Saturday, 19 Nov 2011
Многие люди работающие в интернете, слышали про такого страшного зверя как DDos-атака, которая представляет собой тоже самое что и DoS атака, направленная на нарушение работоспособности целевого ресурса- будь то корпоративный сайт, почтовый сервер или сегмент сети. Основным отличием от DoS атаки в механизме DDos, является то что в этом типе атаки может быть использовано несколько типов DoS атак, и исходить они могут с десятков, а то и сотен тысяч узлов по всему интернету, так что обычные методы борьбы, применяемые против DoS атак, как то невосприимчивость целей к атакам, а также бан по IP атакующих хостов; в случае DDoS атаки не работают. Так как даже если у вас установлена заплатка на сервере и он не восприимчив в используемым типам атак, может сложиться такая ситуация, что сервер будет занят только отражением атакующих пакетов, или же эти тысячи обращений в секунду настолько забьют канал, что сервер, оставаясь работоспособным все равно будет не доступен для внешних сетей, то есть DDoS можно будет считать успешным и состоявшимся.
Естественно что для крупного корпоративного сайта, да и простого интернет-магазина, завязанных на продажах через интернет, каждый час простоя чреват финансовыми потерями, а при заинтересованности злоумышленников, или заказчика, подобная атака может идти неделями. Тем более что и стоимость атак может розниться от 3-4к зелени в день за атаку на ресурсы уровня ЖЖ, до сотни баксов за аут небольшого интернет магазина, хостящегося на шаред хостинге. Помимо финансовых потерь, для небольших проектов DDoS атака чревата баном аккаунта, так как большинству хостеров не нужны проблемы подобного характера, так как при распределенной атаке страдает не только целевой сайт, а как минимум вся хостинг ферма атакуемого сервера, а в случае небольшой компании подобная атака может привести к недоступности всех его ресурсов. К тому же целью DDoS атаки может быть как вывод сервера из строя, так и попытка скрыть более серьезные действия злоумышленников по получению несанкционированного доступа к атакуемым серверам и сайтам.
В этой связи существуют несколько видов борьбы с DDoS атаками:
1. Прежде всего ваш хостинг должен иметь защиту на уровне провайдера, так как часть атак можно отфильтровать на уровне доступа к сети, путем бана определенных пакетов, или же определенных IP адресов и сетей. Естественно что подобное оборудование весьма дорогостоящее, и только небольшая часть хостингов предлагает подобную защиту.
2. На самом сервере должны быть установлены необходимые заплатки, позволяющие не реагировать на различные типы DDoS атак, а также анализатор пакетов позволяющий отправлять в бан атакующие адреса.
3. Использовать сторонние сервисы, на которые средствами DNS заворачивается трафик, и они либо проксируют доступ к серверу, либо выдают статический контент на своей стороне. Естественно что эти услуги крайне не дешевы, поскольку используют избыточные серверные мощности.
Вот собственно на подобных сервисах, я бы и хотел остановиться отдельно:
1. Qrator.net – расписано все очень слажено, но по деньгам выходит жестковато. Пишут, что работают на ура, и все проблемы решабельны. Правда и денег за эт просят не мало.
2. DDoS-protection – тоже выглядит довольно убедительно и отзывы хорошие, но не понятно что по деньгам. Видимо такие суммы, что не стоит публиковать, чтобы не отпугнуть потенциальных клиентов. Но судя по подборке клиентов, сервисом много кто пользуется.
3. Как сказали на мауле хостинг Hostace вроде как специализируется на подобных решениях. У них в услугах не указано, так что видимо это выводится из личной беседы со спецами, типо как аренда хрумака. О которой никто не говорит, но она подразумевается.
4. Также на мауле есть чел, который как раз предлагает фронт-энд на своем или вашем оборудовании. Собственно его контакты есть в теме.
VN:F [1.9.21_1169]
Rating: 7.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Сайты и их проблемы | 1 отзыв »
Thursday, 07 Apr 2011
Интересная инфа разлилась пару дней назад по инетам, про то, что DDOS атака на сервис LiveJournal была направлена в первую очередь на блог Алексея Навального. И дескать с 24 марта по 1 апреля DDOS-атака шла на ресурсы Навального- его блог в ЖЖ и его новый сайт Роспил. Якобы со слов Касперского атака производилась на основе DDoS-бота Darkness/Optima и после 4го апреля к целям атаки были также добавлены блоги других популярных блоггеров ЖЖ.
Определимся сразу, что бот сам по себе зовется Darkness Ddos Bot, а вот сетка выстроенная на использовании данного бота относится к серии Optima. Бот то конечно весьма популярный в инете, и найти можно огромное количество мест откуда скачивается как сам бот, так и его админская часть, через которую и вводятся целевые урлы, а также типы атак, запуски копий и прочая муть. То есть раздобыть данный бот не возникает никакой проблемы, хотя обычно такие вещи как DDOS на популярные ресурсы, скидывается в качестве заказа серьезным ботоводам имеющим в своем гараже десятки, а то и сотни тысяч зараженных машин, посредством которых и производится распределенная DOS атака.
А теперь отвлечемся от родословной данного бота, и на минуточку подумаем о задаче данной атаки.
Основная задача DDOS атаки, абсолютно такая же как и обычной DoS атаки, то есть тот самый пресловутый отказ в обслуживании- Denial of Service, чьей задачей является выведение ресурса из строя с целью: хальта системы на какое то время, прикрытие для более таргетированной хакерской атаки и скрытие следов этой активности, или же попытка выполнения какого либо кода, подвергая ПО цели стрессовой нагрузке. Сама DDoS атака представляет собой тот же самый DoS только с использованием огромного количества компьютеров со всего мира, что становится доступным при использовании вышеупомянутых ботов.
Теперь воткнув в эту тему, берем на разбор блог Навального:
Что Навальный имеет от своего блога в ЖЖ?
Это что, интернет магазин, чье падение и простой влечет за собой многомиллионные потери финансов?
Или же сайт какой то компании, которая также теряет потенциальных клиентов?
К тому же DDos атака сама по себе долбит все блоги, находящиеся на той или иной площадке, подвергающейся распределенной атаке.
И кто такой Навальный сам по себе, для того чтобы хакер, положивший сервис ЖЖ, мог сказать денить из Китая: I halted Navalnyi Blog! и надеяться что ему эта фраза принесет несусветные барыши.
Собственно исходя из вышесказанного, блог Навального никому не интересен в этом мире, поскольку перехватить управление его блогом невозможно, так как в любом случае акк вернется обратно владельцу. Вывод его из строя на неделю или даже месяц, ничего не даст заказчику, кроме как не понятных финансовых потерь, ибо организация подобной атаки стоит пару штук в день. Заказать подобную атаку мог только чеканутый недоумок с баблом, которому нечего делать кроме как ддосить социалку.
Пытались сорвать какую то публикацию? Тоже крайне сомнительно, ибо тема блога сродни крикам “Держи вора!”, когда он уже вышел две остановки назад, тем более что никакого КПД эти крики так и не приносят.
А вот как раз акция самопиара, на фоне обострившейся пиар-компании по продвижению личности Навального, выглядит крайне убедительно, ибо все доводы и рассказы об этой DDOS атаке выглядят очень и очень смешно, когда ты хотя бы прочел пару статей на вики о предмете разговора. Еще более радует экспертные мнения Каспера, который собирается поставлять СУПу- владельцу ЖЖ, какие то антидосовские плюшки, которые не дают никакого эффекта при части DDOS атак, так как лучший способ ухода от подобной атаки- шатдаун сервиса и пережидание этой атаки, так как часть атак просто забивает канал на стороне провайдера- и будь ты тут хоть Касперский, хоть Дюк Нюкем- ты ничего с данной атакой сделать не сможешь. Тем более, что разговоры о предотвращении DDoS беспочвенны, так как оборудование или решения для борьбы в данным видом атак- преследуют одну лишь цель- не дать уронить конечный сервер, НО отрубают сети они на основе анализа заголовков пакета, то есть используя свои вычислительные мощности, и при действительно мощной атаке, сами становятся причиной отказа в доступе, так как 100% не смогут справится с многомиллионным флудом пакетов, то есть для пользователя интернета ничего не изменится- он точно также не сможет достучаться до любимого блога Алексея Навального и еще тысячи других ресурсов, но в данном случае ляжет уже вся ЖЖшная ферма, прикрытая мощной грудью атидосовского решения.
Тем более, что те люди с которыми “воюет” новый российский мессия Навальный, не решают данный вид проблем какими то DDoS атаками. Какой смысл это делать, если проще закрыть Алексей Навального или прессануть его, нежели договариваться с каким то ботоводами. Как говорится- информационная безопасность и шифрование данных не панацея- доказано IT-менеджером компании ЮКОС.
Я не берусь утверждать, что Алексей Навальный сам заказал DDoS атаку на собственный ресурс, но мне кажется что наиболее вероятная версия, то что он очень своевременно воспользовался моментом, когда некая группа хакеров провела массированную атаку на сам сервис ЖЖ, тем самым продемонстрировав свою крутизну и подняв собственную цену на данный вид услуг. Или как еще более простой вариант, то что при прикручивании каких то очередных плюшек к блог-сервису, админы сами интеллигентно положили платформу, о чем говорит повторный выход из строя сервиса, а чтобы сохранить хорошую мину при плохой игре- поведали миру о злобных хакерах, хотя точно также могли выдать гипотезу, например о “блуждающих токах”. А радостные интернет хомячки, с радостью подхватили брошенную им кость и понесли по всему рунету знамя свободы на которую никто не покушался.
З.Ы/13.04: надыбал в инете интересную статью в которой высказывается предположение о том, что так называемая ddos-атака на сервис жж была последствием попытки прикрутить на сервисе новый механизм кеширования.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность | Ваш отзыв »
