Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

сети:ddos [2013/10/24 08:25] (текущий)
Строка 1: Строка 1:
 +====== ddos ======
 +
 +=====  Атаки на «отказ в обслуживании» ​ =====
 +Современный Интернет – среда довольно агрессивная:​ выставленные для публичного доступа веб-сайты постоянно подвергаются самым разным виртуальным атакам. Одной из характерных для современного положения дел в Интернете тенденций является рост числа атак типа «отказ в обслуживании» - так называемых DoS-атак. Причём растёт не только число таких атак, направленных на веб-сайты,​ но и масштабы каждой конкретной атаки. А кроме того, эволюционируют механизмы проведения атак.
 +
 +DoS-атакой (от англ. Denial of Service – дословный перевод:​ отказ от обслуживания),​ в случае с веб-сайтом,​ принято называть действия злоумышленников,​ вызывающие перегрузку того или иного технологического элемента в цепочке,​ обеспечивающей связь интернет-пользователей с веб-сайтом. В результате таких действий веб-сайт оказывается не доступен для просмотра.
 +
 +Утрированный пример DoS-атаки:​ злоумышленники непрерывно посылают веб-серверу очень большое число запросов на извлечение страниц. Так как всякий веб-сервер имеет ограничение на максимальное число посещений в единицу времени,​ которое он может обслужить,​ то при наличии достаточно большого числа «паразитных» запросов новые запросы перестают обрабатываться. Таким образом,​ для добросовестных посетителей сайт оказывается «отключен».
 +
 +
 +=====  Зачем нужны атаки ​ =====
 +Если отбросить «пробные атаки»,​ иногда организуемые злоумышленниками с целью проверить новые «инструменты»,​ то окажется,​ что за атакой стоит чьё-то желание сделать конкретный веб-сайт недоступным для его аудитории. Например,​ попытаться «отключить» коммерческий сайт могут злоумышленники,​ старающиеся нарушить нормальный ход бизнеса владельцев сайта. DoS-атаки могут использоваться в качестве инструмента давления на популярные Интернет-СМИ. Нередки случаи DoS-атак,​ проводящихся в качестве «меры устрашения» в ответ на публикацию каких-либо статей и материалов. Месть - вообще распространённая причина совершения атак на веб-сайты. Но каковы бы ни были причины спланированных DoS-атак,​ их исполнители и заказчики лишь в редких случаях открыто «берут на себя ответственность».
 +
 +Нужно отдельно отметить «нечаянные» «DoS-атаки». Такие «атаки» возникают,​ когда на веб-сайт «обрушивается» неожиданно большое число вполне добропорядочных посетителей. Классический сценарий:​ коммерческая компания размещает в Интернете веб-сайт,​ используя недорогой хостинг;​ после того как сайт опубликован,​ заказывается мощная рекламная кампания,​ цель которой – привлечь посетителей на новый сайт. Если реклама оказывается эффективной,​ то на сайт одновременно приходит большое число посетителей,​ хостинг не выдерживает нагрузки и сайт «отключается». Итог: сайт недоступен,​ а рекламный бюджет,​ можно сказать,​ выброшен на ветер, потому что новые посетители не имеют возможности получить информацию с веб-сайта.
 +
 +
 +=====  Механизмы атак ​ =====
 +Самая примитивная DoS-атака на веб-сайт может быть выполнена при помощи одного компьютера,​ имеющего высокоскоростное подключение к Интернету. С помощью специальной программы такой компьютер начинает засыпать атакуемый веб-сайт запросами. В принципе,​ на роль «специальной программы» вполне годится обычный веб-браузер,​ который постоянно «обновляет» страницу по заданному адресу. Впрочем,​ подобная примитивная DoS-атака имеет минимальны шансы на успех в современном Интернете. Дело в том, что, в случае с веб-сайтами,​ используемые в Интернете протоколы передачи данных позволяют хостинг-провайдеру отфильтровать слишком интенсивный поток запросов по IP-адресу источника.
 +
 +Нужно отметить,​ что для организации атаки злоумышленники могут использовать различные особенности протоколов передачи данных в Интернете,​ в том числе и те, которые позволяют подделать IP-адрес отправителя. В этом случае вредоносные пакеты могут преодолевать фильтры,​ настроенные хостинг-провайдером.
 +
 +Среди самых опасных и трудных для блокирования на стороне хостинг-провайдера типов DoS-атак – распределённые DoS-атаки (или DDoS – Distributed Denial of Service; в дословном переводе:​ распределённый отказ в обслуживании). В рамках DDoS-атаки,​ запросы на веб-сайт отправляет не один компьютер большим потоком,​ а множество компьютеров,​ каждый из которых вносит лишь малую лепту в общий поток.
 +
 +Различных IP-адресов,​ участвующих в атаке, очень много, да и расположены они в самых разных сетях. Так как очередные «атакующие запросы» приходят с других IP-адресов,​ то фильтрация атаки по адресу источника не работает.
 +
 +Для реализации DDoS-атак злоумышленники используют ботнеты – сети из заражённых программами-червями компьютеров,​ расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи этих машин скорее всего не подозревают,​ что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносного программного обеспечения,​ а заражённые машины в дальнейшем регулярно получают команды от администратора ботнета,​ так что оказывается возможным организовать согласованные действия компьютеров-зомби по атаке веб-сайтов и других ресурсов.
 +
 +Эффективным способом осуществления успешной DDoS-атаки является отправка машинами-зомби таких запросов к веб-серверу,​ которые потребуют существенных затрат вычислительных ресурсов на обработку. При этом запросы передаются по протоколу HTTP, что сильно затрудняет решение задачи автоматической фильтрации «вредоносных» запросов к серверу до их обработки.
 +
 +Поэтому злоумышленники стараются выявить в используемом на сервере программном обеспечении функции,​ которые можно задействовать для создания дополнительной нагрузки на сервер. Часто такие функции содержат в себе CMS. Например,​ обработка данных форм регистрации посетителей,​ генерация изображений CAPTCHA, проверка авторизационной информации – все эти задачи требуют существенных вычислительных ресурсов,​ а значит могут быть использованы злоумышленниками для проведения DoS-атак.
 +
 +=====  Защита от DoS-атак ​ =====
 +К сожалению,​ универсальных и абсолютно эффективных методов защиты от всех видов DoS-атак не существует. Вероятно,​ из-за базовых принципов предоставления сервисов в Интернете,​ такие методы вряд ли будут созданы в ближайшие годы. Тем не менее, на практике используются различные защитные инструменты,​ затрудняющие проведение атак и снижающие ущерб от атак.
 +
 +Простые контрмеры могут быть внедрены на уровне CMS: очень важно, чтобы программный код CMS был хорошо оптимизирован,​ публикуемый контент кешировался,​ а количество «точек создания нагрузки» было сведено к минимуму. Конечно,​ на уровне CMS можно внедрить фильтры,​ анализирующие «частотность» запросов,​ приходящих с различных IP-адресов. Однако вряд ли такое решение само по себе сильно повысит практическую защищённость сайта от DoS-атак. Дело в том, что «фильтруемый запрос» на момент поступления в CMS уже добрался до веб-сервера,​ а значит,​ использовал часть его ресурсов,​ так что дальнейшая обработка запроса CMS лишь будет увеличивать время обслуживания,​ способствуя успеху DoS-атаки. С другой стороны,​ фильтрацию «подозрительных запросов» в CMS можно рассматривать как элемент оптимизации программной архитектуры CMS, положительно сказывающийся на эффективности работы системы.
 +
 +На практике,​ гораздо более эффективны защитные инструменты,​ работающие на уровне хостинг-провайдера. Провайдер обладает более подробной информацией о характеристиках атаки и может в деталях наблюдать направления её развития. Более того, хостинг-провайдер может «зафильтровать» атаку таким образом,​ что «атакующие запросы» просто не будут доходить до атакуемого сервера,​ при этом сохранится доступность сервера для запросов добросовестных посетителей.
