как понять что тебя дудосят
Как выявить атаку-DDoS на сервер и остановить ее
Продолжим изучать DDoS-атаки. Определенная атака типа «отказ в обслуживании» (DDoS) может произойти с кем угодно и когда угодно. Если вы владелец веб-сайт, который работает на выделенном веб-сервере, важно понять, что такое DDoS-атака, правильно ее идентифицировать и что необходимо предпринять, чтобы остановить и предотвратить ее.
Что такое DDoS-атака?
Во время нормальной работы веб-сервер предоставляет вашу веб-страницу посетителям следующим образом:
— Человек вводит ваш URL в свой веб-браузер.
— Веб-браузер отправляет HTTP-запрос к URL-адресу веб-сайта.
— DNS-серверы вашего провайдера преобразуют URL-адрес в правильный IP-адрес веб-сервера.
— HTTP-запрос направляется через Интернет на веб-сервер.
— Веб-сервер использует страницу, запрошенную в URL, чтобы найти правильный файл HTML.
— Веб-сервер отвечает всем содержимым этого HTML-файла.
— Браузер пользователя получает файл HTML и отображает страницу для пользователя.
Большинство веб-серверов имеют процессор и сетевое оборудование для обработки среднего ожидаемого трафика в день. Для некоторых веб-сайтов это может быть до ста тысяч или даже миллионов посетителей за один день.
Однако хакер, надеющийся атаковать ваш сайт с помощью DDoS-атаки, использует ботнет из миллионов компьютеров со всего мира, чтобы отправлять тысячи HTTP-запросов в секунду на ваш веб-сервер.
Поскольку ваш веб-сервер не был рассчитан на такой объем трафика, веб-сервер будет отвечать на ваши обычные посетители сайта с сообщением об ошибке «Сервис недоступен». Это также известно как ошибка HTTP 503.
В редких случаях, когда ваш сайт работает на очень маленьком веб-сервере с небольшим количеством доступных ресурсов, сам сервер фактически зависнет.
Как определить DDoS-атаку?
Как вы узнаете, что ваш сайт только что вышел из строя из-за DDoS-атаки? Есть несколько симптомов, которые являются мертвой раздачей.
Обычно ошибка 503 HTTP, описанная выше, является четким указанием. Однако еще одним признаком DDoS-атаки является очень сильный скачок пропускной способности.
Вы можете просмотреть это, войдя в свою учетную запись с веб-хостинга и открыв Cpanel. Прокрутите страницу вниз до раздела «Журналы» и выберите «Пропускная способность».
Нормальная диаграмма пропускной способности за последние 24 часа должна показывать относительно постоянную линию, за исключением нескольких небольших пиков.
Однако недавний непропорциональный всплеск пропускной способности, который остается высоким в течение часа и более, является четким свидетельством того, что вы столкнулись с DDoS-атакой на ваш веб-сервер.
Если вы считаете, что обнаружили DDoS-атаку в процессе, важно действовать быстро. Эти атаки потребляют большую пропускную способность сети, и если вы заплатили за хостинг-провайдера, это означает, что их сервер данных будет испытывать такой же скачок пропускной способности. Это может оказать негативное влияние и на других их клиентов.
Как остановить DDoS-атаку
Вы ничего не можете сделать сами, если столкнетесь с DDoS-атакой. Но, позвонив провайдеру веб-хостинга, они могут немедленно заблокировать все входящие HTTP-запросы, направленные на ваш веб-сервер.
Это мгновенно снижает нагрузку на ваш веб-сервер, так что сам сервер не падает. Это также предотвращает негативное влияние атаки на других клиентов хостинг-провайдера.
Хорошей новостью является то, что атака будет прекращена. Плохая новость заключается в том, что, блокируя весь трафик на ваш веб-сервер до завершения атаки, человек, который хотел закрыть ваш сайт, по сути выиграл.
Как победить DDoS-атаку
Если вы выполняете критически важную онлайн-операцию, такую Икак крупный бизнес, и хотите, чтобы ваш сайт был защищен от DDoS-атак, это возможно, но это не дешево. Службы защиты от DDoS работают, создавая своего рода ботнет-счетчик, который больше ботнета, выполняющего DDoS-атаку. Это создает распределенный ответ на входящие HTTP-запросы, даже если таких запросов сотни тысяч или миллионы.
С этими услугами взимается ежемесячная плата за обслуживание. Но если вы окажетесь частой жертвой DDoS-атак, эти службы защиты от DDoS вполне могут стоить своих затрат. DDoS-атаки могут быть в лучшем случае незначительным неудобством, которое приводит к простоям на несколько часов. В худшем случае это может стоить вам значительного количества потерянного онлайн-трафика, не говоря уже о падении клиентов, которые доверяют вашему сайту.
Как обнаружить DDoS атаку, проходящую на уровне приложений и не регистрируемую обычными средствами
Определение «традиционного» DDoS
Обычная атак типа TCP DDoS переполняет сервер путем отсылки на приемный порт большого количества пакетов с запросами. Преимущество такой атаки для злоумышленников в том, что источник таких пакетов может быть подменен, усложняя таким образом возможность отслеживания и блокировки. При этом TCP DDoS, также как и тысячи других клиентов, кричит «посмотри на меня», перегружая сервер, который старается ответить на эти фантомные запросы.
Определение DDoS на уровне приложений
Тогда как атака TCP DDoS сфокусирована на тысячах «выстрелов», DDoS на уровне приложений похожа на нечто вроде множества никогда не заканчивающихся, дискомфортных, нудных разговоров. Для протоколов, таких как HTTP, которые обычно ведут быстрый обмен сообщениями (загрузка изображения, файла или веб-страницы), DDoS на уровне приложений особенно эффективна. Атакующий хост начинает множество (сотни) «разговоров» с сервером, но «говорит» очень мало. Каждый «разговор», который остается открытым, занимает память сервера и постепенно заполняет ее всю, достигая лимита одновременно открытых соединений. Когда обычные клиенты пытаются подключиться к сервису, они получают сообщение об ошибке, в котором сказано, что сервис в настоящее время недоступен (именно из-за количества соединений).
Сравнительный анализ
Когда мы попробуем сравнить влияние каждого типа DDoS-атак, то получаем график (приведен ниже), показывающий как сервер может быть существенно перегружен каждой из атак.
Если рассматривать атаки с точки зрения обнаружения, то TCP DDoS генерирует большое количество пакетов в секунду (pps) и бит в секунду (bps), что легко можно увидеть в графике утилизации, а вот DDoS на уровне приложений практически невиден на этом графике.
Обнаружение DDoS на уровне приложений
Если использовать Lancope StealthWatch, то такую атаку обнаружить просто. Используются новое сигнальное оповещение и событие функции системы Concern Index™ (CI) под названием «Slow connection Flood», которые отслеживают большое количество соединений этого типа, характеризующихся незначительным объемом обмена данными. Ниже показан потоковый объект, соответствующий атаке Slowloris HTTP DDoS.
Итоговое исследование этих потоков позволяет StealthWatch включить сигнал «Slow connection Flood» для такой атаки, проходящей на уровне приложения.
Вывод
Путем отслеживания многих характеристик каждого потока, приходящего в сеть, а также коллективного поведения каждого хоста внутри и вовне сети, StealthWatch способен обнаруживать как обычные, так и продвинутые угрозы. Новая версия StealthWatch 6.4 расширяет возможности обнаружения DDoS путем проверки данных, которые могут точно указать на атаку на уровне приложения. Более подробно можно узнать здесь.
Технологические партнеры:
Адрес: 107023, Россия, Москва, Электрозаводская ул., д. 24
Контактное лицо: Андрей Акинин, директор по развитию бизнеса, Тел.: +7 (495) 925-7794
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
О том что такое ddos и как от него нужно правильно защищаться.
