Proovime täna selgitada olukorda serveri Ddos rünnakute ümber. Ikkagi see probleem ristub tõesti hostimise kui sellise teemaga.

Asi on üsna ebameeldiv. Kujutage ette, ma installisin eile oma WordPressi uhiuue pistikprogrammi ja äkki mõne aja pärast, bam! - ajaveebi brauseris ei avane enam. Lisaks surfavad teised saidid samal ajal suurepäraselt. Mõtted hiilivad sisse – keerasin pistikprogrammiga midagi sassi. Klõpsan lehe uuesti laadimiseks mitu korda ja midagi ei juhtu! Siis hakkas see tõesti toimima, kuid pidin läbima paar ebameeldivat minutit.

Ja täna näen kirjas TimeWebi tehnilise toe kirja. Ma ei varja seda, ma võtan seal hostimise. Ja mida varjata, lihtsalt sisestage saidi aadress Whoisisse.
Kiri on:

"Kallid kasutajad.
Täna, 2. detsembril 2011 kell 16:32 Moskva aja järgi, tohutu DDOS rünnak, mis häiris mõne saidi ja serveri tööd.
TIMEWEBi insenerid võtsid olukorra kontrolli alla ja kella 18:45-ks stabiilne töö sait taastati täielikult..."

Otsustasin välja mõelda, kust need pärit on Ddos rünnakud serverile ja mis see üldse on? Ja see on see, mida ma välja kaevasin.

Ddos rünnakud serverile – mis see on?

Kõigepealt heidame pilgu Wikile, kus me oleksime ilma selleta:

DOS ATTACK (inglise keelest. Teenuse keelamine, teenusest keeldumine) - rünnak arvutisüsteemi vastu eesmärgiga viia see rikkeni, st sellisesse olekusse, et süsteemi legitiimsed (õigustatud) kasutajad ei pääse juurde süsteemi pakutavatele ressurssidele (serveritele, teenustele) ega sellele juurdepääsule. on raske. Vaenlase süsteemi rike võib olla kas eesmärk omaette (näiteks populaarse veebisaidi muutmine kättesaamatuks) või üks samm süsteemi üle kontrolli haaramiseks (kui tarkvara hädaolukorras toodab kriitilist teavet - näiteks näide, versioon, osa programmi kood jne).

Kui rünnak viiakse läbi samaaegselt suurest arvust arvutitest, räägitakse DDOS ATTACKist (inglise keelest. Hajutatud teenuse keelamine, hajutatud teenuse keelamise rünnak). Mõnel juhul põhjustab tegelik DDoS-rünnak õigustatud tegevus, näiteks postitatakse populaarsesse Interneti-ressurssi lingi saidile, mida majutatakse mitte eriti tootlikus serveris. Suur kasutajate sissevool toob kaasa liialduse lubatud koormus serverile ja sellest tulenevalt teenuse keelamine mõnele neist.

Seega on ühelt poolt ründeobjekt – teatud server või veebisait, teiselt poolt aga rühm ründajaid, kes korraldavad ründeobjektile DDoS rünnaku.

Milliseid eesmärke taotlevad Ddosi rünnaku korraldajad?

Üks kahjutumaid põhjusi on banaalne küberkiusamine. Asja raskendab tõsiasi, et enamik rünnakute korraldamise programme on Internetis vabalt saadaval.

Ebaaus konkurents tekitab tõsisemaid DDoS-i rünnakuid. Eesmärgid on siin erinevad - konkurendi server alla viia, häirides seeläbi vastase tööd, ja lisaks sellele luua konkurendi jaoks turul negatiivne kuvand. Samuti on võimalik serverisse häkkida, kuna ulatuslik rünnak võib põhjustada programmikoodide kujul teabe, mis on kõigile nähtav.

Samuti saavad Ddos-ründemeetodit kasutades erinevad Ddos-rühmad deklareerida oma olemasolu või esitada serveriomanikele nõudmisi ja ultimaatumeid.

Siin on mõned näited Ddos rünnakud serverile mille leidsin Lurkomoryest:

• OOFR (Organization of United Faages of Russia), kuhu kuuluvad järgmised meemirühmad: ebausklike pidalitõbiste koloonia, LiveJournali langenud osa ja mida juhib loomulikult Upjatška.

OPFR-i peamised ohvrid olid:

1. www.mail.ru (projekti BEETLES jaoks),
2. www.gay.com (selle eest, et olete gei),
3. www.4chan.org (jumala "Onotole" solvamise eest),
4. www.wikipedia.org (artikkel UPCHK kohta, mis sisaldas solvamist kasside (Kote) vastu, mida moderaator kuu aja jooksul ei eemaldanud)

Paljud DDoS-i rünnakute vastase kaitse valdkonnas töötavad organisatsioonid tunnistavad hoolimata saavutustest selles valdkonnas endiselt ohu kasvavat ohtu, mis on tingitud peamiselt rünnakute korraldamise lihtsusest.

TEEME TULEMUSE VÄIKE KOKKU:

Meid, tavalisi internetikasutajaid, peaks enim huvitama see, kuidas küberrünnakute eest kaitset korraldavad need hosterid, kus me oma loomingule – veebisaitidele majutust rendime. Nagu antud juhul näeme, tegeles TimeWeb probleemiga üsna kiiresti. Teise plussi annan talle selle eest, et ta teavitas mind sellest posti teel.

Muide, tegin hiljuti TimeWebile veel ühe lihtsa testi.

See on täna kõik Ddosi rünnakute kohta.

Peagi räägime, mis need on ja kuidas on korraldatud kaitse küberrünnakute vastu.

Ilmselt enamus kaasaegsed kasutajad arvutisüsteemid Kas olete kuulnud sellisest asjast nagu DDoS-rünnak? Seda, kuidas seda ise teha, muidugi praegu ei käsitleta (välja arvatud informatiivsel eesmärgil), kuna sellised toimingud on mis tahes õigusaktide kohaselt ebaseaduslikud. Küll aga saab teada, mis see üldiselt on ja kuidas see kõik toimib. Kuid pangem kohe tähele: te ei tohiks allpool esitatud materjali pidada mingisuguseks juhiseks või tegevusjuhiseks. Teave on esitatud ainult eesmärgiga ühine arusaam probleeme ja ainult teoreetiliste teadmiste jaoks. Teatud tarkvaratoodete kasutamine või ebaseaduslike toimingute korraldamine võib kaasa tuua kriminaalvastutuse.

Mis on DDoS-rünnak serverile?

DDoS-i rünnaku kontseptsiooni saab tõlgendada dekrüpteerimise põhjal Ingliskeelne lühend. Lühend tähistab distributed Denial of Service, st jämedalt öeldes teenusest või toimivusest keeldumist.

Kui saate aru, mis on DDoS-i rünnak serverile, siis üldiselt on see ressursi koormamine suurenenud kasutajapäringute (päringute) arvu kaudu teatud sidekanali kaudu, millel on loomulikult piirangud liikluse mahule, kui server lihtsalt ei suuda töödelda. Selle tõttu tekib ülekoormus. Tegelikult ei ole serveri tarkvaral ja riistvaral kõigi päringutega toimetulemiseks lihtsalt piisavalt arvutusressursse.

Rünnakute korraldamise põhimõtted

DDoS-rünnak põhineb põhimõtteliselt mitmel põhitingimusel. Kõige olulisem on esimeses etapis pääseda ligi mõnele kasutaja arvutile või isegi serverile, sisestades sinna pahatahtlikku koodi selliste programmide kujul, mida tänapäeval tavaliselt nimetatakse troojalasteks.

Kuidas selles etapis ise DDoS-i rünnakut korraldada? Täiesti lihtne. Arvutite nakatamiseks saab kasutada niinimetatud nuusutajaid. Piisab ohvrile kirja saatmisest meiliaadress manusega (näiteks pilt, mis sisaldab käivitatav kood), saab ründaja avamisel juurdepääsu kellegi teise arvutile selle IP-aadressi kaudu.

Nüüd paar sõna selle kohta, mida hõlmab teine ​​etapp, mis hõlmab DDoS-i rünnakut. Kuidas teha järgmist taotlust? See tuleb saata serverisse või Interneti-ressurssi maksimaalne kogus taotlusi. Loomulikult ei saa seda teha ühest terminalist, seega peate kasutama täiendavad arvutid. Järeldus viitab iseenesest: sissetoodud viirus peab neid nakatama. Reeglina on sellised skriptid, mille valmisversioone leiab isegi internetist, isekopeeruvad ja nakatavad võimalusel teisi võrgukeskkonna terminale. aktiivne ühendus või Interneti kaudu.

DDoS-i rünnakute tüübid

DDoS rünnak sisse üldises mõttes seda nimetatakse nii ainult tinglikult. Tegelikult on seda vähemalt neli sorti (kuigi tänapäeval on neid koguni 12 modifikatsiooni):

• serveri krahhi täitmiseks valede juhiste saatmise tõttu;
• kasutajaandmete massiline saatmine, mis viib tsüklilise kontrollimiseni;
• üleujutus - valesti koostatud taotlused;
• sidekanali katkemine valeaadressidega üle kuhjumise tõttu.

