Виды DDoS и методы противодействия

Хоть скриншоты бы повставляли для большей информативности
Почему не указан список используемых при перепечатке ресурсов, копирайты?

пример: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/

Ну и кто после этого "консультант по противодействию DDoS Дмитрий Данильев"?

Resolve одним словом...

Если информация о DDOS интересна, то я могу написать про виды атак отказа на обслуживание и краткие рекомендации по борьбе с ними.
Если в кратце, то атаки бывают
1) На перегрузку канала/железа. Эти атаки выбивают датацентры.
2) На сетевую подсистему сервера (спуфинги, пинги, сины...). Сервер становится недоступен по сети но продолжает нормально работать.
3) На сетевой сервис. Эти атаки одни из самых вредных - могут убить веб, почту, днс и прочие сервисы. Решаеться как правило аппаратно.
4) На сайты. Находят наиболее тяжелые скрипты и долбят их. Приходиться отключать такие сайты.
5) Изнутри - самые тяжелые последствия, так как атака является не целью а признаком. Например упала почта - значит в почтовом спуле тонны спама.

Подробнее писать?

Напишите, на мой взгляд лишним не будет. Причём лучше разместить не здесь, а в статьях на ХО.

Да, Андрей, с удовольствием опубликую в читальном зале. Хотелось бы, чтобы статья носила более прикладной характер, чем http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ Т.е. побольше конкретных рекомендаций как клиентам, так и хостерам по разумному поведению в случае атак. Начиная от того, как не спровоцировать, выявить провокатора и заканчивая методами борьбы (насколько это возможно). По срокам не тороплю, буду терпеливо ждать столько, сколько понадобится, в моем представлении - статья весьма трудоёмкая.

Конечно, это отличная тема, особенно, когда авторская

тоже поддерживаю,
разрабатываем сейчас свой комплекс защит от ДДоС

udofun, как успехи?

+1 Статья ниачём, каждый школьник всё это знает и так.

Хотелось бы качественную статью про методы обнаружения и борьбы с подобными атаками, как на оборудовании cisco так и средствами операционных систем freeBSD\Linux.

Если подобную статью кто-то уже здесь запостил, хотелось бы видеть в этой теме ссылку.

Весь раздел "Читальный зал" создан специально для школьников. Для профи - закрытые разделы Клуба.

Каковы условия получения доступа в закрытый раздел?

Все описано в правилах. Для закрытого раздела нужно вступить в группу хостинг провайдер.

Я не провайдер, в закрытый раздел попасть не могу =)
объясните пожалуйста чайнику, как борются с ддос такие конторы как prolexic.com ? Обратил внимание, что еще домены у них паркуют и веелые цены, пдфку потерял, что-то около 6К $ в месяц на бюджетном варианте, если вас атакуют и вам надо срочно защититься, то платит 18К за оперативность...

Они используют анти-ддос технологии

*С сарказмом*
Исчерпывающий ответ.

=)

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.

более того у пролексик патентованная технология.

Несомненно, можно даже докторскую защитить =)
Но здесь от вас требуется чуть меньше лени и больше конкретики, а её безусловно можно уложить в несколько простых советов.

Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.

Так же если смотреть на состояния соединений, то в случае атаки можно будет увидеть огромное количество SYN соединений, которые таки остаются висеть, как правило их так же несколько от однго IP, следовательно это тоже ДДоСер.

Если есть что добавить было бы крайне интересно почитать.

opennet.ru, dedic.ru, hostinghelp.biz

Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,

К сожалению, да - в бан, потому что например новый тип ботов уже невозможно отличить от прокси никаким образом практически, по-крайней мере фальспозитивы будут.
Вот отловили 51000 ботнет с умными ботами умеющими user-agent, cookie, redirect и как их отличать от proxy прикажете? Captcha не вариант

Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Enelis прав, если бот грамотно написан и рандомизирует все эти параметры, также как и длину окон, payload, то шансов понять что есть бот а что нет - мало. Бедные провайдеры
Хотя...если взять ДДоС со спуфом внешними адресами - еще хуже. Единственно что приходит в голову, это по методике пролексика принимать на себя фактическую атаку, фильтровать и отдавать чистый трафик клиенту как back-end. Это все реализуемо, но дорого...

Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.

Увы - возможно, при случае когда соединение не требуется завершать. Например при том же syn flood.

Я могу предоставить дамп атаки, где исходящие адреса идут с сети ФБР, а также от правительства России. На сайт компании, которая занимается продажами дверей. Если интересно, пишите в личку. Узнали о спуфе в процессе, когда сервер посылал ответы на пакеты .... в ФБР и правительство России.
Естественно прикрыли, но по факту - все равно приятного мало

Syn flood можно и нужно заблокировать.

И как при этом не убить легальный трафф?

Было бы интерсно увидеть здесь реальные примеры блокировки.
В голову приходит лишь один вариант, каким-то образом считать время от прихода syn запроса и если оно превышается, а от того же адреса пришло ещё несколько таких запросов, можно предположить, что флудер. Какие есть средства для подобной блокировки в Linux/FreeBSD/Cisco?

во-первых для начала нужно отклонить все неправильные/некорректные с точки зрения RFC пакеты различными правилами.
затем можно pf synproxy (но не очень стабильное решение),
и нужно расширить syncache

syn таймаут не имеет смысла имхо без подсчета норм соединений против syn timeout и бана (запрета соединений) и то легитимный траффик имеет возможность попасть в бан, а это не хорошо.

Можете посоветовать DDos устойчивый хостинг? Может-ли хостер отключить сайт, если на него идет DDos атака, хозяин сайта получается не виноват?

Зависит от атаки, если 40 гбит/с будет выгонят без вопросов.

Думаю на данный момент библией по DDoS можно считать данную книгу:
Internet Denial of Service: Attack and Defense Mechanisms

Среди авторов такие гуру как
Dave Dittrich

Интересно. А перевода, как я понимаю, не существует?

Хотя нашёл что-то похожее http://eprints.isofts.kiev.ua/427/1/%231_D93-c579.pdf
Оно или не оно?

Не видел, но если Вы читаете техническую литературу по английски то там многое будет понятно.
Не знаю как сейчас, но 5 лет назад в интернете по-русски никакой более менее серьезной информации не было. А в этой книге 400 страниц - все темы по полочкам разложены.



Не оно - там наши авторы.

Читаю, но пока с большим трудом и стараюсь всегда найти русскую доку, поскольку понять её гораздо проще.

(January 9, 2005)

Старье, место в помойке
Сейчас делают такие атаки, про которые тогда вообще не подозревали

для начала, будут долго искать, кого ддосят...

+1

Ничего не долго, 30 минут/1 час и кого ддосят вычисляют.
На нас дважды падало, сначала 40 гбит/с, затем 100 гбит/с, до сих пор не включили нам наши услуги в полной мере, хотя денюжку требуют за все, хотя по договору, они нам должны.

А Вы кто такой? Меня умиляют юнцы которые такое заявляют.
Читать Вы видимо не умеете:
http://staff.washington.edu/dittrich/
короче без комментариев.

"Юнец" - автор и архитектор системы распределенной защиты, к которой подключено уже несколько хостеров. Но это большой роли не играет, потому как наличие любого мнения, отличного от собственного - совсем не повод для агрессии.

А в предверии Нового года - это вообще плохая примета . Давайте просто свободно высказывать свое мнение и отстаивать его аргументами, а не атаками на личность оппонентов. Ок?

ОК. Просто уважающий себя человек, если он занимается защитой, не будет ставить рядом слова помойка и Dave Dittrich.

Peter B. Pokryshev, пожалуйста перечитайте мой ответ еще раз.
А то я в последнее время наблюдаю проблемы со зрением у многих посетителей форума
Один путает слово "книга" с "Dave Dittrich", другой "защиту" с "переездом"

Лично у меня есть некое уважение к людям которые старше меня, либо понимают в теме больше меня, и я никогда не позволю себе называть книгу в 400 страниц достойной помойки. Человек занимался DDoS когда лично у меня еще не было компа... Возможно Вы гений и тогда Пётр удалит моё сообщение.
Но Цукерберг появляется не так часто и тем более здесь на форуме.

Ну давайте еще на книжку Norton Ultilites помолимся?
И кроме того, я говорил не за книгу вообще, а за ее вариант в 2005 году. Кому интересна книга 5-и летней давности?

ОК. Понятно что Вы её не читали. Как Вы знаете DDoS - это крупная область в сфере защиты информации.
"Кому интересна книга по математике 5-ти летней давности?" Ну-ну продолжайте - я посмеюсь...

Элементарная математика зародилась в 5-ом веке до нашей эры.
Интернет - в 1969 году.
Так что смеюсь в данном случае я. Над дилетантской попыткой передергивания.

Где edogs пропали? Вот они умели...

Петр, ддос сегодня это не те детские игрушки 5летней давности.
Это профессиональные разработки с полным спуффингом, где ботов отличить от реальных людей без сбора статистики НЕРЕАЛЬНО. При этом боты и есть реальные люди, поэтому фильтровать полностью тоже нельзя.
Я не говорю про брутовый ддос гигабитами, с ним проще и яснее - перекрыл - сработало, нет, пролетел.

Вы действительно считаете что 5 лет назад это были игрушки и причем детские?
Вы имеете представление как работают такие тулзы как trinity, trinoo, TFN, shaft, stacheldraht?
А они были написаны около 10 лет назад и причем не детьми.



"с ним проще и яснее" -

Что Вы тут балаган устроили?
Лучше бы больше технических деталей, а не глупых пререканий описывали, всем было бы хотябы интересно почитать.