Виды DDoS и методы противодействия |
Здравствуйте, гость ( Вход | Регистрация )
Виды DDoS и методы противодействия |
MHN |
14.08.2006, 17:39
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 1,229 Регистрация: 15.06.2004 Из: MegaHoster.Net Пользователь №: 515 Репутация: 228 |
Виды DDoS и методы противодействия
Хоть скриншоты бы повставляли для большей информативности (IMG:style_emoticons/default/smile.gif) Почему не указан список используемых при перепечатке ресурсов, копирайты? пример: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ |
Admin |
14.08.2006, 19:38
Сообщение
#2
|
Группа: Admin Сообщений: 10,656 Регистрация: 16.05.2002 Из: "ХостОбзор" Пользователь №: 2 Репутация: 306 |
Ну и кто после этого "консультант по противодействию DDoS Дмитрий Данильев"?
Resolve одним словом... |
eSupport.org.ua |
15.08.2006, 00:49
Сообщение
#3
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 267 |
Если информация о DDOS интересна, то я могу написать про виды атак отказа на обслуживание и краткие рекомендации по борьбе с ними.
Если в кратце, то атаки бывают 1) На перегрузку канала/железа. Эти атаки выбивают датацентры. 2) На сетевую подсистему сервера (спуфинги, пинги, сины...). Сервер становится недоступен по сети но продолжает нормально работать. 3) На сетевой сервис. Эти атаки одни из самых вредных - могут убить веб, почту, днс и прочие сервисы. Решаеться как правило аппаратно. 4) На сайты. Находят наиболее тяжелые скрипты и долбят их. Приходиться отключать такие сайты. 5) Изнутри - самые тяжелые последствия, так как атака является не целью а признаком. Например упала почта - значит в почтовом спуле тонны спама. Подробнее писать? |
deMone |
15.08.2006, 04:06
Сообщение
#4
|
Группа: Старые пользователи Сообщений: 277 Регистрация: 10.07.2006 Пользователь №: 3,157 Репутация: 214 |
Напишите, на мой взгляд лишним не будет. Причём лучше разместить не здесь, а в статьях на ХО.
|
Admin |
15.08.2006, 07:54
Сообщение
#5
|
Группа: Admin Сообщений: 10,656 Регистрация: 16.05.2002 Из: "ХостОбзор" Пользователь №: 2 Репутация: 306 |
Подробнее писать? Да, Андрей, с удовольствием опубликую в читальном зале. Хотелось бы, чтобы статья носила более прикладной характер, чем http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ Т.е. побольше конкретных рекомендаций как клиентам, так и хостерам по разумному поведению в случае атак. Начиная от того, как не спровоцировать, выявить провокатора и заканчивая методами борьбы (насколько это возможно). По срокам не тороплю, буду терпеливо ждать столько, сколько понадобится, в моем представлении - статья весьма трудоёмкая. |
MultiHOST |
22.08.2006, 23:19
Сообщение
#6
|
Группа: Старые пользователи Сообщений: 43 Регистрация: 16.05.2006 Из: Москва Пользователь №: 2,754 Репутация: 215 |
Подробнее писать? Конечно, это отличная тема, особенно, когда авторская (IMG:style_emoticons/default/smile.gif) |
udofun |
02.09.2006, 10:34
Сообщение
#7
|
Группа: Старые пользователи Сообщений: 554 Регистрация: 19.04.2006 Из: www.2x4.ru Пользователь №: 2,587 Репутация: 218 |
тоже поддерживаю,
разрабатываем сейчас свой комплекс защит от ДДоС |
AstraNight.com |
02.10.2006, 16:25
Сообщение
#8
|
Группа: Старые пользователи Сообщений: 8 Регистрация: 26.08.2006 Пользователь №: 3,687 Репутация: 212 |
udofun, как успехи?
|
alpha_Qu4z4r |
05.08.2009, 20:37
Сообщение
#9
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
+1 Статья ниачём, каждый школьник всё это знает и так.
