2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как сделать Ддос-атаку и сесть на семь лет

Содержание

Как сделать Ддос-атаку и сесть на семь лет

Заказать Ддос-атаку много ума не надо. Заплатил хакерам и думай о панике конкурентов. Сначала с кресла директора, а потом с тюремной койки.

Объясняем, почему обращаться к хакерам — последнее дело честного предпринимателя и чем это грозит.

Классификация DDoS-атак

Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).

Атаки уровня инфраструктуры

К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.

Атаки уровня приложения

К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).

Защита от DDOS-атаки: два простых приема для WordPress и Joomla

Привет, друзья IdeaFox!

Не так давно я написал заметку о том, как бороться с подозрительной активностью на сайте:

В которой делал упор на то, как защищаться от заклятых друзей-конкурентов = ). А следом получил несколько запросов в техподдержку с просьбой рассказать о том, как бороться с DDOS-атакой.

На самом деле, схема защиты почти точно такая же, как в той самой статье.

Прежде чем начать, отмечу, что от сильной атаки такое решение вас НЕ спасет. Но отбиться от мелких хулиганов поможет.

Итак, представим что ваш сайт заваливают кучей запросов а сайт еще кое-как работает.

Как защитить WordPress от DDOS-атаки?

Вообще, нужно заранее побеспокоиться и сделать несколько простых шагов. Дело в том, что если блог УЖЕ атакуют, то он начинает сильно тормозить. Вплоть до того, что он просто перестанет работать.

Или хостер его превентивно отключит, чтобы снизить нагрузку и не уронить ваших соседей по серверу.

1. Шаг: Установить плагин WordFence Security

Статья в которой я рассказывал о том, как установить и настроить WordFence Security уже устарела, поэтому лучше посмотреть новое видео из моего курса по безопасности WordPress:

и сделать базовые настройки безопасности плагина. О более тонких настройках безопасности сайта под управлением WordPress смотрите в платном курсе:

Разумеется, предварительно делаем резервную копию сайта, так как установка любого плагина безопасности — довольно непредсказуемое дело.

2. Шаг: Пройти в настройки WordFence Security и сделать еще два телодвижения:

Включить FireWall в WordFence Security

И настроить сам FireWall:

Все. От легкой атаки мы защитились.

Например, если кто-то будет усердно долбится на Ваш сайт, то система будет блокировать негодяя, а Вы будете получать примерно вот такое письмо:

В данном случае кто-то с указанного в письме IP-адреса пытался слишком часто просмотреть несуществующие страницы (по ошибке 404).

Система увидела, что кто-то за минуту сделал 120 таких попыток и заблокировал IP-адрес на один час.

Разумеется, Вы можете выставить более мягкие/жесткие правила. Расшифровка настроек FireWall-а дается вот здесь:

Еще один приемчик, который позволяет отбиться от DDOS

Есть у меня парочка старых сайтов на Joomla. Так вот. Спешу сообщить, что для столь популярного движка вообще нет нормальных расширений защиты.

Да, есть парочка компонентов защиты Joomla: Admin Tools и jHackGuard.

Но они рядом не валялись с плагинами безопасности, которые есть для WordPress.

А если быть точным – это убогие поделки по сравнению с тем же WordFence Security или iThemes Security. Кстати, если кто-то знает нормальные расширения для Joomla, то подскажите, пожалуйста.

И как быть в такой ситуации?

Я выкрутился при помощи нового сервиса VirusDie, о котором писал вот здесь:

Там в комплекте идет весьма неплохой файрволл, который не требует установки и настройки. Просто заливаете файл синхронизации в корень сайта, как показано на этом видео:

и включаете защиту от DDOS в настройках сайта в личном кабинете на VirusDie.Ru:

Вот, кстати, статистика по абсолютно убогому сайт для опытов win4blog.ru (этот метод защиты работает также и на WordPress):

— за 20 дней было заблокировано 450 подозрительных запроса. Учитывая тот факт, что сайт вообще ни о чем – впечатляет.

А вот структура плохого трафика по этому сайту:

Подчеркну, что этот файрволл от Virusdie корректно работает на WordPress и не требует очень уж тонких настроек. Точнее, их вообще нет.

Есть одна кнопка– “Вкл/Выкл”. Как на хипстерском iPhon-е. =)

Но тем не менее, он весьма неплохо работает на мой взгляд, как на сайтах под управлением Joomla, так и с WordPress. Судя по логам, он блокирует большинство наиболее известных типов атак.

