Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

Онлайн-форум hostobzor.ru _ Мнения читателей _ Виды DDoS и методы противодействия

Автор: MHN 14.08.2006, 17:39

http://hostobzor.ru/doc/ddos.php

Хоть скриншоты бы повставляли для большей информативности smile.gif
Почему не указан список используемых при перепечатке ресурсов, копирайты?

пример: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/

Автор: Admin 14.08.2006, 19:38

Ну и кто после этого "консультант по противодействию DDoS Дмитрий Данильев"?

Resolve одним словом...

Автор: eSupport.org.ua 15.08.2006, 00:49

Если информация о DDOS интересна, то я могу написать про виды атак отказа на обслуживание и краткие рекомендации по борьбе с ними.
Если в кратце, то атаки бывают
1) На перегрузку канала/железа. Эти атаки выбивают датацентры.
2) На сетевую подсистему сервера (спуфинги, пинги, сины...). Сервер становится недоступен по сети но продолжает нормально работать.
3) На сетевой сервис. Эти атаки одни из самых вредных - могут убить веб, почту, днс и прочие сервисы. Решаеться как правило аппаратно.
4) На сайты. Находят наиболее тяжелые скрипты и долбят их. Приходиться отключать такие сайты.
5) Изнутри - самые тяжелые последствия, так как атака является не целью а признаком. Например упала почта - значит в почтовом спуле тонны спама.

Подробнее писать?

Автор: deMone 15.08.2006, 04:06

Напишите, на мой взгляд лишним не будет. Причём лучше разместить не здесь, а в статьях на ХО.

Автор: Admin 15.08.2006, 07:54

Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *

Подробнее писать?

Да, Андрей, с удовольствием опубликую в читальном зале. Хотелось бы, чтобы статья носила более прикладной характер, чем http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ Т.е. побольше конкретных рекомендаций как клиентам, так и хостерам по разумному поведению в случае атак. Начиная от того, как не спровоцировать, выявить провокатора и заканчивая методами борьбы (насколько это возможно). По срокам не тороплю, буду терпеливо ждать столько, сколько понадобится, в моем представлении - статья весьма трудоёмкая.

Автор: MultiHOST 22.08.2006, 23:19

Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *


Подробнее писать?


Конечно, это отличная тема, особенно, когда авторская smile.gif

Автор: udofun 02.09.2006, 10:34

тоже поддерживаю,
разрабатываем сейчас свой комплекс защит от ДДоС

Автор: AstraNight.com 02.10.2006, 16:25

udofun, как успехи?

Автор: alpha_Qu4z4r 05.08.2009, 20:37

+1 Статья ниачём, каждый школьник всё это знает и так.

Хотелось бы качественную статью про методы обнаружения и борьбы с подобными атаками, как на оборудовании cisco так и средствами операционных систем freeBSD\Linux.

Если подобную статью кто-то уже здесь запостил, хотелось бы видеть в этой теме ссылку.

Автор: Admin 05.08.2009, 20:42

Цитата(alpha_Qu4z4r @ 05.08.2009, 21:37) *

+1 Статья ниачём, каждый школьник всё это знает и так.

Весь раздел "Читальный зал" создан специально для школьников. Для профи - закрытые разделы Клуба.

Автор: alpha_Qu4z4r 05.08.2009, 20:56

Каковы условия получения доступа в закрытый раздел?

Автор: xaker1 05.08.2009, 21:06

Все описано в правилах. Для закрытого раздела нужно вступить в группу хостинг провайдер.

Автор: tsolomon 08.08.2009, 01:08

Я не провайдер, в закрытый раздел попасть не могу =)
объясните пожалуйста чайнику, как борются с ддос такие конторы как prolexic.com ? Обратил внимание, что еще домены у них паркуют и веелые цены, пдфку потерял, что-то около 6К $ в месяц на бюджетном варианте, если вас атакуют и вам надо срочно защититься, то платит 18К за оперативность...

Автор: eSupport.org.ua 08.08.2009, 05:11

Они используют анти-ддос технологии

Автор: alpha_Qu4z4r 08.08.2009, 08:42

Цитата(eSupport.org.ua @ 08.08.2009, 05:11) *

Они используют анти-ддос технологии


*С сарказмом*
Исчерпывающий ответ.

=)

Автор: different 08.08.2009, 09:04

Цитата(alpha_Qu4z4r @ 08.08.2009, 11:42) *

*С сарказмом*
Исчерпывающий ответ.

=)

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.

Автор: ENELIS 08.08.2009, 17:13

более того у пролексик патентованная технология.

Автор: alpha_Qu4z4r 17.08.2009, 17:04

Цитата(different @ 08.08.2009, 09:04) *

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.


Несомненно, можно даже докторскую защитить =)
Но здесь от вас требуется чуть меньше лени и больше конкретики, а её безусловно можно уложить в несколько простых советов.

Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.

Так же если смотреть на состояния соединений, то в случае атаки можно будет увидеть огромное количество SYN соединений, которые таки остаются висеть, как правило их так же несколько от однго IP, следовательно это тоже ДДоСер.

Если есть что добавить было бы крайне интересно почитать.

Автор: eSupport.org.ua 17.08.2009, 17:19

opennet.ru, dedic.ru, hostinghelp.biz

Автор: Selecta 20.08.2009, 09:05

Цитата(alpha_Qu4z4r @ 17.08.2009, 20:04) *


Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.


Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,

Автор: ENELIS 20.08.2009, 10:14

К сожалению, да - в бан, потому что например новый тип ботов уже невозможно отличить от прокси никаким образом практически, по-крайней мере фальспозитивы будут.
Вот отловили 51000 ботнет с умными ботами умеющими user-agent, cookie, redirect и как их отличать от proxy прикажете? Captcha не вариант

Автор: alpha_Qu4z4r 20.08.2009, 14:47

Цитата(Selecta @ 20.08.2009, 09:05) *

Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,


Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Автор: Selecta 20.08.2009, 16:32

Цитата(alpha_Qu4z4r @ 20.08.2009, 17:47) *

Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Enelis прав, если бот грамотно написан и рандомизирует все эти параметры, также как и длину окон, payload, то шансов понять что есть бот а что нет - мало. Бедные провайдеры smile.gif
Хотя...если взять ДДоС со спуфом внешними адресами - еще хуже. Единственно что приходит в голову, это по методике пролексика принимать на себя фактическую атаку, фильтровать и отдавать чистый трафик клиенту как back-end. Это все реализуемо, но дорого...

Автор: ENELIS 20.08.2009, 20:04

Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.

Автор: Selecta 20.08.2009, 21:35

Цитата(ENELIS @ 20.08.2009, 23:04) *

Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.


Увы - возможно, при случае когда соединение не требуется завершать. Например при том же syn flood.

Я могу предоставить дамп атаки, где исходящие адреса идут с сети ФБР, а также от правительства России. На сайт компании, которая занимается продажами дверей. Если интересно, пишите в личку. Узнали о спуфе в процессе, когда сервер посылал ответы на пакеты .... в ФБР и правительство России.
Естественно прикрыли, но по факту - все равно приятного мало wink.gif

Автор: ENELIS 20.08.2009, 23:17

Syn flood можно и нужно заблокировать.

Автор: eSupport.org.ua 21.08.2009, 06:08

И как при этом не убить легальный трафф?

Автор: alpha_Qu4z4r 21.08.2009, 16:44

Цитата(ENELIS @ 20.08.2009, 23:17) *

Syn flood можно и нужно заблокировать.


Было бы интерсно увидеть здесь реальные примеры блокировки.
В голову приходит лишь один вариант, каким-то образом считать время от прихода syn запроса и если оно превышается, а от того же адреса пришло ещё несколько таких запросов, можно предположить, что флудер. Какие есть средства для подобной блокировки в Linux/FreeBSD/Cisco?

Автор: ENELIS 21.08.2009, 17:21

во-первых для начала нужно отклонить все неправильные/некорректные с точки зрения RFC пакеты различными правилами.
затем можно pf synproxy (но не очень стабильное решение),
и нужно расширить syncache

syn таймаут не имеет смысла имхо без подсчета норм соединений против syn timeout и бана (запрета соединений) и то легитимный траффик имеет возможность попасть в бан, а это не хорошо.

Автор: Corneliy 30.09.2010, 23:45

Можете посоветовать DDos устойчивый хостинг? Может-ли хостер отключить сайт, если на него идет DDos атака, хозяин сайта получается не виноват?

Автор: ENELIS 01.10.2010, 16:35

Зависит от атаки, если 40 гбит/с будет выгонят без вопросов.

Автор: Peter B. Pokryshev 10.12.2010, 17:54

Думаю на данный момент библией по DDoS можно считать данную книгу:
http://www.amazon.com/Internet-Denial-Service-Defense-Mechanisms/dp/0131475738/ref=sr_1_1?ie=UTF8&s=books&qid=1291992597&sr=8-1

Среди авторов такие гуру как
http://staff.washington.edu/dittrich/

Автор: alpha_Qu4z4r 10.12.2010, 18:18

Интересно. А перевода, как я понимаю, не существует?

Хотя нашёл что-то похожее http://eprints.isofts.kiev.ua/427/1/%231_D93-c579.pdf
Оно или не оно?

Автор: Peter B. Pokryshev 10.12.2010, 18:26

Цитата(alpha_Qu4z4r @ 10.12.2010, 18:18) *

Интересно. А перевода, как я понимаю, не существует?

Не видел, но если Вы читаете техническую литературу по английски то там многое будет понятно.
Не знаю как сейчас, но 5 лет назад в интернете по-русски никакой более менее серьезной информации не было. А в этой книге 400 страниц - все темы по полочкам разложены.


Цитата(alpha_Qu4z4r @ 10.12.2010, 18:18) *

Хотя нашёл что-то похожее http://eprints.isofts.kiev.ua/427/1/%231_D93-c579.pdf
Оно или не оно?

Не оно - там наши авторы.

Автор: alpha_Qu4z4r 10.12.2010, 19:11

Читаю, но пока с большим трудом и стараюсь всегда найти русскую доку, поскольку понять её гораздо проще.

Автор: eSupport.org.ua 11.12.2010, 00:32

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

Автор: Viktorich 11.12.2010, 00:55

Цитата
Зависит от атаки, если 40 гбит/с будет выгонят без вопросов.

для начала, будут долго искать, кого ддосят...

Автор: Mik- 11.12.2010, 03:20

Цитата(eSupport.org.ua @ 10.12.2010, 23:32) *

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

+1

Автор: ENELIS 11.12.2010, 05:10

Цитата(Viktorich @ 11.12.2010, 01:55) *

для начала, будут долго искать, кого ддосят...

Ничего не долго, 30 минут/1 час и кого ддосят вычисляют.
На нас дважды падало, сначала 40 гбит/с, затем 100 гбит/с, до сих пор не включили нам наши услуги в полной мере, хотя денюжку требуют за все, хотя по договору, они нам должны.

Автор: Peter B. Pokryshev 11.12.2010, 11:56

Цитата(eSupport.org.ua @ 11.12.2010, 00:32) *

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

А Вы кто такой? Меня умиляют юнцы которые такое заявляют.
Читать Вы видимо не умеете:
http://staff.washington.edu/dittrich/
короче без комментариев.

Автор: Admin 11.12.2010, 13:33

Цитата(Peter B. Pokryshev @ 11.12.2010, 11:56) *

А Вы кто такой? Меня умиляют юнцы которые такое заявляют.

"Юнец" - автор и архитектор системы распределенной защиты, к которой подключено уже несколько хостеров. Но это большой роли не играет, потому как наличие любого мнения, отличного от собственного - совсем не повод для агрессии.

А в предверии Нового года - это вообще плохая примета smile.gif. Давайте просто свободно высказывать свое мнение и отстаивать его аргументами, а не атаками на личность оппонентов. Ок?

