Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > В помощь фрикеру > Безопасность

Безопасность Личная безопасность в сети. Шифрование, прокси и тд.

Ответ
 
Опции темы
Старый 27.02.2011, 12:49   #1
ra13
случайно влез
 
Регистрация: 19.03.2010
Сообщений: 42
Поблагодарил: 1
Поблагодарили 2 раз(а) в 1 сообщении
ra13 стоит на развилке
По умолчанию ddos атака и методы защиты

Анатомия DDoS-атаки

DDoS-атаки в последние несколько лет стали одним из самых распространенных преступлений в киберпространстве. Чаще всего хакеры организуют подобные нападения на серверы государственных органов и крупных бизнес-структур. Более того, в 2004 году появился такой вид преступлений, как шантаж возможностью проведения DDoS-атаки. Его жертвами становятся компании, бизнес которых напрямую зависит от стабильности работы web-серверов — например, онлайновые казино. Каков же механизм осуществления DDoS-атак? Попробуем разобраться.

Основы
DDoS-атака — распределенная атака типа "отказ в обслуживании" (DDoS — Distributed Denial of Service). Сегодня она является одной из самых распространенных и опасных сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы. По существу, атака DoS нарушает или полностью блокирует обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак — длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер. По данным Computer Emergency Response Team (CERT) — авторитетной международной организации в области безопасности Интернета — количество DDoS-атак резко возросло именно в последние годы, хотя сама технология известна уже достаточно давно. Новейшие информационные технологии теперь активно используются организованными преступными группировками. Впрочем, мотивация атакующих может быть самой различной: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин цель атакующих — поставить систему-мишень на колени, задействовав множество атак в диапазоне от локального прекращения сервиса до массивного DDoS-"наводнения". Большинство DDoS-атак базируется на использовании уязвимостей в основном протоколе Internet (TCP/IP) — в частности, на способе обработки системами запроса SYN. Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом, значительно затрудняется выявление реальных злоумышленников. Кроме того, широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в Глобальной сети технологий обеспечения безопасности. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и роста Интернета. Операционная система Windows — мишень для абсолютного большинства взломщиков. Кроме того, многие средства DDoS очень легкодоступны, и для их использования не требуется высокая квалификация.

Типы атак DDoS
Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке всей работы системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.

Второй (более распространенный) тип атак приводит к переполнению системы или локальной сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет 20 пакетов в секунду, законные пользователи, пытаясь подключиться к системе, получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке злоумышленник должен постоянно переполнять систему пакетами. После того, как он перестает это делать, проведение атаки прекращается, и система возобновляет нормальную работу. Этот тип атаки требует больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после ее проведения требует минимального вмешательства человека. При проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений.

Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействована 1000 машин, то блокировать их все становится чрезвычайно трудно. Причем, как правило, атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DDoS бывает сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. К тому же, от атак DDoS защититься довольно сложно еще и потому, что жертва никогда не может полностью исключить возможность ее проведения. Если компьютерная система подключается к Интернету, то всегда есть вероятность того, что взломщик может отправить в нее такое количество данных, которое она будет не в состоянии обрабатывать.

Вот конкретный пример того, как организовываются DDoS-атаки в наши дни — посредством комбинирования компьютерных технологий и приемов социальной инженерии. В начале января 2005 г. компьютерной компанией Sophos в Интернете была зафиксирована рассылка почтового вируса, маскирующегося под просьбу помочь жертвам цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком "Tsunami donation! Please help!" ("Пожертвования на цунами, пожалуйста, помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно, этот файл и содержал вирус. При активации он заражал компьютер пользователя, рассылал свои копии по всем найденным в компьютере адресам и готовился совершить DDoS-атаку на один из немецких хакерских сайтов.

Защита от DDoS-атак
Естественно, принципиально важный вопрос для специалистов в области компьютерной безопасности — способы защиты от DDoS-атак. Универсального рецепта нет до сих пор. Пока основное средство — быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования интернет- провайдера. Провайдер, получив тревожный сигнал, обязан моментально развернуть входные фильтры, чтобы блокировать "мусорный" трафик в тех точках, где он входит в сеть провайдера. Пока это лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить. Для примера: основной хост-сервер Пентагона подвергается в среднем ста DDoS-атакам в неделю, но благополучно с ними справляется именно благодаря собственной "системе быстрого реагирования".
Следует помнить, что большинство операционных систем (от Windows до многих версий UNIX), маршрутизаторов и компонентов сетей, которые должны обрабатывать пакеты на каком-либо уровне, являются уязвимыми для атак DDoS. Хотя атаки DDoS предотвратить довольно сложно, ограничение доступа к важным учетным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DDoS.

"Коммерческий" DDoS
Аналитики уже давно предсказывают, что в будущем DDoS-атаки будут одним из основных видов оружия в кибервойнах. В Интернете уже давно бушуют конфликты — от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. Но пока DDoS-атаки все же чаще используются организованными преступниками в своих целях. Спрос порождает предложение. По сообщению ряда СМИ, уже и в Рунете появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за $150-250 в сутки. Правда, многие эксперты утверждают, что за предложением "убить" веб-страницу по предоплате может скрываться обычное мошенничество. Типичное рекламное предложение этой "услуги" выглядит примерно так: "Мы рады вам предоставить качественный сервис по устранению сайтов, мы можем положить любой сайт нашей атакой, которая называется DDoS-атака". Согласно прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в $60, а суточный — в $150. По предоплате. Однако, судя по всему, серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют организованные криминальные структуры.

DDoS-"невидимка"
Специалисты хорошо знают: преступления в сфере компьютерных технологий специфичны прежде всего тем, что имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании — до 85%, в ФРГ — 75%, в России — более 90%. Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего это боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант — опасения топ-менеджеров, что начавшееся расследование вскроет и их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес- структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами. И, как следствие, способствуют тому, что организаторы DDoS-атак остаются безнаказанными.
ra13 вне форума   Ответить с цитированием
Старый 27.02.2011, 15:43   #2
ra13
случайно влез
 
Регистрация: 19.03.2010
Сообщений: 42
Поблагодарил: 1
Поблагодарили 2 раз(а) в 1 сообщении
ra13 стоит на развилке
По умолчанию

DoS-атаки подразделяются на локальные и удаленные. К локальным относятся различные эксплойты, форк-бомбы и программы, открывающие по миллиону файлов или запускающие некий циклический алгоритм, который сжирает память и процессорные ресурсы. На всем этом мы останавливаться не будем. А вот удаленные DoS-атаки рассмотрим подробнее. Они делятся на два вида:

Удаленная эксплуатация ошибок в ПО с целью привести его в нерабочее состояние.
Flood - посылка на адрес жертвы огромного количества бессмысленных (реже – осмысленных) пакетов. Целью флуда может быть канал связи или ресурсы машины. В первом случае поток пакетов занимает весь пропускной канал и не дает атакуемой машине возможность обрабатывать легальные запросы. Во втором - ресурсы машины захватываются с помощью многократного и очень частого обращения к какому-либо сервису, выполняющему сложную, ресурсоемкую операцию. Это может быть, например, длительное обращение к одному из активных компонентов (скрипту) web-сервера. Сервер тратит все ресурсы машины на обработку запросов атакующего, а пользователям приходится ждать.
В традиционном исполнении (один атакующий - одна жертва) сейчас остается эффективным только первый вид атак. Классический флуд бесполезен. Просто потому что при сегодняшней ширине канала серверов, уровне вычислительных мощностей и повсеместном использовании различных анти-DoS приемов в ПО (например, задержки при многократном выполнении одних и тех же действий одним клиентом), атакующий превращается в надоедливого комара, не способного нанести какой бы то ни было ущерб. Но если этих комаров наберутся сотни, тысячи или даже сотни тысяч, они легко положат сервер на лопатки. Толпа - страшная сила не только в жизни, но и в компьютерном мире. Распределенная атака типа "отказ в обслуживании" (DDoS), обычно осуществляемая с помощью множества зомбифицированных хостов, может отрезать от внешнего мира даже самый стойкий сервер, и единственная эффективная защита - организация распределенной системы серверов (но это по карману далеко не всем, привет Google).

