100% защита от DDoS

В последнее время ко мне все чаще обращаются с вопросом: «как защититься от атаки типа отказ в обслуживании?». Ну, так между делом спрашивают. Например, заканчиваешь настройку сервера заказчику и тут он и спрашивает, а как бы это сделать, чтобы сайт типа стоял и не падал. Причем заумное слово DDoS уже выучили, наверное все, и программисты и просто пользователи.

ddoss-attack

Так вот, кому не терпится побыстрее получить ответ и пойти косить бабло дальше, сообщаю:

Ценник на защиту от DDoS начинается в районе от $60000, это железо типа Cisco Guard + Cisco Anomaly Detector. Установлено оно должно быть не абы где, а на магистральной сети. Скорее всего придется поискать услугу хостинга с возможностью аренды подобной защиты и подробно расспросить, как именно будет защищаться ваш сайт когда все начнется. Хостер может потребовать залог за трафик на время DDoS, плюс дополнительная оплата на время DDoS по администрированию оборудования, которое будет пытаться эту DDoS отбивать, некоторые другие условия, например NS сервера должны быть размещены тоже у него.
Далее на расходы по минимуму придется включить еще и выделенный сервер. Вы можете также попробовать построить распределенную и продублированную систему, которая не прекратит обслуживание пользователей даже если некоторые сервера станут недоступны из-за атаки.

За 5$-20$ можно получить только студента с проксей и файрволом IPtables.

Ценник на DDoS конкурирующего сайта от 100$ за сутки или от 200$ если на крупную дичь. Это наши, русскоговорящие злоумышленники, не будем называть их хакерами. Я думаю, что цены они все-таки немного завышают. Однако этот бизнес в мировом масштабе оценивается от $2 млрд. ежегодно. Т.е. это не пионеры-любители я так думаю. Еще одним доказательством расцвета киберпреступности является изменение времени хакерских атак. Раньше это были ночи и выходные. Теперь же атаки идут и днем в будние дни. Другими словами, это стало обычной работой для многих людей, разве что в трудовую книжку эта запись не вносится.

Обратимся к фактам

Первые сообщения о DDoS-атаках появились в 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций-монстров, как Yahoo, eBay, CNN, E-Trade, Amazon и некоторых других. Через год, 7 декабря 2000-го “сюрприз” повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов.

“Наши инженеры никогда еще не видели ничего подобного”, сказал тогда Лори Придди, исполнительный вице-президент GlobalCenter, Yahoo Web-хостинга. И немудрено, тогда сила атаки составила около 1Гбит запросов в секунду. Больше трафика, чем некоторые сайты получают за год!

С тех пор сообщение о DDoS-атаке уже не является сенсацией

Главной опасностью здесь является простота организации и то, что ресурсы злоумышленников являются практически неограниченными, так как атака является распределенной. “Сейчас многие онлайновые казино и сайты с азартными играми платят киберпреступникам до $50000, лишь бы избежать DoS-атаки на свои ресурсы“, – говорит некий Иэн Браун из исследовательской группы Communication Research Network.

По информации Symantec, для некоторых атак хакеры используют сотни и даже тысячи ботов. Такие разрушительные атаки отразить практически невозможно. “Если собирается горстка людей, намеренных выбить вас из сети, защитить себя бывает очень сложно“, – сообщил USA Today Дэйв Коул (Dave Cole), директор отдела Symantec по разработке защитного ПО.

Популярный западный регистратор доменов и один из крупнейших хостеров в интернете, компания GoDaddy, также подвергалась масштабной и продолжительной DoS-атаке (конкретно SYN-наводнению, примерно 70K пакетов в секунду). По словам технического директора GoDaddy Нила Уорнера, атака привела к тому, что около пяти часов в практически неработающем состоянии оказались сервисы хостинга, электронной почты, а также некоторые внутренние ресурсы. Атака началась в середине дня, а возобновили свою работу сервисы лишь к позднему вечеру.

Как это работает? Или пособие для начинающего DDoS’ера.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество обычных, а так же ложных и не очень запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Иногда оказывается, что не хватает пропускной способности канала.
Циничность ситуации заключается в том, что пользователи компьютеров-зомби, с которых направляются запросы, могут даже не подозревать о том, что их машина используется хакерами.

При проведении DDoS-атаки может использоваться трехуровневая архитектура:

управляющая консоль, их может быть несколько,- именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки; главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-”зомби”. На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров; агенты – непосредственно сами “зомбированные” компьютеры, своими запросами атакующие сервер-мишень.

Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими, скомпрометированными в данной ситуации. Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.
Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети.

Как прозомбировать компьютер?