Автор: Peter B. Pokryshev 11.12.2010, 13:44

Цитата(Admin @ 11.12.2010, 13:33) *

"Юнец" - автор и архитектор системы распределенной защиты, к которой подключено уже несколько хостеров. Но это большой роли не играет, потому как наличие любого мнения, отличного от собственного - совсем не повод для агрессии.

А в предверии Нового года - это вообще плохая примета smile.gif. Давайте просто свободно высказывать свое мнение и отстаивать его аргументами, а не атаками на личность оппонентов. Ок?

ОК. Просто уважающий себя человек, если он занимается защитой, не будет ставить рядом слова помойка и Dave Dittrich.

Автор: eSupport.org.ua 11.12.2010, 15:44

Peter B. Pokryshev, пожалуйста перечитайте мой ответ еще раз.
А то я в последнее время наблюдаю проблемы со зрением у многих посетителей форума
Один путает слово "книга" с "Dave Dittrich", другой "защиту" с "переездом"

Автор: Peter B. Pokryshev 11.12.2010, 15:58

Цитата(eSupport.org.ua @ 11.12.2010, 15:44) *

Peter B. Pokryshev, пожалуйста перечитайте мой ответ еще раз.
А то я в последнее время наблюдаю проблемы со зрением у многих посетителей форума
Один путает слово "книга" с "Dave Dittrich", другой "защиту" с "переездом"

Лично у меня есть некое уважение к людям которые старше меня, либо понимают в теме больше меня, и я никогда не позволю себе называть книгу в 400 страниц достойной помойки. Человек занимался DDoS когда лично у меня еще не было компа... Возможно Вы гений и тогда Пётр удалит моё сообщение.
Но Цукерберг появляется не так часто и тем более здесь на форуме.

Автор: eSupport.org.ua 11.12.2010, 17:45

Ну давайте еще на книжку Norton Ultilites помолимся?
И кроме того, я говорил не за книгу вообще, а за ее вариант в 2005 году. Кому интересна книга 5-и летней давности?

Автор: Peter B. Pokryshev 11.12.2010, 18:58

Цитата(eSupport.org.ua @ 11.12.2010, 17:45) *

Ну давайте еще на книжку Norton Ultilites помолимся?
И кроме того, я говорил не за книгу вообще, а за ее вариант в 2005 году. Кому интересна книга 5-и летней давности?

ОК. Понятно что Вы её не читали. Как Вы знаете DDoS - это крупная область в сфере защиты информации.
"Кому интересна книга по математике 5-ти летней давности?" Ну-ну продолжайте - я посмеюсь...

Автор: eSupport.org.ua 11.12.2010, 23:05

Элементарная математика зародилась в 5-ом веке до нашей эры.
Интернет - в 1969 году.
Так что смеюсь в данном случае я. Над дилетантской попыткой передергивания.

Где edogs пропали? Вот они умели...

Автор: ENELIS 12.12.2010, 07:59

Петр, ддос сегодня это не те детские игрушки 5летней давности.
Это профессиональные разработки с полным спуффингом, где ботов отличить от реальных людей без сбора статистики НЕРЕАЛЬНО. При этом боты и есть реальные люди, поэтому фильтровать полностью тоже нельзя.
Я не говорю про брутовый ддос гигабитами, с ним проще и яснее - перекрыл - сработало, нет, пролетел.

Автор: Peter B. Pokryshev 12.12.2010, 13:35

Цитата(ENELIS @ 12.12.2010, 07:59) *

Петр, ддос сегодня это не те детские игрушки 5летней давности.


Вы действительно считаете что 5 лет назад это были игрушки и причем детские?
Вы имеете представление как работают такие тулзы как trinity, trinoo, TFN, shaft, stacheldraht?
А они были написаны около 10 лет назад и причем не детьми.

Цитата(ENELIS @ 12.12.2010, 07:59) *

Это профессиональные разработки с полным спуффингом, где ботов отличить от реальных людей без сбора статистики НЕРЕАЛЬНО. При этом боты и есть реальные люди, поэтому фильтровать полностью тоже нельзя.
Я не говорю про брутовый ддос гигабитами, с ним проще и яснее - перекрыл - сработало, нет, пролетел.