Хотелось бы качественную статью про методы обнаружения и борьбы с подобными атаками, как на оборудовании cisco так и средствами операционных систем freeBSD\Linux. Если подобную статью кто-то уже здесь запостил, хотелось бы видеть в этой теме ссылку. |
Admin |
05.08.2009, 20:42
Сообщение
#10
|
Группа: Admin Сообщений: 10,656 Регистрация: 16.05.2002 Из: "ХостОбзор" Пользователь №: 2 Репутация: 306 |
|
alpha_Qu4z4r |
05.08.2009, 20:56
Сообщение
#11
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
Каковы условия получения доступа в закрытый раздел?
|
xaker1 |
05.08.2009, 21:06
Сообщение
#12
|
Группа: Старые пользователи Сообщений: 400 Регистрация: 29.06.2008 Пользователь №: 7,739 Репутация: 201 |
Все описано в правилах. Для закрытого раздела нужно вступить в группу хостинг провайдер.
|
tsolomon |
08.08.2009, 01:08
Сообщение
#13
|
Группа: Старые пользователи Сообщений: 3 Регистрация: 06.08.2009 Пользователь №: 10,062 Репутация: 194 |
Я не провайдер, в закрытый раздел попасть не могу =)
объясните пожалуйста чайнику, как борются с ддос такие конторы как prolexic.com ? Обратил внимание, что еще домены у них паркуют и веелые цены, пдфку потерял, что-то около 6К $ в месяц на бюджетном варианте, если вас атакуют и вам надо срочно защититься, то платит 18К за оперативность... |
eSupport.org.ua |
08.08.2009, 05:11
Сообщение
#14
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 267 |
Они используют анти-ддос технологии
|
alpha_Qu4z4r |
08.08.2009, 08:42
Сообщение
#15
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
|
different |
08.08.2009, 09:04
Сообщение
#16
|
Группа: Старые пользователи Сообщений: 804 Регистрация: 29.06.2008 Из: Народный комиссариат виртуальных дел Пользователь №: 7,738 Репутация: 214 |
|
ENELIS |
08.08.2009, 17:13
Сообщение
#17
|
Группа: Старые пользователи Сообщений: 665 Регистрация: 15.06.2005 Из: ENELIS Пользователь №: 1,368 Репутация: 229 |
более того у пролексик патентованная технология.
|
alpha_Qu4z4r |
17.08.2009, 17:04
Сообщение
#18
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать. Несомненно, можно даже докторскую защитить =) Но здесь от вас требуется чуть меньше лени и больше конкретики, а её безусловно можно уложить в несколько простых советов. Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер. Так же если смотреть на состояния соединений, то в случае атаки можно будет увидеть огромное количество SYN соединений, которые таки остаются висеть, как правило их так же несколько от однго IP, следовательно это тоже ДДоСер. Если есть что добавить было бы крайне интересно почитать. |
eSupport.org.ua |
17.08.2009, 17:19
Сообщение
#19
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 267 |
opennet.ru, dedic.ru, hostinghelp.biz
|
Selecta |
20.08.2009, 09:05
Сообщение
#20
|
Группа: Старые пользователи Сообщений: 4 Регистрация: 19.08.2009 Пользователь №: 10,119 Репутация: 193 |
Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер. Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан? С уважением, Сообщение отредактировал Selecta - 20.08.2009, 09:08 |
ENELIS |
20.08.2009, 10:14
Сообщение
#21
|
Группа: Старые пользователи Сообщений: 665 Регистрация: 15.06.2005 Из: ENELIS Пользователь №: 1,368 Репутация: 229 |
К сожалению, да - в бан, потому что например новый тип ботов уже невозможно отличить от прокси никаким образом практически, по-крайней мере фальспозитивы будут.
Вот отловили 51000 ботнет с умными ботами умеющими user-agent, cookie, redirect и как их отличать от proxy прикажете? Captcha не вариант Сообщение отредактировал ENELIS - 20.08.2009, 10:14 |
alpha_Qu4z4r |
20.08.2009, 14:47
Сообщение
#22
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан? С уважением, Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот. Сообщение отредактировал alpha_Qu4z4r - 20.08.2009, 14:47 |
Selecta |
20.08.2009, 16:32
Сообщение
#23
|
Группа: Старые пользователи Сообщений: 4 Регистрация: 19.08.2009 Пользователь №: 10,119 Репутация: 193 |
Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот. Enelis прав, если бот грамотно написан и рандомизирует все эти параметры, также как и длину окон, payload, то шансов понять что есть бот а что нет - мало. Бедные провайдеры (IMG:style_emoticons/default/smile.gif) Хотя...если взять ДДоС со спуфом внешними адресами - еще хуже. Единственно что приходит в голову, это по методике пролексика принимать на себя фактическую атаку, фильтровать и отдавать чистый трафик клиенту как back-end. Это все реализуемо, но дорого... |
ENELIS |
20.08.2009, 20:04
Сообщение
#24
|
Группа: Старые пользователи Сообщений: 665 Регистрация: 15.06.2005 Из: ENELIS Пользователь №: 1,368 Репутация: 229 |
Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.
|
Selecta |
20.08.2009, 21:35
Сообщение
#25
|
Группа: Старые пользователи Сообщений: 4 Регистрация: 19.08.2009 Пользователь №: 10,119 Репутация: 193 |
Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала. Увы - возможно, при случае когда соединение не требуется завершать. Например при том же syn flood. Я могу предоставить дамп атаки, где исходящие адреса идут с сети ФБР, а также от правительства России. На сайт компании, которая занимается продажами дверей. Если интересно, пишите в личку. Узнали о спуфе в процессе, когда сервер посылал ответы на пакеты .... в ФБР и правительство России. Естественно прикрыли, но по факту - все равно приятного мало (IMG:style_emoticons/default/wink.gif) Сообщение отредактировал Selecta - 20.08.2009, 21:36 |
ENELIS |
20.08.2009, 23:17
Сообщение
#26
|
Группа: Старые пользователи Сообщений: 665 Регистрация: 15.06.2005 Из: ENELIS Пользователь №: 1,368 Репутация: 229 |
Syn flood можно и нужно заблокировать.
|
eSupport.org.ua |
21.08.2009, 06:08
Сообщение
#27
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 267 |
И как при этом не убить легальный трафф?
|
alpha_Qu4z4r |
21.08.2009, 16:44
Сообщение
#28
|
Группа: Старые пользователи Сообщений: 173 Регистрация: 14.10.2008 Пользователь №: 8,241 Репутация: 198 |
Syn flood можно и нужно заблокировать. Было бы интерсно увидеть здесь реальные примеры блокировки. В голову приходит лишь один вариант, каким-то образом считать время от прихода syn запроса и если оно превышается, а от того же адреса пришло ещё несколько таких запросов, можно предположить, что флудер. Какие есть средства для подобной блокировки в Linux/FreeBSD/Cisco? |
ENELIS |
21.08.2009, 17:21
Сообщение
#29
|
Группа: Старые пользователи Сообщений: 665 Регистрация: 15.06.2005 Из: ENELIS Пользователь №: 1,368 Репутация: 229 |
во-первых для начала нужно отклонить все неправильные/некорректные с точки зрения RFC пакеты различными правилами.
затем можно pf synproxy (но не очень стабильное решение), и нужно расширить syncache syn таймаут не имеет смысла имхо без подсчета норм соединений против syn timeout и бана (запрета соединений) и то легитимный траффик имеет возможность попасть в бан, а это не хорошо. Сообщение отредактировал ENELIS - 21.08.2009, 17:22 |
Corneliy |
30.09.2010, 23:45
Сообщение
#30
|
Группа: Старые пользователи Сообщений: 1 Регистрация: 30.09.2010 Пользователь №: 12,612 Репутация: 187 |
Можете посоветовать DDos устойчивый хостинг? Может-ли хостер отключить сайт, если на него идет DDos атака, хозяин сайта получается не виноват?
|
Текстовая версия | Сейчас: 19.01.2025, 07:08 |