Laten we vandaag proberen de situatie rond Ddos-aanvallen op de server te verduidelijken. Nog steeds dit probleem komt echt overeen met het onderwerp hosting als zodanig.

Het ding is behoorlijk onaangenaam. Stel je voor, gisteren heb ik een gloednieuwe plug-in op mijn WordPress geïnstalleerd en na een tijdje ineens, bam! - de blog in de browser stopt met openen. Bovendien surfen andere sites perfect tegelijkertijd. Er komen gedachten binnen - ik heb iets verpest met de plug-in. Ik klik vaak om de pagina opnieuw te laden, maar er gebeurt niets! Toen begon het echt te werken, maar ik moest een paar onaangename minuten doormaken.

En vandaag zie ik in de mail een brief van de technische ondersteuning van TimeWeb. Ik zal het niet verbergen, ik neem daar hosting. En wat u moet verbergen: voer gewoon het siteadres in Whois in.
De brief is:

"Beste gebruikers.
Vandaag, 2 december 2011 om 16:32 Moskouse tijd, een enorme DDOS-aanval, waardoor de werking van sommige sites en servers werd verstoord.
TIMEWEB-ingenieurs namen de situatie onder controle en om 18.45 uur stabiel werk de site werd volledig hersteld..."

Ik besloot uit te zoeken waar ze vandaan komen Ddos-aanvallen op de server en wat is het eigenlijk? En dit is wat ik heb opgegraven.

Ddos-aanvallen op een server - wat is het?

Laten we eerst eens kijken naar Wiki, waar zouden we zijn zonder:

DOS-ATTACK (uit het Engels. Dienstweigering, dienstweigering) - een aanval op een computersysteem met als doel het te laten mislukken, dat wil zeggen in een zodanige staat te brengen dat legitieme (rechtmatige) gebruikers van het systeem geen toegang hebben tot de bronnen die door het systeem worden geleverd (servers, services), of tot deze toegang is moeilijk. Het falen van een ‘vijandelijk’ systeem kan een doel op zichzelf zijn (bijvoorbeeld het onbeschikbaar maken van een populaire website) of een van de stappen op weg naar het grijpen van de controle over het systeem (als de software in een noodsituatie kritieke informatie produceert – bijvoorbeeld voorbeeld, versie, onderdeel programmacode enz.).

Als de aanval gelijktijdig wordt uitgevoerd vanaf een groot aantal computers, spreken ze van een DDOS ATTACK (uit het Engels. Gedistribueerde denial-of-service, gedistribueerde Denial of Service-aanval). In sommige gevallen wordt een daadwerkelijke DDoS-aanval veroorzaakt door een legitieme actie, bijvoorbeeld door op een populaire internetbron een link te plaatsen naar een site die wordt gehost op een niet erg productieve server. Een grote toestroom van gebruikers leidt tot overdaad toegestane belasting naar de server en bijgevolg een denial-of-service voor sommige van hen.

Aan de ene kant is er dus een aanvalsobject: een bepaalde server of website, en aan de andere kant een groep aanvallers die een DDoS-aanval organiseren op het aanvalsobject.

Welke doelen streven de organisatoren van een Ddos-aanval na?

Een van de meest onschuldige redenen is banaal cyberpesten. De zaak wordt verergerd door het feit dat de meeste programma's voor het organiseren van aanvallen vrij beschikbaar zijn op internet.

Oneerlijke concurrentie leidt tot ernstigere DDoS-aanvallen. De doelen hier zijn anders: de server van de concurrent neerhalen, waardoor het werk van de tegenstander wordt verstoord, en daarnaast een negatief imago voor de concurrent op de markt creëren. Het is ook mogelijk om de server te hacken, omdat tijdens een grootschalige aanval stukjes informatie in de vorm van programmacodes voor het publiek kunnen glippen.

Met behulp van de Ddos-aanvalsmethode kunnen verschillende Ddos-groepen hun bestaan ​​bekendmaken of eisen en ultimatums stellen aan servereigenaren.

Hier zijn enkele voorbeelden Ddos-aanvallen op de server die ik in Lurkomorye vond:

• OOFR (Organisatie van United Phages of Russia), waartoe de volgende memegroepen behoren: Superstitious Leprak Colony, Fallen Onderdeel van LiveJournal en uiteraard geleid door Upyachka.

De belangrijkste slachtoffers van de OPFR waren:

1. www.mail.ru (voor het project KEVERS),
2. www.gay.com (omdat je homo bent),
3. www.4chan.org (voor het beledigen van de god “Onotole”),
4. www.wikipedia.org (voor een artikel over de UPCHK, waarin een belediging jegens katten (Kote) stond, die niet binnen een maand door de moderator werd verwijderd)

Veel organisaties die zich bezighouden met de bescherming tegen DDoS-aanvallen onderkennen, ondanks de successen op dit gebied, nog steeds het groeiende gevaar van de dreiging, vooral vanwege het gemak waarmee aanvallen kunnen worden georganiseerd.

Laten we een klein resultaat samenvatten:

Wij, gewone internetgebruikers, zouden het meest geïnteresseerd moeten zijn in de manier waarop bescherming tegen cyberaanvallen wordt geboden door de hosters waar we hosting huren voor ons geesteskind: websites. Zoals we in dit specifieke geval zien, heeft TimeWeb het probleem vrij snel opgelost. Ik geef hem het tweede pluspunt omdat hij mij hierover per mail heeft geïnformeerd.

Trouwens, ik heb TimeWeb onlangs nog een eenvoudige test gegeven.

Dat is alles over Ddos-aanvallen voor vandaag.

We zullen binnenkort praten over wat ze zijn en hoe de bescherming tegen cyberaanvallen is georganiseerd.

Blijkbaar de meerderheid moderne gebruikers computersystemen Heeft u wel eens van zoiets als een DDoS-aanval gehoord? Hoe u dit zelf kunt doen, wordt nu uiteraard niet in overweging genomen (behalve voor informatieve doeleinden), aangezien dergelijke acties illegaal zijn in overeenstemming met welke wetgeving dan ook. Het zal echter mogelijk zijn om erachter te komen wat het in het algemeen is en hoe het allemaal werkt. Maar laten we meteen opmerken: u moet het onderstaande materiaal niet beschouwen als een soort instructie of gids voor actie. De informatie wordt uitsluitend verstrekt met het doel gemeenschappelijk begrip problemen en alleen voor theoretische kennis. Het gebruik van bepaalde softwareproducten of het organiseren van illegale acties kan strafrechtelijke aansprakelijkheid met zich meebrengen.

Wat is een DDoS-aanval op een server?

Het concept van een DDoS-aanval kan worden geïnterpreteerd op basis van de decodering Engelse afkorting. De afkorting staat voor Distributed Denial of Service, dat wil zeggen grofweg Denial of Service of Performance.

Als u begrijpt wat een DDoS-aanval op een server is, is het over het algemeen een belasting van een bron door een groter aantal gebruikersverzoeken (verzoeken) via een bepaald communicatiekanaal, wat uiteraard beperkingen heeft op de verkeersvolume wanneer de server kan het eenvoudigweg niet verwerken. Hierdoor ontstaat er overbelasting. In feite beschikken de software en hardware van de server eenvoudigweg niet over voldoende computerbronnen om aan alle verzoeken te voldoen.

Principes van het organiseren van aanvallen

Een DDoS-aanval is in essentie gebaseerd op een aantal basisvoorwaarden. Het allerbelangrijkste is om in de eerste fase toegang te krijgen tot een gebruikerscomputer of zelfs server door er kwaadaardige code in te introduceren in de vorm van programma's die tegenwoordig gewoonlijk Trojaanse paarden worden genoemd.

Hoe organiseer je in deze fase zelf een DDoS-aanval? Helemaal eenvoudig. Zogenaamde sniffers kunnen worden gebruikt om computers te infecteren. Het is voldoende om het slachtoffer een brief te sturen e-mailadres met een bijlage (bijvoorbeeld een afbeelding met uitvoerbare code), wanneer deze wordt geopend, krijgt de aanvaller via zijn IP-adres toegang tot de computer van iemand anders.

Nu een paar woorden over wat de tweede fase inhoudt, namelijk een DDoS-aanval. Hoe het volgende verzoek indienen? Het is noodzakelijk dat het naar de server of internetbron wordt verzonden maximale hoeveelheid verzoeken. Dit kan uiteraard niet vanaf één terminal, dus u zult er gebruik van moeten maken extra computers. De conclusie dringt zich op: het is noodzakelijk dat het geïntroduceerde virus hen infecteert. Dergelijke scripts, waarvan kant-en-klare versies zelfs op internet te vinden zijn, kopiëren in de regel zichzelf en infecteren, indien beschikbaar, andere terminals in de netwerkomgeving. actieve verbinding of via internet.

Soorten DDoS-aanvallen

DDoS-aanval binnen in algemene zin het wordt slechts voorwaardelijk zo genoemd. In feite zijn er minstens vier varianten ervan (hoewel er tegenwoordig maar liefst 12 wijzigingen zijn):

• server crasht door het verzenden van onjuiste uit te voeren instructies;
• massale verzending van gebruikersgegevens, leidend tot cyclische verificatie;
• overstroming - onjuist gevormde verzoeken;
• verstoring van het communicatiekanaal door overstroming met valse adressen.

