-=Мощный DDoS service/ДДоС сервис=-. Ддос сайта


DDoS великий и ужасный / Блог компании ua-hosting.company / Хабр

Знаете ли Вы, что по данным исследований, проведённых Arbor Networks, Verisign Inc. и некоторыми другими компаниями:
  • ежедневно наблюдается порядка 2000 DDoS атак;
  • атака, способная «положить» небольшую компанию на неделю, стоит всего $150;
  • около 2/3 участников исследований (63%) страдали хотя бы раз от DDoS в течение года;
  • помимо прямых убытков и потери лояльности пользователей, атаки также влияют на продуктивность работы персонала;
  • 11% респондентов были под атакой шесть и более раз за год;
  • среди тех, кто за последние 12 месяцев был под атакой, 46% лежали более 5 часов, а 23% — более 12 часов;
  • примерно треть всех случаев даунтайма у респондентов вызваны DDoS атаками.
Каким бывает DDoS, можно ли с ним бороться и как можно предостеречься? Об этом я вкратце поведаю в данной статье.

Какой ты, DDoS?
Все DDoS атаки можно разделить на три обширные группы:
  • объёмные;
  • атаки на уровне протоколов;
  • атаки на уровне приложений.
Подробнее отдельные виды атак будут рассмотрены ниже, а пока — небольшой обзор групп.
Атаки, направленные на объём
Данная категория атак направлена на насыщение полосы пропускания, соответственно, сила атаки измеряется в битах в секунду. К этой категории разносятся различные виды флудов: UDP, ICMP и прочие потоки сфальсифицированных пакетов. Сила атаки растёт с каждым годом, и если в далёком 2002 году 400 Мбит/с казалось чем-то из ряда вон выходящим, то сейчас отдельные атаки превышают 100 Гбит/с и способны «сдуть» некоторые «карманные» дата-центры.

Пожалуй, единственный способ борьбы с такими атаками — фильтрация на уровне дата-центра (если он предоставляет такую услугу) или специализированных сервисов защиты. Они обладают достаточными канальными мощностями и вычислительными ресурсами, чтобы поглотить объём и передать на сервер пользователя уже отфильтрованный трафик. Для «выщипывания» остатков паразитного трафика можно также применить средства аппаратной защиты.

Атаки на уровне протоколов
Эта категория направлена на ограничения оборудования или уязвимости различных протоколов. Такие атаки забивают ресурсы сервера либо промежуточного оборудования (фаерволы, балансировщики нагрузки и т.п.) паразитными пакетами, в результате чего системы оказываются неспособны обрабатывать полезные. Сила атаки измеряется в пакетах в секунду. К этой категории относятся SYN флуд, «пинг смерти», атаки с фрагментированными пакетами и другие.

На этом уровне аппаратная защита становится ощутимо эффективнее. Специально разработанные производителями таких устройств алгоритмы помогают отсортировать и отфильтровать трафик. Естественно, любые алгоритмы несовершенны, и какая-то часть паразитного трафика всё-таки прорвётся к Вам, а какая-то часть полезного может быть утеряна. Сторонние сервисы фильтрации также могут быть вполне эффективны.

Атаки на уровне приложений
Как можно понять из названия, атаки направлены на уязвимости в приложениях и операционных системах (Apache, Windows, OpenBSD и т.п.). Они приводят к неработоспособности какого-либо приложения или ОС в целом. Среди таких атак: Slowloris, атаки нулевого дня и прочие. Как правило, состоящие из вполне невинных свиду запросов, такие атаки «ложат» веб-сервер. Интенсивность измеряется в запросах в секунду.

Данный тип атак наиболее «убийственный». Они чрезвычайно узко направлены, благодаря чему могут создать весьма серьёзные проблемы атакуемому при малых затратах ресурсов атакующего. За последние 3-4 года данный тип атак становится преобладающим, и простой флуд HTTP GET запросов является одним из наиболее распространённых видов.

К арсеналу борьбы с этой категорией атак, помимо упомянутых выше внешних сервисов и аппаратной защиты, можно также добавить встроенные программные алгоритмы, анализирующие запросы и создающие правила для фаервола по результатам такого анализа.

Немного подробнее
Существует немало видов DDoS атак, у каждой свой почерк и способы преодоления. Не все атаки можно ослабить или побороть. Иногда даже нет смысла пытаться, и проще переждать, грустно подсчитывая убытки. Изложить подробно механизмы противостояния каждому типу невозможно, об этом можно писать книги и защищать диссертации. Однако попробую представить описания сути наиболее распространённых видов атак и базовые принципы противодействия им.

UDP флуд
Этот вид атак использует простейший UDP протокол. Его характерные особенности — отсутствие необходимости в установлении сессии и отправки какого-либо ответа. На случайные порты хост-машины приходит бесчисленное количество пакетов, принуждая постоянно проверять, слушает ли данный порт какое-то приложение, и в случае ошибки возвращать пакет «ICMP Destination Unreachable». Естественно, такая активность поглощает ресурсы хост-машины, приводя к её недоступности. Один из простейших способов хотя бы частично защититься от данной проблемы — блокировка UDP трафика (если Ваше приложение его не требует, конечно). Для борьбы с более масштабными атаками подойдут аппаратные средства защиты и фильтрующие сети.
ICMP флуд
Схож с UDP флудом. На хост-машину с максимальной частотой посылаются ping-запросы, принуждающие её давать эхо-ответы. Невинный инструмент проверки доступности сетевого узла становится злобным пожирателем системных ресурсов. Именно поэтому некоторые системные администраторы напрочь блокируют ICMP запросы на уровне фаервола. Сервер или любое другое сетевое оборудование будет вполне доступным, но пропинговать его Вы не сможете.
SYN флуд
В этом виде атак используется один из базовых принципов, заложенных в протокол TCP — принцип «тройного рукопожатия». Машина, инициирующая соединение, отправляет хост-машине SYN пакет. Хост отвечает пакетом SYN-ACK, на что машина-инициатор должна ответить ACK пакетом. В случае SYN флуда ACK пакет не отправляется, в результате чего соединение некоторое время висит открытым и закрывается по тайм-ауту. Так как количество подключений, которые одновременно могут поддерживаться хост-машиной открытыми, ограничено, рано или поздно наступает насыщение, приводящее к отказу в обработке полезных пакетов.
MAC флуд
Весьма экзотический тип атаки, направленный в основном на сетевое оборудование. Атакующая сторона отправляет пустые Ethernet пакеты с разными MAC адресами. Свитч рассматривает такие пакеты как отдельные, и резервирует под каждый из них некое количество ресурсов. Насыщение ресурсов может привести к тому, что свитч перестанет отвечать на запросы, а в отдельных случаях — к полному сбою таблицы маршрутизации.
Пинг смерти
У этого вида разные имена: Ping of Death (пинг смерти), Teardrop (слезинка) и некоторые другие. На сегодняшний день он уже не является такой уж серьёзной угрозой, но в прежние времена всё было несколько иначе. Максимальный размер IP пакета — 65535 байт. Однако в процессе передачи по сети пакет дробится на части, соответствующие размеру окна. В результате манипуляций с получившимися субпакетами можно добиться, что при обратной «сборке» получится пакет, превышающий максимальный размер. Это может привести к переполнению выделенного буфера памяти и отказу в обслуживании для других пакетов.
Slowloris
Особо изощрённый и узко специализированный тип атаки, позволяющий относительно малыми ресурсами (достаточно одного сервера) положить веб-сервер, не затронув другие протоколы. Атакующий сервер пытается открыть как можно больше HTTP соединений и держать их как можно дольше, понемногу отправляя частичные запросы. Лимит одновременных подключений на атакуемом сервере весьма быстро заканчивается, и он перестаёт принимать полезные запросы. Лечится отлавливанием и блокировкой таких затягивающихся соединений.
Отражённые атаки
В данном типе пакеты с фальсифицированными IP отправителя рассылаются максимально возможному количеству машин. Ответы машин стекаются на IP жертвы, перегружая её сервер. Один из распространённых примеров — использование неверно настроенных DNS-серверов. DNS-серверам отправляются небольшие запросы якобы от IP жертвы. Размер ответа сервера в среднем в 10 раз превышает размер запроса. Таким образом, атакующий сервер, рассылающий 100 Мбит/с ложных запросов, может обрушить на атакуемый порядка гигабита паразитного трафика.
Деградация сервиса
Основная суть данного типа — множественная симуляция действий реальной аудитории. Самый примитивный вариант — частые запросы одной и той же страницы сайта. Лечится временной блокировкой страницы с отдачей сообщения об ошибке. Более сложные атакующие системы будут случайным образом ходить по Вашему сайту, запрашивать не только html документ, но и все сопутствующие картинки, скрипты и файлы стилей. В результате зомби-компьютеры будут истощать ресурсы сервера и приводить к деградации (или, по-простонародному, «тормозам»).

Общий принцип борьбы — поведенческий анализ и отсеивание подозрительных IP на уровне фаервола. Например, повышенная частота запросов, повтор маршрутов продвижения по сайту разными IP или запрос исключительно html документов выглядят подозрительными и свидетельствуют в пользу необходимости блокировки таких IP. Однако чем более сложный алгоритм заложен в атакующую программу, тем сложнее выявить паразитный трафик и тем больше ложноположительных срабатываний, блокирующих доступ к ресурсу реальным пользователям. Не все захотят с этим мириться.

Неумышленный DDoS
Собственно, это нельзя назвать атакой. Этот вид DDoS-а происходит, когда ссылка на какой-то сайт попадает, например, в топовый новостной ресурс или популярный блог, вызывая резкий рост посещаемости, к которому сайт оказывается не готов. Широко известным в узких кругах примером является хабраэффект. Бороться с этим не нужно, скорее нужно радоваться, что Ваш сайт растёт. Ну, и пора задуматься об апгрейде.
Атака нулевого дня
К этому типу относят атаки, которые фиксируются впервые. Как и в случае с новыми вирусами, новыми бактериями и новыми паразитами, понадобится время, чтобы проанализировать атаку и подобрать эффективное лекарство.
Многовекторные атаки
Наиболее сложный вид атак. Атакующая сторона использует несколько разных типов и инструментов атаки, что существенно усложняет или даже делает невозможным идентификацию составляющих и подбор средств борьбы.
Насколько это доступно?
Безмерно доступно. На сегодняшний день существует немало свободно доступных в интернете приложений для проведения DDoS атак. Некоторые из них используют механизмы атак, которым сложно противодействовать, другие позволяют объединить всех пользователей в добровольный ботнет, что даёт возможность пользоваться чужими ресурсами для проведения атак и раздавать взамен свои. При этом таким на первый взгляд аматорским атакам бывает сложно противостоять даже хорошо подготовленным коммерческим системам.

