Помощь - Поиск - Пользователи - Календарь
Полная версия: Виды DDoS и методы противодействия
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > 2011 > Мнения читателей
Страницы: 1, 2
MHN
Виды DDoS и методы противодействия

Хоть скриншоты бы повставляли для большей информативности smile.gif
Почему не указан список используемых при перепечатке ресурсов, копирайты?

пример: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/
Admin
Ну и кто после этого "консультант по противодействию DDoS Дмитрий Данильев"?

Resolve одним словом...
eSupport.org.ua
Если информация о DDOS интересна, то я могу написать про виды атак отказа на обслуживание и краткие рекомендации по борьбе с ними.
Если в кратце, то атаки бывают
1) На перегрузку канала/железа. Эти атаки выбивают датацентры.
2) На сетевую подсистему сервера (спуфинги, пинги, сины...). Сервер становится недоступен по сети но продолжает нормально работать.
3) На сетевой сервис. Эти атаки одни из самых вредных - могут убить веб, почту, днс и прочие сервисы. Решаеться как правило аппаратно.
4) На сайты. Находят наиболее тяжелые скрипты и долбят их. Приходиться отключать такие сайты.
5) Изнутри - самые тяжелые последствия, так как атака является не целью а признаком. Например упала почта - значит в почтовом спуле тонны спама.

Подробнее писать?
deMone
Напишите, на мой взгляд лишним не будет. Причём лучше разместить не здесь, а в статьях на ХО.
Admin
Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *

Подробнее писать?

Да, Андрей, с удовольствием опубликую в читальном зале. Хотелось бы, чтобы статья носила более прикладной характер, чем http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ Т.е. побольше конкретных рекомендаций как клиентам, так и хостерам по разумному поведению в случае атак. Начиная от того, как не спровоцировать, выявить провокатора и заканчивая методами борьбы (насколько это возможно). По срокам не тороплю, буду терпеливо ждать столько, сколько понадобится, в моем представлении - статья весьма трудоёмкая.
MultiHOST
Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *


Подробнее писать?


Конечно, это отличная тема, особенно, когда авторская smile.gif
udofun
тоже поддерживаю,
разрабатываем сейчас свой комплекс защит от ДДоС
AstraNight.com
udofun, как успехи?
alpha_Qu4z4r
+1 Статья ниачём, каждый школьник всё это знает и так.

Хотелось бы качественную статью про методы обнаружения и борьбы с подобными атаками, как на оборудовании cisco так и средствами операционных систем freeBSD\Linux.

Если подобную статью кто-то уже здесь запостил, хотелось бы видеть в этой теме ссылку.
Admin
Цитата(alpha_Qu4z4r @ 05.08.2009, 21:37) *

+1 Статья ниачём, каждый школьник всё это знает и так.

Весь раздел "Читальный зал" создан специально для школьников. Для профи - закрытые разделы Клуба.
alpha_Qu4z4r
Каковы условия получения доступа в закрытый раздел?
xaker1
Все описано в правилах. Для закрытого раздела нужно вступить в группу хостинг провайдер.
tsolomon
Я не провайдер, в закрытый раздел попасть не могу =)
объясните пожалуйста чайнику, как борются с ддос такие конторы как prolexic.com ? Обратил внимание, что еще домены у них паркуют и веелые цены, пдфку потерял, что-то около 6К $ в месяц на бюджетном варианте, если вас атакуют и вам надо срочно защититься, то платит 18К за оперативность...
eSupport.org.ua
Они используют анти-ддос технологии
alpha_Qu4z4r
Цитата(eSupport.org.ua @ 08.08.2009, 05:11) *

Они используют анти-ддос технологии


*С сарказмом*
Исчерпывающий ответ.

=)
different
Цитата(alpha_Qu4z4r @ 08.08.2009, 11:42) *

*С сарказмом*
Исчерпывающий ответ.

=)

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.
ENELIS
более того у пролексик патентованная технология.
alpha_Qu4z4r
Цитата(different @ 08.08.2009, 09:04) *

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.


Несомненно, можно даже докторскую защитить =)
Но здесь от вас требуется чуть меньше лени и больше конкретики, а её безусловно можно уложить в несколько простых советов.

Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.

Так же если смотреть на состояния соединений, то в случае атаки можно будет увидеть огромное количество SYN соединений, которые таки остаются висеть, как правило их так же несколько от однго IP, следовательно это тоже ДДоСер.

Если есть что добавить было бы крайне интересно почитать.
eSupport.org.ua
opennet.ru, dedic.ru, hostinghelp.biz
Selecta
Цитата(alpha_Qu4z4r @ 17.08.2009, 20:04) *


Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.


Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,
ENELIS
К сожалению, да - в бан, потому что например новый тип ботов уже невозможно отличить от прокси никаким образом практически, по-крайней мере фальспозитивы будут.
Вот отловили 51000 ботнет с умными ботами умеющими user-agent, cookie, redirect и как их отличать от proxy прикажете? Captcha не вариант
alpha_Qu4z4r
Цитата(Selecta @ 20.08.2009, 09:05) *

Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,


Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.
Selecta
Цитата(alpha_Qu4z4r @ 20.08.2009, 17:47) *

Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Enelis прав, если бот грамотно написан и рандомизирует все эти параметры, также как и длину окон, payload, то шансов понять что есть бот а что нет - мало. Бедные провайдеры smile.gif
Хотя...если взять ДДоС со спуфом внешними адресами - еще хуже. Единственно что приходит в голову, это по методике пролексика принимать на себя фактическую атаку, фильтровать и отдавать чистый трафик клиенту как back-end. Это все реализуемо, но дорого...
ENELIS
Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.
Selecta
Цитата(ENELIS @ 20.08.2009, 23:04) *

Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.


Увы - возможно, при случае когда соединение не требуется завершать. Например при том же syn flood.

Я могу предоставить дамп атаки, где исходящие адреса идут с сети ФБР, а также от правительства России. На сайт компании, которая занимается продажами дверей. Если интересно, пишите в личку. Узнали о спуфе в процессе, когда сервер посылал ответы на пакеты .... в ФБР и правительство России.
Естественно прикрыли, но по факту - все равно приятного мало wink.gif
ENELIS
Syn flood можно и нужно заблокировать.
eSupport.org.ua
И как при этом не убить легальный трафф?
alpha_Qu4z4r
Цитата(ENELIS @ 20.08.2009, 23:17) *

Syn flood можно и нужно заблокировать.


Было бы интерсно увидеть здесь реальные примеры блокировки.
В голову приходит лишь один вариант, каким-то образом считать время от прихода syn запроса и если оно превышается, а от того же адреса пришло ещё несколько таких запросов, можно предположить, что флудер. Какие есть средства для подобной блокировки в Linux/FreeBSD/Cisco?
ENELIS
во-первых для начала нужно отклонить все неправильные/некорректные с точки зрения RFC пакеты различными правилами.
затем можно pf synproxy (но не очень стабильное решение),
и нужно расширить syncache

syn таймаут не имеет смысла имхо без подсчета норм соединений против syn timeout и бана (запрета соединений) и то легитимный траффик имеет возможность попасть в бан, а это не хорошо.
Corneliy
Можете посоветовать DDos устойчивый хостинг? Может-ли хостер отключить сайт, если на него идет DDos атака, хозяин сайта получается не виноват?
ENELIS
Зависит от атаки, если 40 гбит/с будет выгонят без вопросов.
Peter B. Pokryshev
Думаю на данный момент библией по DDoS можно считать данную книгу:
Internet Denial of Service: Attack and Defense Mechanisms

Среди авторов такие гуру как
Dave Dittrich
alpha_Qu4z4r
Интересно. А перевода, как я понимаю, не существует?

Хотя нашёл что-то похожее http://eprints.isofts.kiev.ua/427/1/%231_D93-c579.pdf
Оно или не оно?
Peter B. Pokryshev
Цитата(alpha_Qu4z4r @ 10.12.2010, 18:18) *

Интересно. А перевода, как я понимаю, не существует?

Не видел, но если Вы читаете техническую литературу по английски то там многое будет понятно.
Не знаю как сейчас, но 5 лет назад в интернете по-русски никакой более менее серьезной информации не было. А в этой книге 400 страниц - все темы по полочкам разложены.


Цитата(alpha_Qu4z4r @ 10.12.2010, 18:18) *

Хотя нашёл что-то похожее http://eprints.isofts.kiev.ua/427/1/%231_D93-c579.pdf
Оно или не оно?

Не оно - там наши авторы.
alpha_Qu4z4r
Читаю, но пока с большим трудом и стараюсь всегда найти русскую доку, поскольку понять её гораздо проще.
eSupport.org.ua
(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали
Viktorich
Цитата
Зависит от атаки, если 40 гбит/с будет выгонят без вопросов.

для начала, будут долго искать, кого ддосят...
Mik-
Цитата(eSupport.org.ua @ 10.12.2010, 23:32) *

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

+1
ENELIS
Цитата(Viktorich @ 11.12.2010, 01:55) *

для начала, будут долго искать, кого ддосят...

Ничего не долго, 30 минут/1 час и кого ддосят вычисляют.
На нас дважды падало, сначала 40 гбит/с, затем 100 гбит/с, до сих пор не включили нам наши услуги в полной мере, хотя денюжку требуют за все, хотя по договору, они нам должны.
Peter B. Pokryshev
Цитата(eSupport.org.ua @ 11.12.2010, 00:32) *

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

А Вы кто такой? Меня умиляют юнцы которые такое заявляют.
Читать Вы видимо не умеете:
http://staff.washington.edu/dittrich/
короче без комментариев.
Admin
Цитата(Peter B. Pokryshev @ 11.12.2010, 11:56) *

А Вы кто такой? Меня умиляют юнцы которые такое заявляют.

"Юнец" - автор и архитектор системы распределенной защиты, к которой подключено уже несколько хостеров. Но это большой роли не играет, потому как наличие любого мнения, отличного от собственного - совсем не повод для агрессии.

А в предверии Нового года - это вообще плохая примета smile.gif. Давайте просто свободно высказывать свое мнение и отстаивать его аргументами, а не атаками на личность оппонентов. Ок?
Peter B. Pokryshev
Цитата(Admin @ 11.12.2010, 13:33) *

"Юнец" - автор и архитектор системы распределенной защиты, к которой подключено уже несколько хостеров. Но это большой роли не играет, потому как наличие любого мнения, отличного от собственного - совсем не повод для агрессии.

А в предверии Нового года - это вообще плохая примета smile.gif. Давайте просто свободно высказывать свое мнение и отстаивать его аргументами, а не атаками на личность оппонентов. Ок?

ОК. Просто уважающий себя человек, если он занимается защитой, не будет ставить рядом слова помойка и Dave Dittrich.
eSupport.org.ua
Peter B. Pokryshev, пожалуйста перечитайте мой ответ еще раз.
А то я в последнее время наблюдаю проблемы со зрением у многих посетителей форума
Один путает слово "книга" с "Dave Dittrich", другой "защиту" с "переездом"
Peter B. Pokryshev
Цитата(eSupport.org.ua @ 11.12.2010, 15:44) *

Peter B. Pokryshev, пожалуйста перечитайте мой ответ еще раз.
А то я в последнее время наблюдаю проблемы со зрением у многих посетителей форума
Один путает слово "книга" с "Dave Dittrich", другой "защиту" с "переездом"

Лично у меня есть некое уважение к людям которые старше меня, либо понимают в теме больше меня, и я никогда не позволю себе называть книгу в 400 страниц достойной помойки. Человек занимался DDoS когда лично у меня еще не было компа... Возможно Вы гений и тогда Пётр удалит моё сообщение.
Но Цукерберг появляется не так часто и тем более здесь на форуме.
eSupport.org.ua
Ну давайте еще на книжку Norton Ultilites помолимся?
И кроме того, я говорил не за книгу вообще, а за ее вариант в 2005 году. Кому интересна книга 5-и летней давности?
Peter B. Pokryshev
Цитата(eSupport.org.ua @ 11.12.2010, 17:45) *

Ну давайте еще на книжку Norton Ultilites помолимся?
И кроме того, я говорил не за книгу вообще, а за ее вариант в 2005 году. Кому интересна книга 5-и летней давности?

ОК. Понятно что Вы её не читали. Как Вы знаете DDoS - это крупная область в сфере защиты информации.
"Кому интересна книга по математике 5-ти летней давности?" Ну-ну продолжайте - я посмеюсь...
eSupport.org.ua
Элементарная математика зародилась в 5-ом веке до нашей эры.
Интернет - в 1969 году.
Так что смеюсь в данном случае я. Над дилетантской попыткой передергивания.

Где edogs пропали? Вот они умели...
ENELIS
Петр, ддос сегодня это не те детские игрушки 5летней давности.
Это профессиональные разработки с полным спуффингом, где ботов отличить от реальных людей без сбора статистики НЕРЕАЛЬНО. При этом боты и есть реальные люди, поэтому фильтровать полностью тоже нельзя.
Я не говорю про брутовый ддос гигабитами, с ним проще и яснее - перекрыл - сработало, нет, пролетел.
Peter B. Pokryshev
Цитата(ENELIS @ 12.12.2010, 07:59) *

Петр, ддос сегодня это не те детские игрушки 5летней давности.


Вы действительно считаете что 5 лет назад это были игрушки и причем детские?
Вы имеете представление как работают такие тулзы как trinity, trinoo, TFN, shaft, stacheldraht?
А они были написаны около 10 лет назад и причем не детьми.

Цитата(ENELIS @ 12.12.2010, 07:59) *

Это профессиональные разработки с полным спуффингом, где ботов отличить от реальных людей без сбора статистики НЕРЕАЛЬНО. При этом боты и есть реальные люди, поэтому фильтровать полностью тоже нельзя.
Я не говорю про брутовый ддос гигабитами, с ним проще и яснее - перекрыл - сработало, нет, пролетел.


"с ним проще и яснее" - laugh.gif
alpha_Qu4z4r
Что Вы тут балаган устроили?
Лучше бы больше технических деталей, а не глупых пререканий описывали, всем было бы хотябы интересно почитать.
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
Русская версия Invision Power Board © 2001-2019 Invision Power Services, Inc.