Борьба с DoS атаками

Третья атака на ЖЖ. Если так дальше пойдёт, скоро и сюда не прорвёшся. Поделитесь мыслями, кроме того, что есть в Википедии.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Блин, нет у вас фантазии :) Самый эффективный способ DOS — это физическое уничтожение серверов: арендуем в дата-центре шланг, и подключаем в него свой привезенный сервер, в который заложена взрывчатка. По команде с удаленного терминала в нем срабатывает детонатор, и все сервера слетают нахрен. Задосится очень много сервисов :)))

защитится можно, если не тупить
1. Дос никогда не начинается сразу. То есть у вас будет время понять что вас досят, но, опять же, если будете тупить так как ЖЖ, то поймете поздно.
2. Дос нельзя закрыть только своими силами — это участие как вас, так и вашего прямого провайдера подключения. скорее именно он сможет отфильтровать трафик

3. поставьте лимит на кол-во запросов в секунду с одного ай-пи. если превышено, блокируем адрес (мало поможет конечно, но все же)

Эт из самого простого.

И все это никак не спасет от горяче обсуждаемых здесь syn flood + ip spoofing.

ip spoofing
частично отфильтровывается как обычным файрволом, так и сетевым железом
syn flood
уже давно устарела, оси давно защищены от проблем переполнения буфера. эту атаку можно заюзать разве что для загрузки канала связи.

частично отфильтровывается как обычным файрволом, так и сетевым железом

Ээ, как? Частично это сколько? 5%? Можно посмотреть на конкретные материалы по этому поводу?

уже давно устарела, оси давно защищены от проблем переполнения буфера. эту атаку можно заюзать разве что для загрузки канала связи.

Пруф линк плиз.

Ээ, как? Частично это сколько? 5%? Можно посмотреть на конкретные материалы по этому поводу?

xgu.ru/...iki/IP-spoofing

Пруф линк плиз.

ru.wikipedia.org/wiki/SYN-флуд

www.i2r.ru/...out_17530.shtml

xgu.ru/...iki/IP-spoofing

Ок, отфильтруешь ты пакеты пришедшие из адрессов внутренней сети(хотя таких скорее всего не будет), остался еще весь интернет, что дальше?

ru.wikipedia.org/...%BB%D1%83%D0%B4

www.i2r.ru/...out_17530.shtml

Мой мозг неосилил например вот это:

«Даже при нагрузке на канал атакующего в 6 пакетов в секунду C1/C2 — примерно 1/100, т.е. служба выведена из строя на 99%.» Что это означает?

Да, я уже слышал про твой зюксель.

есть такой тип бизнеса — защита от дос атак путем фильтрации трафика. когда все запросы с атакуемого сайта перенапрвляются на сайт фирмы, там она хитрыми алгоритмами отсекает траффик дос атаки а отфильтрованные запросыот обычных юзеров пересылает на сайт.

Бизнес то есть. Но боюсь что бесплатная модель доживает последний год. Слишком большие накладные расходы, рекламы не хватит. Вот если купили ключ, то DDoS станет накладен. Как только ключ активен, второй такой же на аппаратном уровне забанят, и никакой DDoS становится нестрашен. А вот бизнес ключами оччень актуален, аж кипит.

Заходит чел на ДОУ, а ему вместо страницы по умолчанию — HTTP заголовки: Content-Type: application/octet-stream blablabla Content-Disposition: inline; filename=killer.exe, запустит — на одного будет меньше :)

Согласен. Корень зла в HTTP и в HTML.

А по теме что хотели сказать?

По теме — чтобы не было отказов — нужно иметь отказоустойчивое оборудование, чего не бывает. Или чтобы сервер не был виден вообще, тогда зачем он вообще нужен. Конфигурационный файл Апача, где по-умолчанию макс. кол-во соединений — 200 (и макс. кол-во соединений с одного IP, три, вроде бы) не спасают, тем более, что HTTP протокол соединение не удерживает. Как бы нет 100% защиты от DoS (тем более, что даже можно было уложить сервер злонамеренным ICMP пакетом)

Адская ерунда, когда я последний раз интересовался темой, было модно досить tcp syn пакетами совместно с ip spoofing. До апача и хттп дело не доходит. А icmp — вообще не к месту.

Да, помню, сам его писал... в год так 98-ом!

И в продолжение — это ты назвал адской ерундой? www.lissyara.su/...ww/mod_evasive

Да, ерунда, т.к. как я уже говорил при syn flood до апача дело не доходит, накрывается tcp часть стэка ОС. Ознакомся с мат частью что ли..

Пакеты с подменами в заголовках обычно тихо мочатся на маршрутизаторе. Я — не железячник, но инфа об этом пробегала.

Бредятина, откуда маршрутизатор знает хороший это пакет или нет?

Маршрутизатор тебе может отсечь туеву хучу запросов на соединение с одного адреса, если в единицу времени кол-во превысит

Опять не выучил мат часть, двойка. При IP spoofing маршрутизатор думает что пакеты с разных адресов!

Да ознакомься для начала, что могут делать машрутизаторы Cisco наконец, а потом меряйся пиписьками.

Conclusion

IP spoofing is a difficult problem to tackle, because it is related to the IP packet structure. IP packets can be exploited in several ways. Because attackers can hide their identity with IP spoofing, they can make several network attacks. Although there is no easy solution for the IP spoofing problem, you can apply some simple proactive and reactive methods at the nodes, and use the routers in the network to help detect a spoofed packet and trace it back to its originating source.

www.cisco.com/...p-spoofing.html

Я с этой проблемой боролся роутерами циско, да они могут побороть некоторый поток syn пакетов, но если против тебя ботнет из тысячи компов и трафик на пару гигабит(что не так уж много), то нужны ресурсы гугла или амазона что бы с этим справится. А то что ты написал — это вода.

У меня, конечно не Cisco, а Зухел, но он тоже это умеет. Ну и почему же это не умеет TCP-стек?

Умеет что? Отслеживать трейсом заспуфленные пакеты? Верю. Но на это нужно много времени, секунд так 30, и пока твой зюксель отследит один пакет ему еще прийдет 10000000 пакетов, трекинг которых исчерпает его ресурсы.

Да не про то я. Зухел забанивает пакеты с IP-адресов, или диапазона.Это быстро.

Чуваки, может вы все таки ознакомитесь вначале с мат частью? При ip spoofing происходит подмена ай пи адреса на какой хочешь сгенеренный, то есть забанить прийдется весь интернет.

Понимаешь, можешь не будешь писать как злобный ламер? смысл этой атаки — в подмене ОБРАТНОГО адреса в пакете не на КАКОЙ ХОЧЕШЬ СГЕНЕРЕННЫЙ, как ты пишешь, а на IP АДРЕС ОПРЕДЕЛЕННОГО, ДОВЕРИТЕЛЬНОГО хоста. Например, чтобы заменить A,C,MX записи на DNS сервере пакетами, которые спонтом от вышестоящего DNS сервера, типа репликация. При этом, естественно, нужно его знать атакующему. И не прийдется банить весь интернет, потому что согласно таблице маршрутизации, пакеты от заранее известных доверительных хостов никак не могут априори попасть через конкретный маршрутизатор. Это определится вот так. Маршрутизатор в таком случае отреагирует на этот пакет как ты его настроишь (зайди на него через телнет, и введи волшебное слово HELP)Все известные атаки, на уровне TCP/IP стека, при правильных настройках маршрутизатора отсекаются. Если так не считаешь — задось DOU

Извини, но ты бред опять написал, но ознакомившись с матчастью. Когда делают syn flood, ip spoofing как раз и применяют, что бы пакеты приходили с разных произвольных и случайных ай пи адрессов и нельзя было вычислить и забанить отправителя. То что ты говоришь про ДНС все имеет место быть, но это совсем другая Man on the Middle атака, и к данной теме(DOS) не имеет никакого отношения.

syn flood делают, чтобы загадить слушающие сокеты. ip spoofing — это подмена ip адреса. если загаживать сокеты — необязательно подменять свой ip адрес, потому что фильтру может быть абсолютно побоку, по чем фильтровать — по адресу отправителя, или адресу получателя (сразу забанить всю прокси, например). Хреново, видать, ты с этой проблемой боролся.

Не понял, ты предлагаешь забанить свой же сервер(сервис)? ;-)

Для особо непонятливых — или задось ДОУ, чтобы оправдать свое дутое ЧСВ, или прочти на Cisco как отражают все известные атаки на tcpip стек с помощью их оборудования. Это если на аппаратном уровне. А то, чо ты хочешь доказать — юношеский максимализм и незнание реалий

А я уже читал. Видимо поэтому я не предлагаю защищать сервер от syn flood-a с помощью модуля апача, как это делаешь ты! ;-)

ну так и напиши на сайте разработчиков мода, что они лохи, че флуд разводить? :)

только не забудь упомянуть, что нужен аппаратный фаервол в лице такого бренда, как Cisco, который стоит от $500. не у каждого же сервак в инет через цыску смотрит, верно?

Очевидно что тот модуль может защитить от других видов атак, поэтому я вполне допускаю что разработчики не лохи.

А если не секрет, про какую ОС разговор?

Без разницы, все накрываются. Это фундаментальная проблема TCP.

С развитием ботнетов на миллионы компов если за сайт серьезно взялись то решение — только погасить ботнет.

Если я не знаю, куда ходит мой комп, то он как бы уже и не мой. Может хватит проги с отслеживанием, куда ходим и соответственными банами, скажем для хомячков это будет просто заплата к винде, а перечень банов приходит по заказу. Думаю, даже бесплатная прога дала бы профит мелкомягким. Может я опять не прав?

Если я не знаю, куда ходит мой комп
и кто ходит на твой комп.
у Андроида это вообще фича — могут зайти и снести тебе ненужную прогу молча.
Так снести или поставить?

Снести бота — это хорошо. А на Андроидах есть проги, показывающие, куда ходит робот по спросу и без? Или их есть на маркетах?

Может местные их и организуют в рабочее время?
Вот ББСи пишет:
«О том, кто стал объектом атаки в среду, пока судить сложно. Так или иначе, но обе первые атаки были направлены на ресурсы „Живого журнала“, за одним исключением — в первом нападении одной из целей стал также сайт мебельной фабрики „Кредо“, не имеющей отношения к ЖЖ.»

Помоему, пора шевелиться, а не ругать безработного.

Мишенька, я же Вам написал, что Линукс и ембеддед несоместимы.

Максим! Спасибо за комплимент. Удачи. Хотелось бы, что бы ДОУ всётаки стал более техническим ресурсом. Просто нет больше площадки, не нравлюсь, баньте. Поищем что нибуть другое. Ещё раз прошу прощения за бедный QNX. Надеюсь, что мои измышления не сильно навредят им.

Підписатись на коментарі