На днях, один из сайтов поддерживаемых мной был подвержен DDoS атаке. По скольку ранее я с подобным не сталкивался, настал и для меня момент выяснить что такое DDoS атака, и как с ней бороться.
DoS-атака (от англ. Denial of Service, отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам(серверами), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).
В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.
Виды DoS-атак
Существуют различные причины, по которым может возникнуть DoS-условие:
- Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.
- Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).
- Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.
- Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.
Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).
Обнаружение DoS-атак
Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки (типа флуд) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.
Методы обнаружения DDoS атак можно разделить на несколько больших групп:
- сигнатурные — основанные на качественном анализе трафика;
- статистические — основанные на количественном анализе трафика;
- гибридные — сочетающие в себе достоинства двух предыдущих методов.
Защита от DoS-атак
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
- Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
- Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
- Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
- Наращивание ресурсов.
- Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.
- Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.
- Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера.
h++p://ru.wikipedia.org/wiki/DDoS
Честно говоря, многое из того, что Вы пишете не совсем так… Ну да ладно :)
К сожалению (а может быть и к лучшему) я склонен больше доверять материалам Википедии чем подобным комментариям, больше похожим на спам…
Макс, этот пост на 99% взять с Wiki а может и на все 100 )) Именно по этому внизу статьи и есть сцилка на ru.wiki.org
Прежде чем говорить зайди на Вики и посмотри, думаю сходство увидишь но всего у нескольких абзацев… текстовую «ссылку» я поставил сам для себя…
Пожалуйста помогите мне понять, мой програмист прислал мне «отчет» в качестве отчета дос атак на мой сайт. Я поискала в поисковике и наткнулась на подобные, почти такие же «отчеты». Может ли это являтся отчетом программы зафиксировавший доз атаки? Смущает что там список рассортирован по странам. Точно такой же мне предоставили как отчет о доз атаке на мой конкретный сайт.
h++p://stopddos.ru/current/
h++p://stopddos.ru/ru/report-2011-1/
h++p://stopddos.ru/ura.ru_current/
Спасибо.
Ольга.
Да, подобный отчет может быть результатом работы программы…
ДДоС атака производится с «зараженных» компьютеров которые могут находиться где угодно, по этому в сртировке по странам нет ничего странного. Точно также не будет удивительным если отчеты о ДДоС атаках на разные сайты будут похожими…
С Максом согласен описание есть ддос атак они класифированы а значит похожи а програмист есть не только у вас )