Защита от DDOS атак?

Question

[Lie_to_Me]

Вопрос пришёл после прочтения топика: 100+ Гбит/с DDoS.


На данный момент этот вопрос является актуальным в виду довольно несложного создания сети ддос ботов, но этот момент давайте оставим, интересен именно вопрос защиты от данных видов атак, как в программной так и аппаратной реализации, классификация ddos атак и повторюс способы защиты\отражения атак.

И один из интересующих вопросов: способы поиска ботовода для выхода на заказчика *не берём во внимание угон ботов* и какова ответственность может грозить ему в рамках законодательства РФ.

Answer 1

[BasilioCat]

Ответ на ваш вопрос только по практической части защиты от ДДоСа тянет на небольшую книгу, ну или часовой доклад на хайлоаде =))

Answer 2

[Lie_to_Me]

Спасибо всем за ответы, и так подытожим временно:
У нас есть несколько видов атак, одна из которых дос самих веб приложений и сервисов, *как к примеру, пусть старое, но всё же (нужно свежий пример, приведу) www.securitylab.ru/vulnerability/203865.php * обновление ПО, Скриптов.
Далее при небольшой атаке мы можем воспользоваться как неким програмным обеспечением, web сервисами для составления и генерации правил файервола и .htaccess, к примеру: ipinfodb.com/

IPinfoDB — это ежемесячно обновляемая база диапазонов IP-адресов, привязанных к разным странам, тут можно быстро посмотреть, какой стране принадлежит тот или иной IP, внутри сервиса есть несколько встроенных инструментов для генерации правил файервола и .htaccess, с помощью которых можно заблокировать доступ к серверу по географическому признаку. Если нужно быстро отразить наплыв ботов их Китая или откуда либо еще — это очень хороший помощник.

, как и составление правил, написания скриптов forum.antichat.ru/thread128581.html, вообще если быть честным то мне помог данный раздел на ачате: AntiDDos — АнтиДДОС…

to: lafayette > почти, но тут есть как вариант угнать саму сеть\подсеть ботов, по поводу статьи, да до 3 лет, но я думаю ещё несколько добавить можно, вплодь до шатажа.

to: BasilioCat> хотелось бы послушать, почитать, увидеть презентации как и пусть теоретическую реализацию.

to: xsash>
1) если сайт ддосится на заказ то получается с админом сайта переговоров не ведётся, этот меод возможен только если есть изначальная цель для которой работа онлайн важна, если заказ то не кто не будет выходить на связь.
2) я уже писал в топике который скрыт, что максимум идёт поиск и вычисление до 1-2 клиентской машине с которой подавалась команда и который при этом заражён и является сокс сервером, так что в этом случае самый оптимальный вариант угнать сам ботнет.
3-4 я думаю можно объединить, получается мониторинг сайтов андеграунд тематики где предлагают данные услуги, и где гарантия что это будет не позерство.

to: savostin > вот именно что вы представляете, так как классификаций атак несколько, по тому хотелось бы услышать не один ответ, а защита от атак, что в данном сочетание вам не понятно?

to: prox > обязательно сегодня днём прочту, спасибо.

*думаю через пару дней подведу итог,*

Comments

[Сергей Савостин]

Мало того, что видов атак несколько и «защита» от каждого будет разная (протоколы, нацеленность на ip/хост, распределенность атакующих, и т.д.)
Я больше спрашивал о том, что в результате нужно получить? Прекратить атаку? Наказать атакующего? Поддерживать работоспособность ресурса на протяжении атаки? Сначала нужно поставить четкую цель, а затем пытаться её достичь.

Answer 3

[lafayette]

Отследить заказчика почти невозможно — это и относительная простота использования такого вида атак и объясняют их популярность… Разве что заказчик сам «спалится», что маловероятно.
А так статья 273 УК РФ им грозит как минимум.

Answer 4

[xsash]

На тему закона — основные 3 статьи про доступ к ЭВМ… а для тяжести впаивают вымогательство/мошенничество

Спалиться можно при
1) получение денег за заказ (если «контрольная покупка»/спалится заказчик/будешь вымогать у админа сайта)
2) при обращении в центр управления ботами (если его вычислят и возьмут под контроль)
3) оставлять контакты, которые можно ассоциировать с живым человеком (почта, icq, jabber), или которые могут быть просмотрены третьими лицами
4) трепать много языком

Answer 5

[Сергей Савостин]

Для начала, мне кажется, надо разобраться что требуется в качестве «защиты от атаки»?
Похоже у каждого своё видение этого вопроса…

Answer 6

[prox]

www.arbornetworks.com/en/peakflow-sp.html

клиенты: АT&T, Verizon…

Answer 7

[ddosguard]

Мы (ddos-guard.net) исходя из своей многолетней практики защиты от DDoS можем дать несколько актуальных рекомендаций.
1) Реалии таковы, что защита в одной точке присутствия(POP) лишена смысла. Ботами сейчас практически не атакуют, самая популярная технология - DNS амплификация, атаки при которой достигают 130-150Gbps, но среднее значение сферической атаки в вакууме для такого типа атак составляет порядка 30Gbps, что гораздо больше, чем обычный вебмастер/хостер может самостоятельно отфильтровать.
2) Но даже если вебмастер/хостер захочет потратить десяток-другой тысяч долларов на инфраструктуру в 30Gbps, т.к. вполне может прилететь 50Gbps и это сведет на нет все усилия. Вывод - пользоваться специализированными сервисами, которые тратят большие деньги на поддержание и развитие своей геораспределенной инфраструктуры.
3) Для хостера лучшим решением является защищенный IP транзит, когда его сети анонсируются у защитника от DDoS и ему приходит уже очищенный трафик.
4) Никогда не нужно платить атакующим вас шантажистам - это как торговаться с террористами, давая им деньги вы будете платить еще не один раз.

Если понадобятся консультации по какому-то конкретному кейсу - пожалуйста, задавайте вопрос тут или на support@ddos-guard.net, поможем.