ShopWorld
Вернуться ShopWorld > Статьи и обсуждение > Безопасность > DDos\AntiDdos
 
DDos\AntiDdos Все о DDoS'e, защита от DDoS'a и методы DDoS'a и способы атаки DDoS'a.


Ответ
 
Опции темы Опции просмотра
 
Старый 27.04.2011, 13:11   #1
†SHYLLER†™
†Азартный игрок†
 
Аватар для †SHYLLER†™
 
Регистрация: 25.05.1988
Сообщений: 863

Сказали спасибо: 121

6506666

DDoS атаки или новый взгляд на Server-Kill

В данной статье я не буду открывать велосипед!
Я знаю что запрещена тематика DDoS-атак, но если внимательно прочитать статью, то можно понять что я призываю к ответственности за поступки, а не к организации данных атак.
Я постараюсь описать то, что обычно в мануалах упускается

[Enter]


О DDoS-атаках пожалуй слышал каждый кто каким либо образом связывают свою жизнь с интернетом как с бизнесом или как с местом развития бизнеса.
Уже не раз писались статьи что такое DDoS-атаки, где они используются и какие разновидности существуют. Я лишь постараюсь дополнить упущенные моменты =)

Вспомним: DoS (Denial of service) - отказ в обслуживании. Как вы понимаете - данные термин определяет той или иной сбой в системе. Классическим примером является сервер, на котором размещен сайт. Если начинается DDoS-атака на данный сайт - вероятнее всего, что при отсутствии защиты со стороны сервера (в частности безобидности сисадмина) - сайт ляжет (точнее сервер на котором он стоит или же бывает что модули типа ngnix, apache или панели ISP перерезают доступ к определенному сайту спасая при этом сервер).

Если покопаться в истории, то мы узнаем что DoS раньше использовался сисадминами для проверки "прочности" своих серверов, но попав данная идея в руки РУССКИХ хакеров - весь мир тут-же обзавелся ботнетами и теперь мы можем увидеть сотни предложений за скромненькие суммы убить сайты конкурентов и так далее.


[It just...DDoS?]


Атаки DoS делятся на 2 основных типа:
1) Использование уязвимостей в веб-сервере или определенном скрипте, что в большинстве случаев вызывает зависание в последствии переполнения буфера или не правильной обработки каким-либо модулем запроса.
Ярким примером есть PHP-include и бездарная настройка связки apache + php при которой тяжеловесный цикл вызовет зависание сервера.

Спасением будет лишь перезагрузка сервера.

2) Забивание канала или HTTP-get атаки.
Об этом способе довольно таки много чего рассказано. Я лишь хочу выделить несколько моментов:
Во-первых для каждого сервера подбирается свой тип атаки:

Цитата:
Для мощный серверов что защищаются Анти-DDoS'ом может подойти лишь забивание канала syn'ом, udp или icmp типами флудов.
Против syn и udp поможет КАЧЕСТВЕННАЯ настройка сервера. Против syn нужно установить максимальный лимит подключений и максимальное время ответа в 2-200мс.
Для UDP лучше всего отключить лишние службы.
Для ICMP отключить пинг.

Для мощных без антиддоса пробуют сначало HTTP-get, но для этого нужен не хилый ботнет хотябы в 2-3к ботов.
Позже уже пробуют то что выше.

Для шареда идеально подходит HTTP-get, по скольку В ОСНОВНОМ сисадмины защищаются от данного типа отключением сайтов, что хакерам и надо.
Что касается древних времен, то думаю все имевшие с этим дело помнять программу sprut =)
Эта программа выполнялась на одном компьютере посылая на сервер кучу запросов. Ее преимуществом на то время было в том, что о защите от DDoS никто и не думал, потому убить сайт было проще всего.


Поподробнее о syn:
Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-пакет жертве и, соответственно, получает обратно SYN/ACK-пакет. Если атакующий подтвердит ACK-пакетом факт получения ответа, то машины посчитают, что соединение установлено. Однако если атакующий не будет подтверждать этот факт, а продолжит постоянно передавать SYN-пакет на соединение, то запись о незавершенной процедуре подключения будет добавлена в буфер жертвы до истечения тайм-аута ответа. Когда в буфере накопится достаточное количество запросов, произойдет переполнение. После этого жертва перестанет отвечать на пользовательские запросы. Вот, собственно, и вся схема атаки. Чтобы не быть голословным, приведу пример заголовка пакета при данной атаке:

Цитата:
sock.ip.version=4; // Версия

sock.ip.ihl=5; // Длина заголовка

sock.ip.tos=0; // Тип сервиса

sock.ip.tot_len=htons(40); // Общая длина

sock.ip.id=getpid(); // ID

sock.ip.frag_off=0; // Смещение фрагмента

sock.ip.ttl=255; // Время жизни

sock.ip.protocol=IPPROTO_TCP; // Используемый протокол

sock.ip.check=0; // Контрольная сумма

sock.ip.saddr=saddress; // Адрес источника

sock.ip.daddr=daddress; // Адрес назначения

Аналогичные примеры разбросаны по всему Интернету, поэтому я не удивлюсь, если ты его уже где-то встречал или же постил сам. Обрати внимание на fragment_off, то есть на смещение фрагмента. В некоторых случаях использование длинных пакетов с большой фрагментацией дает желаемый результат намного быстрее приведенного метода.

Вот еще хороший пример нашей атаки. Нам потребуются, как минимум, два компьютера . Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя (кстати, об этом позже), который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании.


Slow HTTP Post
Совсем недавно был открыт новый метод DoS, который практически сделал революцию в многолетнем стаже DDoS атак как классических.
Чтобы понять суть данного метода стоит всего лишь вдуматся в его название: медленный HTTP пост-запрос.
На практике это выглядит следующим образом: Клиент передает серверу "Content-Length", а после удачного запроса начинает ОЧЕНЬ медленно передавать сам post-запрос. При этом на сервере потребляется большое количество ресурсов что в конечном итоге приводит к зависанию.
Имеется ввиду что для 1 такого запроса требуется намного больше времени. Если организовать ботнет, то в теории получится смесь http-get и syn флуда.

Цитата:
Атака была впервые продемонстрирована широкой публике на OWASP 2010 Application Security Conference. Исследователь Wong Onn Chee первый обнаружил атаку в 2009 совместно с командой исследователей из Сингапура. Позже были проведены исследования атаки (в том числе компанией Microsoft). Уязвимость в протоколе сейчас официально признана. Изначально атаки такого рода проводились в Китае. Для рекрутинга ботов использовались онлайн игры — компьютеры незадачливых игроков использовались для отправки специально сформированных HTTP-запросов целевой системе.
[Happy End?]

Цитата:
Что дозволено Юпитеру - не дозволено быку

Вот такие вот мы теперь крутые, можем устроить свой DDoS, да и вообще все замечательно. Однако не следует забывать, что повесить яндекс с диалапа не так просто, как кажется на первый взгляд. В принципе, можешь попытаться. Умные люди для этих целей используют свои армии затрояненных машин - DDoS ботнеты.

Еще не конец!

Всего, конечно же, не опишешь, однако я хотел рассказать про самую суть, чтобы ты узрел, наконец, в корень проблемы, а не в стебель конопли. Как видишь, нет ничего сверхсложного в технологии DDoS. Написать своего DDoS-бота можешь даже ты. Другое дело, что люди в погонах тебе спасибо не скажут, но это уже дело твое.


И в итоге:
Хотелось бы "внедрить" Вам лишь одно: Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них.
Но за это время я для себя выделил 3 вещи:
1) Не существует защиты, которая могла бы одолеть КАЧЕСТВЕННУЮ DDoS-атаку. Все зависит от Ваших рук и мозгов. Если ВЫ не настроете сервер качественно, то конец будет довольно печальным.
2) Не существует бота, который мог бы обойти умного сисадмина.
3) Нужно делать все во благо) Лично я беру заказы на DDoS лишь если там сайты с легальными наркотиками, педофилами и прочей нечистью.
Я даже, бывает, за бесплатно DDoS'ю некоторое время, пока не появится другой заказ.
†SHYLLER†™ вне форума  
Сказали 'Спасибо' за это сообщение.
Ответить с цитированием
Внимание посетители ShopWorld.biz
                                       У нас проводится Набор модераторов.
                                       Правила раздела: Покупка / Продажа / Обмен / Услуги
                                       Проверка ваших тем администрацией.(Раздел "Торговля")
                                       Пожелания по работе форума и Реклама на форуме.
                                       Советуем заглянуть вам в раздел Торговля и Статьи и обсуждение или World navigation
                                       Для связи с администрацией пишите в icq: 6506666 или в ЛС.
                                       Администрация не несет ответственности за причиненный вред пользователям и от других пользователей(пользуйтесь гарантом),
                                       Все материалы размещенные на сайте предоставленны в ознакомительных целях.
                                       Ап темы в разделе Покупка / Продажа / Обмен / Услуги раз в 5 дней, как апать тему читаем тут.
Старый 04.07.2018, 21:21   #2
Krabeg
Гарант/Проверяющий
 
Аватар для Krabeg
 
Регистрация: 17.06.2012
Сообщений: 197

Сказали спасибо: 54
Цитата:
Для UDP лучше всего отключить лишние службы.
Для ICMP отключить пинг.
К сожалению для одних, и к счастью для других, отключение udp/icmp никаким образом не поможет, даже если полностью перекрыть udp/icmp трафик на ПО уровне, он в любом случае будет поступать на сервер. Как вариант, его можно пофильтровать на роутере, чтобы он не доходил до сервера нужного, или же резать на аппаратном фаерволе.
Krabeg вне форума  
Сказали 'Спасибо' за это сообщение.
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:19. Часовой пояс GMT +5.

Автор ShopWorld: †SHYLLER†
Яндекс.Метрика