ддосят что это значит
Распределенные сетевые атаки / DDoS
Стандартные цели DDoS-атак:
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Использование сети зомби-компьютеров для проведения DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Природа современных DDoS-угроз
В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
Что такое DDoS?
Работаю в хостинге: размещаем сайты пользователей на своих серверах.
Ввиду гигантского количества вопросов, которые нам задают и начинающие, и опытные пользователи, при помощи Пикабу хочу разъяснить некоторые принципы, аспекты и особенности этого ответвления IT-сферы. Не уверен, что количество вопросов от наших пользователей уменьшится, но попытаться стоит.
Даже если вы не пользуетесь хостингом, предположу, что эта информация может быть познавательна.
Немного о наболевшем. DDoS-атаки. Последние несколько недель наша площадка была целью довольно сильной DDoS-атаки, из-за чего мы потеряли несколько хороших клиентов, много часов сна и несколько десятков нервных клеток. Если точнее, как выяснилось чуть позднее, целью был один из клиентских сайтов, хостящийся на одном из наших серверов.
Но, с самого начала. Что такое DDoS-атака? По традиции, вольное определение в условиях моей работы. DDoS — это атака на хостинг-сервер, целью которой является вывод из рабочего состояния какого-либо веб-сайта или сервиса, размещённого на атакуемом сервере.
Аббревиатура DDoS означает Distributed Denial of Service (распределённый отказ в обслуживании). «Распределённый» означает, что атака ведётся с большого числа компьютеров и других устройств, имеющих доступ в Сеть.
Почему я не ограничиваю атакующих только компьютерами? В моей практике были случаи, когда атакующие был определёны, как МФУ, например HP. Это, собственно говоря, уже не вызывает удивления, т. к. почти любое современное устройство имеет собственную ОС, набор протоколов в ней, командную строку и, в общем-то, весь необходимый функционал для управления устройством, как непосредственно с самого устройства, так и удалённо.
Что происходит во время такой атаки? Некоторое количество устройств (от нескольких десятков до нескольких миллионов) с определённой частотой направляет запрос к какому-либо сайту. Какой запрос? Да, в общем-то, любой. Например, если действительно говорить об атаке сайта, устройства запрашивают у этого сайта главную страницу.
Ну и что ж в этом такого страшного? Обращения к сайтам есть всегда. Ничего страшного в самом обращении к сайту нет. Беда кроется в количестве таких обращений. Хорошо настроенный хостинг-сервер, поддерживающий 1500-2000 сайтов, комфортно работает в диапазоне 0-4000 пакетов в секунду. В случае с DdoS эти цифры возрастают в сотни раз, и сервер начинает «тормозить» или «умирает».
Попробую пояснить. Представьте, что сервер — это станция метро. В вестибюле станции есть некоторое количество входов и выходов — это каналы связи нашего сервера с Сетью. В обычном режиме станция обслуживает N-ое количество входящих пассажиров (сетевых пакетов с обращениями к серверу) в секунду. В часы пик количество становится довольно большим, и перед входом на станцию скапливается некоторое количество людей. Примерно такая же ситуация при работе сервера под большой нагрузкой. А теперь представьте, что станция находится рядом со спортивным или концертным комплексом. Когда мероприятие закончилось, на станцию хлынул огромный поток людей. Толпа стоит перед входом, движение очень медленное. Все негодуют и ругают власть.
Сравнение, конечно, очень грубое. Но картина должна представиться примерно понятной. Когда один из серверов хостера атакуют, в лучшем случае перестаёт нормально работать только атакуемый сервер. В худшем случае «лечь» могут все сервера, использующие тот же сетевой маршрутизатор, что и атакуемый сервер. Это может произойти если ёмкость атаки превышает возможности канала связи всей технической площадки.
Под ёмкостью атаки подразумевается суммарный объём данных, которые направляют атакующие устройства на атакуемый сервер.
В качестве примера: несколько лет назад, когда я работал в другой хостинг-компании, ёмкость одной из атак составила 50 Гб/с. На тот момент суммарная пропускная способность всех каналов той компании была в 5 раз меньше, то есть выделенный ЦОДом канал связи для всех серверов этого хостера был около 10 Гб/с. Соответственно, всё сервера, стоявшие в том ЦОД стали недоступны из внешней сети.
Работа серверов в обычном режиме (визуализация).