Не забудьте подписаться на новости сайта вот на этой странице:

P.S. Кто-нибудь знает нормальные расширения для защиты сайтов на Joomla?

Еще по безопасности блогов:

  1. Мой новый курс по безопасности “Защита блога на WordPress за два часа”
  2. VirusDie (ВирусДай!) — Новый способ для защиты сайта от вирусов и DDOS. И почему так ругают этот сервис?
  3. Manul — новый антивирус для сайтов от Яндекса. Специально для бородатых админов

31 комментарий к “Защита от DDOS-атаки: два простых приема для WordPress и Joomla”

Ну что за дискриминация?) Я протестую. А как же RS Firewall для Joomla? Там тоже весьма неплохой Фаервол.

Про RS FireWall забыл совсем. А разве его не забросили разработчики? (где-то читал, что проект закрыт)

Сомневаюсь. На офсайте висит и вроде обновляется. Он же коммерческий.

Ок, спасибо, Денис
Попробую обязательно.

На работе тоже частенько приходится чистить сайты от вирусов, но я в основном делаю это вручную, так скажем старым дедовским способом. Открываю файлы сайта и смотрю на даты последних обновлений если дата обновления файла недавняя, а сайт заливался на хостинг давно, то ищу вредоносный код там и так везде по всем файлам. После такой чистки вирусов, как правило, все работает нормально хостинг на спам или нагрузку не жалуется. В моей практике в основном взламывают джумлу, вордпресс очень редко, а джумлу каждый школьник хакает. как-то так.

С Джумлой вообще все очень грустно в плане безопасности. Одна история с уязвимостью всех сайтов на Joomla 3.2-3.4 очень показательная. Недавно был большой шухер на всех форумах посвященных этому движку.
«смотрю на даты последних обновлений если дата обновления файла недавняя» уже научились прописывать нужную дату в файлы, так-что этот метод не всегда помогает.

Дмитрий, а расскажи про свой опыт — тебя ддосили? как отбивался? Вроде бы у тебя достаточно крупные проекты, нагруженные и посещаемые СДЛ. Были ли такие ситуации?

Да, бывало. Но плагин WordFence Security помогает отбиваться от легких атак (сильных, к счастью, не было).

Он просто налету блокирует подозрительные IP-адреса. Например если фиксируется, что с какого-то адреса идет массовый просмотр страниц, то он немедленно блокируется.
При этом очень сильно разрастается журнал логов сервера. Был такой случай, что за сутки он разросся до 700 МБ.
Но так как происходит ротация логов (старые журналы архивируются в gzip, а затем удаляются через 10 дней), то нужно всегда про запас держать свободное дисковое пространство на хостинге.

А у меня просто блог был на хорошем хостинге. Сайт игрового проекта там же, никогда никаких проблем не было. Для VDS планирую в будущем написать утилиту для анализа логов с баном ip атакующих на уровне iptables. Ну или может быть даже фаерволл. А то fail2ban в последних версиях очень огорчает своей тупизной настройки, очередные разработчики заболели маразмом. Как же сильно я ненавижу тупых разработчиков, которые никогда не думают об удобстве для юзера…

Круто, Агент.
Так ты проф. программист что-ли? Ведь это далеко не простое дело, как я понимаю.

Джаву учу и питон время от времени. Там не так уж и сложно, берешь API, там по функциям: взять, обработать, отправить. С логами вообще фигня будет, насчет фаерволла не знаю, еще не работал с сетью.

Читать еще:  Сканеры скрытых сетей

Молодец. Я вот ничего кроме fail2ban и не знаю для Линукс.
По-сути, альтернатив то и нет… Так-что хорошее дело затеял.

Спасибо, Дмитрий, с хулиганами теперь будут приёмники побороться))
Странно, но У меня с итем секюрити почему то логи не фиксируются, или я сам их удалил навсегда, да так, что новые не сохраняются, раньше просматривал иногда его.
Хотелось бы пост с блокировкой хулиганов и спаммеров в GA статистике почитать в будущем.
Спасибо за помощь!

Пожалуйста, Николай)
Скорее всего ты настроил запись журнала в файл (вместо записи в базу данных) в настройках ithemes-security

Эх, мне бы столько знаний в области администрации сайтов — уехал бы уже в Тхаиланд и спокойно нашел бы для себя постоянную работенку на фрилансе минимум за 1000 американских рублей в месяц =)

Дмитрий, а что у тебя за плеер такой? Это твой собственный, то есть стоит на твоем сервере? Как называется? Просто я для одного своего проекта тоже собственный плеер использую на html5, но у него одна неудобная фишка: в mp4h264 проигрывать видео отказывается, жрет только формат webm, поэтому все видео приходится специально для этого лишний раз перекодировать.

