[Enter]​

О DDoS-атаках пожалуй слышал каждый кто каким либо образом связывают свою жизнь с интернетом как с бизнесом или как с местом развития бизнеса.

Уже не раз писались статьи что такое DDoS-атаки, где они используются и какие разновидности существуют. Я лишь постараюсь дополнить упущенные моменты =)

Вспомним: DoS (Denial of service) - отказ в обслуживании. Как вы понимаете - данные термин определяет той или иной сбой в системе. Классическим примером является сервер, на котором размещен сайт. Если начинается DDoS-атака на данный сайт - вероятнее всего, что при отсутствии защиты со стороны сервера (в частности безобидности сисадмина) - сайт ляжет (точнее сервер на котором он стоит или же бывает что модули типа ngnix, apache или панели ISP перерезают доступ к определенному сайту спасая при этом сервер).

Если покопаться в истории, то мы узнаем что DoS раньше использовался сисадминами для проверки "прочности" своих серверов, но попав данная идея в руки РУССКИХ хакеров - весь мир тут-же обзавелся ботнетами и теперь мы можем увидеть сотни предложений за скромненькие суммы убить сайты конкурентов и так далее.

[It just...DDoS?]​

Атаки DoS делятся на 2 основных типа:

1) Использование уязвимостей в веб-сервере или определенном скрипте, что в большинстве случаев вызывает зависание в последствии переполнения буфера или не правильной обработки каким-либо модулем запроса.

Ярким примером есть PHP-include и бездарная настройка связки apache + php при которой тяжеловесный цикл вызовет зависание сервера.

Спасением будет лишь перезагрузка сервера.

2) Забивание канала или HTTP-get атаки.

Об этом способе довольно таки много чего рассказано. Я лишь хочу выделить несколько моментов:

Во-первых для каждого сервера подбирается свой тип атаки:

Что касается древних времен, то думаю все имевшие с этим дело помнять программу sprut =)

Эта программа выполнялась на одном компьютере посылая на сервер кучу запросов. Ее преимуществом на то время было в том, что о защите от DDoS никто и не думал, потому убить сайт было проще всего.



Поподробнее о syn:

Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-пакет жертве и, соответственно, получает обратно SYN/ACK-пакет. Если атакующий подтвердит ACK-пакетом факт получения ответа, то машины посчитают, что соединение установлено. Однако если атакующий не будет подтверждать этот факт, а продолжит постоянно передавать SYN-пакет на соединение, то запись о незавершенной процедуре подключения будет добавлена в буфер жертвы до истечения тайм-аута ответа. Когда в буфере накопится достаточное количество запросов, произойдет переполнение. После этого жертва перестанет отвечать на пользовательские запросы. Вот, собственно, и вся схема атаки. Чтобы не быть голословным, приведу пример заголовка пакета при данной атаке:

Аналогичные примеры разбросаны по всему Интернету, поэтому я не удивлюсь, если ты его уже где-то встречал или же постил сам. Обрати внимание на fragment_off, то есть на смещение фрагмента. В некоторых случаях использование длинных пакетов с большой фрагментацией дает желаемый результат намного быстрее приведенного метода.

Вот еще хороший пример нашей атаки. Нам потребуются, как минимум, два компьютера . Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя (кстати, об этом позже), который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании.



Slow HTTP Post

Совсем недавно был открыт новый метод DoS, который практически сделал революцию в многолетнем стаже DDoS атак как классических.

Чтобы понять суть данного метода стоит всего лишь вдуматся в его название: медленный HTTP пост-запрос.

На практике это выглядит следующим образом: Клиент передает серверу "Content-Length", а после удачного запроса начинает ОЧЕНЬ медленно передавать сам post-запрос. При этом на сервере потребляется большое количество ресурсов что в конечном итоге приводит к зависанию.

Имеется ввиду что для 1 такого запроса требуется намного больше времени. Если организовать ботнет, то в теории получится смесь http-get и syn флуда.

Подробнее на хабре

[Happy End?]​

Вот такие вот мы теперь крутые, можем устроить свой DDoS, да и вообще все замечательно. Однако не следует забывать, что повесить яндекс с диалапа не так просто, как кажется на первый взгляд. В принципе, можешь попытаться. Умные люди для этих целей используют свои армии затрояненных машин - DDoS ботнеты.

Еще не конец!

Всего, конечно же, не опишешь, однако я хотел рассказать про самую суть, чтобы ты узрел, наконец, в корень проблемы, а не в стебель конопли. Как видишь, нет ничего сверхсложного в технологии DDoS. Написать своего DDoS-бота можешь даже ты. Другое дело, что люди в погонах тебе спасибо не скажут, но это уже дело твое.



И в итоге:

Хотелось бы "внедрить" Вам лишь одно: Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них.

Но за это время я для себя выделил 3 вещи:

1) Не существует защиты, которая могла бы одолеть КАЧЕСТВЕННУЮ DDoS-атаку. Все зависит от Ваших рук и мозгов. Если ВЫ не настроете сервер качественно, то конец будет довольно печальным.

2) Не существует бота, который мог бы обойти умного сисадмина.

3) Нужно делать все во благо) Лично я беру заказы на DDoS лишь если там сайты с легальными наркотиками, педофилами и прочей нечестью.

Я даже, бывает, за бесплатно DDoS'ю некоторое время, пока не появится другой заказ.

Так что дорогие! Живите правильно, думайте умно и не забывайте 7 раз отмерять и 1 раз настроить.

Всем удачи!

Спасибо за внимание =)

С Вами был IsteriQ (OnlyOn)

[UPDATE]​

Прошу прощения!

Когда делал шапку для статьи, хотел написать как в теории можно было бы завалить дата-центр google с помощю одного DDoS-зомби.

Так вот:

Если принять во внимание что у google есть свой дата-центр, который оснащен явно мощными серверами и причем в больших количествах, то выводы о анти-ддосе и канале напрашиваются сами по себе.

Как я описывал выше, единственным выходом остается забить канал.

Канал google примерно 1тБайт/с (Не путать с Бит).

Если взять во внимание что к ПОИСКОВОЙ системе google постоянно обращается народ, то в запасе остается примерно 100 гБайт/c.

Теоритично можно запустить syn, icmp, udp флуд с таким траффиком и google загнется.

Но если все таки подумать головой, то проще организовать ботнет:

1 средняя машина зомби имеет канал 512кбайт/c.

100гБайт * 1024 * 1024 / 512 = 204800 машин.

Что в современном мире является огромнейшим ботнетом!

За историю 21 века известно всего 3 ботнета что по мощности равнялись выше указаным размерам, но только 1 из них был заточен под DDoS (Те кто знают что админы ботнета натворили - поймут о чем я).

В любом случае в планетарных масштабах все очень просто, а вот с организацией будет сложновато.

Про "Slow HTTP POST" забыл написать (OWASP 2010 Application Security Conference)

OnlyOn

Вспомнилась история, когда Яндекс положили...)

О статье: интересная, мне понравилась, но бывают моменты просто ни о чем...

Ну а в целом гуд, очень познавательно

з.ы. коян одобряэ

давай по чуточке уходить из этой темы, а то модераторы по **** надают.

Удаляем все посты кроме первых.

А я чуть зажрался. как минимум 50$ в сутки порой беру =(

тоже хочу

Статья не о чем

DDoS атаки или новый взгляд на Server-Kill

Ничего нового не увидел

P.S. Уровень ачата падает в геометрической прогрессии

А по-моему как раз таки изобрели очередной велосипед и тему статьи не раскрыли полностью. Вы не описали здесь никаких особенных и эффективных схем атаки, о slow http post дали только ссылку на хабру, а часть статьи о syn флуде вообще скопирована из журнала "Хакер" за 2006 год (не велосипед ли?). Можно было также написать, что syn флуд на данный момент не являеться эффективным, его реализация может вызвать некоторые трудности, так как, например, Windows XP Service Pack 3 не поддерживает работу с "сырыми" сокетами.

За 2 мс. успеет кто-нибудь ответить?

В статье не написано о новом взгляде на Server-Kill, лично мое мнение.

server-kill - DDoS-attack. успеет если сайт для локальной сети. ты часто встречаешь хостинги на винде чтобы назвать син не еффективным?

кому как. уж простите. вечером дополню статью примерами настройки ботнетов

Почитал, довольно интересно но мало нового(