Как проводится такая атака? Очень грубая схема: есть некоторый набор устройств, имеющих доступ в глобальную Сеть. Компьютеры, смартфоны, МФУ, чайники, холодильники и т. д. Они взломаны злоумышленником. Но владельцы этих устройств об этом не знают и, скорее всего, никогда не узнают. Такое устройство в IT-сфере называют «зомби». Группа таких зомбированных устройств называется «бот-нет». Вирус, размещённый на устройстве, никак себя не выдаст, т. к. в противном случае бот-нет потеряет бойца. Как только зомбированное устройство получает инструкции для атаке, оно начинает действовать. Как я уже говорил ранее, например, запрашивать главную страницу атакуемого сайта.
Работа серверов под DdoS-атакой (визуализация)
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются. Но процесс вычисления атакуемого может занять несколько часов. Всё это время все остальные сайты, размещённые на атакуемом сервере, скорее всего, работать не будут. Что и вызывает тонны негодования, криков, жалоб и раскалённый добела телефон со стороны владельцев всех размещаемых на этом сервере сайтов.
Как защищаться от DdoS? К сожалению, никак. Безусловно, есть сервисы, которые предоставляют защиту от такого рода атак. Но они зачастую не дают каких-то гарантий, и защитить от атак ёмкостью более 1 Тб/с (а сейчас атаки постепенно переходят именно на такой уровень) и 80-100 млн пакетов в секунду уже мало кто сможет. Услуги таких сервисов обычно стоят довольно больших денег и, соответственно, нет большого смысла в защите сайта, размещённого на шаред-хостинге.
У самих хостеров, всё же есть некоторая защита от «первой волны», когда DdoS ещё не набрал большие обороты, и можно успеть вычислить и отключить атакуемый сайт. Обычно, подробной информации о первом рубеже хостера вам никто не даст, т. к. это гарантирует самому рубежу его работоспособность.
В завершении хотелось бы обратиться к тем, кто использует любой платный хостинг. Если вдруг ваш сайт перестал работать, а на ваш вопрос «WTF?!» тех. поддержка говорит «Извините за неудобства, нас атакуют», потерпите немного. Поверьте, они делают всё возможное, чтобы как можно быстрее возобновить работу сервера. Это в их же интересах.
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Спасибо, что прочли. Есть вопросы? Жду в комментариях.
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
С такой политикой у вас вообще есть клиенты?))
А как узнать, не зомби ли мой пука? Может долбаный мультиплеер инквизиции глючит по страшному из-за того, что кто-то кого-то дудосит моим компом. Ну или биовары ублюдки.
Это утверждение, не верно.
«Смешались в кучу кони, люди»
Если уж начал рассказывать так рассказывай нормально. А не как первая линия поддержки.
Смешаны в кучу L5-L7 атаки с атаками на канал L3 и L4
Первые отсечь во общем то обычно проблем нет. Просто хостерам это на фиг не надо. Оно и правильно, клиенту нужно пусть платит деньги.
«Как защищаться от DdoS? К сожалению, никак. «
Были бы деньги защититься проблем нет. Но стоит это до хрена, почему так. Просто что бы отфильтровать трафик его нужно принять. А это стоит бабла. Собственно поэтому же и отключение «сайта» при этих атаках не даст нужного результата. Только вычисление ip на который идет атака передача этой инфы аплинкам и нульроут его там. При нормальной настройке оборудования и netflow это процедура занимает минут 5-10 в автоматическом режиме столько и составит недоступность ЦОД/стойки/сервера, нужное подчеркнуть.
В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
Я надеюсь, временный? Владелец сайта же не виноват, что его дудосят.
И ещё вопрос, на сколько хорошо антивирусники чистят подобных вирусов, которые твой комп в зомби превращают? Слышал что это используется ещё и что бы биткоины для хозяев заразы зарабатывать и прочее. Как от этого спастись?
*не стала читать умный холивар выше* автор, дай есчо постов, это познавательно и нужно
ЭТИ БАБЫ В КРАЙ ОХУЕЛИ!
а какая цель у таких атак? положить конкретный сайт?
а как сбя показывает ввод капчи перед загрузкой сайта?
Здравствуйте! Очень интересная и доступная статья.
Хотелось бы узнать у вас совета. С чего и как начать изучение ИТ?
Если вам несложно ответьте пожалуйста, как сможете 🙂
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Золотые слова. каждый 3й просит чтоб его заранее о Ддосе предупреждали, и совершенно не понимают что это не предсказуемо.
хм. как круто иметь официальное сообщество вконтактике. нах хостинги.. нах ддосы..
все ясно понятно, но вопрос имею: в сводке новостей в связи с ДДОС атакой были похищены 100500 данных пользователей, а как хищение происходит?
Блокировать по IP после нескольких одинаковых запросов? Отвалиться и много реальных пользователей, но я вижу это как-то так.
Было бы интересно почитать подробнее о том, что предлагают сервисы по защите от таких атак.
Ностальгия. Где мой 97 год, когда я заказал на сайте письмо с вложенными 30 mp3-шками и на полдня положил канал провайдера.
Как защищаться от DdoS? К сожалению, никак. Ограничение количества запросов с одного ip за определенный промежуток времени можно выставить, и я уверен что это не единственный способ
на сколько я знаю канал для каждого клиента режется активным оборудованием, нагрузка на процессор и оперативка системой виртуализации. поэтому ложится только одна виртуальная машина кластера.
На сколько хлебная у Вас работа?
я у себя на хостинге cloudlinux os развернул, если и ддосят какой-то из сайтов, он просто отмирает, а остальные продолжают работать в штатном режиме
Оказывается выходцы из гор все-таки могут один на один
Как берут интервью у кандидатки на мисс Финляндия
Подпольная стрижка
Сходил нелегально подстригся. На парикмахерской большая табличка «закрыто», на окна опущены жалюзи. Стучишь в дверь – жалюзи раздвигаются, появляется глаз. Глаз меня осмотрел, признал постоянного клиента и в приоткрывшуюся щель я проник. Пока стригли, ещё кто-то стучался, на него смотрели, но не пустили. Оплата только наличными. Атмосфера Чикаго времён сухого закона. Рекомендую.
В свете недавних событий
Казахам респект!
Купи себе и близким перцовый баллон!
Я неоднократно самооборонялся перцовым баллоном, ношу их лет 15 и предпочитаю перцовый баллон всем прочим средствам самообороны. Сейчас расскажу, почему, а также напишу гайд для тех, кто не хочет читать форумы и смотреть десятки видео с тестами перцовок.
1) Почему перцовый баллон, а не травматика?
2) Какой баллон купить?
— Не берите пенные и гелевые баллоны, у них нет явных преимуществ, а действующий состав слабее.
— Баллоны «Боец» очень быстро выстреливают содержимое, поэтому рекомендуются только опытным пользователям.
— Баллоны «Шпага» и другие струйные требуют умения точно попадать струей по глазам. Это сложнее, чем аэрозолью. Поэтому струйные баллоны рекомендуются только опытным пользователям.
Я считаю лучшими баллонами «Факел» (любого объема) и «Black 75». Они мощные, ими удобно пользоваться, не нужно тщательно целиться. Рекомендую эти баллоны всем.
3) А распылительные устройства типа «Удар», «Пионер», «Премьер», «Добрыня» и подобные стоит брать или нет?
Я не рекомендую их брать, так как есть вопросы к их надежности, ими надо уметь пользоваться, заметных преимуществ перед перцовыми баллонами нет.
4) Несовершеннолетнему можно купить перцовый баллон?
С оговорками. Большинство баллонов нельзя. Но можно купить баллон серии «Антидог», который предназначен для защиты от собак. Там тоже содержится перец, но не содержится газа CS. Поэтому они несколько менее мощные, но все равно неплохо действуют против человека.
5) Что еще надо знать?
— Купите два баллона, один из них используйте для тренировки по мишени в безлюдном месте, потому что вы должны знать все свойства предмета, которым владеете.
— Если купили баллон своей девушке/жене, контролируйте, чтобы она носила баллон в кармане одежды, а не на дне сумки, как к этому, увы, склонны многие женщины.
— Я не квасной патриот, но, надо признать, что в РФ выпускаются одни из самых мощных баллончиков в мире. Тем не менее, баллон может не вывести из строя нападающего мгновенно, а сработать с некоторой задержкой; будьте готовы к тому, что залитый противник первые секунды еще может пытаться атаковать вас.
— Если дело все же дошло до полиции, обязательно: напишите заявление на нападающего, сходите в судмедэкспертизу и снимите побои, которые вам нанес нападающий (у вас ДОЛЖНЫ быть следы побоев! Надеюсь, намек понятен), сходите в адвокатскую контору, проконсультируйтесь и заключите договор с адвокатом, давайте любые показания только в его присутствии.
Косплейчик
Депутат Госдумы предложил запретить указывать национальность
Депутат Госдумы Султан Хамзаев предложил запретить указывать национальность, расу и веру преступников после случая в Новых Ватутинках.
Говорит, что СМИ разжигают ненависть и занимаются пропагандой фашизма, а также потребовал принести извинения.
А ловко он это придумал!
300 горцев
По ТВ сейчас показывают фильм 300 спартанцев. И я подумал, почему бы не снять отечественный ремейк, «300 горцев»? Где 300 горцев героически нападает и сражается с одним русским.
Врубай свою шарманку, водила!
Как-то так получилось
ВК и Ведьмак
Что будет?
Защищались от 4-летнего ребенка
Странная жизнь
DDoS атака: что это такое и как защитить свой сайт
DDoS – (от англ. Distributed Denial of Service «отказ в обслуживании») чаще всего атака направлена на то, чтобы ресурс жертвы был недоступен.
DDoS-атака на сайт сродни нажатию красной кнопки, только бахнуть может уже сейчас, а не потом. Сервера жертвы атакуются множественными запросами, и ресурс становится недоступен. Время действия варьируется от одного часа до месяца.
Способ появился ещё в начале 1990-х и не подразумевал ничего серьезного, а лишь использовался в целях шутки.
Но в середине 90-х была произведена атака на провайдере Нью-Йорка – Panix Networks. И она была совсем не шуточной, а скорее мстящей. Провайдер не давал рассылать спам пользователям. В 1996 году был опубликован гайд по противодействию DDoS-атакам. Именно тогда проблему и признали.
Обычно для атаки используют ботнет-сети.
Ботнет-сети – это компьютерная сеть из нескольких хостов, на которых запущены боты (автономное ПО). Служат злоумышленнику для добычи личной информации, рассылки спама и DDoS-атак. Ботнет-сети организовываются из зараженных компьютеров, на которые отправляется спам на почтовый ящик или в социальную сеть с опасным ПО. Чтобы этого не произошло с вами, проверяйте свой ПК на вирусы, не открывайте потенциально странные письма и чистите папку «Спам» в почтовом ящике.
Хоть это называется «сетью», устройства не объединены между собой.
Ботнет-сети генерируют большой объем трафика (направление запросов на сайт или имитация посещения оного), который в свою очередь и перегружает систему. Ведь не все оборудование может справляться с большими нагрузками.
Внимание, ожидается DDoS-атака: как понять, что сайт хотят положить?
Достаточно просто. Скорее всего, вы знаете, как сайт «ведет» себя в мирное время. При признаках атаки у сайта и сервера возникают проблемы.
ПО начинает тормозить, неадекватно возрастает входящий трафик, логи резко набирают в весе.
Любое отклонение в работе сайта может навести подозрение именно на ддос-атаку.
Кому и зачем нужны DDoS-атаки?
Атаки могут устраивать от мала до велика: от старшеклассника, решившего попробовать свои силы, до профессионального хакера, который не то денег хочет шантажом заработать, не то выполняет заказ какого-либо лица. Все зависит от целей нападения на ресурс.
Например, фирма А (В, Г, Д и т.д.) перед праздниками хочет получить большую прибыль, но их конкуренты, фирма Б, пользуется большей популярностью у клиентов. Поэтому фирма А заказывает атаку на фирму Б, и пока сайт вторых не работает, первые хапают заказы за двоих =)
В общем, DDoS атаками может заниматься как профессионал, так и дилетант, умеющий применять информацию из поисковика, т.к. найти инструкцию, которая поможет совершить DDoS-атаку (хоть и совсем простейшую) несложно.
Какие ресурсы страдают от DDoS-атак чаще всего
В основном жертвами нападений становятся:
Также не стоит путать DDoS-атаку со взломом сайта – это абсолютно разные вещи. DDoS-атака никак не внедряется в код сайта, а лишь направляет на него огромное количество обращений, из-за чего сайт не справляется с ними и становится недоступен.
Самая известная DDoS-атака: дело Аэрофлота
В России наиболее известна атака на платежную систему Assist, которая проводила платежи на сайте Аэрофлота. В 2010 году с помощью DDoS-атаки хакерам удалось положить сервера платежной системы Assist. В результате в течение недели было невозможно бронировать билеты на сайте Аэрофлота. За эту неделю компания потеряла как минимум 146 млн рублей. Впечатляет? Меня вот очень.
По версии следствия исполнителями атаки являлись братья Дмитрий и Игорь Артимовичи.
Заказчик этого дела (владелец платежной системы ChronoPay) как раз хотел добиться разрыва отношений между Аэрофлотом и Assist и занять место последних.
Братья Артимовичи получили по 2,5 года общего режима. На фото Дмитрий Артимович, который непосредственно занимался атакой на платежную систему Assist.
Основные типы DDoS-атак
HTTP-флуд. В этом случае производится отправка серверу пакета, в ответ на который отправляется пакет гораздо большего размера. В заранее специально сформированном запросе к серверу хакер заменяет свой IP-адрес на IP устройства внутри сети жертвы.
ICMP-флуд. А если конкретнее, то Пинг смерти (Ping of Death).
Ping (время ответа сервера) как челночный бег, замеряется время отправки пакетов с ПК до сервера и обратно.
