DDoS для чайников. Основные принципы атаки и защиты. Заддосить сайт


DDOS любого сайта с помощью Google Spreadsheet / Хабр

Google использует своего «паука» FeedFetcher для кэширования любого контента в Google Spreadsheet, вставленного через формулу =image(«link»).

Например, если в одну из клеток таблицы вставить формулу

=image("http://example.com/image.jpg") Google отправит паука FeedFetcher скачать эту картинку и закэшировать для дальнейшего отображения в таблице.

Однако если добавлять случайный параметр к URL картинки, FeedFetcher будет скачивать её каждый раз заново. Скажем, для примера, на сайте жертвы есть PDF-файл размером в 10 МБ. Вставка подобного списка в таблицу приведет к тому, что паук Google скачает один и тот же файл 1000 раз!

=image("http://targetname/file.pdf?r=1") =image("http://targetname/file.pdf?r=2") =image("http://targetname/file.pdf?r=3") =image("http://targetname/file.pdf?r=4") ... =image("http://targetname/file.pdf?r=1000") Все это может привести к исчерпанию лимита трафика у некоторых владельцев сайтов. Кто угодно, используя лишь браузер с одной открытой вкладкой, может запустить массированную HTTP GET FLOOD-атаку на любой веб-сервер.

Атакующему даже необязательно иметь быстрый канал. Поскольку в формуле используется ссылка на PDF-файл (т.е. не на картинку, которую можно было бы отобразить в таблице), в ответ от сервера Google атакующий получает только N/A. Это позволяет довольно просто многократно усилить атаку [Аналог DNS и NTP Amplification – прим. переводчика], что представляет серьезную угрозу.

С использованием одного ноутбука с несколькими открытыми вкладками, просто копируя-вставляя списки ссылок на файлы по 10 МБ, паук Google может скачивать этот файл со скоростью более 700 Мбит/c. В моем случае, это продолжалось в течение 30-45 минут, до тех пор, пока я не вырубил сервер. Если я все правильно подсчитал, за 45 минут ушло примерно 240GB трафика. Я удивился, когда увидел объем исходящего трафика. Еще немного, и я думаю, исходящий трафик достиг бы 1 Гбит/с, а входящий 50-100 Мбит/с. Я могу только представить, что произойдет, если несколько атакующих будут использовать этот метод. Паук Google использует не один IP-адрес, и хотя User-Agent всегда один и тот же, редактировать конфиг веб-сервера может быть слишком поздно, если атака застанет жертву врасплох. Благодаря простоте использования, атака легко может продолжаться часами.

Когда обнаружился этот баг, я стал гуглить инциденты с его использованием, и нашел два:• Статья, где блогер описывает, как случайно атаковал сам себя и получил огромный счет за трафик. [Перевод на хабре – прим. переводчика].• Другая статья описывает похожую атаку с помощью Google Spreadsheet, но сначала, автор предлагает спарсить ссылки на все файлы сайта и запустить атаку по этому списку с использованием нескольких аккаунтов.

Я нахожу несколько странным, что никто не догадался попробовать добавить к запросу случайный параметр. Даже если на сайте всего один файл, добавление случайного параметра позволяет сделать тысячи запросов к этому сайту. На самом деле, это немного пугает. Простая вставка нескольких ссылок в открытую вкладку браузера не должна приводить к такому.

Вчера я отправил описание этого бага в Google и получил ответ, что это не уязвимость, и не проходит по программе Bug Bounty. Возможно, они заранее знали о нём, и действительно не считают это багом?

Тем не менее, я надеюсь, они пофиксят эту проблему. Просто немного раздражает, что любой может заставить паука Google доставить столько проблем. Простой фикс заключается в том, чтобы скачивать файлы пропуская дополнительные параметры в URL [На мой взгляд, это очень плохой фикс. Возможно, стоит ограничить пропускную способность или лимитировать количество запросов и трафик в единицу времени и при этом не скачивать файлы больше определенного размера – прим. переводчика].

habr.com

Какие методы используются для того, чтобы заддосить сайт или сервер? | Блог

26.06.2013

Какие методы используются для того, чтобы заддосить сайт или сервер? Ну, сперва разберемся что такое DoS-атака – это атака на систему, с целью того, чтобы обычные пользователи не смогли получить доступ к ресурсу, либо доступ очень затруднен.

Теперь рассмотрим подробно, каждый способ проведения DoS – атаки.

Как заддосить сайт или сервер

Первое, что мы рассмотрим – Smurf – атака (ICMP флуд). Такой вид DoS – атаки является одним из самых опасных, так как после нее у жертвы практически в 100% случаев происходит отказ в обслуживании. Используется широковещательная рассылка, на проверку работающих узлов в системе. При этом еще используется усиливающая сеть, ведь в одиночку киберпреступник не сможет осуществить свой замысел. Впоследствии адрес атакующего меняется на адрес жертвы и все узлы присылают в ответ ping запрос. При этом, следует заметить, что, ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую, например, 500 узлов, будет усилен в 500 раз, разумеется, что для проведения такой атаки просто необходимо выбирать большую сеть, чтобы у жертвы не оставалось ни единого шанса.

Следующим способ, которым пользуются злоумышленники, чтобы заддосить сайт (сервер) это возможность переполнения сервера лог-файлами. Что такое лог файлы? Это те файлы, в которых записываются действия пользователей, находящихся в сети или действия программы, которая находится в ней же. Обычно киберпреступники пользуются тем, что некоторые администраторы забывают установить лимит логирования на своем сервере, в связи с этим мошенники отправляют огромные по объему пакеты данных, которые занимают все свободное место на жестком диске. Разумеется, если хранить лог-файлы на отдельном системном диске, то такой метод DoS – атаки не пройдет.

Как заддосить сайт

И последний метод, который мы рассмотрим в данной статье -  SYN флуд. Этот метод атаки был широко распространен еще до Smurf. Осуществляется этот метод при установке соединения между двумя системами, при котором используется некоторое количество ресурсов, чем и пользуются злоумышленники. Отправляются несколько ложных запросов (SYN пакетов) с интервалом около десяти секунд, которые расходуют абсолютно все ресурсы систем. Почему он так популярен – потому что, если киберпреступники используют этот метод, то их очень сложно определить, так как они постоянно меняют свой ip-адрес.

deflab.ru

DDoS для чайников. Основные принципы атаки и защиты.

Проблема вмешательства сторонних лиц в поведение киберспортивных матчей существует уже не первый день. Но в последнее время она особенно резко проявилась в Dota 2 и CS:GO. Мы расскажем вам, насколько просто провести DDoS-атаку и как эффективно от нее защититься.

Проблема вмешательства сторонних лиц в поведение киберспортивных матчей существует уже не первый день. Но в последнее время она особенно резко проявилась в Dota 2 и CS:GO. Многие игры приходится задерживать по часу, а то и вовсе отменять, переносить и переигрывать. Мы расскажем вам, насколько просто провести DDoS-атаку и как эффективно от нее защититься.
Что такое DDoS?DDoS - атака, запущенная компьютером или сервером, которому дали цель и приказ к началу. После старта сеть зараженных машин начнет отправлять мертвые пакеты (бесполезную информацию) на роутер цели и таким образом блокирует соединение. Представьте себе лодку с одним веслом, которая пытается выбраться из загрязненной реки.АтакаДля проведения атаки нужно лишь две вещи: DDoS-провайдер и цель. Услуги ддосеров зависят от количества времени, на которое они хотят испортить ваше соединение с интернетом и объема мусора, отправляемого на ваш роутер. Направление атаки определяется IP-адресом. Всё просто - если он есть у злоумышленников, то заддосить вас будет несложно. Поэтому очень важно избежать его попадания в чужие руки. К сожалению, раздобыть нужный IP сейчас очень просто. Вы можете найти адрес сервера Valve через Dota 2, и даже если он будет скрыт через консоль, программа Packet Sniffer получит его без проблем. Что касается айпишников отдельных игроков, то они оставляют следы во множестве программ. Для того, чтобы получить IP через Skype, требуется только ваш ник в программе, и это только один из множества способов. Представьте, что ситуация из видео ниже произойдет с вами (18+): За DDoS даже необязательно платить. Я нашел бесплатный сервис, который дает отправить от 10 до 200 Mbps в качестве пробы. Этого достаточно, чтобы положить большинство стандартных сетей: Как же защититься? Существует много путей оградить себя от нападения. Я расскажу лишь о некоторых:
  1. Арендуйте VPN. Он спрячет ваш IP за сильным и защищенным сервером. Если вы используете программы связи, то убедитесь, что делаете это через ВПН. Количество провайдеров этого сервиса очень велико.
  2. Ограничьте общение через Skype, Teamspeak и т.д. Это один из простейших путей получить ваш адрес и испортить соединение.
  3. Большинство людей считают, что у них на компьютере нет никаких вирусов. К сожалению, в 90% случаев это не так, и вам стоит проводить очистку чаще, чтобы избежать резкого отключения сети.
  4. Будьте аккуратны в посещении сайтов и форумов. Администраторы видят ваш IP.
  5. Фаерволлы. У некоторых роутеров есть встроенный, как и в самом Windows, но они не успеют отфильтровать поступающий "мусор" до того, как он заблокирует интернет.
Что делать, если мой IP уже попал в чужие руки?Тогда придется прибегнуть к весьма непростым манипуляциям с роутером. Интернет-провайдер вам ничем не поможет, так как им по работе не приходится сталкиваться с такими проблемами. Вам нужно поменять WAN MAC роутера, чтобы автоматически получить новый адрес. Если же сделать это не получается, то придется выдернуть роутер из сети и долго-долго ждать. Заключение.Как было неоднократно сказано, это далеко не полная информация по защите от DDoSa, и проигрокам приходится сталкиваться с гораздо более изощренными приемами. Так что желаем вам не попадать под подобные атаки и по возможности защищать себя.

Источник:

dota2.net

Как я поборол DDoS за 15 минут / Хабр

Привет, Хабр!

Сегодня я бы хотел рассказать об одном удачном опыте из своей жизни. О том, как я отбил DDoS атаку на свой сайт, не имея особых технических навыков. Эта статья может быть для вас полезна, а кому-то просто интересна. Сразу скажу, что это не универсальный метод и подходит не всем. Но для отражения мелких и средних атак самое то. Начну с того, что в мире сейчас большими темпами растет DDoS пиратство. Злоумышленники все чаще стали вымогать деньги, под предлогом обрушения DDoS. Многие боятся и платят, а потом платят еще и еще. Ошибка номер один, а вернее совет: никогда не платите хакерам. Во-первых, вас просто могут обманывать, у многих из тех кто занимается угрозами — нет возможности атаковать ваш сайт. Во-вторых, заплатите один раз, заплатите и второй и третий и четвертый, а в итоге все равно наймете специалистов для защиты.

Я никогда не думал, что со мной может это случится. Представлял это так: для того, чтобы тебя атаковали, нужно кому-то насолить. Но мои суждения были ошибкой. Одним из субботних вечеров, когда я отдыхал от повседневной работы, на email свалилось письмо. Некто требовал, чтобы я перечислил некое количество Bitcoin, эквивалентной сумме 1000$. Иначе мне грозили DDoS атакой. Я немного запаниковал. Был выходной день, моего администратора не будет до понедельника. Что делать и куда обращаться? Этот вопрос мучал меня. Я стал гуглить. На многих форумах люди советовали не платить и сразу написать злоумышленнику, что оплаты не будет. Там я и узнал, что часто это просто навсего развод. Но мне не повезло. На мое письмо хакер ответил одним словом: “ОК”. А еще через 10 минут мой сайт уже был не доступен. Я не знал что делать, мой сайт, это коммерческий проект и простой каждой минуты для меня был убытком. Конечно, я сразу подумал, что надо воспользоваться услугами компаний профильных в этом деле. Но меня пугало то, что это будет все очень долго, к тому же была суббота.

И тогда я стал думать. Думать как мои знания мне могут помочь в этой ситуации. И вдруг меня осенило. Как-то давно, когда я только начинал свой проект, я пытался самостоятельно построить CDN (Content Delivery Network). Тогда, как и сейчас не хватало знаний в административной части и я не реализовал свою идею. Но зато остались кое-какие знания. В частности, я научился распределять DNS запросы в зависимости от положения пользователя. То есть когда пользователь вбивает домен моего сайта, DNS определяет его местоположение и отправляет на нужный сервер. Я помню как пытался узнать у хабрасообщества, как это сделать своими силами, кто-то даже дал ответ, но сам я не смог все настроить на своем сервере. Зато нашел компанию, которая позволяет все делать из красивого интерфейса. Сразу скажу, что это не бесплатно, сейчас стартовый тариф стоит 7$ в месяц. Можно указать индивидуальный IP для каждой страны, а можно сразу и для всего континента.

Я понимал, что DDoS скорее всего идет с ботов, которые находятся по всему миру. А 95% моих клиентов и пользователей сайта находятся в России. Вот так просто, я быстренько сменил DNS сервера на сервера компании о которой сказано выше. Далее для России указал IP адрес своего сервера, а для всех остальных стран указал 8.8.8.8 (upd: Люди в комментариях советуют не делать гуглу пакостей и писать тут 127.0.0.1). И вот уже через 5 минут мой сайт снова работал, а злоумышленник в ответ получил от меня все то же сообщение: “ОК”. В течении нескольких следующих дней, я конечно же нанял специалистов, которые теперь защищают мой сайт. Но вот такой полезный опыт остался и я делюсь с вами.

Конечно же, этот способ не подойдет для всех. У него есть минусы. В частности, если у вас много пользователей из разных стран. Но как вариант для быстрого реагирования — самое то. Надеюсь, эта статья кому-то поможет, но желаю, чтобы у вас всего этого не случилось. Всем спасибо за внимание.

habr.com