernamentale, site-uri media și de comerț electronic, site-uri de companii, comerciale și organizatii nonprofit– toate sunt ținte potențiale.

Cine este atacat?

Potrivit Băncii Centrale, în 2016 numărul instituțiilor financiare rusești aproape sa dublat. În noiembrie, atacurile DDoS au vizat cinci bănci mari rusești. La sfârșitul anului trecut, Banca Centrală a raportat atacuri DDoS asupra organizațiilor financiare, inclusiv a Băncii Centrale. „Scopul atacurilor a fost de a perturba serviciile și, ca urmare, de a submina încrederea în aceste organizații. Aceste atacuri au fost notabile deoarece a fost prima utilizare pe scară largă a Internet-ului obiectelor în Rusia. Atacul a implicat în principal camere video pe internet și routere casnice”, au remarcat serviciile de securitate ale marilor bănci.

În același timp, atacurile DDoS nu au cauzat daune semnificative băncilor - sunt bine protejate, astfel încât astfel de atacuri, deși au cauzat probleme, nu au fost critice și nu au întrerupt niciun serviciu. Cu toate acestea, se poate afirma că activitatea anti-bancară a hackerilor a crescut semnificativ. În februarie 2017, serviciile tehnice ale Ministerului rus al Sănătății au respins cel mai mare atac DDoS din ultimii ani, care la apogeu a atins 4 milioane de solicitări pe minut. Au existat și atacuri DDoS registrele de stat

, dar și ele nu au avut succes și nu au dus la nicio modificare a datelor.

Cu toate acestea, numeroase organizații și companii care nu au „apărări” atât de puternice devin victime ale atacurilor DDoS. În 2017, este de așteptat să crească daunele cauzate de amenințările cibernetice – ransomware, DDoS și atacuri asupra dispozitivelor Internet of Things.

Dispozitivele IoT devin din ce în ce mai populare ca instrumente pentru efectuarea atacurilor DDoS. Un eveniment semnificativ a fost atacul DDoS lansat în septembrie 2016 folosind codul rău intenționat Mirai. În el, sute de mii de camere și alte dispozitive din sistemele de supraveghere video au acționat ca mijloace de atac.

A fost efectuată împotriva furnizorului francez de hosting OVH. A fost un atac DDoS puternic - aproape 1 Tbit/s. Hackerii au folosit un botnet pentru a exploata 150 de mii de dispozitive IoT, majoritatea camere CCTV. Atacurile botnet Mirai au dat naștere la multe botnet-uri de dispozitive IoT. Potrivit experților, în 2017, rețelele botnet IoT vor continua să fie una dintre principalele amenințări în spațiul cibernetic.

O tendință notabilă în atacurile DDoS este extinderea „listei victimelor”. Acum include reprezentanți din aproape toate industriile. În plus, metodele de atac sunt îmbunătățite.
Potrivit Nexusguard, la sfârșitul anului 2016, numărul atacurilor DDoS de tip mixt - folosind mai multe vulnerabilități simultan - a crescut considerabil. Cel mai adesea, organizațiile financiare și guvernamentale au fost supuse acestora. Motivul principal al infractorilor cibernetici (70% din cazuri) este furtul de date sau amenințarea cu distrugerea acestora pentru răscumpărare. Mai rar – scopuri politice sau sociale. De aceea este importantă o strategie de apărare. Se poate pregăti pentru un atac și poate minimiza consecințele acestuia, reducând riscurile financiare și reputaționale.

Consecințele atacurilor Care sunt consecințele unui atac DDoS? În timpul unui atac, victima pierde clienți din cauza funcționării lente sau a indisponibilității complete a site-ului, iar reputația afacerii are de suferit. Furnizorul de servicii poate bloca adresa IP a victimei pentru a minimiza daunele aduse altor clienți. Va dura timp și, eventual, bani pentru a restabili totul.

Potrivit unui sondaj HaltDos, atacurile DDoS sunt considerate de jumătate dintre organizații drept una dintre cele mai grave amenințări cibernetice. Pericolul DDoS este chiar mai mare decât pericolul accesului neautorizat, virușilor, fraudei și phishingului, ca să nu mai vorbim de alte amenințări.

Pierderile medii din atacurile DDoS sunt estimate la nivel global la 50.000 USD pentru organizațiile mici și aproape 500.000 USD pentru întreprinderile mari. Eliminarea consecințelor unui atac DDoS va necesita timp suplimentar de personal, deturnarea resurselor de la alte proiecte pentru a asigura securitatea, dezvoltarea unui plan de actualizare software, modernizarea echipamentelor etc.

Reputația organizației atacate poate avea de suferit nu numai din cauza munca proasta site-ului, dar și din cauza furtului de date personale sau informații financiare.

Potrivit unui sondaj realizat de HaltDos, numărul atacurilor DDoS crește anual cu 200%, în fiecare zi sunt raportate 2 mii de atacuri de acest tip; Costul organizării unui atac DDoS de o săptămână este de numai aproximativ 150 USD, iar pierderile victimei depășesc în medie 40.000 USD pe oră. Tipuri de atacuri DDoS Principalele tipuri de atacuri DDoS sunt atacurile masive, atacurile la nivel de protocol și atacurile la nivel de aplicație. În orice caz, scopul este de a dezactiva site-ul sau de a fura date. Un alt tip de infracțiune cibernetică este amenințarea unui atac DDoS pentru a obține o răscumpărare. Grupuri de hackeri precum Armada Collective, Lizard Squad, RedDoor și ezBTC sunt renumite pentru acest lucru.