Методы борьбы
Опасность большинства DDoS-атак – в их абсолютной прозрачности и "нормальности". Ведь если ошибка в ПО всегда может быть исправлена, то полное сжирание ресурсов - явление почти обыденное. С ними сталкиваются многие администраторы, когда ресурсов машины (ширины канала) становится недостаточно, или web-сайт подвергается слэшдот-эффекту (twitter.com стал недоступен уже через несколько минут после первого известия о смерти Майкла Джексона). И если резать трафик и ресурсы для всех подряд, то спасешься от DDoS, но потеряешь добрую половину клиентов.

Выхода из этой ситуации фактически нет, однако последствия DDoS-атак и их эффективность можно существенно снизить за счет правильной настройки маршрутизатора, брандмауэра и постоянного анализа аномалий в сетевом трафике. В следующей части статьи мы последовательно рассмотрим:

способы распознавания начинающейся DDoS-атаки;
методы борьбы с конкретными типами DDoS-атак;
универсальные советы, которые помогут подготовиться к DoS-атаке и снизить ее эффективность.
В самом конце будет дан ответ на вопрос: что делать, когда началась DDoS-атака.

Борьба с flood-атаками
Итак, существует два типа DoS/DDoS-атак, и наиболее распространенная из них основана на идее флуда, то есть заваливания жертвы огромным количеством пакетов. Флуд бывает разным: ICMP-флуд, SYN-флуд, UDP-флуд и HTTP-флуд. Современные DoS-боты могут использовать все эти виды атак одновременно, поэтому следует заранее позаботиться об адекватной защите от каждой из них.

1. ICMP-флуд.
Очень примитивный метод забивания полосы пропускания и создания нагрузок на сетевой стек через монотонную посылку запросов ICMP ECHO (пинг). Легко обнаруживается с помощью анализа потоков трафика в обе стороны: во время атаки типа ICMP-флуд они практически идентичны. Почти безболезненный способ абсолютной защиты основан на отключении ответов на запросы ICMP ECHO:

# sysctl net.ipv4.icmp_echo_ignore_all=1

Или с помощью брандмауэра:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

2. SYN-флуд.
Один из распространенных способов не только забить канал связи, но и ввести сетевой стек операционной системы в такое состояние, когда он уже не сможет принимать новые запросы на подключение. Основан на попытке инициализации большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать ответный ACK-пакет на недоступный адрес большинство операционок ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Так как поток ACK-пакетов очень велик, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение. Наиболее умные DoS-боты еще и анализируют систему перед началом атаки, чтобы слать запросы только на открытые жизненно важные порты. Идентифицировать такую атаку просто: достаточно попробовать подключиться к одному из сервисов. Оборонительные мероприятия обычно включают в себя:

Увеличение очереди "полуоткрытых" TCP-соединений:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Уменьшение времени удержания "полуоткрытых" соединений:

# sysctl -w net.ipv4.tcp_synack_retries=1

Включение механизма TCP syncookies:

# sysctl -w net.ipv4.tcp_syncookies=1

Ограничение максимального числа "полуоткрытых" соединений с одного IP к конкретному порту:

# iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP

3. UDP-флуд.
Типичный метод захламления полосы пропускания. Основан на бесконечной посылке UDP-пакетов на порты различных UDP-сервисов. Легко устраняется за счет отрезания таких сервисов от внешнего мира и установки лимита на количество соединений в единицу времени к DNS-серверу на стороне шлюза:

# iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-above 1

4. HTTP-флуд.
Один из самых распространенных на сегодняшний день способов флуда. Основан на бесконечной посылке HTTP-сообщений GET на 80-ый порт с целью загрузить web-сервер настолько, чтобы он оказался не в состоянии обрабатывать все остальные запросы. Часто целью флуда становится не корень web-сервера, а один из скриптов, выполняющих ресурсоемкие задачи или работающий с базой данных. В любом случае, индикатором начавшейся атаки будет служить аномально быстрый рост логов web-сервера.

Методы борьбы с HTTP-флудом включают в себя тюнинг web-сервера и базы данных с целью снизить эффект от атаки, а также отсеивание DoS-ботов с помощью различных приемов. Во-первых, следует увеличить максимальное число коннектов к базе данных одновременно. Во-вторых, установить перед web-сервером Apache легкий и производительный nginx – он будет кэшировать запросы и отдавать статику. Это решение из списка "must have", которое не только снизит эффект DoS-атак, но и позволит серверу выдержать огромные нагрузки. Небольшой пример:

# vi /etc/nginx/nginx.conf
# Увеличиваем максимальное количество используемых файлов
worker_rlimit_nofile 80000;
events {
# Увеличиваем максимальное количество соединений
worker_connections 65536;
# Использовать эффективный метод epoll для обработки соединений
use epoll;
}
http {
gzip off;
# Отключаем таймаут на закрытие keep-alive соединений
keepalive_timeout 0;
# Не отдавать версию nginx в заголовке ответа
server_tokens off;
# Сбрасывать соединение по таймауту
reset_timedout_connection on;
}
# Стандартные настройки для работы в качестве прокси
server {
listen 111.111.111.111 default deferred;
server_name host.com [Ссылки могут видеть только зарегистрированные пользователи. ]
log_format IP $remote_addr;
location / {
proxy_pass [Ссылки могут видеть только зарегистрированные пользователи. ]
}
location ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ {
root /home/www/host.com/httpdocs;
}
}

В случае необходимости можно задействовать nginx-модуль ngx_http_limit_req_module, ограничивающий количество одновременных подключений с одного адреса ([Ссылки могут видеть только зарегистрированные пользователи. ]). Ресурсоемкие скрипты можно защитить от ботов с помощью задержек, кнопок "Нажми меня", выставления кукисов и других приемов, направленных на проверку "человечности".

Универсальные советы
Чтобы не попасть в безвыходное положение во время обрушения DDoS-шторма на системы, необходимо тщательным образом подготовить их к такой ситуации:

Все сервера, имеющие прямой доступ во внешнюю сеть, должны быть подготовлены к простому и быстрому удаленному ребуту (sshd спасет отца русской демократии). Большим плюсом будет наличие второго, административного, сетевого интерфейса, через который можно получить доступ к серверу в случае забитости основного канала.
ПО, используемое на сервере, всегда должно находиться в актуальном состоянии. Все дырки - пропатчены, обновления установлены (простой, как сапог, совет, которому многие не следуют). Это оградит тебя от DoS-атак, эксплуатирующих баги в сервисах.
Все слушающие сетевые сервисы, предназначенные для административного использования, должны быть спрятаны брандмауэром ото всех, кто не должен иметь к ним доступ. Тогда атакующий не сможет использовать их для проведения DoS-атаки или брутфорса.
На подходах к серверу (ближайшем маршрутизаторе) должна быть установлена система анализа трафика (NetFlow в помощь), которая позволит своевременно узнать о начинающейся атаке и вовремя принять меры по ее предотвращению.
Добавь в /etc/sysctl.conf следующие строки:

# vi /etc/sysctl.conf
# Защита от спуфинга
net.ipv4.conf.default.rp_filter = 1
# Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина, она сразу ответит. Дефолтовое значение - 2 часа.
net.ipv4.tcp_keepalive_time = 60
# Повторить пробу через десять секунд
net.ipv4.tcp_keepalive_intvl = 10
# Количество проверок перед закрытием соединения
net.ipv4.tcp_keepalive_probes = 5

