Что такое DDoS? Зачем это нужно, какие виды атак бывают и как с ними бороться?
UpTime: часть 2, DDoS

Пожалуй, самая популярная страшилка для владельцев веб-ресурсов это DDoS-атака. Очень заезженная аббревиатура, которую все чаще можно увидеть в громких заголовках СМИ. DDoS используют в конкурентной или политической борьбе, для разного рода провокаций или просто забавы ради. Почему мы до сих пор не нашли простой и дешевый способ защиты от этой атаки?

В сети есть достаточное количество общепринятых определений и формулировок про DDoS, не будем на этом останавливаться. Я попробую раскрыть суть вопроса на абстрактном примере, который мог бы произойти в реальной жизни. Чтобы не загружать пост, буду давать ссылки на источники, которые для желающих помогут разобраться в вопросе немного глубже.


1. Зачем это нужно?


Накануне 8-го марта все, кто связан с продажей цветов, начинает бурную деятельность. Амбициозный стартапер открывает свой интернет-магазин, который был продуман до мелочей: прекрасный дизайн, великолепный ассортимент, быстрая доставка. Заложен огромный бюджет на рекламу. Всё готово. Единственное, что мешает — сильные конкуренты, которые давно знакомы рынку и, очевидно, заберут большой кусок пирога. Всё, что нужно сделать, это "положить" их сайты на сутки-двое. Да хоть на пару часов.


2. Кто участвует в процессе?


Допустим, владелец новенького цветочного магазина, используя хорошие личные связи, нашел нужного злодея, который готов взяться за дело. Конечный ценник будет зависеть от сложности и мощности атаки. А сложность атаки зависит от готовности конечного провайдера/хостера ее отразить.

Акцент на связи сделан не зря. Велика вероятность того, что нечистоплотный злодей возьмет предоплату и пропадет. Дело то в целом нечистое - жаловаться некому.

У злодея есть база данных зараженных вирусом компьютеров по всему миру. Базу пополняют беспечные пользователи сети, которые нажимали куда-то не туда, открывали что-то не то, да и устанавливали что-то слишком подозрительное. Это "что-то" не дает о себе знать до поры до времени, а значит, не мешает жить. Но когда это необходимо, по воле злодея зараженные компьютеры начинают выполнять особые указания. Сеть из таких компьютеров называется ботнет.


3. Каким бывает DDoS?


Классификация DDoS обширна, останавливаться на ней не вижу смысла. Информации достаточно в сети, она постоянно обновляется и дополняется. Методов организации DDoS много: начиная от написания индивидуальной программы, которая будет учитывать связку и уязвимости ПО хостинга с сайтом, заканчивая банальным выводом из строя канала связи большим количеством бессмысленных запросов.


4. Оборонительные действия.


Условно защиту от DDoS можно разделить на пассивную и активную.

Пассивная защита — это все что делается до атаки. Здесь много факторов: от качества "железа" и ширины канала, до ручного мониторинга контента, который потенциально может быть подвержен атакам.
Из очевидного: есть автоматика, которая умеет блокировать сегменты сети (отдельные IP или подсети), создающие аномальную активность на канале. Собственно, основную ценность составляют алгоритмы, которыми определяется и устраняется эта аномальная активность. У нас такая автоматика есть. По понятным причинам, никто вам не расскажет, как она работает.

Активная защита — это непосредственная работа специалистов по противодействию атаки. Каждый случай DDoS уникален, требует особого внимания и кропотливой работы, такой как: ручная фильтрация трафика, расширение канала, подмена IP-адресов сервисов, поиск и устранение уязвимостей и т.д. Могу вас уверить, когда организован качественный DDoS, для защиты ресурсов поднимается вся команда администраторов, а проблема получает максимальный приоритет.


5. Дополнительная защита и побочные эффекты.


Тут проще воспользоваться форматом FAQ. В процессе обсуждения в комментариях, FAQ будет дополняться.


Вопрос 1:
Поисковик по запросу "Защита от DDoS" знает десятки уникальных предложений. Они мне помогут?
Ответ: Эти услуги подходят для индивидуальной защиты. Если вы не уверены, что атакуют вас, подобный способ защиты не поможет.


Вопрос 2:
Почему вы не обвешаетесь с ног до головы различными защитами и зеркалами? Мы готовы платить больше.
Ответ: uCoz это массовый сервис. На одном сервере живут тысячи сайтов.
Любая умная защита от DDoS приведет к частичному ограничению трафика и к общему снижению скорости отдачи контента. Любая качественная защита - это тонкая настройка ПО, это отдельные специалисты с режимом работы 24/7. Зеркалирование серверов поднимет ценник за услуги в несколько раз и все равно не даст 100% гарантий защиты.


Вопрос 3:
Атакуют не меня, а соседа по серверу. Страдает и мой сайт. Как можно защититься от подобных случаев?
Ответ: Логично будет "избавиться" от соседей по серверу. Например, услуга uCoz VIP для этих целей подходит. Защититься успешно можно только имея выделенный сервер, свой честный широкий канал и хорошего администратора. Однако и в этом случае никто не застрахован от мощного стихийного DDoS, который может вывести из строя магистральный канал связи. 


6. Перспективы и ответственность.


Изначально инфраструктура сети не была рассчитана на такую стремительную динамику роста пользователей. Интернет хранит наши персональные данные, в какой-то мере наши материальные, нематериальные ценности. Интернет это неотъемлемая часть современной жизни. Понятно, что вопросы стабильности и безопасности стоят во главе угла и решить их можно только комплексными мерами.
В профессиональном сообществе постоянно обсуждаются методы защиты DNS, возможности и перспективы IPv6, совершенствование программно-аппаратного комплекса в целом. Всё чаще можно услышать истории об оперативных действиях по поиску злоумышленников. За организацию DDoS получают реальный срок.

Эта статья входит в цикл статей блога "UpTime".
Ознакомиться с полным циклом можно по ссылке.

21 комментариев
1 Написал lostfilm 21 Октября 2013, 16:54
Посоветуйте администратором "тяжелых" и конкурентных ресурсов подключить https://ru.cloudflare.com/ Если большая часть из них подключится, то это может значительно уменьшить вероятность DDOS (если конечно досится будет конкретный сайт а не сервер)
2 Написал stzarya 21 Октября 2013, 17:02
Я бы не стал в рамках этого поста рекомендовать и рекламировать что-то конкретное. Убежден, что тот кто готов тратить 200 $ в месяц дополнительно за сайт, сам ответственно подойдет к выбору подобной услуги.
3 Написал lostfilm 21 Октября 2013, 17:03
Просто на сколько мне известно, это самый и надежный популярный сервис который можно использовать бесплатно.)
4 Написал stzarya 21 Октября 2013, 17:06
Защита от DDoS появляется в пакете от 200 уе, та что называется дополнительной smile
5 Написал Drinko 21 Октября 2013, 18:20
Цитата stzarya
FAQ

Эдакий посыл - не лезьте к нам со своими распределенными серверами и облаками. Для нас дорого и сложно smile

Хотя, если подумать - мощность магистральных каналов постоянно увеличивается, скорость, предоставляемая локальными провайдерами, тоже не отстает, кол-во устройств, которые могут использоваться в ботнетах, растет в геометрической прогрессии.

Что из этого следует? Правильно - смерть стандартных построений сетей вида сервер-клиент. И в этой ситуации не смотреть в будущее просто преступно.
6 Написал stzarya 21 Октября 2013, 19:07
Причем "для нас это дорого" - реально для всех нас это дорого smile

Трафик должен обрабатываться очень умным фронтэндом, который умеет определять вообще все мошеннические активности, не только DDoS. Сам разграничивает трафик по типу устройств или функциональной значимости, сжимая или вообще ограничивая ненужный на практике трафик. А еще эта вся информация защищена для передачи 3-м лицам, гарантирует сохранность наших личных данных. А самое главное - оно должно всегда работать. 

Мы в будущее смотрим, мы - и как представители сервиса и как просто пользователи сети.
7 Написал Drinko 21 Октября 2013, 19:31
Где бы еще взять столь утопичный фронтэнд, да еще, для пущей утопичности, на стороне и магистралов, и провайдеров, да и небольшой кусочек C-4 в устройстве каждого потенциального негодяя тоже не помешал бы smile

Вот эдак вылетел не тот байтик в сеть, и все - бай-бай беби)
8 Написал Miss_Esq 21 Октября 2013, 19:46
Цитата
не смотреть в будущее


Ближайшие 10 лет так и останутся будущим для большинства. Ждать кардинального изменения структуры сетей пустое. Чем выше достижения, тем больше разрыв между средним уровнем и вершиной прогресса ....
На каждую ... с левой резьбой найдется метчит с правой ...
DDoS был есть и будет ...
9 Написал job 22 Октября 2013, 16:48
А кроме uCoz VIP есть ещё варианты защиты?
10 Написал stzarya 22 Октября 2013, 16:55
uCoz VIP защищает от ситуации, когда атакуют ваших соседей, потому что соседей нет. Конечно если атака не "кладет" весь магистральный канал. В этом смысле, да, других вариантов нет. Про дополнительные идивидуальные методы защиты рассказано в статье.
avatar
11 Написал SOFTOLAB_COM 23 Октября 2013, 00:03
Второй пункт похож прямо на "Сказка о DDoS", для детей младшего возраста smile
12 Написал vvf 23 Октября 2013, 18:15
да, с цветочным магазином как-то... или у Ucoz тоже есть праздничный день, когда вынь да положь, но надо обрушить систему "хоть на пару часов"? wink

ну а если серьезно, посыл статьи ясен - чтобы чувствовать себя хоть как-то защищенным, надо "избавиться от соседей по серверу", т.е., перейти на VIP (п.5 Послания). в противном случае - никаких гарантий от атак... да и при переходе никаких... (тот же пункт)

возможно, я не прав, и цель цикла рассказов совсем другая, но пока видится так
13 Написал stzarya 23 Октября 2013, 19:15
Между строк в статье ничего нет. Я попробовал максимально просто рассказать про очевидные вещи. На uCoz VIP действительно исключено влияние соседей на сервере, ибо это отдельный выделенный сервер. Очевидно, что это решение ситуации: "Атакуют не меня, а страдаю я."
avatar
14 Написал SkachatKino 02 Ноября 2013, 22:59
Меньше бы писали, а больше делали: 3сайта на разных серваках испытывают проблемы – 500 и 502 почти каждый день...
15 Написал stzarya 02 Ноября 2013, 23:40
Спасибо. Сайты назовите тут, пожалуйста. Все что по профилю uID?
avatar
16 Написал SkachatKino 03 Ноября 2013, 18:57
Нет.
http://romhacking.net.ru/forum/2-2-0-17 - уже сутки не могу открыть страницу.
http://gfaq.ru - даже главная сейчас 502 Bad Gateway.
17 Написал Сharlie 03 Ноября 2013, 19:28
На данный момент на сервере s20 выполняется ребилд массива жестких дисков. В связи с этим доступ к некоторым сайтам, расположенным на данном сервере, может быть затруднен или отсутствовать.
avatar
18 Написал SkachatKino 04 Ноября 2013, 15:02
Черезнесколько раз заходит или вообще не заходит. Много сайтов на uCoz, десятки. Уже 2 недели проблемы на серверах s20, s12 и др. Авообще, в режиме 24 часов в сутки будто бы на сайте стоит сетка, которая не
позволяет входить каждому 5-10-ому.
Передайте руководству, что такдела не пойдут, пусть срочно думают в этом направлении. Этот год просто
разочаровывает – доступ к сайтам очень затруднён – нет месяца без 2-3х дней
простоя на каждом. Я уже не говорю уже про обязательные 20-30 минут оптимизации
базы в сутки, про другие мелкие проблемы, которые набираются в довольно-таки
приличный простой. На PR средствазатрачиваются впустую – покупается трафик, а он в трубу улетает. Это печально,
это бьёт по рукам… Посетителей всё меньше, просто крах какой-то. Жалуешься в
сапорт, а там только «извините», «предоставьте время», «предоставляешь данные»
- опять «извините».
http://i.pixs.ru/storage/2/0/5/077png_2905621_9607205.png

Не думал, что задумаюсь о переезде,но это уже намеренное гнобление для того, чтобы мы покупали более дорогие услуги,
при том, что пользуемся платными пакетами. Например, год назад у одного сайта
было за 8000 посетителей в сутки и 70000 просмотров, сегодня – 5000 и 20-30K, при том, что сайт растёт, качество и PR растут, реальных юзеров прибавляется. Имеющиеся услугиурезаются, т.к. раньше таких проблем было значительно меньше.
А вы тут теорию проблем серверов решилиразмусолить, которая есть в Википедии и на прочих ресурсах. Когда будете
обеспечивать достигнутые результаты, когда будет качество работы 2011-12 годов?
Вы не слышите проблем пользователей?
avatar
19 Написал SkachatKino 04 Ноября 2013, 15:16
Посмотрите на этот пост - что у него с пробелами ипереводами строк? Когда ввели новую форму для постинга комментариев, неужели
сложно устранить проблемы кривопостинга текста? Задолбали недоделки во всём.
Добавили на сайт подгрузку сторонних библиотек с общихсерверов, не с домена сайта, добавили в тело страниц кучу лишнего кода,
замусорили страницы – писимизация очевидна. Так уже боты видят из этого кода мусорные
ссылки и индексируют их.
http://i.pixs.ru/storage/3/5/1/088png_4579688_9607351.png
http://i.pixs.ru/storage/4/1/3/099png_9420981_9607413.png

Улучшите сервис, пожалуйста! Не гонитесь за стандартнымиюзербарами, которые не настраиваются особо, не делают сайт уникальным.
20 Написал ArheoniS 04 Ноября 2013, 23:53
сегодня невозможно работать,
сервера лежат,
панель управления вообще недоступна,
сперва думал перезагрузка, но учитывая что весь день, это становится как-то странно
проверка на наличие внешнего Флуда (DDoS) показывает что атаки нет, просто неотвечает сервер, когда уже наконец отладите систему?
avatar
21 Написал SOFTOLAB_COM 19 Ноября 2013, 05:13
Цитата
проверка на наличие внешнего Флуда (DDoS) показывает что атаки нет

Боюсь даже спросить откуда такая информация...
Ваш комментарий