Здравствуй хабрачитатель. Сегодня я решил поделиться с тобой своими мыслями по поводу DDoS- атак. Что это такое я не буду рассказывать – об этом сегодня знает, по-моему, даже школьник. В общем, отражая в очередной раз могучую атаку хулиганов на один из моих ресурсов, я подумал, а не предложить ли мне сообществу образованных людей ряд идей по борьбе с одним из наиболее распространенных методов подобных атак – HTTP – флуд.
Суть данной атаки сводится к следующему – зараженные компьютеры, управляемые головным сервером генерируют огромное количество запросов вида:
Запросы естественно могут быть на любую как существующую страницу атакуемого ресурса, так и не существующую. Причем в зависимости от «образованности» ботнета и его владельцев, атака может идти сразу на несколько URL и в зависимости от действий администраторов атакуемых ресурсов еще и менять тактику атак.
Отследить такую атаку довольно просто – ее наглядно видно при «онлайн» – просмотре логов web-сервера. Но вот отразить такую (так же как и любую другую разновидность атак) довольно сложно, причем чем больше интенсивность атаки и количество зараженных компьютеров участвующих в ней, тем сложнее это сделать. Да, есть множество способов – как скрипты запускаемые на атакуемом сервере, так и специализированное оборудование, установленное перед атакуемым сервером. Описывать эти методы я сегодня не буду. Хочу написать немного о другом методе борьбы.
Работая в довольно крупной телекоммуникационной компании, я понял, что ведь интернет- провайдеру особого труда не составит настроить свое оборудование на фильтрацию трафика. В чем это заключается:
Теперь о самом главном – об этической и законодательной стороне моих предложений. Да, у нас нет правовой базы для этих мер, да и с точки зрения простого пользователя услуг интернет – он как минимум не будут в восторге, зная что часть его трафика может просто попасть в «мусорную корзину», ведь конечный пользователь этих услуг как правило и не подозревает о том, что его компьютер стал частью огромного ботнета. Прибавится работы службе поддержки провайдеров – сейчас далеко не везде уведомляют клиента о том, что с него идет вирусный трафик. Как быть с «китайским» трафиком тоже сложный вопрос – надо фильтровать на магистралях, потому что исходя из моих личных данных по анализу флудного трафика – 40-60 % идет именно с Китая.
Но когда-то мы к этому все равно придем.
Спасибо за внимание!
Суть данной атаки сводится к следующему – зараженные компьютеры, управляемые головным сервером генерируют огромное количество запросов вида:
"GET / HTTP/1.1" XXX XXXX "Запросы естественно могут быть на любую как существующую страницу атакуемого ресурса, так и не существующую. Причем в зависимости от «образованности» ботнета и его владельцев, атака может идти сразу на несколько URL и в зависимости от действий администраторов атакуемых ресурсов еще и менять тактику атак.
Отследить такую атаку довольно просто – ее наглядно видно при «онлайн» – просмотре логов web-сервера. Но вот отразить такую (так же как и любую другую разновидность атак) довольно сложно, причем чем больше интенсивность атаки и количество зараженных компьютеров участвующих в ней, тем сложнее это сделать. Да, есть множество способов – как скрипты запускаемые на атакуемом сервере, так и специализированное оборудование, установленное перед атакуемым сервером. Описывать эти методы я сегодня не буду. Хочу написать немного о другом методе борьбы.
Работая в довольно крупной телекоммуникационной компании, я понял, что ведь интернет- провайдеру особого труда не составит настроить свое оборудование на фильтрацию трафика. В чем это заключается:
- Следим за трафиком, при однородном и большом объеме запросов от клиента в сеть, свойственных именно DDoS- атакам или даже массовой рассылке спама, откидываем флудные пакеты, тем самым не нагружая свою сеть и позволяя предупредить перерасход трафика клиентом. Забота о клиенте так сказать.
- Предупреждаем массовые атаки как таковые, в маштабах одного интернет- провайдера это не будет так действенно, но если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров, то жить нам с Вами – простым администраторам web- ресурсов тут же станет легче.
Теперь о самом главном – об этической и законодательной стороне моих предложений. Да, у нас нет правовой базы для этих мер, да и с точки зрения простого пользователя услуг интернет – он как минимум не будут в восторге, зная что часть его трафика может просто попасть в «мусорную корзину», ведь конечный пользователь этих услуг как правило и не подозревает о том, что его компьютер стал частью огромного ботнета. Прибавится работы службе поддержки провайдеров – сейчас далеко не везде уведомляют клиента о том, что с него идет вирусный трафик. Как быть с «китайским» трафиком тоже сложный вопрос – надо фильтровать на магистралях, потому что исходя из моих личных данных по анализу флудного трафика – 40-60 % идет именно с Китая.
Но когда-то мы к этому все равно придем.
Спасибо за внимание!
