пятница, 9 апреля 2010 г.

Как устранить DDoS-атаку: советы вебмастеру.

Сегодня сообщения об очередной DDoS-атаке на сайт уже никого не удивляют. Действительно, в последнее время подобные действия хакеров заметно участились. При этом DDoS-атаки не стали слабее, а, напротив, обрели большую мощность. Правда, цель таких атак осталась неизменной – вывести конкретный объект из своего рабочего состояния. Все это приводит к тому, что определенный сайт или группа ресурсов становятся недоступными для пользователей, что влечет за собой большие потери денежных средств, уменьшение количества клиентов, затраты на оборудование и восстановление рабочего состояния объекта. При этом больше всего достается коммерческим ресурсам, чья деятельность непременно связана с потоком финансовых средств: Интернет-магазинам, банкам, биржам, онлайн-казино и т.д. Проведение DDoS-атак на подобные сайты является серьезным испытанием для владельца ресурса. Даже 2-3 часа простоя нанесут существенный вред его репутации, а через неделю данный сайт, скорее всего, придется вновь поднимать с нуля. Часто вследствие проведения DDoS-атаки убытки платных и солидных сайтов составляют десятки тысяч долларов в день.
Любая DDoS-атака основывается на применении силы, потому как хакер пытается направить на определенный адрес максимально возможное количество запросов, которое сервер не сможет обработать. Все это приведет к существенной потере скорости или зависанию атакуемого объекта.
Принцип DDoS-атаки обусловлен ее названием. Например distributed означает «распространенная». Это действительно так, ведь ресурс, как правило, атакуют десятки или сотни тысяч ботов (зомби).
Откуда появляются зомби? Обычно ими выступают компьютеры или серверы, которые заражены вредоносной программой, вследствие чего они находятся под управлением хакера, выполняя его команды. Как правило, принцип создания зомби включает в себя использование экплоитов для операционной системы. Хакер может легко завладеть компьютером пользователя, когда он посещает сайты, получает письма по электронной почте либо устанавливает программы с содержащимися в них троянами. Количество компьютеров-зомби может быть очень большим. Порой процент заражаемости трафика составляет около 80 процентов, в результате чего спам рассылается в огромных количествах, порождая десятки тысяч зомбированных компьютеров. В зависимости от кода, который используется хакером для получения контроля над машиной, компьютер-зомби способен выполнять различные задачи. Все они направлены на выведение из строя сервера, который после проведения DDoS-атаки достаточно нелегко «поднять».
Как же можно бороться с DDoS-атаками, и кто должен это делать? По статистике в 98 процентах всех случаев устранять DDoS-атаки приходится вебмастеру, поскольку провайдеры предпочитают решением данной проблемы не заниматься. Именно поэтому, вебмастеру никогда не помешает знать, как бороться с DDoS-атакой на различных уровнях:
1. На уровне сервера.
Необходимо, чтобы у вашего сервера имелся вывод консоли на другой ip-адрес по ssh-протоколу и удаленный ребут. Это поможет вам быстро производить перезагрузку страниц, что очень необходимо на ранних стадиях проведения DDoS-атак. Очень часто ssh также подвергается атаке наравне с сервером, а потому вывод консоли поможет быстро и полностью его выключить. Так сервер будет доступен для администрации, что существенно улучшит ваше положение.
2. На уровне сервисов сервера.
Желательно, чтобы во всех сервисах машины отсутствовали известные «дыры». Решение этого вопроса избавит вас от множества неприятных проблем, связанных с DDoS-атаками.
3. На уровне сети.
Заблокируйте все, что позволит хакеру получить дополнительную информацию о вас. Сервер следует убрать под nat, а трейс и пинг необходимо заблокировать. Очень желательно спрятать ip-адрес. Кстати, данный метод применяется во многих профессиональных, коммерческих системах защиты от DDoS-атак.
4. На уровне провайдера.
В этом случае целесообразно проведение блокировки ip-адреса и анализа пакетов данных.
5. На уровне компьютера и программного обеспечения.
Рекомендуется использовать для защиты системы решения от известных фирм 3com, Cisco, nortel и т.д. Безусловно, подобные методы борьбы с DDoS-атаками являются недешевыми (от 10 тысяч долларов). К слову, комплексная защита от атаки может обойтись в 50-80 тысяч долларов. В основном подобные средства защиты функционируют на основе анализа пакетов данных и их фильтрации. В результате, нужные пакеты проходят на сервер, а сомнительные и опасные блокируются файерволом или роутером. Некоторые системы защиты от DDoS атак могут и вовсе скрыть ip-адрес сервера, и хакер не сможет найти его на просторах сети, а потому DDoS-атака не будет проведена.
6. На уровне администраторов сервера.
При помощи анализа логов файервола сервера можно увидеть, с каких ip-адресов производятся атаки. В этом случае целесообразно попробовать найти уязвимые рабочие станции. При определенных усилиях и доле везения можно отыскать и главный компьютер-зомби, а затем попытаться вывести его из строя посредством контратаки или другого метода. К слову, не следует забывать, что DDoS-атака может быть легко нейтрализована путем обычной смены ip-адреса, если действия компьютеров-зомби не контролируются вручную.
Очень часто вебмастер предпочитает комбинировать все вышеперечисленные варианты защиты сервера от DDoS-атаки, и это, безусловно, помогает. Правда, на этом методы борьбы с DDoS не заканчиваются, а потому даже в этой статье мне не удастся расписать их полностью. Однако хочется верить, что вышеперечисленная информация непременно поможет вам в борьбе с DDoS-атаками.

Читать полностью...

среда, 7 апреля 2010 г.

Как не стать частью DDoS-атаки: все ли зависит от нас?

Способны ли вы стать участником DDoS-атаки, сами того не желая? Ответ неутешителен – зачастую все именно так и происходит. Так каким же образом хакерам удается присоединить каждый отдельный компьютер к огромной бот сети так, что порой пользователь ничего не замечает?
Прежде, чем говорить непосредственно об участии каждого пользователя в DDoS-атаке, следует отметить, что же такое бот сеть. Дело в том, что, так или иначе, на просторах Интернета присутствует большое количество компьютеров, которые уже заражены и выполняют команды хакера. По сигналу злоумышленника они способны одновременно подключаться к сети и загружать страницы или данные с веб-сервера. Именно «сообщество» таких зараженных компьютеров называется бот сетью. Иными словами, каждая подобная машина является зомбированной, потому что она выполняет команды не своего истинного владельца, а хакера, который получил к ней доступ обманным путем. К сожалению, в состав такой бот сети входит не один и не два компьютера – в большинстве случаев ведется одновременная работа с нескольких сотен, а то и тысяч машин.
Увы, но обычные пользователи часто не подозревают о том, что их компьютер стал частью бот сети, из которой осуществляются более мощные и разрушительные DDoS-атаки. Недостаток информации приводит к тому, что хакеры получают больше возможностей для реализации атак и совершения преступлений, а владельцы компьютеров ничего об этом не знают. А ведь посредством создания бот сети можно проводить крупные DDoS-атаки, шантажируя таким образом новостные сайты, Интернет-магазины и прочие важные ресурсы. Безусловно, помимо шантажа можно заниматься рассылкой спама, подбирать пароли, но в основном бот сети применяются именно для осуществления DDoS-атак.
Многие пользователи часто интересуются, поможет ли в борьбе с DDoS-атаками обычный антивирус? По словам специалистов, статистика неумолима: около 40 процентов компьютеров, которые были когда-либо объединены в обширную бот сеть, оснащались антивирусными программами, которые факты проведения DDoS-атак совершенно не фиксировали. Конечно, хороший антивирус в комплекте с качественной системой предотвращения атак поможет хотя бы немного обезопасить свой компьютер от действий хакеров, однако на сегодняшний день специалисты еще не придумали совершенную систему мгновенного вычисления DDoS-атаки.
Помните, что если вы, так или иначе, связаны с деятельностью на просторах Интернета, то ваш компьютер уже автоматически попадает в «группу риска». При этом в нем необязательно должна присутствовать какая-либо уязвимость или устанавливаться злонамеренный код – все это может уже давно находиться на компьютере другого человека, с которым вы связаны посредством сети. Также источником заражения компьютера может стать популярный сайт в Интернете. Это утверждение лишний раз доказывает тот факт, что защищаться от DDoS-атак просто необходимо. Благо, на сегодняшний день методов защиты более чем достаточно, и вы вполне можете выбрать подходящий вариант. Пусть это не даст вам стопроцентную гарантию защиты, но максимально обезопасить свой компьютер, согласитесь, не помешает.
Многие пользователи беспокоятся по поводу того, что если в услуги провайдера не входит предоставление защиты от DDoS-атак, то сам провайдер придется менять. Сейчас это совсем необязательно. Скажем, на сегодняшний день услуги защиты от DDoS-атак предлагают многие известные компании. В частности, одной из них является компания Prolexic, сервис которой позволяет блокировать атаку даже в тот момент, когда вам удалось зафиксировать ее проведение. Сделать это можно посредством использования прокси и перенаправления DNS. Все, что нужно сделать – это прописать в DNS IP-адреса сети данной компании. После этого DDoS-атака будет направлена не на ваш адрес, а на адрес Prolexic. Такой вариант целесообразно применять для защиты от DDoS-атак онлайн-казино, Интернет-магазинов, электронных журналов и Интернет-банков.
Помимо этого Prolexic и другие подобные компании способны применить в качестве защиты сайта от DDoS-атак протокол маршрутизации, благодаря которому атака будет перенаправлена на их сервер, где и будет подавлена. В итоге, уже чистый трафик будет поступать на ваш компьютер, а вы будете работать в обычном режиме.
Кстати, можно подключиться к Prolexic напрямую, чтобы постоянно находиться под защитой этой компании. В этом случае совершить DDoS-атаку на ваш сайт будет невероятно сложно.
Если говорить о крупных компаниях, которым необходимо обеспечить защиту сайта от DDoS-атак на должном уровне (Microsoft, IBM, Sony, Apple и т.д.), то для этих целей они используют сервисы от компании Akamai, принцип работы которых заключается в создании зеркала всех сайтов своих клиентов, расположенных по всему миру. Именно поэтому, графика, аудио, видео и прочие данные всегда будут доступны пользователям. Правда, как стало известно, даже такой, казалось бы, совершенный сервис от Akamai в 2004 году был на некоторое время выведен из строя.
Иногда мы не в состоянии отделить реальный трафик от трафика, продуцируемого ботами. В этом случае возникает вполне осознанное желание попросту заблокировать зомбированные компьютеры. Но при этом нужно знать, что именно нужно блокировать. Существуют целые компании, которые постоянно собирают адреса зараженных компьютеров, создавая базу данных таких ботов. Их вполне можно применять для защиты Интернет-провайдеров от проводимых DDoS-атак. В результате, трафик будет пропускаться через фильтр, который сохранит нужные запросы и удалит сомнительные данные.
Безусловно, характер DDoS-атак и их последствия могут быть различными. Наиболее сложными при этом являются атаки, которые ориентированы на переполнение канала, а не на сервер. Боты подставляют любые адреса в качестве адреса-источника, после чего трафик представляет собой поток самых различных данных на адреса сети, подверженной атаке. На сегодняшний день даже такие сложные DDoS-атаки могут быть вовремя выявлены и подавлены. Для этого специалисты разработали специальные системы, которые анализируют поведение трафика, направленного в сеть провайдера. Поскольку обычному человеку такое количество соединений в секунду проанализировать чрезвычайно тяжело, остается лишь довериться искусственному интеллекту, который сделает это быстро и качественно.
Конечно, на этом способы защиты от DDoS атак не заканчиваются. Более того, ежедневно тысячи ученых работают над созданием новых сервисов и новых систем, которые позволяют продвинуться еще на один шаг вперед в борьбе с DDoS-атаками. Нам же остается только выбрать наиболее приемлемый способ и обеспечить безопасность работы на просторах Интернета.

Читать полностью...