ВНИМАНИЕ!
Наша конференция посвящена космической тематике и компьютерным играм.
Политические вопросы и происходящие в мире события в данный момент на нашем сайте не обсуждаются!
|
| » DoS (DDoS) | страница 1 |
|
|
|
|
Железный канал: «DoS (DDoS)» |
|
|
|
Jon
 670 EGP
    
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
  |
|
Тема вот какая, это не тот DOS который "Disk Operating System", а тот DoS который "Denial of Service". Ну и естественно его проявление как DDoS "Distributed Denial of Service"
Я конечно понимаю, что пошел я на фик, но тему очень хочется 
Сейчас обьясню почему.
Немного предистории...
Некоторое время назад (может пол года, а может год) сидим с товарищем в довольно тихом пивняке. Заведение хоть и в спальном районе, но с претензиями на элитность. Ну там столы и лавки дубовые, стены камнем выложены, за стойкой камин... В общем с претензией на паб. Правда пиво наше и в основном бутылочное.
Закуска тоже "наша". Ну там чипсы всякие, горбуша-Польская, пицца-ужос, куриные колбаски-родом из египта... Бычьки и тарань местные, но только из под полы и исключительно для своих. Всё это процентов на 20 дороже, чем в близлежащих заведениях "с музыкой". Говоря по простому, красота да и только. Сидим, пьём, разговариваем на отвлечённые от компьютеров темы. В общем почти идилия и мы почти счастливы.
Как вдруг.
Двери ногой на распашку, вваливает штук 20 тинэйджеров... Действуют оперативно. Парочка к стойке, и ещё пяток к музыкальному автомату. В автомат насыпается куча мелочи и из него начинает звучать что то ужасное. Оставшиеся не при делах, в это время пытаются сдвинуть два дубовых столика (на лавки они чхать хотели)...
К нам (и остальным тихим посетителям) подбегают официантки. С эффектом ревербератора я слышу - Вы простите, они у нас 2 столика заказали на час, мы всё уладим.
Оказывается это был практически святой день. А именно 13 лет создания какойто местной домовой сетки... А эти посетители так сказать элита. Ну во всяком случае, туда вроде как не принимали тех, кто меньше чем как год подключен, или тех кому больше тридцати. (правда это выяснилось уже потом, из их разговоров)
Результат - в течении часа мы с товарищем не слышали друг друга, а вынуждены были слушать их (они успешно перекрикивали музыкальный автомат, который зарядили)
Много было "подслушано", периодически проскакивали перлы и перлины  Но в душу мне запало всего несколько моментов.
Автором одного из них является некий неизвестный мне кулЬ-хацкер, явно пользующийся авторитетом у собравшейся братии.
Попытаюсь процитировать.
-Ай, всё это фигня, все эти ваши пинги шминги... Я в вашу сетку перешел в надежде избавится от DDoS. (перешел он я так понимаю из одной из конкурирующих домовых сеток)
-А у вас что? Да таже фигня! меня нашли через пол дня! И опять DDoSят...
После этого заявления Юзверю почёт и уважуха, с ним желает стукнуться бокалами половина коммунити. Ещё бы, его же DDoSят... держись брат...
Парочка робких смеет предположить, что что то здесь не так. Но их быстро давят. А один громкий, официально заявляет, что если кого DDoSят, то он лично знает Одмина! И тот ему безоговорочно поможет. Ура товарищи!
На этой торжественно ноте, официантка сообщает им что осталось 10 минут...
...слава Богу.
Так вот, о чём это я? А вспомнил, такой кулЬхацкерский DoS нас категорически не интересует, вот Интересует DoS реальный.
Мне очень стыдно признавать, но к счастью мои ресурсы ещё ни разу не были подвергнуты настоящему DDoS. (короче по понятиям того собрания в пивняке, я ламер раз меня не досят) ну или как то так
*******************************************
То была присказка, а теперь собственно тема, если вы не против конечно.
Я довольно долго думал, как правильно сформулировать о чём эта тема. В конце концов пришел к выводу, что сформулировать чётко и сразу я этого не могу 
Попытаюсь описать ситуацию в свободной форме.
Итак.
С недавних пор у меня возникла необходимость защиты некоторых ресурсов от DDoS. Необходимость эта к счастью пока скорее надумана чем реальна. Но так сказать хотелось бы заготовить сани летом, а не стоять в лыжах на асфальте.
Говорю сразу, интересует DDoS "промышленного уровня", а не защита от куль-хацкеров с ботнетом в 20 зомби.
Попытки напрячь гоогль (и других) результатов не дали. Получаю только картинки с облочками и стрелочками. А так же предложения заплатить 500-50к в месяц за защиту, или дать рута и мне всё настроят типа... (блин, когдато я такое уже видел, давно, как только ASку получил)
Читать тоже нечего, одна реклама. А мне хочется понять и разобраться самому.
В общем ребята, у меня есть определённые наработки в этом направлении, но опасаюсь, что я иду не в ту сторону Поэтому выкладывать свои наработки я не буду, а попрошу для начала считать меня полным лохом. Каждое мнение крайне важно на самом деле. А если кто по делу и глупость ляпнет, так я сто раз так делал 
Я искренне прошу помощи.
Задача.
Будем защищать от DDoS
1. никсовые веб-серверы с реальными IP (возможно что то ещё, а не только апач),
2. никсовые gateway с реальными IP
3 Пожалуй самое главное, виндозные И никсовые машины находящиеся за этими никсовыми gateway.
Ok?
Пояснения.
1. Если кто в теме дайте реальную литературу по DDoS.
2. Ещё интересен вопрос, вот есть же сканеры безопасности. А есть ли что то подобное, что бы я мог имитировать подобную ситуацию в рамках своей локалки с какой либо DDoS атакой на ресурс расположенный в этой же локалке?
3. Аудит не интересует (я уже нажрался предложений в стиле даёте 500 баксов и рута. А потом мы вам скажем хорошо у вас или нет).
4. Интересует - поднять тестовый ресурс и "натравить" на него того кто реально в теме. Ресурс будет точно мой, если нужно предоставлю документы и подпишусь под тем что сам заказываю эти действия, за что собственно и оплачиваю услуги.
Только вот опять же. Я готов оплатить услуги Гуру, который мне покажет, а потом меня научит, а не мошенника.
В общем пока как то так. Ну как вам тема? обсудим, спасём Jona от DDoSa?
ps. купить ботнет не предлагать. Это не в туда.
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов.
Последний раз редактировалось: Мамонт (00:30 11-05-2014), всего редактировалось 2 раз(а) |
|
|
|
Alex A. Florov
970 EGP
  
Рейтинг канала: 5(187)
Репутация: 220
Сообщения: 5662
Откуда: [Харьков,UA]
Зарегистрирован: 24.03.2003
|
|
Когда я озадачился вопросами безопасности мне скинули покурить этот линк - http://habrahabr.ru/blogs/sysadm/119666/#habracut
добавлено спустя 26 секунд:
З.Ы. Я его таки не осилил
_________________
-= Errare humanum est... =-
Последний раз редактировалось: Alex A. Florov (20:15 23-05-2011), всего редактировалось 1 раз |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Alex A. Florov : |
|
Когда я озадачился вопросами безопасности мне скинули покурить этот линк
|
2Alex A. Florov:
Ай, это не то. Ну в смысле с параноей мы все рядом, но в данном случае вопрос не о безопасности, а именно о DDoS ведь
В принцип вопрос можно задать по другому. Научите меня правильно ДДоСить (тем самым вы научите меня правильно от него защищаться)
И ещё на всякий случай уточняю.
| Jon : |
|
3 Пожалуй самое главное, виндозные И никсовые машины находящиеся за этими никсовыми gateway.
|
Эти самые виндозные И никсовые машины являются
1nix - gateway (за которым мы всех спасаем)
2nix- webserver+кой чего помелочам.
3win-шоб он здох сцука... порты 80, 443
Правда это не отменяет варианта защиты просто сервера с апачем на внешнем адресе. Даже более того, это тоже важно
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
Снуч
941 EGP
 
Рейтинг канала: 5(100)
Репутация: 232
Сообщения: 2696
Откуда: Ракслатенон
Зарегистрирован: 09.08.2005
|
|
| Jon : |
|
тем самым вы научите меня правильно от него защищаться
|
И где корреляция? Умение ломать не учит умению строить, потому что методы взлома опираются на ошибки и на несовершенство, а методы защиты - на конкретику: множества не афинны.
|
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Снуч : |
|
И где корреляция? Умение ломать не учит умению строить, потому что методы взлома опираются на ошибки и на несовершенство, а методы защиты - на конкретику: множества не афинны.
|
2Снуч:
Убедил
Возвращаемся к первом посту в этой теме и пляшем от него, если никто не против.
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
Мамонт
1818 EGP
        
Рейтинг канала: 7(671)
Репутация: 468
Сообщения: 9083
Откуда: Кайнозойская эра
Зарегистрирован: 29.09.2003
 |
|
Если не изменяет память, то это написанная программа которая занимается попытками пробиться. Забрасывает пакетами, очень быстро, тем самым забивает канал интернета и влияет на загрузку объекта, в попытках предотвратить атаки. В итоге по смыслу объект зависает, перезагружается (редко) обрывает соединения (куда более правильно). В частности вроде бы и все.
Но у меня нет практики не как в атаках не в защите от подобного, только скудная теория.
добавлено спустя 2 минуты:
Знаю только, что например всякие там KIS ESET действуют по принципу, если начинается ддос атака, они прерывают пересылку всего с этого ай пи или на данном порту. Если же вроде совсем будет труба, могут вроде бы и разорвать соединение.
_________________
Misereatur nostri omnipotens Deus et, dimissis peccatis nostris, perducat nos ad vitam aeternam. Amen.
Последний раз редактировалось: Мамонт (21:57 23-05-2011), всего редактировалось 1 раз |
|
|
|
VooDoo
674 EGP
Рейтинг канала: 4(53)
Репутация: 73
Сообщения: 3463
Откуда: Saint-Petersburg, Russia
Зарегистрирован: 07.02.2001
|
|
www.combats.com
их часто ддосят, есть отработаные навыки по защите, но врядли поделятся инфой. вообще защита от ддос решается на уровне оператора, у нас по крайней мере у нескольких есть это.
|
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| VooDoo : |
|
вообще защита от ддос решается на уровне оператора
|
Упрощаем ситуацию и возвращаемся к теме. У меня нет оператора.
как в этом случае мне защищаться?
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов.
Последний раз редактировалось: Jon (00:11 24-05-2011), всего редактировалось 2 раз(а) |
|
|
|
istorik
405 EGP
Рейтинг канала: 4(65)
Репутация: 75
Сообщения: 1057
Откуда: Андромеда
Зарегистрирован: 18.02.2010
|
|
| Jon : |
|
как в этом случае мне защищаться?
|
Никак.
Суть атаки - создать к цели такой поток информации, что он будет превышать:
либо канал цели в инет (как результат, нормальный пакет будет идти к тебе с таким пингом что будет считаться утерянным),
либо вычислительную мощность цели (сервак не будет успевать обрабатывать такое кол-во пришедших пакетов, ведь даже брандмауер требует ресурсов, так что он тоже не спасает)
В итоге пинг к серверу становится заоблачным.
Защита? Ну от маленького бот-нета еще можно настроить фильтры, но против бот-нета из миллиона машин ничего не поможет - тут уже должен фильтровать провайдер.
_________________
Я Вам сейчас расскажу историю... |
|
|
|
Voha
 930 EGP
   
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
| istorik : |
| Jon : |
|
как в этом случае мне защищаться?
|
Никак.
Суть атаки - создать к цели такой поток информации, что он будет превышать:
либо канал цели в инет (как результат, нормальный пакет будет идти к тебе с таким пингом что будет считаться утерянным),
либо вычислительную мощность цели (сервак не будет успевать обрабатывать такое кол-во пришедших пакетов, ведь даже брандмауер требует ресурсов, так что он тоже не спасает)
В итоге пинг к серверу становится заоблачным.
Защита? Ну от маленького бот-нета еще можно настроить фильтры, но против бот-нета из миллиона машин ничего не поможет - тут уже должен фильтровать провайдер.
|
Чушь, бред и провокация, которая от банального недостатка знаний. Методы защиты есть всегда.
Вообще защита от атак контент-ресурса - задачка непростая и интересная. И требует понимания процессов и опыта. Нас, скажем, атакуют регулярно. Несколько раз в месяц
Многобуоф писать не буду, долго очень. Если есть реальная необходимость - выдам в личку телефон или скайп, поговорю голосом
_________________
Time will show... |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Voha : |
|
Многобуоф писать не буду, долго очень. Если есть реальная необходимость - выдам в личку телефон или скайп, поговорю голосом
|
2Voha:
Да понятное дело, что букаф очень много получится. Особенно учитывая то, что это не реальная атака определённого типа от которой нужно защитится прямо сейчас, а так сказать вопрос в целом
За предложение выдать телефон спасибо Но я пожалую пока не буду злоупотреблять твоей добротой и тратить твоё время, а лучше оставлю этот вариант про запас. Вдруг меня и правда начнут досить и такая необходимость станет действительно реальной
2All:
Ладно, раз читать нечего, а координат серьёзных спамеров, тьфу тоесть ддосеров никто не знает...
На днях соберусь с мыслями и опишу своё понимание происходящего. Ну а вы меня поправите если чего не так. В общем в результате куда то надеюсь вырулим
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
Когда станут - уже поздно Для затравки:
Нужно различать атаки на канальную емкость и на отказ в работе контент-ресурса. Соответственно нужно аппаратно разделять точки, где происходит борьба с первым и вторым.
Т.е. ping -f -s 8900 www.myserver.ru - это на самом деле не попытка сломать функционал вебсервера. Соответственно его нужно зафильтровать до серверной машины, чтоб ее процессор не страдал от попыток сгенерить icmp.
Вывод из этого: через отдельный сервер с фаерволом до контент-ресурса проходит только трафик нужных протоколов и портов. В общем случае можно туда пропустить icmp и udp по высоким портам для проверок доступности и работы трейсов, но на фаерволе нужно иметь ручку, которая одним тыком этот трафик тоже обрезает.
White и black-listing: у тебя есть логи за Н лет. Оттуда извлекаются все реальные пользователи, и сети их AS дают тебе белый лист. Он лежить готовый на фаерволе(!), и при атаке на контент (например - син-флуд) легким движением кнопки блокируется все, кроме белого списка. Потеряешь единицы процентов пользователей (и то не факт), но сервер практически не пострадает. Распределенная атака на 70-90% идет из азии, африки, южной америки и южной европы. Это пример, когда фильтр на атаку типа "отказ в обслуживании" не использует ресурсы прибора, против которого идет атака. Это хорошая и правильная идея
Дополнительно можно генерировать листы по гео-принадлежности - Украина, Россия, etc.
Развитие хорошей и правильной идеи состоит в организации фильтрации выше 3-го уровня (по содержимому запросов, например) опять же на отдельном приборе перед контент-сервисом. Какая-нибудь забавная прокся типа nginx-а с возможностью быстренько вляпать фильтры по реферреру, урлу и прочим запчастям http. Плюс син-прокси там же.
Канальные штуки. Если ты не играешь на уровне "сумма моих транзитов и пиров больше, чем их суммарные внешние емкости" - это беда. В теории твои каналы могут забить. Поэтому подстилаешь соломку заранее Договариваешься со своими пирами/транзитами о системах комьюнити. которая позволит тебе опять же легким движением кнопки сказать "не ре-анонсируй меня в ASXXXX" или не анонсируй меня в свои транзиты, а анонсируй только в пиры. Частичной потерей связности отсекаешь всяких далеких азиатов и америкосов, оставляя только какой-нить ua-ix.
Частичная деградация связности - плата за то, что основные клиенты продолжают тебя видеть.
Присутствие на зарубежных (европа, америка, etc) точках обмена своей AS позволяет прямо там (чем дальше от собственного ядра, тем лучше) отправить флуд (кроме опять же белого списка) тупо в блэкхол.
Настроек стека против исчерпания ресурсов (сокет-реюз, таймауты, память etc) найдешь в интернете. Это то самое, что делают "500 баксов и рута".
Фаервол - с минимальным количеством правил. strcmp - очень дорогая по процессору операция. Поэтому не линейная простыня правил с последовательным просмотром, а дерево по типам-назначению - десятком правил в начале разбросал трафик по веткам, в ветках зафильтровал более детально.
Детект атаки - отдельная песня. Автоматический анализ по геолокации, структуре типов пакетов и протоколов с автокорреляторами за прошлый час/день/неделю - для одного-двух-трех человек за конечное время неподъемная задача. Но минимальную статистику по своей системе (трафик, счетчик пакетов, udp/tcp/icmp каунты, количество запросов в единицу времени к контент-серверам) рисовать с дискретностью в 3-5 минут необходимо для спокойной жизни.
Если найдешь возможность пообщаться вот с этими ребятами - http://www.arbornetworks.com/ - будет крайне полезно. У них реализовано в железе и софте очень многое из того. что у нас есть в головах Стоит, естетсно, как подводная лодка...
_________________
Time will show... |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
Свершилось.
Страшный сон моего клиента стал реальностью и превратился в мой страшный сон. Один из его ресурсов подвергся DDoS атаке промышленного уровня.
Какое сегодня число и день недели не знаю, месяц вроде был октябрь. А год то какой?
Сейчас уже всё наладилось. Сижу, пью пиво и анализирую эту двухнедельную историю.
А ещё можете меня поздравить, у меня теперь ярко выраженная седина на висках.
Хотя ярким красавцем я никогда не был. Выходит именно этот факт в моей жизни ничего особо не меняет
Ребята, я просто не могу не поделиться. Сейчас мне действительно нужно, что бы меня выслушали люди которые понимают о чём я говорю.
Ну да по порядку.
Для тех кто не в курсе немного проясню предисторию.
Около года назад, сбылась мечта идиота. А именно, мне наконец удалось заключить договор с одним весьма жирным юридическим лицом на предмет эксклюзивного удовлетворения его "интернет потребностей". Сейчас доходы полученные от обслуживания этого клиента составляют порядка 70% доходов моего предприятия. И по сути кормят всё остальное.
В общем думаю, вполне понятно насколько важен для меня этот клиент.
Отношения с ним у меня простые и понятные. А именно, он платит деньги за то, что бы у него всегда всё работало. Больше его ничего не интересует. То есть всё оборудование принадлежит мне (или арендовано мною), этот принцип был заложен изначально.
Потребностей у заказчика очень много, и это далеко не хостинг сайтов. Хотя есть конечно и такое дело, но оно составляет не более 30% от общего количества выполняемых задач.
Теперь по сути.
Атаке подверглись некоторые из контент ресурсов, а именно один из ключевых сайтов и форумов клиента.
То, что атака заказная нет ни малейшего сомнения.
Этот сайт и форум расположены в "точке присутствия" в одном из авторитетнийших датацентров Цюриха.
Представляет она из себя вот что. В этом ДЦ арендована стойка, в которой торчит 6 дедиков (Xeon 3440 от IBM).
Один из этих дедиков это сайт, а ещё один это форум. Ну и там дофига ещё чего есть, уж поверьте оставшиеся четыре дедика тоже не просто так лампочками мигают.
Всё это добро имеет внутренние IP адреса и спрятано за ещё одним (седьмым) значительно более мощным по процу и сетевухам сервером. Сайт натится на один внешний адрес, а форум на другой. Причём эти адреса совсем не рядом. Но актаке подверглись именно они и больше никто.
Кроме того прослеживается как злоумышленник искал исполнителя, разумеется подешевле для начала.
В общем пару недель назад сильно подскочили показатели повышенного интереса со стороны всяких искателей уязвимостей и тупо брутфорсеров. После чего последовал лёгкий синфлуд. Честно говоря я не придал этому какого либо значения поскольку мои ресурсы были способны противостоять в десятки раз более серьёзной атаке.
В последующие несколько дней попытки сканирования продолжались но атак не было, а потом вероятно не найдя ничего лучшего, меня начали прикладываь по http.
Первая попытка была вялой.
Вторая попытка (вероятно злоумышленник обратился к другому исполнителю) была уже довольно серьёзной. Очько у меня зарепело но с атакой я справлялся на уровне задейсвтования своих ресурсов 60%.
Кстати хлопаю в ладоши снорту. Как то так получилось, что раньше я относился к нему предвзято, а на деле оказалось, что против всяких уязвителей, брутфорсеров и ДиДоСеров аматорского уровня ничего лучше нет. Снорт не просто оказался эффективным средством, а и доказал свою работоспособность в экстримальных условиях. То есть он оказался как минимум в два раза более эффективным чем обещалось разработчиками (и в пять раз, чем от него ожидалось)
В общем в таком режиме постоянной борьбы я прожил полторы недели.
А вот в пятницу началась полная жопа. Около десяти вечера произошла пятиминутная демонстрация силы. Я так понимаю исполнитель демонстрировал заказчику свои возможности.
Как и положено в таких случаях, саппорт сайта разумеется эти пять минут провтыкал в "танчиках", и не заметил, что сайт лежит. Ну пожаловалось пару человек, так что с них взять, они же вечно чем то недовольны, а тут бой...
Ну а в полночь меня приложили не по детски. В общем можете меня поздравить, теперь я на собственной шкуре знаю, что такое "промышленный" DDoS контент ресурса. Честно говоря никому не желаю получить такой же опыт не в лабораторных условиях.
Вообще если забыть о том, что атаковали мои ресурсы, то с технической точки зрения аппаратные возможности и алгоритмы атакующего вызывают интерес и уважение.
Я конечно могу судить только по косвенным признакам, поскольку в этой истории защищался.
Но с моей стороны выглядело это следующим образом.
Для начала ботнет просто грандиозных размеров, который в отличии от кулЬхаЦкерских творений к тому же находится на очень коротком поводке у хозяина. Кроме того, я так понимаю, что боты общаются между собой (ну или скорее с центральным сервером атакующего).
В общем выглядит это так.
Бот вроде как не совершает никаких противоправных действий, он всего лишь просит стартовую страницу сайта. Причём делает это всего 10-20 раз и с таким таймаутом на который физически способен живой человек тупо жмущий F5.
Собственно на этом и всё. После того как бот произвёл эти действия, он с чувством выполненного долга пропадает на пол часа - час.
Фигня заключается в том, что толпа этих ботов исчисляется цифрами с неприличным количеством нулей.
Но это не всё. Вторая, ещё более неприятная фигня это то, что по всей видимости ботнет реально мониторит свою эффективность. Во всяком случае, бан одного из них приводит к тому, что на место забаненого тут же встают два новых. То есть получается, что при применении успешных контермер с моей стороны, активность ботнета тут же начинает расти в прогрессии близкой к геометрической. И в конце концов довольно быстро опять добивается "парализации" сайта, после чего держит свою активность на необходимом уровне.
Обратный эффект можно наблюдать, если перестать бороться. В этом случае интенсивность атаки начинает быстро ослабевать и останавливается на уровне достаточном для достижения своей цели (парализация сайта)
Правда интересно мне это всё только теперь. Тогда мне было не до интересностей, а на осознание этой фичи атакующего у меня ушли почти сутки.
В общем после того как наконец стали понятны масштабы возможностей атакующего пришло осознание, что прийдётся покупать Драгонару. Ну а пока разворачивалась тяжелая артилеря, боролся как мог.
Хочу выразить огромнейший респект Вохе!
Его предидущий пост в этой теме, в своё время убедил меня всё таки потратится и сделать то, что казалось не обязательным. Реализовал я конечно далеко не всё, и не всегда так как говорилось. Но без этих заблаговременных мер был бы мне сейчас кирдык. А так, хоть и с переменным успехом но всё же удавалось держать ситуацию хоть под каким то контролем. Скажем так, раз в пол часа удавалось вывести сайт в онлайн на 15 минут. Это конечно не весть какое достижение, но оно слегка разрядило напряженность среди пользователей. А совет заюзать Whitelist из логов за Н лет, оказался так вообще безценным, позволив практически нормализовать ситуацию, и в уже относительно спокойной обстановке вводить драгонару в эксплуатацию.
Кстати сила атакующего превзошла мои даже самые ужасные предположения. В своём пике она достигла 70% уровня от того максимума который заявлен в документации драгонары и который она вообще способна отразить. И продержалась на таком уровне ещё полтора суток, после чего прекратилась, как будто её рубильником выключили.
Хотя конечно при желании наверное, даже наверняка, можно построить какой нить анти-ддос клайстер. Правда боюсь на фоне него, подводная лодка покажется бесплатной
А, ещё вот чего. В результате этих событий мною открыт новый способ защиты сайта от ддоса. Разумеется просьба отнестись с юмором В общем на определённом этапе всей этой борьбы, одно из юных дарований проходящих стажеровку, высказало мысль. Мол IE это плохо, он ддоса всегда боялсО. Юзали бы Оперу, не былоб проблем... Ну идиот, правда?
А вот нифига! При должном развитии идеи, саппорту не составило труда раструбить на всех смежных сайтах и донести до сознания обращающихся непосредственно в службу поддержки следующую мысль. Мол нажмите в Опере кнопку турбо и будет Вам счастье.
Разумеется я открыл порт 80 для сетей из которых в этом режиме ходит Опера.
Сейчас мне от этого смешно, но тогда оно отчасти помогло. Да и в той ситуации все способы были хороши
В общем вот такая у меня приключилася фигня. Всем спасибо, кто дочитал до конца
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
Мамонт
1818 EGP
Рейтинг канала: 7(671)
Репутация: 468
Сообщения: 9083
Откуда: Кайнозойская эра
Зарегистрирован: 29.09.2003
|
|
Jon и Voha, спасибо, было интересно и познавательно, надеюсь в жизни не пригодиться столкнуться с подобной ситуацией. Но если придется, то будет больше понимания.
добавлено спустя 23 минуты:
| overclockers.ru : |
Недавно выпущенный инструмент для DoS-атак может довольно легко перегружать серверы, использующие протокол SSL. Для успешной атаки достаточно средней мощности лэптопа, подключённого к интернету через стандартное соединение DSL. Авторы этой программы - хакеры из группы The Hacker's Choice - назвали её THC-SSL-DOS.
"Мы надеемся, что сомнительная безопасность SSL не останется незамеченной. [Программная] индустрия должна вмешаться и решить проблему для того, чтобы граждане снова оказались в безопасности", - заявил один из членов THC.
Для установления SSL-соединения серверу требуется произвести примерно в 15 раз больше вычислений, чем клиенту. Этим и пользуется THC-SSL-DOS. Кроме того, программа использует уязвимость в SSL, позволяющую спровоцировать тысячи повторных SSL-согласований при помощи одного TCP-соединения. Стоит отметить, что даже если функция повторного SSL-согласования на сервере отключена, атакующие всё равно смогут успешно воспользоваться THC-SSL-DOS. Однако в этом случае потребуется нечто более мощное, чем лэптоп.
"Оно всё равно работает, даже если повторное SSL-согласование не поддерживается, но требует некоторых модификаций и большего количества ботов перед тем, как эффект [от атаки] станет заметен, - отмечают хакеры. - Атака на серверные фермы большего размера, использующие балансировщики нагрузки SSL, потребовала 20 лэптопов средней мощности и ширину полосы около 120 кбит/с".
Это не первый случай, при котором повторное SSL-согласование подвергло серверы опасности. В ноябре 2009 года выпускник одного из турецких университетов разработал атаку "человек посередине", использующую данную уязвимость в SSL, для кражи аутентификационных данных учётных записей Твиттера, передаваемых через защищённое соединение.
|
_________________
Misereatur nostri omnipotens Deus et, dimissis peccatis nostris, perducat nos ad vitam aeternam. Amen.
Последний раз редактировалось: Мамонт (07:56 26-10-2011), всего редактировалось 1 раз |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
Велкам ту зе клаб
| Jon : |
|
Бот вроде как не совершает никаких противоправных действий, он всего лишь просит стартовую страницу сайта. Причём делает это всего 10-20 раз и с таким таймаутом на который физически способен живой человек тупо жмущий F5.
|
В параметрах хттп-заголовков никакой корреляции не прослеживалось? Обычно при таком паттерне что-то да всплывает - то юзер-агент специфичный, то последовательность заголовков забавная, то еще чего странное.
_________________
Time will show... |
|
|
|
VooDoo
674 EGP
Рейтинг канала: 4(53)
Репутация: 73
Сообщения: 3463
Откуда: Saint-Petersburg, Russia
Зарегистрирован: 07.02.2001
|
|
Jon
Очень информативно, взято на заметку
|
|
|
|
бухой джедай
 182 EGP
Рейтинг канала: 4(87)
Репутация: 70
Сообщения: 7906 Предупреждений: 1
Откуда: Одесса:)
Зарегистрирован: 08.09.2007
|
|
а говорят ЖК сдох ....
Спасиба Джон спасиба Воха взято на заметку авось пригодится ...
_________________
Так Добрый вечер...Превед с большого Бодуна...
Магистр Непросыхаемость...
Злобный Рецедивист... |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Voha : |
|
Велкам ту зе клаб
|
2Voha:
Спасибо
Но честно говоря, лучше бы я так сидел
| Voha : |
|
В параметрах хттп-заголовков никакой корреляции не прослеживалось?
|
2Voha:
Прослеживалось. И даже по началу удавалось фильтровать по этому признаку.
Но как я уже говорил, атакующий своё дело хорошо знал и довольно быстро показал, что если надо то он способен быть загадочным и не предсказуемым. В общем ему понадобилось всего несколько часов, что бы обьяснить мне, какой я на самом деле "умный", и насколько эффективной может быть борьба каратиста с бульдозером
По началу заголовок был у всех одинаковым, но с введением этой контермеры, их разнообразие начало расти. И всё это на фоне растущей активности ботнета.
В общем к тому моменту когда мне пришлось отказаться от анализа заголовков, по причине перегрузки процессора внешнего гетвея, положение дел было следующим.
Анализ уже производился не по всему заголовку, а лишь по определённой его части. запросы были разделены на 5 групп. Четыре группы, это 4 различных типа хттп заголовков известных мне заведомо как скамерские. Пятая группа, это все остальные.
Вообще к финалу был замечен как минимум ещё один скамерский заголовок, но аппаратные ресурсы закончились и противостоять атаке больше не было возможности. Пришлось отказаться от этого способа и уповать на вайтлист и турбо-оперу.
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов.
Последний раз редактировалось: Jon (16:39 28-10-2011), всего редактировалось 1 раз |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
| Jon : |
В общем к тому моменту когда мне пришлось отказаться от анализа заголовков, по причине перегрузки процессора внешнего гетвея ...
... но аппаратные ресурсы закончились и противостоять атаке больше не было возможности.
|
Для перехода на следующий уровень нужно реализовать какую-никакую балансировку нагрузки на приложение (типа ipvs над парой машинок с веб-серверами), и над всей этой марахайкой параллельный фаервол (типа ipfw с sync-state)
Кстати, я уже говорил, что dpi на фаерволе - не очень правильная идея? По содержимому заголовков лучше зарубать уже после того, как. Например, запроксировав запросы через хотя бы nginx, и его средствами по заголовкам либо отплевывать небольшой статический хтмл, либо отправлять запрос на веб-сервер.
_________________
Time will show... |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Voha : |
|
Для перехода на следующий уровень нужно реализовать какую-никакую балансировку нагрузки на приложение (типа ipvs над парой машинок с веб-серверами), и над всей этой марахайкой параллельный фаервол (типа ipfw с sync-state)
|
2Voha:
Взято на вооружение.
| Voha : |
|
Кстати, я уже говорил, что dpi на фаерволе - не очень правильная идея?
|
Говорил.
Ну или может я как то сам до этого догнал, не помню откуда знаю
| Voha : |
|
По содержимому заголовков лучше зарубать уже после того, как. Например, запроксировав запросы через хотя бы nginx, и его средствами по заголовкам либо отплевывать небольшой статический хтмл, либо отправлять запрос на веб-сервер.
|
Оно так и было бы сделано если бы не спешка при вводе в эксплуатацию.
Я имею в виду, что изначально в серьёз над всем этим рассматривалась железка с энжинксом. Но оно так и не было реализовано. Да и честно говоря, в этой истории меня бы не спасло
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
|
|
|
|
|
Железный канал: «DoS (DDoS)» |
|
|
|
