http://zona-x.pp.net.ua/forum/7-7-1 Как понять, каким видом флуда вас DDoSят? Очень просто - достаточно просто поверхностно взглянуть на сервер. Если в разы увеличились логи апача - значит это хттп флуд. Если нельзя присоединиться ни к одному из сервисов (к примеру, фтп) по причине того, что максимальное количество соединений достигнуто, значит, это SYN\ACK флуд. При ping flood практически не будет заметна разница между исходящим и входящим трафиком.
SYN\ACK Flood
Начну я, пожалуй, с SYN\ACK флуда. Всем, наверное, известно, что он рассчитан на забивания инфы о состоянии соединений в стеке TCP\IP. Зависит этот параметр строго от реализации стёка в ОС, используемой сервером. Наибольшее число ботов атакуют все порты подряд - это их самый большой минус. По сути, атаковать нужно только те, где ведетсяучёт количества соединений на уровне приложения (например, FTP). Бестолковый админ может полностью потерять контроль над сервером извне.Допустим, если в настройках SSH демона выставлено максимальное число одновременных коннектов около20, то привести этот демон в состояние DoS может даже одна машина. Самый простой выход кроется в том, чтобы замаскировать все порты под действующие без участия стёка TCP\IP (как это реализовать читайте у Джона Эриксона) и увеличить число максимальных коннектов на жизненно важные сервисы. Когда флуд начался, нужно уже начинать активно использовать фаервол. В идеале фаервол по топологии должен стоять до сервера (при дальнейшем рассмотрении я так и буду иметь ввиду,учтите). Можно найти где-нить стрёмненький системник, поднять там шлюз и играться с правилами - дело уже ваше. Самое главное в активной защите от данного вида флуда то, чтобы вёлся учет не полученных пакетов с выставленным SYN\ACK (я надеюсь не надо рассказывать про то, как устанавливается TCP-соединение).
Естественно, эти IP адреса должны добавляться в блэк-лист. Я видел приличное множество ботов, где даже алгоритм рандомной генерации спуфенного ИП был настолько прост, что через 5 минут доса всё генеренныеботом ИПшники были в блэке.
HTTP Flood
Следущий на очереди HTTP ддос. Он актуален только в 2х случаях - если админ идиот или сайт работает с базой данных (актуальность не теряется еслиэти 2 случая вместе ). Если сайт работает с базой данных, то вся цель сводится к атаке на скрипт с ней работающий. Под атакой подразумевается отправка GET-запросов. оптимизация скриптов, работающих с базой и самой базы даст в самом начале небольшой потенциал. Так же тут не помешает увеличение числа максимальных коннектов к базе одновременно. Тюнинговка самого вэб-сервера тоже должна помочь. Но если начался флуд, то тут уже нужно действовать кардинально иначе. Некоторые боты имеют в своём запасе только пару заголовков USER_AGENT (порой даже умудряются и их рандомно генерить). Если у вас такой случай - вам дико повезло. Прочекайте логи, уловите часто используемые записи по критерию USER_AGENT и баньте. Как именно расправляться с жертвами решать только вам - жестоко для невинных юзеров, но что же поделать. Иной вариант - изменение названия скрипта, создание поддомена (пойдет тот же www) и перенос сайта туда. Боты не обладают интеллектом, поэтому можно отсеивать их в блэк-листы по банальным "Нажмите на эту кнопку и попадёте на страницу". Выставив некий тайм-аут, вы можете с уверенностью 90% отсеять юзеров от ботов. Если чел нажал на кнопку ему добавляется кукис (самый простой вариант, есть боты которые работают скукисами), который служит тикетом для прохода на сайт. Это спасёт если вы включите защиту на ранней стадии, когда все боты, как говорится, только разогреваются. Есть и другой вариант, когда демон (к примеру, апач) сразу после поднятия просто падает. Тут уже, батенька, спасёт только фаервол и блокировка ипаков, допустим, по странам. Самые дешевые загрузки - китайские, поэтому большинство нынешних сервисов низкого и среднего звена подгружают именно ту территорию. Нормальные же сервисы имеют в своём распоряжении машины даже из какой-нить задрипанной африканской республики, и блокировкатам мало чем поможет.
ICMP flood
Самая жесть это ICMP flood. Старый, какстёк TCP\IP, вид доса, который очень многое может сделать, если ну вообщеникак не настроен фаер. Если серверу ну просто жизненно важно отвечать наICMP ECHO, тогда только увеличивайте свой канал. Если же нет, то одна строчка в iptables решит ваши проблемы. Хотя нет, вру. Если канал забьется до фаера, то тут уже ничем не помочь. Вообще предотвращение\защита любого вида доса\ддоса будет эффективнее, если усиливать пропускную способность канала. Замкнутый круг, не правда ли?
UDP flood
UDP - протокол, не требующий какой либо процедуры синхронизации перед отправкой данных. Стало быть, *башь себе и *башь. Никаких проблем, простотупой флуд. Нападение проводится простой посылкой пакета на случайныйUDP порт на сервере. Когда пакет доходит до порта, система начинает с ним усиленно работать. Работает, работает и наконец система обрабатывая кривой udp пакет, высылает другой ICMP пакет, который тоже является *бнутым. Как только пойдет флуд на UDP порты из кривых пакетов - система упадет.
С атакой класса UDP FLOOD можно эффективно бороться, устанавливая брандмауэры в критических местах сети (таких как шлюзы), а также используя специализированное оборудование(наиболее известная контора Cisco), дабы фильтровать нападения х*есосов. Кроме того действия, которые должны быть предприняты в вашей сети это:
• во-первых, фильтрование или отключение echo и chargen сервисов.
• во-вторых, фильтрование другого, не использующего UPD ПО.
• в-третьих т.к. вы должны обеспечить максимально правильную работу вашей сети, вы должны следить за теми блоками ПО , которые действительно используют UDP по назначению и блокировать остальные.
пример заголовка пакета при данной атаке:
sock.ip.version=4; // Версия
sock.ip.ihl=5; // Длина заголовка
sock.ip.tos=0; // Тип сервиса
sock.ip.tot_len=htons(40); // Общая длина
sock.ip.id=getpid(); // ID
sock.ip.frag_off=0; // Смещение фрагмента
sock.ip.ttl=255; // Время жизни
sock.ip.protocol=IPPROTO_TCP; // Используемый протокол
sock.ip.check=0; // Контрольная сумма
sock.ip.saddr=saddress; // Адрес источника
sock.ip.daddr=daddress; // Адрес назначения
Вот еще хороший пример атаки. Нам потребуются, как минимум, два компьютера . Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя, который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании.
Вспомним про фрагментацию пакета. Так вот, такой вид атаки принято называть ICMP flood, и он заключается впосылке больших (64Кб), сильно фрагментированных пакетов. Обслуживание таких данных очень напрягает сервер, и он решает, что лучше уйти на покой. На сегодняшний день такими технологиями, конечно, пользуются, но редко. Это уже DDoS - распределенная атака на отказ в обслуживании. Чтобы провести такую пакость, потребуется усиливающая сеть, даже не обязательно потрояненная вами. В этом-то самое сильное и заключается. Допустим: естьу нас жертва и миллионы пользователей Интернета. Что будет, если этим миллионам пользователей послать echo-пакет от имени атакуемого хоста? Правильно, они ответят этому хосту. Все вместе. Сразу.Думаю, хосту будет легче застрелиться, чем получать эти ответы.Что, собственно, в результате с ним и произойдет.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специальноговируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа длязомбирования серверов, для совершения атак. Программы эти оченьдорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев,но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за этоспасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru.Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем:с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо. ?
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала обэтом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку ссервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Также советую в Интернете поискать все отаких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
http://antifludera.my1.ru/forum/4-18-1
Добавлено через 48 минут 39 секунд
осталось только сделать выводы)))))
Может это они?: Защита от DDOS атак 2800 руб/мес.
Посуточная защита без переезда. Быстрое и качественное обслуживание.
ddosoff.ru
Защита сайта от DDOS ! Гарантии.
Срочно! Защита от ДДОС за 1 час, защита от любого вида атак. 2 дня бесплатно
defsite.ru