 +
 +Для борьбы с DoS-атаками хостинг-провайдеры специальным образом настраивают программное обеспечение,​ управляющее маршрутизацией пакетов данных. Также используются программно-аппаратные комплексы,​ обнаруживающие атаки в автоматическом режиме и так же в автоматическом режиме применяющие контрмеры. Однако нужно иметь в виду, что пакеты данных,​ составляющие DoS-атаку,​ для их обработки всё равно должны быть доставлены,​ по крайней мере, до «фильтрующего оборудования» провайдера. И даже если это оборудование очень производительное,​ то достаточно мощная атака всегда может просто «затопить» каналы связи провайдера. Впрочем,​ сделать это сложнее,​ чем вызвать перегрузку единичного веб-сервера,​ работающего на виртуальном хостинге.
 +
 +**источник:​** ​ [[http://​site.nic.ru/​content/​view/​400/​29/​|Энциклопедия сайтостроения]]
 +
 +===== Наши рекомендации по защите =====
 +
 +Одним из наиболее эффективных средств защиты от DDOS являются [[http://​ru.wikipedia.org/​wiki/​Content_Delivery_Network|сети доставки распределения контента]] (англ. Content Delivery Network или Content Distribution Network, CDN) 
 +
 +Атакующий при этом лишается возможности нацелить ​ атаку на адрес или именя домена. Ибо и то и другое в сети CDN может динамически меняться. Если система сети CDN детектирует аномальное увеличение нагрузки на один из доменов,​ то атакуемый адрес блокируется и обслуживание домена переводится на другие адреса и узлы. ​ При этом работоспособность и доступность домена сохраняется.
 +
 +Здесь описан [[http://​www.securelist.com/​ru/​blog/​207764211/​Istoriya_odnoy_DDoS_ataki|пример организации и успешной остановки атаки]] интенсивностью 65Гбит
 +
 +
 +===== Смотрите также: =====
 +  * [[сети:​dos_и_ddos_-_простая_защита|]]
 +  * [[http://​www.securelist.com/​ru/​blog?​topic=159888131|Блог securelist.com]]
 +  * [[http://​www.youtube.com/​watch?​v=3JpP-6I_x1M|Что такое DDoS-атака?​ (Видео)]]
 +  * [[http://​tools.ietf.org/​html/​rfc4732|RFC4732]] - Internet Denial-of-Service Considerations ​
 +  * [[http://​www.w3.org/​Security/​Faq/​wwwsf6.html|W3C The World Wide Web Security FAQ]] 
 +  * [[http://​www.armoraid.com/​survive/​|Understanding and surviving DDoS attacks]] ​
 +  * [[http://​www.cert.org/​tech_tips/​denial_of_service.html|cert.org]] CERT's Guide to DoS attacks. ​
 +  * [[http://​atlas.arbor.net/​summary/​dos|ATLAS Summary Report]] - Real-time global report of DDoS attacks. ​
 +  * [[http://​www.linuxsecurity.com/​content/​view/​121960/​49/​|linuxsecurity.com]] An article on preventing DDoS attacks. ​
 +  * [[http://​antivirus.about.com/​od/​whatisavirus/​a/​zombiepc.htm|Is Your PC a Zombie?]], About.com. ​
 +  * [[http://​www.elitonlabs.com/​security/​promoting-efficiency-of-http-denial-of-service-attack|HTTP Application Level Flood with Efficiency]],​ By Cliff Cong Zijie, Eliton Laboratories. ​
 +  * [[http://​m.habrahabr.ru/​post/​91574/​|BGP Blackhole как защита от DDoS]]
 +  * [[http://​www.youtube.com/​watch?​v=lLXaRtc1f4I&​feature=related |  The Matrix Reloaded Agent Smith Fight]]
 +  * [[http://​www.prolexic.com/​|Prolexic,​ один из лидеров рынка услуг по защите от DDOS, заявляет о способности смягчить атаки до 800Гбит и выше]]
 +  * [[http://​www.youtube.com/​watch?​v=hNjdBSoIa8k&​feature=player_embedded|Как выглядит DDoS-атака]]
 +  * [[http://​internetua.com/​DDoS-ataki---gotovtes--vas-zakazali|DDoS-атаки – готовьтесь,​ Вас заказали ]]
 +
 +
 +
 +
 +
 +
 +---- 
 +Актуальность:​ 2012/08/24 15:54 
 +
 +{{tag>​ddos защита}}