Välimuse ajalugu

Esimest korda hakati sedalaadi rünnakutest rääkima juba 1996. aastal, kuid siis ei omistanud keegi sellele erilist tähtsust. Tõsine probleem Nad hakkasid hukka mõistma alles 1999. aastal, kui rünnati maailma suurimaid servereid nagu Amazon, Yahoo, E-Trade, eBay, CNN jne.

Tagajärjed tõid nende teenuste katkemise tõttu kaasa märkimisväärse kahju, kuigi tol ajal olid need vaid osalised juhtumid. Laialt levinud ohust pole veel räägitud.

Kõige kuulsam DDoS-i rünnaku juhtum

Kuid nagu hiljem selgus, sellega asi ei piirdunud. Suurim DDoS-rünnak eksisteerimise ajaloos arvutimaailm salvestati 2013. aastal, kui tekkis vaidlus Spamhausi ja Hollandi pakkuja Cyberbunkeri vahel.

Esimene organisatsioon lisas ilma selgitusteta teenusepakkuja rämpspostitajate loendisse, hoolimata asjaolust, et paljud lugupeetud (ja mitte nii lugupeetud) organisatsioonid ja teenused kasutasid tema servereid. Lisaks asusid pakkuja serverid, nii kummaline kui see ka ei tunduks, endises NATO punkris.

Vastuseks sellistele tegevustele alustas Cyberbunker rünnakut, mille ta võttis enda peale CDN CloudFlare. Esimene löök tuli 18. märtsil, järgmisel päeval tõusis päringute kiirus 90 Gbit/s-ni, 21. päeval tekkis tuulevaikus, aga 22. märtsil oli kiirus juba 120 Gbit/s. CloudFlare'i ei olnud võimalik välja lülitada, mistõttu tõsteti kiirus 300 Gbit/s. Praeguseks on see rekordnäitaja.

Mis on DDoS-i ründeprogrammid?

Hetkel kasutatava tarkvara osas peetakse enim kasutatavaks rakenduseks LOIC programmi, mis aga lubab rünnata vaid juba teadaolevate IP ja URL aadressidega servereid. Kõige kurvem on see, et see postitatakse Internetti tasuta allalaadimiseks.

Kuid nagu juba selge, see rakendus saab kasutada ainult koos tarkvaraga, mis võimaldab teil pääseda ligi kellegi teise arvutile. Arusaadavatel põhjustel on nimed ja täielikud juhised nende kasutamise kohta siin ei ole toodud.

Kuidas ise rünnata?

Seega vajame DDoS-i rünnakut. Vaatame lühidalt, kuidas seda ise valmistada. Eeldatakse, et nuusutaja töötas ja teil on juurdepääs kellegi teise terminalile. Käivitamisel käivitatav fail Loic.exe programmid sobivad lihtsalt aknasse nõutavad aadressid ja vajutage nuppu Lukusta sees.

Pärast seda edastuskiiruse reguleerimisel HTTP/UDF/TCP-protokollide kaudu seadistatakse fader maksimaalne väärtus(vaikimisi minimaalselt 10), misjärel kasutatakse rünnaku alustamiseks nuppu IMMA CHARGIN MAH LAZER.

Kuidas end rünnakute eest kaitsta?

Rääkides sellest, milliseid programme leiate DDoS-i rünnakute jaoks, ei saa te ignoreerida kaitsetööriistu. Lõppude lõpuks, isegi Newtoni kolmas seadus ütleb, et iga tegevus põhjustab reaktsiooni.

Väga lihtne juhtum Kasutatakse viirusetõrjeid ja tulemüüre (nn tulemüürid), mida saab esitada kas keeles programmiliselt või arvuti riistvarana. Lisaks saavad paljud turbepakkujad päringuid mitme serveri vahel ümber jagada, sissetulevat liiklust filtreerida, dubleerivaid kaitsesüsteeme paigaldada jne.

Üks rünnete läbiviimise meetodeid on DNS-i võimenduse tehnika - rekursiivsete päringute saatmise tehnoloogia DNS-serveritele olematu tagastusaadressiga. Sellest tulenevalt võite selliste õnnetuste eest kaitsmiseks ohutult kasutada universaalset fail2ban-paketti, mis võimaldab tänapäeval installida seda tüüpi kirjade jaoks üsna võimsa tõkke.

Mida sa veel teadma pead?

Üldiselt pääseb isegi laps soovi korral teie arvutile ligi. Veelgi enam, isegi mõned eriti keerulised spetsialiseerunud tarkvara seda ei nõuta ja seejärel saab teie zombiarvutist läbi viia DDoS-i rünnaku. Kuidas seda ise valmistada, sisse üldine ülevaade See on juba selge.

Aga ma arvan, et selliseid asju ei tasu teha. Tõsi, mõned algajad kasutajad ja programmeerijad proovivad selliseid toiminguid teha nii-öelda puhtalt sportlikust huvist. Pidage meeles: iga asjatundlik administraator selgitab lihtsalt välja, kui mitte teie, siis teenusepakkuja asukoha, isegi kui mingil etapil kasutasite anonüümne puhverserver Internetis. Pole vaja kaugele minna. Sama WhoIsi ressurss võib anda palju teavet, millest te isegi ei tea. Noh, siis, nagu öeldakse, on see tehnika küsimus.

Peate vaid pöörduma oma teenusepakkuja poole vastava päringuga, mis näitab välist IP-d, ja tema (vastavalt rahvusvahelistele standarditele) edastab andmed teie asukoha ja isikuandmete kohta. Seetõttu ei tohiks ülaltoodud materjali pidada ajendiks ebaseaduslikele tegevustele. See on täis üsna tõsiseid tagajärgi.

Rünnakute endi osas tasub aga eraldi öelda, et peaksite ise süsteemi kaitsmiseks võtma mõned meetmed, sest pahatahtlikud koodid võivad sisalduda isegi Interneti-bänneritel, kui sellel klõpsate, saate arvutisse alla laadida troojalase. Ja mitte kõik viirusetõrjed ei suuda selliseid ohte filtreerida. Ja sellest, et arvutist võib saada mingi zombikast, ei räägita üldse. Kasutaja ei pruugi seda isegi märgata (kui just väljaminevat liiklust ei suurendata). Fail2bani paketi installimine ja konfigureerimine on üsna keeruline, nii et kõige primitiivsemate tööriistadena peaksite kasutama tõsist viirusetõrjet (Eset, Kaspersky), mitte tasuta. tarkvaratooted ja ärge eraldage ka oma vahendeid Windowsi kaitse nagu tulemüür.

Otsi hea server mängu Minecraft jaoks pole juhuslike ressursside hulgas sageli lõppu mugav mäng, vaid pidevate jalahoopide ja keeldude abil. Ja selleks, et taastada õiglus ebaseaduslikult alandatud mängijate vahel, räägime teile, kuidas Minecrafti serverit siluda ja mida selleks kasutada.

Lisage cmd kaudu Minecrafti server

Esimese meetodi puhul vajate juurdepääsu ainult tõlgile käsurida cmd, installitud märkmik ja mõnede käskude tundmine. Nii et kõigepealt looge uus tekstifail märkmikusse ja sisestage sinna järgmised käsud:

ping xxx.xx.x.x –t -l 600000

Pingis sisestate rünnatava ressursi IP-aadressi ja 600 000 on päringute arv, mille teie arvuti rünnatavale ressursile saadab.

Pärast nõutud väärtuste sisestamist peaksite oma tekstifaili failiga permission.bat salvestama ja selle käivitama topeltklõps hiired.

Peamine probleem pole aga selles, kuidas konsooli kaudu Minecrafti serverit DDOS-i teha, vaid kuidas oma rünnak efektiivsemaks muuta. Ja siin peate ühendama mitu sarnaselt mõtlevat inimest või sõpra, vastasel juhul ei saa te serverit installida.

Teisest küljest võib pidev pakettide saatmine märkimisväärselt aeglustada ressursi tööd, põhjustada perioodilisi tõrkeid ja viivitusi, mis mõjutab negatiivselt serveri reitingut. Seetõttu on soovitatav käivitada mitu sellist skripti, et need töötaksid samaaegselt.

DDoSIM Minecrafti server koos kolmanda osapoole utiliitidega

Siin saate neid kasutada kuulsad programmid, nagu LOIC, või installige MineCrafti, Minecraft Ultimate SpamBoti jne jaoks spetsiaalne GravyBot. Järgmisena vaatleme kõigi nende programmide tööpõhimõtet.

LOIC

Pärast programmi installimist käivitage see, sisestage serveri IP-aadress ja klõpsake nuppu Lukusta. Pärast seda kuvatakse siht-IP-numbrid aknas Puudub.

Seejärel liigume edasi ründevalikute seadete juurde, st. valige voo tüüp, päringute arv ja nende edastuskiirus. Väärtused tuleb määrata sõltuvalt teie ühenduse kiirusest: mida suurem see on, seda suuremaid väärtusi saate määrata.

Pärast kõigi seadistuste tegemist klõpsake IMMA CHARGIN MAH LAZER. Rünnak peatatakse sama klahvi vajutamisega. Nagu iga DDoS-i rünnaku puhul, sõltub edu ka siin töötavate klientide arvust.

Selle programmi olemus on konkreetne server rämpspostirobotidega üle ujutada ja lõpuks selle kokkujooksmine või vestluse täielik ummistamine. Pärast programmi installimist peate ühendama hüüdnimede loendi ja loendi puhverserveritega. Õnneks pole nende leidmine Internetist nii keeruline.

Saate määrata sõnumi, mida vestluses pidevalt kuvatakse, ja isegi hüüdnime. Pärast kõigi sätete sisestamist aktiveerige rünnak, klõpsates nuppu Start. Rünnaku saate koheselt peatada, klõpsates nuppu Stop.

Sellel meetodil on ka mõned puudused. Programmi laialdane kasutamine on viinud selleni, et paljud hostingu pakkujad on installinud spetsiaalse kaitse. Seega, kui soovite kindlasti "panna" mänguserver, siis soovitame teil veel kord tutvuda minecrafti serveri lisamisega cmd kaudu ja kasutada ainult ülaltoodud meetodit.

Kokkuvõtteks tahaksin lisada selle universaalsed meetodid Praegu puudub kaitse DDOS-i rünnakute vastu. Muidugi võivad serveriadministraatorid proovida teie IP-aadressi blokeerida, kuid töötavate puhverserverite olemasolul on neist üsna lihtne mööda minna. Ja kui kaasate DDOS-i rünnakusse tohutu hulga inimesi, ei jää server 100% ajast ellu.

Üha enam on siin-seal hostiteenuse pakkujate ametlikes suhtlustes viiteid kajastatud DDoS-i rünnakutele. Üha sagedamini võtavad kasutajad, kui nad avastavad oma saidi ligipääsmatuse, kohe DDoS-i. Tõepoolest, märtsi alguses koges Runet tervet selliste rünnakute lainet. Samas kinnitavad eksperdid, et lõbu alles algab. Nii asjakohast, ähvardavat ja intrigeerivat nähtust on lihtsalt võimatu ignoreerida. Nii et täna räägime müütidest ja faktidest DDoS-i kohta. Majutusteenuse pakkuja vaatevinklist muidugi.

Meeldejääv päev

20. novembril 2013 oli esimest korda meie ettevõtte 8-aastase ajaloo jooksul kogu tehniline platvorm enneolematu DDoS rünnaku tõttu mitu tundi kättesaamatu. Kannatada said kümned tuhanded meie kliendid kogu Venemaal ja SRÜ riikides, rääkimata meist endist ja meie Interneti-teenuse pakkujast. Viimane asi, mida pakkuja enne salvestada suutis valge valgus on kõigi jaoks tuhmunud - et selle sisendkanalid on sissetuleva liiklusega tihedalt ummistunud. Selle visualiseerimiseks kujutage ette, et teie vann on tavalise äravoolutoruga, millesse tormab Niagara juga.

Isegi ahelas kõrgemal asuvad pakkujad tundsid selle tsunami tagajärgi. Allolevad graafikud illustreerivad selgelt, mis juhtus tol päeval Interneti-liiklusega Peterburis ja Venemaal. Märkige järsud tipud kell 15 ja 18, täpselt rünnakute salvestamise hetkedel. Nende äkiliste pluss 500-700 GB.

Rünnaku lokaliseerimiseks kulus mitu tundi. Arvutati välja server, kuhu see saadeti. Seejärel arvutati välja Interneti-terroristide sihtmärk. Kas sa tead, keda kogu see vaenlase suurtükivägi tabas? Üks väga tavaline tagasihoidlik kliendisait.

Müüt number üks: "Rünnaku sihtmärk on alati hostiteenuse pakkuja. See on tema konkurentide mahhinatsioon. Mitte minu." Tegelikult on Interneti-terroristide kõige tõenäolisem sihtmärk tavaline kliendisait. See tähendab, et ühe teie hosti naabri sait. Või äkki ka sinu oma.

Kõik pole DDoS...

Pärast sündmusi meie tehnilisel saidil 20. novembril 2013 ja nende osalist kordamist 9. jaanuaril 2014 hakkasid mõned kasutajad eeldama DDoS-i oma veebisaidi mis tahes konkreetse tõrke korral: "See on DDoS!" ja "Kas teil on jälle DDoS?"

Oluline on meeles pidada, et kui meid tabab selline DDoS, mida isegi meie kliendid tunnevad, anname sellest kohe ise teada.

Tahame paanikasse kiirustajatele rahustada: kui teie saidil on midagi valesti, siis tõenäosus, et tegemist on DDoS-iga, on alla 1%. Lihtsalt tänu sellele, et saidiga võib juhtuda palju asju ja neid “palju asju” juhtub palju sagedamini. Eneseabi meetoditest kiire diagnostika Sellest, mis teie saidiga täpselt toimub, räägime ühes järgmistest postitustest.

Seniks teeme sõnakasutuse täpsuse huvides mõisteid selgeks.

Tingimuste kohta

DoS-rünnak (inglise keelest teenuse keelamine) - See on rünnak, mille eesmärk on põhjustada serveri teenuse keelamist selle ülekoormuse tõttu.

DoS-rünnakud ei ole seotud seadmete kahjustamise ega teabe vargusega; nende eesmärk - panna server päringutele vastamise lõpetama. Fundamentaalne erinevus DoS on see, et rünnak toimub ühest masinast teise. Osalejaid on täpselt kaks.

Kuid tegelikkuses ei näe me praktiliselt ühtegi DoS-i rünnakut. Miks? Kuna rünnakute sihtmärgid on kõige sagedamini tööstusrajatised(näiteks hostimisettevõtete võimsad ja tootlikud serverid). Ja selleks, et tekitada sellise masina töös märgatavat kahju, on vaja palju suuremat võimsust kui tema oma. See on esimene asi. Ja teiseks, DoS-rünnaku algatajat on üsna lihtne tuvastada.

DDoS - sisuliselt sama mis DoS, ainult rünnak on hajutatud loodus. Mitte viis, mitte kümme, mitte kakskümmend, vaid sajad ja tuhanded arvutid pääsevad üheaegselt ühele serverile juurde erinevad kohad. Seda masinate armeed nimetatakse botnet. Tellijat ja korraldajat on peaaegu võimatu tuvastada.

Kaasosalised

Milliseid arvuteid robotvõrk sisaldab?

Teid üllatab, kuid need on sageli kõige tavalisemad kodumasinad. Kes teab?.. - üsna tõenäoliselt sinu oma koduarvuti viidud kurjuse poolele.

Selleks pole palju vaja. Ründaja leiab populaarsest haavatavuse operatsioonisüsteemi või rakendus ja selle abiga nakatab teie arvuti troojalasega, mis teatud päeval ja kellaajal annab teie arvutile korralduse teatud toiminguid tegema hakata. Näiteks saatke päringud konkreetsele IP-le. Muidugi ilma teie teadmiste ja osaluseta.

Müüt number kaks: « DDoS-i tehakse kuskil minust kaugel, spetsiaalses maa-aluses punkris, kus istuvad punaste silmadega habemega häkkerid. Tegelikult, seda teadmata, teie, teie sõbrad ja naabrid - igaüks võib olla tahtmatu kaasosaline.

See tõesti toimub. Isegi kui sa sellele ei mõtle. Isegi kui sa oled IT-st kohutavalt kaugel (eriti kui oled ITst kaugel!).

Meelelahutuslik häkkimine või DDoS-i mehaanika

DDoS-i nähtus ei ole ühtlane. See kontseptsioon ühendab palju tegevusvõimalusi, mis viivad ühe tulemuseni (teenusest keeldumine). Mõelgem, millist tüüpi probleeme DDoSerid meile tuua võivad.

Serveri arvutusressursside liigne kasutamine

Seda tehakse pakettide saatmisega konkreetsele IP-le, mille töötlemine nõuab suur kogus ressursse. Näiteks lehe laadimiseks peate käivitama suur hulk SQL päringud. Kõik ründajad taotlevad täpselt seda lehte, mis põhjustab serverite ülekoormust ja teenuse keelamist saidi tavaliste seaduslike külastajate jaoks.
See on rünnak koolilapse tasemel, kes luges paar õhtut ajakirja Hacker. Ta ei ole probleem. Sama taotletud URL arvutatakse koheselt, misjärel juurdepääs sellele blokeeritakse veebiserveri tasemel. Ja see on vaid üks lahendus.

Sidekanalite ülekoormus serverisse (väljund)

Selle rünnaku raskusaste on umbes sama, mis eelmisel. Ründaja määrab saidi kõige raskema lehe ja tema kontrolli all olev botnet hakkab seda massiliselt taotlema.

Kujutage ette, et meile nähtamatu osa Karupoeg Puhhist on lõpmatult suur
Sel juhul on ka väga lihtne aru saada, mis täpselt väljaminevat kanalit blokeerib ja sellele lehele juurdepääsu takistada. Sarnaseid päringuid saab hõlpsasti näha kasutades spetsiaalsed kommunaalteenused, mis võimaldavad teil vaadata võrguliides ja analüüsida liiklust. Seejärel kirjutatakse tulemüürile reegel, mis sellised päringud blokeerib. Seda kõike tehakse regulaarselt, automaatselt ja nii välkkiirelt, et Enamik kasutajaid pole isegi rünnakust teadlikud.

Müüt number kolm: "A Kuid nad jõuavad minu võõrustamisse harva ja ma märkan neid alati. Tegelikult 99,9% rünnakutest ei näe ega tunne. Aga igapäevane võitlus nendega - see on igapäevane rutiinne töö hosting ettevõte. See on meie reaalsus, kus rünnak on odav, konkurents on edetabelitest väljas ja mitte kõik ei näita üles mõistust päikese käes koha eest võitlemise meetodite osas.

Sidekanalite ülekoormus serverisse (sisend)

See on juba ülesanne neile, kes loevad ajakirja Hacker rohkem kui ühe päeva.

Foto raadio Ehho Moskvõ kodulehelt. Me ei leidnud midagi visuaalsemat, mis kujutaks DDoS-i sisendkanalite ülekoormamisega.
Kanali täitmiseks sissetuleva liiklusega mahuni peab teil olema botnet, mille võimsus võimaldab genereerida vajalikul hulgal liiklust. Aga äkki on võimalus vähe liiklust saata ja palju vastu võtta?

On, ja mitte ainult üks. Rünnaku täiustamise võimalusi on palju, kuid praegu on üks populaarsemaid rünnak avalike DNS-serverite kaudu. Eksperdid nimetavad seda võimendusmeetodit DNS-i võimendamine(juhul kui keegi eelistab eksperttermineid). Lihtsamalt öeldes kujutage ette laviini: selle purustamiseks piisab väikesest pingutusest, kuid selle peatamiseks piisab ebainimlikest ressurssidest.

Sina ja mina teame seda avalik DNS-server taotluse korral annab kõigile teavet mis tahes domeeninime kohta. Näiteks küsime selliselt serverilt: rääkige mulle domeenist sprinthost.ru. Ja kõhklemata räägib ta meile kõik, mida ta teab.

DNS-serveri päringute tegemine on väga lihtne operatsioon. Temaga ühenduse võtmine ei maksa peaaegu midagi; Näiteks nii:

Jääb üle vaid valida domeeninimi, mille teave moodustab muljetavaldava andmepaketi. Nii et algsed 35 baiti koos randmeliigutusega muutuvad peaaegu 3700-ks. Kasvu on rohkem kui 10 korda.

Kuidas aga tagada, et vastus saadetakse õigele IP-le? Kuidas võltsida päringu IP-allikat nii, et DNS-server annaks vastused ohvri suunas, kes andmeid ei küsinud?

Fakt on see, et DNS-serverid töötavad vastavalt UDP sideprotokoll, mis ei nõua päringu allika kinnitamist üldse. Väljuva IP võltsimine pole antud juhul dosaatori jaoks kuigi keeruline. Seetõttu on seda tüüpi rünnak praegu nii populaarne.

Kõige tähtsam on see, et sellise rünnaku läbiviimiseks piisab väga väikesest botnetist. Ja mitu laiali avalik DNS kes ei näeks selles midagi imelikku erinevad kasutajad aeg-ajalt küsivad nad andmeid ühe hosti aadressile. Ja alles siis sulandub kogu see liiklus üheks vooluks ja naelutab tugevalt ühe “toru”.

Mida dosaator teada ei saa, on ründaja kanalite võimsus. Ja kui ta ei arvuta oma rünnaku võimsust õigesti ja ei ummista kohe kanalit serveris 100%, saab rünnaku üsna kiiresti ja lihtsalt tagasi lükata. Kasutades kommunaalteenuseid nagu TCPdump on lihtne teada saada, mida sissetulev liiklus saabub DNS-ist ja takistab tulemüüri tasemel selle vastuvõtmist. See valik - DNS-i liikluse vastuvõtmisest keeldumine - on kõigi jaoks seotud teatud ebamugavustega, kuid nii serverid kui ka neil olevad saidid jätkavad edukalt töötamist.

See on vaid üks võimalus paljudest rünnaku tõhustamiseks. Rünnakuid on palju teisigi, neist saame teinekord rääkida. Praeguseks tahaksin kokku võtta, et kõik eelnev kehtib rünnaku kohta, mille võimsus ei ületa serverisse viiva kanali laiust.

Kui rünnak on võimas

Kui ründevõimsus ületab serveri kanali võimsuse, juhtub järgmine. Interneti-kanal serverisse on kohe ummistunud, seejärel hostimissaidile, selle Interneti-teenuse pakkujale, kõrgema taseme pakkujale ja nii edasi ja edasi ja ülespoole (pikaajaliselt - kõige absurdsemate piirideni), nagu kuivõrd ründejõud on piisav.