Вот вам реальный пост на одном из форумов:
“Посмотрел, как работают менеджеры фирмы в которую я недавно устроился работать… Мне реально поплохело. Люди 80% рабочего времени проводят в инете. На рабочих местах нет ни каких средств защиты, даже какого-нить бесплатного антивируса. Открывают все что по почте пришло. И т.д. На всю контору 1 почтовый, типа корпоративный ящик. При всем при том огромное значение придается безопасности информации, тем более, что конкуренты не дремлют Такое положение вещей всех как бы устраивает, а все доводы сводятся к двум вещам:

1.нет денег

2.у нас есть человек, который этим занимается.“

Ниже приведен пост пострадавшего на одном из форумов. Все указанные в оригинале имена удалены. Оригинал немного сокращен.

“Мой VPS сервер подвергся атаке. Заранее скажу, это мой первый такой опыт, поэтому много не знал заранее. В результате атаки за несколько часов входящий иностранный трафик составил около 50 ГБ. Естественно, сайт был недоступен некоторое время, потом заработал, я отъехал по делам.

Через некоторое время друзья и клиенты начали звонить с новостью о том, что сайт не работает.

Попросил посмотреть в панели управления – баланс минус 40 уе. Так как разбираться было некогда, положил 70 уе. и спокойно продолжал заниматься делами. Через некоторое время зашел на сайт – не работает, попросил посмотреть снова – баланс минус 250 уе. Здесь я уже обеспокоился, позвонил в поддержку хостера – там мне как и ожидалось ответили, что помочь ничем не можем, нужно писать письмо менеджерам и разбираться с этой проблемой, но заверили, что обязтельно разбирутся и все будет хорошо. Ок, перевел 270 уе. чтобы сайт по крайней мере заработал.

Я написал письмо с просьбой разобраться с причиной списания трафика, а также причиной списания средств в такой большой минус при том, что в договоре ясно написано, что услуги оказываются на авансовой основе. Ответели, что на следующий день разбирутся и свяжутся со мной.
Через 2 дня со мной никто не связался. Позвонил в поддержку, мне прислали в ответ письмо, в котором указали, что был перерасход трафика и деньги списаны правильно. В результате еще некоторого количества звонков меня соеденили со старшим менеджером, который рассказал мне, что от DDOS атак никто не защищен, что это мои проблемы и они не касаются хостера.

На вопрос о списании денег в минус сообщил мне, что их биллинговая система считает с задержкой в несколько часов, поэтому так получилось, но это не проблема их биллинговой системы, а моя проблема, и я должен с этим смириться. У меня второй по дороговизне тарифный план VPS, так что плачу я не мало, в принципе, за услуги хостинга.

В течении полугода размещения сайта всегда отношение трафика было в рамках 1:8, то есть с очень большим запасом, о чем я и сообщил сотруднику хостинга, и предложил просто списать превышение, так как абсолютно понятно, что я не имею никакого отношения к превышению лимита и поделать с этим в принципе ничего не могу. На что получил ответ, который все еще повергает меня в ярость:

“Вы можете сбалансировать Ваш трафик, выкачав, соответственно, 200 гигабайт с сервера за три дня (оставшиеся до конца месяца), тогда Вам не нужно будет платить за него.”

Такое отношение к клиенту просто поражает до глубины души. Абсолютный, необъяснимый маразм. Я поделился этими мыслями с товарищем из хостинга, на что он ответил мне – списать трафик мы не можем, так как ведь мы тоже за него платим. Компания беспокоится о трафике, за который она платит, но в тоже время предлагает мне за три дня сгенерировать трафик за три месяца (в день с моего сайта около 2 ГБ исходящего трафика).

То есть фактически – это абсолютное равнодушие к проблемам клиента, а также желание заработать быстрые деньги любым путем (входящий-исходящий трафик я могу выровнять, но зарубежный-российский входящий трафик выравнять никак не представляется возможным – для этого мне понадобилось бы за три дня скачать около 1 ТБ со своего сервера). То, что могу оставаться клиентом компании при нормальном отношении еще не один год и отдать хостеру намного больше денег за это время – никого не волнует.

Мыслей о продолжении сотрудничества естественно, нет. Такое отвратительное отношение к своим клиентам просто противно.”

Советы с треда:

1.Закажите ддос с российского ботнета, например на какой-то статический среднеразмерный файл, чтоб нагрузка была по минимуму.

2.Выложить новые хитовые фильмы и договориться с варезниками об анонсе, ограничить ip только для русских. По такой же причине я расстался с этим хостером, только сумма была 1К $, пытался ровнять максимум что смог выровнять фильмами на этом форуме (спасибо соконфетникам за помощь в этом) это на 300$ остальные 700$ остались хостеру.

3.Не нравятся соотношения, возьми другой хостинг, без соотношений. За ту капусту, которую ты платишь этому хостингу, в той же Германии получишь 2-а VPS, сделай их зеркалами для надежности и положи большой и красный на этот хостинг. В Европе сейчас практически у всех трафик бесплатный, да и от ддосов будешь мало-мальски защищен.

Рейтинг материала
[Голосов: 2 Рейтинг: 4.5]
18 ноября 2013, 11:27

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *