Как бороться с ддос атаками

Данная статья писалась с целью объяснить простому вебмастеру, как происходит ddos, и как с ним бороться.

Определение: ddos атака — сокращение от «distributed denial of service attack»

При помощи этих атак временно падали крупнейшие и известнейшие компании, такие как yahoo!, ebay, buy.com, amazon.com, cnn.com и целый ряд других …

Я не буду жевать сопли и напишу то, о чем как правило никто не никогда не пишет в статьях про ddos.

В основном то что мы видим в сети это поверхностные описания удачных атак, или вопли пострадавших от них.

1) Цель и принцип ddos

Цель ddos вывести обьект атаки из рабочего состояния что может повлечь за собой большие финансовые потери во время дауна или расходы на оборудование для защиты от него и з/п специалистов. Любой вебмастер понимает, что даун его сайтов на 2−3 часа нанесет серьезный вред бизнесу, а если на неделю, то ресурс скорее всего придется поднимать с нуля снова . Я вообще не говорю о владельцах платных сайтов и серьезных Е-комерс ресурсов, чьи убытки могут составлять десятки тысяч долларов в день.

Технология ddos атак подразумевает метод грубой силы — вы тем или иным способом пытаетесь «забить» канал, открывая максимально возможное количество соединений на тот или иной сервис или отправки огромного кол-ва информации которое сервер не в состоянии обработать. все это ведет к потере скорости или полной остановке (зависанию) атакуемого ресурса.

2) ddos — это distributed атака, то есть распространенная, когда вас атакует не один сервер от которого можно легко закрыться фаирволом, а сразу тысячи или десятки тыс., иногда могут быть сотни тысяч и миллионы атакующих ботов ( многие называют их зомби )

Зомби — это зараженный программой (или сломанный) компьютер или сервер, который будет выполнять команды управляющего сервера.

Как компьютер становится зомби ?

Зомби создаются как правило используя эксплоиты для ОС. Заражая машины через веб браузер при посещении сайтов, при получении почты, или через установку программного обеспечения с установленными в него троянами.

Как много может быть зомби ?

cуществуют дыры которые до сих пор не закрыты и иногда процент заражаемости трафика может достигать 80 % всего трафика на сайте, спам может рассылаться огромными тиражами и как результат мы имеем десятки тысяч зомби.

В зависимости от совершенства кода на самом зомби они могут выполнять разные типы запросов на сервера, иногда делая себя совсем не видимыми для фаирвола или сложно отличимыми от реального серфера, что разумеется усложняет борьбу с ними.

Типы атак я описывать не стану они очень сильно варьируются от старинных типа пинг и syn флуда до новых разработанных персонально для новой атаки.

Все они ведут к тому что сервер ложится как правило и попытки его вернуть к жизни заканчиваются тем, что он снова лежит.

В общем довольно грустная история с ddos атаками. Многие хостеры просто выключают сервера в случае обнаружения атаки. Это демонстрирует то, что они не могут реально ничего с ними поделать.

Это самый наверное интересный кусочек, а так же самый сложный.

Самое сложное в том что борьба с ddos в 98 % случаев ложится на плечи вебмастера, так как провайдеры в большинстве своем просто бьют болт и стандартная схема у них, это поставить на нуль роутинг ваши ip и таким образом для них проблема ddos решена. Вебмастера такое решение не очень радует, так как его сайты при этом ложатся вообще.

Конечно, есть продвинутые провайдеры, которые могут посодейтвовать в борьбе, но это редкость и опять же наджо будет им платить пятизначные цифры что бы иметь какое то влияние на них. Так что остается решать проблемы самому, о том как их решать я и расскажу вам.

1) На уровне сервера. Сервер должен иметь удаленный ребут и вывод консоли сервера на другой ip адрес по ssh протоколу. Это позволит вам быстро перезагружать сервер, что бывает более чем нужно в самом начале ddos атаки. Вывод консоли позволит полностью выключить ssh на сервере. Это необходимо потому, что его тоже очень часто досят вместе например с вебсервером, что бы усложнить работу админа сервера или сделать сервер вовсе не доступным для администрации.

2) На уровне сервисов сервера. Секюрити аудит — must be, то-есть, по-русски, должен быть сделан, все сервисы машины должны быть отпатчены от всех известных и не известных дырок. О тюнинге веб сервера под ddos атаками можно писать целую книгу, поэтому я не буду лишать себя куска хлеба. 🙂

3) На уровне сети. Для начала блокируются все то, что может дать больше инфы атакующему о вас. Блокируется пинг и трейс. Сервер убирается под nat. Маскируется его ip как только это возможно. Это уже очень професиональный способ защиты сервера путем прятания его ip адреса. Применяется в многих платных системах защиты от ddos.

4) На уровне провайдера. Через анализ пакетов или через блокирование ip адресов.

5) На уровне железа. Применяя хардварные решения от ведущих фирм производителей типа Сisco, 3com, nortel и тп. Данные решения борьбы на аппаратном уровне потребуют больших финансовых затрат от 10к и выше. Комплексные решения обойдутся около 50−80 тыс долларов. Так же сюда можно отнести производителей 3rd party оборудования для хардварной защиты. Большая их часть действует по принципу анализа пакетов и дальнейшей их фильтрации где нужный пакеты проходят к серверу, а ненужные фильтруются и сегменты сети откуда они пришли блокируются роутером или фаирволом. Более продвинутые системы умеют прятать ваш сервер полностью и в сети никогда не встретится его ip адрес и его прямое сканирование и ddos атака невозможны.

Читайте также:  Вес и рост в футах

6) На уровне админов вашего сервера. Используя логи фаирвола сервера вы видите кучу ip адресов откуда на вас идут атаки. Вы можете анализировать его и искать уязвимые рабочие станции среди них, из 10000 машин 1−3 обязательно окажутся доступными для того что бы по ним полазить. Вы можете найти самого зомбика который осуществляет атаку на вас. Далее его можно попытаться поковырять, чтобы найти кто пускает атаки на вас и если повезет найти контрольный сервер и как вариант контратаковать его. Хотя такое будет не возможно если ddos атака не контролируемая, а например вирусная. Напомню, это когда вас атакуют рабочие станции которые были заражены предварительно и их действия не контролируются вручную, они не очень опасны так как если вы смените, например, ip и домен, то такая атака умрет сама.

7) Комбинированное использование всех систем.

В заключение хочу сказать что всё, что тут написано не покрывает и 80 % всех методов борьбы с ddos и на эту тему работают очень много людей во всем мире. Так что я в этой небольшой статье не смогу описать всего, даже если очень захочу. Но, надеюсь, она вам немного поможет для понятия азов того, как необходимо бороться с ddos атаками.

Сегодня интенсивность и количество распределенных атак типа «отказ в обслуживании» (Distributed denial of service — DDoS) постоянно растут. Что можно предпринять для борьбы с ними?

Это должен был быть один из самых успешных дней для вашего бизнеса, но неожиданно ваш сайт оказался недоступен, а информация обо всех заказах пропала. Если это случилось с вами, вероятно, вы стали очередной жертвой DDoS атаки.

Основой данных атак является бомбардировка IP адреса большим объемом трафика. Если по данному IP вы обращаетесь на какой-либо сервер, тогда этот сервер (или маршрутизаторы, являющиеся промежуточным звеном между нарушителем и сервером) может быть перегружен. Легитимные запросы, обращенные к серверу, не будут обработаны ввиду его перегруженности, и сайт станет недоступным. В обслуживании отказано.

Распределенная DoS-атака — особый тип атак «отказ в обслуживании». Основополагающий принцип атаки остается прежним, а трафик, бомбардирующий IP адрес, теперь генерируется несколькими источниками, управляемыми из одной точки. Благодаря тому, что источники трафика являются распределенными — часто по всему миру — , DDoS атаки являются значительно более трудными для блокирования, чем атака с одного IP.

DDoS становится все более пугающим.

С течением времени данные атаки становятся все более существенной проблемой. Согласно последнему квартальному отчету по DDoS атакам, опубликованному компанией Prolexic, специализирующейся на противодействии DDoS атакам, рост их использования за последние 12 месяцев вырос на 22%.

Кроме того, на 21% возросла и продолжительность атак (с 28,5 до 34,5 часов). Также атаки стали гораздо более интенсивными, в среднем, с почти 7-кратным увеличением объема генерируемого трафика с 6,1 Гб/с до 48,25 Гб/с. По некоторым отчетам при атаке на Spamhaus — организацию, занимающуюся противодействием спаму — в марте трафик генерировался со скоростью почти 300 Гб/с.

Исследования, проводимые Arbor Networks и Akamai Technologies, подтверждали увеличение частоты и интенсивности DDoS атак.

По словам Тима Пэта Даффиси, управляющего директора ServerSpace (компания предоставляет услуги по хостингу, а также является Интернет-провайдером), барьер для преодоления DDoS атак в большинстве случаев стал недостижим. «Это значит, что каждый может произвести подобную атаку: преступные организации, шантажисты, даже обиженный на свое начальство уволенный сотрудник или конкурент. Жертвой может стать каждый. Один из наших клиентов — небольшая тренинговая компания в сфере строительного бизнеса — подверглась атаке, продолжительностью 2 недели.»

Раньше запустить DDoS атаку было технически непросто, сейчас же есть возможность арендовать ботнет из десятков или даже сотен тысяч зараженных машин за весьма скромную плату, после чего использовать эти компьютеры для проведения атаки. А благодаря высоким темпам развития интернета, зараженные компьютеры используют высокоскоростные каналы связи, по которым можно отправлять большие объемы трафика.

Существуют специальные средства для DDoS на основе Web, например, Low Orbit Ion Cannon или RussKill, в запуске которых может разобраться даже ребенок.

Возникает вопрос, что можно предпринять для защиты?

Своевременное определение DDoS атаки.

Если у вас есть собственные сервера, вам необходимо иметь средства для определения совершаемой на вас атаки. Чем раньше вы определите, что проблемы с доступностью вашего сайта возникли из-за DDoS атаки, тем раньше вы можете предпринять меры для ее отражения.

Определить DDoS можно с помощью реализации механизма профилей входящего трафика. Если вы знаете среднестатистический объем и динамику изменения трафика на вашем сервере, у вас повышается шанс быстрого определения не характерных изменений. Большинство DDoS атак характеризуются резким увеличением объема принимаемого трафика, и механизм профилей поможет определить, является ли данный скачок атакой или нет.

Читайте также:  Дзен яндекс что это такое простыми словами

Также хорошей идеей будет назначить сотрудника вашей компании, ответственного за противодействие DDoS.

Дополнительные каналы связи для увеличения пропускной способности

Неплохой идеей является подключение дополнительных каналов связи, даже если расчеты пропускной способности показывают, что они вам не нужны. В этом случае вы сможете без последствий преодолеть неожиданные скачки трафика, которые могут быть, например, результатом рекламной кампании, специальных предложений или упоминания вашей компании в СМИ.

При реализации DDoS атаки, вероятно, вас не спасет даже 500%-ный запас пропускной способности, но он даст вам несколько дополнительных минут для реализации необходимых мер по противодействию.

Защита сетевого периметра (если у вас есть собственный сервер)

Существует несколько довольно простых технических мер для частичного снижения эффективности атаки, особенно в ее начале.

  • Ограничьте пропускную способность вашего маршрутизатора для предотвращения перегрузки сервера
  • Добавьте фильтры, чтобы маршрутизатор отклонял пакеты с явно атакующих адресов
  • Настройте таймаут полуоткрытых соединений более агрессивно
  • Отклоняйте поддельные и искаженные пакеты
  • Задайте более низкий порог отказа в обработке для SYN, ICMP и UDP

Но реальность такова, что если раньше данные шаги были достаточно эффективны, то сейчас DDoS атаки слишком глобальны для их нивелирования данными способами. Следует выделить еще раз, основной задачей рассмотренных методик является получение дополнительного времени при атаке.

Позвоните вашему интернет- или хостинг-провайдеру

Следующим шагом будет звонок вашему Интернет-провайдеру (или хостинг-провайдеру, если ваш ресурс расположен на стороннем сервере) и просьба в оказании незамедлительной помощи в связи с атакой. Контактная информация вашего провайдера всегда должна быть под рукой, чтобы в случае ЧП не терять времени на ее поиск. В зависимости от масштаба атаки они уже могут быть в курсе.

Шанс выстоять при DDoS атаке повышается, если используемый вами сервер расположен в хостинг-центре, а не у вас в компании, потому что дата центры имеют гораздо лучшее оборудование и каналы связи, а также более опытный персонал, имеющий представление о подобных атаках. Кроме того, если ваш сервер расположен в дата центре, то при атаке ваша корпоративная сеть не пострадает, поэтому как минимум часть вашего бизнеса, например, электронная почта и служба VoIP, должны функционировать нормально.

Если атака является достаточно сильной, то первым делом ваш Интернет-провайдер отключит маршрутизацию трафика, идущего на ваш веб сервер.

«Допущение DDoS атак на внутрикорпоративную сеть — непозволительная роскошь для провайдеров, потому что DDoS расходует впустую большую часть пропускной способности и может негативно повлиять на работу приложений других клиентов. В связи с этим первым делом при обнаружении атаки мы можем отключить ваше приложение на некоторое время» заявляет Лиам Энтикнап, сетевой инженер Pier 1.

Тим Пэт Даффиси, управляющий директор компании ServerSpace согласен с данной точкой зрения. По его словам самым первым шагом при обнаружении атаки на клиента в его компании является отключение маршрутизации для пакетов, идущих на его web сервер. На эти действия уходит порядка 2 минут, после чего объем загруженности сети резко падает.

Если бы это был конец истории, то атаку можно было бы считать успешной. Для того, чтобы снова сделать web сайт доступным, трафик, идущий к нему, может быть направлен на особый фильтр, пропускающий только легитимные пакеты, которые идут дальше непосредственно на сервер. «мы используем наш опыт и различные средства для того, чтобы понять, каким именно образом изменился трафик после начала атаки, что помогает нам определять вредоносные пакеты» — объясняет Энтикнап.

Он уверяет, что Pier 1 владеет ресурсами, позволяющими принимать, обрабатывать, а затем отправлять дальше трафик на скорости 20 Гб/с. Но учитывая уровни трафика при DDoS атаках, описанные в отчетах Spamhaus, даже такая пропускная способность не принесет нужного эффекта.

Разработайте совместный с вашим провайдером план действий при обнаружении DDoS атак, чтобы обратиться к специалисту с минимальной задержкой по времени.

Найдите специалиста по DDoS

При большинстве серьезных атак, вероятно, единственным способом остаться онлайн для вас будет пользование услугами компании, специализирующейся на противодействии DDoS. Эти организации имеют высокомасштабируюмую инфраструктуру и используют большое количество различных технологий, включая фильтрацию пакетов, что поможет вам остаться онлайн. Вы можете сотрудничать напрямую или через вашего провайдера.

«Если клиенту необходима защита от DDoS, мы перенаправляем его трафик компании Black Lotus, специализирующейся на этом» — говорит Даффиси. «для этого мы используем BGP, поэтому на все уходит пару минут».

Фильтрующий центр компании Black Lotus может справляться с очень большими объемами трафика и отправлять проверенные пакеты на пункт их назначения. Все это выливается в значительное время ожидания для пользователей, но альтернативой может быть и полная недоступность сайта.

Услуги по защите от DDoS атак не бесплатны, поэтому либо вы платите деньги и остаетесь онлайн, либо принимаете весь удар на себя и ждете, пока атака не закончится, и вы не сможете вернуть доступность своему сайту. Данный вид услуг может обойтись вам в несколько сотен долларов в месяц. С другой стороны, если вы будете атакованы не имея каких либо средств защиты, вы можете потерять гораздо больше денег и времени.

Читайте также:  Как в инстаграме добавлять фото

Компании, предоставляющие услуги по защите от DDoS атак:

Arbor Networks
Black Lotus
DOSarrest
Prolexic
VeriSign

Об авторе: Пол Рубенс освещал новости в сфере информационной безопасности на протяжении более чем 20 лет. За это время он печатался в таких британских и международных изданиях, как The Economist, The Times, Financial Times, the BBC, Computing and ServerWatch.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

На протяжении последних 10−12 дней многие заметили перебои в работе с нашим сайтом. Причиной этого стала DDOS атака, которой подверглись не только мы, но и ряд медийных коллег. Приносим извинения всем тем, кто не смог своевременно открыть ту или иную статью — хоть мы и старались решать проблемы оперативно, ряд просчетов в выборе решения доставил определенные неудобства как читателям так и нам.

Хотелось бы вкратце описать наш опыт, возможно это пригодится тем, кому DDOS только предстоит, и по возможности коллективно обсудить оптимальные средства профилактики (в комментариях).

Для начала — совсем краткий ликбез, интересующиеся могут почитать подробное описание на Википедии:

DDOS — атака на вычислительную систему с целью довести её до отказа, то есть, создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён.

В общем случае DDOS (по-простому «дедос») — атака, во время которой злоумышленники атакуют ваш сервер (выделенный, облачный или виртуальный) большим количеством запросов, обработка которых отбирает драгоценные ресурсы у сервера, который в свою очередь не может обслужить обычных посетителей. Я не являюсь техническим специалистом и надеюсь, что профессионалы с пониманием отнесутся к упрощениям и простят неточности формулировок.

Как только мы узнали, что нас атакуют (типичная атака, в зависимости от того, откуда вы на нее смотрите, может выглядеть примерно так, как на скриншоте ниже), мы сразу начали искать доступные и быстрые варианты решения. Первым в поле зрения попал сервис Cloudflare — западный комбайн, который не только защищает от DDOS-атак, но и предлагает кучу других вещей вроде CDN, кэширования, оптимизирования, ускорения и тд.

Мы оперативно купили план за $200 в месяц, настроили все DNS-сервера и стали ждать. У CF есть какое-то подобие аналитики и статистики, но по мнению экспертов она не всегда показывает то, что нужно и доверять этим графикам можно не всегда.

Не буду вдаваться в детали, но решение от Cloudflare ситуацию не исправило. Во-первых, некоторые IP-адреса CF забанены в России Роскомнадзором и сайт случайным образом оказывается недоступен из разных точек страны. Во-вторых, более-менее внятная (но не 100%) защита от DDOS на не самой защищенной платформе WordPress достигается в случае включения всех настроек на максимум, при которых каждому посетителю сайта показывается вот такое окно, которое на некоторых устройствах после обещанных пяти секунд не пропадает:

В-третьих, разнообразное ускорение и кэширование CF не всегда гладко работало с кэшем в WP, и это тоже доставило немало сложных моментов в разработке и верстке сайта.

Поэтому пришлось искать другое решение, и несколько дней мы потратили на то, чтобы оценить сервис WPEngine.

Получивший недавно $15M сервис, который специализируется на хостинге Вордпресса привлек внимание бурной прессой и широкими возможностями.

К сожалению, позитивные впечатление остались только от напора и профессионализма сейлзов WPEngine. Из-за нашего трафика (3M просмотров, 700K уникальных посещений в месяц) мы попали под непростой тарифный план «Let's talk», в результате чего нам насчитали порядка $2500 в месяц, при том, что для «ускорения работы и защиты от серьезных атак» все равно пришлось бы, по словам саппорта, пользоваться еще и платным тарифом Cloudflare.

С налетом легкого отчаяния пришлось обратиться к последнему варианту — QRATOR.

С самого начала атак я консультировался у нашего хостинг-провайдера Selectel, и QRATOR стоял в списке возможных вариантов, но был отброшен как «слишком дорогой».

Пословица «скупой платит дважды» в нашем случае звучала как «скупой платит трижды и две недели панически смотрит на падающие сервера».

После заведения аккаунта в QRATOR, обновления DNS, защита заработала, но все равно некоторые посетители видели уже привычные читателям ЦП 502 ошибку

К счастью, после оперативой консультации с техническими специалистами QRATOR выяснилось, что проблема возникала на стороне сервера, который настраивался 3−4 различными профессионалами с разным уровнем подготовки. После внесения нужных правок в iptables, донастройки конфигурации nginx и еще нескольких таинственных для стороннего наблюдателя действий все стало работать как часы.

Вот так, например, выглядит наша, по словам специалистов QRATOR, «детская» DDOS-атака:

А вот так выглядит уже что-то более изобретательное:

Хотелось бы заметить, что в последнее время DDOS-атакам стали подвергаться многие медийные ресурсы совершенно разных размеров.

Без работы QRATOR явно не останется.

Отдельное спасибо за помощь в борьбе с DDOS Василию Борисову (Selectel), Александру Лямину, Артему Гавриченкову, Александру Зубкову (все — QRATOR), Константину Ковшенину (Automattic) и Илье Чекальскому (TJournal).