Дисклеймер, обязательно к прочтению! Автор этой статьи, то есть - Я, ни при каких обстоятельствах не рекомендует, а то и вовсе запрещает использовать материал в своих злых умыслах и совершению каких-то противоправных действиях. Статья написана для общего ознакомления и с целью познакомить вас с чем-то новым в мире сетевых технологий, так сказать научная! Я. ВАС. ПРЕДУПРЕДИЛ. Также, указанные в тексте группы народов, пользователей, никаким образом не являются объектом дискриминации и приведением в стереотип, указаны для более понятийного представления. Итак, когда ответственность снята, можно и поговорить предметно. Сегодня мы подсветим такую тему как ДУУУУУУДОООООС, (дань Вжлинку) простите - DDoS. Почему именно эта тема? На самом деле есть много причин окунуться в эту ветку: 1) Тематический форум на котором размещена эта статья 2) Более чем уверен, если у каждого спросить, на какую тему написать статью, ответ будет очевиден. Знаете. на данную тематику можно обсуждать бесконечно, потому что, это настолько обширная тема, что даже в подкастов 100-200, миллион не получится раскрыть всю картину данного направления. Поэтому, в этой статье я постараюсь раскрыть для вас базис, базис который расскажет вам о самом понятии DDOS, какие основные векторы атаки есть, как защищаться и как не допустить. Возможно! Я какую-то часть не успею затронуть или попросту забуду, не ставить, потому что это как я сказал выше - огромная тема для обсуждения. Довольно лирики, автор запизделся и вы щас все уйдете - окей. Я не буду вам дословно рассказывать что такое DDOS, там будет очень много умных и непонятных слов, из-за которых вы пойдете гуглить/википедить и так далее. Поэтому, проведем небольшой интерактив. Вы сидите дома и пишите в оффтопике, все хорошо. Тут к вам постучались, например, доставка пиццы. Первые два пункта это нормально поведение на сети, то есть, вы что-то запросили, вам это доставили. НО! Юзеры оффтопа вычислили вас по айпи и теперь вместе с доставщикам стучаться к вам в дверь. Неприятная ситуация, но, терпима. Вместе с юзерами оффтопа и доставщиком, теперь пришли цыгане. Стучали в дверь настолько сильно, что сломали дверь. Дверь сломана, в вашей квартире юзеры оффтопа, цыгане и доставщик, а вас нашли без сознания за ПК. Случился DDOS, ваша квартира разгромлена. Python Вы сидите дома и пишите в оффтопике, все хорошо. Тут к вам постучались, например, доставка пиццы. Первые два пункта это нормально поведение на сети, то есть, вы что-то запросили, вам это доставили. НО! Юзеры оффтопа вычислили вас по айпи и теперь вместе с доставщикам стучаться к вам в дверь. Неприятная ситуация, но, терпима. Вместе с юзерами оффтопа и доставщиком, теперь пришли цыгане. Стучали в дверь настолько сильно, что сломали дверь. Дверь сломана, в вашей квартире юзеры оффтопа, цыгане и доставщик, а вас нашли без сознания за ПК. Случился DDOS, ваша квартира разгромлена. В данном кейсе, мы разобрали довольно простой набор инструментов для атаки, кто такие цыгане и почему они стучат в дверь? Подробнее ниже. Есть такое понятие, как ботнет, это любое устройство, которое способно подключаться к интернету и совершать атаку на жертву, она полностью под контролем злоумышленника. К примеру, ботнет, это либо цыган, либо юзер оффтопика (для наглядного понимания). Понятное дело, что, для совершения атаки на какую-то инфраструктуру, нужно тысячи, десятки тысяч, сотни тысяч таких цыган. Теперь разберем действие, когда злоумышленники (все те же цыгане и юзеры) стучат в дверь. В киберзащите/атаках используется такое понятие как L3-L7. Я лишь коротко подсвечу что это такое, так как это тоже довольно долго раскрывать полностью эту тему. Итак, есть в мире так называемая модель OSI (некоторым это наверное говорит еще со школы/ПТУ/универа на уроках информатики), для непосвященных - эта модель, которая описывает сетевые функции, к примеру, вот есть кабель для интернета в вашем роутере (на самом деле, это медный патчкорд, есть оптический еще, радиоканал, спутник и тд), так вот, это первая модель OSI - L1, L2 - грубо говоря ваша сетевая и тд и тп. Так вот, при атаках тоже используется эта модель (все что связано с сетями, так или иначе имеют к ней отношение) . Наиболее популярными атаками считаются на уровне L3 - L7, а почему не L1 и L2? Тоже можно, не вопрос, для атаки уровня L1, вам нужно приехать к жертве и перерезать провод и все, сервис нарушиться. Но, это не так анонимно, трудозатратно и не выгодно, да и ваще нахер надо. Поэтому, поговорим про L3-L7, это начиная от IP адреса и заканчивая HTTP, DNS. Окей, со способами понятно, а как же защищаться? Если простой человек, который сидит дома и вдруг на вас решили устроить атаку (кинули форум, обозвали root и тд) вам, бояться не стоит, отработает провайдер. Поэтому, есть смысл говорить, когда вы, какое-то ИП, компания, техногигант. У вас есть свои выделенные IP адреса, какая-то инфраструктура, пьяные и вечно на удаленке айтишники, короче все прелести. Первый способ защиты - защити себя сам. Большинство сетевых железок (профессиональные, вендорские типы оборудования, которые находятся в имении у компании и стоят миллионы), используемые для связи с оператором связи, имеют функционал защиты. Наиболее популярные протоколы и функции, это: Окей, разобрали метод самозащиты, а если у нас очень много бабла и к примеру, есть наши враги, которые атакую нас с пропускной способностью от 100Gbit/s? Да, для крупных игроков атаки в 100Gbit/s это обычность. Здесь уже в роли защитника выступают не сами компании, а компании-подрядчики со своим профессиональным набором инструментов. Наиболее популярный метод защиты, это так называемый центр очистки сетей. Ща расскажу, как он работает. То, что, я сейчас старался для вас раскрыть, это лишь иголка в стоге сена, поэтому про эту тему можно обсуждать бесконечно, поэтому, для общего понимая, я думаю, вы для себя кое-что усвоили и узнали что-то новое, а значит, статья была написана не зря. Жду ваши предложения по статьям, либо можем раскрывать эту более детально и по пунктам. Ну, или у меня есть в запасе несколько интересных тем, например вектор атаки, так называемым способом ковровой бомбардировки. PS Автор раскрывал тему самостоятельно, без копипаста со сторонних сайтов, поэтому, если какие-то орфографические ошибки есть или отсутствие смысловой нагрузки в каком-то контексте - не ругайте
2.2 - о *******е, проведении DDoS атак (софт, скрипты, статьи, стрессеры, панели и доступ к ним), наркотиках, экстремизме, терроризме, суициде, взятках, шоплифтингу, об изготовлении оружия и другие темы, нарушающие законодательство Российской Федерации.
Весть, ты бы тут так не говорил, если бы не настрочил почти 9к сообщений в оффтопнике и 700 в жалобах
ОдинПингвин, мне особо нет разницы, что там про оффтопик говорят. Я себя к нему не отношу, захожу по настроению. А про жалобы вообще как бред звучит. Тем в жалобах у меня всего 674, из них большая часть на мульты (282 подтверждённых, около 100-150 отказанных) и 1.4.2
Фвешка поможет в таких случаях? Ну типо там правила настроить и тд, дырка же найдется. Как с этим вот работать, либо железку саму настроить, м? Ну и еще, дудосить можно снаружи, а как быть если гаденыш внутри сетки шаманит? IDS нужно?
inletah, fw может помочь, если интенсивность и сам обьем атаки, не такой большой, ведь fw ставится за маршрутизатором в большинстве случаев, который граничит с провайдером, аксесс листы, правила отработают, но, не большой тип атаки и кроме атак L7, они только по 3-4 уровню работают, для 7 уровня есть WAF. Плюс если у тебя какие-то сервисы есть, которые за FW работают, по типу того же хостинга, то он не защитится. А так как FW у нас внутри сегмента, то внутренние атаки будут блекхолиться. Помимо ФВ, есть и защита на уровне коммутаторов, банальный шторм контроль, порт секьюрити и другое гавно, этим можно защититься внутри, плюс трафик можно зеркалировать на инспекторы чтобы отслеживать откуда и куда идут запросы, тот же самый netflow это сделает. Если крупная компания, то да, лучший Варик вместо ФВ это Митигатор какой-нибудь (центр очистки сетей)