Низкий пинг – хорошо (сервер отвечает быстрее), высокий – уже не очень (медленный ответ сервера).
Так вот, проверяя доступность сервера через командную строку путем ping к ya.ru, например, мы можем видеть время ответа серверов Яндекса.
Для его проверки на сервер отправляются пакеты весом в 32 байта (при максимальном размере в 65 536 байт). И если размер пакета превысит эти 65 536 байт, то у сервера могут начаться проблемы.
А достигается это путем фрагментации этих пакетов. Грубо говоря, пакет размером выше 64 кб делится на несколько частей и отправляется путем запроса на сервер жертвы.
Как только фрагменты оказываются на компьютере атакуемого, он их пытается восстановить и, как правило, устройство жертвы зависает (включая органы управления), а сервер становится недоступен.
На данный момент с высокой степенью защиты способ неактуален.
«Тяжелые пакеты». Злоумышленник с помощью ботнета посылает серверу тяжелые для обработки пакеты данных, которые не переполняют канал связи, но изрядно отнимают ресурсы процессора, что может привести к его перегреву или перегрузке.
Переполнение накопителя. Жертве отправляются неограниченное число логов, которые займут все свободное пространство на накопителях.
И немного об «умной» технике. В век современных технологий уже набрали популярность «умные» приборы. Это может быть колонка, розетка, лампочка, видеокамера, чайник, холодильник и т.д.
Дело в том, что у каждого умного устройства есть ip-адрес, а это значит, что с него можно также отправлять запросы на сервер. Казалось бы, восстание машин ещё 10 лет назад можно было отнести к фантастике, а теперь оно все ближе к реальности.
Можно ли заказать ДДОС-атаку на конкурентов?
Конечно! Найти сервисы по организации этого процесса совсем несложно, но важно помнить, что это незаконно и в качестве наказания может использоваться уголовная ответственность.
Цены разные: кто-то за поддержание сайта в нерабочем состоянии хочет 3 тысячи рублей, а кто-то и все 30 тысяч. Все зависит от степени защищенности ресурса.
Конечно, все сайты по предоставлению таких услуг выглядят сомнительно и есть большая вероятность нарваться на обычных мошенников.
Также такие услуги можно найти на специализированных форумах. Цены не сильно разнятся с сайтами выше.
Так что любой ваш конкурент может поступить, как ChronoPay с Аэрофлотом, не так уж это и дорого. И надо уметь защищаться.
6 способов защиты от DDOS-атак
Фильтрация трафика
При установке фильтров можно задать специальные параметры, которые помогут защитить сервер и фильтровать трафик с определенными правилами.
Система мониторинга
Если кто-то попытается атаковать ресурс, то система мониторинга вовремя отреагирует и даст понять, что сайт начинает принимать атаку. Нет никаких гарантий, что этот способ поможет отбиться, но он точно поможет выиграть время, которое стоит использовать на защиту.
Разделение ресурсов
Зачастую атаки направлены на внешние ресурсы. Внутренние (админка, рабочая структура) попадают, что называется, под горячую руку. Чтобы такого не произошло, внутренние ресурсы следует перенести на другое оборудование или другие дата-центры. Таким образом, если основной ресурс атакован, внутренний продолжит свою работу в штатном режиме.
Актуальное ПО
Необходимо всегда обновлять ПО, если этого требует система. Разработчики постоянно залатывают старые дыры (и открывают новые), повышают безопасность и стабильность программного обеспечения. Зачастую пользователи именно устаревшего ПО становятся жертвами злоумышленников.
Сервисы
В наше время появилось много сервисов по защите от DDoS атак. Они снижают нагрузки на сайт, фильтруют и оптимизируют трафик. Также в такие сервисы включена система мониторинга. Таким образом, на сервер клиента приходит только чистый клиентский трафик. Цены варьируются от 3-х до 30 тысяч рублей в месяц.
Показательная «порка»
Дело Аэрофлота показало, что найти можно кого угодно. Если сайт оказался атакован, и жертва потеряла ресурсы, то нельзя оставлять это безнаказанным. Необходимо добиваться деанонимизации и наказания злоумышленников.
Так другие будут видеть, что подобные действия не останутся безнаказанными.
В заключении
Стоит понимать, что DDoS-атаки микрошажками начинают уходить в прошлое. С середины прошлого десятилетия таких атак стало меньше, как раз благодаря уголовным делам и усилению защиты сайтов. Однако это не значит, что стоит расслабляться – всегда нужно быть во всеоружии.
В любом случае стоит проверить ваш сайт на вирусы, ведь зараженный ресурс – опасный ресурс.