Другой способ — аренда ресурсов ботнета. Интернет полон ресурсов, предоставляющих подобные услуги по весьма символическим ценам: от $5 за час, от $40 за сутки. За такие, можно сказать, смешные деньги запросто можно «заказать» своих конкурентов по электронной коммерции и принести им намного более существенные убытки.

Зачем это нужно?
Думаю, ответ известен всем. Чаще всего причиной служит недобросовестная конкуренция. Спектр атакуемых сайтов и ресурсов чрезвычайно широк. На сегодняшний день это не только финансовые учреждения, игровые сайты и интернет-магазины, зафиксированы случаи атак даже на правительственные сайты и службы доставки пиццы.

Широкая доступность инструментов для атак постепенно переводит их из разряда сугубо оружия экономической борьбы к более широкому применению, вплоть до идеологической борьбы, народного протеста, мести обиженного клиента неугодному сервису и банального интернет-вандализма. Лично мне пока верится слабо, но некоторые отчёты утверждают, что в последние годы именно идеологический хактивизм и интернет-вандализм возглавляют список, отодвинув конкурентную борьбу на более низкие позиции.

Как с этим жить?
Мы совместно с нашими клиентами неоднократно сталкивались с проблемой DDoS разного типа и масштаба. Некоторые атаки лечились грамотной настройкой фаервола на сервере, другие же требовали аппаратной или внешней фильтрации. Бывало, что дата-центр просто нульрутил IP, т.к. входящий объём трафика внезапно превышал входящий канал не только сервера, но и всего шкафа в целом. Являясь провайдером услуг по аренде серверов, мы проповедуем политику, согласно которой пользователь и только он — главная заинтересованная в сохранности и доступности данных сторона. Таким образом, резервное копирование, своевременное устранение программных брешей в безопасности и наличие договорённости с сервисом защиты от DDoS — святые обязанности любого переживающего за свой проект человека.

Однако мы с удовольствием поделимся некоторыми полезными на наш взгляд рекомендациями. Если Ваш проект относится к тем категориям ресурсов, которые чаще всего оказываются под атакой, Вам стоит своевременно задуматься о нескольких простых и очевидных, но нередко игнорируемых шагах, которые помогут если не уберечься от атак, то хотя бы снизить их отрицательное влияние.

Изучите свою сеть. У любого сервиса есть некоторые характерные черты использования сети: типы и объём трафика, суточная кривая и т.п. Например, сайтам для взрослых характерен плавный рост трафика в вечернее время с постепенным спадом за полночь, плюс небольшой пик во время обеденного перерыва. Не поленитесь изучить стандартные характеристики и регулярно отслеживать текущую картину. Атаки редко приходят как по щелчку рубильника, чаще они приходят, как волна. Начинается всё с небольшого подъёма активности, который вскоре начинает активно нарастать. Если Вы сможете отловить начало волны, у Вас появится шанс заранее принять меры.

Знайте, с кем связаться. Вы должны чётко знать, к кому обратиться в случае, если Вы уже под атакой либо чувствуете её приближение. Это может быть внутренний отдел безопасности, удалённый сотрудник, инженер дата-центра, сервис сопровождения по вопросам безопасности и т.п. Лопатить поисковые результаты, читать наспех отзывы, обзванивать или списываться с представителями различных сервисов — это последнее, что Вам нужно, когда беда уже пришла. Пока Вы выберете исполнителя, атака может уже рассосаться сама по себе, а вопрос наличия гарантированного контакта помощи опять будет отложен до очередной критической ситуации. И так до бесконечности .Проработайте план действий. Несмотря на всю характерную славянской душе спонтанность, критичные бизнес-процессы нужно по возможности стандартизировать и документировать. Наличие контакта «службы спасения» — это немаловажно, но Ваши сотрудники должны знать, как с ней корректно и оптимально взаимодействовать. Если в проекте участвуют два-три человека, можно просто проговорить последовательность действий на словах. Но если у Вас достаточно большой штат, есть круглосуточные дежурные сетевики, лучше всего, чтобы краткая пошаговая инструкция была прописана на бумаге и висела рядом с планом эвакуации при пожаре. В момент атаки на смене может оказаться сотрудник с малой квалификацией или без практического опыта решения такой проблемы, и важно, чтобы у него не возникало необходимости много думать и искать решение.

Проводите «учебные тревоги». Особенно этот пункт актуален, если у Вас достаточно крупное и критическое приложение. На заводах (и не только) периодически проводят проверочные эвакуации в случае пожара или какого-либо другого стихийного бедствия. DDoS — это тоже своего рода стихийное бедствие. Почему бы не устраивать периодические проверки навыков оперативной обработки критических ситуаций? Это позволит закрепить навыки и выявить слабые места в процедурах. С поправкой на наш менталитет — необходимо также правильно подать эти тренировки сотрудникам, чтобы это не воспринималось, как «очередная корпоративная дуристика».

Знайте, что блокировать. Любой сервис обладает определённым набором основных портов, необходимых для его работы. Заблаговременно заблокируйте на фаерволе всё лишнее. Это позволит сузить поле для атаки. Если у Вас есть определённый список ключевых клиентов, позаботьтесь о добавлении их адресов в предопределённый белый список, чтобы в случае атаки не резать их запросы.

Знайте, где блокировать. Блокировать трафик на фаерволе или на роутере? Подключать аппаратный DDoS или внешний сервис фильтрации трафика? Если Вы предпочли не отдавать обеспечение защиты полностью на откуп сторонним сервисам, а проводить базовую диагностику и решать хотя бы часть проблем самостоятельно, не забудьте в плане ликвидации прописать диагностические процедуры и правила действий в тех или иных ситуациях. Это позволит избавиться от метода проб и ошибок тогда, когда на него совершенно нет времени.

Как я уже говорил, эти шаги не станут панацеей, но помогут свести к минимуму простой и убытки. Буду признателен за любые дополнения и рекомендации из личной практики.

Чистого Вам канала.

habr.com

-=Мощный DDoS service/ДДоС сервис=- | xaker.name

-=Мощный DDoS service/ДДоС сервис=-DDOS[​IMG][​IMG]WELCOME!Доброго времени суток!

Предлагаем Вашему вниманию услуги по устранению сайтов и серверов конкурентов при помощи DDOS атаки.У нас наилучшее соотношение цены и качества на рынке DDOS услуг. Цены от 50$ в сутки и выше, в зависимости от сложности ресурса и сроков заказа. Делаем бесплатный тест в течении 5-10 минут.

Наш сервис предоставит Вам:• Качественную DDoS-атаку на любой ресурс• Положительные отзывы/проверки на различных площадках (в том числе и приватных)• Тест в течении 15 минут и консультацию• Полную анонимность клиента• Атака на IP пользователя, на IP сервера, на ФТП, на Веб-сайты и тд.• Большой опыт работы в данной сфере• Мы возвращаем деньги, если условия заказа не выполнены• Оптовым заказчикам индивидуальные условияИ тд.

Типы атак:http/https/icmp/post/syn/udp/dns/get/icmp/download

Пройденные проверки:k0d.ccfuckav.ruhacklife.ushacker-attack.ruyouxakep.ruhackzone.rukidal.orgvulnes.comproxy-base.org +отзыв от администрации.zloy.bz9caratt.rufsell.bzТакже проверки пройдены на приват площадках.

Отзывы:hackzone.ruzloy.bz

ICQ: 630207088Jabber: [email protected]

Пишите, всем ответим, также пройдем проверки!

Теги для google:заказать ddos атаку, заказать ддос, ddos service, ddos сервера, ddos услуги, атака нa сервер, атака на сайт, massive ddos attack, убить сервер, мощная DDoS-атака, вывести сайт из строя, ддос сайта, нужен ддос, как навредить сайту, как удалить сайт, остановить работу сайта, отключить сайт конкурента, как завалить сайт, ddos атака, как убить сайт, need to ddos site, как устранить сайт конкурента, как убрать сайт конкурента, ddos атака на заказ, хакерская атака.​

xaker.name

Шесть мифов о DDoS и один взгляд изнутри

Все чаще в официальных сообщениях хостинг-провайдеров то тут, то там мелькают упоминания об отраженных DDoS-атаках. Все чаще пользователи, обнаружив недоступность своего сайта, с ходу предполагают именно DDoS. И действительно, в начале марта Рунет пережил целую волну таких атак. При этом эксперты уверяют, что веселье только начинается. Обойти вниманием явление столь актуальное, грозное и интригующее просто не получается. Так что сегодня поговорим о мифах и фактах о DDoS. С точки зрения хостинг-провайдера, разумеется.

dc78b80658eb

Памятный день

20 ноября 2013 года впервые за 8-летнюю историю нашей компании вся техническая площадка оказалась недоступна на несколько часов по причине беспрецедентной DDoS-атаки.  Пострадали десятки тысяч наших клиентов по всей России и в СНГ, не говоря уже о нас самих и нашем интернете-провайдере. Последнее, что успел зафиксировать провайдер, прежде чем белый свет померк для всех — что его входные каналы забиты входящим трафиком наглухо. Чтобы представить это наглядно, вообразите себе вашу ванну с обычным сливом, в которую  устремился Ниагарский водопад.

Даже вышестоящие в цепочке провайдеры ощутили отголоски этого цунами. Графики ниже наглядно иллюстрируют, что происходило в тот день с интернет-трафиком в Петербурге и в России. Обратите внимание на крутые пики в 15 и 18 часов, как раз в те моменты, когда мы фиксировали атаки. На эти внезапные плюс 500-700 Гб.

upx9jEMIEwk

Источник: dataix.ru

Несколько часов ушло на то, чтобы локализовать атаку. Был вычислен сервер, на который она велась. Затем была вычислена и цель интернет-террористов. Знаете, по кому била вся эта вражеская артиллерия? По одному весьма обычному, скромному клиентскому сайту.