Ja siis see saabki globaalne probleem kõigile. Ja lühidalt, sellega pidime 20. novembril 2013 tegelema. Ja kui toimuvad ulatuslikud murrangud, on aeg sisse lülitada eriline maagia!

Selline näeb välja erimaagia Selle maagia abil on võimalik määrata server, kuhu liiklus on suunatud, ja blokeerida selle IP Interneti-pakkuja tasemel. Nii et ta lõpetab oma suhtluskanalite kaudu vastuvõtmise välismaailma(üleslingid) kõik kõned sellele IP-le. Tähtaja armastajatele: eksperdid nimetavad seda protseduuri "must auk", inglise keelest blackhole.

Sel juhul jääb rünnatud server, millel on 500–1500 kontot, ilma oma IP-st. Selle jaoks eraldatakse uus IP-aadresside alamvõrk, mille vahel on kliendikontod juhuslikult ühtlaselt jaotatud. Järgmisena ootavad eksperdid rünnaku kordumist. See kordub peaaegu alati.

Ja kui see kordub, pole rünnatud IP-l enam 500–1000 kontot, vaid ainult kümmekond või kaks.

Kahtlustatavate ring kitseneb. Need 10-20 kontot jaotatakse jälle erinevatele IP-aadressidele. Ja jälle on insenerid varitsuses ja ootavad rünnaku kordumist. Ikka ja jälle levitavad nad kahtluse alla jäänud kontosid erinevatele IP-dele ja määravad seega järk-järgult lähenedes rünnaku sihtmärgi. Kõik teised kontod naasevad sel hetkel kontole normaalne töö samal IP-l.

Nagu selge, ei ole see kiire protseduur, selle rakendamine võtab aega.

Müüt number neli:"Kui see juhtub ulatuslik rünnak, minu võõrustajal pole tegevusplaani. Ta lihtsalt ootab suletud silmadega pommirünnaku lõppu ja vastab minu kirjadele sama tüüpi vastustega.See ei vasta tõele: ründe korral tegutseb hostingu pakkuja plaani järgi, et see lokaliseerida ja tagajärjed võimalikult kiiresti kõrvaldada. Ja sama tüüpi kirjad võimaldavad teil edastada toimuva olemust ja samal ajal säästa ressursse, mis on vajalikud hädaolukorra kiireks lahendamiseks.

Kas tunneli lõpus paistab valgust?

Nüüd näeme, et DDoS-i aktiivsus kasvab pidevalt. Rünnaku tellimine on muutunud väga kättesaadavaks ja ennekuulmatult odavaks. Propagandasüüdistuste vältimiseks puuduvad tõestuslingid. Kuid võtke meie sõna, see on tõsi.

Müüt number viis: “DDoS-rünnak on väga kallis ettevõtmine ja selle tellimist saavad endale lubada vaid ärimagnaatid. IN viimase abinõuna, see on salateenistuste mahhinatsioon! Tegelikult on sellised üritused muutunud äärmiselt kättesaadavaks.

Seetõttu oodake seda pahatahtlik tegevus See kaob iseenesest, ei pea. Pigem see ainult süveneb. Jääb vaid relv sepistada ja teritada. Seda me teemegi, parandades võrgu infrastruktuuri.

Probleemi juriidiline pool

See on DDoS-i rünnakute arutelu väga ebapopulaarne aspekt, kuna me kuuleme harva juhtumitest, kus kurjategijad tabatakse ja karistatakse. Siiski peaksite meeles pidama: DDoS-rünnak on kriminaalkuritegu. Enamikus maailma riikides, sealhulgas Vene Föderatsioonis.

Müüt number kuus: « Nüüd tean DDoS-ist piisavalt, tellin konkurendile peo - ja minuga ei juhtu selle eest midagi!" Võimalik, et see juhtub. Ja kui see nii on, ei tundu see palju.

• DDoS-i loo algus maksesüsteem Abi
• Põnev lõpp

Üldiselt ei soovita me kellelgi DDoS-i õela praktikaga tegeleda, et mitte tekitada õigluse viha ja mitte rikkuda oma karmat. Ja meie, tulenevalt oma tegevuse spetsiifikast ja suurest uurimishuvist, jätkame probleemi uurimist, valvet ja kaitsestruktuuride täiustamist.

PS:meil pole piisavalt häid sõnu, et oma tänulikkust väljendada, nii et me lihtsalt ütleme"Aitäh!" meie kannatlikele klientidele, kes meid raskel päeval 20.11.2013 soojalt toetasid. Olete meie toetuseks öelnud palju julgustavaid sõnu