DOS & DDOS атаки

[kozak]

Тут на днях неприятная штука случилась... Наши партнеры анонсировали запуск нового веб-проекта, параллельно запустив рекламу по сети на немалую сумму. Конкуренты не стали загоняться и... наняли хакера(ов), который уже неделю DDOS атаками вешает серверы.

Они там что-то вроде уже предпринимают, вроде как СБУ подключили, но пока хакер деньги не отработает, это вряд ли прекратится.

В отличае от "разрушителей" я, как и большинство "создателей", хочу заранее позаботиться о безопасности своих систем в которые пол жизни вложено!

Предлагаю обсудить методы защиты для предотвращения подобных действий злоумышленников.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Shuba]

По-моему самым простым решением будет сделать скрипт, который смотрит, откуда ддосят и закрывает доступ с данного адреса фаером.

[Laa]

Плохая идея закрывать "фаером".
Потому что DoS-атака забьет сперва полосу в XXXmbit/s или в ZZZ packets per second, а затем будет резаться на fbsd "фаером". То есть сервис уже "не жилец" в такой ситуации.

Это очень сложный вопрос на самом деле.
Для этого akamai.com и другие мега-хостеры имеют несколько датацентров в разных странах с полным зеркалированием всего, с резервированием ДНС и реагированием на атаки. Типа в ДНС записи живут не долго, в случае атаки на одну группу адресов записи в ДНС меняются на другую группу, атака заканчивается и все восстанавливается.

Возможно, если у провайдера толстый и мощный канал, который известно что не за-ДОС-ят, то можно поставить какой-нить CARP-сервер, который будет раскидывать запросы на несколько серверов внутри. Но я такого не делал, только слышал.

Важно понимать, что атака приходит к провайдеру практически на всю полосу его входящего линка, а потом упирается в полосу входящего линка клиента.

[ProFTP]

от больщих атак слышал что сиськи провайдера защищают

а что досят вер сервер?

если веб сервер, то бери айпи, определяей подсеть и бани нах в ipfw

[Laa]

Когда досят веб-сервер, то поток идет с X-тыщ ip-адресов. За логами не то что уследить, даже моргнуть не успеешь при таком потоке, а еще нужно попытаться понять, кто из этого потока нормальный, а кто дос-ер. А пока понял, этот список уже поменялся. И рубить таки это надо все не после того как оно пришло в локальную сетевушку, а "до", так как когда пришел весь этот ДОС -- рубить уже поздно, 100mbit/1gbit уже схаваны будут.

Провайдеры сейчас имеют потоки в несколько гбит, и ставить циску для анализа ТАКОГО потока не каждый позволит себе. Если и позволит, то выполнять защиту от ДОС начнут думаю не быстро и скорее всего за деньги...

[Alex Keda]

редко так ддосят.
я видел - максимум - 15000 хостов примерно.
машина уходила в себя мгновенно.
просил в датацентре выдернуть шнурок, перезагрузить, ввести

Код: Выделить всё

ipfw add 1 deny tcp from any to me 80

потом воткнуть шнурок.
далее анализ логов, внесение в таблицу всех хостов что удалось поймать - разрешение соединений по 80 порту с лимитом 1 сессия на рыло - в бэкгроунд

Код: Выделить всё

sleep 3 && ipfw add 1 deny tcp from any to me 80 &

снова анализ логов.
за час управился.
дальше уже проще - скриптом новые потихоньку докидывались и всё.
три дня трафф входящий был больше исходящего )
несколько сотен пакетов в секунду... если мне память не изменяет...
потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса )
дальше уже были проблемы яндекса ))

[Laa]

Надо было в ДНС отдавать им 127.0.0.1, во забава бы была...

[Alex Keda]

а толку?
там виндовые тачки. у них нет вебсервера на локалхосте...

[helloworld]

редко так ддосят.
прописал для хостов из таблицы отдавать IP яндекса )
дальше уже были проблемы яндекса ))

валяюсь

[Alex Keda]

где-то в /dev/null тема должна валяться - про то как два бинда поднять на одном хосте с разными конфигами...

[Laa]

а толку?
там виндовые тачки. у них нет вебсервера на локалхосте...

Та дерьмо бы это не расползалось бы за пределы зараженного компа...

[reLax]

Ну DDOS как правило сложно (почти нереально) убить. DDOS - это ботнет, как правило, при правильно поставленной "атаке" тот же самый банальный SSH брутфорс будет у тебя капать раз в 0.03 секунды с разных адресов со всего мира А уж HTTP завалить GET'ом...как 2 пальца обоссать (с ботнетом).

[ProFTP]

ну там в принципе по хитрому можно попробовать

поставить кнопку JS скрипт

бот как правило не компилирует у себя Ява скрипт, (это можно сделать) если зашел айпи и если кнопка не сработала, значит это не браузер, то банить его надо сразу ipfw, не знаю на сколкьо эффективно будет!!

[Alex Keda]

Ну DDOS как правило сложно (почти нереально) убить. DDOS - это ботнет, как правило, при правильно поставленной "атаке" тот же самый банальный SSH брутфорс будет у тебя капать раз в 0.03 секунды с разных адресов со всего мира А уж HTTP завалить GET'ом...как 2 пальца обоссать (с ботнетом).

я тебе привёл пример что можно сделать и как.

[f_andrey]

А вот тут показано как с этой напастью борятся взрослые дядьки

[kozak]

А вот тут показано как с этой напастью борятся взрослые дядьки

Вот именно что взрослые дядьки....
Для того чтобы "повесить" такой дата-центр нужно как минимум атомную бомбу !

А если серьезно, то понятно что все дело в деньгах! Чем их больше тем каналы больше и толще, тем тачки сильнее.
Но... речь идет о защите того что имеем, да и время сейчас не совсем то чтоб строить второй дата-центр в Техасе .

Суть вопроса в том, есть ли сейчас универсальный способ защиты от DDOS атак, проводя минимум времени в папке "/var/log" ???

[hanko]

В целом защита от DDOS это задача хостера или провайдера если ты сам таковым не являешься, самый лучший функционал по защите от данных атак есть у CISCO, там у них спец тачилы есть для этого

[zingel]

Ну чтобы повесить такой ДЦ, нужна полоса больше 2 Gbps, тоесть около 200 тысячь хостов и этот ДЦ ляжет, это первое.

Суть вопроса в том, есть ли сейчас универсальный способ защиты от DDOS атак

Нет и не будет.

Надо было в ДНС отдавать им 127.0.0.1, во забава бы была...

И слёг бы DNS под нагрузкой.

я видел - максимум - 15000 хостов примерно.

Видел в своей жизни полосу в 850Mbit/sec.

просил в датацентре выдернуть шнурок, перезагрузить, ввести

Просить нужно фильтровать на апстриме.

Код: Выделить всё

ipfw add 1 deny tcp from any to me 80

не спасёт не от чего.

Провайдеры сейчас имеют потоки в несколько гбит, и ставить циску для анализа ТАКОГО потока не каждый позволит себе. Если и позволит, то выполнять защиту от ДОС начнут думаю не быстро и скорее всего за деньги...

Нет, имея защиту от DDoS/Malware для своих клиентов провайдер автоматом получает бонус и больше клиентов, нужна всего 1 кошка на апстриме, это CISCO Guard XT 5650, стоит она от 60 000 $ поверь мне, это окупится быстро.

Возможно, если у провайдера толстый и мощный канал, который известно что не за-ДОС-ят, то можно поставить какой-нить CARP-сервер, который будет раскидывать запросы на несколько серверов внутри. Но я такого не делал, только слышал.

Достаточно иметь своих людей или пиринг с региональными MAN-операторами.

Важно понимать, что атака приходит к провайдеру практически на всю полосу его входящего линка, а потом упирается в полосу входящего линка клиента.

Это плохой провайдер потому, что у хорошего есть резерв такой же толщины или 2.

Код: Выделить всё

методы защиты

Я могу предложить экономные варианты, например

а)Зеркала в других компаниях не имеющих прямых связей между своими AS или хотя бы на расстоянии больше 6-8 хопов, чем больше зеркал тем лучше
б)Смена адресов стартапа или динамизирование адресного пространства с распараллеливанием ptr-записей
в)Контакты с NOC Вашего провайдера с просьбой закрыть на апстриме то что можно в такой ситуации
г)Перехват ботнета (сложно достаточно).

[Sadok123]

ну там в принципе по хитрому можно попробовать

поставить кнопку JS скрипт

бот как правило не компилирует у себя Ява скрипт, (это можно сделать) если зашел айпи и если кнопка не сработала, значит это не браузер, то банить его надо сразу ipfw, не знаю на сколкьо эффективно будет!!

ДЗ на выходные: "Назовите минимум 2 браузера, не поддерживающих JavaScript."

А вообще, за такие проверки уеб-умельцев надо сажать на кол.

[buryanov]

У CheckPointa есть фичи для мониторинга http трафика, сервера конечно спасёшь, но вот канал
Меня несколько раз атаковали по ssh. У меня висит скрипт, который раз в 5 минут банит ip, если есть 2 неудачные попытки за этот период, плюс ограничение на колличество соединений с одного ip.

[none]

Надо было в ДНС отдавать им 127.0.0.1, во забава бы была...

и это правильное решение, если по другому не справляешься, такой способ называет: занульроутить.

И слёг бы DNS под нагрузкой.

с чего это вдруг?

потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса

не стыдно? а должно быть.

[kabachok]

потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса

не стыдно? а должно быть.

Надо было на буржуйский правительственный сайт завернуть, ну или на наш, чтобы с ними особые отделы разбирались

Ну а вообще, как выше написано, нужно ставить или арендовать (Caravan) GUARD

[Morty]

из решений которые более - менее доступны
вот это http://dreamcatcher.ru/bsd/012_obsd.html наверно лучший выбор

[Ocr]

CAPR это реализация отказоустойчивости и балансировки... в защите от DDOS мало как может помочь.
небольшую DDOS атаку на 50к подключений хороший сервер(с грамотным фаером) переживет с толстым каналом. Что то серьезнее, то сервак будет не доступен и кошка может порт положить... много, что может быть, но защита от DDOS в полном понимание этого смысла это задача провайдеров. Клиент никак от нее не защититься.

Максимум что можно сделать, это реализовать защиту, чтобы сервер не ушел в себя:) А это тюнинг.

[Alex Keda]

потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса

не стыдно? а должно быть.

ничуть. им не стыдно банить все *.lissyara.su?
а мне должно быть стыдно за то что я их адресок отдал?
не. ребята не могут програмно решить свои проблемы - в итоге банят сайты. пусть у гугла учаться