Pozor, preťaženie! Ako chrániť miesto pred útokmi DDoS

Podľa spoločnosti Kaspersky Lab bolo 42,9% počítačov vo vlastníctve komerčných organizácií v roku 2017 podrobených kybernetickým útokom.

Z tohto článku sa dozviete, čo sú DDoS útoky, či by ste mali byť opatrní, ako sa pripraviť na obranu a ako sa správať správne, ak ste už poslali delostrelectvo vo vašom smere.

Čo je to DDoS útok

DDoS - to je akákoľvek akcia, ktorej účelom je "dať" stránku úplne alebo ju načítať s cudzími úlohami tak, aby pripomínal lenivosť zo Zveropolisu. Ale samotný pojem je viac pre používateľov ako pre technikov. Tieto fungujú len s jasnými výrazmi ako „zosilnenie DNS“, „útok TCP Null“, „SlowLoris“ a iné variácie na túto tému. Existuje mnoho typov útokov DDoS, preto by sa mal ako úvod použiť nasledujúci text:

Neexistuje žiadna univerzálna ochrana proti všetkým typom útokov DDoS.

Ak by existovali, „monštrá“, ako napríklad Google alebo Amazon, by nemali minúť miliardy dolárov na kybernetickú obranu a pravidelne neoznamovali súťaže na vyhľadávanie slabých miest s miliónmi cien.

Hlavným nebezpečenstvom útokov DDoS - v tomto procese môžu zločinci nájsť zraniteľnosť a spustiť vírus na webe. Najsmutnejším dôsledkom je krádež osobných údajov používateľov a stiahnutie zákazníckej základne. Potom to môže byť predané svojim konkurentom.

Ak vyhľadávače nájdu vírusy, nevyliečia ich. Stačí hádzať stránky z vyhľadávania alebo zobraziť užívateľovi varovné okno. Povesť a pozície získané v extradícii pôjdu na knockout na dlhú dobu, ako po ľavom háku Sugar Ray Robinson.

Prečo zaútočiť

Len preto, že komerčné stránky sa zriedka. Tam je nejaká šanca, že školák sa rozhodol cvičiť na vás, keď videl video, ako sú tieto:

Takéto útoky sú zriedka dosť na viac ako pár hodín. Ale v predvolenom nastavení by ste nemali počítať s nováčikom. Najčastejšie príčiny súvisia s komerčnými aktivitami.

  • DDoS na objednávku. Ak dôjde k útoku po spustení aktívnej reklamnej kampane alebo marketingových aktivít, možno ste prekročili cestu ku konkurentom. Niekedy sa DDoS stáva odpoveďou na konkrétne akcie: napríklad zahalený odkaz na konkurenta v reklame alebo propagácii v mene zahraničnej značky v kontexte.
  • Vydieranie. Číslo voľby 1. E-mail pochádza od správcu, ktorý mu ponúkne previesť určitú čiastku v bitcoinoch alebo na stránke padne. Najčastejšie hrozba nebude vykonaná, ale môžete naraziť na skutočných zlodejov. Možnosť číslo 2. Stránka už bola položená a podvodníci dostanú ponuku na zaplatenie za ukončenie útoku.
  • Stránka bola rozdelená. DDoS-útok môže paralyzovať prácu serverov vášho hostiteľa, pretože tým zastaví prácu všetkých svojich stránok. Je nepravdepodobné, ale aj možné.

Pavel Arbuzov, CTO, REG.RU

Podmienečne môžeme útoky rozdeliť na plánované a nezamýšľané. Napríklad, 18. marca 2013 organizátor hostiteľa CyberBunker usporiadal útok na DDoS na Spamhaus kvôli tomu, že je na čiernej listine na posielanie spamu. Toto je najsilnejší DDoS útok v histórii - podľa CloudFlare, asi 300 Gb / s.

Niekedy majitelia stránok berú tzv. „Slashdot efekt“ pre útok DDoS (termín „habraeffect“ sa nachádza v RuNet). To sa stane, ak oveľa viac užívateľov príde na zdroj, ako hosting môže chýbať. Ide o neúmyselný útok DDoS. Napríklad pred novoročné sviatky ľudia masívne nákupy, prevádzka na online nakupovanie sa zvyšuje. Slabý hosting zlyhá a padá. Ak sa tak stane, musíte zmeniť hostiteľa alebo prepnúť na tarifu so širším kanálom.

Tento rok som napísal materiál o malom, ale hrdom agregátore komerčných nehnuteľností v Moskve pre jednu známu obchodnú publikáciu. A 3 dni po publikácii napadol jeho stránky silný útok DDoS. Nie je možné zistiť zdroj, ale spojenie udalostí nie je vylúčené. Možno "test sily" od konkurentov.

Čo robiť počas útoku

Ak nie sú vopred prijaté žiadne anti-DDoS opatrenia, nemusíte ani vedieť o útoku. Niekedy hostitelia chytiť podozrivé aktivity a poslať list užívateľovi. Častejšie - nie. Stáva sa to, pozeráme sa na stránku a vidíme niečo ako:

Alebo nájdeme dopravné zlyhania v metrike. Toto nie je DDoS, ale niečo podobné.

Kontrola príkazového riadka

Otvorte príkazový riadok a zadajte príkaz ping {názov domény}.

Spočiatku sme "pinganuli" naše stránky a uistil sa, že to funguje - všetky 4 testovacie balíky boli vymenené. Potom vykonal operáciu na blokovanom zdroji. Balíky nie sú serverom akceptované.

Ak stránka nefunguje, ale pinged - problém s prehliadačom. Ak nie je ping, DDoS je možné.

Podrobnejšie informácie môžu poskytnúť sledovanie. Použite príkaz tracert {názov domény}:

Pri druhej kontrole vidíme stopu zdroja blokovaného Roskomnadzor (IP adresa tretej strany). Ak na poslednom stupni (adresa IP) nie je žiadna výmena paketov, môže to znamenať DDoS.

Overovanie službami tretích strán

Seogadget. Najjednoduchší nástroj na rýchlu kontrolu počas DDoS môže súčasne kontrolovať niekoľko stránok a nájsť príčiny nedostupnosti.

Kód HTTP 200 označuje, že neboli zistené žiadne problémy s prístupom. Ak tento riadok obsahuje kód HTTP 4 **, na jeho strane sú chyby. HTTP kód 5 ** hovorí o problémoch na strane servera.

Chyba HTTP 502 (zlá brána) indikuje, že lokalita sa nedokáže vyrovnať so záťažou. To môže byť spôsobené útokom DDoS.

Nástroj z Ping-Admin.ru. V nastaveniach si môžete vybrať, či chcete skontrolovať iba váš región, Rusko alebo iné krajiny. Poskytuje podrobné informácie o 9 parametroch, takže je užitočná nielen počas útokov.

Služba, ktorá je. Kontroluje výkonnosť stránky a zobrazuje technické vlastnosti domény.

Pripojenie FTP

Nainštalujte akýkoľvek vhodný FTP klient. Napríklad Total Commander:

Ak chcete pridať server, musíte kartu vyplniť:

Vašu IP adresu môžete zistiť napríklad prostredníctvom služby Kto je na vyššie uvedenom odkaze. Prístup k FTP a prihlasovacie heslo k vám prišiel v informačnom liste od hostiteľa po registrácii. Ak to bolo dávno, nájdite ich v archivovaných správach.

Ak FTP funguje a stránka nemá, môže to znamenať útok DDoS alebo problémy s webovým serverom.

Je to dôležité! Pozastaviť zobrazovanie reklamných bannerov a kontextovej reklamy, aby nedošlo k strate rozpočtu.

Blokovanie IP

Táto metóda pomáha len pri slabom útoku typu HTTP povodní. Ale k ničomu pre útoky, ako je UDP alebo SYN povodní. Každý nový parazitický paket prichádza s novou IP, takže nebude možné filtrovať spojenia.

