Поиск по этому блогу

пятница, 11 февраля 2011 г.

DDoS. Как с ним бороться?

DDoS (distributed denial of service attack).

Цель DDoS - вывести сервер из рабочего состояния (положить, заставить упасть). Самые популярные причины:
  1. За время простоя конкурент несет потери (финансовые, если главный злой - то и человеческие)
  2. Конкурент понесет финансовые потери, так как задаром поднимать не будут.
  3. Вот у  Васьки с соседнего подъезда как зависнет сейчас!
Мало кто будет заходить на сайт, если тот не работал неделю-две. Если владелец сайта вел Серьезный бизнесс, то ему можно посочувствовать.

DDoS подразумевает метод грубой силы - забиваем канал, открывая максимально возможное количество соединений на некий сервис или отправляя огромное кол-во информации, которое сервер не в состоянии обработать. Все это ведет к потере скорости или полной остановке (зависанию) атакуемого ресурса. 
Для непонятливых - представим, что есть гигантская стена с 500 дверями. У каждой двери охранник, который должен обыскать человека (он делает это достаточно быстро, если человек обычный). Регулярно через эти двери проходят обычные люди, все работает как часы.
Внезапно 100 вождей племен Злых Троллей решило сделать подлянку. Каждое племя разбилось на 5 отрядов (а племена большие, считай бесконечные), и отправляет эту ораву к дверям. Мало того, что все 500 дверей заняты, так еще и очереди гигантские (троллей куча, они будут бежать, пока вождю не надоест), да еще каждого тролля надо обыскать (а он толстый, зараза, пока обыщещь). Обычный человек наврядли сможет пробиться к двери.


DDoS - это distributed атака, то есть распространенная,  сервер атакуется не в одиночку, зачастую используются сотни и тысячи машин. Очень часто владельцы этих машин и не понимают, что они DDoSят.
Как такое возможно?

Зомби - зараженный сервер, который может выполнять команды управляющего сервера. Заражается через дыры ОС, троянов и т.д.



КАК БОРОТЬСЯ С DDoS?
1) На уровне сервера. На сервере необходима функция удаленной перезагрузки, вывода консоли сервера на иной IP по ssh. Так как порой ддосят ssh на сервере вместе с самим вебсервером, эти две функции будут просто спасением на первом этапе.

2) На уровне сервисов сервера.  Аудит безопасности должен быть сделан, в сервисах не должно быть уязвимостей.

 3) На уровне сети. Блокируем ping, trace, прячемся под nat. Скрываем ip.

4) На уровне провайдера. Через анализ пакетов или через блокирование ip адресов.


5) На уровне железа. Придется потратиться на решения фирм Сisco, 3com, nortel и тп. Комплексные решения обойдутся около 50-80 тыс долларов.

6) На уровне админов вашего сервера. Ищите в логах машину, которая даст вам информацию. При некоей доле везения вы найдете атакующего.

При написании статьи была взята информация с сайта http://articles.org.ru

4 комментария: