ВАЖНО Концепт построения отказоустойчивой системы для защиты от ддос

Тема в разделе "Защита от DDOS своими силами", создана пользователем X-Shar, 4 июн 2015.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    В связи с последними событиями в рунете, решил создать такую тему !

    В данной теме не будет каких-то сложных технических выкладок, в данной теме хочу-лишь рассказать своё понимание как можно защитится от ддос, понятно что всё зависит от умений, ресурсов и желания атакующих !

    Итак, вас ддосят или вы обеспокоенны потенциальным ддосом, что нужно предпринять:

    1)Позаботится о тарифе, т.е. если это шаред хостинг и без предоставления защиты от ддос, то меняйте его, при ддосе он упадёт;

    2)Никакий лимитированных тарифов, по причине что при массированной атаки, у вас просто сожрётся траффик и сервер заблокируют, да и есть атаки которые специально выкачивают терабайты с сервера ! :(

    Немного рассмотрим виды ддос атак, как я понимаю, опять-таки какие-то технические выкладки оставим, я разделяю ддос на два типа:

    1. Медленный ддос - Направленные на создание нагрузки на сервер, если по простому, то на определённую часть сайта (Например главная страница, поиск и т.д.), посылается куча POST/GET запросов и в этоге сервер перестаёт работать, особенно если сервер плохо настроен, он упадёт и с концами... :(

    Как защитится:

    1.1. Сделать тюнинг потенциально атакуемых сервисов, особенно таких-как апач, mysql, nginx и т.д.

    1.2.На что следует обратить особо внимание:

    -Нужно посмотреть сколько отожрёт памяти система при пиковой нагрузке, пример mysql не должен отжирать всю память при пиковой нагрузки, тюнинговать его можно при помощи mysqltuner, также обратите внимание на таймаунты (Обычно нужно уменьшить) и максимальное число коннектов...

    - С апачем тоже самое, уменьшить таймаунты и максимальное число коннектов...

    - Далее можно использовать программы которые по определённым алгоритмам блокируют айпи адреса, пример DdosDeflare, т.е. смысл при определенном числе коннектов за x секунд, айпишник попадает в бан на определённое время...

    -Можно также ограничить вообще максимальное число коннектов с апишника.

    2.Теперь рассмотрим второй вид ддос атак, это атаки на забивания канала, т.е. например у вас порт 100 Мбит/с, а хакер начнёт посылать запросы со скоростью 1 Гбит/с, то понятно что просто канал будет забит и сервер будет недоступен и к сожалению тут бесполезно закрывать порты, что-то там банить и т.д.

    Вот скрин атаки на мой сервер:

    [​IMG]

    Как видите канал полностью забит... :(

    Как защитится:

    2.1.Расширение полосы канала сервера;

    2.2. Использовать облачные сервисы и специальные сервисы для защиты от ддос, такие-как CloudFlare, DDOSGuard и т.д.:

    Смысл их в том-что перед вашим сервером, ставится как-бы куча распределённых серверов, там стоят различные фильтры, которые по определённым признакам фильтруют запросы.

    Но возникает проблема:

    А проблема, такая-что ОЧЕНЬ важно в такой ситуации скрыть реальный айпишник сервера, если хакер его обнаружит, то сможет посылать запросы напрямую по айпишнику, также рекомендую закрыть сервер от сторонних запросов к серверу, кроме сервиса защищающего от ддос...

    Но к сожалению в случае обнаружение хакером айпишника вашего сервера, проблему забивания канала это не решит ! :(

    Как-же хакер может обнаружить реальный апишник сервера:

    -При неправильно настроенном днс, можно нехитрыми запросами вычислить реальный апишник сервера, пример:
    Код:
    ping ftp.domain.com

    ping cpanel
    .domain.com

    ping mail
    .domain.com
    Не работаем, пробуем нмап:
    Код:
    nmap -sV -sS -<target>

    nmap --script dns-brute -sn <target>
    Опять не работаем, сайт жертвы позволяет отправлять почту ?

    Если, да регимся там и смотрим заголовок письма и видим там:

    Пример в маил ру:

    upload_2015-6-4_11-30-8.

    Видим айпишник:

    upload_2015-6-4_11-31-16.

    Как защитится:

    -Я рекомендую удалить все записи кроме А-записей, если нужна почта для домена, то настроить через сторонние сервисы например через яндекс и не хранить почту на атакуемых серверах;

    -Если атакуемый сайт должен пересылать почту, например как здесь при регистрации и подписке на новости, необходимо сделать следующие:

    1. Использовать SMTP Ремейлер (англ. remailer) — это сервер, получающий сообщение
    электронной почты и переправляющий его по адресу, указанному отправителем. В процессе переадресации вся информация об отправителе уничтожается и тогда айпишник вашего сервера не будет отображаться.

    2.Если есть возможность, то поднять свой SMTP сервер на отдельном сервере и чистить загаловки письма...

    Я-же использую пока этот сервис для отправки, немного глючный но работает:
    https://sendpulse.com/ru/

    Если я что-то упустил в этой теме, жду дополнений ! ;)
     
    • Информативный пост Информативный пост x 3
    • Мне нравится Мне нравится x 2
  2. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    Ещё рекомендуют не задаваться вопросом, кто, зачем и почему, не вступать в переговоры с какерами, не поддаваться любопытству, а ждать и действовать...
    Всё приходит с опытом.
     
    • Мне нравится Мне нравится x 3
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    А я всё думаю как скрыть айпишник сервера, хотел настроить сервак так что-бы он отсылал через сторонний SMTP, даже поднимал свой и нехрена не получается, в этоге что-то там наделал и у меня все почтовые службы полетели...

    Ну как обычно чо, не устанавливается, не удаляется, не запускается...:Mem26:

    Админ из меня ещё тот:

    upload_2015-6-4_18-43-26.
     
    • Мне нравится Мне нравится x 2
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    Пока что лучше этого ничего не придумал:

    upload_2015-6-4_19-9-32.
     
    • Мне нравится Мне нравится x 2
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    А-тоже можно увидить IP, короче забил...
     
    • Мне нравится Мне нравится x 1
  6. BLONDY HACKER :))
    BLONDY HACKER
    Ответить в чате

    Форумчанин

    Регистрация:
    07.12.2012
    Сообщения:
    3.111
    Симпатии:
    13.972
    Пол:
    Женский
    Репа:
    +13.979 / 3 / -1
    добевайОтдыхай!!!
     
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    Ну а что тут добивать ?

    Это специфика SMTP, даже если отправлять через сторонний сервис например яндекс, всё равно будет поле From, или цепочка, где будет светится адрес сервера, тут либо свой отдельный сервер SMTP поднимать, да не просто сервер, а настраивать так что-бы он чистил загаловки писем...

    Второй вариант, расширять канал...

    Третий вариант менять хостера, кстати вот хостеры которые уже в тарифе защищают от забивания канала до 10гбит/с бесплатно (Проверенно в бою):


    https://cp.inferno.name/cart.php

    http://www.ovh.ie/
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей