Oppmerksomhet overbelastning! Slik beskytter du nettstedet fra DDoS-angrep

Ifølge Kaspersky Lab ble 42,9% av datamaskiner eid av kommersielle organisasjoner i 2017 utsatt for cyberangrep.

Fra denne artikkelen lærer du hva DDoS-angrepene er, om du skal være forsiktig med dem, hvordan du forbereder deg på forsvar og hvordan du oppfører seg riktig hvis du allerede har sendt artilleri i din retning.

Hva er DDoS-angrep

DDoS - dette er enhver handling, hvis formål er å "sette" nettstedet helt eller laste det med utenlandske oppgaver, slik at det vil minne sloth fra Zveropolis. Men begrepet i seg selv er mer for brukere enn techies. Sistnevnte opererer kun med klare uttrykk som "DNS-forsterkning", "TCP Null-angrep", "SlowLoris" og andre variasjoner på emnet. Det er mange typer DDoS-angrep, så følgende bør brukes som en introduksjon:

Det er ingen universell beskyttelse mot alle typer DDoS-angrep.

Hvis det eksisterte, ville "monstre" som Google eller Amazon ikke bruke milliarder dollar på cyberforsvar og jevnlig ikke kunngjøre konkurranser for å søke etter sårbarheter med millioner i premier.

Den største faren for DDoS-angrep - i prosessen kan cyberkriminelle finne en sårbarhet og starte et virus på nettstedet. Den sørgeligste konsekvensen er tyveri av brukernes personlige data og tilbaketrekking av kundebase. Så kan den selges til dine konkurrenter.

Hvis søkemotorer finner virus, kurerer de ikke dem. Bare kaste nettstedet ut av søket eller vis brukeren et advarselsvindu. Omdømme og stillinger vunnet i utlevering vil gå for en knockout i lang tid, som etter Sugar Ray Robinsons venstre krok.

Hvorfor angripe

Bare fordi kommersielle nettsteder gjør sjelden. Det er en sjanse for at en skolegutt bestemte seg for å trene på deg, etter å ha sett en video som disse:

Slike angrep er sjelden nok i mer enn et par timer. Men som standard bør du ikke stole på en nybegynner. De vanligste årsakene er relatert til kommersielle aktiviteter.

  • DDoS å bestille. Hvis angrepet kommer etter lanseringen av en aktiv reklamekampanje eller markedsføringsaktiviteter, kan du ha krysset veien til konkurrenter. Noen ganger blir DDoS et svar på bestemte handlinger, for eksempel en sløret referanse til en konkurrent i en annonse eller forfremmelse på vegne av et utenlandsk merkevare i kontekst.
  • Utpressing. Alternativ nummer 1. En e-post kommer fra en godt ønskesøker som tilbyr å overføre ham litt beløp i bitcoins eller stedet vil falle. Ofte vil trusselen ikke utføres, men du kan gå inn i virkelige innbruddstyper. Alternativ nummer 2. Siden har allerede blitt lagt, og svindlere får et tilbud om å betale for avslutning av angrepet.
  • Nettstedet kom under distribusjonen. DDoS-angrep kan paralyse arbeidet til serveren din, fordi det stopper arbeidet på alle sine nettsteder. Usannsynlig, men også mulig.

Pavel Arbuzov, CTO, REG.RU

Betinget kan vi dele angrepene i planlagt og utilsiktet. For eksempel organiserte CyberBunker-vertsleverandøren den 18. mars 2013 et DDoS-angrep på Spamhaus på grunn av å være svartelistet for å sende spam. Dette er det kraftigste DDoS-angrepet i historien, ifølge CloudFlare, om 300 Gb / s.

Noen ganger tar nettstedseiere den såkalte "slashdot-effekten" for et DDoS-angrep (begrepet "habraeffect" finnes i RuNet). Dette skjer hvis mange flere brukere kommer til ressursen enn hosting kan savne. Dette er et utilsiktet DDoS-angrep. For eksempel, før det nye året ferier folk massivt foreta kjøp, er trafikken til online shopping økende. Svak hosting mislykkes og faller. Hvis dette skjer, må du endre verten eller bytte til en tariff med en bredere kanal.

I år skrev jeg materiale om en liten, men stolt aggregator av næringseiendom i Moskva for en velkjent forretningspublikasjon. Og 3 dager etter publiseringen angrep et kraftig DDoS-angrep sitt nettsted. Det var ikke mulig å finne ut kilden, men forbindelsen mellom hendelser er ikke utelukket. Kanskje "testen av styrke" fra konkurrenter.

Hva å gjøre under angrepet

Hvis det ikke tas noen anti-DDoS tiltak på forhånd, kan du ikke engang vite om angrepet. Noen ganger tar vertsfolk mistenkelig aktivitet og sender et brev til brukeren. Oftere - nei. Det skjer, vi ser på nettstedet og ser noe som:

Eller vi finner trafikkfeil i "Metrisk". Dette er ikke DDoS, men noe som ligner på det.

Kommandolinjekontroll

Åpne en kommandoprompt og skriv inn ping {domenenavn}.

Først vi "pinganuli" vår side og sørget for at det fungerer - alle 4 testpakker ble utvekslet. Deretter utførte han operasjonen på en blokkert ressurs. Pakker aksepteres ikke av serveren.

Hvis nettstedet ikke virker, men pinged - et problem med nettleseren. Hvis ikke pinged, er DDoS mulig.

Mer detaljert informasjon kan gi sporing. Bruk kommandotråden {domenenavn}:

På den andre sjekken ser vi sporet av ressursen blokkert av Roskomnadzor (tredjeparts IP-adresse). Hvis det ikke er noen pakkeutveksling i det siste stadiet (din IP-adresse), kan dette tyde på DDoS.

Verifisering av tredjepartstjenester

Seogadget. Det enkleste verktøyet for å raskt sjekke under DDoS, kan samtidig sjekke flere nettsteder og finne årsakene til utilgjengelighet.

HTTP 200-koden indikerer at ingen tilgangsproblemer ble oppdaget. Hvis denne linjen inneholder HTTP 4 ** -kode, er det feil på siden. HTTP kode 5 ** snakker om server side problemer.

HTTP-feil 502 (dårlig gateway) indikerer at nettstedet ikke kan takle belastningen. Dette kan skyldes et DDoS-angrep.

Verktøy fra Ping-Admin.ru. I innstillingene kan du velge å sjekke bare for din region, i Russland eller fra andre land. Gir detaljert informasjon om 9 parametere, så det er nyttig ikke bare under angrep.

Service Hvem er. Kontrollerer ytelsen til nettstedet og viser de tekniske egenskapene til domenet.

FTP-tilkobling

Installer en praktisk FTP-klient. For eksempel Total Commander:

For å legge til en server må du fylle ut kortet:

Du kan finne ut din IP-adresse, for eksempel gjennom Hvem er tjenesten på linken over. En innloggings- og passordtilgang til FTP kom til deg i et informasjonsbrev fra vertsgiveren etter registrering. Hvis det var lenge siden, finn dem i de arkiverte meldingene.

Hvis FTP fungerer, og nettstedet ikke, kan det indikere et DDoS-angrep eller problemer med webserveren.

Det er viktig! Pause visning av bannere og annonser kontekstuell annonsering, slik at du ikke mister budsjettet.

IP blokkering

Denne metoden hjelper bare med en svak angrepstype HTTP-flom. Men ubrukelig for angrep som UDP eller SYN flom. Hver ny parasitisk pakke kommer med en ny IP, slik at det ikke er mulig å filtrere tilkoblingene.

HTTP-flom er retningen for falske forespørsler til porten, som er ansvarlig for utnevnelsen og distribusjonen av datapakker som sendes til verten.

UDP-flom - sender UDP-pakker med stor mengde data til forskjellige porter for å overbelaste serveren og / eller overfylle kommunikasjonskanalen.

SYN-oversvømmelse - server ressursoverløp med ubesvarte parasitære forespørsler om synkronisering med serveren.

IP-adresser vises i HTTP-serverens loggfiler. Hvordan får du dem avhenger av verten din. Det enkleste alternativet er via en rask link i kontoen på webområdet. Selvfølgelig, hvis det er.

Hvis ikke, gå til systemmappene. For eksempel, på apache webserveren, er loggen plassert på:

/ etc / httpd / logs / access_log

Hvis verten ikke gir tilgang der, kan du skrive til teknisk support med en forespørsel om å gi slike data. I loggfilen, se etter IP-adresser som gjentas mange ganger. Deretter i rotmappen til nettstedet opprett en fil som heter .htaccess uten en utvidelse. I filen angir du koden:

rekkefølge tillate, nekte

nekte fra 111.111.11.11

nekte fra ...

tillat fra alle

I stedet for 111.111.11.11, skriv inn IP-adressene som ble funnet. Hver følgende adresse må være i en ny linje.

Dessverre, tidspunktene da IP-filtrering var effektiv har passert. I dag er dette likestillet med å prøve å reparere Tesla X i garasjen kooperativ med nøklene 17 og 19. Hvis verten ikke gir tilgang til loggene, er det ingen dupliserte IP-adresser i loggene, eller tvert imot er det for mange av dem, gå til strengere tiltak.

Historien om ett angrep

Oleg Shestakov, grunnlegger av Rush Analytics.

Den 16. november 2017 gjennomgikk Rush Analytics 'servere et DDoS-angrep fra mange forskjellige IP-adresser. I de første 20 minuttene prøvde vår tekniske avdeling å filtrere ut parasitt trafikk alene, men det var så mye av at de fleste passerte filtre. Etter ytterligere 10 minutter frakoblet hosteren oss. Bare slått av serveren, blokkert tilgang til den i 48 timer og tørket alle loggene. I løpet av de neste 2 timene distribuerte vi en ny front-server på et annet nettsted og forlot Cloudflare DNS-serverne.

Fra min synsvinkel opptrådte verten mesterlig og forsøkte ikke engang å hjelpe oss. I fremtiden vil vi beholde en sikkerhetskopi av forsiden serveren på et annet nettsted og bruke Cloudflare eller Incapsula trafikkrensingssystemet. Jeg anbefaler at alle som jobber i svært konkurransedyktige markeder, gjør det samme.

Hva ikke å gjøre under angrepet

Du trenger ikke å godta vilkårene til svindlere. Meldinger med et forslag om å stoppe angrepet for et bestemt beløp er best å ikke svare i det hele tatt. Ellers vil du bli angrepet igjen og igjen. Opprettholde upromising DDoS på et kommersielt nettsted i mer enn 1-2 dager er ikke lønnsomt. Før eller senere vil kriminelle trekke seg tilbake. Klienten tapt under angrepet er prisen på utilstrekkelig oppmerksomhet til ressursens sikkerhet.

Ikke planlegg et speilrespons. Hvis kravene til svindlere ikke mottas, er angrepet absolutt en tilpasset. Og det er ganske mulig at du har en sirkel av mistenkte: direkte konkurrenter, selskaper som det ikke var noen forretningsforbindelser med. Noen ganger grunnen - en persons personlige misliker. Men rush å se etter hackere å få hevn er ikke verdt det.

For det første, hvis konkurrentene er nede på DDoS, går virksomheten din i riktig retning. Si takk for anerkjennelsen av fortjenesten. For det andre forårsaker DDoS i de fleste tilfeller ikke alvorlig skade - dette er penger ned i avløpet. Og for det tredje er det en kriminell handling. Ja, sannsynligheten for å fange cyberkriminelle og deres kunder i moderne realiteter er svært liten, men den eksisterer.

Husk historien om Pavel Wroblewski, eieren av Chronopay-betalingsaggregatøren, som ble anklaget for å organisere et DDoS-angrep, Assist, som lagde serverne til sine konkurrenter i 9 dager.

Klienten ble anerkjent som hovedoffret av Assist Aeroflot. Tap utgjorde 146 millioner rubler. Mer enn 9 tusen mennesker under angrepet kunne ikke kjøpe flybilletter online.

Kunder og utøvere av DDos-angrep kan dømmes under Art. Straffelovens § 272. Avhengig av konsekvensene straffes en forbrytelse med en bot fra 100 til 500 tusen rubler, ved begrensning eller fengsel for en periode på 1 til 7 år.

Hva er nyttig DDoS-angrep

Pavel Arbuzov, teknisk direktør for REG.RU hosting:

Hvilke hostingproblemer oppdages av et DDoS-angrep?

Hvis vertsleverandøren hevder eller selger klientbeskyttelsen mot DDoS-angrep, og ressursene under angrep går sakte eller er ustabile, indikerer dette en dårlig service.

Hvis verten ikke erklærer eller ikke selger anti-DDoS til klienten, er hovedoppgaven å redde infrastrukturen. Selv på bekostning av å koble fra en angrepet kunde. I dette tilfellet er det ikke et problem for verten å senke klientens nettsted på grunn av DDoS.

Hvordan skal hostingleverandøren oppføre seg dersom et angrep oppdages på kundens nettsted?

Ideelt sett må vertsleverandøren ha sitt eget trafikk clearingssystem eller være koblet til et tredjepartssystem for å filtrere ut "uhyggelig" trafikk. I så fall skal kunderessurser ikke lide av DDoS-angrep. Vi jobber med DDos Guard og Stormwall PRO. De beskytter mot UDP / TCP oversvømmelser, som er de vanligste. Hvis verten ikke gir beskyttelse mot DDoS, er det lettest for ham å deaktivere nettstedet helt, slik at DDoS-angrepet ikke påvirker andre kunder.

Ved hvilke tegn kan man dømme at vertsleverandøren har jobbet dårlig under et angrep, og bør det endres?

Hvis verten er blitt helt utilgjengelig på grunn av et DDoS-angrep på en klient i mer enn 10 minutter, har det store sikkerhetsproblemer. Det er bedre å nekte sine tjenester. Det er enkelt å sjekke - gå til hovedleverandøren og kontroller om det fungerer eller ikke.

Forbereder et angrep: de nødvendige tjenestene

Tilgjengelighetskontroll

Du bør vite om problemer med tilgang til nettstedet med en gang. Bruk tjenester som kontrollerer nettstedet med bestemte intervaller og informer eieren automatisk om utilgjengeligheten.

Du kan raskt sjekke, deaktivere annonsering, varsle om problemer med verten og / eller firmaet som er engasjert i teknisk vedlikehold av nettstedet, overvåke arbeidet til heltidsansatte eller uavhengig forsøk på å fjerne trafikk.

  • Overvåker tilgjengelighet fra RU-Center. Service fra den største russiske vertsleverandøren. I linjen med tre takster. Den enkleste er 150 rubler per måned, den dyreste er tusen rubler. De varierer i antall skjermer og typer verifisering. Sjekker på HTTP, DNS, PING. Informerer om nettstedet faller under filtre av søkemotorer som bærer av virus. Automatisk melding om utilgjengelighet av nettstedet via e-post. Det er en 14-dagers testmodus.
  • Ping-Admin.ru. Den mest populære nettstedet overvåkingstjeneste i RuNet. Den har en fleksibel prispolitikk. Det er ingen abonnementsavgifter eller andre typer standard fakturering. Du kan velge mellom alle bekreftelsesmetodene du trenger og betaler bare for dem. Mange måter å automatisk varsle: post, SMS, telegram, RSS og mer. Det er ingen testmodus, men hver ny bruker mottar en $ 1-konto, som er nok i en periode på 2 uker til 1,5 måneder (avhengig av antall tilkoblede tjenester).
  • Overvåking av nettsteder fra REG.Ru. Det er en permanent gratis versjon med begrenset funksjonalitet. Nettstedet kontrolleres av en skjerm med en frekvens på 1 time. Kunngjøring av utilgjengelighet kommer bare til e-post. Den betalte billetten starter fra 99 rubler per måned. Det har SMS informere, sjekker med hvilken som helst frekvens. Samtidig kan du spore endringen i posisjonen til søkeord i søkemotorer.

brannmur

En brannmur er et komplett filter system som bidrar til å beskytte et nettsted mot søppeltrafikk før det kommer til nettstedet. Hovedfunksjonen til brannmuren - kampen mot virus. Det beskytter mot DDoS så lenge det er nok for svake angrep. Videre vil det koste mindre enn fullverdig Anti-DDoS.

  • Virusdie. Kostnaden er 1490 rubler per år og 149 rubler per år for hvert påfølgende sted. Fjerner automatisk virus, beskytter mot gripende, ondsinnet kode, holder statistikk over reflekterte trusler og danner en svart liste over IP. Det er en kodeditor der du kan legge til, redigere og slette skript. Innebygd funksjon fremhever mistenkelig kode. Du kan justere sikkerhetskopieringsfrekvensen og gjenopprette et alvorlig skadet nettsted automatisk ved siste vellykkede lagre.
  • Revisium forebyggende beskyttelse. Kostnad - 4000 rubler engang, garanti - 6 måneder. Tjenesten inkluderer diagnostikk og skanning av nettstedet, installering av rettigheter og tilgang til sikker, deaktivering av "farlige" funksjoner, begrensning av tilgang til administrasjonspanelet. Nettstedet kobles til et sikkerhetssystem som overvåker mistenkelige tilkoblinger til nettstedet og genererer rapporter om dem.
  • Virus Detect. Kostnad - 2000-3000 rubler en gang. Garanti - 1 år. Systemet beskytter mot direkte tilgang til PHP, tilgang til administrativ panel, blokkerer mistenkelige forespørsler. Tillatelser for filer og mapper er satt opp, beskyttelse mot SQL-injeksjon, XSS-angrep, RFI / LFI-sårbarheter er opprettet.

Anti-DDoS beskyttelse

Anti-DDoS er mer fleksibel og intelligent enn en vanlig brannmur. Systemet bygger automatisk filtre avhengig av type og kraft av angrepet, og kan utføre flere manipulasjoner med trafikken.

  • CloudFlare. Verdens største Anti-DDoS-tjeneste. En viktig fordel - det er en fri modus, men begrenset i funksjonalitet. Betalte priser starter på $ 20 per måned. For disse pengene får du automatisk optimalisering av nettstedets hastighet (bilde caching, CSS, Javascript, etc.), brannmur, trafikkfiltreringssystem. Cloudflare har en nødmodus jeg er under angrep, som, når den er aktivert, krever en captcha for å komme inn på nettstedet. Modusen lar deg raskt kutte søppeltrafikk, gjenopprette nettstedet og lagre minst noen av klientene. Vær oppmerksom på at Cloudflare ikke har et russisk kontor, så du må kommunisere med teknisk støtte på engelsk. Hvis nettstedet ditt allerede er hengende, kan du bruke gratis sjekketjenesten fra Cloudflare. Hvis DDoS er bekreftet, vil du bli bedt om å registrere og aktivere beskyttelse.
  • Anti DDoS fra REG.RU. Det finnes en fri modus som gjelder beskyttelse ved hjelp av lag 3-4 teknologier (IP-malformet, ICMP-flom, TCP SYN-flom, TCP-misdannet, ICMP smurf). Du kan aktivere en betalt modus som beskytter mot Layer-7 (HTTP Flood og HTTPS Flood). Kostnad - fra 6 tusen rubler per uke. Du betaler når et angrep pågår og risikoen for fornyelse fortsetter.
  • Anti-DDoS.PRO. Kostnad - fra 1500 rubler per måned. Det er en brannmur for å beskytte mot SQL-injeksjon og XSS-angrep. Endring av leverandøren og bytte til hosting er ikke nødvendig. Fungerer med lag 3-4 og Layer-7 teknologier.

Systemisk motvirkning mot DDoS-angrep

Og igjen hovedoppgaven:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты - комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или "хабраэффекта" точно защитит. От "хабраэффекта" также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Alvorlige tekniske løsninger vil kreve penger, men når det gjelder en nettbutikk eller et annet kommersielt nettsted, kan nedetid gå enda dyrere.
  3. Konfigurer programvaren på serveren din. Bruk trafikkdeling mellom to webservere. For eksempel: Apache og Nginx proxy server. Ta kontakt med din hosting leverandør for dette. Vanligvis er det ferdige løsninger.
  4. Ta vare på spørringsoptimalisering. Prøv å unngå store spørringer ved å refactoring koden, legge til manglende indekser i databaser og så videre. Når det er for mange av dem, vil serveren trolig mislykkes, selv uten DDoS-angrep.
  5. Optimaliser nettstedets hastighet. Jo vanskeligere nettstedet ditt er, desto lettere er det for angriperne å krasje det. Er du sikker på at du trenger alle de "vakre", og bruker mye ressurser? Men du bør ikke overdrive det også - et asketisk nettsted fra 90-tallet vil fungere raskt, men det er usannsynlig å konvertere godt i 2017.

Og som en fly i salven: Sikkerhet er sikkerhet, men du bør ikke installere skadelig captcha ved inngangen til hver bruker på en kontinuerlig måte. Dette er den mest effektive måten å eliminere halvparten av kundene dine på. Start små og forbedre ressursvernsystemet når bedriften din vokser.

I boksen for fans av interessante lenker:

  • Norse angriper kart. Vakkert, men ikke så informativt interaktivt kart over nettangrep. Det viser hovedsakelig de virtuelle krigene i USA med resten av verden.
  • Kart cyber trusler "Kaspersky Labs". Sporer fangst av datavirus. Det er statistikk over antall infeksjoner og typer virus rundt om i verden og i enkelte land. Du kan installere widgeten på nettstedet eller laste ned skjermsparer skjermsparer.
  • Digital angrepskart. Felles utvikling av Google og Arbor Networks. Ifølge skaperne, dekker det største systemet i verden, omtrent en tredjedel av den globale Internettrafikken. Det er et bånd av DDoS-angrep siden 2012, du kan se statistikken for en hvilken som helst dag.

Se på videoen: Psykolog Kristina Moberg forteller om kognitiv psykologi og Angelmans syndrom (Februar 2020).

Loading...

Legg Igjen Din Kommentar