Миф номер один: «Объект атаки — всегда хостинг-провайдер. Это происки его конкурентов. Не моих.» На самом деле, наиболее вероятная мишень  интернет-террористов — обычный клиентский сайт. То есть сайт одного из ваших соседей по хостингу.  А может быть, и ваш. 

 

Не все то DDoS…

После событий на нашей техплощадке 20 ноября 2013 и их частичного повторения 9 января 2014 некоторые пользователи стали предполагать DDoS в любом частном сбое работы собственного сайта: «Это DDoS!» и «У вас опять DDoS?»

ddos1

Важно помнить, что если нас постигает такой DDoS, что его ощущают даже клиенты, мы сразу сами сообщаем об этом.

Хотим успокоить тех, кто спешит поддаваться панике: если с вашим  сайтом что-то не так, то вероятность того, что это именно DDoS, составляет меньше 1%. Просто в силу того, что с сайтом очень много чего может случиться и это «много что» случается гораздо чаще. О методах самостоятельной быстрой диагностики, что именно происходит с вашим сайтом, мы поговорим в одном из следующих постов.

А пока — ради точности словоупотребления — проясним термины.

О терминах

DoS-атака (от английского Denial of Service) — это атака, призванная добиться отказа сервера в обслуживании по причине его перегрузки.

DoS-атаки не связаны с вредом для оборудования или хищением информации; их цель — сделать так, чтобы сервер перестал отвечать на запросы.  Принципиальное отличие DoS в том, что атака происходит с одной машины на другую. Участников ровно два.

Но в действительности мы практически не наблюдаем DoS-атак. Почему? Потому что объектами атак чаще всего выступают промышленные объекты (например, мощные производительные серверы хостинг-компаний). А чтобы причинить сколь-нибудь заметный вред работе такой машины, нужны гораздо бОльшие мощности, чем ее собственные. Это во-первых. А во-вторых, инициатора DoS-атаки достаточно легко вычислить.

DDoS — по сути, то же самое, что и DoS, только атака носит распределенный характер. Не пять, не десять, не двадцать, а сотни и тысячи компьютеров обращаются к одному серверу одновременно из разных мест.  Такая армия машин называется ботнетом. Вычислить заказчика и организатора практически невозможно.

Соучастники

Что за компьютеры включаются в ботнет?

Вы удивитесь, но зачастую это самые обычные домашние машины. Who knows?.. — вполне возможно, ваш домашний компьютер увлечен на сторону зла.

Нужно для этого немного. Злоумышленник находит уязвимость в популярной операционной системе или приложении и с ее помощью заражает ваш компьютер трояном, который в определенный день и час дает вашему компьютеру команду начать совершать определенные действия. Например, отправлять запросы на определенный IP. Без вашего ведома и участия, конечно.

Миф номер два: «DDoS делается где-то вдалеке от меня, в специальном подземном бункере, где сидят бородатые хакеры с красными глазами.» На самом деле, сами того не ведая, вы, ваши друзья и соседи — кто угодно может быть невольным соучастником.

 

Это действительно происходит. Даже если вы об этом не думаете. Даже если вы страшно далеки от ИТ (особенно если вы далеки от ИТ!).

Занимательное хакерство или механика DDoS

Явление DDoS неоднородно. Это понятие объединяет множество вариантов действий, которые приводят к одному результату (отказу в обслуживании). Рассмотрим варианты неприятностей, которые могут преподнести нам DDoS’еры.

Перерасход вычислительных ресурсов сервера

Делается это путем отправки на определенный IP пакетов, обработка которых требует большого количества ресурсов. Например, для загрузки какой-то страницы требуется выполнить большое число SQL-запросов. Все атакующие будут запрашивать именно эту страницу, что вызовет перегрузку сервера и отказ в обслуживании для обычных, легитимных посетителей сайта.Это атака уровня школьника, посвятившего пару вечеров чтению журнала «Хакер». Она не является проблемой. Один и тот же запрашиваемый URL вычисляется моментально, после чего обращение к нему блокируется на уровне вебсервера. И это только один из вариантов решения.

Перегрузка каналов связи до сервера (на выход)

Уровень сложности этой атаки примерно такой же, что и у предыдущей. Злоумышленник вычисляет самую тяжелую страницу на сайте, и подконтрольный ему ботнет массово начинает запрашивать именно ее.

vinipuhПредставьте себе, что невидимая нам часть Винни-Пуха бесконечно велика В этом случае также очень легко понять, чем именно забивается исходящий канал, и запретить обращение к этой странице. Однотипные запросы легко увидеть с помощью специальных утилит, которые позволяют посмотреть на сетевой интерфейс и проанализировать трафик. Затем пишется правило для Firewall, которое блокирует такие запросы. Все это делается регулярно, автоматически и так молниеносно, что большинство пользователей ни о какой атаке даже не подозревает. 

Миф номер три: «Атаки на мой хостинг просходят редко часто, и я их всегда замечаю.» На самом деле, 99,9% атак вы не видите и не ощущаете. Но ежедневная борьба с ними — это будничная, рутинная работа хостинговой компании. Такова наша реальность, в которой атака стоит дешево, конкуренция зашкаливает, а разборчивость в методах борьбы за место под солнцем демонстрируют далеко не все. 

Перегрузка каналов связи до сервера (на вход)

Это уже задачка для тех, кто читал журнал «Хакер» больше, чем один день.

Фото с сайта радио «Эхо Москвы». Не нашли ничего более наглядного, чтобы представить DDoS c перегрузкой каналов на вход. Чтобы забить канал входящим трафиком до отказа, нужно иметь ботнет, мощность которого позволяет генерировать нужное количество трафика. Но может быть, есть способ отдать мало трафика, а получить много?

Есть, и не один. Вариантов усиления атаки много, но один из самых популярных прямо сейчас — атака через публичные DNS-серверы. Специалисты называют этот метод усиления DNS-амплификацией (на случай, если кому-то больше по душе экспертные термины). А если проще, то представьте себе лавину: чтобы сорвать ее, достаточно небольшого усилия, а чтобы остановить — нечеловеческие ресурсы.

Мы с вами знаем, что публичный DNS-сервер по запросу сообщает любому желающему данные о любом доменном имени. Например, мы спрашиваем такой сервер: расскажи мне о домене sprinthost.ru. И он, ничтоже сумняшеся, вываливает нам все, что знает.

Запрос к DNS-серверу — очень простая операция. Обратиться к нему почти ничего не стоит, запрос будет микроскопическим. Например, вот таким:

Снимок

Остается только выбрать доменное имя, информация о котором будет составлять внушительный пакет данных. Так исходные 35 байт легким движением руки превращаются в почти 3700. Налицо усиление более чем в 10 раз.

Untitled1

Но как сделать так, чтобы ответ направлялся на нужный IP? Как подделать IP источника запроса, чтобы DNS-сервер выдавал свои ответы в направлении жертвы, которая никаких данных не запрашивала?

Дело в том, что DNS-серверы работают по протоколу обмена данными UDP, которому вовсе не требуется подтверждения источника запроса. Подделать исходящий IP в этом случае не составляет для досера большого труда. Вот почему такой тип атак сейчас так популярен.

Самое главное: для реализации такой атаки достаточно совсем небольшого ботнета. И нескольких разрозненных публичных DNS, которые не увидят ничего странного в том, что разные пользователи время от времени запрашивают данные в адрес одного хоста. И уже только потом весь этот трафик сольется в один поток и заколотит наглухо одну «трубу».

Чего досер не может знать, так это емкости каналов атакуемого. И если он не рассчитает мощность своей атаки верно и не забьет канал до сервера сразу на 100%, атака может быть достаточно быстро и несложно отбита. С помощью утилит типа TCPdump легко выяснить, что входящий трафик прилетает от DNS, и на уровне Firewall запретить его принимать. Этот вариант — отказ принимать трафик от DNS — сопряжен с определенным неудобством для всех, однако и серверы, и сайты на них при этом будут продолжать успешно работать.

Это лишь один вариант усиления атаки из множества возможных. Есть и масса других типов атак, о них мы сможем поговорить в другой раз. А пока хочется резюмировать, что все вышесказанное справедливо для атаки, чья мощность не превышает ширины канала до сервера.

 Если атака мощная

В случае, если мощность атаки превосходит емкость канала до сервера, происходит следующее. Моментально забивается интернет-канал до сервера, затем до площадки хостинга, до ее интернет-провайдера, до вышестоящего провайдера, и так дальше и выше по нарастающей (в перспективе — до самых абсурдных пределов), насколько хватит мощности атаки.

И вот тогда это становится глобальной проблемой для всех.  И если вкратце, это то, с чем нам пришлось иметь дело 20 ноября 2013 года. А когда происходят масштабные потрясения, время включать особую магию!

4638_7f6eПримерно так выглядит особая магияС помощью этой магии удается вычислить сервер, на который нацелен трафик, и заблокировать его IP на уровне интернет-провайдера. Так, чтобы он перестал принимать по своим каналам связи с внешним миром (аплинкам) какие-либо обращения к этому IP. Любителям терминов: эту процедуру специалисты называют «заблэкхолить», от английского blackhole.

При этом атакованный сервер c 500-1500 аккаунтами остается без своего IP. Для него выделяется новая подсеть IP-адресов, по которым случайным образом равномерно распределяются клиентские аккаунты. Далее специалисты ждут повторения атаки. Она практически всегда повторяется.

А когда она повторяется, на атакуемом IP уже не 500-1000 аккаунтов, а какой-нибудь десяток-другой.

Круг подозреваемых сужается. Эти 10-20 аккаунтов снова разносятся по разным IP-адресам. И снова инженеры в засаде ждут повторения атаки. Снова и снова разносят оставшиеся под подозрением аккаунты по разным IP и так, постепенным приближением, вычисляют объект атаки. Все остальные аккаунты к этому моменту возвращаются к нормальной работе на прежнем IP.

Как понятно, это не моментальная процедура, она требует времени на реализацию.

Миф номер четыре: «Когда происходит масштабная атака, у моего хостера нет плана действий. Он просто ждет, закрыв глаза, когда же бомбардировка закончится, и отвечает на мои письма однотипными отписками». Это не так: в случае атаки хостинг-провайдер действует по плану, чтобы как можно скорее локализовать ее и устранить последствия. А однотипные письма позволяют донести суть происходящего и при этом экономят ресурсы, необходимые для максимально быстрой отработки внештатной ситуации. 

 Есть ли свет в конце тоннеля?

 

Сейчас мы видим, что DDoS-активность постоянно возрастает. Заказать атаку стало очень доступно и безобразно недорого. Дабы избежать обвинений в пропаганде, пруфлинков не будет. Но поверьте нам на слово, это так.

Миф номер пять: «DDoS-атака — очень дорогое мероприятие, и позволить себе заказать такую могут только воротилы бизнеса. В крайнем случае, это происки секретных служб!» На самом деле, подобные мероприятия стали крайне доступны.

 

Поэтому ожидать, что вредоносная активность сойдет на нет сама собой, не приходится. Скорее, она будет только усиливаться. Остается только ковать и точить оружие. Чем мы и занимаемся, совершенствуя сетевую инфраструктуру.

Правовая сторона вопроса

Это совсем непопулярный аспект обсуждения DDoS-атак, так как мы редко слышим о случаях поимки и наказания зачинщиков. Однако следует помнить: DDoS-атака — это уголовно наказуемое преступление. В большинстве стран мира, и в том числе в РФ. 

Миф номер шесть: «Теперь я знаю про DDoS достаточно, закажу-ка праздник для конкурента  — и ничего мне за это не будет!»  Не исключено, что будет. И если будет, то мало не покажется.  

Кейс для интересующихся по ссылкам: 

В общем, заниматься порочной практикой DDoS никому не советуем, чтобы не навлечь гнев правосудия и не погнуть себе карму. А мы в силу специфики деятельности и живого исследовательского интереса продолжаем изучать проблему, стоять на страже и совершенствовать оборонительные сооружения.

PS: у нас не находится достаточно теплых слов, чтобы выразить всю нашу признательность, поэтому мы просто говорим «Спасибо!» нашим терпеливым клиентам, которые горячо поддержали нас в трудный день 20 ноября 2013 года. Вы сказали много ободряющих слов в нашу поддержку в Твиттере, Вконтакте, в Фейсбуке, по телефону, в чате и по почте. В разгар сражения эта поддержка была невероятно важна для нас. Спасибо вам за ваше доверие и терпение, и за то, что вы с нами!

 

blog.sprinthost.ru

Как защититься от DDoS-атак | firstvds.ru

Прочитайте: типы DDoS-атак и уровни модели OSI

Что такое DDoS-атака?

DDoS (Distributed Denial of Service) — распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов. Злоумышленник заражает компьютеры ни о чем не подозревающих пользователей Интернета. Такие «зомби» и отправляют бессмысленные запросы на сервер жертвы.

Четко спланированная атака может вывести из строя практически любой незащищенный ресурс: от сайта-визитки до крупного корпоративного портала. Обрабатывая миллионы запросов, сервер сначала «тормозит», а после и вовсе прекращает работать. При атаке на VDS страдают все пользователи физического сервера, так как у всех VDS общий канал связи. При этом дата-центр тоже испытывает огромную нагрузку на сетевые каналы, ведь он пропускает через себя весь паразитный трафик.

Почему мой сайт «ддосят»?

DDoS-атаку можно относительно легко купить на черном рынке и направить на любой сетевой ресурс, который вам чем-либо не угодил.

Не секрет, что чаще всего атаке подвергаются сайты, созданные для того, чтобы зарабатывать деньги. Для интернет-магазина простой в несколько часов — убытки из-за полного отсутствия заказов и прибыли.

Во время рекламной акции, или после того, как вы анонсировали новый продукт, на ваш сайт может обрушиться DDoS-атака. Чаще всего такие атаки — происки конкурентов. Возможны атаки «из мести», из идеологических соображений. Иногда хакеры таким образом вымогают деньги, но это редкие случаи.

Кто виноват?

Сервер «лежит», жертва несет убытки. К сожалению, имена заказчиков DDoS-атаки хостинг-провайдер сообщить не сможет — выяснить их практически невозможно.

Что делать, если мой сайт подвергся DDoS-атаке?

Атаки принципиально отличаются по уровню и способу борьбы с ними:

  • Низкоуровневые — на транспортном и сетевом уровнях (3-4 уровень модели OSI). Такие атаки используют несовершенство применяемой сетевой архитектуры. Самый надежный способ защититься от них — подключить услугу защиты от DDoS. Сервер будет в строю в течение часа-двух.
  • Высокоуровневые — на уровнях 5-7 модели OSI. Такие атаки эмулируют действия обычных пользователей сайта (например, множественные запросы страниц сайта). Отследить и оберечься от таких атак сложнее, обычно требуется специальная настройка сервера. Подробная инструкция для защиты от DDoS.

Если ничего не предпринимать, то обычно атаки прекращаются самостоятельно через сутки-двое.

Подробнее о типах атак

Действия хостинга при DDoS-атаке на клиента

Наша система мониторинга быстро обнаруживает атаку и автоматически отключает IP-адрес сервера, на который идёт атака. Отключение происходит на 24 часа, чтобы предотвратить негативное влияние атаки на других клиентов. При определении атаки учитывается количество и размер пакетов, а также объем входящего трафика.

Если на VDS случилась атака, то вам придет письмо с темой «Ваш VDS заблокирован». В нем вы найдете список IP-адресов, с которых идет наибольшее число пакетов.

Получить доступ к серверу можно, подключив к нему дополнительный IP-адрес через личный кабинет (BILLmanager). Для сервера с виртуализацией OpenVZ этого будет достаточно, чтобы подключиться к серверу по FTP или SSH. Для KVM-сервера необходимо обратиться в поддержку с просьбой подключить IP-адрес.

Если вам нужен доступ через панель управления ISPmanager, то следует обратиться в поддержку после подключения нового IP-адреса — сотрудники перенастроят панель для работы по новому IP-адресу.

firstvds.ru

Что делать, если ваш сайт под DDoS атакой?

Впервые столкнувшись с хакерской атакой, блокирующей доступ пользователей к вашему сайту (DDoS-атака), владельцы интернет-проектов не знают, как на нее реагировать и справляться с возникшей проблемой. К сожалению, подобные проблемы встречаются довольно часто, и рано или поздно каждый интернет-ресурс может им подвергнуться. Эта статья подготовит вас к непредвиденным ситуациям, а также послужит руководством к действию по устранению проблемы.

Почему сайты подвергаются атакам?

Прежде всего проанализируйте ситуацию и попытайтесь понять причины атаки на сайт. Существуют проекты, которые априори чаще других подвергаются DDoS-атакам - это сайты online-игр, инвестиционные проекты и т.д. Если ваш интернет-ресурс входит в зону риска, мы рекомендуем заранее позаботиться о его усиленной защите.

Различают несколько видов причин для атаки:

  • Недобросовестная конкуренция служит поводом для атак на крупные коммерческие компании и организации. Если ваш ресурс является коммерческим, то убедитесь, что это не атака конкурирующих компаний. Такие атаки на сайт прекращаются с завершением оплаченного “объема” атаки.
  • Развлечение. Как ни странно, DDoS-атаки могут служить развлечением для начинающих злоумышленников, поэтому иногда причиной проблемы может быть хулиганство со стороны хакеров без конкретной цели нанести урон компании. Такие атаки завершаются, когда хакеру становиться скучно атаковать ресурс.
  • Идеологические причины. Такие атаки обычно ведутся на какие-либо ресурсы организаций, действия которых не устраивают хакеров. В этом случае действия хакера могут иметь принципиальный характер и продолжаться очень долго.
  • Вымогательство или шантаж. Таким атакам чаще всего подвергаются популярные интернет-ресурсы. В этом случае злоумышленник связывается с владельцем сайта с требованием предоставить выкуп в обмен на прекращение атаки. Вступать в переговоры не рекомендуется, так как легкие и средние атаки вы сможете отбить без существенных затрат. Крупные же атаки длятся не более 1 дня в виду их высокой стоимости. Поэтому маловероятно, что причиной крупных атак может стать желание обогатиться за ваш счет.

Типы DDoS-атаки

Если вы пользуетесь услугами виртуального хостинга, то о факте атаки вам сообщит ваш хостинг-провайдер. Скорее всего, хостер пришлет уведомление о блокировке вашего ресурса, а также требование перейти на выделенный сервер или убрать проблемный ресурс с хостинга. Скорее всего, у провайдера не будет выбора поступить иначе, так как совместно с вашим страдают десятки и сотни других сайтов на сервере. Поэтому блокировка сайта на хостинге с общими ресурсами является для хостера единственно возможным решением проблемы.

Обычно атаки на сайт делятся на два уровня:

  • Флуд. Это атака начального или среднего уровня, которую легко можно отразить, разместив сайт на выделенных ресурсах и поменяв настройки сервера.
  • DDoS-атака высокого уровня. Подобные атаки можно отразить только внешними программно-аппаратными средствами защиты.

Клиенты VPS/VDS-хостинга могут определить уровень атаки самостоятельно, временно отключив веб-сервер и проанализировав его логи. Если у вас нет навыков администрирования, то можно обратиться к специалистам.

Пользователи выделенных серверов могут узнать об атаке на сайт и ее сложности от своего хостера, если у них есть договор на оказание услуг администрирования. В другом случае, клиенту сервера необходимо самостоятельно провести аналитику и определить уровень атаки.

Зная детали атаки, вам будет проще решить, какие именно меры следует принимать для решения проблемы.

Устранение возникшей проблемы

Чаще всего клиенты хостинга сталкиваются именно с флудом. В этом случае веб-сервер перегружается множеством одновременных запросов со сравнительно небольшого числа IP-адресов.

Для решения проблемы хостинг-компания может предложить вам переход на VDS или выделенный сервер, где можно настроить фильтрацию проблемных запросов, либо блокировать IP-адреса бот-машин. Рекомендуем перед переходом уточнить у хостера, готов ли он выполнить соответствующую настройку защиты атаки на сервере и на каких условиях.

Если вы столкнулись с атакой высокого уровня, то нужно принимать решение, сопоставив стоимость отражения атаки и ущерб от простоя. Иногда проще переждать атаку на сайт в течение суток-двух, оставив на сайте заглушку с сообщением о временной недоступности проекта и кодом 503 для ботов поисковых систем, а не отбивать атаку сразу же. Нужно помнить о том, что стоимость действительно серьезных атак выше ваших затрат на защиту, а значит, атака может прекратиться раньше, чем вам кажется.

Выбрать стабильный хостинг с качественной поддержкой.

timeweb.com