Ddos и как с этим бороться

Решил написать статью про Dos и ddos атаки, как с ними бороться, какую защиту поставить и тд. Начнем по порядку:​

Dos или ddos атака - это атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. ​

А теперь по русски - эта атака делает такие условия при которых "машина" просто не выдерживает и даёт сбой. Например если на ваш сайт зайдёт 10 000 человек и одновременно обновит страницу, то ваш сайт попросту не выдержит такой нагрузки и даст сбой, dos атаки именно так и действуют посылая тысячи запросов.​

Существуют различные причины, из-за которых может возникнуть DoS-условие:​

​

• Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.
• Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).
• Флуд (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.
• Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов — с нескольких рассредоточенных в сети компьютеров — то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

О выявлении dos атак поговорим отдельно:
Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.
Методы обнаружения DoS-атак можно разделить на несколько больших групп:

• сигнатурные — основанные на качественном анализе трафика.
• статистические — основанные на количественном анализе трафика.
• гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.

О защите:
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.

• Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
• Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
• Обратный DDOS - перенаправление трафика, используемого для атаки, на атакующего.
• Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
• Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
• Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
• Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
• Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
• Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
• Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Из всей статьи следует что защитится от атак подобного рода можно и нужно! Но как это сделать? Не покупать же дорогостоящее оборудование? Можно просто поставить Log2Ban. Но полностью защитить себя от Dos нельзя! Как было сказано выше существует ещё и Ddos. Например есть известная группировка хакеров - Anonymous. Они выступают за анонимность и свободу в интернете, в знак протеста взломали множество гос. сайтов и сайтов безопасности. Их девиз
Мы против корпораций и правительств, которые вмешиваются в Интернет.
Мы считаем, что Интернет должен быть открытым и свободным для всех.
Мы не забываем, мы не прощаем, имя нам — легион!
Многие люди предоставляют услуги по dos атакам за большие деньги так, как этот вид хакерства уголовно наказуем!

 

Я тебя ментам сдам! А потом повешу!

 

Сдавай! Доказательств нет.

 

Ты чисто сердечное признание написал :trf:

 

Я могу написать что угодно, меня взломали и всё :fp: Короче проехали твои малолетнии угрозы не к чему не приведут.

 

Знак ":trf:" не о чём не говорит?

 

:fp:

 

Говорит о том, что автор поста наркоман и кушает галлюциногенные грибы по вечерам. По теме - не читал, но осуждаю.

 

Я знаю один действенный метод против DDOS. Ддосил нас тут один индивидум.. Так вот после того, как ему по еб*лу настучали - ддос прекратился. Добавьте в первый топик.

 

Дада. Самый действенный способ это бить ддосера по лицу. БИТЬ. Не угрожать, не заявлять а просто бить. Самый действенный способ.

 

И Вы... Победитель! Это правильный ответ!

 

Копипаст?) Если да то указывай источник.

 

Скрин док-во что ты можешь говорить клевету. Удачи в суде. :trf:

 

а как же) достали уже http://wiki.xakep.ru/(S(gj32h0ul32c...v_obsluzhivanii&AspxAutoDetectCookieSupport=1

 

Просто наймите опытного сис. админа на часок.
От себя скажу, что один nginx может выдержать атаку

 

Не может
Если учесть, что идет GET атака, то упрется либо в канал, либо в io. Как я понимаю, речь идет об одном сервере, без балансировщиков и т.д.

 

Где копипаст? Про совет о разбитии физиономии? Это конечно распространенный совет, но боюсь источники приводить тут - не хватит места и времени.

А по поводу ддосеров все-же во 1х БИТЬ, во вторых ставить сиську.

Скажите - много желающих прожать 100 мегабитный канал с каким-то занюханым майнкрафт сервером? Вернее много ОБЕСПЕЧЕННЫХ деньгами желающих? В таком случаи nginx вполне управится в более чем 95% случаи

Ах да. И лулзов ради дам такой совет как отучить школьников баловатся ионной пушкой (в деталях не опишу ибо влом - гугол в помощь). Если вам срут канал и вы видите множество нелепых коннектов с разных адресов - значит сие есть ботнет (Аффтор распиши разницу между Denial of Service и распределенной атакой). В таком случаи пишем нехитрый баш-скриптик (ну или иное ежели под вендой), палим адреса. Сканируем их, выясняем наиболее дырявый, сливаем с него субьект заражения (палим процессы машины - берем самое подозрительное). "Заражаем себя" - если попа сжимается, то через VM. Далее по исходящему трафу вычисляем организатора событий - заявляемся на ирц откуда супостат руководит своим ботнетом. Дожидаемся ввода им пароля (прикидываясь очередным ботом), перехватываем инициативу и наказываем мудака. В качестве особо изощренных методов можно нужно требовать денежное вознаграждение в обмен обещания не сообщать об инциденте в правоохранительные органы.

 

Я говорил в целом...

 

Так, к сведению, к майнкрафту больше относится UDP флуд .

 

Почему UDP? сервер же на TCP порту сидит?