Михаил, это сервис Vimeo.

Там есть бесплатный тариф, но я взял платный на один год (примерно 2000 рублей в год). Просто на бесплатном тарифе можно заливать не более 3 видео в HD-качестве в неделю и есть ограничения по настройке самого плеера.

А, это Вимео? Я думал, свой личный плеер. Не, вимео мне все равно не подходит. Не люблю, когда судьба моих видео зависит от того, понравятся ли они модераторам =)

Хипстерские айфоны, кстати, совсем разочаровали меня. Новая iOS 9 еле тянет даже на довольно мощном и относительно новом железе вроде iPad 4 (модель планшета конца 2012 года). Тормоза просто жутчайшие. А откатиться на более старую версию iOS уже нельзя. В общем, категорически недоволен нынешним лицом нетрадиционной ориентации во главе компании и хочу его отставки. Более того, теперь на iOS 9.0.2 ввели новую фишку — теперь напоминания об обновлении iOS стали очень назойливо-настойчивыми, постоянно выскакивают всплывающие окна во весь экран, чтобы пользователь даже не желающий обновляться, случайно нажал на кнопку «обновить» (так как это всплывающее окно может выскочить в самый неподходящий момент, когда ты набираешь текст например). В общем, не передать как я зол и разочарован. Теперь выход только один — искать бэу гаджеты на авито со старыми iOS и сидеть на них не обновляясь вечно. Перешел бы на Андроид, но опасен он и дыряв. Сколько человек уже троянов нахватались, которые у них деньги с банковских карт тянули… А на эппл ни о чем можно не беспокоиться.

Дмитрий, а будут ли Ddos-ить какие-нибудь мелкие проекты? Я как-то читал, что это удовольствие не из дешевых. День такой атаки обходился (на тот момент, когда я читал) в сумму около 100 американских рублей. Задача нетривиальная — создать сеть ботов, одновременно их запустить… Если валить сайт конкурента (или интернет магазин какой-нибудь) — затраты оправданы. Или какой-нибудь влиятельный политический ресурс. Или цены на эту забаву упали?
А если закончили такого рода атаку — потом все восстанавливается или надо делать какие-то телодвижения?

На мелкие проекты в основном нападают скрипты, которые перебирают пароли в админку или ищут уязвимые плагины (тем самым вызывая много ошибок 404 и загружают движок).
По статистике из статьи видно, что даже такой откровенный ГС, как win4blog.ru тоже сканируют…
К сожалению, такие услуги подешевели.

Как все закончится, то желательно проверить сайт на возможное заражение.

Недавно китайцы взломали клиентский сайт.. сволочи!

Закинули туда куча файлов с китайскими иероглифами… гады! Но я с ними жестоко расправился… — взял и удалил весь сайт! 🙂

Потом заново создал и установил твои плагины 🙂

Во как. А через что ломали? Есть какие-то мысли?

Через админку уж 🙂 они сами на вп создали… пароль был гениальный — название домена + qqq )))

тупо подобрали пароль, благо английский язык не такой жирный на символы, как китайский…

При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway. отлично справляются с ддос атаками

Оффтоп: Дим прошел опрос и назрел вопрос (в рифму). А ты на блоге писал когда нибудь пост в стиле: «Х причин, почему на моем сайте отсутствуют социальные кнопки»?. Так… издалека подошел к вопросу.

А как понять сильные и легкие атаки? Может вы подразумеваете сильные это когда сам хостинг пытаются атаковать (поэтому и сайты на нем перестают работать…) а легкие, это наверно когда только сайт не работает…
Вот у нас на спринхосте в последние 2 месяца уже пару раз хостинг не работал. Тех поддержка писала, что это последствия сильной доос атаки на хостинг. В этом случае что мы можем сделать? Ведь наверняка никакой плагин не спасет… мне кажется, остается делать бекапы сайта чаще?
Что касается «легких», слава Богу, таких не бывало, если сама не начнешь коды на блоге ломать))…

А если заблокировать полностью по странам, когда идет приличная DDOS атака? В принципе это тоже хороший вариант защиты можно использовать.

Можно и по странам блокировать, откуда совсем нет нормального трафика. (но много подозрительного).

Основные способы реализации DoS-атак

Существуют два основных способа реализации DoS-атак.

Первый, логический, заключается в использовании уязвимостей в программном обеспечении, установленном на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приводит к нарушению работоспособности системы. Эти атаки направлены на слабые места операционных систем, программного обеспечения, процессоров и программируемых микросхем.

Второй способ заключается в отсылке большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети. Атаки, производимые путем отсылки большого количества пакетов, могут быть выделены в два основных вида.

Атаки, направленные на блокирование каналов связи и маршрутизаторов. Суть атаки заключается в отправлении на атакуемый компьютер огромного потока флуда, то есть запросов неправильного формата или бессмысленных по сути. Флуд полностью забивает всю ширину канала данных или входной маршрутизатор. Поскольку объем данных превышает объем ресурсов для их обработки, становится невозможным получение корректных пакетов данных от других пользователей. В результате, система отказывает им в обслуживании.

Атаки, направленные на переполнение ресурсов операционной системы или приложений. Атаки данного типа нацелены не на канал связи, а на саму систему. Каждая система имеет множество ограничений по разным параметрам (процессорное время, дисковое пространство, память и др.), и смысл атаки заключается в том, чтобы заставить систему эти ограничения нарушить. Для этого на компьютер жертвы посылается огромное количество запросов. В результате перерасхода вычислительных мощностей на сервере система отказывает в обслуживании запросов легитимных пользователей.

Риски заказа Ддос-атаки

Подведём итог, взвесив достоинства и недостатки заказа Ддос-атаки на конкурентов.

Если конкуренты насолили бизнесу, хакеры не помогут. Они сделают только хуже. Агентство «Digital Sharks» удалит нежелательную информацию законными способами.

В России раньше «фурами» взламывали email-адреса, страницы соц сетей у миллионов, хакали пачками и тысячами номера icq и еще много-много ОЧень много всего. И что вы думаете много кого сажали? ответ — почти никого. Да и сейчас, если подойти к заказу той же ddos-атаки с «мозгами» и позаботиться о своей анонимности… все будет гуд.

Андрей, вы правы, в прошлом происходило огромное количество взломов, однако хочется подчеркнуть, что это было по ряду причин:
1) Слабые технологии защиты;
2) Отсутствие компьютерной грамотности у людей;

Иметь пароль в виде даты рождения считалось нормой, и взломщикам не приходилось выдумывать сложные алгоритмы для подбора символов. Сейчас же большинство уже на автомате подключает двухфакторную авторизацию, не говоря о паролях с абсолютно рандомными символами.

Время меняется, в компетентные органы приходят молодые сотрудники со знаниями и пониманием. К примеру, в мае 2017 года был осужден житель Забайкальского края за взлом страницы знакомой, его приговорили к исправительным работам. В 2019 году осудили 21-летнего хакера из Воронежа, взламывающего личные страницы ВКонтакте. Его приговорили к году исправительных работ с удержанием заработной платы в размере 10% ежемесячно в пользу государства.

Таких историй достаточно, но не так много, как хотелось бы. Все-таки раньше все взломы происходили через технику, а сейчас «взламывают» людей, но это совсем другая история.

Ужасная статья, вы сами та читали что пишете? ..Создал ддос программу, которая сбрала данные о 1.3млн человек…. Это как вообще? Вы хоть почитайте что такое дудос, не удивлюсь что сами такие школьники

Ошибки нет. Некорректно описали процесс. Там мужчина валил сервера, а потом собирал данные. Перепислаи в статье этот блок, чтобы всем читателям было понятно. Спасибо!

Защита от DDOS-атаки: два простых приема для WordPress и Joomla

Привет, друзья IdeaFox!

Не так давно я написал заметку о том, как бороться с подозрительной активностью на сайте:

В которой делал упор на то, как защищаться от заклятых друзей-конкурентов = ). А следом получил несколько запросов в техподдержку с просьбой рассказать о том, как бороться с DDOS-атакой.

На самом деле, схема защиты почти точно такая же, как в той самой статье.

Прежде чем начать, отмечу, что от сильной атаки такое решение вас НЕ спасет. Но отбиться от мелких хулиганов поможет.

Итак, представим что ваш сайт заваливают кучей запросов а сайт еще кое-как работает.

Читать еще:  Что такое социальная инженерия

Как защитить WordPress от DDOS-атаки?

Вообще, нужно заранее побеспокоиться и сделать несколько простых шагов. Дело в том, что если блог УЖЕ атакуют, то он начинает сильно тормозить. Вплоть до того, что он просто перестанет работать.

Или хостер его превентивно отключит, чтобы снизить нагрузку и не уронить ваших соседей по серверу.

1. Шаг: Установить плагин WordFence Security

Статья в которой я рассказывал о том, как установить и настроить WordFence Security уже устарела, поэтому лучше посмотреть новое видео из моего курса по безопасности WordPress:

и сделать базовые настройки безопасности плагина. О более тонких настройках безопасности сайта под управлением WordPress смотрите в платном курсе:

Разумеется, предварительно делаем резервную копию сайта, так как установка любого плагина безопасности — довольно непредсказуемое дело.

2. Шаг: Пройти в настройки WordFence Security и сделать еще два телодвижения:

Включить FireWall в WordFence Security

И настроить сам FireWall:

Все. От легкой атаки мы защитились.

Например, если кто-то будет усердно долбится на Ваш сайт, то система будет блокировать негодяя, а Вы будете получать примерно вот такое письмо:

В данном случае кто-то с указанного в письме IP-адреса пытался слишком часто просмотреть несуществующие страницы (по ошибке 404).

Система увидела, что кто-то за минуту сделал 120 таких попыток и заблокировал IP-адрес на один час.

Разумеется, Вы можете выставить более мягкие/жесткие правила. Расшифровка настроек FireWall-а дается вот здесь:

Еще один приемчик, который позволяет отбиться от DDOS

Есть у меня парочка старых сайтов на Joomla. Так вот. Спешу сообщить, что для столь популярного движка вообще нет нормальных расширений защиты.

Да, есть парочка компонентов защиты Joomla: Admin Tools и jHackGuard.

Но они рядом не валялись с плагинами безопасности, которые есть для WordPress.

А если быть точным – это убогие поделки по сравнению с тем же WordFence Security или iThemes Security. Кстати, если кто-то знает нормальные расширения для Joomla, то подскажите, пожалуйста.

И как быть в такой ситуации?

Я выкрутился при помощи нового сервиса VirusDie, о котором писал вот здесь:

Там в комплекте идет весьма неплохой файрволл, который не требует установки и настройки. Просто заливаете файл синхронизации в корень сайта, как показано на этом видео:

и включаете защиту от DDOS в настройках сайта в личном кабинете на VirusDie.Ru:

Вот, кстати, статистика по абсолютно убогому сайт для опытов win4blog.ru (этот метод защиты работает также и на WordPress):

— за 20 дней было заблокировано 450 подозрительных запроса. Учитывая тот факт, что сайт вообще ни о чем – впечатляет.

А вот структура плохого трафика по этому сайту:

Подчеркну, что этот файрволл от Virusdie корректно работает на WordPress и не требует очень уж тонких настроек. Точнее, их вообще нет.

Есть одна кнопка– “Вкл/Выкл”. Как на хипстерском iPhon-е. =)

Но тем не менее, он весьма неплохо работает на мой взгляд, как на сайтах под управлением Joomla, так и с WordPress. Судя по логам, он блокирует большинство наиболее известных типов атак.

Не забудьте подписаться на новости сайта вот на этой странице:

P.S. Кто-нибудь знает нормальные расширения для защиты сайтов на Joomla?

Еще по безопасности блогов:

  1. Мой новый курс по безопасности “Защита блога на WordPress за два часа”
  2. VirusDie (ВирусДай!) — Новый способ для защиты сайта от вирусов и DDOS. И почему так ругают этот сервис?
  3. Manul — новый антивирус для сайтов от Яндекса. Специально для бородатых админов

31 комментарий к “Защита от DDOS-атаки: два простых приема для WordPress и Joomla”

Ну что за дискриминация?) Я протестую. А как же RS Firewall для Joomla? Там тоже весьма неплохой Фаервол.

Про RS FireWall забыл совсем. А разве его не забросили разработчики? (где-то читал, что проект закрыт)

Сомневаюсь. На офсайте висит и вроде обновляется. Он же коммерческий.

Ок, спасибо, Денис
Попробую обязательно.

На работе тоже частенько приходится чистить сайты от вирусов, но я в основном делаю это вручную, так скажем старым дедовским способом. Открываю файлы сайта и смотрю на даты последних обновлений если дата обновления файла недавняя, а сайт заливался на хостинг давно, то ищу вредоносный код там и так везде по всем файлам. После такой чистки вирусов, как правило, все работает нормально хостинг на спам или нагрузку не жалуется. В моей практике в основном взламывают джумлу, вордпресс очень редко, а джумлу каждый школьник хакает. как-то так.

С Джумлой вообще все очень грустно в плане безопасности. Одна история с уязвимостью всех сайтов на Joomla 3.2-3.4 очень показательная. Недавно был большой шухер на всех форумах посвященных этому движку.
«смотрю на даты последних обновлений если дата обновления файла недавняя» уже научились прописывать нужную дату в файлы, так-что этот метод не всегда помогает.

Дмитрий, а расскажи про свой опыт — тебя ддосили? как отбивался? Вроде бы у тебя достаточно крупные проекты, нагруженные и посещаемые СДЛ. Были ли такие ситуации?

Да, бывало. Но плагин WordFence Security помогает отбиваться от легких атак (сильных, к счастью, не было).

Он просто налету блокирует подозрительные IP-адреса. Например если фиксируется, что с какого-то адреса идет массовый просмотр страниц, то он немедленно блокируется.
При этом очень сильно разрастается журнал логов сервера. Был такой случай, что за сутки он разросся до 700 МБ.
Но так как происходит ротация логов (старые журналы архивируются в gzip, а затем удаляются через 10 дней), то нужно всегда про запас держать свободное дисковое пространство на хостинге.

А у меня просто блог был на хорошем хостинге. Сайт игрового проекта там же, никогда никаких проблем не было. Для VDS планирую в будущем написать утилиту для анализа логов с баном ip атакующих на уровне iptables. Ну или может быть даже фаерволл. А то fail2ban в последних версиях очень огорчает своей тупизной настройки, очередные разработчики заболели маразмом. Как же сильно я ненавижу тупых разработчиков, которые никогда не думают об удобстве для юзера…

Круто, Агент.
Так ты проф. программист что-ли? Ведь это далеко не простое дело, как я понимаю.

Джаву учу и питон время от времени. Там не так уж и сложно, берешь API, там по функциям: взять, обработать, отправить. С логами вообще фигня будет, насчет фаерволла не знаю, еще не работал с сетью.

Молодец. Я вот ничего кроме fail2ban и не знаю для Линукс.
По-сути, альтернатив то и нет… Так-что хорошее дело затеял.

Спасибо, Дмитрий, с хулиганами теперь будут приёмники побороться))
Странно, но У меня с итем секюрити почему то логи не фиксируются, или я сам их удалил навсегда, да так, что новые не сохраняются, раньше просматривал иногда его.
Хотелось бы пост с блокировкой хулиганов и спаммеров в GA статистике почитать в будущем.
Спасибо за помощь!

Пожалуйста, Николай)
Скорее всего ты настроил запись журнала в файл (вместо записи в базу данных) в настройках ithemes-security

Эх, мне бы столько знаний в области администрации сайтов — уехал бы уже в Тхаиланд и спокойно нашел бы для себя постоянную работенку на фрилансе минимум за 1000 американских рублей в месяц =)

Дмитрий, а что у тебя за плеер такой? Это твой собственный, то есть стоит на твоем сервере? Как называется? Просто я для одного своего проекта тоже собственный плеер использую на html5, но у него одна неудобная фишка: в mp4h264 проигрывать видео отказывается, жрет только формат webm, поэтому все видео приходится специально для этого лишний раз перекодировать.

Михаил, это сервис Vimeo.

Там есть бесплатный тариф, но я взял платный на один год (примерно 2000 рублей в год). Просто на бесплатном тарифе можно заливать не более 3 видео в HD-качестве в неделю и есть ограничения по настройке самого плеера.

А, это Вимео? Я думал, свой личный плеер. Не, вимео мне все равно не подходит. Не люблю, когда судьба моих видео зависит от того, понравятся ли они модераторам =)

Хипстерские айфоны, кстати, совсем разочаровали меня. Новая iOS 9 еле тянет даже на довольно мощном и относительно новом железе вроде iPad 4 (модель планшета конца 2012 года). Тормоза просто жутчайшие. А откатиться на более старую версию iOS уже нельзя. В общем, категорически недоволен нынешним лицом нетрадиционной ориентации во главе компании и хочу его отставки. Более того, теперь на iOS 9.0.2 ввели новую фишку — теперь напоминания об обновлении iOS стали очень назойливо-настойчивыми, постоянно выскакивают всплывающие окна во весь экран, чтобы пользователь даже не желающий обновляться, случайно нажал на кнопку «обновить» (так как это всплывающее окно может выскочить в самый неподходящий момент, когда ты набираешь текст например). В общем, не передать как я зол и разочарован. Теперь выход только один — искать бэу гаджеты на авито со старыми iOS и сидеть на них не обновляясь вечно. Перешел бы на Андроид, но опасен он и дыряв. Сколько человек уже троянов нахватались, которые у них деньги с банковских карт тянули… А на эппл ни о чем можно не беспокоиться.

Дмитрий, а будут ли Ddos-ить какие-нибудь мелкие проекты? Я как-то читал, что это удовольствие не из дешевых. День такой атаки обходился (на тот момент, когда я читал) в сумму около 100 американских рублей. Задача нетривиальная — создать сеть ботов, одновременно их запустить… Если валить сайт конкурента (или интернет магазин какой-нибудь) — затраты оправданы. Или какой-нибудь влиятельный политический ресурс. Или цены на эту забаву упали?
А если закончили такого рода атаку — потом все восстанавливается или надо делать какие-то телодвижения?

Читать еще:  Атака брутфор Как предотвратить? Часть 1

На мелкие проекты в основном нападают скрипты, которые перебирают пароли в админку или ищут уязвимые плагины (тем самым вызывая много ошибок 404 и загружают движок).
По статистике из статьи видно, что даже такой откровенный ГС, как win4blog.ru тоже сканируют…
К сожалению, такие услуги подешевели.

Как все закончится, то желательно проверить сайт на возможное заражение.

Недавно китайцы взломали клиентский сайт.. сволочи!

Закинули туда куча файлов с китайскими иероглифами… гады! Но я с ними жестоко расправился… — взял и удалил весь сайт! 🙂

Потом заново создал и установил твои плагины 🙂

Во как. А через что ломали? Есть какие-то мысли?

Через админку уж 🙂 они сами на вп создали… пароль был гениальный — название домена + qqq )))

тупо подобрали пароль, благо английский язык не такой жирный на символы, как китайский…

При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway. отлично справляются с ддос атаками

Оффтоп: Дим прошел опрос и назрел вопрос (в рифму). А ты на блоге писал когда нибудь пост в стиле: «Х причин, почему на моем сайте отсутствуют социальные кнопки»?. Так… издалека подошел к вопросу.

А как понять сильные и легкие атаки? Может вы подразумеваете сильные это когда сам хостинг пытаются атаковать (поэтому и сайты на нем перестают работать…) а легкие, это наверно когда только сайт не работает…
Вот у нас на спринхосте в последние 2 месяца уже пару раз хостинг не работал. Тех поддержка писала, что это последствия сильной доос атаки на хостинг. В этом случае что мы можем сделать? Ведь наверняка никакой плагин не спасет… мне кажется, остается делать бекапы сайта чаще?
Что касается «легких», слава Богу, таких не бывало, если сама не начнешь коды на блоге ломать))…

А если заблокировать полностью по странам, когда идет приличная DDOS атака? В принципе это тоже хороший вариант защиты можно использовать.

Можно и по странам блокировать, откуда совсем нет нормального трафика. (но много подозрительного).

DDOS атака с помощью программ.

Для более наглядного примера воспользуйтесь программой Low Orbit Ion Cannon (Ионная пушка с низкой орбиты). Или LOIC. Самый скачиваемый дистрибутив располагается по адресу (работаем в Windows):

ВНИМАНИЕ ! Ваш антивирус должен отреагировать на файл как на вредоносный. Это нормально: вы уже знаете, что качаете. В базе сигнатур он помечен как генератор флуда – в переводе на русский это и есть конечная цель бесконечных обращений на определённый сетевой адрес. Я ЛИЧНО не заметил ни вирусов, ни троянов. Но вы вправе засомневаться и отложить загрузку.

Так как нерадивые пользователи забрасывают ресурс сообщениями о вредоносном файле, Source Forge перекинет вас на следующую страницу с прямой ссылкой на файл:

В итоге мне удалось скачать утилиту только через Tor .

Окно программы выглядит вот так:

Пункт 1 Select target позволит злоумышленнику сосредоточиться на конкретной цели (вводится IP адрес или url сайта), пункт 3 Attack options позволит выбрать атакуемый порт, протокол (Method) из трёх TCP, UDP и HTTP. В поле TCP/UDP message можно ввести сообщение для атакуемого. После проделанного атака начинается по нажатии кнопки IMMA CHARGIN MAH LAZER (это фраза на грани фола из популярного некогда комиксмема; американского мата в программе, кстати, немало). Всё.