Organizarea atacurilor DDoS a devenit considerabil mai simplă: acum există instrumente automate disponibile pe scară largă care nu necesită practic cunoștințe speciale din partea infractorilor cibernetici. Există, de asemenea, servicii DDoS plătite pentru atacarea anonimă a țintei. De exemplu, serviciul vDOS își oferă serviciile fără a verifica dacă clientul este proprietarul site-ului care dorește să-l testeze „sub sarcină” sau dacă acest lucru este făcut în scopul unui atac.

Atacurile DDoS sunt atacuri din mai multe surse care împiedică utilizatorii legitimi să acceseze site-ul vizat. Pentru a face acest lucru, un număr mare de solicitări sunt trimise către sistemul atacat, cărora acesta nu le poate face față. De obicei, sistemele compromise sunt utilizate în acest scop.

Creșterea anuală a numărului de atacuri DDoS este estimată la 50% (conform www.leaseweb.com), dar datele din diferite surse diferă, și nu se cunosc toate incidentele. Puterea medie a atacurilor Layer 3/4 DDoS a crescut în ultimii ani de la 20 la câteva sute de GB/s. Deși atacurile masive DDoS și la nivel de protocol sunt destul de grave în sine, infractorii cibernetici le combină din ce în ce mai mult cu atacurile DDoS de Layer 7, adică la nivel de aplicație, care vizează schimbarea sau furtul datelor. Astfel de atacuri „multi-vectorale” pot fi foarte eficiente.

Atacurile cu mai multe vectori reprezintă aproximativ 27% din numărul total de atacuri DDoS.

În cazul unui atac DDoS în masă (bazat pe volum), se utilizează un număr mare de solicitări, deseori trimise de la adrese IP legitime, astfel încât site-ul să fie „sufocat” în trafic. Scopul unor astfel de atacuri este de a „înfunda” toată lățimea de bandă disponibilă și de a bloca traficul legitim.

În cazul unui atac la nivel de protocol (cum ar fi UDP sau ICMP), scopul este de a epuiza resursele sistemului. Pentru a face acest lucru, se trimit cereri deschise, de exemplu, cereri TCP/IP cu IP-uri false și, ca urmare a epuizării resurselor rețelei, devine imposibilă procesarea cererilor legitime. Reprezentanții tipici sunt atacurile DDoS, cunoscute în cercuri înguste ca Smurf DDos, Ping of Death și SYN flood. Un alt tip de atac DDoS la nivel de protocol implică trimiterea unui număr mare de pachete fragmentate pe care sistemul nu le poate gestiona.

Atacurile DDoS de nivelul 7 implică trimiterea de solicitări aparent inofensive care par a fi rezultatul acțiunilor normale ale utilizatorului. De obicei, acestea sunt realizate folosind rețele botnet și instrumente automate. Exemple celebre- Slowloris, Apache Killer, Cross-site scripting, injectare SQL, injectare fișiere de la distanță.

În 2012–2014, majoritatea atacurilor masive DDoS au fost atacuri fără stat (fără a-și aminti stările sau sesiunile de urmărire) - au folosit protocolul UDP. În cazul Stateless, multe pachete circulă într-o singură sesiune (de exemplu, deschiderea unei pagini). Dispozitivele apatride, de regulă, nu știu cine a început sesiunea (a solicitat pagina).

Protocolul UDP este susceptibil de falsificare - înlocuirea adresei. De exemplu, dacă doriți să atacați serverul DNS la 56.26.56.26 folosind un atac de amplificare DNS, puteți crea un set de pachete cu adresa sursă 56.26.56.26 și le puteți trimite către serverele DNS din întreaga lume. Aceste servere vor trimite un răspuns la 56.26.56.26.

Aceeași metodă funcționează pentru servere NTP, dispozitive compatibile cu SSDP. Protocolul NTP este poate cea mai populară metodă: în a doua jumătate a anului 2016, a fost folosit în 97,5% dintre atacurile DDoS.
Regula 38 de Best Current Practice (BCP) recomandă ca ISP-urile să configureze gateway-uri pentru a preveni falsificarea - adresa expeditorului, rețeaua de origine sunt controlate. Dar nu toate țările respectă această practică. În plus, atacatorii ocolesc controalele BCP 38 utilizând atacuri Stateful la nivel TCP. Potrivit Centrului de operațiuni de securitate (SOC) F5, astfel de atacuri au dominat în ultimii cinci ani. În 2016, au existat de două ori mai multe atacuri TCP decât atacurile UDP.

Atacurile de nivel 7 sunt folosite în principal de hackeri profesioniști. Principiul este următorul: se preia o adresă URL „grea” (cu un fișier PDF sau o solicitare către o bază de date mare) și se repetă de zeci sau sute de ori pe secundă. Atacurile de nivel 7 au consecințe grave și sunt greu de detectat. Acum reprezintă aproximativ 10% din atacurile DDoS.

Raportul dintre diferitele tipuri de atacuri DDoS conform Raportului Verizon privind investigațiile privind încălcarea datelor (DBIR) (2016).

Atacurile DDoS sunt adesea programate pentru a coincide cu perioadele de vârf de trafic, de exemplu, zilele de vânzări online. Fluxurile mari de date personale și financiare în acest moment atrag hackeri.

Atacurile DDoS asupra DNS Sistemul de nume de domeniu (DNS) joacă un rol fundamental în performanța și disponibilitatea unui site web. În cele din urmă - în succesul afacerii tale. Din păcate, infrastructura DNS este adesea ținta atacurilor DDoS. Prin suprimarea infrastructurii dvs. DNS, atacatorii vă pot afecta site-ul web, reputația companiei și vă pot afecta performanța financiară. Pentru a combate amenințările de astăzi, infrastructura DNS trebuie să fie foarte rezistentă și scalabilă.

În esență, DNS este o bază de date distribuită care, printre altele, mapează numele site-urilor care pot fi citite de om la adrese IP, permițând utilizatorului să ajungă la site-ul dorit după ce a introdus o adresă URL. Prima interacțiune a unui utilizator cu un site web începe cu interogări DNS trimise către serverul DNS cu adresa domeniului Internet al site-ului dvs. web. Procesarea lor poate reprezenta până la 50% din timpul de încărcare a unei pagini web. Astfel, performanța DNS redusă poate duce la părăsirea site-ului de către utilizatori și la pierderi de afaceri. Dacă serverul dvs. DNS nu mai răspunde ca urmare a unui atac DDoS, atunci nimeni nu va putea accesa site-ul dvs.

Atacurile DDoS sunt greu de detectat, mai ales la început când traficul pare normal. Infrastructura DNS poate fi supusă diferitelor tipuri de atacuri DDoS. Uneori, acesta este un atac direct asupra serverelor DNS. În alte cazuri, exploatările sunt folosite prin utilizarea sistemelor DNS pentru a ataca alte elemente ale infrastructurii sau serviciilor IT.

În atacurile DNS Reflection, ținta este expusă la răspunsuri DNS falsificate masiv. În acest scop, se folosesc rețele bot, care infectează sute și mii de computere. Fiecare bot dintr-o astfel de rețea generează mai multe solicitări DNS, dar folosește aceeași adresă IP țintă ca și IP-ul sursă (spoofing). Serviciul DNS răspunde la această adresă IP.

Acest lucru obține un efect dublu. Sistemul țintă este bombardat cu mii și milioane de răspunsuri DNS, iar serverul DNS s-ar putea să cadă, incapabil să facă față sarcinii. Cererea DNS în sine este de obicei mai mică de 50 de octeți, dar răspunsul este de zece ori mai lung. În plus, mesajele DNS pot conține o mulțime de alte informații.

Să presupunem că atacatorul a emis 100.000 de solicitări DNS scurte de 50 de octeți (5 MB în total). Dacă fiecare răspuns conține 1 KB, atunci totalul este deja de 100 MB. De aici și numele – Amplificare. Combinația de atacuri DNS Reflection și Amplification poate avea consecințe foarte grave.

Solicitările arată ca un trafic normal, iar răspunsurile sunt multe mesaje mari trimise către sistemul țintă. Cum să vă protejați de atacurile DDoS?

Securitatea codului software. Când scrieți software-ul, trebuie luate în considerare considerentele de securitate. Se recomandă să urmați standardele de „codare securizată” și să testați temeinic software-ul pentru a evita erorile și vulnerabilitățile comune, cum ar fi scriptingul între site-uri și injecția SQL.

Elaborați un plan de actualizare software. Ar trebui să existe întotdeauna o opțiune de rollback dacă ceva nu merge bine.

Actualizați-vă software-ul prompt. Dacă ați reușit să descărcați actualizările, dar au apărut probleme, consultați punctul 2.

Nu uitați de restricțiile de acces. admin și/sau conturile ar trebui protejate cu parole puternice și modificate în mod regulat. De asemenea, este necesar un audit periodic al drepturilor de acces și ștergerea în timp util a conturilor angajaților demiși.

Interfața de administrare ar trebui să fie accesibilă numai din rețeaua internă sau prin VPN. Închideți imediat accesul VPN pentru angajații renunțați și, mai ales, concediați.

Includeți atenuarea atacurilor DDoS în planul dvs. de recuperare în caz de dezastru. Planul ar trebui să includă modalități de detectare a faptului unui astfel de atac, contacte pentru comunicarea cu furnizorul de internet sau de găzduire și un arbore de „escaladare a problemelor” pentru fiecare departament.

Scanarea vulnerabilităților va ajuta la identificarea problemelor din infrastructura și software-ul dvs. și va reduce riscurile. Un simplu test OWASP Top 10 Vulnerability va dezvălui cele mai critice probleme. Testele de penetrare vor fi, de asemenea, utile - vor ajuta la găsirea punctelor slabe.

Protecția hardware împotriva atacurilor DDoS poate fi costisitoare. Dacă bugetul tău nu permite acest lucru, adică alternativa buna– Protecție DDoS „la cerere”. Acest serviciu poate fi inclus simpla schimbare scheme de rutare a traficului într-o situație de urgență sau este protejat în mod constant.

Utilizați un partener CDN. Rețelele de livrare de conținut vă permit să livrați conținut de site-ul web printr-o rețea distribuită. Traficul este distribuit pe mai multe servere, reducând întârzierea accesului utilizatorilor, inclusiv a celor la distanță geografică. Deci, deși principalul beneficiu al unui CDN este viteza, acesta servește și ca o barieră între serverul principal și utilizatori.

Utilizați Web Application Firewall - un firewall pentru aplicații web. Monitorizează traficul dintre un site sau aplicație și browser, verificând legitimitatea solicitărilor. Lucrând la nivel de aplicație, WAF poate detecta atacuri pe baza modelelor stocate și poate detecta comportamente neobișnuite. Atacurile la nivel de aplicație sunt frecvente în comerțul electronic. Ca și în cazul CDN, puteți utiliza serviciile WAF în cloud. Cu toate acestea, configurarea regulilor necesită ceva experiență. În mod ideal, toate aplicațiile de bază ar trebui protejate de WAF.

Protecție DNS Cum să vă protejați infrastructura DNS de atacurile DDoS? Firewall-urile convenționale și IPS nu vor ajuta aici, ele sunt neputincioase împotriva unui atac DDoS complex asupra DNS. De fapt, firewall-urile și sistemele de prevenire a intruziunilor sunt ele însele vulnerabile la atacurile DDoS.

Serviciile de curățare a traficului în cloud pot veni în ajutor: este trimis la un anumit centru, unde este verificat și redirecționat înapoi la destinație. Aceste servicii sunt utile pentru traficul TCP. Cei care își gestionează propria infrastructură DNS pot lua următorii pași pentru a atenua efectele atacurilor DDoS.

Monitorizarea serverelor DNS pentru activități suspecte este primul pas în protejarea infrastructurii DNS. Soluțiile DNS comerciale și produsele open source, cum ar fi BIND, oferă statistici în timp real care pot fi utilizate pentru a detecta atacurile DDoS. Monitorizarea atacurilor DDoS poate fi o sarcină care necesită mult resurse. Cel mai bine este să creați un profil de bază al infrastructurii în condiții normale de funcționare și apoi să îl actualizați din când în când pe măsură ce infrastructura evoluează și modelele de trafic se schimbă.

Resursele suplimentare de server DNS pot ajuta la combaterea atacurilor la scară mică, oferind redundanță infrastructurii DNS. Resursele de server și de rețea ar trebui să fie suficiente pentru a gestiona un volum mai mare de solicitări. Desigur, concedierea costă bani. Plătiți pentru resurse de server și de rețea care nu sunt utilizate în mod normal în condiții normale. Și cu o „rezervă” semnificativă de putere, este puțin probabil ca această abordare să fie eficientă.

Activarea DNS Response Rate Limiting (RRL) va reduce probabilitatea ca serverul să fie implicat într-un atac DDoS Reflection prin reducerea vitezei cu care răspunde la solicitările repetate. RRL-urile sunt acceptate de multe implementări DNS.

Utilizați configurații de înaltă disponibilitate. Vă puteți proteja împotriva atacurilor DDoS prin implementarea serviciului DNS pe un server de înaltă disponibilitate (HA). Dacă un server fizic se defectează ca urmare a unui atac, serviciul DNS poate fi restaurat pe un server de rezervă.

Cea mai bună modalitate de a proteja DNS-ul de atacurile DDoS este să utilizați o rețea Anycast distribuită geografic. Rețelele DNS distribuite pot fi implementate folosind două abordări diferite: adresare Unicast sau Anycast. Prima abordare este mult mai ușor de implementat, dar a doua este mult mai rezistentă la atacurile DDoS.

Cu Unicast, fiecare dintre serverele DNS ale companiei dvs. primește o adresă IP unică. DNS menține un tabel cu serverele DNS ale domeniului dvs. și adresele IP corespunzătoare. Când un utilizator introduce o adresă URL, una dintre adresele IP este selectată aleatoriu pentru a finaliza solicitarea.

Cu schema de adresare Anycast, diferite servere DNS au o adresă IP comună. Când un utilizator introduce o adresă URL, este returnată adresa colectivă a serverelor DNS. Rețeaua IP direcționează cererea către cel mai apropiat server.

Anycast oferă avantaje fundamentale de securitate față de Unicast. Unicast furnizează adresele IP ale serverelor individuale, astfel încât atacatorii să poată lansa atacuri direcționate pe anumite servere fizice și mașini virtuale, iar atunci când resursele acelui sistem sunt epuizate, are loc o defecțiune a serviciului. Anycast poate ajuta la atenuarea atacurilor DDoS prin distribuirea cererilor pe un grup de servere. Anycast este util și pentru izolarea efectelor unui atac.

Protecție DDoS oferită de furnizor Proiectarea, implementarea și operarea unei rețele globale Anycast necesită timp, bani și know-how. Majoritatea organizațiilor IT nu au talentul sau finanțele necesare pentru a face acest lucru. Puteți încrede în infrastructura dvs. DNS unui furnizor de servicii gestionate care este specializat în DNS. Ei au cunoștințele necesare pentru a proteja DNS-ul de atacurile DDoS.

Furnizorii de servicii DNS gestionați operează rețele Anycast pe scară largă și au puncte de prezență în întreaga lume. Experții în securitatea rețelei monitorizează rețeaua 24/7/365 și folosesc instrumente speciale pentru a atenua efectele atacurilor DDoS.

Unii furnizori de hosting oferă și protecție împotriva atacurilor DDoS: traficul în rețea este analizat 24/7, astfel încât site-ul tău va fi relativ sigur. O astfel de protecție poate rezista la atacuri puternice - până la 1500 Gbit/sec. Traficul este plătit.

O altă opțiune este protecția adresei IP. Furnizorul plasează adresa IP pe care clientul a ales-o ca fiind protejată într-un analizor de rețea special. În timpul unui atac, traficul către client este corelat cu modelele de atac cunoscute. Ca urmare, clientul primește doar trafic curat, filtrat. Astfel, este posibil ca utilizatorii site-ului să nu știe că a fost lansat un atac împotriva lor. Pentru a organiza acest lucru, se creează o rețea distribuită de noduri de filtrare, astfel încât pentru fiecare atac să poată fi selectat cel mai apropiat nod și întârzierea transmisiei traficului să fie minimizată.

Rezultatul utilizării serviciilor de protecție împotriva atacurilor DDoS va fi detectarea și prevenirea în timp util a atacurilor DDoS, continuitatea funcționării site-ului și disponibilitatea constantă a acestuia pentru utilizatori, minimizarea pierderilor financiare și de reputație din timpul nefuncționării site-ului sau portalului.

Multe resurse populare sunt supuse atacurilor DDoS într-un scop sau altul.

Dacă sunteți proprietarul unor resurse populare sau în creștere rapidă, ar trebui să vă gândiți la siguranța creației dvs.

Astăzi vă vom spune ce sunt atacurile DoS și DDoS, cum sunt efectuate acestea din urmă și ce protecție eficientă există împotriva lor.

Continut:

Concept

Toți școlarii sunt familiarizați cu esența atacurilor DDoS, ei nu vor să asculte dezvăluirile obișnuite ale profesorului pe această temă și să înceapă să-l bombardeze cu întrebări.

Drept urmare, profesorul a renunțat fără a începe un subiect nou. DoS nu este mult diferit de această schemă elementară.

DDoS este un atac de hacker asupra serverului(e) care procesează cererile utilizatorilor (vizitatorii site-ului) pentru a crea condiții în care nu mai poate face față încărcării.

Adică, un set de acțiuni ale atacatorilor vizează ca resursa serverului să nu mai fie suficientă pentru a procesa cererile utilizatorilor sau să o îngreuneze.

Cel mai adesea, acest lucru se face pentru a provoca daune economice: timpul de nefuncționare duce la costuri, restaurarea sistemului și protejarea acestuia necesită, de asemenea, resurse financiare și de altă natură.

Cum să se organizeze

DDoS diferă de DoS prin faptul că resursa nedorită este atacată de un număr mare de computere, atât voluntari interesați de acest lucru, cât și cei infectați cu viruși.

În al doilea caz, proprietarii de PC-uri nu vor ghici întotdeauna ce face mașina lor în acest moment.

În faza pregătitoare, cei nedoritori scanează vulnerabilități și, după ce au identificat punctele slabe și au primit anumite avantaje, distribuie programul, funcționând în fundal.

Ea își așteaptă rândul și, după ce a trimis o anumită comandă, conectează computerul utilizatorului la un atac la scară largă. Acest PC se numește zombie.

Dacă aveți resurse suficiente, puteți „demola” aproape orice site neprotejat în acest fel fără a lăsa în urmă multe dovezi, ceea ce reduce probabilitatea de a fi pedepsit practic la zero.

Nimeni nicăieri nu se poate proteja împotriva DDoS 100%, pentru că fiecare are propriile neajunsuri, plus că poate fi piratat.

Iar factorul uman în acest caz joacă un rol departe de a fi secundar: configurarea corectă a echipamentelor și software-ului este cheia pentru succesul muncii.

Ca și în cazul bolilor, este mai bine să le preveniți decât să le combateți singur și să scăpați de consecințe. Acest lucru se face în moduri software, hardware și organizaționale, pe care le vom lua în considerare, dar mai întâi ne vom familiariza cu cele mai comune motive pentru comiterea DDoS și soiurile acestora.

Al doilea algoritm și mai puțin obișnuit este invitarea voluntarilor să participe la trimiterea masivă de cereri către un server specificat prin intermediul unui software special.

Al treilea tip de astfel de acțiuni cibercriminale este plasarea de link-uri către resursa țintă pe portaluri mari (știri). Datorită afluxului rapid de utilizatori, serverul nu poate rezista la încărcare și se blochează.

Mai mult, problema poate fi provocată de proprietarul site-ului însuși, făcând publicitate activă pe portalurile vizitate.

Motive

Experții în securitatea computerelor identifică mai mulți factori care provoacă DDoS:

• Autoeducație, divertisment - hackerii începători pot încerca să dăuneze unei resursă mică pentru a exersa organizarea DDoS sau pentru a-și testa puterea în practică.
• Motive personale - pot fi răzbunarea pe cineva sau pe o organizație, de exemplu, după raiduri asupra unor grupuri de hackeri, site-urile web ale agenției americane de informații FBI și ale unor departamente guvernamentale nu au funcționat timp de câteva săptămâni.

Consecințele blocării serviciului ucrainean de găzduire a fișierelor mari ex.ua au fost similare.

• Acțiune politică, protest, de exemplu, împotriva închiderii resurselor piraților.
• Concurență neloială - în timp ce site-ul nu funcționează, există posibilitatea ca unii dintre vizitatorii săi să defecteze un concurent.

În ultimii 2 ani, de exemplu, numărul atacurilor asupra băncilor și agențiilor guvernamentale ruse a crescut pentru a submina încrederea în acestea.În februarie 2017, un atac masiv asupra vehiculelor Ministerului Sănătății și.

• Beneficiu financiar – atacatorul cere un anumit beneficiu de la proprietarul resursei web, de obicei financiar. Grupurile ezBTC și RedDoor sunt cunoscute pentru astfel de acțiuni.

Soiuri

A face un sistem inoperant pentru o anumită perioadă de timp este mult mai ușor, mai rapid și mai ieftin decât hacking. Există mai multe modalități de a îngreuna accesul utilizatorilor la un site web.

Canal de internet depășire sau inundație.

Cel mai obișnuit algoritm este de a ocupa întreaga lățime, astfel încât cererile utilizatorilor să nu ajungă la server sau cel puțin să fie procesate de acesta. În acest scop sunt scrise aplicații speciale. Aceștia deschid un număr mare de conexiuni false, al căror număr atinge numărul maxim suportat de server, sau trimit cereri false în număr mare.

SYN flood este o depășire a capacităților de calcul ale sistemului cu solicitări false. După stabilirea unei conexiuni, sistemul alocă pentru fiecare cerere o anumită sumă resursele fizice ale serverului.

Atacatorul trimite pachetul victimei fără să aștepte un răspuns și apoi retrimite pachetul de date. Procesarea durează mai mult decât schimbarea IP-ului și trimiterea unuia nou. Acest lucru epuizează resursa fizică a serverului.

Capturarea resurselor hardware este similară cu tipul anterior, scopul său este de a încărca procesorul central al victimei la 100%.

Inundarea HTTP și ping sunt folosite pentru a ataca servere cu lățime de bandă relativ mică, atunci când viteza de internet a hackerului nu este cu mai mult de un ordin de mărime mai mică decât cea a victimei sau chiar mai mult.

Schema este următoarea: atacatorul trimite un pachet mic cu conținut care este cu câteva ordine de mărime mai mare. După schimbarea IP-ului, procesul continuă până când eșuează.

Atacul ștrumfilor.

Cel mai serios algoritm din cauza probabilității mari ca serviciul mașinii atacate să fie refuzat.

Adversarul folosește radiodifuziunea. După trimiterea unui pachet fals, criminalul cibernetic își va schimba IP-ul la adresa sistemului atacat, motiv pentru care își trimite pachete de răspuns. Când numărul atacatorilor crește, serverul pur și simplu nu poate face față cererilor de procesare trimise către el însuși. UDP flood – Comenzile Echo sunt trimise victimei, IP-ul atacatorului este schimbat la adresa persoanei atacate, care este obligată să accepte propriile cereri în cantitati mari

și așa mai departe până când întreaga bandă este ocupată cu răspunsuri false.

HDD plin de fișiere jurnal.

Am vorbit despre influența calificărilor unui administrator de sistem asupra posibilității de a efectua un atac asupra serverelor pe care le deservește. Dacă o persoană fără experiență nu stabilește anumite limite privind dimensiunea fișierului jurnal sau numărul de intrări din acesta, va ocupa tot spațiul pe disc și va prăbuși serverul.

Defecte de cod.

Profesioniștii nu se coboară la nivelul trimiterii de solicitări, studiază cu atenție sistemul victimei și scriu exploatări - programe mici care permit utilizarea găurilor de sistem în scopul dezvoltatorului acestor aplicații. În cele mai multe cazuri, un astfel de cod provoacă un apel către un spațiu inexistent sau o funcție invalidă.Atacurile cache – falsificarea IP-ului serverului DNS la adresa victimei. Solicitarea nu duce la pagina resursei atacate, ci la site-ul web al atacatorului. Dacă există un număr mare de computere zombie, acestea sunt saturate de solicitări, motiv pentru care nu poate face față conversiei IP-urilor în nume de domenii. Cu configurația corectă

DNS

probabilitatea unui atac de succes scade la zero.

Există resurse plătite pentru comiterea infracțiunilor cibernetice, cum ar fi vDOS.

Oferă servicii tuturor fără a cere numele de utilizator și scopul utilizării serviciului.

După cum puteți vedea, există multe metode de a efectua un atac, dar dacă aveți filtre adecvate care disting cererile false de cele reale și personal calificat, această probabilitate este redusă semnificativ.

Să ne dăm seama cum se face asta.

Determinarea DDos

În cele mai multe situații, este extrem de greu de observat un atac, chiar dacă este posibil, mai ales în primele ore.

Multe victime au observat invadarea cererilor false pe serverele lor la câteva zile după un atac reușit sau la câteva săptămâni după finalizarea acestuia, când victima a primit statistici sau o factură pentru sau o extindere semnificativă a canalului.

Pentru a depista o infracțiune în timp util, este necesar să cunoaștem exact tipul și algoritmul atacului, apoi le-am examinat, deși foarte pe scurt.

• Este puțin probabil ca un utilizator obișnuit să poată face ceva fără ajutorul unui specialist calificat în securitate.
• Astfel de oameni vă vor ajuta să efectuați câteva manipulări în setări pentru a respinge un atac. Mijloacele de identificare a acestora se împart în mai multe categorii:
• statistică – studiul activității utilizatorilor asupra unei resurse;

semnături – analiza calitativă a traficului de intrare și de ieșire;

combinație dintre primul și al doilea.

Și chiar și atunci, uneori vor reduce doar eficacitatea atacului. Închiderea găurilor în codul software este o măsură mai eficientă în lupta împotriva calculatoarelor zombi și a rețelelor botnet.

Și sub nicio formă nu trebuie să o lași pentru mai târziu.

Să ne dăm seama ce măsuri ar trebui luate la pornirea unui server, crearea unei rețele și configurarea software-ului pentru a evita rolul unei victime.

Câștigăm timp

În funcție de tipul de infracțiune, există diferiți algoritmi pentru prevenirea întreruperii serviciului.

• Pentru a preveni inundarea HTTP, creștem numărul de conexiuni simultane la baza de date, iar dacă atacul se dezvoltă, resetăm aceste conexiuni.
• ICMP flood – dezactivați răspunsurile la solicitările ICMP ECHO.
• UDP flood – dezactivăm și acest tip de solicitări sau limităm numărul lor permis.
• SYN flood – dacă este detectată prezența acestuia, reducem coada de conexiuni TCP pe jumătate deschise la 1-3.

Dacă aveți abilitățile corespunzătoare, aceste acțiuni vor reduce doar temporar eficiența eforturilor atacatorilor necesare pentru a contacta un furnizor de servicii de internet.

