Preopterećenje pažnje! Kako zaštititi stranicu od DDoS napada

Prema Kaspersky Lab-u, 42,9% računala u vlasništvu komercijalnih organizacija u 2017. godini bilo je izloženo cyber napadima.

Iz ovog članka saznat ćete što su DDoS napadi, trebate li ih se oprezno pripremiti za obranu i kako se ispravno ponašati ako ste već poslali artiljeriju u svoj pravac.

Što je DDoS napad

DDoS - to je bilo koja akcija, čija je svrha potpuno "staviti" stranicu ili je učitati stranim zadacima kako bi podsjetila na lijenost iz Zveropolisa. Ali sam pojam je više za korisnike nego za tehničare. Potonji rade samo s jasnim izrazima kao što su "DNS pojačanje", "TCP Null napad", "SlowLoris" i druge varijacije na temu. Postoje mnoge vrste DDoS napada, tako da bi se sljedeće trebalo koristiti kao uvod:

Ne postoji univerzalna zaštita od svih vrsta DDoS napada.

Ako je postojala, "čudovišta" poput Googlea ili Amazona ne bi trošila milijarde dolara na cyber obranu i povremeno nisu objavljivali natječaje za traženje ranjivosti s milijunima nagrada.

Glavna opasnost od DDoS napada - u tom procesu, cyber kriminalci mogu pronaći ranjivost i lansirati virus na mjestu. Najtužnija posljedica je krađa osobnih podataka korisnika i povlačenje baze korisnika. Tada se može prodati vašim konkurentima.

Ako tražilice pronađu viruse, ne liječe ih. Samo izbacite web-lokaciju iz pretraživanja ili pokažite korisniku prozor s upozorenjem. Reputacija i pozicije osvojene na izručenju dugo će trajati nokautom, kao i nakon lijeve kuke Sugara Raya Robinsona.

Zašto napadati

Samo zato što komercijalne stranice rade rijetko. Postoji šansa da je školarac odlučio vježbati na vama, nakon što ste vidjeli videozapis poput ovih:

Takvi napadi rijetko su dovoljni za više od nekoliko sati. Ali prema zadanim postavkama, ne biste trebali računati na početnike. Najčešći uzroci povezani su s komercijalnim aktivnostima.

  • DDoS po narudžbi. Ako napad stigne nakon pokretanja aktivne reklamne kampanje ili marketinških aktivnosti, možda ste prešli cestu prema konkurentima. Ponekad DDoS postaje odgovor na određene akcije: na primjer, prikrivena referenca na konkurenta u oglasu ili promociji u ime strane marke u kontekstu.
  • Iznuda. Opcija broj 1. E-mail dolazi od dobronamjernika koji mu nudi da mu prenese određeni iznos u bitcoinima ili će stranica pasti. Najčešće prijetnja neće biti izvršena, ali možete naići na prave provalnike. Opcija broj 2. Mjesto je već položeno, a prevaranti dobivaju ponudu za plaćanje za prekid napada.
  • Stranica je bila pod distribucijom. DDoS-napad može paralizirati rad poslužitelja vašeg hostera, zbog čega zaustavlja rad svih njegovih stranica. Malo je vjerojatno, ali je također moguće.

Pavel Arbuzov, tehnički direktor, REG.RU

Uslovno možemo podijeliti napade na planirane i nenamjerne. Primjerice, 18. ožujka 2013. pružatelj usluga domaćina CyberBunker organizirao je DDoS napad na Spamhaus zbog toga što je bio na crnoj listi za slanje neželjene pošte. To je najmoćniji DDoS napad u povijesti - prema CloudFlareu, oko 300 Gb / s.

Ponekad vlasnici stranica poduzimaju takozvani "slashdot efekt" za DDoS napad (pojam "habraeffect" nalazi se u RuNetu). To se događa ako puno više korisnika dođe do resursa nego što hosting može propustiti. Ovo je nenamjerni DDoS napad. Primjerice, prije novogodišnjih blagdana ljudi masovno kupuju, povećava se promet na online kupnju. Slab hosting ne uspijeva i pada. Ako se to dogodi, morate promijeniti host ili se prebaciti na tarifu sa širim kanalom.

Ove godine sam napisao materijal o malom, ali ponosnom agregatoru komercijalnih nekretnina u Moskvi za jednu poznatu poslovnu publikaciju. I tri dana nakon objavljivanja, snažan DDoS napad napao je njegovu stranicu. Nije bilo moguće otkriti izvor, ali nije isključena povezanost događaja. Možda "test snage" od konkurenata.

Što učiniti za vrijeme napada

Ako se anti-DDoS mjere ne poduzmu unaprijed, možda čak i ne znate za napad. Ponekad domaćini uhvate sumnjivu aktivnost i pošalju pismo korisniku. Češće - ne. Događa se, gledamo web-lokaciju i vidimo nešto poput:

Ili nalazimo kvarove u prometu u "Metric". Ovo nije DDoS, već nešto slično tome.

Provjera naredbenog retka

Otvorite naredbeni redak i unesite ping {ime domene}.

Najprije smo “pinganuli” našu stranicu i pobrinuli se da ona funkcionira - razmijenjena su sva 4 testna paketa. Zatim je izvršio operaciju na blokiranom resursu. Poslužitelj ne prihvaća pakete.

Ako stranica ne radi, ali pinged - problem s preglednikom. Ako nije ping, moguće je DDoS.

Detaljnije informacije mogu dati traganje. Upotrijebite naredbu tracert {ime domene}:

Na drugoj provjeri vidimo trag resursa koji je blokirala Roskomnadzor (IP adresa treće strane). Ako u posljednjoj fazi (vaša IP adresa) nema razmjene paketa, to može ukazivati ​​na DDoS.

Potvrda usluga treće strane

Seogadget. Najlakši alat za brzu provjeru tijekom DDoS-a, može istovremeno provjeriti nekoliko web-mjesta i pronaći uzroke nedostupnosti.

Kod HTTP 200 označava da nisu otkriveni nikakvi problemi s pristupom. Ako ovaj redak sadrži HTTP 4 ** kôd, na njegovoj strani postoje pogreške. HTTP kod 5 ** govori o problemima na strani poslužitelja.

HTTP pogreška 502 (loš pristupnik) označava da se stranica ne može nositi s opterećenjem. To može biti uzrokovano DDoS napadom.

Alat iz Ping-Admin.ru. U postavkama možete odabrati da provjerite samo za svoju regiju, u Rusiji ili iz drugih zemalja. Daje detaljne informacije o 9 parametara, pa je korisno ne samo za vrijeme napada.

Usluga koja jest. Provjerava izvedbu web-lokacije i prikazuje tehničke značajke domene.

FTP veza

Instalirajte bilo koji pogodan FTP klijent. Na primjer, Total Commander:

Da biste dodali poslužitelj, morate ispuniti karticu:

Možete saznati svoju IP adresu, na primjer, putem usluge Tko je na gore navedenoj vezi. Pristup za prijavu i zaporku FTP-u došli su vam u informativnom pismu hostera nakon registracije. Ako je to bilo davno, pronađite ih u arhiviranim porukama.

Ako FTP funkcionira, a web-lokacija ne, može ukazivati ​​na DDoS napad ili probleme s web-poslužiteljem.

Važno je! Pauzirajte prikazivanje bannera i oglasa kontekstualnog oglašavanja kako ne biste izgubili proračun.

IP blokiranje

Ova metoda pomaže samo s slabim napadom tipa HTTP poplave. Ali beskorisno za napade kao što su UDP ili SYN poplava. Svaki novi parazitski paket dolazi s novim IP-om, tako da neće biti moguće filtrirati veze.

HTTP poplava je smjer lažnih zahtjeva prema portu, koji je odgovoran za imenovanje i distribuciju paketa podataka koji se prenose na host.

UDP poplava - slanje UDP paketa s velikom količinom podataka u različite portove kako bi se preopteretio poslužitelj i / ili prelilo komunikacijski kanal.

SYN-flood - prelijevanje resursa poslužitelja s neodgovorenim parazitskim zahtjevima za sinkronizaciju s poslužiteljem.

IP adrese prikazuju se u datoteci dnevnika HTTP poslužitelja. Kako ih dobiti ovisi o vašem domaćinu. Najjednostavnija opcija je putem brze veze na računu na web lokaciji hostinga. Naravno, ako jest.

Ako ne, idite na mape sustava. Na primjer, na Apache web poslužitelju, zapisnik se nalazi na:

/ etc / httpd / logs / access_log

Ako host ne dopusti pristup tamo, možete pisati tehničkoj podršci uz zahtjev za pružanjem takvih podataka. U datoteci dnevnika potražite IP-adrese koje se ponavljaju mnogo puta. Zatim u korijenskoj mapi web-mjesta stvorite datoteku pod nazivom .htaccess bez ekstenzije. U datoteku unesite redak koda:

red dopustiti, poricati

uskrati iz 111.111.11.11

uskrati iz ...

dopustiti od svih

Umjesto 111.111.11.11, unesite pronađene IP adrese. Svaka sljedeća adresa mora biti u novom retku.

Nažalost, prošlo je vrijeme kada je filtriranje IP-ova bilo učinkovito. Danas je to jednako pokušaju popravljanja Tesle X u garažnoj zadruzi ključevima na 17 i 19. Ako domaćin ne omogući pristup zapisnicima, nema duplih IP adresa u zapisnicima ili, naprotiv, ima ih previše, idu na strože mjere.

Priča o jednom napadu

Oleg Shestakov, osnivač tvrtke Rush Analytics.

Dana 16. studenog 2017. poslužitelji Rush Analyticsa doživjeli su DDoS napad s mnogo različitih IP adresa. U prvih 20 minuta naš je tehnički odjel pokušao samostalno filtrirati parazitski promet, ali je bilo toliko toga što je većina njih prolazila kroz filtre. Nakon još 10 minuta, domaćin nas je isključio. Samo sam isključio poslužitelj, blokirao pristup 48 sati i obrisao sve zapise. U sljedeća 2 sata postavili smo novi front-server na drugu stranicu i napustili Cloudflare DNS poslužitelje.

S moje točke gledišta, domaćin se ponašao čudno i nije nam čak ni pokušao pomoći. U budućnosti ćemo čuvati sigurnosnu kopiju prednjeg poslužitelja na drugom mjestu i koristiti Cloudflare ili Incapsula sustav za čišćenje prometa. Preporučujem da svatko tko radi na visoko konkurentnim tržištima učini isto.

Što ne treba raditi za vrijeme napada

Nema potrebe pristati na uvjete prevaranata. Poruke s prijedlogom da se za određeni iznos zaustavi napad najbolje je ne reagirati. Inače ćete biti napadnuti iznova i iznova. Održavanje nepouzdanog DDoS-a na komercijalnom mjestu duže od 1-2 dana nije isplativo. Prije ili kasnije kriminalci će se povući. Klijenti izgubljeni tijekom napada su cijena nedovoljne pažnje sigurnosti resursa.

Nemojte planirati zrcalni odgovor. Ako zahtjevi prevaranata nisu zaprimljeni, napad je svakako običan. I sasvim je moguće da imate krug osumnjičenih: izravnih konkurenata, tvrtki s kojima nije bilo poslovnih odnosa. Ponekad razlog - nečija osobna nepristojnost. No, žurba tražiti hakera da se osveti nije vrijedno toga.

