• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

ВАЖНО Концепт построения отказоустойчивой системы для защиты от ддос


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
В связи с последними событиями в рунете, решил создать такую тему !

В данной теме не будет каких-то сложных технических выкладок, в данной теме хочу-лишь рассказать своё понимание как можно защитится от ддос, понятно что всё зависит от умений, ресурсов и желания атакующих !

Итак, вас ддосят или вы обеспокоенны потенциальным ддосом, что нужно предпринять:

1)Позаботится о тарифе, т.е. если это шаред хостинг и без предоставления защиты от ддос, то меняйте его, при ддосе он упадёт;

2)Никакий лимитированных тарифов, по причине что при массированной атаки, у вас просто сожрётся траффик и сервер заблокируют, да и есть атаки которые специально выкачивают терабайты с сервера ! :(

Немного рассмотрим виды ддос атак, как я понимаю, опять-таки какие-то технические выкладки оставим, я разделяю ддос на два типа:

1. Медленный ддос - Направленные на создание нагрузки на сервер, если по простому, то на определённую часть сайта (Например главная страница, поиск и т.д.), посылается куча POST/GET запросов и в этоге сервер перестаёт работать, особенно если сервер плохо настроен, он упадёт и с концами... :(

Как защитится:

1.1. Сделать тюнинг потенциально атакуемых сервисов, особенно таких-как апач, mysql, nginx и т.д.

1.2.На что следует обратить особо внимание:

-Нужно посмотреть сколько отожрёт памяти система при пиковой нагрузке, пример mysql не должен отжирать всю память при пиковой нагрузки, тюнинговать его можно при помощи mysqltuner, также обратите внимание на таймаунты (Обычно нужно уменьшить) и максимальное число коннектов...

- С апачем тоже самое, уменьшить таймаунты и максимальное число коннектов...

- Далее можно использовать программы которые по определённым алгоритмам блокируют айпи адреса, пример DdosDeflare, т.е. смысл при определенном числе коннектов за x секунд, айпишник попадает в бан на определённое время...

-Можно также ограничить вообще максимальное число коннектов с апишника.

2.Теперь рассмотрим второй вид ддос атак, это атаки на забивания канала, т.е. например у вас порт 100 Мбит/с, а хакер начнёт посылать запросы со скоростью 1 Гбит/с, то понятно что просто канал будет забит и сервер будет недоступен и к сожалению тут бесполезно закрывать порты, что-то там банить и т.д.

Вот скрин атаки на мой сервер:

FIx7rVX.png


Как видите канал полностью забит... :(

Как защитится:

2.1.Расширение полосы канала сервера;

2.2. Использовать облачные сервисы и специальные сервисы для защиты от ддос, такие-как CloudFlare, DDOSGuard и т.д.:

Смысл их в том-что перед вашим сервером, ставится как-бы куча распределённых серверов, там стоят различные фильтры, которые по определённым признакам фильтруют запросы.

Но возникает проблема:

А проблема, такая-что ОЧЕНЬ важно в такой ситуации скрыть реальный айпишник сервера, если хакер его обнаружит, то сможет посылать запросы напрямую по айпишнику, также рекомендую закрыть сервер от сторонних запросов к серверу, кроме сервиса защищающего от ддос...

Но к сожалению в случае обнаружение хакером айпишника вашего сервера, проблему забивания канала это не решит ! :(

Как-же хакер может обнаружить реальный апишник сервера:

-При неправильно настроенном днс, можно нехитрыми запросами вычислить реальный апишник сервера, пример:
Код:
ping ftp.domain.com

ping cpanel.domain.com

ping mail.domain.com

Не работаем, пробуем нмап:
Код:
nmap -sV -sS -F <target>

nmap --script dns-brute -sn <target>

Опять не работаем, сайт жертвы позволяет отправлять почту ?

Если, да регимся там и смотрим заголовок письма и видим там:

Пример в маил ру:

upload_2015-6-4_11-30-8.png


Видим айпишник:

upload_2015-6-4_11-31-16.png


Как защитится:

-Я рекомендую удалить все записи кроме А-записей, если нужна почта для домена, то настроить через сторонние сервисы например через яндекс и не хранить почту на атакуемых серверах;

-Если атакуемый сайт должен пересылать почту, например как здесь при регистрации и подписке на новости, необходимо сделать следующие:

1. Использовать SMTP Ремейлер (англ. remailer) — это сервер, получающий сообщение
электронной почты и переправляющий его по адресу, указанному отправителем. В процессе переадресации вся информация об отправителе уничтожается и тогда айпишник вашего сервера не будет отображаться.

2.Если есть возможность, то поднять свой SMTP сервер на отдельном сервере и чистить загаловки письма...

Я-же использую пока этот сервис для отправки, немного глючный но работает:
[HIDE=5]https://sendpulse.com/ru/[/HIDE]

Если я что-то упустил в этой теме, жду дополнений ! ;)
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
Ещё рекомендуют не задаваться вопросом, кто, зачем и почему, не вступать в переговоры с какерами, не поддаваться любопытству, а ждать и действовать...
Всё приходит с опытом.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
А я всё думаю как скрыть айпишник сервера, хотел настроить сервак так что-бы он отсылал через сторонний SMTP, даже поднимал свой и нехрена не получается, в этоге что-то там наделал и у меня все почтовые службы полетели...

Ну как обычно чо, не устанавливается, не удаляется, не запускается...:Mem26:

Админ из меня ещё тот:

upload_2015-6-4_18-43-26.png
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Ну а что тут добивать ?

Это специфика SMTP, даже если отправлять через сторонний сервис например яндекс, всё равно будет поле From, или цепочка, где будет светится адрес сервера, тут либо свой отдельный сервер SMTP поднимать, да не просто сервер, а настраивать так что-бы он чистил загаловки писем...

Второй вариант, расширять канал...

Третий вариант менять хостера, кстати вот хостеры которые уже в тарифе защищают от забивания канала до 10гбит/с бесплатно (Проверенно в бою):

[HIDE=5]
https://cp.inferno.name/cart.php

http://www.ovh.ie/
[/HIDE]
 

Inspiration

Пользователь
Форумчанин
Регистрация
29.09.2018
Сообщения
18
Репутация
3




G or DDG:
ddos attack thesis 2017 pdf
ddos attack detection 2017 pdf
 
Верх Низ