"с ним проще и яснее" - laugh.gif

Автор: alpha_Qu4z4r 12.12.2010, 15:06

Что Вы тут балаган устроили?
Лучше бы больше технических деталей, а не глупых пререканий описывали, всем было бы хотябы интересно почитать.

Автор: ENELIS 12.12.2010, 18:58

Петр в наше время все эти "олдскульные тулзы" отбиваются чаще всего на уровеня рутеров даже или в крайнем случае на уровне ядра, если есть широкий канал.
А когда сыпется 500 мбит/с легитимных запросов на http сервер !ожидающих ответа!, понимающих куки и в последнее время яваскрипт. Это Вам не deny udp from any to me 80 или drop на киске.
Я для отбивания этих ботов писал специальную программу, которая составляла карту посещений "пользователя" и учитывала, что он делает, за какой период, определяла сёрч-бот он или нет (самое сложное и опасное, для разглашения) и тогда уже блокировала его, если он ей не нравился, к сожалению, для нее надо много костылей. Но с ддосом до 900 мбит/с я не видел с ней проблем (на той же машине, хотел 10 гбит/с ставить, т.к. программа без проблем справлялась), хотя твикать постоянно приходится.

С UDP на DNS одна борьба пока что (кроме блока), атаку на DNS сервер левыми UPDATE UDP запросами, через TCPdump вычислил самый частые IP сбором статистики за минуту, а потом позвонил апстриму - Globalcrossing, через час атака уменьшилась в 10 раз (с ~110 до 13 мбит, что практически не заметно для сервера).

Автор: eSupport.org.ua 12.12.2010, 20:01

Я таких ботов в целях эксперимента решил капчей отвадить
Так они стали капчу пробивать, вероятно через antigate sad.gif

Автор: ENELIS 12.12.2010, 20:08

В нашем случае капча была не вариант, да и подумали, что смогут индусам и китайцам на аутсурс автоматом слать.

Автор: Peter B. Pokryshev 13.12.2010, 11:23

Цитата(ENELIS @ 12.12.2010, 18:58) *


С UDP на DNS одна борьба пока что (кроме блока), атаку на DNS сервер левыми UPDATE UDP запросами, через TCPdump вычислил самый частые IP сбором статистики за минуту, а потом позвонил апстриму - Globalcrossing, через час атака уменьшилась в 10 раз (с ~110 до 13 мбит, что практически не заметно для сервера).


Вот именно, атаки на канал нет смысла отбивать на уровне жертвы. Надо иметь нормальные связи с апстримами, чтобы они могли оперативно реагировать на Ваши обращения.

И потом 5 лет назад я проводил небольшое исследование зависимости нагрузки на сервер от кол-ва ipfw правил (не ipfw2, без таблиц) и кол-ва пакетов в секунду.
Получилось что при трафике 3000-5000 пак/сек получалось что сервер по нагрузке нормально держит около 1000 правил ipfw, а если больше, то сервер загибается от большого кол-ва правил. Сысоев например не рекомендует вообще использовать пакетные фильтры на загруженном сервере, т.к. цена обработки пакета для системы получается очень дорогой. В качестве альтернативы Сысосев предлагает использовать таблицу маршрутизации.

Автор: ENELIS 13.12.2010, 17:07

Да, можно route blackhole делать, но это не так же четко как срывать UDP only.
Пользовались ipfw2 на FreeBSD 8.0 (с SMP поддержкой сетевух) на свободном 8ми ядерном ксеоне от Sun. Справлялся.

Автор: Faggo 05.07.2011, 00:59

Ddos могут позволить не многие, очень дорогое удовольствие, так что не пздите!

Автор: tarum 13.03.2012, 17:18

Щас стоит бояться не столь атаки, сколько того, что просто канал по ширине забивают. Юзайте qrator за 16к 1гбит трафа (белого) фильтруют. Прекрасно справляются. А если самим, то покупать надо циски, джуники и делать комплекс на клаудах. ЧТо выйдет куда дороже чем те же 16к за гбит белого фильтра.

Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)