как узнать кто ддосит сервер
Как обнаружить DDoS атаку, проходящую на уровне приложений и не регистрируемую обычными средствами
Определение «традиционного» DDoS
Обычная атак типа TCP DDoS переполняет сервер путем отсылки на приемный порт большого количества пакетов с запросами. Преимущество такой атаки для злоумышленников в том, что источник таких пакетов может быть подменен, усложняя таким образом возможность отслеживания и блокировки. При этом TCP DDoS, также как и тысячи других клиентов, кричит «посмотри на меня», перегружая сервер, который старается ответить на эти фантомные запросы.
Определение DDoS на уровне приложений
Тогда как атака TCP DDoS сфокусирована на тысячах «выстрелов», DDoS на уровне приложений похожа на нечто вроде множества никогда не заканчивающихся, дискомфортных, нудных разговоров. Для протоколов, таких как HTTP, которые обычно ведут быстрый обмен сообщениями (загрузка изображения, файла или веб-страницы), DDoS на уровне приложений особенно эффективна. Атакующий хост начинает множество (сотни) «разговоров» с сервером, но «говорит» очень мало. Каждый «разговор», который остается открытым, занимает память сервера и постепенно заполняет ее всю, достигая лимита одновременно открытых соединений. Когда обычные клиенты пытаются подключиться к сервису, они получают сообщение об ошибке, в котором сказано, что сервис в настоящее время недоступен (именно из-за количества соединений).
Сравнительный анализ
Когда мы попробуем сравнить влияние каждого типа DDoS-атак, то получаем график (приведен ниже), показывающий как сервер может быть существенно перегружен каждой из атак.
Если рассматривать атаки с точки зрения обнаружения, то TCP DDoS генерирует большое количество пакетов в секунду (pps) и бит в секунду (bps), что легко можно увидеть в графике утилизации, а вот DDoS на уровне приложений практически невиден на этом графике.
Обнаружение DDoS на уровне приложений
Если использовать Lancope StealthWatch, то такую атаку обнаружить просто. Используются новое сигнальное оповещение и событие функции системы Concern Index™ (CI) под названием «Slow connection Flood», которые отслеживают большое количество соединений этого типа, характеризующихся незначительным объемом обмена данными. Ниже показан потоковый объект, соответствующий атаке Slowloris HTTP DDoS.
Итоговое исследование этих потоков позволяет StealthWatch включить сигнал «Slow connection Flood» для такой атаки, проходящей на уровне приложения.
Вывод
Путем отслеживания многих характеристик каждого потока, приходящего в сеть, а также коллективного поведения каждого хоста внутри и вовне сети, StealthWatch способен обнаруживать как обычные, так и продвинутые угрозы. Новая версия StealthWatch 6.4 расширяет возможности обнаружения DDoS путем проверки данных, которые могут точно указать на атаку на уровне приложения. Более подробно можно узнать здесь.
Технологические партнеры:
Адрес: 107023, Россия, Москва, Электрозаводская ул., д. 24
Контактное лицо: Андрей Акинин, директор по развитию бизнеса, Тел.: +7 (495) 925-7794
Как узнать кто ддосит сервер
А вот, кстати, опровержение очередного бреда журналистов относительно дела по второй ссылке:
Смотри в логах айпишки атакующих машин, пробуй получить доступ к одной из них для анализа DDoS бота и определения админки/командного центра, получай доступ к ней и т.д.
Проведи анализ конкурентов, выяви потенциальные источники угроз, мотивы и прочее.
А вообще все индивидуально, есть много частных случаев и общего рецепта нет. Это вообще может быть личная месть, тест ботнета и т.д.
| Цитата |
|---|
| neo neo пишет: есть интересная мысль по этому поводу ))) |
| Цитата |
|---|
| Проведи анализ конкурентов, выяви потенциальные источники угроз, мотивы и прочее. |
| Цитата |
|---|
| pazuzu пишет: Исполнители: |
Смотри в логах айпишки атакующих машин, пробуй получить доступ к одной из них для анализа DDoS бота и определения админки/командного центра, получай доступ к ней и т.д.
| Цитата |
|---|
| То что ты рекомендуешь незаконно. ДДоС-еру за его атаку на тебя ничего не будет(по крайней мере скорее всего), а вот он на тебя спокойно в суд может подать за несанкционированный доступ. |
| Цитата |
|---|
| FUF пишет: Ложь. Хотя, подозреваю, что вы просто не знаете как правоохранительные органы расследуют подобные атаки. |
Все я понимаю:
http://ru.wikipedia.org/wiki/DDoS
Или тута ложь написано?
Абсолютно не трудно определить с какого адреса пытаются пробивать защиту!
Существуют сигнатуры по которым можно определить тип атаки, да и вообще, что приходят некорректные пакеты. По достижению определенного количества этих ошибок с данного адреса принимаются ряд вариантов:
1. Блокировка данного адреса.
2. Игнорировать все данные от источника пакетов (принципиальной разницы с 1-м вариантом нету. она заключается только в отсылке сообщений источнику, либо ничего не отсылаем, тем самым заставляем источник ожидать какое-то время нашего ответа)
3. Перенаправление всех пакетов на другой компьютер.
Все зависит от типа атак. Если тупо гасим размерами пакетов, то конечно в перенаправлении эфективности нету! Канал просто ляжет!
Но вот про более интелектуальные атаки, на ошибки в сервисах (например по переполнению буфера), то тута можно и перенаправление применить! Пусть ломают не рабочий сервак! Который будет выдавать абсолютно неадекватные ответы и вести себя по отношению к источникам атаки как угодно, что по моему мнению может затормозить атаку и поломать голову над ответами сервера (одним из ответов может быть, к примеру, что сервис в данный момент не работает, а через минуты выдать, что заработал). А как известно время деньги! За это время у админа есть время разобратся в ситуации и начать принимать меры.
Это моя логика на все это.
Если есть какие-то замечания, то хотелось бы услышать! Может я и не прав, тогда поясните в чем?
2. http://www.cyberguru.ru/networks/network-technologies/ddos-protection-page4.html
Принцип работы систем защит от DDoS атак
Система защиты от DDoS атак базируется на уже имеющихся в сети маршрутизаторах и добавляет в сеть свои два компонента:
•устройство для блокирования DDoS атаки. В английском языке это устройство называют mitigator. В связи с отсутствием аналогичных статей по данной теме я введу русский термин: буду называть его блокиратор;
•устройство со встроенным искусственным интеллектом для обнаружения DDoS атаки и перенаправления атаки на блокиратор, буду называть его детектор.
Команды для проверки нагрузки на сервер и определения DDoS атаки
Виды DDoS-атак (условия для DOS/DDos атак)
1. Недостаточная фильтрация данных может привести повышенному потреблению ресурсов, к длительному или бесконечному циклу, выделению огромного объема оперативной памяти.
2. Недостаточная фильтрация данных
3. Атака второго рода — подобные атаки приводят к срабатыванию системы защиты, что приводит к недоступности сервера
4. Флуд — Думаю тут все ясно. Большое количество ресурсоемких запросов, обращенных к серверу.
Что делать?
Либо в случае ОС CentOS5/RHEL:
Если их более 20-30, то это уже повод для беспокойства.
Далее обязательно просмотреть глобальные логи Апача на предмет наличия аномалий (например, запросов без указания вихоста):
Если «большой» лог найден, то его стоить проанализировать на предмет аномалий следующим образом:
Эта команда укажет число запросов до сайта с уникальных айпи, вывод ее будет в виде:
Полезные команды:
Число процессов Apache:
Число коннектов на 80 порт:
То же, в статусе SYN
Пример SYN-флуда:
Посмотреть много ли разных IP:
На какой домен чаще всего идут запросы:
Статус Apache:
Посмотреть откуда IP или Domain:
С какого IP сколько запросов:
Количество соединений с сервером:
Вывод информации в реальном времени, IP которые соединены с сервером и какое количество соединений по каждому IP
позволяет узнать сколько одновременных подключений на порт с 1 айпи
# устанавливаем максимальное количество подключений с одного айпи.
# В браузерах эта количество подключений к серверу ограничено 16 соединениями,
# но стоит учитывать тех, кто сидит за NAT, а также что пользователь
# может открыть 2 сайта на разных айпишниках одного и того же сервера.
# Данный параметр подбирается оптимально с помощью предыдущей команды.
# будет препятствовать спуфингу от нашего имени.
# Ведь если мы получаем пакет с установленными флагами SYN и ACK
# (такой комбинацией флагов обладает только ответ на SYN-пакет) по еще не открытому соединению,
# это означает, что кто-то послал другому хосту SYN-пакет от нашего имени, и ответ пришел к нам.
# Конечно, злоумышленнику предстоит еще угадать номер последовательности.
# Согласно приведенному правилу, наш хост ответит RST-пакетом, после получения которого
# атакуемый хост закроет соединение.
# Для защиты от SYN атак включаем SYN-cookies
# Увеличиваем размер очереди полуоткрытых соединений (также полезно при SYN флуде) (default 512)
# Проверять TCP-соединение каждую минуту. Если на другой стороне — легальная машина,
# она сразу ответит. Дефолтовое значение — 2 часа.
# Повторить пробу через десять секунд
# Количество проверок перед закрытием соединения
# Фильтр обратного пути, защита от спуфинга (подмены адресов)
# Уменьшение времени удержания «полуоткрытых» соединений
# Сделаем так, чтобы перепередача осуществлялась на 3 секунде
# и полное время хранения полуоткрытых соединений в очереди составило 9 секунд
# Изменяем время ожидания приема FIN до полного закрытия сокета
Читайте другие интересные статьи
Понравилась статья, расскажи о ней друзьям, нажми кнопку!
Вычисляем DDOS на сервере
Бывает сидишь такой, никого не трогаешь, а тут тебе звонят и говорят что сервисы работают медленно, сайты открываются по 2-3 минуты умудряются выдавать 504 ошибку.
Расстроенным лезешь в cacti, а там такое:
Далее начинаешь судорожно искать причину всего этого, и выясняется что это обычный DDos…
Ниже будут приведены команды, которые помогут понять вам, что случилось, и точно ли это DDos.
Для начала я рекомендую прочитать статью «Средства мониторинга Linux системы (часть 1?)» в ней подробно описано какие логи нам интересны, как читать вывод команды top и как пользоваться командой ps. Все они нам пригодятся для того чтобы понять какие хосты у нас подверглись атаке и какие узкие места есть на сервере.
Какими командами, и что мы можем определить?
Для начала можно посмотреть число запущенных процессов Apache. Если их более 20-30 то явно уже что-то не так.
Смотрим число процессов Apache в Debian:
Смотрим число процессов Apache в CentOS:
Данной командой мы можем посмотреть количество соединений с сервером:
Так же показателем того, что на сервер идет DDos может служить числе коннектов на 80 или 443 порт. Вот команды способные показать это число:
Существует еще такая разновидность DDod, как SYN. Ниже приведена команда позволяющая определить число SYN запросов на те же 80 и 443 порты:
А эта команда показывает количество SYN запросов:
Следующая команда позволит понять нам, на какой домен идет больше всего запросов:
Теперь посмотрим какое количество запросов приходит с каждого IP. Эта команда показывает по всем портам:
Эта команда показывает количество запросов только по 80 порту:
Эта команда показывает все запросы на 80 порт, не считая их, т.е. «упрощенный» но «наиболее полный» вариант вывода:
Вычислив наиболее активный IP можно так же посмотреть на какие порты идут с него запросы. Тут для примера подставлен IP 127.0.0.1:
Кстати, если у вас не настроен server-status на Apache, то статус этого сервера можно посмотреть в CLI:
Лог Файлы
Естественно рекомендуется смотреть лог файлы вашего сервера Apache и Nginx (если он есть).
Глобальные логи Apache, в Debian, обычно находятся там:
Глобальные логи Nginx находятся там:
Так же не забывайте просматривать логи виртуальных хостов, если хосты у вас настроены. Нас будет интересовать самый большой лог, который «растет» на глазах.
Искать в этих логах нужно аномалии, а именно однотипные запросы без юзер агентов (или с одним и тем же), большое количество запросов с одного и того же IP, запросы без указания виртуального хоста и т.д.
Выявить конкретные IP с числом запросов до сайта можно данной командой:
Так же можно получить статистика по запросам с группировкой по IP с помощью утилиты logtop.
Для начала установим эту утилиту:
И теперь получим статистику:
Следующая команда поможет нам выявить популярные user-агенты:
Как блокировать?
Вот как можно заблокировать tcp запросы на 80 порт с определенного IP:
Так мы блокируем запросы на все порты с определенного IP:
Посмотреть список уже заблокированных мы можем данными командами:
Если нам нужно удалить из блокировки определенный IP, можно воспользоваться этой командой
Чтобы удалить все правила, можно воспользоваться командой:
Немного профилактики, в целях защиты от DDos…
Есть еще некоторые правила, которые смогут оградить нас от бездумных ботов, создающих нагрузку на сервер.
Следующей командой мы установим максимальное количество подключений с одного IP на 80 порт:
Тоже самое можно сделать и для DNS:
Следующее правило в iptables будет препятствовать спуфингу от нашего имени. Как правило, во время ddos мы получаем пакет с установленными флагами SYN и ACK по еще не открытому соединению (этой комбинацией флагов обладает только ответ на SYN-пакет). Это говорит о том, что кто-то послал другому хосту SYN-пакет от нашего имени, и ответ пришел к нам.
По данному правилу, наш хост ответит RST-пакетом, после получения которого атакуемый хост закроет соединение.
Сохранить правила можно следующей командой:
Что еще можно сделать?
Еще не помешает немного «оттюнинговать» ядро, сделать тонкую настройку Apache и Nginx (если таковой стоит), поставить дополнительные модули и пакеты для защиты от атак, такие как Fail2Ban, mod_evasive, ModSecurity..
Но все это темы других статей, которые скоро будут написаны…
Как выявить атаку-DDoS на сервер и остановить ее
Продолжим изучать DDoS-атаки. Определенная атака типа «отказ в обслуживании» (DDoS) может произойти с кем угодно и когда угодно. Если вы владелец веб-сайт, который работает на выделенном веб-сервере, важно понять, что такое DDoS-атака, правильно ее идентифицировать и что необходимо предпринять, чтобы остановить и предотвратить ее.
Что такое DDoS-атака?
Во время нормальной работы веб-сервер предоставляет вашу веб-страницу посетителям следующим образом:
— Человек вводит ваш URL в свой веб-браузер.
— Веб-браузер отправляет HTTP-запрос к URL-адресу веб-сайта.
— DNS-серверы вашего провайдера преобразуют URL-адрес в правильный IP-адрес веб-сервера.
— HTTP-запрос направляется через Интернет на веб-сервер.
— Веб-сервер использует страницу, запрошенную в URL, чтобы найти правильный файл HTML.
— Веб-сервер отвечает всем содержимым этого HTML-файла.
— Браузер пользователя получает файл HTML и отображает страницу для пользователя.
Большинство веб-серверов имеют процессор и сетевое оборудование для обработки среднего ожидаемого трафика в день. Для некоторых веб-сайтов это может быть до ста тысяч или даже миллионов посетителей за один день.
Однако хакер, надеющийся атаковать ваш сайт с помощью DDoS-атаки, использует ботнет из миллионов компьютеров со всего мира, чтобы отправлять тысячи HTTP-запросов в секунду на ваш веб-сервер.
Поскольку ваш веб-сервер не был рассчитан на такой объем трафика, веб-сервер будет отвечать на ваши обычные посетители сайта с сообщением об ошибке «Сервис недоступен». Это также известно как ошибка HTTP 503.
В редких случаях, когда ваш сайт работает на очень маленьком веб-сервере с небольшим количеством доступных ресурсов, сам сервер фактически зависнет.
Как определить DDoS-атаку?
Как вы узнаете, что ваш сайт только что вышел из строя из-за DDoS-атаки? Есть несколько симптомов, которые являются мертвой раздачей.
Обычно ошибка 503 HTTP, описанная выше, является четким указанием. Однако еще одним признаком DDoS-атаки является очень сильный скачок пропускной способности.
Вы можете просмотреть это, войдя в свою учетную запись с веб-хостинга и открыв Cpanel. Прокрутите страницу вниз до раздела «Журналы» и выберите «Пропускная способность».
Нормальная диаграмма пропускной способности за последние 24 часа должна показывать относительно постоянную линию, за исключением нескольких небольших пиков.
Однако недавний непропорциональный всплеск пропускной способности, который остается высоким в течение часа и более, является четким свидетельством того, что вы столкнулись с DDoS-атакой на ваш веб-сервер.
Если вы считаете, что обнаружили DDoS-атаку в процессе, важно действовать быстро. Эти атаки потребляют большую пропускную способность сети, и если вы заплатили за хостинг-провайдера, это означает, что их сервер данных будет испытывать такой же скачок пропускной способности. Это может оказать негативное влияние и на других их клиентов.
Как остановить DDoS-атаку
Вы ничего не можете сделать сами, если столкнетесь с DDoS-атакой. Но, позвонив провайдеру веб-хостинга, они могут немедленно заблокировать все входящие HTTP-запросы, направленные на ваш веб-сервер.
Это мгновенно снижает нагрузку на ваш веб-сервер, так что сам сервер не падает. Это также предотвращает негативное влияние атаки на других клиентов хостинг-провайдера.
Хорошей новостью является то, что атака будет прекращена. Плохая новость заключается в том, что, блокируя весь трафик на ваш веб-сервер до завершения атаки, человек, который хотел закрыть ваш сайт, по сути выиграл.
Как победить DDoS-атаку
Если вы выполняете критически важную онлайн-операцию, такую Икак крупный бизнес, и хотите, чтобы ваш сайт был защищен от DDoS-атак, это возможно, но это не дешево. Службы защиты от DDoS работают, создавая своего рода ботнет-счетчик, который больше ботнета, выполняющего DDoS-атаку. Это создает распределенный ответ на входящие HTTP-запросы, даже если таких запросов сотни тысяч или миллионы.
С этими услугами взимается ежемесячная плата за обслуживание. Но если вы окажетесь частой жертвой DDoS-атак, эти службы защиты от DDoS вполне могут стоить своих затрат. DDoS-атаки могут быть в лучшем случае незначительным неудобством, которое приводит к простоям на несколько часов. В худшем случае это может стоить вам значительного количества потерянного онлайн-трафика, не говоря уже о падении клиентов, которые доверяют вашему сайту.