• Actualizarea în timp util a software-ului pe server și motorul site-ului.
• A avea un plan de răspuns la o situație de urgență.
• Luând în considerare probabilitatea de DDoS în etapa de scriere/comandare a codului programului și testarea amănunțită a acestuia.
• Lipsa accesului la interfața de administrare din rețeaua externă.
• Funcționarea testelor de penetrare și probleme critice OWASP Top 10 Vulnerabilitatea.
• Dacă securitatea hardware nu este disponibilă, furnizați un serviciu de securitate software la cerere, făcând ajustări la schema de rutare.
• Operarea rețelelor de livrare de conținut CDN.
• Acestea vă permit să distribuiți traficul între mai multe servere pentru a reduce timpii și a crește viteza de acces.
• Instalarea unui Web Application Firewall pe aplicațiile web, care va monitoriza traficul care vine pe site și va verifica autenticitatea acestuia, ceea ce este probabil să elimine cererile false.
• Nu folosim Apache.

Când utilizați Apache, instalați proxy-ul de cache nginx, dar nu vă va salva de Slowloris, cea mai periculoasă metodă DDoS. Este mai bine să rămâneți la un server HTTPS securizat.

Impactul asupra sursei problemei.

Deși în ultima perioadă au evoluat, și de aceea lupta împotriva unor astfel de programe devine din ce în ce mai dificilă.

Modulul monitorizează cererile de gunoi, deoarece corpul botului aproape niciodată (dar cazurile devin din ce în ce mai frecvente) nu conține un motor JavaScript. Acesta devine un filtru în cazul unui atac Layer 7.

Modulul verifică:

• Este botul cu adevărat browserul pe care pretinde că este:
• suportă de fapt JS;
• Știe să redirecționeze?

Există mai multe metode de verificare și toate folosesc cookie-uri, care în cea mai recentă versiune sunt și criptate folosind AES-128 dacă este necesar. Poate fi instalat și prin intermediul , pe care roboții nu îl acceptă.

Această din urmă caracteristică va bloca, de asemenea, mulți vizitatori care nu folosesc Flash, dar pe durata atacului, o mică pierdere de clienți nu este un preț atât de mare de plătit.

Instrumentul este gratuit și vine cu fișiere de configurare pentru diferite cazuri de utilizare.

Dezavantajele testcookie sunt următoarele:

• blochează toți roboții, inclusiv Googlebot (cel puțin în forma sa actuală), ceea ce face imposibilă utilizarea constantă a acestuia;
• oferă inconveniente utilizatorilor cu browsere de internet rare, cum ar fi Link-uri;
• nu va proteja împotriva roboților avansați care au .

Dezactivarea temporară a funcțiilor

Hackerii se concentrează în principal pe cele mai dificile părți ale site-ului (pentru resurse mari), cum ar fi căutarea încorporată. Dacă se folosește această metodă de vătămare, pur și simplu opriți căutarea pentru un timp.

Deși clienții vor simți unele inconveniente, cei mai mulți dintre ei se vor întoarce cu siguranță când problema va fi rezolvată. Mai mult, aceștia pot fi anunțați despre o problemă.

Localizare geografică

Motoarele moderne de site vă permit să filtrați utilizatorii în funcție de caracteristicile geografice.

Dacă mulți chinezi vă vizitează magazinul online sau portalul de știri ale orașului ultimele zile sau urmăriți, puteți încerca să le blocați accesul. Aceștia sunt probabil roboți.

Precizia determinării etichetelor geografice, interzicerea utilizatorilor și alte deficiențe reprezintă o plată temporară pentru funcționalitatea site-ului în viitor.

Depanator

Utilizarea profilelor Xdebug vă va permite să vedeți cele mai grele interogări.

Depanatorul integrat va identifica codul responsabil pentru acest lucru, iar mâinile pricepute și o minte limpede vor facilita interogările complexe ale bazelor de date dacă aceasta este problema.

Blocarea traficului suspect

Folosim un firewall sau liste ACL pentru a bloca traficul suspect.

Un astfel de software este capabil să blocheze accesul la site pentru anumite categorii de solicitări, dar nu poate separa traficul real de traficul „prost”.

Atacul DDoS invers

Dacă există suficientă putere și lățime de bandă, procesul de redirecționare a traficului de intrare de la serverul atacat înapoi la atacator poate fi efectuat.

Adesea, acest proces vă permite să opriți atacurile și chiar să încărcați serverul atacatorului înainte ca acesta să se prăbușească.

Servicii

Pentru o afacere, chiar și o perioadă de nefuncționare de o zi a unui site web aduce pierderi și prejudicii reputației proprietarului său.

În astfel de situații, investițiile financiare în funcționarea stabilă a resursei, de regulă, se plătesc cu dobândă.

Să facem cunoștință cu mai multe instrumente care pot opri orice atac în câteva minute.

Akamai

După achiziționarea Prolexic, care a lucrat în domeniul protecției DDoS, compania a devenit lider de piață în instrumente pentru găsirea vulnerabilităților resurselor web.

Combinația a două tehnologii oferă securitate garantată pentru orice site web.

O rețea largă de centre de date cu latență scăzută și absența necesității de a achiziționa echipamente suplimentare atrage nu numai clienți corporativi.

Arbor

Oferă protecție DDoS de înaltă calitate pentru centrele de date în software și hardware, iar toate echipamentele sunt instalate de specialiștii companiei la site-ul clientului.

Datorită serviciului de filtrare a traficului în cloud cu posibilitatea de a alege lățimea de bandă a rețelei/site-ului web, Arbor este una dintre cele mai populare soluții de pe piața rusă.

Particularitati:

• există soluții flexibile pentru toate cazurile;
• amplasarea unui mecanism de protecție fără achiziționarea de echipamente (de la distanță sau virtual);
• selecție mare de produse.

Cloudflare

Este distribuit în două pachete: de bază și pro, însă, pentru măsuri complexe de afaceri va trebui să achiziționați un pachet avansat care funcționează la trei (3,4,7) niveluri ale modelului de bază.

Printre avantaje: un preț fix pe toată perioada de funcționare, oricât de puternică ar fi invazia botului.

Particularitati:

• protecția de bază este gratuită pentru o perioadă scurtă de timp;
• o mulțime de caracteristici suplimentare;
• pret fix mic.

Radwarewww.radware.com/Products/DefensePro/

Dezvoltator de echipamente de rețea pentru protejarea site-urilor web și a altor resurse de rețea. Compania oferă, de asemenea, servicii de securitate a informațiilor, în primul rând împotriva DDoS. Instalațiile DefensePro sunt printre cele mai productive - peste 200 Mbit/s pentru un model de buget.

protejați împotriva forței brute și a botilor.

Prețul pentru servicii este mai mic de 20 USD, ceea ce face ca oferta să fie profitabilă pentru mulți utilizatori.

MYRA

Acesta este un serviciu german, așa că atunci când lucrați cu date va trebui să respectați legislația locală.

Acesta este un instrument automatizat pentru orice site web și aplicație care vă permite să întrerupeți un atac cu o capacitate mai mare de 1 Tb/s.

Qrator

Eficiența este pe primul loc.

Principalul avantaj este absența unui captcha atunci când protecția este declanșată, astfel încât clienții care vizitează resursa nu au de suferit, conversia rămâne la același nivel, iar prezența unui atac poate fi determinată doar prin loguri sau monitorizare.

Dezavantaje:

• posibilităților cont personal nici unul;
• WAF se achizitioneaza separat;
• preț ridicat și plată suplimentară pentru trafic;
• Dintre furnizorii CDN, doar Ngenix este acceptat.

MFI Soft

Singurul reprezentant intern care a reușit să se ridice la nivel mondial în dezvoltarea și producția de dispozitive pentru a oferi protecție împotriva DDoS.

Complexul hardware Perimeter cu software avansat este potrivit nu numai pentru utilizatorii obișnuiți și întreprinderile mici, ci și pentru furnizori.

Pentru securitatea infrastructurii rețelei corporative se folosește Scout - un instrument universal pentru analiza și căutarea amenințărilor la viteze de până la 1 Tb/s și filtrarea traficului cu un debit de puțin peste 600 Mb/s.

Modurile de viteză sunt, de asemenea, selectate datorită licenței, care vă permite să economisiți bani și să câștigați treptat avânt.

Lucrul cu instrumentele se realizează printr-o interfață web (într-un browser) și există o mulțime de instrumente pentru analizarea și vizualizarea rezultatelor și identificarea problemelor în timp util.

Lupta împotriva DDoS și eliminarea consecințelor sale este mult mai costisitoare decât pregătirea pentru probleme și planificarea acțiunilor ulterioare dacă apar.

DoS (din engleza Denial of Service - denial of service) este un atac asupra unui sistem informatic (de obicei comis de hackeri) cu scopul de a-l duce la eșec, adică de a crea condiții în care utilizatorii legitimi ai sistemului nu pot accesa resurse de sistem furnizate (servere), sau acest acces este dificil.

În prezent, atacurile DoS și DDoS sunt cele mai populare, deoarece permit aproape oricărui sistem să eșueze fără a lăsa dovezi semnificative din punct de vedere legal. Costul organizării unui atac este neglijabil. Un atac de 10 Gbit/s de o oră costă aproximativ 50 USD/euro și poate fi organizat de oricine vizitează un serviciu special de hackeri de pe Internet. Dacă un atac este efectuat simultan de la un număr mare de computere, se vorbește despre un atac DDoS (din atacul în limba engleză Distributed Denial of Service). ÎN conditii moderne Atacurile DDoS implică nu numai computere, ci și alte dispozitive de consum cu acces la Internet.

În primul rând, atacatorul scanează rețeaua folosind scripturi special pregătite care identifică nodurile potențial slabe. Nodurile selectate sunt atacate și atacatorul câștigă drepturi administrative asupra acestora. Programele troiene sunt instalate pe nodurile capturate și rulează în fundal. Acum aceste computere se numesc computere zombie: utilizatorii lor nici măcar nu bănuiesc că sunt potențiali participanți la un atac DDoS.

Apoi, atacatorul trimite anumite comenzi către computerele capturate, iar acestea, la rândul lor, efectuează un puternic atac DoS asupra serviciului de Internet țintă. În unele cazuri, un atac DDoS real este cauzat de o acțiune neintenționată, de exemplu, plasarea pe o resursă populară de Internet a unui link către un site situat pe un server nu foarte productiv (efect slashdot). Un aflux mare de utilizatori duce la depășirea sarcinii permise pe server și, în consecință, la refuzul serviciului unora dintre ei.

După metoda de influență se disting:

Atacurile DDoS la nivel de rețea (L3-4), care limitează funcționarea echipamentelor server sau perturbă funcționarea software-ului din cauza vulnerabilităților protocolului.

Atacurile DDoS la nivel de aplicație (L7), care atacă punctele „slabe” ale unui site de Internet, acționează într-o manieră țintită, se caracterizează printr-un consum minim de resurse, predomină în număr și necesită un „antidot” complex și costisitor.