home | login | register | DMCA | contacts | help | donate |      

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
А Б В Г Д Е Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я


my bookshelf | genres | recommend | rating of books | rating of authors | reviews | new | форум | collections | читалки | авторам | add
fantasy
space fantasy
fantasy is horrors
heroic
prose
  military
  child
  russian
detective
  action
  child
  ironical
  historical
  political
western
adventure
adventure (child)
child's stories
love
religion
antique
Scientific literature
biography
business
home pets
animals
art
history
computers
linguistics
mathematics
religion
home_garden
sport
technique
publicism
philosophy
chemistry
close

реклама - advertisement



   Какими бывают DDoS-атаки и что с ними делать

   Не всегда организаторы DDoS-атак – «сетевые гопники». По поведению – бесспорно (сам метод априори разбойный), но, к сожалению, эту порочную стезю нередко избирают деятели технически подкованные, которые подходят к процессу творчески, с выдумкой. С каждым годом распределенные кибератаки становятся все более изощренными, и эксперты по IT-безопасности регулярно расширяют их и без того разветвленную классификацию. Методы и цели у DDoS-атак разнятся в широчайшем диапазоне. В частности, «долбить» могут как сам сайт, отдельные его страницы, так и напрямую сетевое оборудование на стороне провайдера (например, роутер), особенно когда злоумышленник осведомлен о техническом оснащении хостера. Гарантированно от атаки не защищен ни один интернет-протокол, по которому осуществляется обмен данными между узлами Веба: HTTP, DNS, UDP, TPC и т. д.

    Существует и такое понятие, как «социальный DDoS»: большая группа недоброжелателей договаривается в массовом порядке совершать с сайтом однообразные действия, атакуя его запросами примерно так же, как это делают боты. С одной стороны, известно, как противостоять таким наскокам. С другой – бывает, что «социальный DDoS» прикрывает основную атаку: он лишь служит ширмой для злоумышленников, которые под шумок, используя иные, более тонкие методы, надеются взломать ваше веб-приложение и, например, украсть персональные данные его пользователей (см. главу 19 «Уязвимости на сайте: семь раз отмерь, семь раз зашей»). Так что, узнав, что в соцсетях против вас замышляют «черный флэшмоб», не спешите презрительно хмыкать.

   Что же нужно сделать, чтобы обезопасить себя от DDoS-атак, насколько только возможно в современных условиях?

   • Учесть риски на стадии разработки архитектуры. Как точно сформулировал руководитель компании «Онтико» Олег Бунин в программе «Рунетология», «ваш сайт должен быть спрограммирован таким образом, чтобы не замечать DDoS». С одной стороны, это все-таки утопия, с другой – действительно можно сделать так, чтобы мелкие и средние атаки проходили для площадки наименее болезненно. Например, одна из уязвимостей уровня архитектуры – слабая продуманность в работе с процедурой SSL handshake, которая сильно нагружает процессор; грубо говоря, это взаимное «обнюхивание» клиента и сервера, требующее шифрования данных. Если ваш веб-сервер не оптимизирован с расчетом на сокращение числа таких операций, в эту слабую точку будет чрезвычайно соблазнительно ударить киберпреступникам. И таких слабых мест может быть вагон и маленькая тележка.

   Чрезвычайно полезно проводить учебные нагрузочные тестирования, с тем чтобы проверить, как сайт держится под наплывом трафика того или иного типа. Из подобных инструментов популярны в профессиональном сообществе Load Impact (http://loadimpact.com/) и Tsung (http://tsung.erlang-projects.org). С их помощью вы заранее выявите узкие места в своем проекте, что полезно не только в аспекте профилактики DDoS-конфузов.

   Александр Лямин, руководитель компании HighloadLab, советует: «Обязательно нужно иметь запас производительности приложения, как минимум двукратный от его маршевой нагрузки». И он глубоко прав. Рекомендация касается как архитектуры, так и площадки, на которой развернут сайт (см. ниже).

   • Выбрать клиентоориентированный «ударостойкий» хостинг. Часто дидосер попросту заполняет до отказа мусорным трафиком доступный проекту канал, что характерно, например, для атак на DNS-серверы сайта. Бывает, забивают пустыми запросами не только входящую, но и исходящую полосу, что, само собой, вдвойне неприятно хостинг-компании.

   Хоть сколько-нибудь серьезные хос теры используют межсетевые экраны (файерволы) – программные или программно-аппаратные комплексы, способные гасить DDoS-атаки, фильтруя трафик по сложным правилам. Непременно уточняйте, входит ли такая оборона в плату по тарифу, и если нет, то сколько стоит.

   Будьте требовательны к хостеру, но не жадничайте. Если ваш сайт «крутится» на одном виртуальном хостинге еще с несколькими десятками площадок, а то и сотней, то удар по вашему проекту затронет и их. Дабы обезопасить ваших ни в чем не виноватых соседей, в случае сильной DDoS-атаки провайдер, скорее всего, заблокирует доступ к вашему ресурсу. Лучше разоритесь на выделенный хостинг.

   Широко разрекламированный как «антидидосерский», SaaS-хостинг не панацея: да, при лавинообразном росте входящего трафика на вашем сайте вам будут автоматически выделяться все новые и новые мощности, сайт может и не рухнуть. Однако если заказчик атаки и хозяин ботнета настроены серьезно, они усилят напор, и оборона , основанная на количественном принципе, влетит вам в копеечку. Значит, ваши недруги не мытьем, так катаньем добьются, чего хотели.

   Серьезному, поставившему себя на твердую ногу веб-проекту, экономическая база которого зависит от его устойчивости, следует обеспечить себе подключение сразу к нескольким провайдерам по каналам пропускной способностью не менее 10 Гбит/c каждый (такова рекомендация компании «Лаборатория Касперского»).

   • Следить за своим серверным хозяйством. Вовремя обновляйте все модули, проверяйте правильность конфигураций, чтобы не открывать своими же руками лазейку злоумышленникам. Инсталлируйте все патчи – «заплатки» на программное обеспечение. Регулярно изучайте серверные логи. Уделите внимание и настройкам операционной системы, под управлением которой работает машина (обычно имеет смысл увеличение объема памяти, доступной TCP-стеку, и т. д.).

   От DoS-атак – несравненно более слабых, чем DDoS, – способны когда частично, а когда и полностью предохранить правильные серверные настройки: ограничение числа открытых портов, лимит на количество соединений с одного адреса, на объем передаваемого за единицу времени трафика с одного IP-адреса или из одной сети. Однако в случае с DDoS нужны гораздо более серьезные меры противодействия.

   Часто ботнеты имеют географическую привязку: большая часть входящих в них компьютеров находится в каком-то одном регионе мира. Едва ли у вас в «мирное время» много посетителей из Индонезии и Уругвая, так что если большинство атакующих адресов расположено в такой экзотической стране, можно временно поставить блокировку на трафик из нее. Вяленький DDoS таким манером вы с высокой степенью вероятности ослабите в достаточной степени, чтобы хотя бы глубоко вдохнуть и развернуть полноформатную обороту. Для DoS-атак по понятным причинам бывает достаточно точечной блокировки конкретных IP.

   Небесполезны методы маскировки подлинног о IP-адреса сайта. Перед совсем уж недалекими киберпреступниками эти меры поставят серьезную преграду.

   Проект действительно крупный и чувствительный к простоям? Тогда желательно иметь в штате не просто администратора, а специального сотрудника, отвечающего за сетевую безопасность.

   • Озаботиться аппаратной защитой. Если у вас по-настоящему крупный и заметный на рынке проект, то в обязательном порядке. Производители телекоммуникационного оборудования (в первую очередь упомянем Cisco и HP / 3Com) выпускают целые аппаратные комплексы, предназначение которых – блокировать кибератаки разных категорий. Впрочем, нужно еще учесть, что, скажем, в 2013 году в Рунете участились атаки на уровне веб-приложений, которые сравнительно легко проходят аппаратные фильтры, поскольку умело имитируют «поведение» обычных пользовательских браузеров.

   Есть ультрамощные решения, прямо-таки «крепостные валы», и особенно популярно предлагаемое Arbor Networks, но их может позволить себе не каждый хостинг-провайдер: цена вопроса – в районе миллиона долларов, как минимум – в несколько сотен тысяч.

   • Убедиться в том, что всегда имеете черный ход для удаленной перезагрузки сервера и для перевода управлениям им по SSH-протоколу на другой IP-адрес. Эту деталь нужно проговаривать до того, как заключать договор с хостинг-провайдером. Кроме того, в расчете на критические ситуации многие хостеры предлагают услугу прямого доступа к серверу IP-KVM.

   • Заранее договориться с профессиональными защитниками от DDoS. Возможно, установить превентивную стороннюю защиту. Из числа заслуживающих доверия, по нашему мнению, порекомендуем сервисы Qrator (http://qrator.net), DDoS-Protection.ru (http://ddos-protection.ru), Kaspersky DDoS Prevention (http://www.kaspersky.ru/ddos-prevention/). У большинства из них имеются терпимые тарифы на абонентское обслуживание малого и среднего бизнеса. При соблюдении базовых пре досторожностей не помешает заручиться и такой поддержкой.

   Особняком стоят CDN-сервисы (англ. content delivery networks – «сети доставки контента»), рассчитанные не только на ускорение работы сайта в разных точках мира, но и в том числе на оборону против простых DDoS-атак. Например, CloudFlare (https://ru.cloudflare.com). По существу, он представляет собой CDN-прокси, который пропускает через себя трафик на подступах к вашему сайту.


   Кто, зачем и на кого совершает DoS– и DDoS-атаки | Создание сайтов |    Что делать, если атака началась