Как защититься от DDoS-атак! Хакерские атаки на серверы типа "отказ от обслуживания" (DoS) становятся с каждым днем все более изощренными и разнообразными. Постоянно появляется необходимость во все более сложных и эффективных инструментах защиты.
В частности, тема защиты от таких атак была центральной на октябрьской конференции Североамериканской группы сетевых операторов (NANOG). Как отмечали докладчики, все более широкое применение получают так называемые DDoS, "распределенный отказ от обслуживания". Технология DDoS атак подразумевает метод грубой силы - атакующий тем или иным способом пытается "забить" канал, открывает максимально возможное количество соеденений на тот или иной сервис. Также злоумышленник может посылать большое количество определенного типа пакетов на хост, и тем самым попытаться вывести из строя работающую на нем операционную систему. Как правило, в таком случае система на том хосте не успевает обработать все пакеты, происходит переполнение буфера и ОС перегружается или виснет.
Особенно чутки к таким воздействиям бывают системы семейства Windows: такие машины легче поддаются воздействию хакерских атак и быстрее отключаются. Например, специалистом агентства "Рустар" был замечен факт, когда от огромного количества ICMP пакетов (команда ping) на канале в 10 мегабит Windows NT не выдерживала и 5-ти минут, а Windows 9.x еще меньше. Дело в том, что эти системы, несмотря на свою простоту в управлении, с технической точки зрения сделаны достаточно "сыро", особенно когда речь идет о реализации стека протоколов TCP/IP. Понятно, что найти альтернативу Windows порой невозможно, поэтому это еще раз должно натолкнуть руководства компаний на применение современных средств сетевой защиты, а специалисты интернет компаний должны еще раз ответить себе на вопрос - а можно ли отказаться от использования Windows как ОС для их серверов.
Кстати, участники американской конференции теоретически не исключили использования злоумышленниками в своих целях целых каскадов маршрутизаторов, что сможет привести к парализации на время всей инфраструктуры Интернета. Единственная надежда - на специалистов по компьютерной безопасности и на надежные системы защиты.
О том, как защититься от атак типа DoS и DDoS, рассказал сотрудник отдела компьютерной безопасности интернет-агентства Рустар Сергей Слезко.
- Для небольших и средних компаний, имеющих локальные сети с каналом в Интернет, можно посоветовать использовать межсетевые экраны. Это, как правило, отдельно стоящий компьютер или маршутизатор, который пропускает через себя трафик из нескольких, строго определенных, сетей, причем, естественно, контролируемый трафик должен физически (!) проходить через этот экран. Сетевая ОС на этом экране (Firewall) осуществляет фильтрацию трафика с последующей его логической обработкой. Например, можно настроить Firewall таким образом, что из защищенной сети можно будет заходить в Интернет, тогда как "из внешнего мира" подключиться к какой-нибудь рабочей станции будет невозможно, несмотря на доступность этой сети из Интернета. Firewall будет "отсекать" попытки подсоединиться к рабочей станции (распространенный вид DDoS когда взломщик подключается к 139 порту Windows и вызывает зависание этой ОС) или , к примеру, можно лимитировать канал на тот или иной трафик, например, если сделать лимит на ICMP трафик не более 50 кбит/с, то забить тот или иной канал уже намного сложнее. Такие системы должны настраивать специалисты, т.к. существует много тонкостей в протоколах TCP/IP.
Конечным пользователям можно посоветовать системы защиты индивидуального характера, такого рода программы есть и для Windows. Но применять его советую лишь в случаях, когда нет возможности поставить отдельно Firewall (как правило, это пользователь, подключившийся по dial-up), поскольку в отличие от сетевых ОС, которые изначально ориентированы на работу с трафиком, это лишь своего рода "надстройка" над Windows, и, естественно, невозможно так же надежно контролировать трафик. Хотя это все же лучше чем "лезть" в Интернет с "открытой" Windows.
Это не всё!!! Скоро будет ещё!
[Видеомануал]
В этом видеоуроке Вы почерпнете для себя информацию о методике защиты своего сайта от небольших DDos-атак. Данная методика не защитит Ваш сайт в случае мощной ддос-атаки на отражение которой нужно дорогостоящее оборудование, но если Ваш сайт атакуют любители или просто хулиганье, в распоряжение которых находится не много машин (маленькая бот сеть), то этот метод должен Вам помочь.
В этом уроке Вы узнаете о инструментах, которые призваны защитить Ваши сайты. Первый инструмент запрещает доступ к Вашему сайту с определенных IP адресов. Как Вы знаете, любой компьютер, с которого напрямую выходят в сеть Интернет имеет свой уникальный IP. При этом, когда мы загружаем какой-нибудь сайт, наш браузер обменивается информацией с тем сервером, где этот сайт расположен. При обмене, в числе прочих параметров передается и IP адрес. Если Вы знакомы с PHP, то Вам не составит труда этот IP определить.нежелательный посетитель и Вам известен его IP адрес (диапазон адресов), то с помощью этого инструмента Вы сможете заблокировать ему доступ на сайт. Второй инструмент блокирует переходы на Ваш ресурс с других сайтов. У меня, например, была ситуация, когда один партнер дал ссылку на мой минисайт по продаже одного из моих дисков в системе накрутки посещений. В тот день на минисайт зашло около 7000 посетителей (накрутчиков), из-за которых чуть не упал сервер. В тот день хостер сделал мне предупреждение за чрезмерную нагрузку. Естественно, ни одной продажи мне эти псевдопосетители не принесли. Чтобы знать как действовать в подобной ситуации, смотрите урок и обратите внимание на второй инструмент.
Третий инструмент - это хотлинк защита. С помощью него Вы огородите себя от такой ситуации, при которой изображения и файлы Вашего сайта, незаметно используются владельцами других сайтов. При этом на сервер Вашего хостера ложится дополнительная нагрузка, о которой Вы можете даже не подозревать. Все три инструмента очень полезны. Обязательно смотрите, запоминайте и используйте!
Время урока: 10 мин
Автор: Евгений Попов
Тип: видеоурок
Год выхода: 2009
Язык: русский
Размер архива: 11.6 MB