Prvo, ako se konkurenti spuste na DDoS, onda se vaše poslovanje kreće u pravom smjeru. Hvala za priznanje zasluga. Drugo, u većini slučajeva, DDoS ne uzrokuje ozbiljnu štetu - to je novac koji se troši. I treće, to je kazneno djelo. Da, vjerojatnost hvatanja cyber kriminalaca i njihovih klijenata u suvremenim stvarnostima je vrlo mala, ali postoji.

Sjetite se priče o Pavelu Wroblewskom, vlasniku agregatora plaćanja Chronopay, koji je optužen za organiziranje DDoS napada, Assist, koji je postavljao poslužitelje svojih konkurenata 9 dana.

Klijenta je prepoznata kao glavna žrtva asistenta Aeroflot. Gubici su iznosili 146 milijuna rubalja. Više od 9 tisuća ljudi tijekom napada nije moglo kupiti online zrakoplovne karte.

Kupci i izvođači DDos-napada mogu biti osuđeni prema čl. 272 Kaznenog zakona. Ovisno o posljedicama, kazneno djelo se kažnjava novčanom kaznom od 100 do 500 tisuća rubalja, ograničenjem ili kaznom zatvora u trajanju od 1 do 7 godina.

Što je korisno DDoS-napada

Pavel Arbuzov, tehnički direktor REG.RU hostinga:

Koji su problemi s hostingom otkriveni DDoS napadom?

Ako davatelj usluge hostinga tvrdi ili prodaje klijentsku zaštitu od DDoS napada, a njegovi resursi pod napadom usporavaju ili su nestabilni, to ukazuje na lošu kvalitetu usluge.

Ako hoster ne izjavi ili ne proda anti-DDoS klijentu, njegov glavni zadatak je da sačuva svoju infrastrukturu. Čak i po cijenu isključivanja napadačkog klijenta. U tom slučaju, usporavanje klijentove stranice zbog DDoS-a nije problem hosta.

Kako bi se trebao ponašati pružatelj usluge hostinga ako se otkrije napad na web-lokaciji klijenta?

U idealnom slučaju, davatelj usluge hostinga trebao bi imati vlastiti sustav za čišćenje prometa ili biti povezan s trećim sustavom kako bi filtrirao “lažni” promet. Ako je tako, resursi klijenata ne bi trebali patiti od DDoS napada. Radimo s DDos Guard i Stormwall PRO. Oni štite od UDP / TCP poplava, koje su najčešće. Ako host ne pruža zaštitu od DDoS-a, najlakše mu je potpuno onemogućiti web-lokaciju tako da DDoS napad ne utječe na druge klijente.

Po kojim znakovima može suditi da je davatelj usluge hostinga loše radio tijekom napada i da li ga treba promijeniti?

Ako je hoster postao potpuno nedostupan zbog DDoS napada na jednog klijenta više od 10 minuta, onda ima velike sigurnosne probleme. Bolje je odbiti njegove usluge. Lako je provjeriti - otiđite do glavnog pružatelja usluga hostinga i provjerite radi li ili ne.

Priprema za napad: potrebne usluge

Provjera dostupnosti

Trebali biste odmah znati o problemima s pristupom web-lokaciji. Koristite usluge koje provjeravaju stranice u određenim intervalima i automatski obavještavaju vlasnika o nedostupnosti.

Možete brzo napraviti provjere, onemogućiti oglašavanje, obavijestiti o problemima domaćina i / ili tvrtke koja se bavi tehničkim održavanjem stranice, pratiti rad stalno zaposlenih ili samostalno pokušati očistiti promet.

  • Praćenje pristupačnosti s RU-Centar, Usluga najvećeg ruskog davatelja usluge hostinga. U skladu s trima tarifama. Najlakši je 150 rubalja mjesečno, najskuplji je 1 tisuća rubalja. Razlikuju se po broju monitora i vrstama provjere. Provjerava HTTP, DNS, PING. Obavještava je li stranica pod filterima tražilica kao nositelj virusa. Automatska poruka o nedostupnosti web-lokacije poštom. Postoji probni način rada od 14 dana.
  • Ping-Admin.ru, Najpopularnije web stranice za praćenje usluge u runetu. Ima fleksibilnu politiku cijena. Nema pretplate ili drugih vrsta standardnog naplate. Možete odabrati sve metode provjere koje trebate i platiti samo za njih. Mnogi načini automatskog obavještavanja: pošta, SMS, telegram, RSS i još mnogo toga. Nema test moda, ali svaki novi korisnik dobiva račun od $ 1, što je dovoljno za razdoblje od 2 tjedna do 1,5 mjeseca (ovisno o broju povezanih usluga).
  • Lokacije praćenja od REG.Ru, Postoji stalna besplatna verzija s ograničenom funkcionalnošću. Web-mjesto provjerava jedan monitor s frekvencijom od 1 sata. Obavijest o nedostupnosti dolazi samo na e-poštu. Plaćena vozarina počinje od 99 rubalja mjesečno. Ima SMS obavještavanje, provjeru s bilo kojom frekvencijom. Istodobno možete pratiti promjenu položaja ključnih riječi u tražilicama.

vatrozid

Vatrozid je kompletan sustav filtriranja koji pomaže u zaštiti web-lokacije od prometa smeća prije nego što dođe do web-lokacije. Glavna funkcija vatrozida - borba protiv virusa. Štiti od DDoS-a sve dok je dovoljno za slabe napade. Štoviše, to će koštati manje od punopravnog Anti-DDoS-a.

  • Virusdie. Trošak je 1490 rubalja godišnje i 149 rubalja godišnje za svaku sljedeću stranicu. Automatski uklanja viruse, štiti od zlonamjernog koda, čuva statistiku prikazanih prijetnji i formira crni popis prema IP-u. Postoji uređivač koda pomoću kojeg možete dodavati, uređivati ​​i brisati skripte. Ugrađena značajka koja označava sumnjivi kôd. Možete podesiti frekvenciju sigurnosnog kopiranja i automatski obnoviti ozbiljno oštećenu stranicu posljednjim uspješnim spremanjem.
  • Revizijsku preventivnu zaštitu. Cijena - 4.000 rubalja jednokratno, jamstvo - 6 mjeseci. Usluga uključuje dijagnostiku i skeniranje web-mjesta, instalaciju prava i pristup sigurnom, onemogućavanje "opasnih" funkcija, ograničavajući pristup administratorskoj ploči. Web-lokacija se povezuje s sigurnosnim sustavom koji nadzire sumnjive veze s web-lokacijom i generira izvješća o njima.
  • Otkrivanje virusa. Cijena - 2000-3000 rubalja jednokratno. Jamstvo - 1 godina. Sustav štiti od izravnog pristupa PHP-u, pristupa administrativnoj ploči, blokira sumnjive zahtjeve. Dozvole za datoteke i mape su postavljene, zaštita od SQL injekcije, XSS napada, RFI / LFI ranjivosti je uspostavljena.

Anti-DDoS zaštita

Anti-DDoS je fleksibilniji i inteligentniji od običnog vatrozida. Sustav automatski gradi filtre ovisno o vrsti i snazi ​​napada, te je u mogućnosti provesti dodatne manipulacije sa prometom.

  • CloudFlare. Najveća svjetska Anti-DDoS usluga. Značajna prednost - postoji slobodan način rada, iako ograničen u funkcionalnosti. Plaćene cijene počinju od 20 USD mjesečno. Za taj novac dobivate automatsku optimizaciju brzine web-lokacije (predmemoriranje slika, CSS, Javascript itd.), Vatrozid, sustav filtriranja prometa. Cloudflare ima način rada za slučaj opasnosti I'm Under Attack, koji će, kada se aktivira, zahtijevati captcha za ulazak na stranicu. Način rada omogućuje vam brzo odrezivanje smeća, vraćanje web-lokacije i uštedu barem nekih klijenata. Napominjemo da Cloudflare nema ruski ured, pa ćete morati komunicirati s tehničkom podrškom na engleskom jeziku. Ako vaša web-lokacija već visi, možete koristiti besplatnu uslugu za provjeru usluge Cloudflare. Ako se potvrdi DDoS, morat ćete se registrirati i omogućiti zaštitu.
  • Anti DDoS iz REG.RU. Postoji slobodan način rada koji se primjenjuje na zaštitu pomoću tehnologija sloja 3-4 (IP neispravan, ICMP poplava, TCP SYN poplava, TCP-nepravilan, ICMP smurf). Možete aktivirati plaćeni način rada koji štiti od Layer-7 (HTTP Flood i HTTPS Flood). Trošak - od 6 tisuća rubalja tjedno. Plaćate kada je napad u tijeku i nastavlja se rizik njegove obnove.
  • Anti-DDoS.PRO. Cijena - od 1500 rubalja mjesečno. Tu je firewall za zaštitu od SQL injekcije i XSS napada. Promjena usluga i prebacivanje na vaš hosting nije potrebno. Radi s tehnologijama Layer 3-4 i Layer-7.

Sustavno suzbijanje DDoS napada

I opet glavna teza:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты - комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или "хабраэффекта" точно защитит. От "хабраэффекта" также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Ozbiljna tehnička rješenja zahtijevat će novac, ali u slučaju online trgovine ili drugih komercijalnih stranica, zastoji mogu ići još skuplje.
  3. Konfigurirajte softver na poslužitelju. Koristite dijeljenje prometa između dva web poslužitelja. Na primjer: Apache i Nginx proxy poslužitelj. Za to se obratite davatelju usluge hostinga. Obično postoje gotova rješenja.
  4. Pobrinite se za optimizaciju upita. Pokušajte izbjeći teške upite refactoringom koda, dodavanjem nedostajućih indeksa u baze podataka i tako dalje. Kada ih ima previše, poslužitelj će vjerojatno uspjeti čak i bez DDoS napada.
  5. Optimizirajte brzinu web-lokacije, Što je web-lokacija teža, to je lakše za napadače da je sruše. Jeste li sigurni da trebate sve "lijepe", konzumirajući mnogo resursa? Ali ne smijete previše pretjerati - asketska internetska stranica iz 90-ih će brzo funkcionirati, ali je malo vjerojatno da će se dobro preobraziti u 2017. godini.

I kao muha u masti: sigurnost je sigurnost, ali ne biste trebali stalno instalirati zlonamjerne captcha na ulazu za svakog korisnika. To je najučinkovitiji način eliminiranja pola vaših klijenata. Počnite s malim i poboljšajte sustav zaštite resursa dok vaše poslovanje raste.

U kutiji za ljubitelje zanimljivih linkova:

  • Norveška napadačka karta. Lijepa, ali ne previše informativna interaktivna karta internetskih napada. Prikazuje uglavnom virtualne ratove SAD-a s ostatkom svijeta.
  • Karta cyber prijetnji "Kaspersky Labs", Prati zarobljavanje računalnih virusa. Postoje statistički podaci o broju infekcija i vrsta virusa u svijetu i pojedinim zemljama. Možete instalirati widget na web-mjestu ili preuzeti čuvar zaslona.
  • Karta digitalnog napada. Zajednički razvoj Googlea i Arbor Networksa. Prema autorima, najveći sustav na svijetu pokriva oko trećinu globalnog internetskog prometa. Od 2012. godine postoji traka DDoS napada, možete vidjeti statistiku za svaki dan.

Pogledajte videozapis: OSVETNIK. Trailer (Rujan 2019).

Ostavite Komentar