HTTP povodeň je smer falošných požiadaviek do prístavu, ktorý je zodpovedný za vymenovanie a distribúciu dátových paketov prenášaných do hostiteľa.

UDP povodeň - vysielanie paketov UDP s veľkým množstvom dát do rôznych portov, aby sa preťažil server a / alebo preplnil komunikačný kanál.

SYN-flood - pretečenie prostriedkov servera s nezodpovedanými parazitnými požiadavkami na synchronizáciu so serverom.

IP adresy sa zobrazujú v protokolových súboroch HTTP servera. Ako ich získať závisí od vášho hostiteľa. Najjednoduchšia možnosť je prostredníctvom rýchleho odkazu na účte na hostiteľskej stránke. Samozrejme, ak je.

Ak nie, prejdite do systémových priečinkov. Napríklad na webovom serveri apache sa denník nachádza na adrese:

/ etc / httpd / logs / access_log

Ak tam hosť neposkytuje prístup, môžete na technickú podporu napísať žiadosť o poskytnutie takýchto údajov. V protokolovom súbore vyhľadajte IP adresy, ktoré sa viackrát opakujú. Potom v koreňovom priečinku stránky vytvorte súbor s názvom .htaccess bez rozšírenia. Do súboru zadajte riadok kódu:

zakázať, poprieť

odmietnuť z 111.111.11.11

poprieť od ...

umožniť všetkým

Namiesto 111.111.11.11 zadajte nájdené adresy IP. Každá nasledujúca adresa musí byť v novom riadku.

Nanešťastie uplynulo obdobie, kedy bolo filtrovanie IP účinné. Dnes sa to rovná snahe opraviť Teslu X v garážovom družstve s kľúčmi 17 a 19. Ak hostiteľ nedáva prístup k záznamom, v protokoloch nie sú žiadne duplicitné adresy IP, alebo naopak je ich príliš veľa, prejdite na prísnejšie opatrenia.

Príbeh jedného útoku

Oleg Shestakov, zakladateľ Rush Analytics.

16. novembra 2017 prešli servery Rush Analytics útokom DDoS z rôznych IP adries. Počas prvých 20 minút sa naše technické oddelenie pokúsilo odfiltrovať parazitickú premávku samo o sebe, ale veľa z nich prešlo cez filtre. Po ďalších 10 minútach nás hostiteľ odpojil. Stačí vypnúť server, zablokovať prístup k nej 48 hodín a vymazať všetky protokoly. V nasledujúcich 2 hodinách sme nasadili nový front-server na inú stránku a opustili servery DNS Cloudflare.

Z môjho pohľadu sa hostiteľ správala podivne a ani sa nám nesnažila pomôcť. V budúcnosti si ponecháme záložnú kópiu predného servera na inom mieste a použijeme systém čistenia prevádzky Cloudflare alebo Incapsula. Odporúčam, aby každý, kto pracuje na vysoko konkurenčných trhoch, urobil to isté.

Čo nerobiť počas útoku

Nie je potrebné súhlasiť s podmienkami podvodníkov. Správy s návrhom na zastavenie útoku na určitú sumu je najlepšie nereagovať vôbec. V opačnom prípade budete znova a znova napadnutý. Udržiavanie nekompromisných DDoS na komerčných stránkach viac ako 1-2 dni nie je rentabilné. Skoršie alebo neskôr zločinci ustúpia. Klienti stratení počas útoku sú cenou nedostatočnej pozornosti venovanej bezpečnosti zdroja.

Neplánujte zrkadlovú odozvu. Ak neboli prijaté požiadavky podvodníkov, útok je určite vlastný. Je celkom možné, že máte okruh podozrivých: priamych konkurentov, spoločností, s ktorými neexistovali žiadne obchodné vzťahy. Niekedy dôvod - niečí osobný odpor. Ale ponáhľať sa hľadať hackerov, aby sa pomstili, nestojí za to.

Po prvé, ak sú konkurenti na DDoS, potom sa vaše podnikanie pohybuje správnym smerom. Ďakujem vám za uznanie zásluh. Po druhé, vo väčšine prípadov DDoS nespôsobuje vážne škody - to sú peniaze po odtoku. A po tretie, ide o trestný čin. Áno, pravdepodobnosť lovu zločincov a ich zákazníkov v modernej realite je veľmi malá, ale existuje.

Pripomeňme si príbeh Pavla Wroblewského, vlastníka agregátora platieb Chronopay, ktorý bol obvinený z organizovania útoku DDoS Assist, ktorý stanovil servery svojich konkurentov na 9 dní.

Klient bol uznaný ako hlavná obeť Assist Aeroflot. Straty predstavovali 146 miliónov rubľov. Viac ako 9 tisíc ľudí počas útoku nemohlo kúpiť letenky online.

Zákazníci a výkonní umelci DDos útokov môžu byť odsúdení podľa čl. 272 Trestného zákona. V závislosti od dôsledkov sa trestný čin trestá pokutou od 100 do 500 tisíc rubľov, obmedzením alebo odňatím slobody na obdobie 1 až 7 rokov.

Čo je užitočné DDoS-útok

Pavel Arbuzov, technický riaditeľ hostingu REG.RU:

Čo hosting problémy sú zistené útokom DDoS?

Ak poskytovateľ hostingu tvrdí alebo predáva ochranu klienta pred útokmi DDoS a jeho zdroje pod útokom spomaľujú alebo sú nestabilné, znamená to, že služba je nekvalitná.

Ak hostiteľ neoznamuje alebo nepredáva anti-DDoS klientovi, jeho hlavnou úlohou je zachrániť jeho infraštruktúru. Aj za cenu odpojenia napadnutého zákazníka. V tomto prípade spomalenie stránky klienta kvôli DDoS nie je problémom hostiteľa.

Ako sa má správa poskytovateľa hostingu správať, ak je na stránke klienta zistený útok?

V ideálnom prípade by poskytovateľ hostingu mal mať vlastný systém zúčtovania premávky alebo by mal byť pripojený k systému tretej strany s cieľom odfiltrovať „falošnú“ prevádzku. Ak áno, klientske zdroje by nemali trpieť útokmi DDoS. Pracujeme s DDos Guard a Stormwall PRO. Chránia pred povodňami UDP / TCP, ktoré sú najbežnejšie. Ak hostiteľ neposkytuje ochranu proti DDoS, je pre neho najjednoduchšie úplne vypnúť lokalitu tak, aby útok DDoS nemal vplyv na ostatných klientov.

Do akej značky môže jeden sudca, že poskytovateľ hostingu pracoval zle počas útoku a mal by sa zmeniť?

Ak sa hostiteľ stal úplne nedostupným kvôli útoku DDoS na jedného klienta na viac ako 10 minút, potom má veľké bezpečnostné problémy. Je lepšie odmietnuť jeho služby. Je ľahké skontrolovať - ​​ísť na hlavnej stránky hosting poskytovateľa a skontrolujte, či to funguje alebo nie.

Príprava na útok: potrebné služby

Kontrola dostupnosti

Mali by ste vedieť hneď o problémoch s prístupom na stránku. Použite služby, ktoré kontrolujú lokalitu v určených intervaloch a automaticky informujú vlastníka o neprístupnosti.

Môžete rýchlo vykonávať kontroly, vypnúť reklamu, informovať o problémoch hostiteľa a / alebo spoločnosti, ktorá sa zaoberá technickou údržbou stránky, monitorovať prácu zamestnancov na plný úväzok alebo samostatne sa snažiť o vyčistenie prevádzky.

  • Monitorovanie dostupnosti od RU-Center, Služba od najväčšieho ruského poskytovateľa hostingu. V rade troch taríf. Najjednoduchšie je 150 rubľov mesačne, najdrahšie je 1000 rubľov. Líšia sa počtom monitorov a typov overovania. Kontroluje HTTP, DNS, PING. Informuje, či stránka spadá pod filtre vyhľadávačov ako nosič vírusov. Automatická správa o nedostupnosti stránky poštou. Je tu 14-dňový testovací režim.
  • Ping-Admin.ru, Najobľúbenejšia služba monitorovania stránok v RuNet. Obsahuje flexibilnú cenovú politiku. Neexistujú žiadne predplatné ani iné typy štandardných fakturácií. Môžete si vybrať zo všetkých overovacích metód, ktoré potrebujete a platiť len za ne. Mnoho spôsobov, ako automaticky oznámiť: mail, SMS, Telegram, RSS a ďalšie. Neexistuje žiadny testovací režim, ale každý nový užívateľ dostane 1 dolárový účet, ktorý je dostatočný na obdobie 2 týždňov až 1,5 mesiaca (v závislosti od počtu pripojených služieb).
  • Monitorovanie lokalít od REG.Ru, K dispozícii je stála bezplatná verzia s obmedzenou funkčnosťou. Miesto je kontrolované jedným monitorom s frekvenciou 1 hodiny. Oznámenie o nedostupnosti prichádza len do e-mailu. Platené cestovné začína od 99 rubľov mesačne. Má SMS informovanie, kontrolu s akoukoľvek frekvenciou. Zároveň môžete sledovať zmenu polohy kľúčových slov vo vyhľadávačoch.

firewall

Brána firewall je kompletný systém filtrov, ktorý pomáha chrániť lokalitu pred prevádzkou odpadu pred tým, ako sa dostane na stránku. Hlavnou funkciou firewallu - boj proti vírusom. Chráni proti DDoS tak dlho, ako je to dosť pre slabé útoky. Okrem toho bude stáť menej ako plnohodnotný Anti-DDoS.

  • Virusdie. Cena je 1490 rubľov ročne a 149 rubľov za rok pre každú ďalšiu lokalitu. Automaticky odstraňuje vírusy, chráni pred grabovaním, škodlivým kódom, uchováva štatistiky o odrážaných hrozbách a vytvára čiernu listinu podľa IP. Existuje editor kódu, pomocou ktorého môžete pridávať, upravovať a odstraňovať skripty. Vstavaná funkcia zvýrazňujúca podozrivý kód. Môžete nastaviť frekvenciu zálohovania a automaticky obnoviť vážne poškodené stránky posledným úspešným uložením.
  • Revízna preventívna ochrana. Náklady - 4000 rubľov jednorazovo, záruka - 6 mesiacov. Služba zahŕňa diagnostiku a skenovanie stránok, inštaláciu práv a prístup k bezpečným, vypnutým "nebezpečným" funkciám, čím sa obmedzuje prístup k administračnému panelu. Stránka sa pripája k bezpečnostnému systému, ktorý monitoruje podozrivé pripojenia na lokalitu a generuje o nich správy.
  • Detekcia vírusu. Náklady - 2000-3000 rubľov jednorazovo. Záruka - 1 rok. Systém chráni pred priamym prístupom do PHP, prístupom k administratívnemu panelu, blokovaním podozrivých požiadaviek. Povolenia pre súbory a priečinky sú nastavené, ochrana pred SQL injekciou, XSS útoky, RFI / LFI zraniteľnosť je stanovená.

Anti-DDoS ochrana

Anti-DDoS je flexibilnejší a inteligentnejší ako bežný firewall. Systém automaticky vytvára filtre v závislosti od typu a výkonu útoku a je schopný vykonávať ďalšie manipulácie s prevádzkou.

  • CloudFlare. Najväčšia služba na svete Anti-DDoS. Vážna výhoda - tam je voľný režim, aj keď obmedzený funkčnosť. Platené sadzby začínajú na 20 USD mesačne. Za tieto peniaze získate automatickú optimalizáciu rýchlosti stránky (ukladanie do pamäte cache, CSS, Javascript, atď.), Firewall, systém filtrovania návštevnosti. Cloudflare má núdzový režim I'm Under Attack, ktorý pri aktivácii vyžaduje vstup do stránky. Tento režim umožňuje rýchlo odrezať smetí prevádzky, obnoviť stránku a uložiť aspoň niektoré z klientov. Upozorňujeme, že Cloudflare nemá ruskú kanceláriu, takže budete musieť komunikovať s technickou podporou v angličtine. Ak už vaša stránka visí, môžete využiť bezplatnú službu kontroly od spoločnosti Cloudflare. Ak je potvrdené DDoS, budete požiadaný o registráciu a aktiváciu ochrany.
  • Anti DDoS z REG.RU. Tam je voľný režim, ktorý sa vzťahuje na ochranu pomocou vrstvy 3-4 technológie (IP malformed, ICMP povodní, TCP SYN povodní, TCP-malformed, ICMP smurf). Môžete aktivovať platený režim, ktorý chráni pred Layer-7 (HTTP Flood a HTTPS Flood). Náklady - od 6 tisíc rubľov týždenne. Platíte, keď prebieha útok a riziko jeho obnovy pretrváva.
  • Anti-DDoS.PRO. Náklady - od 1500 rubľov mesačne. Na ochranu proti SQL injekcii a útokom XSS existuje firewall. Zmena poskytovateľa a prechod na váš hosting sa nevyžaduje. Pracuje s technológiami Layer 3-4 a Layer-7.

Systémové pôsobenie proti útokom DDoS

A opäť hlavná práca:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты - комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или "хабраэффекта" точно защитит. От "хабраэффекта" также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Vážne technické riešenia budú vyžadovať peniaze, ale v prípade internetového obchodu alebo iných komerčných stránok môžu prestoje ísť ešte drahšie.
  3. Nakonfigurujte softvér na vašom serveri. Využívajte zdieľanie návštevnosti medzi dvoma webovými servermi. Napríklad: Apache a Nginx proxy server. Obráťte sa na svojho poskytovateľa hostingu. Zvyčajne existujú hotové riešenia.
  4. Postarajte sa o optimalizáciu dotazov. Snažte sa vyhnúť ťažkým dotazom refaktorovaním kódu, pridaním chýbajúcich indexov do databáz atď. Keď je ich príliš veľa, server pravdepodobne zlyhá aj bez útoku DDoS.
  5. Optimalizujte rýchlosť webových stránok, Čím ťažšie sú vaše stránky, tým je útočníci ľahší. Ste si istí, že potrebujete všetky "krásne", spotrebovať veľa zdrojov? Ale nemali by ste to ani preháňať - asketická webová stránka z 90. rokov bude fungovať rýchlo, ale je nepravdepodobné, že by sa v roku 2017 dobre konvertovala.

A ako lietať v masti: bezpečnosť je bezpečnosť, ale nemali by ste inštalovať škodlivý captcha pri vchode pre každého používateľa na priebežnom základe. Je to najefektívnejší spôsob, ako eliminovať polovicu vašich zákazníkov. Začnite malé a zlepšujte systém ochrany zdrojov tak, ako rastie vaše podnikanie.

V poli pre fanúšikov zaujímavých odkazov:

  • Mapovanie nórskeho ataku. Krásna, ale nie príliš informatívna interaktívna mapa cyber útokov online. Ukazuje väčšinou virtuálne vojny so zvyškom sveta.
  • Mapovať počítačové hrozby "Kaspersky Labs", Sleduje zachytávanie počítačových vírusov. Existujú štatistiky o počte infekcií a druhoch vírusov na celom svete av jednotlivých krajinách. Miniaplikáciu môžete nainštalovať na stránku alebo si môžete stiahnuť šetrič obrazovky.
  • Mapa digitálneho útoku. Spoločný rozvoj sietí Google a Arbor Networks. Podľa tvorcov, najväčší systém na svete, pokrýva asi tretinu globálnej internetovej prevádzky. Od roku 2012 existuje páska útokov DDoS, štatistiku môžete vidieť pre každý deň.

Zanechajte Svoj Komentár