Как защититься от DDOS атак на форуме - решение проблемы

[POCOMAXA]

На форуме. очень много жалоб, на ддосеров, предложений, как защититься, но не нашел доступного описания, что же представляет из себя DDOS. Основная часть материала взята из Википедии, с моими поправками.

DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён (загрузка процессора на 100%, перегрузка интернет - канала и т.д.). Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, по которым может возникнуть DoS-условие:
Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.

Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).

Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.

Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Наиболее частой проблемой игровых серверов является флуд

Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:

SYN-флуд — при данном виде атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом сервере через короткое время исчерпывается количество открытых сокетов и сервер перестаёт отвечать.
Наиболее используемый в тематике онлайн игр

UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.

ICMP-флуд — то же, но с помощью ICMP-пакетов.

Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба — флудом подобных «больных» запросов. Например, веб-серверы подвержены HTTP-флуду: для выведения сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка>.

Самая крупная DDoS атака была зарегистрирована в октябре 2010 года, её мощность составила 120 гигабит.[источник не указан 77 дней] 120-гигабитную атаку можно сравнить с миллионом пользователей, которые осуществляют флуд различными пакетами.

Обнаружение DoS-атак

Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки (типа флуд) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения можно разделить на несколько больших групп:
сигнатурные — основанные на качественном анализе трафика;
статистические — основанные на количественном анализе трафика;
гибридные — сочетающие в себе достоинства двух предыдущих методов



SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).

Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений, описанной в 1996 году группой CERT[1], согласно которой очередь для таких подключений была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут подключений — достаточно продолжительным (по RFC 1122 — 3 минуты).

ICMP-флуд - ping-флуд (от англ. ping-flood, дословно: наводнение (пакетами) ping) — тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд-атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами, входящими в состав домашних/офисных версий операционных систем).

Суть атаки

ICMP-сообщение (эхо-запрос) обрабатывается сетевым оборудованием третьего (и выше) уровня. В большинстве случаев это оборудование использует программные средства маршрутизации и обработки пакетов. При этом эхо-запрос требует от устройства принятия пакета, его обработки и формирования/отправки пакета с ответом на запрос. Объём выполняемых действий при этом многократно превышает объём работы по маршрутизации обычного пакета. Размер ICMP-запроса обычно небольшой (около 64 байт, при максимальном размере пакета IP 64 кбайт). В результате, при формальном сохранении небольшого трафика, возникает перегрузка по количеству пакетов, и устройство начинает пропускать остальные пакеты (по другим интерфейсам или протоколам), что и является целью атаки.

Распределённая атака

При распределённой атаке (с нескольких тысяч узлов), ICMP-запросы поступают с обычной скоростью тестирования (около 1 пакета в секунду с узла), но одновременно с нескольких тысяч компьютеров. В этом случае итоговая нагрузка на устройство, являющееся целью атаки, может достигать пропускной способности канала (и заведомо превосходить скорость обработки пакетов устройством).

В апреле 2007 года сайты правительства Эстонии подверглись распределённой ICMP-атаке (в связи с событиями вокруг бронзового солдата). В качестве «орудия» атаки использовалась диагностическая утилита ping, отправляющая пакет объёмом 20000 байт на сайт www.riik.ee. По сообщениям СМИ атака была успешной

Противодействие атаке

Для противодействия атаке (помимо блокирования трафика с отдельных узлов и сетей) возможны следующие меры:
отключение ответов на ICMP-запросы (отключение соответствующих служб или предотвращение отклика на определенный тип сообщения) на целевой системе;
Понижение приоритета обработки ICMP-сообщений (при этом весь остальной трафик обрабатывается в обычном порядке, а ICMP-запросы обрабатываются по остаточному принципу, в случае перегрузки ICMP-сообщениями часть из них игнорируется).
отбрасывание или фильтрация ICMP-трафика средствами межсетевого экрана.
увеличение очереди обрабатываемых подключений

Теперь немного расскажу о действенных методах защиты от DDOS атак, для начала, затрону тему профессиональной защиты.

Вариант 1

Как по мне лучшая, на сегодняшний день профессиональная защита это Kaspersky DDoS Prevention -

Спойлер

«Лаборатория Касперского» объявляет о запуске в промышленную эксплуатацию на территории Российской Федерации нового сервиса, предназначенного для защиты Интернет-ресурсов предприятий от распределенных хакерских атак, направленных на отказ в обслуживании — Kaspersky DDoS Prevention (KDP).

Сервис является мощной распределенной системой защиты, способной противостоять атакам любой сложности. Kaspersky DDoS Prevention предоставляет клиентам надежную защиту их интернет-ресурсов.

DDoS-атака — поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который «забивается» огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкурентной борьбы, прямого шантажа компаний, а также для отвлечения внимания системных администраторов от иных противоправных действий.

К сожалению, жертвой DDOS-атак сегодня может стать любая организация. Для оперативного восстановления работоспособности некоторые компании скорее предпочтут заплатить выкуп, нежели обратятся за помощью в правоохранительные органы. Ведь для крупных и средних компаний недоступность ресурсов порой означает если не остановку всего бизнеса, то значительные финансовые потери.

«Лаборатория Касперского» предлагает оптимальное решение проблемы — уникальный сервис Kaspersky DDoS Prevention, защищающий предприятия от DDoS-атак. Новый сервис предусматривает линейку тарифных планов; компании разных размеров смогут подобрать оптимальный тариф и срок использования сервиса KDP — от трех месяцев до года.
Преимущества Kaspersky DDoS Prevention
Подключить сервис могут владельцы любых Интернет-ресурсов, независимо от того, услугами каких Интернет-провайдеров они пользуются;
Благодаря ведению персональной статистики, KDP обеспечивает индивидуальную защиту для каждого ресурса;
К сервису Kaspersky DDoS Prevention можно подключиться как заблаговременно, так и в случае уже начавшейся атаки;
Компоненты KDP распределены по сети Интернет и подключены по высокоскоростным каналам связи, что исключает их перегрузку в ходе отражения атаки;
Значительный опыт «Лаборатории Касперского» в борьбе с онлайн-угрозами гарантирует надежность нового сервиса. Эксперты компании обладают актуальной информацией о методах, используемых злоумышленниками, и могут эффективно им противостоять.

Более подробную информацию о Kaspersky DDoS Prevention можно получить по адресу. Для того, чтобы воспользоваться сервисом KDP, можно обратиться в «Лабораторию Касперского» по адресу [email protected].

[свернуть]

Вариант 2: Хостинг с профессиональным анти-ддосом, я выделил для себя 3 наиболее реальных хостинга, которые, по отзывам профессионалов действительно защищают от DDOSa

1. хостинг 1
2. Хостинг 2
3. На мой взгляд, самый оптимальный хостинг

Посмотрев на цены, тех, кто профессионально занимается защитами от ддос-атак, начинаешь понимать, как глупо звучат предложения Анти-ддос хостинга за 30$. Защита от ддос - атак, это целый комплекс оборудования, имеются ввиду профессиональные методы защиты.
В дальнейшем я дополню материал, как защитить сервер и сайт от ддос атак, разных типов, своими силами.