На днях, один из сайтов поддерживаемых мной был подвержен DDoS атаке. По скольку ранее я с подобным не сталкивался, настал и для меня момент выяснить что такое DDoS атака, и как с ней бороться.

DoS-атака (от англ. Denial of Service, отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам(серверами), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, по которым может возникнуть DoS-условие:

  • Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.
  • Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).
  • Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.
  • Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Обнаружение DoS-атак

Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки (типа флуд) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DDoS атак можно разделить на несколько больших групп:

  • сигнатурные — основанные на качественном анализе трафика;
  • статистические — основанные на количественном анализе трафика;
  • гибридные — сочетающие в себе достоинства двух предыдущих методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
  • Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
  • Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
  • Наращивание ресурсов.
  • Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера.

h++p://ru.wikipedia.org/wiki/DDoS

Категория: Интернет=Деньги

Комментарии к записи “DDoS атака — что это такое и как с этим бороться.”

  1. bioXpressMusic | 12.10.2009

    Честно говоря, многое из того, что Вы пишете не совсем так… Ну да ладно :)

  2. Макс | 12.10.2009

    К сожалению (а может быть и к лучшему) я склонен больше доверять материалам Википедии чем подобным комментариям, больше похожим на спам…

  3. User | 4.03.2010

    Макс, этот пост на 99% взять с Wiki а может и на все 100 )) Именно по этому внизу статьи и есть сцилка на ru.wiki.org

  4. Макс | 4.03.2010

    Прежде чем говорить зайди на Вики и посмотри, думаю сходство увидишь но всего у нескольких абзацев… текстовую «ссылку» я поставил сам для себя…

  5. Olga | 1.09.2011

    Пожалуйста помогите мне понять, мой програмист прислал мне «отчет» в качестве отчета дос атак на мой сайт. Я поискала в поисковике и наткнулась на подобные, почти такие же «отчеты». Может ли это являтся отчетом программы зафиксировавший доз атаки? Смущает что там список рассортирован по странам. Точно такой же мне предоставили как отчет о доз атаке на мой конкретный сайт.
    h++p://stopddos.ru/current/
    h++p://stopddos.ru/ru/report-2011-1/
    h++p://stopddos.ru/ura.ru_current/
    Спасибо.
    Ольга.

  6. Макс | 1.09.2011

    Да, подобный отчет может быть результатом работы программы…
    ДДоС атака производится с «зараженных» компьютеров которые могут находиться где угодно, по этому в сртировке по странам нет ничего странного. Точно также не будет удивительным если отчеты о ДДоС атаках на разные сайты будут похожими…

  7. NoName | 12.10.2013

    С Максом согласен описание есть ддос атак они класифированы а значит похожи а програмист есть не только у вас )

Оставьте свой комментарий