Geschiedenis van uiterlijk

Ze begonnen in 1996 voor het eerst over dit soort aanvallen te praten, maar toen hechtte niemand er veel belang aan. Serieus probleem begon pas in 1999 te worden veroordeeld, toen 's werelds grootste servers zoals Amazon, Yahoo, E-Trade, eBay, CNN, enz. werden aangevallen.

De gevolgen resulteerden in aanzienlijke verliezen als gevolg van de verstoring van deze diensten, hoewel dit destijds slechts gedeeltelijke gevallen waren. Er is nog geen sprake van een wijdverbreide dreiging.

Het bekendste geval van een DDoS-aanval

Zoals later bleek, bleef de zaak echter niet daartoe beperkt. De grootste DDoS-aanval in de geschiedenis van het bestaan computerwereld werd opgenomen in 2013, toen er een geschil ontstond tussen Spamhaus en de Nederlandse provider Cyberbunker.

De eerste organisatie plaatste de provider zonder enige uitleg in de lijst van spammers, ondanks het feit dat veel gerespecteerde (en niet zo gerespecteerde) organisaties en diensten gebruik maakten van haar servers. Bovendien bevonden de servers van de provider zich, hoe vreemd het ook mag lijken, in een voormalige NAVO-bunker.

Als reactie op dergelijke acties lanceerde Cyberbunker een aanval, die het zelf op zich nam CDN CloudFlare. De eerste klap kwam op 18 maart, de volgende dag steeg de snelheid van de verzoeken naar 90 Gbit/s, op de 21e was er een stilte, maar op 22 maart was de snelheid al 120 Gbit/s. Het was niet mogelijk om CloudFlare uit te schakelen, dus werd de snelheid verhoogd naar 300 Gbit/s. Tot op heden is dit een recordcijfer.

Wat zijn DDoS-aanvalsprogramma's?

In termen van de momenteel gebruikte software wordt het LOIC-programma beschouwd als de meest gebruikte applicatie, die echter alleen aanvallen toestaat op servers met reeds bekende IP- en URL-adressen. Het treurigste is dat het op internet wordt geplaatst om gratis te downloaden.

Maar zoals al duidelijk is, deze applicatie kan alleen worden gebruikt in combinatie met software waarmee u toegang krijgt tot de computer van iemand anders. Om voor de hand liggende redenen zijn de namen en volledige instructies over het gebruik ervan worden hier niet gegeven.

Hoe kun je zelf een aanval uitvoeren?

We hebben dus een DDoS-aanval nodig. Laten we kort kijken hoe u het zelf kunt maken. Er wordt aangenomen dat de sniffer werkte en dat je toegang hebt tot de terminal van iemand anders. Bij het opstarten uitvoerbaar bestand Loic.exe-programma's passen eenvoudig in het venster benodigde adressen en druk op de knop Vergrendelen aan.

Hierna wordt de fader ingesteld bij het aanpassen van de transmissiesnelheid via de HTTP/UDF/TCP-protocollen maximale waarde(10 op het standaard minimum), waarna de IMMA CHARGIN MAH LAZER-knop wordt gebruikt om de aanval te starten.

Hoe bescherm je jezelf tegen aanvallen?

Als je het hebt over welke programma's je kunt vinden voor DDoS-aanvallen, kun je de beveiligingshulpmiddelen niet negeren. Zelfs de derde wet van Newton stelt immers dat elke actie een reactie veroorzaakt.

In de zeer eenvoudig geval Er wordt gebruik gemaakt van antivirussen en firewalls (de zogenaamde firewalls), die zowel in programmatisch, of als computerhardware. Bovendien kunnen veel beveiligingsproviders verzoeken herverdelen tussen verschillende servers, inkomend verkeer filteren, dubbele beveiligingssystemen installeren, enz.

Een van de methoden om aanvallen uit te voeren is de DNS Amplification-techniek: de technologie waarbij recursieve verzoeken worden verzonden naar DNS-servers met niet-bestaande retouradressen. Dienovereenkomstig kunt u, als bescherming tegen dergelijke tegenslagen, veilig het universele fail2ban-pakket gebruiken, waarmee u tegenwoordig een vrij krachtige barrière voor dit soort mailings kunt installeren.

Wat moet je nog meer weten?

Over het algemeen kan zelfs een kind desgewenst toegang krijgen tot uw computer. Bovendien zijn zelfs enkele bijzonder complexe specialisten gespecialiseerd software is niet nodig en vervolgens kan een DDoS-aanval vanaf uw “zombiecomputer” worden uitgevoerd. Hoe je het zelf kunt maken, in algemene schets Het is al duidelijk.

Maar ik denk niet dat het de moeite waard is om zulke dingen te doen. Het is waar dat sommige beginnende gebruikers en programmeurs dergelijke acties proberen uit te voeren, om zo te zeggen, uit puur sportieve interesse. Onthoud: elke beheerder met kennis van zaken zal, als u dat niet bent, eenvoudigweg de locatie van de provider achterhalen, zelfs als u op een bepaald moment de locatie van de provider hebt gebruikt anonieme proxyserver op internet. Je hoeft niet ver te gaan. Dezelfde WhoIs-bron kan veel informatie bieden waar u niet eens vanaf weet. Nou, dan is het, zoals ze zeggen, een kwestie van techniek.

Het enige dat u hoeft te doen is contact opnemen met uw provider met het juiste verzoek met vermelding van het externe IP-adres, en hij zal (in overeenstemming met internationale normen) gegevens verstrekken over uw locatie en persoonlijke gegevens. Daarom mag het hierboven gepresenteerde materiaal niet worden beschouwd als een aansporing tot illegale acties. Dit heeft behoorlijk ernstige gevolgen.

Maar wat de aanvallen zelf betreft, is het de moeite waard om afzonderlijk te zeggen dat u zelf enkele maatregelen moet nemen om het systeem te beschermen, omdat kwaadaardige codes kan zelfs in internetbanners voorkomen. Als u erop klikt, kan een Trojaans paard naar uw computer worden gedownload. En niet alle antivirusprogramma's kunnen dergelijke bedreigingen filteren. En het feit dat een computer in een soort zombiebox kan veranderen, wordt helemaal niet besproken. Het kan zijn dat de gebruiker dit niet eens merkt (tenzij het uitgaande verkeer toeneemt). Het installeren en configureren van het fail2ban-pakket is behoorlijk ingewikkeld, dus je moet een serieuze antivirusprogramma (Eset, Kaspersky) gebruiken als de meest primitieve tools, en geen gratis tools softwareproducten, en ontkoppel ook uw eigen geld niet Windows-bescherming zoals een firewall.

Zoekopdracht goede ober voor het spel Minecraft komt er tussen een heleboel willekeurige bronnen vaak geen einde comfortabel spel, maar door voortdurende schoppen en verboden. En om de gerechtigheid onder illegaal vernederde spelers te herstellen, zullen we je vertellen hoe je een Minecraft-server DDOS kunt maken en wat je hiervoor moet gebruiken.

Voeg Minecraft-server toe via cmd

Bij de eerste methode heeft u alleen toegang tot de tolk nodig opdrachtregel cmd, kladblok geïnstalleerd en kennis van enkele commando's. Maak dus eerst een nieuwe aan tekstbestand in kladblok en voer daar de volgende opdrachten in:

ping xxx.xx.x.x –t -l 600000

Bij ping voert u het IP-adres in van de bron die u gaat aanvallen, en 600.000 is het aantal verzoeken dat uw computer zal sturen naar de bron die wordt aangevallen.

Nadat u de vereiste waarden heeft ingevoerd, moet u uw tekstbestand opslaan met permissie.bat en uitvoeren dubbelklikken muizen.

Het grootste probleem is echter niet hoe je een Minecraft-server via de console kunt DDOS-en, maar hoe je je aanval effectiever kunt maken. En hier moet je meerdere gelijkgestemde mensen of vrienden verbinden, anders kun je de server niet installeren.

Aan de andere kant kan het voortdurend verzenden van pakketten de werking van de bron aanzienlijk vertragen, periodieke storingen en vertragingen veroorzaken, wat de beoordeling van de server negatief zal beïnvloeden. Daarom wordt aanbevolen om meerdere van dergelijke scripts uit te voeren, zodat ze tegelijkertijd werken.

DDoSIM de Minecraft-server met hulpprogramma's van derden

Hier kunt u deze gebruiken bekende programma's, zoals LOIC, of ​​installeer een gespecialiseerde GravyBot voor MineCraft, Minecraft Ultimate SpamBot, enz. Vervolgens zullen we kijken naar het werkingsprincipe van al deze programma's.

LOIC

Nadat u het programma hebt geïnstalleerd, start u het, voert u het IP-adres van de server in en klikt u op Vergrendelen. Hierna verschijnen de doel-IP-nummers in het venster Geen.

Vervolgens gaan we verder met de instellingen voor aanvalsopties, d.w.z. selecteer het type stream, het aantal verzoeken en hun transmissiesnelheid. De waarden moeten worden ingesteld afhankelijk van de snelheid van je verbinding: hoe hoger deze is, hoe groter de waarden die je kunt opgeven.

Nadat u alle instellingen heeft gemaakt, klikt u op IMMA CHARGIN MAH LAZER. De aanval wordt gestopt door op dezelfde toets te drukken. Zoals bij elke DDoS-aanval hangt het succes ook hier af van het aantal actieve clients.

De essentie van dit programma is om een ​​specifieke server te overspoelen met spambots en deze uiteindelijk te laten crashen of de chat volledig te verstoppen. Nadat u het programma hebt geïnstalleerd, moet u een lijst met namen en een lijst met proxyservers verbinden. Gelukkig is het niet zo moeilijk om ze op internet te vinden.

Je kunt een bericht instellen dat constant in de chat wordt weergegeven en zelfs een bijnaam. Nadat u alle instellingen heeft ingevoerd, activeert u de aanval door op de Start-knop te klikken. Je kunt de aanval onmiddellijk stoppen door op de knop Stoppen te klikken.

Er zijn ook enkele nadelen aan deze methode. Het wijdverbreide gebruik van het programma heeft ertoe geleid dat veel hostingproviders gespecialiseerde bescherming hebben geïnstalleerd. Daarom, als je zeker wilt “zetten” spelserver, dan raden we je aan om nogmaals vertrouwd te raken met het toevoegen van een Minecraft-server via cmd en alleen de bovenstaande methode te gebruiken.

Ter afsluiting zou ik dat willen toevoegen universele methoden Er is momenteel geen bescherming tegen DDOS-aanvallen. Natuurlijk kunnen serverbeheerders proberen uw IP-adres te blokkeren, maar het zal vrij eenvoudig zijn om deze te omzeilen als u over werkende proxy's beschikt. En als je een groot aantal mensen bij een DDOS-aanval betrekt, dan zal de server niet 100% van de tijd overleven.

In officiële communicatie van hostingproviders wordt hier en daar steeds vaker verwezen naar gereflecteerde DDoS-aanvallen. Wanneer gebruikers ontdekken dat hun website niet beschikbaar is, gaan ze steeds vaker meteen uit van DDoS. Begin maart maakte de Runet inderdaad een hele golf van dergelijke aanvallen mee. Tegelijkertijd verzekeren experts dat het plezier nog maar net begint. Het is eenvoudigweg onmogelijk om een ​​fenomeen dat zo relevant, bedreigend en intrigerend is te negeren. Laten we het vandaag dus hebben over mythen en feiten over DDoS. Vanuit het oogpunt van de hostingprovider natuurlijk.

Memorabele dag

Op 20 november 2013 was voor het eerst in de 8-jarige geschiedenis van ons bedrijf het volledige technische platform enkele uren niet beschikbaar vanwege een ongekende DDoS-aanval. Tienduizenden van onze klanten in heel Rusland en het GOS hebben geleden, om nog maar te zwijgen van onszelf en onze internetprovider. Het laatste wat de aanbieder eerder wist vast te leggen wit licht voor iedereen is vervaagd - dat de invoerkanalen stevig verstopt zijn met inkomend verkeer. Om dit te visualiseren, stelt u zich uw badkuip voor met een gewone afvoer, waar de Niagarawatervallen in stromen.

Zelfs aanbieders hoger in de keten voelden de gevolgen van deze tsunami. Onderstaande grafieken illustreren duidelijk wat er die dag gebeurde met het internetverkeer in Sint-Petersburg en Rusland. Let op de steile pieken op 15 en 18 uur, precies op de momenten waarop we de aanvallen registreerden. Voor deze plotselinge plus 500-700 GB.

Het duurde enkele uren om de aanval te lokaliseren. De server waarop het werd verzonden, werd berekend. Vervolgens werd het doelwit van internetterroristen berekend. Weet jij wie al deze vijandelijke artillerie raakte? Een heel gewone, bescheiden klantensite.

Mythe nummer één: “Het doelwit van de aanval is altijd de hostingprovider. Dit zijn de machinaties van zijn concurrenten. Niet de mijne." In feite is het meest waarschijnlijke doelwit van internetterroristen een gewone klantensite. Dat wil zeggen, de site van een van uw hostingburen. Of misschien ook die van jou.

Niet alles is DDoS...

Na de gebeurtenissen op onze technische site op 20 november 2013 en de gedeeltelijke herhaling ervan op 9 januari 2014, begonnen sommige gebruikers DDoS aan te nemen bij een bepaalde storing van hun eigen website: “Dit is DDoS!” en “Ervaar je opnieuw DDoS?”

Het is belangrijk om te onthouden dat als we zo’n DDoS meemaken dat zelfs onze klanten het voelen, we dit onmiddellijk zelf melden.

We willen degenen die haast hebben om in paniek te raken geruststellen: als er iets mis is met uw site, dan is de kans dat het DDoS is minder dan 1%. Simpelweg omdat er veel dingen met een site kunnen gebeuren, en deze ‘veel dingen’ gebeuren veel vaker. Over zelfhulpmethoden snelle diagnostiek In een van de volgende berichten zullen we bespreken wat er precies met uw site gebeurt.

Laten we in de tussentijd, omwille van de nauwkeurigheid van het woordgebruik, de voorwaarden verduidelijken.

Over voorwaarden

DoS-aanval (uit het Engelse Denial of Service) - Dit is een aanval die is ontworpen om ervoor te zorgen dat een server de service wordt ontzegd vanwege overbelasting.

DoS-aanvallen gaan niet gepaard met schade aan apparatuur of diefstal van informatie; hun doel - ervoor zorgen dat de server niet meer reageert op verzoeken. Fundamenteel verschil DoS is dat de aanval plaatsvindt van de ene machine naar de andere. Er zijn precies twee deelnemers.

Maar in werkelijkheid zien we vrijwel geen DoS-aanvallen. Waarom? Omdat de doelwitten van aanvallen het vaakst zijn industriële faciliteiten(bijvoorbeeld krachtige, productieve servers van hostingbedrijven). En om merkbare schade aan de werking van een dergelijke machine te veroorzaken, is er veel meer kracht nodig dan die van hemzelf. Dit is het eerste. En ten tweede is de initiator van een DoS-aanval vrij eenvoudig te identificeren.

DDoS - in wezen hetzelfde als DoS, alleen de aanval is gedistribueerde natuur. Niet vijf, niet tien, niet twintig, maar honderden en duizenden computers hebben tegelijkertijd toegang tot één server verschillende plaatsen. Dit leger van machines wordt genoemd botnet. Het is bijna onmogelijk om de klant en de organisator te identificeren.

Medeplichtigen

Wat voor soort computers zijn opgenomen in het botnet?

Je zult verrast zijn, maar dit zijn vaak de meest gewone thuismachines. Wie weet?.. - misschien wel de jouwe thuiscomputer weggevoerd naar de kant van het kwaad.

Je hebt hier niet veel voor nodig. Een aanvaller vindt een kwetsbaarheid in een populair besturingssysteem of applicatie en infecteert met zijn hulp uw computer met een Trojaans paard, dat uw computer op een bepaalde dag en tijd de opdracht geeft bepaalde acties uit te voeren. Stuur bijvoorbeeld verzoeken naar een specifiek IP-adres. Zonder uw medeweten of deelname uiteraard.

Mythe nummer twee: « DDoS doe je ergens ver bij mij vandaan, in een speciale ondergrondse bunker waar bebaarde hackers met rode ogen zitten.” Sterker nog, zonder het te weten, jij, je vrienden en buren - iedereen kan een onwetende medeplichtige zijn.

Dit gebeurt echt. Zelfs als je er niet over nadenkt. Ook als je vreselijk ver van IT zit (vooral als je ver van IT zit!).

Vermakelijke hack- of DDoS-mechanica

Het DDoS-fenomeen is niet uniform. Dit concept combineert vele actiemogelijkheden die tot één resultaat leiden (denial of service). Laten we eens kijken naar de problemen die DDoSers ons kunnen brengen.

Overmatig gebruik van servercomputerbronnen

Dit wordt gedaan door pakketten naar een specifiek IP-adres te sturen, waarvan de verwerking vereist is grote hoeveelheid bronnen. Om bijvoorbeeld een pagina te laden, moet u uitvoeren groot aantal SQL-query's. Alle aanvallers zullen deze exacte pagina opvragen, wat serveroverbelasting en denial of service zal veroorzaken voor normale, legitieme sitebezoekers.
Dit is een aanval op het niveau van een schoolkind dat een paar avonden het tijdschrift Hacker heeft gelezen. Ze is geen probleem. Dezelfde opgevraagde URL wordt onmiddellijk berekend, waarna de toegang daartoe op webserverniveau wordt geblokkeerd. En dit is slechts één oplossing.

Overbelasting van communicatiekanalen naar de server (uitvoer)

De moeilijkheidsgraad van deze aanval is ongeveer hetzelfde als de vorige. De aanvaller bepaalt de zwaarste pagina op de site en het botnet onder zijn controle begint deze massaal op te vragen.

Stel je voor dat het voor ons onzichtbare deel van Winnie de Poeh oneindig groot is
In dit geval is het ook heel gemakkelijk om te begrijpen wat het uitgaande kanaal precies blokkeert en de toegang tot deze pagina verhindert. Soortgelijke zoekopdrachten kunnen eenvoudig worden bekeken met behulp van speciale nutsvoorzieningen, waar je naar kunt kijken netwerkinterface en analyseer het verkeer. Vervolgens wordt er een regel geschreven voor de Firewall die dergelijke verzoeken blokkeert. Dit alles gebeurt regelmatig, automatisch en zo razendsnel De meeste gebruikers zijn zich niet eens bewust van een aanval.

Mythe nummer drie: "A Ze dringen echter zelden door tot mijn hosting, en ik merk ze altijd op.” Sterker nog, 99,9% van de aanvallen zie of voel je niet. Maar de dagelijkse strijd met hen - het is elke dag routinematig werk hostingbedrijf. Dit is onze realiteit, waarin een aanval goedkoop is, concurrentie buiten de hitlijsten valt en niet iedereen blijk geeft van onderscheidingsvermogen in de methoden van vechten voor een plek onder de zon.

Overbelasting van communicatiekanalen naar de server (invoer)

Dit is al een taak voor degenen die Hacker magazine meer dan één dag lezen.

Foto van de radiowebsite Ekho Moskvy. We hebben niets visueler gevonden om DDoS weer te geven met overbelasting van invoerkanalen.
Om een ​​kanaal optimaal te kunnen vullen met inkomend verkeer, heb je een botnet nodig, waarvan de kracht je in staat stelt de benodigde hoeveelheid verkeer te genereren. Maar misschien is er een manier om weinig verkeer te verzenden en veel te ontvangen?

Die is er, en niet slechts één. Er zijn veel opties voor aanvalsverbetering, maar een van de meest populaire op dit moment is aanval via openbare DNS-servers. Experts noemen deze versterkingsmethode DNS-versterking(voor het geval iemand de voorkeur geeft aan deskundige termen). Simpel gezegd: stel je een lawine voor: een kleine inspanning is genoeg om hem te breken, maar onmenselijke middelen zijn genoeg om hem te stoppen.

Jij en ik weten dat openbare DNS-server verstrekt op verzoek aan iedereen informatie over welke domeinnaam dan ook. We vragen bijvoorbeeld aan zo'n server: vertel me over het domein sprinthost.ru. En zonder aarzeling vertelt hij ons alles wat hij weet.

Het bevragen van de DNS-server is erg lastig eenvoudige bediening. Het kost bijna niets om contact met hem op te nemen; het verzoek zal microscopisch klein zijn. Bijvoorbeeld zoals dit:

Het enige dat overblijft is kiezen domeinnaam, informatie waarover een indrukwekkend datapakket zal vormen. Dus de oorspronkelijke 35 bytes worden met een polsbeweging bijna 3700. Er is een toename van meer dan 10 keer.

Maar hoe zorg je ervoor dat het antwoord naar het juiste IP-adres wordt verzonden? Hoe spoof je de IP-bron van een verzoek, zodat de DNS-server zijn antwoorden verzendt naar een slachtoffer dat geen gegevens heeft opgevraagd?

Feit is dat DNS-servers werken volgens UDP-communicatieprotocol, waarvoor helemaal geen bevestiging van de bron van het verzoek vereist is. Het vervalsen van een uitgaand IP-adres is in dit geval niet erg moeilijk voor doseerder. Dit is de reden waarom dit type aanval nu zo populair is.

Het belangrijkste is dat een heel klein botnet voldoende is om zo’n aanval uit te voeren. En een aantal verspreide openbare DNS wie zal daar niets vreemds in zien verschillende gebruikers van tijd tot tijd vragen ze gegevens op naar het adres van één host. En alleen dan zal al dit verkeer samensmelten tot één stroom en één “pijp” stevig vastspijkeren.

Wat de doseerder niet kan weten, is de capaciteit van de kanalen van de aanvaller. En als hij de kracht van zijn aanval niet correct berekent en het kanaal naar de server niet onmiddellijk voor 100% verstopt, kan de aanval vrij snel en gemakkelijk worden afgeslagen. Met behulp van hulpprogramma's zoals TCP-dump het is gemakkelijk om erachter te komen wat inkomend verkeer komt van DNS en verhindert op Firewall-niveau dat het wordt geaccepteerd. Deze optie - weigeren verkeer van de DNS te accepteren - gaat voor iedereen gepaard met een zeker ongemak, maar zowel de servers als de sites daarop zullen succesvol blijven werken.

Dit is slechts één van de vele mogelijke opties om een ​​aanval te verbeteren. Er zijn nog veel meer soorten aanvallen, we kunnen er een andere keer over praten. Voor nu zou ik willen samenvatten dat al het bovenstaande waar is voor een aanval waarvan de kracht de breedte van het kanaal naar de server niet overschrijdt.

Als de aanval krachtig is

Als het aanvalsvermogen de capaciteit van het kanaal naar de server overschrijdt, gebeurt het volgende. Het internetkanaal naar de server raakt onmiddellijk verstopt, vervolgens naar de hostingsite, naar de internetprovider, naar de upstreamprovider, enzovoort, en zo verder en verder (op de lange termijn - tot de meest absurde limieten), voor zover de aanvalskracht is voldoende.

En dat is wanneer het wordt mondiaal probleem voor iedereen. En dat is in een notendop waar we op 20 november 2013 mee te maken kregen. En wanneer zich grootschalige omwentelingen voordoen, is het tijd om speciale magie in te schakelen!

Zo ziet de speciale magie eruit. Met behulp van deze magie is het mogelijk om de server te bepalen waarnaar het verkeer wordt geleid en het IP-adres ervan op internetproviderniveau te blokkeren. Zodat hij niet langer via zijn communicatiekanalen ontvangt buitenwereld(uplinks) alle oproepen naar dit IP-adres. Voor termijnliefhebbers: experts noemen deze procedure "zwart gat", uit het Engelse blackhole.

In dit geval blijft de aangevallen server met 500-1500 accounts zonder IP-adres. Er wordt een nieuw subnet van IP-adressen voor toegewezen, waarover klantaccounts willekeurig en gelijkmatig worden verdeeld. Vervolgens wachten experts tot de aanval zich herhaalt. Het herhaalt zich bijna altijd.

En als het zich herhaalt, heeft het aangevallen IP-adres niet langer 500 tot 1000 accounts, maar slechts een tiental of twee.

De kring van verdachten wordt kleiner. Deze 10-20 accounts worden opnieuw verdeeld over verschillende IP-adressen. En opnieuw liggen de ingenieurs in een hinderlaag te wachten tot de aanval zich herhaalt. Keer op keer verdelen ze de accounts die nog steeds verdacht worden onder verschillende IP's en bepalen zo, geleidelijk naderend, het doelwit van de aanval. Alle andere accounts keren op dit punt terug naar normale werking op hetzelfde IP-adres.

Zoals duidelijk is, is dit geen instantprocedure; het kost tijd om deze te implementeren.

Mythe nummer vier:‘Als het gebeurt grootschalige aanval, mijn gastheer heeft geen actieplan. Hij wacht gewoon, met gesloten ogen, tot het bombardement stopt, en beantwoordt mijn brieven met hetzelfde soort antwoorden.Dit is niet waar: bij een aanval handelt de hostingprovider volgens een plan om deze te lokaliseren en de gevolgen zo snel mogelijk weg te nemen. En met letters van hetzelfde type kunt u de essentie overbrengen van wat er gebeurt en tegelijkertijd de middelen besparen die nodig zijn om een ​​noodsituatie zo snel mogelijk aan te pakken.

Is er licht aan het einde van de tunnel?

Nu zien we dat de DDoS-activiteit voortdurend toeneemt. Het bestellen van een aanval is zeer toegankelijk en schandalig goedkoop geworden. Om beschuldigingen van propaganda te voorkomen, zullen er geen bewijslinks zijn. Maar geloof ons op ons woord: het is waar.

Mythe nummer vijf: “Een DDoS-aanval is een zeer dure onderneming, en alleen zakenmagnaten kunnen het zich veroorloven er een te bestellen. IN als laatste redmiddel, dit zijn de machinaties van de geheime diensten! In feite zijn dergelijke evenementen uiterst toegankelijk geworden.

Verwacht dat daarom kwaadaardige activiteit Het gaat vanzelf weg, dat hoeft niet. Integendeel, het zal alleen maar intensiveren. Het enige dat overblijft is het smeden en slijpen van het wapen. Dit is wat wij doen: het verbeteren van de netwerkinfrastructuur.

Juridische kant van de zaak

Dit is een zeer impopulair aspect van de discussie over DDoS-aanvallen, omdat we zelden horen dat de daders zijn opgepakt en gestraft. U moet echter het volgende onthouden: Een DDoS-aanval is een strafbaar feit. In de meeste landen van de wereld, inclusief de Russische Federatie.

Mythe nummer zes: « Nu ik genoeg weet over DDoS, bestel ik een feestje voor een concurrent - en hierdoor zal mij niets overkomen!” Het is mogelijk dat dit zal gebeuren. En als dat zo is, lijkt het niet veel.

• Het begin van het DDoS-verhaal betalingssysteem Helpen
• Spannend einde

Over het algemeen raden we niemand aan zich bezig te houden met de wrede praktijk van DDoS, om niet de toorn van gerechtigheid op de hals te halen en je karma niet te ruïneren. En vanwege de specifieke kenmerken van onze activiteiten en de grote belangstelling voor onderzoek blijven wij het probleem bestuderen, waken en de verdedigingsstructuren verbeteren.

PS:we hebben niet genoeg vriendelijke woorden om onze dankbaarheid te uiten, dus zeggen we het gewoon"Bedankt!" aan onze geduldige klanten die ons hartelijk hebben gesteund op een moeilijke dag op 20 november 2013. Je hebt veel bemoedigende woorden gezegd ter ondersteuning van onze steun