книги хакеры / журнал хакер / 129_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
|
|
NOW! |
r |
|
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
w Click |
|
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
p |
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Атакующий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЖЕРТВА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• способы распознавания начинающейся DDoS-атаки; |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
• методы борьбы с конкретными типами DDoS-атак; |
Ñëåä в истории |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
• универсальные советы, которые помогут подготовиться к DoS- |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
атаке и снизить ее эффективность. |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
В самом конце будет дан ответ на вопрос: что делать, когда началась |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DDoS-атака. |
1997ãîä—DDoS-атака на web-сайт Microsoft. Один день молчания. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
1999ãîä—«вне зоны действия» оказались web-сайты Yahoo, CNN, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
БОРЬБАСFLOOD-АТАКАМИИтак, существует два типа DoS/DDoS- |
eBay è äð. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
атак, и наиболее распространенная из них основана на идее флуда, |
Октябрь2002—атака на корневые DNS-серверы интернета. На |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
то есть заваливании жертвы огромным количеством пакетов. Флуд |
некоторое время были выведены из строя 7 из 13 серверов. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
бывает разным: ICMP-флуд, SYN-флуд, UDP-флуд и HTTP-флуд. Сов- |
21февраля2003года—DDoS-нападение на LiveJournal.com. Два |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ременные DoS-боты могут использовать все эти виды атак одновре- |
дня сервис находился в парализованном состоянии, лишь иногда пода- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
менно, поэтому следует заранее позаботиться об адекватной защите |
вая признаки жизни. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
от каждой из них. |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
1. ICMP-ôëóä. |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Очень примитивный метод забивания полосы пропускания и созда- |
когда он уже не сможет принимать новые запросы на подключение. |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
ния нагрузок на сетевой стек через монотонную посылку запросов |
Основан на попытке инициализации большого числа одновремен- |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
ICMP ECHO (пинг). Легко обнаруживается с помощью анализа по- |
ных TCP-соединений через посылку SYN-пакета с несуществующим |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
токов трафика в обе стороны: во время атаки типа ICMP-флуд они |
обратным адресом. После нескольких попыток отослать ответный |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
практически идентичны. Почти безболезненный способ абсолютной |
ACK-пакет на недоступный адрес большинство операционок ставят |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
защиты основан на отключении ответов на запросы ICMP ECHO: |
неустановленное соединение в очередь. И только после n-ой попытки |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
закрывают соединение. Так как поток ACK-пакетов очень велик, вско- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
# sysctl net.ipv4.icmp_echo_ignore_all=1 |
ре очередь оказывается заполненной, и ядро дает отказ на попытки |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
открыть новое соединение. Наиболее умные DoS-боты еще и анали- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Или с помощью брандмауэра: |
зируют систему перед началом атаки, чтобы слать запросы только на |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
открытые жизненно важные порты. Идентифицировать такую атаку |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
# iptables -A INPUT -p icmp -j DROP --icmp-type 8 |
просто: достаточно попробовать подключиться к одному из сервисов. |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Оборонительные мероприятия обычно включают в себя: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.SYN-ôëóä. |
• Увеличение очереди «полуоткрытых» TCP-соединений: |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Один из распространенных способов не только забить канал связи, |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
но и ввести сетевой стек операционной системы в такое состояние, |
# sysctl -w net.ipv4.tcp_max_syn_backlog=1024 |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
XÀÊÅÐ 09 /129/ 09 |
127 |
|
|
|
|
|
|
|
|
|