Следует отметить, что все приемы, приведенные в прошлом и этом разделах, направлены на снижение эффективности DDoS-атак, ставящих своей целью израсходовать ресурсы машины. От флуда, забивающего канал мусором, защититься практически невозможно, и единственно правильный, но не всегда осуществимый способ борьбы заключается в том, чтобы "лишить атаку смысла". Если ты заимеешь в свое распоряжение действительно широкий канал, который легко пропустит трафик небольшого ботнета, считай, что от 90% атак твой сервер защищен. Есть более изощренный способ защиты. Он основан на организации распределенной вычислительной сети, включающей в себя множество дублирующих серверов, которые подключены к разным магистральным каналам. Когда вычислительные мощности или пропускная способность канала заканчиваются, все новые клиенты перенаправляются на другой сервер (или же постепенно "размазываются" по серверам по принципу round-robin). Это невероятно дорогая, но очень стойкая структура, завалить которую практически нереально.

Другое более-менее эффективное решение заключается в покупке дорогостоящих хардварных систем Cisco Traffic Anomaly Detector и Cisco Guard. Работая в связке, они могут подавить начинающуюся атаку, но, как и большинство других решений, основанных на обучении и анализе состояний, дают сбои. Поэтому следует хорошенько подумать перед тем, как выбивать из начальства десятки тысячи долларов на такую защиту.

Кажется, началось. Что делать?
Перед непосредственным началом атаки боты "разогреваются", постепенно наращивая поток пакетов на атакуемую машину. Важно поймать момент и начать активные действия. Поможет в этом постоянное наблюдение за маршрутизатором, подключенным к внешней сети (анализ графиков NetFlow). На сервере-жертве определить начало атаки можно подручными средствами.

Наличие SYN-флуда устанавливается легко - через подсчет числа "полуоткрытых" TCP-соединений:

# netstat -na | grep ":80\ " | grep SYN_RCVD

В обычной ситуации их не должно быть совсем (или очень небольшое количество: максимум 1-3). Если это не так - ты атакован, срочно переходи к дропанью атакующих.

С HTTP-флудом несколько сложнее. Для начала нужно подсчитать количество процессов Apache и количество коннектов на 80-ый порт (HTTP-флуд):

# ps aux | grep httpd | wc -l
# netstat -na | grep ":80\ " | wc -l

Значения, в несколько раз превышающие среднестатистические, дают основания задуматься. Далее следует просмотреть список IP-адресов, с которых идут запросы на подключение:

# netstat -na | grep ":80\ " | sort | uniq -c | sort -nr | less

Однозначно идентифицировать DoS-атаку нельзя, можно лишь подтвердить свои догадки о наличии таковой, если один адрес повторяется в списке слишком много раз (да и то, это может говорить о посетителях, сидящих за NAT'ом). Дополнительным подтверждением будет анализ пакетов с помощью tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 and host IP-сервера

Показателем служит большой поток однообразных (и не содержащих полезной информации) пакетов от разных IP, направленных на один порт/сервис (например, корень web-сервера или определенный cgi-скрипт).

Окончательно определившись, начинаем дропать неугодных по IP-адресам (будет гораздо больше эффекта, если ты сделаешь это на маршрутизаторе):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j DROP

Или сразу по подсетям:

# iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port http -j DROP

Это даст тебе некоторую фору (совсем маленькую; зачастую IP-адрес источника спуфится), которую ты должен использовать для того, чтобы обратиться к провайдеру/хостеру (с приложенными к сообщению логами web-сервера, ядра, брандмауэра и списком выявленных тобой IP-адресов). Большинство из них, конечно, проигнорируют это сообщение (а хостинги с оплатой трафика еще и порадуются - DoS-атака принесет им прибыль) или просто отключат твой сервер. Но в любом случае это следует сделать обязательно, – эффективная защита от DDoS возможна только на магистральных каналах. В одиночку ты справишься с мелкими нападками, направленными на истощение ресурсов сервера, но окажешься беззащитным перед более-менее серьезным DDoS'ом.

Борьба с DDoS во FreeBSD
Уменьшаем время ожидания ответного пакета на запрос SYN-ACK (защита от SYN-флуда):

# sysctl net.inet.tcp.msl=7500

Превращаем сервер в черную дыру. Так ядро не будет слать ответные пакеты при попытке подключиться к незанятым портам (снижает нагрузку на машину во время DDoS'а на случайные порты):

# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1

Ограничиваем число ответов на ICMP-сообщения 50-ю в секунду (защита от ICMP-флуда):

# sysctl net.inet.icmp.icmplim=50

Увеличиваем максимальное количество подключений к серверу (защита от всех видов DDoS):

# sysctl kern.ipc.somaxconn=32768

Включаем DEVICE_POLLING - самостоятельный опрос сетевого драйвера ядром на высоких нагрузках (существенно снижает нагрузку на систему во время DDoS'а):

Пересобираем ядро с опцией "options DEVICE_POLLING";
Активируем механизм поллинга: "sysctl kern.polling.enable=1";
Добавляем запись "kern.polling.enable=1" в /etc/sysctl.conf.
Наивный Internet
Во времена своего рассвета DoS-атаки были настоящей катастрофой для серверов и обычных рабочих станций. Web-сайт можно было легко завалить с помощью одного-единственного хоста, реализующего атаку типа Smurf. Рабочие станции с установленной ОС Windows падали, как доминошки, от атак типа Ping of Death, Land, WinNuke. Сегодня всего этого не стоит опасаться.

Крупнейшие ботнеты
Kraken - 400 тысяч компьютеров.
Srizbi - 315 тысяч компьютеров.
Bobax - 185 тысяч компьютеров.
Rustock - 150 тысяч компьютеров.
Storm - 100 тысяч компьютеров.
Psybot - 100 тысяч ADSL-маршрутизаторов, основанных на Linux.
Ботнет BBC - 22 тысячи компьютеров. Экспериментальный ботнет, созданный компанией BBC.

След в истории
1997 год - DDoS-атака на web-сайт Microsoft. Один день молчания.
1999 год – "вне зоны действия" оказались web-сайты Yahoo, CNN, eBay и др.
Октябрь 2002 - атака на корневые DNS-серверы интернета. На некоторое время были выведены из строя 7 из 13 серверов.
21 февраля 2003 года - DDoS-нападение на LiveJournal.com. Два дня сервис находился в парализованном состоянии, лишь иногда подавая признаки жизни.

Интеллектуальные системы
Интересную альтернативу решениям Cisco выпускает компания Reactive Networks ([Ссылки могут видеть только зарегистрированные пользователи. ]). Их продукт под названием FloodGuard представляет собой аппаратный комплекс, состоящий из детекторов и исполнительных модулей. Детекторы, установленные на брандмауэрах, маршрутизаторах и свитчах, постоянно мониторят трафик и создают его профиль на основе таких параметров, как объем пакетов, источник, направление, тип и т.д. В случае возникновения аномалий детектор посылает все подробности о произошедшем исполнительным модулям, располагающимся на маршрутизаторах в разных сегментах сети. Получив сообщение от детектора, исполнительные модули начинают действовать: они отыскивают паразитный трафик в проходящих пакетах и, в случае удачи, оповещают об этом предыдущие по ходу трафика модули и посылают им инструкции по активации фильтров на маршрутизаторах. В результате, перед потоком флуд-трафика должен образоваться заслон, который будет быстро перемещаться в сторону его источника.

---------- Post added at 15:43 ---------- Previous post was at 15:38 ----------

все написаное выше непренадлежит моему авторству.заинтересовавшись данной проблемой решил поискать что говорит по этому делу гугл.из перелопаченого материала -это показалось болие и мение достойным.все остольное перепичатка в разных вариациях.сейчас хочу попробовать несколько программ в деле.
ra13 вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Наружка - методы. пилигрим Безопасность 42 01.02.2016 11:54
Ddos sevcross Безопасность 7 06.03.2012 02:28


Текущее время: 05:46. Часовой пояс GMT +4.


Перевод: zCarot