Думаю не для кого не секрет что многие агрошкольники насмотревшись всяких не далеких личностей на youtube в силу своего возраста не понимают что делают все на свой страх и риск.
И на днях мне попалась исключительная личность.
Пару слов обо мне,я системный администратор на одном из популярных игровых серверов.
Так вот, все началось с того что этот маленький упырь заходил на все наши сервера и начинал ругать в общем чате представителей администрации, якобы что они забанили его ни за что.
Но не тут то было, на всех серверах его забанили по стиму и началось веселье уже у меня. С ip адреса этого малолетнего урода шло трафика так много что он забивал весь наш канал в 300мбит.
И теперь про то что такое ddos\flood с точки зрения сети, представьте себе сеть как водопровод, у водопровода есть одна большая труба (входной канал роутера) и в нее льют воду(пакеты) клиенты, и если какой-нибуть пользователь начинает лить больше чем может выдержать труба то вода которую льют другие пользователи будет вставать в очередь, и заходить с запозданием. И именно по этому большинство советов в интернете «це защита от дудос 100%. » со скачиванием фаервола или блокировкой ip на роутере не уберет не нужную воду в трубе, а лишь будет ее быстрее выбрасывать когда она дойдет, и это не выход из ситуации, поскольку вода как подпирала другую воду так ее и будет запирать.
Ну и наконец о том как НУЖНО бороться с ddos, во первых вам нужно получить ip адрес(номер трубы урода) и зафиксировать преступление, например в роутерах microtik для этого есть инструмент torch. Далее звоним в службу поддержки оператора с просьбой заблокировать воду из его трубы на твою на базовой станции(магистральном трубопроводе). И все? Да.
А если это не повлияет на него то можно смело идти писать заявление в полицию отдел по борьбе с кибер преступлениями и тогда его мамка точно даст ему здоровый летний отдых а тебе мольбы о том чтобы ты не давал делу продолжение. И я так и сделал.
Но лично я воспользовавшись тем что у меня полный дуплекс(могу лить воду из своей трубы в 2 стороны с максимальной скоростью канала) и большая скорость канала просто написал скрипт для routeros аля
Если какой то чел, которого нету в списке труб «ХОРОШИЕ ТРУБЫ» шлет больше 2тысяч пакетов в секунду то возвращай все его пакеты обратно. А если больше 5тысяч пакетов то пиши мне на email и блокируй его трафик на неделю.
И таким образом жертва сама себе вредит а провайдеры как правило уже порежут этот трафик сами)
Почитай что значит первая буква в ddos. И вали отсюда ламер позорный.
Пару слов обо мне,я системный администратор на одном из популярных игровых серверов.
@pidoras3rest, а ты точно системный администратор? Взрослый?
Если какой то чел, которого нету в списке труб «ХОРОШИЕ ТРУБЫ» шлет больше 2тысяч пакетов в секунду то возвращай все его пакеты обратно. А если больше 5тысяч пакетов то пиши мне на email и блокируй его трафик на неделю.
Пермский школьник задержал 46-летнего грабителя по горячим следам
Школьник из Перми помог задержать 46-летнего грабителя, который украл у одной из прохожих телефон. В настоящее время решается вопрос о поощрении подростка, сообщается во вторник на сайте ГУ МВД по Пермскому краю.
Затем подросток начал преследование и обнаружил мужчину в соседнем дворе. Как сообщили в МВД, школьник задержал злоумышленника и вызвал полицию, которая увезла нападавшего в участок. Там он дал признательные показания.
В результате было возбуждено уголовное дело за грабеж, подозреваемого заключили под стражу. В ближайшее время полиция планирует поощрить подростка за смелость и решительные действия.
Прокуратура запросила реальные сроки для хакеров Lurk — от 6 до 18 лет лишения свободы
Прокуратура запросила для екатеринбургских IT-специалистов, обвиняемых в разработке вируса Lurk и хищении более 1,2 млрд рублей, реальные сроки заключения — от 6 до 18 лет. Дело на них было заведено ещё в 2018 году, но из-за большого количества фигурантов и высокой сложности следствие затянулось. Кроме того, летом этого года процесс пришлось приостановить на месяц, поскольку один из фигурантов начал слышать голоса в СИЗО.
Хакерская группировка Lurk получила широкую известность в 2016 году после того, как её рассекретили российские спецслужбы. Согласно материалам дела, она была создана в 2013 году. Все участники Lurk занимались разработкой и распространением одноимённой троянской программы, заражающей системы банки.
По информации издания «Октагон», благодаря зловреду хакеры украли у банков и крупных бизнес-компаний около 1,2 млрд рублей. Газета «Коммерсантъ» приводит другие данные — 1,7 млрд рублей. Кроме того, злоумышленников подозревают в попытке вывести ещё 2,2 млрд рублей. Они распространяли троян через эксплойт-паки и взломанные сайты, например — Ammyy, в клиентах которых значатся Министерство внутренних дел России, «Почта России» и система правовой информации «Гарант».
В общей сложности следствие задержало 50 подозреваемых, но уголовное дело завели только на 23 из них. Один участник группировки Игорь Маковкин пошёл на сделку со следствием и признал вину. В 2018 году его приговорили к пяти годам заключения. Остальные фигуранты дела не признают своего участия в группировке Lurk, но не отрицают, что занимались мошенничеством. Дела 22 подозреваемых были переданы в Кировский районный суд Екатеринбурга в декабре 2018 года.
5 октября этого года издание «Октагон» сообщило, что представители гособвинения рассмотрели представленные защитой доказательства и свидетельские показания. Основываясь на них следствие пришло к выводу, что версия обвинения обоснована и полностью доказана. Прокуроры запросили для оставшихся 22 фигурантов дела реальные сроки в виде 6—18 лет заключения на основании статьи о создании преступного сообщества.
Для предполагаемого лидера группировки Константина Козловского просят максимальный срок заключения. Второй предполагаемый лидер Владимир Грицан находится в розыске. Для единственной женщины в группировке Валентины Рякиной запросили отсрочку заключения до наступления совершеннолетия ребёнка. Расследованием дела занимался центральный аппарат МВД РФ.
Зеленоградский школьник заявил, что устроит расстрел в школе, чтобы продвинуть свой аккаунт в TikTok
14-летний подросток написал в статусе «жду своего расстрела», поставил дату и сел ждать наплыва подписчиков. Но вместо них по его душу нагрянула полиция. Мальчик попытался объяснить им, что такое хайп, но ему не поверили и устроили настоящую проверку
Перестарались
Известия, 1962, № 101, 28 апреля. Перестарались (канадские «чекисты» вызвали школьника на «профилактическую беседу»).
11-летняя девочка задержала грабителя
Злоумышленник вырвал из рук девочки телефон, толкнул ее так, что она упала, и попытался скрыться. Однако этого ему не удалось. Он был задержан своей юной жертвой.
Во Львове 11-летняя девочка смогла догнать и задержать мужчину, вырвавшего из ее рук мобильный телефон. Школьницу наградили грамотой и подарили мягкую игрушку, сообщает пресс-служба полиции Львовской области.
Юная львовянка побежала за грабителем. Ей вместе с неравнодушным прохожим удалось задержать злоумышленника и передать его полицейским.
Любителем чужих телефонов оказался 36-летний местный житель. Ему грозит до шести лет лишения свободы.
Правоохранители пригласили школьницу к себе в отдел, поблагодарили за смелость, вручили мягкую игрушку и продемонстрировали работу полиции.
Школьница в Петербурге рассказала о домогательствах учителя, но ей не поверили. Тогда она сняла видео с приставаниями — СК возбудил дело
В Петербурге 14-летняя ученица 8 класса гимназии № 42 обвинила 62-летнего учителя ОБЖ Юрия Филиппова в сексуальных домогательствах. Как пишет «Фонтанка», 8 февраля школьница рассказала о домогательствах классному руководителю, а затем — директору школы и своей матери. В ответ на это, отмечает издание, слова школьницы назвали фантазиями, причем, по неподтвержденной информации, в этом даже усомнилась мать девочки. В то же время школьный психолог заявила, что школьница «не выдумывает». На время разбирательства восьмиклассницу отстранили от занятий у учителя ОБЖ. При этом, как сообщает «Подъем», по словам учеников гимназии, директор школы игнорировала слова школьницы, а матери девочки грозила лишением родительских прав.
Вечером 10 февраля в сети стали распространять видео с приставаниями учителя к школьнице. Запись распространяли со словами «Девочка, снявшая это видео, просила о помощи классного руководителя и директора, но без „доказательств“ ей не поверили». На записи мужчина пытается обнять и поцеловать восьмиклассницу. «Mash на Мойке» пишет, что школьница сама сняла видео во время перемены. По данным «Фонтанки», 10 февраля запись попала к руководству школы, после чего учитель ОБЖ написал заявление об увольнении по собственному желанию.
Школьный учитель отрицал обвинения в домогательствах. «Фонтанка» указывает, что после того, как видео с приставаниями увидело руководство школы, преподаватель ОБЖ заявил, что запись неправильно истолковали — в ролике якобы показано не домогательство, а дружеское участие. В беседе с Mash утром 11 февраля учитель отказался отвечать на вопрос, присутствует ли он на записи. Юрий Филиппов также пообещал «поговорить со знающими людьми, что предпринять в данном случае», а также заявил, что хочет проверить подлинность видео.
Учитель сам приехал в Следственный комитет. Следствие возбудило уголовное дело. Вечером 11 февраля СК официально сообщил, что возбудил дело по статье (i) о развратных действиях в отношении лица, не достигшего 16-летнего возраста. По данным следствия, учителя одного из учебных заведений Петербурга подозревают в том, что он «во время проведения дополнительных занятий неоднократно совершал развратные действия в отношении школьницы».
Ps обратил внимание что в одном источники возраст преподавателя указан как 62 года, в другом как 32 года, скорее всего опечатка, но какой возраст верный я даже по видео сказать не могу
DDoS-атака: почему Вас атакуют, чем это грозит, как защититься
Здравствуйте, дорогие читатели!
Только за прошедший год, согласно исследованиям «Лаборатории Касперского», кибератакам подверглось почти 43% компьютеров компаний разного уровня. Если Вы решили создать собственный сайт, не обязательно корпоративный, а просто информационный, помните, Вы – также в группе риска: в любой момент вас могут «ддосить». Именно поэтому как можно быстрее важно понять: DDoS-атака – что это? А также, почему она происходит и как от нее уберечься?
Краткая информация
Бывают DoS и DDoS-атаки. К слову, термины используются преимущественно обычными пользователями, так как технари оперируют более конкретными понятиями, вроде UPD флуд, IP null, Slow Loris, DNS амплификация и прочее. Все эти слова описывают разные типы атак, но принцип работы всегда один.
DDoS-атака (Distributed Denial of Service attack) – это алгоритм действий, в результате которых сайт частично или полностью выходит из строя. За каждой атакой стоит хакер. Причем в одиночку реализовать задуманное ему не удастся: для достижения цели он использует ботнет.
При организации такой атаки на интернет-ресурс отправляется огромное количество ложных запросов. На их обработку сайт тратит массу времени и, в результате, рано или поздно становится недоступным рядовому пользователю. Запросы отправляются с разных компьютеров, сеть которых и называется ботнетом.
Чьи компьютеры попадают в ботнет? Любые, зараженные троянской программой. Последние можно подцепить не только во время серфинга в сети, но и в собственном e-mail-ящике. Увидели письмо от незнакомого адресата? Лучше его не отрывайте. У червя – своя цель, он не атакует компьютер, на который попадает, поэтому антивирусные программы, особенно бесплатные, его с легкостью пропускают.
Хранится на компьютере троян до тех пор, пока не получит команду от своего хозяина. Количество зараженных компьютеров может исчисляться тысячами, находиться они могут по всему миру. Поэтому и затормозить работу, а затем и положить сайт способны довольно быстро (все зависит от его возможностей в обработке информации за единицу времени и параметров трафика).
Причины и последствия
Несмотря на огромное количество атак, в большинстве своем каждая из них – целенаправленна. Просто так, сайты, даже коммерческие, не ддосят. Как правило, все дело в:
Кстати, атаковать могут и ради развлечения. Как правило, это школьники, которые насмотрятся тематических роликов в ютубе и оттачивают свои навыки.
Последствия DDoS-атаки разнообразны. В лучшем случае, сайт будет хуже работать или вообще на некоторое время станет недоступным. В худшем – злоумышленники найдут уязвимость и запустят вирус, чтобы украсть личные данные клиентов и передать всю базу конкурентам.
Как понять, что сайт ддосят
Если никакие меры предостережения владельцем интернет-сайта не предприняты, он может даже не узнать о начавшейся атаке. Ее последствия он заметит потом, увидев в «Метрике» провалы по трафику или самостоятельно заглянув на сайт.
Иногда хостинг-провайдер фиксирует подозрительную активность и сообщает о ней владельцу ресурса в письме, но полностью надеяться на него не стоит.
Есть и сторонние сервисы, помогающие понять, в самом ли сайте существующая проблема или в ДДоС-атаке. В их числе – Seogadget.ru. Заходите, ищите слева внизу раздел «Доступность сайта», прописывайте адрес своего в соответствующей форме и жмите «Проверить».
В последнем случае возможны 2 варианта: или дело в атаке, или в высокой посещаемости. Так бывает у сайтов новостных агентств, когда они выкладывают интересную статью, и сервер не справляется с потоком пользователей. Другие сервисы: Ping-Admin.ru, Who Is.
Можно ли уберечься
Универсальной защиты от всех ДДоС-атак нет. Им могут подвергаться как популярные порталы, так и огромные коммерческие площадки. К слову, чтобы противостоять киберпреступникам, Google и Amazon, например, тратят миллиарды на киберзащиту и миллионы на призовые в конкурсах на поиск уязвимостей.
Как защититься небольшому ресурсу? Прежде всего, нужно правильно выбирать хостера. Как правило, услуга защиты предоставляется за отдельную плату. Если во время атаки ваш сайт работает медленнее, провайдер с обязанностями не справляется. Будьте готовы и к тому, что в случае атаки хостер может отключить Ваш сайт, чтобы последствия последней не коснулись других его пользователей.
В то же время владелец атакованного ресурса не пострадает, если у хостинг-провайдера предусмотрена собственная система очистки трафика или он подключен к сторонней. Худший сценарий – если во время атаки на 1 сайт клиента сайт хостера стал недоступен: значит, у него проблемы с защитой и его лучше сменить.
Однако в идеале, важно задуматься о собственной защите еще на этапе проектирования веб-сайта. Для этого нужно оптимизировать память, потребление ресурсов, соединение с базой данных и т. д. или обратиться за помощью к специалистам, которые умеют отсекать паразитный трафик, предотвращать попадание вирусов на сайт.
Ярким примером такой компании является «WSR». Они представляют целый комплекс работ по защите веб-ресурсов от вирусов. Попутно предоставляется возможность настройки мониторинга работоспособности сайта (чтоб не пользоваться сторонними ресурсами). Причем если падает работоспособность вашего хостинга, компания подключает режим FixedWebsite, чтобы обеспечить полную либо частичную доступность к ресурсу во время проведения восстановительных работ.
Обо всех проблемах и вирусах система также уведомляет, дополнительно дает ценные советы относительно того, как сделать сайт надежнее и быстрее. И на этом ее преимущества не заканчиваются. Обо всех читайте на их сайте.