Классификация DDoS-атак

Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).

Атаки уровня инфраструктуры

К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.

Атаки уровня приложения

К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).

Основные типы DoS-атак

Существует несколько типов атак «отказ в обслуживании», основывающихся на особенностях стека протоколов TCP/IP. Перечислим наиболее известные.

Атака Ping-of-Death использует такую уязвимость протокола TCP/IP как фрагментация пакетов данных. В процессе передачи по сети пакеты данных разделяются на фрагменты, которые собираются в единое целое уже по прибытии на компьютер-адресат. Атака происходит следующим образом: на компьютер жертвы посылается сильно фрагментированный ICMP-пакет, размер которого превышает допустимый в протоколе (более 64KB). Когда атакуемое устройство получает фрагменты и пытается восстановить пакет, операционная система полностью повисает, перестает также работать мышь и клавиатура. Атакам такого типа могут подвергнуться операционные системы семейства Windows, Mac и некоторые веpсии Unix.

Атака SYN-flooding («Смертельное рукопожатие») использует такую особенность протокола TCP/IP как механизм «тройного рукопожатия». Чтобы передать данные, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). Затем клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Суть данной атаки заключается в создании большого количества не до конца установленных TCP-соединений. Посылая жертве огромное число пакетов TCP SYN, злоумышленник вынуждает ее открыть соответствующее число TCP-соединений и реагировать на них, а сам затем не завершает процесс установки соединения. Он либо не высылает ответный пакет с флагом ACK, либо подделывает заголовок пакета таким образом, что ответный ACK отправляется на несуществующий адрес. Тем самым, требования механизма «тройного рукопожатия» не выполняются. Подключения продолжают ждать своей очереди, оставаясь в полуоткрытом состоянии. Атакуемый сервер при этом выделяет ресурсы для каждого полученного SYN-пакета, которые вскоре исчерпываются. По истечении определенного промежутка времени полуоткрытые подключения отбрасываются. Злоумышленник старается поддерживать очередь заполненной, чтобы не допустить новых подключений легитимных клиентов. В результате, установка связи либо происходит с большими задержками, либо не происходит вообще.

Атака Land также использует ту особенность протокола TCP/IP, что на запрос соединения нужно обязательно ответить. Суть данной атаки заключается в том, что компьютер-жертва в результате действий злоумышленников пытается установить соединение сам с собой, что приводит к перегрузке процессора и вызывает «зависание» или аварийное завершение системы.

Пакетная фрагментация. Данный тип атак использует упоминавшийся выше механизм передачи данных по протоколу TCP/IP, в соответствии с которым пакеты данных разбиваются на фрагменты. Фрагментация используется при необходимости передачи IP-дейтаграммы, то есть блока информации, передаваемого с помощью протокола IP, через сеть, в которой максимально допустимая единица передачи данных меньше размера этой дейтаграммы. Атаки данного типа вызывают отказ в обслуживании, используя уязвимости некоторых стеков TCP/IP, связанных со сборкой IP-фрагментов.

Примером может служить атака TearDrop, в результате которой во время передачи фрагментов происходит их смещение, что при сборке пакета вызывает их перекрытие. Попытка атакуемого компьютера восстановить правильную последовательность фрагментов вызывает аварийное завершение системы.

Атака DNS flooding заключается в передаче огромного количества DNS-запросов. Это приводит к перегрузке сервера DNS и делает невозможным обращение к нему других пользователей.

Если атака типа «Отказ в обслуживании» проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.

DDoS-атака (распределенный отказ в обслуживании) – это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет – специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Распределенную атаку можно провести с помощью не только ботнета, но и механизма отражения. Такие атаки называются DrDOS-атаки (атаки непрямого воздействия, Distributed Reflection DoS). Они осуществляются не напрямую, а через посредников. Чаще всего DrDoS-атаки происходят следующим образом: TCP-пакет отправляется не на атакуемый компьютер, а на любой сервер в Интернете, но в качестве обратного адреса указывается именно адрес компьютера-жертвы. Поскольку любой сервер на пакет TCP c SYN-флагом обязательно отвечает пакетом TCP c флагами SYN+ACK, произвольно выбранный компьютер, не подозревая об этом, отвечает на ложные запросы и автоматически забрасывает потоками пакетов компьютер-жертву.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector