| Предыдущая версия справа и слева
Предыдущая версия
|
Предыдущая версия
|
сети:ddos [2013/10/24 08:25]
|
сети:ddos [2022/12/26 13:48] (текущий)
maryia |
| | ====== ddos ====== |
| |
| | ===== Атаки на «отказ в обслуживании» ===== |
| | Современный Интернет – среда довольно агрессивная: выставленные для публичного доступа веб-сайты постоянно подвергаются самым разным виртуальным атакам. Одной из характерных для современного положения дел в Интернете тенденций является рост числа атак типа «отказ в обслуживании» - так называемых DoS-атак. Причём растёт не только число таких атак, направленных на веб-сайты, но и масштабы каждой конкретной атаки. А кроме того, эволюционируют механизмы проведения атак. |
| | |
| | DoS-атакой (от англ. Denial of Service – дословный перевод: отказ от обслуживания), в случае с веб-сайтом, принято называть действия злоумышленников, вызывающие перегрузку того или иного технологического элемента в цепочке, обеспечивающей связь интернет-пользователей с веб-сайтом. В результате таких действий веб-сайт оказывается не доступен для просмотра. |
| | |
| | Утрированный пример DoS-атаки: злоумышленники непрерывно посылают веб-серверу очень большое число запросов на извлечение страниц. Так как всякий веб-сервер имеет ограничение на максимальное число посещений в единицу времени, которое он может обслужить, то при наличии достаточно большого числа «паразитных» запросов новые запросы перестают обрабатываться. Таким образом, для добросовестных посетителей сайт оказывается «отключен». |
| | |
| | |
| | ===== Зачем нужны атаки ===== |
| | Если отбросить «пробные атаки», иногда организуемые злоумышленниками с целью проверить новые «инструменты», то окажется, что за атакой стоит чьё-то желание сделать конкретный веб-сайт недоступным для его аудитории. Например, попытаться «отключить» коммерческий сайт могут злоумышленники, старающиеся нарушить нормальный ход бизнеса владельцев сайта. DoS-атаки могут использоваться в качестве инструмента давления на популярные Интернет-СМИ. Нередки случаи DoS-атак, проводящихся в качестве «меры устрашения» в ответ на публикацию каких-либо статей и материалов. Месть - вообще распространённая причина совершения атак на веб-сайты. Но каковы бы ни были причины спланированных DoS-атак, их исполнители и заказчики лишь в редких случаях открыто «берут на себя ответственность». |
| | |
| | Нужно отдельно отметить «нечаянные» «DoS-атаки». Такие «атаки» возникают, когда на веб-сайт «обрушивается» неожиданно большое число вполне добропорядочных посетителей. Классический сценарий: коммерческая компания размещает в Интернете веб-сайт, используя недорогой хостинг; после того как сайт опубликован, заказывается мощная рекламная кампания, цель которой – привлечь посетителей на новый сайт. Если реклама оказывается эффективной, то на сайт одновременно приходит большое число посетителей, хостинг не выдерживает нагрузки и сайт «отключается». Итог: сайт недоступен, а рекламный бюджет, можно сказать, выброшен на ветер, потому что новые посетители не имеют возможности получить информацию с веб-сайта. |
| | |
| | |
| | ===== Механизмы атак ===== |
| | Самая примитивная DoS-атака на веб-сайт может быть выполнена при помощи одного компьютера, имеющего высокоскоростное подключение к Интернету. С помощью специальной программы такой компьютер начинает засыпать атакуемый веб-сайт запросами. В принципе, на роль «специальной программы» вполне годится обычный веб-браузер, который постоянно «обновляет» страницу по заданному адресу. Впрочем, подобная примитивная DoS-атака имеет минимальны шансы на успех в современном Интернете. Дело в том, что, в случае с веб-сайтами, используемые в Интернете протоколы передачи данных позволяют хостинг-провайдеру отфильтровать слишком интенсивный поток запросов по IP-адресу источника. |
