Нас атакуют

Вопросы и предложения по форуму
Admin
Site Admin
Сообщения: 114
Зарегистрирован: Вс 26 ноя, 2006 7:37 pm
Контактная информация:

Нас атакуют

Сообщение Admin » Чт 22 мар, 2007 11:20 am

Сегодня утром сайт был не доступен. Причины установлены.

Сообщение от тех. поддержки хост-провайдера:
На Ваш сайт ночью была DDOS-атака (в логах сайта это, естественно, отражено), поэтому мы были вынуждены временно блокировать доступ к сайту, чтоб не создавать повышенной нагрузки на сервере.

АльфаМобиль RU CPL


Аватара пользователя
Stem
Сообщения: 2475
Зарегистрирован: Вс 03 дек, 2006 2:36 pm
Откуда: Две столицы
Контактная информация:

Сообщение Stem » Чт 22 мар, 2007 11:22 am

Неприятно :(

А днём вчера что происходило? Тоже не было доступа несколько часов.

АльфаМобиль RU CPL

Все вышесказанное является исключительно личной точкой зрения.
******************
Чашка - наша !!!
Поздравления принимаются в четверг. ;)

Admin
Site Admin
Сообщения: 114
Зарегистрирован: Вс 26 ноя, 2006 7:37 pm
Контактная информация:

Сообщение Admin » Чт 22 мар, 2007 11:42 am

Сразу внимания не обратил. Счетчик накрутили. Сегодня посетителей: всего 47089.

АльфаМобиль RU CPL


s650mb
Сообщения: 6
Зарегистрирован: Вт 20 мар, 2007 4:44 pm
Контактная информация:

Сообщение s650mb » Пт 23 мар, 2007 12:54 pm

Stem
Ничего себе несколько часов, с утра и до позднего вечера.

АльфаМобиль RU CPL


Аватара пользователя
Levrevod
Сообщения: 689
Зарегистрирован: Пн 04 дек, 2006 3:44 pm
Откуда: New Переделкино
Контактная информация:

Сообщение Levrevod » Пт 23 мар, 2007 2:47 pm

DDoS-атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:



управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;
главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров;
агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень.
Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.

Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети.



Дело в том, что изначально программное обеспечение DDoS создавалось в "мирных" целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Наиболее эффективным в этом случае является использование так называемых ICMP-пакетов (Internet control messaging protocol), т.е. пакетов, имеющих ошибочную структуру. На обработку такого пакета требуется больше ресурсов, после решения об ошибочности пакет отправляется посылающему, следовательно достигается основная цель - "забивается" трафик сети.

За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак:

UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.
TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.
TCP SYN flood - посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.
Smurf-атака - пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.
ICMP flood - атака, аналогичная Smurf, но без использования рассылки.
Естественно, наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.

Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами.

Конечно же, в этом обзоре указаны только наиболее известные программы и методики DDoS. На самом деле спектр программ намного шире и постоянно дополняется. По этой же причине достаточно наивным было бы описание универсальных надежных методов защиты от DDoS-атак. Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса.


Автор: Владимир Малярчук
Источник: www.hostinfo.ru

АльфаМобиль RU CPL


Admin
Site Admin
Сообщения: 114
Зарегистрирован: Вс 26 ноя, 2006 7:37 pm
Контактная информация:

Сообщение Admin » Пт 23 мар, 2007 3:02 pm

Кроме атаки на HTTP, которая началась вчера ночью, была так же осуществлена распределенная DDoS атака ICMP* пакетами, причем в пике на сервер приходило 400 Мб/с. Поэтому наш сайт и не мог нормально функционировать почти сутки.

ICMP - протокол межсетевых управляющих пакетов, предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом-источника пакета.

АльфаМобиль RU CPL


Аватара пользователя
Stem
Сообщения: 2475
Зарегистрирован: Вс 03 дек, 2006 2:36 pm
Откуда: Две столицы
Контактная информация:

Сообщение Stem » Пт 23 мар, 2007 10:57 pm

Сутки??? Я не мог достучаться примерно с полудня четверга до самого сегодняшнего вечера...

Я так понимаю, действенных мер защиты нет и нас могут снова подвесит в любой момент. Так?

АльфаМобиль RU CPL

Все вышесказанное является исключительно личной точкой зрения.

******************

Чашка - наша !!!

Поздравления принимаются в четверг. ;)


Вернуться в «Форум»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость