Мануал По Ddosатакам И Защите Сервера!

[««†KENVOOD†»» 12]

DDoS атака (Distributed Denial of Service)

Скрытый текст

Начнем с того что же из себя представляет DDoS :атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

 

Таким образом DDoS - чаще всего:

 

1)Флуд (атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.)

 

2)Атака второго рода (атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании

 

3)Недостаточная проверка данных пользователя (приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти))

 

Итак как же узнать что вы подверглись DDoS атаке и предотвратить это дело - DDoS нападение распознать просто – замедление работы сети и серверов, заметное как администратору системы, так и обычному пользователю.

Первым шагом в нашей защите мы должны идентифицировать тип трафика, который загружает нашу сеть. Большинство нападений DDoS посылает очень определенный тип трафика - ICMP, UDP, TCP, часто с поддельными IP адресами. Нападение обычно характеризует необычно большое количество пакетов некоторого типа. Исключением к этому правилу являются DDoS нападения, направленные против определенных служб, типа HTTP, используя допустимый трафик и запросы.

Итак некоторые советы по блокировке DDoS атак :

Домашнему пользователю достаточно будет поставить себе FireWall на 139 и 135 порты, но серверу придётся сделать намного больше для защиты от атак подобного вида. Вот что нужно сделать серверу:

 

1) Постоянно следить за обновлениями ПО и обнаружением новых "дыр" в используемом ПО.

2) Скоординировать свои действия с поставщиком услуг интернета и поставить ограничение на входящий трафик.

3) Быть готовым в любой момент отразить DDoS атаку и принять необходимые меры по устранению её последствий.

4) Проверять все компьютеры в сети, т.к. их чаще взламывают чем сам сервер.

5) Закрыть неиспользуемые и ненужные порты.

6) Установить FireWall, желательно FireWall-1, т.к. практически все хакеры стараются обходить его стороной из-за многопротокольной проверки пакетов с так называемым учётом состояния протокола (SMLI).

 

Это только самые важные аспекты, которые помогут вам защитить вашу сеть от DDoS

 

Как произвести DDoS атаку на сервер:

Скрытый текст

DoS атаку можно провести двумя способами:

1) - использовав уязвимость в программном обеспечении (ПО),

2) - при помощи отсылки большого количества пакетов на атакуемый сервер.

 

В первом случае для проведения DDoS атаки можно использовать уязвимости в ПО, для примера ошибка типа "переполнение буфера": при переполнении внутреннего буфера программы, ей можно отослать исходный код выполняющий DDoS атаку на сервер, т.к. DDoS атака будет производиться на самом сервере, то через 1-5 минут после начала DDoS атаки сервер будет выбит из интернета или "зависнет".

 

Во втором случае надо хотя бы на минимальном уровне знать стек TCP/IP, но некоторые принципы проведения DDoS атаки при помощи этого стека я постараюсь вам объяснить. При получении сервером пакета данных происходит его обработка, но если сервер занят приёмом или обработкой другого пакета ваш пакет становится в очередь и естественно занимает некоторую часть серверных ресурсов. При DDoS атаке не ожидая ответа от сервера, ему отсылается большое количество пакетов определённого размера , В результате большая часть серверных ресурсов занята и сервер оказывается перегружен избытком информации и либо аварийно отключается от интернета (при помощи специального ПО, контролирующего сетевой трафик), либо (если не установлено такое ПО) "зависает". Данный тип атаки наиболее опасен, т.к. после её проведения вся подсеть будет повреждена. Так как для проведения качественной DDoS атаки требуется большая скорость, хакеры придумали довольно-таки изощрённые методы, вот несколько из них:

 

1) Используя скорость уже взломанного сервера и проводя DoS атаку при помощи его.

 

2) Используя множество персональных компьютеров (обычно такое происходит если одна хак группа хочет "завалить" вражеский сервер).

 

3) И ещё один довольно хитрый, но рабочий способ: на любом сервере размещаются IRC боты, когда хозяин заходит на IRC канал и даёт команду, например "атакуй 195.168.227.34", то каждый из ботов начинает слать огромное число пакетов небольшого размера. Так как здесь участвуют одновременно несколько ботов, то скорость сервера, на котором стоят боты, может быть меньше скорости жертвы. Теперь давайте разберёмся с DoS атакой на персональные компьютеры, такая атака обычно называется WinNuke или Nuke атака.

 

Атака WinNuke построена на использовании ошибки ПО в операционной системе Windows 95,98. Такая атака производится на 139 или 135 порт (протокол NetBIOS). Но к сожалению (а может и к счастью) времена WinNuke прошли. Но несмотря на это ещё можно атаковать чужой компьютер WinNuke*ом, но только если ваша скорость интернета в несколько раз превосходит скорость жертвы, либо если жертва "сидит с непропатченой Windows 98 , ну или с Windows 95/ME/2000/XP"