| | |
| | Нужно отметить, что для организации атаки злоумышленники могут использовать различные особенности протоколов передачи данных в Интернете, в том числе и те, которые позволяют подделать IP-адрес отправителя. В этом случае вредоносные пакеты могут преодолевать фильтры, настроенные хостинг-провайдером. |
| | |
| | Среди самых опасных и трудных для блокирования на стороне хостинг-провайдера типов DoS-атак – распределённые DoS-атаки (или DDoS – Distributed Denial of Service; в дословном переводе: распределённый отказ в обслуживании). В рамках DDoS-атаки, запросы на веб-сайт отправляет не один компьютер большим потоком, а множество компьютеров, каждый из которых вносит лишь малую лепту в общий поток. |
| | |
| | Различных IP-адресов, участвующих в атаке, очень много, да и расположены они в самых разных сетях. Так как очередные «атакующие запросы» приходят с других IP-адресов, то фильтрация атаки по адресу источника не работает. |
| | |
| | Для реализации DDoS-атак злоумышленники используют ботнеты – сети из заражённых программами-червями компьютеров, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи этих машин скорее всего не подозревают, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносного программного обеспечения, а заражённые машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-зомби по атаке веб-сайтов и других ресурсов. |
| | |
| | Эффективным способом осуществления успешной DDoS-атаки является отправка машинами-зомби таких запросов к веб-серверу, которые потребуют существенных затрат вычислительных ресурсов на обработку. При этом запросы передаются по протоколу HTTP, что сильно затрудняет решение задачи автоматической фильтрации «вредоносных» запросов к серверу до их обработки. |
| | |
| | Поэтому злоумышленники стараются выявить в используемом на сервере программном обеспечении функции, которые можно задействовать для создания дополнительной нагрузки на сервер. Часто такие функции содержат в себе CMS. Например, обработка данных форм регистрации посетителей, генерация изображений CAPTCHA, проверка авторизационной информации – все эти задачи требуют существенных вычислительных ресурсов, а значит могут быть использованы злоумышленниками для проведения DoS-атак. |
| | |
| | ===== Защита от DoS-атак ===== |
| | К сожалению, универсальных и абсолютно эффективных методов защиты от всех видов DoS-атак не существует. Вероятно, из-за базовых принципов предоставления сервисов в Интернете, такие методы вряд ли будут созданы в ближайшие годы. Тем не менее, на практике используются различные защитные инструменты, затрудняющие проведение атак и снижающие ущерб от атак. |
| | |
| | Простые контрмеры могут быть внедрены на уровне CMS: очень важно, чтобы программный код CMS был хорошо оптимизирован, публикуемый контент кешировался, а количество «точек создания нагрузки» было сведено к минимуму. Конечно, на уровне CMS можно внедрить фильтры, анализирующие «частотность» запросов, приходящих с различных IP-адресов. Однако вряд ли такое решение само по себе сильно повысит практическую защищённость сайта от DoS-атак. Дело в том, что «фильтруемый запрос» на момент поступления в CMS уже добрался до веб-сервера, а значит, использовал часть его ресурсов, так что дальнейшая обработка запроса CMS лишь будет увеличивать время обслуживания, способствуя успеху DoS-атаки. С другой стороны, фильтрацию «подозрительных запросов» в CMS можно рассматривать как элемент оптимизации программной архитектуры CMS, положительно сказывающийся на эффективности работы системы. |
| | |
| | На практике, гораздо более эффективны защитные инструменты, работающие на уровне хостинг-провайдера. Провайдер обладает более подробной информацией о характеристиках атаки и может в деталях наблюдать направления её развития. Более того, хостинг-провайдер может «зафильтровать» атаку таким образом, что «атакующие запросы» просто не будут доходить до атакуемого сервера, при этом сохранится доступность сервера для запросов добросовестных посетителей. |
| | |
| | Для борьбы с DoS-атаками хостинг-провайдеры специальным образом настраивают программное обеспечение, управляющее маршрутизацией пакетов данных. Также используются программно-аппаратные комплексы, обнаруживающие атаки в автоматическом режиме и так же в автоматическом режиме применяющие контрмеры. Однако нужно иметь в виду, что пакеты данных, составляющие DoS-атаку, для их обработки всё равно должны быть доставлены, по крайней мере, до «фильтрующего оборудования» провайдера. И даже если это оборудование очень производительное, то достаточно мощная атака всегда может просто «затопить» каналы связи провайдера. Впрочем, сделать это сложнее, чем вызвать перегрузку единичного веб-сервера, работающего на виртуальном хостинге. |
| | |
| | **источник:** [[http://site.nic.ru/content/view/400/29/|Энциклопедия сайтостроения]] |
| | |
| | ===== Наши рекомендации по защите ===== |
| | |
| | Одним из наиболее эффективных средств защиты от DDOS являются [[http://ru.wikipedia.org/wiki/Content_Delivery_Network|сети доставки распределения контента]] (англ. Content Delivery Network или Content Distribution Network, CDN) |
| | |
| | Атакующий при этом лишается возможности нацелить атаку на адрес или именя домена. Ибо и то и другое в сети CDN может динамически меняться. Если система сети CDN детектирует аномальное увеличение нагрузки на один из доменов, то атакуемый адрес блокируется и обслуживание домена переводится на другие адреса и узлы. При этом работоспособность и доступность домена сохраняется. |
| | |
| | Здесь описан [[http://www.securelist.com/ru/blog/207764211/Istoriya_odnoy_DDoS_ataki|пример организации и успешной остановки атаки]] интенсивностью 65Гбит |
| | |
| | |
| | ===== Смотрите также: ===== |
| | * [[сети:dos_и_ddos_-_простая_защита|]] |
| | * [[http://www.securelist.com/ru/blog?topic=159888131|Блог securelist.com]] |
| | * [[http://www.youtube.com/watch?v=3JpP-6I_x1M|Что такое DDoS-атака? (Видео)]] |
| | * [[http://tools.ietf.org/html/rfc4732|RFC4732]] - Internet Denial-of-Service Considerations |
| | * [[http://www.w3.org/Security/Faq/wwwsf6.html|W3C The World Wide Web Security FAQ]] |
| | * [[http://www.armoraid.com/survive/|Understanding and surviving DDoS attacks]] |
| | * [[http://www.cert.org/tech_tips/denial_of_service.html|cert.org]] CERT's Guide to DoS attacks. |
| | * [[http://atlas.arbor.net/summary/dos|ATLAS Summary Report]] - Real-time global report of DDoS attacks. |
| | * [[http://www.linuxsecurity.com/content/view/121960/49/|linuxsecurity.com]] An article on preventing DDoS attacks. |
| | * [[http://antivirus.about.com/od/whatisavirus/a/zombiepc.htm|Is Your PC a Zombie?]], About.com. |
| | * [[http://www.elitonlabs.com/security/promoting-efficiency-of-http-denial-of-service-attack|HTTP Application Level Flood with Efficiency]], By Cliff Cong Zijie, Eliton Laboratories. |
| | * [[http://m.habrahabr.ru/post/91574/|BGP Blackhole как защита от DDoS]] |
| | * [[http://www.youtube.com/watch?v=lLXaRtc1f4I&feature=related | The Matrix Reloaded Agent Smith Fight]] |
| | * [[http://www.prolexic.com/|Prolexic, один из лидеров рынка услуг по защите от DDOS, заявляет о способности смягчить атаки до 800Гбит и выше]] |
| | * [[http://www.youtube.com/watch?v=hNjdBSoIa8k&feature=player_embedded|Как выглядит DDoS-атака]] |
| | * [[http://internetua.com/DDoS-ataki---gotovtes--vas-zakazali|DDoS-атаки – готовьтесь, Вас заказали ]] |
| | |
| | |
| | |
| | |
| | |
| | |
| | ---- |
| | Актуальность: 2012/08/24 15:54 |
| | |
| | {{htmlmetatags>metatag-robots=(noindex,nofollow)}} |
| | |
| | {{tag>ddos защита}} |
