Kendinizi DDoS saldırılarından nasıl korursunuz. Bir sunucuya DDoS saldırısı nedir? DDoS nedir

DDoS saldırılarıyla mücadele etmek sadece zorlu bir iş değil, aynı zamanda heyecan vericidir. Her sistem yöneticisinin her şeyden önce savunmayı kendi başına organize etmeye çalışması şaşırtıcı değildir - özellikle hala mümkün olduğu için.

Bu zor görevde size yardımcı olmaya ve sitenizi saldırılardan korumak için bazı kısa, önemsiz ve evrensel olmayan ipuçları yayınlamaya karar verdik. Verilen tarifler herhangi bir saldırı ile başa çıkmanıza yardımcı olmayacak, ancak sizi tehlikelerin çoğundan kurtaracak.

doğru malzemeler

Acı gerçek şu ki, birçok site, Apache'yi tamamen öldüren Slowloris saldırısını kullanan veya bir çiftlik kullanarak sözde SYN seli düzenleyerek herkes tarafından kapatılabilir. sanal sunucular Amazon EC2 bulutunda dakika başına yükseltildi. DDoS'a karşı kurum içinde korunmaya ilişkin diğer tüm tavsiyelerimiz aşağıdaki önemli koşullara dayanmaktadır.

1. Windows Server'dan Vazgeçin

Uygulama, Windows'ta (2003 veya 2008 - önemli değil) çalışan bir sitenin DDoS durumunda ölüme mahkûm olduğunu belirtir. Başarısızlığın nedeni Windows ağ yığınında yatmaktadır: çok sayıda bağlantı olduğunda, sunucu kesinlikle kötü yanıt vermeye başlayacaktır. Windows Server'ın bu gibi durumlarda neden bu kadar iğrenç çalıştığını bilmiyoruz, ancak bununla bir veya iki defadan fazla karşılaştık. Bu nedenle, bu makale, sunucunun Linux üzerinde çalışması durumunda DDoS saldırılarına karşı korunma yöntemlerine odaklanacaktır. Nispeten modern bir çekirdeğin (2.6'dan başlayarak) şanslı sahibiyseniz, iptables ve ipset yardımcı programları (hızlı bir şekilde IP adresleri eklemek için), botları hızla yasaklayabileceğiniz birincil araçlar olarak işlev görür. Başarının bir diğer anahtarı, daha sonra bahsedeceğimiz, düzgün hazırlanmış bir ağ yığınıdır.

2. Apache ile Bölüm

İkinci önemli koşul, Apache'yi terk etmektir. Bir saatiniz yoksa, Apache kurulur, o zaman en azından önüne bir önbellek proxy'si koyun - nginx veya lighttpd. Apache'nin dosya sunması son derece zordur ve daha da kötüsü, sunucuyu neredeyse bir cep telefonundan çökertmesine izin veren en tehlikeli Slowloris saldırısına karşı temelde (yani düzeltilemez şekilde) savunmasızdır. Çeşitli Slowloris türleriyle mücadele etmek için, Apache kullanıcıları Anti-slowloris.diff yamasını, ardından mod_noloris, ardından mod_antiloris, mod_limitipconn, mod_reqtimeout ... Ancak geceleri huzur içinde uyumak istiyorsanız, bir HTTP sunucusu almak daha kolaydır. kod mimarisi düzeyinde Slowloris'e karşı savunmasızdır. Bu nedenle, diğer tüm tariflerimiz, nginx'in ön uçta kullanıldığı varsayımına dayanmaktadır.

DDoS ile Mücadele

DDoS gelirse ne olur? Geleneksel kendini savunma tekniği, bir HTTP sunucusunun günlük dosyasını okumak, grep (bot isteklerini yakalamak) için bir kalıp yazmak ve altına düşen herkesi yasaklamaktır. Bu teknik işe yarayacak ... eğer şanslıysanız. Botnetler iki türdür, ikisi de tehlikelidir, ancak farklı şekillerde. Biri siteye tamamen anında gelir, diğeri - yavaş yavaş. İlki her şeyi bir anda öldürür, ancak her şey günlüklerde tamamen görünür ve onları çalıştırır ve tüm IP adreslerini yasaklarsanız, kazanan siz olursunuz. İkinci botnet siteyi nazikçe ve dikkatli bir şekilde kurar, ancak siteyi 24 saat boyunca yasaklamanız gerekebilir. Herhangi bir yöneticinin anlaması önemlidir: grep ile savaşmayı planlıyorsanız, saldırıyla savaşmak için birkaç gün ayırmaya hazır olmalısınız. Aşağıda, düşmenin çok fazla zarar vermemesi için pipetlerin önceden nereye yerleştirileceğine dair ipuçları verilmiştir.

3. Test tanımlama bilgisi modülünü kullanın

Bu makale için belki de en önemli, etkili ve hızlı tarif. DDoS sitenize gelirse, maksimum verimli bir şekilde habrapuser @kyprizel tarafından geliştirilen testcookie-nginx modülü, savaşabilir. Fikir basit. Çoğu zaman, HTTP seli uygulayan botlar oldukça aptaldır ve HTTP tanımlama bilgisi ve yönlendirme mekanizmalarına sahip değildir. Bazen daha gelişmiş olanlar da vardır - tanımlama bilgilerini kullanabilir ve yönlendirmeleri işleyebilirler, ancak neredeyse hiçbir zaman bir DoS botu tam teşekküllü bir JavaScript motoru taşımaz (bu giderek daha yaygın olmasına rağmen). Testcookie-nginx, önemsiz istekleri filtrelemek için bir L7 DDoS saldırısı sırasında botlar ve arka uç arasında hızlı bir filtre görevi görür. Bu kontroller neleri içerir? İstemci HTTP Yönlendirmeyi nasıl çalıştıracağını biliyor mu, JavaScript'i destekliyor mu, iddia ettiği tarayıcı mı (JavaScript her yerde farklı olduğundan ve istemci bunun Firefox olduğunu söylüyorsa, kontrol edebiliriz). Doğrulama, farklı yöntemler kullanılarak çerezler kullanılarak gerçekleştirilir:

• Set-Cookie + 301 HTTP Konum yönlendirmesi;
• "Set-Cookie" + HTML meta yenilemesini kullanarak yönlendirme;
• isteğe bağlı şablon ve JavaScript kullanabilirsiniz.

Otomatik ayrıştırmayı önlemek için, doğrulama çerezleri AES-128 ile şifrelenebilir ve daha sonra istemci tarafı JavaScript'te şifresi çözülebilir. V Yeni sürüm modülü, Flash aracılığıyla çerezleri ayarlamak mümkün hale geldi, bu da botları (kural olarak Flash'ın desteklemediği) etkili bir şekilde ayıklamanıza izin verir, ancak birçok meşru kullanıcının (aslında tüm mobil cihazlar) erişimini engeller. ). testcookie-nginx'i kullanmaya başlamanın son derece kolay olması dikkat çekicidir. Geliştirici, özellikle, birkaç alıntı yapar açık örnekler kullanmak farklı durumlar saldırılar) nginx için yapılandırma örnekleri ile.

Avantajlarına ek olarak, testcookie'nin dezavantajları da vardır:

• Googlebot dahil tüm botları keser. Testcookie'yi kalıcı olarak tutmayı planlıyorsanız, arama sonuçlarından kaybolmadığınızdan emin olun;
• Bağlantılar, w3m tarayıcıları ve benzerleri olan kullanıcılar için sorun yaratır;
• sizi JavaScript'e sahip tam teşekküllü bir tarayıcı motoruyla donatılmış botlardan kurtarmaz.

Kısacası, testcookie_module evrensel değildir. Ancak, örneğin Java ve C #'daki ilkel araç takımları gibi bir dizi şeyden yardımcı olur. Böylece tehdidin bir kısmını kesmiş olursunuz.

4. Kod 444

Sitenin en yoğun kaynak gerektiren kısmı genellikle DDoS'çıların hedefi haline gelir. Tipik bir örnek, bir veritabanına karşı karmaşık sorgular gerçekleştiren bir aramadır. Doğal olarak, siber suçlular aynı anda arama motoruna on binlerce istek göndererek bundan yararlanabilir. Ne yapabiliriz? Aramayı geçici olarak devre dışı bırakın. Müşterilerin arama yapmasına izin vermeyin gerekli bilgi yerleşik araçlar, ancak tüm sorunların kökenini bulana kadar ana sitenin tamamı işlevsel kalacaktır. Nginx, bağlantıyı basitçe kapatmanıza ve hiçbir şey geri vermemenize izin veren standart olmayan bir 444 kodunu destekler:

Konum / arama (dönüş 444;)

Böylece, örneğin, URL filtrelemeyi hızlı bir şekilde uygulayabilirsiniz. Konum/arama isteklerinin yalnızca botlardan geldiğinden eminseniz (örneğin, güveniniz sitenizde hiç / arama bölümünün olmamasına dayanmaktadır), sunucuya ipset paketini yükleyip yasaklayabilirsiniz. basit bir kabuk komut dosyasına sahip botlar:

Ipset -N ban iphash tail -f access.log | LINE okurken; yankı "$ HATTI" | \ cut -d "" "-f3 | cut -d" "-f2 | grep -q 444 && ipset -A ban" $ (L %% *) "; yapıldı

Günlük dosyalarının formatı standart değilse (birleşik değil) veya yanıt durumu dışında başka gerekçelerle yasaklamanız gerekiyorsa, cut'u normal bir ifadeyle değiştirmeniz gerekebilir.

5. Coğrafi konuma göre banim

Standart olmayan 444 yanıt kodu, istemcileri coğrafi konumla anında yasaklamak için de yararlı olabilir. Rahatsız olduğunuz bazı ülkeleri ciddi şekilde kısıtlayabilirsiniz. Örneğin, Rostov-on-Don'daki bir çevrimiçi kamera mağazasının Mısır'da pek çok kullanıcısı olması pek olası değildir. Bu çok iyi bir yol değil (açıkçası iğrenç), çünkü GeoIP verileri yanlış ve Rostovitler bazen tatilde Mısır'a uçuyor. Ancak kaybedecek bir şeyiniz yoksa, talimatları izleyin:

1. GeoIP modülünü nginx'e bağlayın (wiki.nginx.org/HttpGeoipModule).
2. Erişim günlüğünde coğrafi referans bilgilerini görüntüleyin.
3. Ardından, yukarıdaki kabuk betiğini değiştirdikten sonra, nginx'in erişim günlüğünü çalıştırın ve yasağa coğrafi olarak atılan istemcileri ekleyin.

Örneğin, botlar çoğunlukla Çin'dense, bu yardımcı olabilir.

6. Sinir ağı (PoC)

Son olarak, PyBrain sinir ağını alan, günlüğü ona dolduran ve istekleri analiz eden @SaveTheRbtz habrauser'in deneyimini tekrarlayabilirsiniz (habrahabr.ru/post/136237). Yöntem evrensel olmasa da çalışıyor :). Ancak sitenizin içini gerçekten biliyorsanız - ve bir sistem yöneticisi olarak yapmanız gerekir - o zaman en trajik durumlarda, sinir ağlarına, eğitime ve önceden toplanan bilgilere dayalı böyle bir araç setinin size yardımcı olma şansına sahipsiniz. . Bu durumda, DDoS'un başlangıcından önce access.log'a sahip olmak çok yararlıdır, çünkü yasal istemcilerin neredeyse %100'ünü tanımlar ve bu nedenle eğitim için mükemmel bir veri kümesidir. sinir ağı... Ayrıca, botlar günlükte her zaman gözle görülmez.

Sorunu teşhis etme

Site çalışmıyor - neden? DDoS mu yoksa programcı tarafından fark edilmeyen bir motor hatası mı? Önemli değil. Bu soruya cevap aramayın. Sitenizin saldırıya uğrayabileceğini düşünüyorsanız, saldırılara karşı koruma sağlayan şirketlerle iletişime geçin - bir dizi anti-DDoS hizmeti için, bağlandıktan sonraki ilk gün ücretsizdir - ve boşa harcamayın. daha fazla zaman semptomları arıyor. Soruna odaklanın. Bir site yavaşsa veya hiç açılmıyorsa, performansında bir sorun vardır ve - bir DDoS saldırısının devam edip etmediğinden bağımsız olarak - bir profesyonel olarak buna neyin sebep olduğunu anlamalısınız. DDoS saldırısı nedeniyle sitenin işleyişinde zorluk yaşayan bir şirketin, sitenin motorunda zayıf noktalar aramak yerine saldırganların bulunması ve cezalandırılması için İçişleri Bakanlığı'na açıklamalar göndermeye çalıştığına defalarca tanık olduk. . Böyle hatalar yapmayın. Siber suçluları aramak, İnternet'in yapısı ve ilkeleriyle karmaşıklaşan zor ve uzun bir süreçtir ve sitenin işleyişiyle ilgili sorun derhal çözülmelidir. Teknisyenlerin site performansındaki düşüşe neyin neden olduğunu bulmasını sağlayın ve avukatlar ifadeyi yazabilir.

7. Profil oluşturucuyu ve hata ayıklayıcıyı kullanın

En yaygın web sitesi oluşturma platformu - PHP + MySQL - için darboğaz aşağıdaki araçlar kullanılarak bulunabilir:

• Xdebug profil oluşturucu, uygulamanın en çok hangi aramalarda zaman harcadığını gösterir;
• yerleşik APD hata ayıklayıcı ve hata günlüğünün hata ayıklama çıktısı, bu çağrıları hangi kodun yaptığını anlamanıza yardımcı olur;
• çoğu durumda, köpek, veritabanı sorgularının karmaşıklığı ve hantallığı içinde gömülüdür. Veritabanı motorunda yerleşik olan açıklama SQL yönergesinin kullanışlı olduğu yer burasıdır.

Site sırt üstü yatıyorsa ve hiçbir şey kaybetmiyorsanız, ağ bağlantısını kesin, günlüklere bakın, oynamaya çalışın. Değilse, sayfaları gözden geçirin, tabana bakın.

Örnek PHP içindir, ancak fikir herhangi bir platform için geçerlidir. Herhangi bir programlama dilinde yazılım ürünleri yazan bir geliştirici, hem hata ayıklayıcıyı hem de profil oluşturucuyu hızlı bir şekilde kullanabilmelidir. Önceden pratik yapın!

8. Hataları analiz edin

Trafik hacmini, sunucu yanıt süresini, hata sayısını analiz edin. Bunun için günlüklere bakın. V nginx zamanı sunucu yanıtı, günlükte iki değişken tarafından kaydedilir: request_time ve upstream_response_time. İlk olarak tam zamanlı kullanıcı ve sunucu arasındaki ağ gecikmeleri dahil, isteğin yerine getirilmesi; ikincisi, arka ucun (Apache, php_fpm, uwsgi ...) ne kadar süredir istekte bulunduğunu söyler. upstream_response_time değeri, şu özelliklere sahip siteler için son derece önemlidir: büyük miktar dinamik içerik ve ön uç ile veritabanı arasındaki aktif iletişim, ihmal edilemez. Aşağıdaki yapılandırma, günlük biçimi olarak kullanılabilir:

Log_format xakep_log "$ remote_addr - $ remote_user [$ time_local]" "" $ request "$ durum $ body_bytes_sent" "" $ http_referer "" $ http_user_agent "$ request_time \ $ upstream_response_time";

Bu, zamanlama alanları eklenmiş birleştirilmiş bir biçimdir.

9. Saniyedeki istek sayısını takip edin

Ayrıca saniyedeki istek sayısına da bakın. Nginx durumunda, aşağıdaki kabuk komutuyla bu değeri kabaca tahmin edebilirsiniz (ACCESS_LOG değişkeni, birleşik biçimde nginx istek günlüğüne giden yolu içerir):

Echo $ (($ (fgrep -c "$ (env LC_ALL = C tarihi [e-posta korumalı]$ (($ (tarih \ +% s) -60)) +% d /% b /% Y:% H:% M) "" $ ACCESS_LOG ") / 60))

Günün bu saati için normal seviye ile karşılaştırıldığında, saniyedeki istek sayısı hem düşebilir hem de artabilir. Büyük bir botnet geldiğinde büyürler ve bir botnet siteyi çökerterek siteyi meşru kullanıcılar için tamamen erişilemez hale getirirse düşerler ve botnet statik istemez, ancak meşru kullanıcılar ister. Statik nedeniyle istek sayısındaki düşüş tam olarak gözlemlenir. Ancak, öyle ya da böyle, göstergelerdeki ciddi değişikliklerden bahsediyoruz. Bu aniden gerçekleştiğinde - sorunu kendi başınıza çözmeye çalışırken ve bunu günlükte hemen görmüyorsanız, motoru hızlı bir şekilde kontrol etmek ve paralel olarak uzmanlarla iletişime geçmek daha iyidir.

10. tcpdump'ı unutmayın

Birçok kişi tcpdump'ın harika çare teşhis. Size bir iki örnek vereceğim. Aralık 2011'de, bir hata keşfedildi Linux çekirdeği SYN ve RST TCP segment bayrakları ayarlanmış bir TCP bağlantısı açtığında. İlk hata raporu, kaynağı bu yöntemle saldırıya uğrayan Rusya'dan sistem yöneticisi tarafından gönderildi - saldırganlar güvenlik açığını tüm dünyadan önce öğrendi. Açıkçası, böyle bir teşhis ona yardımcı oldu. Başka bir örnek: nginx'in pek hoş olmayan bir özelliği vardır - günlüğe yalnızca istek tamamen işlendikten sonra yazar. Sitenin kapalı olduğu, hiçbir şeyin çalışmadığı ve günlüklerde hiçbir şeyin olmadığı durumlar vardır. Bunun nedeni, gelen tüm isteklerin şu an sunucuyu yükleyin, henüz çalıştırmadınız. Tcpdump burada da yardımcı olacaktır.

O kadar iyi ki, insanlara her şeyin yolunda olduğuna ikna olmadan ikili protokolleri kullanmamalarını tavsiye ettim, çünkü metin protokollerini tcpdump ile hata ayıklamak kolaydır, ancak ikili protokoller değildir. Bununla birlikte, sniffer bir teşhis aracı olarak iyidir - üretimi sürdürmenin bir yolu olarak korkutucu. Aynı anda birden fazla paketi kolayca kaybedebilir ve kullanıcı geçmişinizi mahvedebilir. Çıktısını izlemek uygundur ve manuel teşhis ve yasaklamalar için kullanışlıdır, ancak kritik hiçbir şeyi buna dayandırmamaya çalışın. Pek çok "istek yakalama" yoluyla sevilen bir başkası - ngrep - genellikle varsayılan olarak iki gigabaytlık kopyalanamayan bellek bölgesinde istekte bulunmaya çalışır ve ancak o zaman gereksinimlerini azaltmaya başlar.

11. Saldırı ya da değil?

Örneğin, bir DDoS saldırısını bir reklam kampanyasının etkisinden nasıl ayırt edebilirim? Bu soru saçma gelebilir, ancak konu daha az zor değil. Oldukça meraklı vakalar var. Bazı iyi adamlar, gerildiklerinde ve önbelleğe almayı tamamen mahvettiklerinde site birkaç gün boyunca hastalandı. Birkaç ay boyunca bu sitenin bazı Almanlar tarafından fark edilmediği ve site sayfasının önbelleğe alınmasının optimizasyonundan önce, tüm resimleri olan bu Almanların oldukça uzun bir süre yüklendiği ortaya çıktı. Sayfanın önbelleği anında bitmeye başlayınca herhangi bir zaman aşımı olmayan bot da anında onları toplamaya başladı. Zordu. Durum özellikle zordur, çünkü ayarı kendiniz değiştirdiyseniz (önbelleğe almayı etkinleştirdiyseniz) ve site bundan sonra çalışmayı durdurduysa, o zaman sizin ve patronunuzun görüşüne göre kim suçlanacak? Aynen öyle. İstek sayısında keskin bir artış görüyorsanız, örneğin şuraya bakın: Google analitiği kim hangi sayfalara geldi

Bir web sunucusunu ayarlama

Başka hangi önemli noktalar var? Tabii ki, varsayılan nginx'i koyabilir ve iyi olacağınızı umabilirsiniz. Ancak, asla iyi değil. Bu nedenle, herhangi bir sunucunun yöneticisi, nginx'in ince ayarını yapmak ve ayarlamak için çok zaman ayırmalıdır.

12. nginx'te kaynakları sınırlama (arabellek boyutları)

Her şeyden önce neyi hatırlamanız gerekir? Her kaynağın bir sınırı vardır. Her şeyden önce, bu RAM ile ilgilidir. Bu nedenle, başlıkların ve kullanılan tüm arabelleklerin boyutları, bir bütün olarak istemci ve sunucu için yeterli değerlerle sınırlandırılmalıdır. nginx yapılandırmasında kayıtlı olmaları gerekir.

• client_header_buffer_size_ _ İstemci istek başlığını okumak için arabelleğin boyutunu ayarlar. İstek dizesi veya istek başlığı alanı bu arabelleğe tam olarak sığmazsa, arabellekler tahsis edilir. daha büyük boy Large_client_header_buffers yönergesi tarafından belirlenir.
• büyük_client_header_buffers Büyük bir istemci isteği üstbilgisini okumak için arabelleklerin maksimum sayısını ve boyutunu belirtir.
• client_body_buffer_sizeİstemcinin istek gövdesini okumak için arabelleğin boyutunu ayarlar. İstek gövdesi belirtilen arabellekten daha büyükse, istek gövdesinin tamamı veya yalnızca bir kısmı geçici bir dosyaya yazılır.
• client_max_body_sizeİstek başlığının "Content-Length" alanında belirtildiği gibi, izin verilen maksimum istemci isteği gövde boyutunu belirtir. Boyut belirtilen boyuttan büyükse, istemciye 413 hatası (İstek Varlığı Çok Büyük) döndürülür.

13. nginx'te zaman aşımlarını yapılandırma

Zaman da bir kaynaktır. Bu nedenle, aşağıdakiler önemli adım tüm zaman aşımları ayarlanmalıdır, bu da yine nginx ayarlarına dikkatlice kaydolmak çok önemlidir.

• reset_timedout_connection açık; FIN-WAIT aşamasında takılıp kalmış soketlerle başa çıkmaya yardımcı olur.
• client_header_timeoutİstemci istek başlığını okurken bir zaman aşımı ayarlar.
• client_body_timeoutİstemcinin istek gövdesini okurken bir zaman aşımı ayarlar.
• hayatta kalma zaman aşımıİstemci ile canlı tutma bağlantısının sunucu tarafından kapatılmayacağı zaman aşımını ayarlar. Birçok kişi burada büyük değerler belirlemekten korkuyor ancak bu korkunun haklı olup olmadığından emin değiliz. İsteğe bağlı olarak, Keep-Alive HTTP başlığında zaman aşımı değerini ayarlayabilirsiniz, ancak Internet Explorer Bu anlamı görmezden gelmesiyle ünlü
• send_timeoutİstemciye yanıt göndermek için zaman aşımını ayarlar. Bu süreden sonra müşteri hiçbir şeyi kabul etmezse bağlantı kapatılacaktır.

Sadece bir soru: hangi arabellek ve zaman aşımı parametreleri doğru? Burada evrensel bir tarif yok, her durumda farklılar. Ancak kanıtlanmış bir yaklaşım var. Sitenin verimli bir durumda (barış zamanında) kaldığı, yani sayfaların verildiği ve isteklerin işlendiği minimum değerleri ayarlamak gerekir. Bu, yalnızca test edilerek belirlenir - hem masaüstlerinden hem de mobil cihazlardan. Her parametrenin değerlerini bulmak için algoritma (arabellek boyutu veya zaman aşımı):

1. Parametrenin matematiksel olarak minimum değerini belirledik.
2. Sitenin test çalıştırmasını başlatıyoruz.
3. Sitenin tüm fonksiyonları sorunsuz çalışıyorsa parametre tanımlanır. Değilse parametrenin değerini artırıp 2. adıma geçiyoruz.
4. Parametre değeri varsayılan değeri bile aştıysa, bu, geliştirme ekibinde tartışılması için bir nedendir.

Bazı durumlarda, bu parametrelerin revize edilmesi sitenin yeniden düzenlenmesine/yeniden tasarlanmasına yol açmalıdır. Örneğin, site üç dakikalık AJAX uzun yoklama istekleri olmadan çalışmıyorsa, zaman aşımını artırmak gerekli değildir, ancak uzun yoklamayı başka bir şeyle değiştirmek gerekir - isteklerde üç dakika asılı kalan 20 bin makineden oluşan bir botnet ortalama bir ucuz sunucuyu kolayca öldürün.

14. nginx'te bağlantıları sınırlama (limit_conn ve limit_req)

Nginx ayrıca bağlantıları, istekleri vb. sınırlama yeteneğine de sahiptir. Sitenizin belirli bir bölümünün nasıl davranacağından emin değilseniz, ideal olarak onu test etmeniz, kaç isteğe dayanacağını anlamanız ve bunu nginx yapılandırmasına yazmanız gerekir. Site çöktüğünde ve gelip onu alabildiğinizde bu bir şeydir. Ve tamamen farklı bir konu - o kadar uzandığında sunucu takasa girdi. Bu durumda, muzaffer dönüşünü beklemektense yeniden başlatmak genellikle daha kolaydır.

Sitenin kendi kendini açıklayan adları / indirme ve / arama bölümleri olduğunu varsayalım. Bunu yaparken, biz:

• botların (veya aşırı kıskanç özyinelemeli indirme yöneticilerine sahip kişilerin) indirmeleriyle TCP bağlantıları tablosunu tıkamasını istemiyoruz;
• botları (veya başıboş tarayıcıları) istemeyin arama motorları) çok sayıda arama sorgusu ile VTYS'nin hesaplama kaynaklarını tüketmiştir.

Bu amaçlar için, aşağıdaki yapılandırma uyacaktır:

Http (limit_conn_zone $ binary_remote_addr bölgesi = download_c: 10m; limit_req_zone $ binary_remote_addr bölgesi = search_r: 10m \ oran = 1r / s; sunucu (konum / indirme / (limit_conn download_c 1; # Diğer konum yapılandırması) konum / arama / (limit_req bölge arama_) burst = 5; # Diğer yapılandırma konumu)))

Pahalı komut dosyalarının bulunduğu konumlar için limit_conn ve limit_req kısıtlamaları ayarlamak genellikle doğrudan mantıklıdır (örnek bir aramayı belirtir ve bu bir tesadüf değildir). Kısıtlamalar, yük testi, regresyon testi ve sağduyu sonuçlarına göre seçilmelidir.

Örnekteki 10m parametresine dikkat edin. Bunun anlamı, hesaplama için bu sınır arabelleği 10 megabayt olan ve daha fazla megabayt olmayan bir sözlük tahsis edilmeyecektir. Bu yapılandırmada bu, 320.000 TCP oturumunu izleyecektir. Dolu belleği optimize etmek için, kullanıcının IP adresini ikili biçimde içeren ve normal $ remote_addr dize değişkeninden daha az bellek alan $ binary_remote_addr değişkeni sözlükte bir anahtar olarak kullanılır. limit_req_zone yönergesinin ikinci parametresinin yalnızca IP değil, aynı zamanda bu bağlamda kullanılabilen diğer herhangi bir nginx değişkeni olabileceğine dikkat edilmelidir - örneğin, daha yumuşak bir proxy modu sağlamak istemiyorsanız, şunları yapabilirsiniz: $ binary_remote_addr $ http_user_agent veya $ binary_remote_addr $ http_cookie_myc00kiez kullanın - ancak bu tür yapıları dikkatli kullanın, çünkü 32-bit $ binary_remote_addr'den farklı olarak, bu değişkenler çok daha uzun olabilir ve sizin tarafınızdan bildirilen "10m" aniden sona erebilir.

DDoS Trendleri

1. Ağa yönelik saldırıların gücü ve taşıma katmanı... Ortalama SYN flood saldırısının potansiyeli şimdiden saniyede 10 milyon pakete ulaştı.
2. özel talep son zamanlar DNS saldırılarının tadını çıkarın. Sahte kaynak IP adreslerine sahip geçerli DNS sorgularıyla UDP taşması, uygulanması en kolay ve saldırılara karşı koyması zor olanlardan biridir. Birçok büyük Rus şirketi (hosting şirketleri dahil) son zamanlarda DNS sunucularına yapılan saldırılar sonucunda sorunlar yaşıyor. Ne kadar uzak olursa, bu tür saldırılar o kadar fazla olacak ve güçleri artacaktır.
3. tarafından yargılamak dışa dönük işaretler, çoğu botnet merkezi olarak değil, eşler arası bir ağ aracılığıyla yönetilir. Bu, siber suçlulara botnet'in eylemlerini zamanında senkronize etme fırsatı verir - daha önce kontrol komutları 5.000 makineden oluşan bir botnet üzerinden onlarca dakika içinde dağıtıldıysa, şimdi yalnızca saniyeler sürer ve siteniz aniden 100 kat artış yaşayabilir istek sayısında.
4. JavaScript ile tam teşekküllü bir tarayıcı motoruyla donatılmış botların payı hala küçük, ancak sürekli artıyor. Böyle bir saldırıyı yerleşik doğaçlama yöntemlerle püskürtmek daha zordur, bu nedenle Samodelkins bu eğilimi korkuyla izlemelidir.

işletim sistemini hazırlamak

İnce ayar nginx'e ek olarak, sistemin ağ yığını ayarlarına da dikkat etmeniz gerekir. En azından, kendinizi bir kerede küçük bir SYN sel saldırısından korumak için net.ipv4.tcp_syncookies'i sysctl'ye hemen dahil edin.

15. Çekirdeğin ayarlanması

Zaman aşımları ve bellek için ağ bölümünün (çekirdek) daha gelişmiş ayarlarına dikkat edin. Daha önemli ve daha az önemli olanlar var. Her şeyden önce, şunlara dikkat etmeniz gerekir:

• net.ipv4.tcp_fin_timeout Soketin FIN-WAIT-2 TCP aşamasında geçireceği süre (FIN/ACK segmentini beklemek).
• net.ipv4.tcp _ (, r, w) mem arabellek boyutunu al TCP soketleri... Üç değer: minimum, varsayılan ve maksimum.
• net.core.(r,w)mem_max TCP olmayan arabellekler için aynen.

100 Mb/sn'lik bir bağlantıyla, varsayılanlar hala tamamdır; ancak saniyede en az gigabitiniz varsa, aşağıdaki gibi bir şey kullanmak daha iyidir:

Sysctl -w net.core.rmem_max = 8388608 sysctl -w net.core.wmem_max = 8388608 sysctl -w net.ipv4.tcp_rmem = "4096 87380 8388608" sysctl -w net.ipv4.tcp_wmem_max = "sys838860l8" .ipv4.tcp_wmem_max w net.ipv4.tcp_fin_timeout = 10

16. Revizyon / proc / sys / net / **

/ proc / sys / net / ** içindeki tüm seçenekleri incelemek idealdir. Varsayılan olanlardan nasıl farklı olduklarını görmemiz ve ne kadar yeterince açığa çıktıklarını anlamamız gerekiyor. Kontrolü altındaki İnternet hizmetinin işleyişini anlayan ve onu optimize etmek isteyen bir Linux geliştiricisi (veya sistem yöneticisi), çekirdek ağ yığınının tüm parametrelerinin belgelerini ilgiyle okumalıdır. Belki de kendi sitesi için sadece siteyi davetsiz misafirlerden korumakla kalmayacak, aynı zamanda işini hızlandıracak belirli değişkenler bulacaktır.

Korkma!

Her gün başarılı DDoS saldırıları e-ticareti söndürüyor, medyayı sallıyor, en büyük ödeme sistemlerini tek darbede deviriyor. Milyonlarca İnternet kullanıcısı kritik bilgilere erişimini kaybediyor. Tehdit acil, bu yüzden onu tamamen silahlı olarak karşılamanız gerekiyor. Ödevini yap, korkma ve kafanı serin tut. Sitenizde bir DDoS saldırısıyla karşılaşan ilk veya son kişi değilsiniz ve saldırının sonuçlarını en aza indirmek bilginiz ve sağduyunuzun rehberliğinde sizin gücünüzde.

Bu yazımda DDOS saldırılarını sıradan bir webmaster veya site sahibi gözüyle ele almak istiyorum. İlk defa böyle bir olay sizi şaşırtabilir ve tedirgin edebilir. Ancak gerçekte, sorun oldukça sık görülür ve er ya da geç hemen hemen her web sitesi sahibi bununla karşı karşıya kalır.

Site neden saldırıya uğradı? Bir saldırı ne kadar sürebilir?

Harekete geçmeden önce durumu analiz etmeniz ve siteye yapılan saldırının olası nedenlerini anlamanız gerekir. Saldırı rastgele mi yoksa meşru kabul edilebilir mi?

Kaynağınız ticari ise, saldırı rakiplerin entrikaları olabilir.

Kaynak ticari değilse ancak popülerse, yakında size saldırıyı durdurmak için belirli bir miktar ödemenizi talep eden bir mektup gönderecek olan İnternet fidye yazılımının (genellikle okul çocukları) kurbanı olabilirsiniz. Hiçbir koşulda bu tür müzakerelere girmeyin! Hafif ve orta ölçekli saldırılar önemli maliyetler olmadan savuşturulur ve büyük saldırıların maliyeti yine de müşteriye, koruma maliyetinden daha fazlasına mal olur. Ek olarak, ciddi saldırılar, onları organize etmenin yüksek maliyeti nedeniyle nadiren bir günden fazla sürer.

DDOS saldırılarına önceden duyarlı olan projeler ayrı ayrı düşünülmelidir: çevrimiçi oyun siteleri (Lineage 2), yatırım projeleri vb. Projeniz başlangıçta yüksek riskli bir bölgedeyse, saldırılara karşı korumayı başlatmadan önce bile önceden düşünmeniz gerekir.

Ne tür bir saldırıyla karşılaştınız?

Site normal bir web barındırma üzerinde barındırılıyorsa, bir DDOS saldırısı gerçeğini doğrudan barındırma sağlayıcınızdan öğreneceksiniz. Bu hoş olmayan habere, büyük olasılıkla, barındırma engelleme ve özel bir sunucuya geçme veya en azından sorunlu kaynağı barındırmadan kaldırma gereksinimi eşlik edecek.

Bir saldırı sırasında, barındırıcı, büyük ölçüde olmasa da, duruma sizin kadar rehindir - sonuçta, onlarca veya yüzlerce başka sunucu kullanıcısı etkilenir. Bir sunucuda bir hesabı engelleme paylaşılan kaynaklar Barındırma koşulları saldırılara karşı koruma sağlamadığı sürece, soruna hızlı bir çözüm için sağlayıcıya sunulan bir önlemdir.

Yalnızca bir ev sahibi sağlayabilir Güvenilir bilgi saldırı hakkında. Ev sahibi mazeretlerle sınırlıysa ve sorunun çözümüne hiçbir şekilde katkıda bulunmuyorsa, taşınmayı düşünmekte fayda var (maalesef bugün bu durum nadir değildir).

Barındırıcı genellikle saldırıları iki düzeye böler: sel - ilk veya orta düzeyde saldırı olmadan geri püskürtülebilen bir saldırı. dış fonlar siteyi özel kaynaklara yerleştirerek ve sunucuyu buna göre yapılandırarak koruma ve gerçek DDOS saldırısı yüksek seviye bu yalnızca harici bellenim kullanılarak yansıtılabilir.

Site bir VPS'de barındırılıyorsa, web sunucusunu geçici olarak devre dışı bırakarak ve günlüklerini analiz ederek veya yardım için sunucu yönetimi uzmanlarıyla iletişime geçerek saldırı düzeyini kendiniz belirleyebilirsiniz. Bu tür uzmanları, örneğin, "Sistem Yönetimi" bölümündeki serbest borsalarda veya barındırma bölümlerindeki web yöneticisi forumlarında bulabilirsiniz. Sunucu denetimi ya ücretsiz olacak ya da çok pahalı olmayacak. Tabii ki, denetime yalnızca saygın uzmanlar tarafından güvenilmelidir.

Saldırının ayrıntılarını bilmek, sorunu çözmek için tam olarak hangi eylemi gerçekleştireceğinize karar vermenizi kolaylaştıracaktır.

Çoğu durumda, site sahipleri bir http seli ile karşı karşıya kalırlar - bir web sunucusunun nispeten eşzamanlı birçok istekle aşırı yüklendiği bir saldırı. bir kaç IP adresleri (genellikle birkaç bin içinde).

Barındırıcı genellikle, Nginx web sunucusu düzeyinde sorunlu isteklerin filtrelenmesini yapılandırabileceğiniz veya bir güvenlik duvarı (iptables, APF, ipfw) ile bot makinelerinin ip adreslerini engelleyebileceğiniz bir VPS'ye veya özel bir sunucuya geçiş sunar. Web sunucusu günlüklerini analiz etmek için komut dosyaları, orta düzey saldırılara karşı otomatik koruma sağlayan cron aracılığıyla düzenli olarak çalıştırılabilir.

Barındırıcı bir VPS'ye veya özel bir sunucuya geçmeyi teklif ederse, teklifi kabul etmeden önce sunucuya yönelik saldırılara karşı uygun korumayı yapılandırmaya hazır olup olmadığını ve hangi koşullar altında olduğunu kontrol edin. Kendine saygılı bir ev sahibi, bir sunucuya ücretsiz veya nispeten az parayla geçiş yaparken, bir kerede 30-50 dolara kadar, sel ile mücadelede genellikle yardım etmeye hazırdır.

Ev sahibi, saldırıya karşı koruma konusunda yardım etmeye hazır değilse veya saldırıyla başa çıkacağına dair herhangi bir garanti veremezse mevcut seviye, sonra sunucuya acele etmeyin. Düşünmek kullanılabilir fonlar dış koruma... Örneğin, http://www.cloudflare.com hizmeti, hatta ücretsiz tarife planı sel ve orta seviye saldırılarla mücadeleye yardımcı olabilir. Kurulum, yalnızca CloudFlare'e kaydolmakla ilgilidir ve DNS değiştir sitenizin etki alanı için. Benzer hizmetler Highloadlab'dan alınabilir.

Dış koruma olmadan püskürtülemeyecek yüksek seviyeli bir saldırı ile karşı karşıya kalırsanız, saldırıyı püskürtmenin maliyeti ile kesinti süresinin verdiği zararı karşılaştırarak bir karar vermeniz gerekir. Bazen, saldırıyı hemen püskürtmek yerine, sitede projenin geçici olarak kullanılamaması hakkında bir mesaj ve arama motoru botları için 503 kodu içeren bir saplama bırakarak saldırıyı bir veya iki gün beklemek daha kolaydır. Gerçekten ciddi saldırıların maliyetinin savunma maliyetlerinizden daha yüksek olduğunu unutmayın, bu da saldırının düşündüğünüzden daha erken durabileceği anlamına gelir.

DoS ve DDoS saldırıları, bir sunucunun veya iş istasyonunun bilgi işlem kaynakları üzerinde, ikincisini başarısızlığa uğratmayı amaçlayan agresif dış etkilerdir. Arıza ile, bir makinenin fiziksel bir arızası değil, kaynaklarına vicdanlı kullanıcılar için erişilememesi - sistemin onlara hizmet vermemesi anlamına gelir ( NS enial Ö F S DoS kısaltmasının yapıldığı hizmet).

Böyle bir saldırı tek bir bilgisayardan gerçekleştirilirse, birkaç - DDoS (DDoS veya DDoS) ise DoS (DoS) olarak sınıflandırılır, yani "NS dağıtılmış NS enial Ö F S hizmet "- dağıtılmış hizmet reddi. Ardından, saldırganların neden bu tür eylemleri gerçekleştirdiklerini, ne olduklarını, saldırıya uğrayanlara ne gibi zararlar verdiklerini ve saldırıya uğrayanların kaynaklarını nasıl koruyabileceklerini konuşalım.

DoS ve DDoS saldırılarından kimler zarar görebilir?

Saldırılar, çok daha az sıklıkla, şirketlerin ve web sitelerinin kurumsal sunucularını hedef alır - bireylerin kişisel bilgisayarları. Kural olarak, bu tür eylemlerin amacı aynıdır - saldırıya uğrayanlara ekonomik zarar vermek ve gölgede kalmak. Bazı durumlarda, DoS ve DDoS saldırıları, sunucu korsanlığının aşamalarından biridir ve bilgileri çalmayı veya yok etmeyi amaçlar. Aslında, herkesin sahip olduğu bir işletme veya web sitesi siber suçluların kurbanı olabilir.

Bir DDoS saldırısının özünü gösteren diyagram:

DoS ve DDoS saldırıları çoğunlukla dürüst olmayan rakiplerin kışkırtmasıyla gerçekleştirilir. Böylece, benzer bir ürün sunan bir çevrimiçi mağazanın web sitesini “doldurarak” geçici olarak “tekelci” olabilir ve müşterilerini kendiniz toplayabilirsiniz. "koymak" kurumsal sunucu, rakip bir şirketin işini bozmak ve böylece pazardaki konumunu azaltmak mümkündür.

Önemli hasara neden olabilecek büyük ölçekli saldırılar, genellikle profesyonel siber suçlular tarafından çok para karşılığında gerçekleştirilir. Ama her zaman değil. Homebrew amatör bilgisayar korsanları, kaynaklarınıza saldırabilir - çıkarlarınız dışında ve işten çıkarılan çalışanlar arasından intikamcılar ve sadece yaşam hakkındaki görüşlerinizi paylaşmayanlar.

Saldırgan, saldırıyı durdurmak için açıkça kaynak sahibinden para talep ederken, bazen şantaj amacıyla etki gerçekleştirilir.

Devlete ait şirketlerin ve tanınmış kuruluşların sunucuları, genellikle, yetkilileri etkilemek veya halkın tepkisine neden olmak amacıyla, yüksek nitelikli bilgisayar korsanlarından oluşan anonim gruplar tarafından saldırıya uğrar.

Saldırılar nasıl gerçekleştirilir

DoS ve DDoS saldırılarının çalışma prensibi, sunucuya büyük bir bilgi akışı göndermektir; bu, maksimumda (hacker'ın yeteneklerinin izin verdiği ölçüde), işlemcinin bilgi işlem kaynaklarını, RAM'i yükler, iletişim kanallarını tıkar veya doldurur disk alanı... Saldırıya uğrayan makine, gelen verilerin işlenmesiyle baş edemez ve kullanıcı isteklerine yanıt vermeyi durdurur.

şuna benziyor normal iş Logstalgia programında görselleştirilen sunucu:

Tek DOS saldırılarının etkinliği çok yüksek değildir. Ayrıca, bir saldırı ile kişisel bilgisayar saldırganı tespit edilip yakalanma riskine maruz bırakır. Sözde zombi ağlarından veya botnetlerden dağıtılmış saldırılar (DDoS) çok daha fazla kâr sağlar.

Norse-corp.com sitesi botnet etkinliğini şu şekilde gösterir:

Bir zombi ağı (botnet), sahip olmayan bir bilgisayar grubudur. fiziksel bağlantı onların arasında. Hepsinin saldırganın kontrolü altında olduğu gerçeğiyle birleşirler. Kontrol aracılığıyla gerçekleştirilir Truva atı, şu an için hiçbir şekilde kendini göstermeyebilir. Bir saldırı gerçekleştirirken, bilgisayar korsanı, virüslü bilgisayarlara kurbanın web sitesine veya sunucusuna istek göndermeleri talimatını verir. Ve saldırıya dayanamayan o, yanıt vermeyi bıraktı.

Logstalgia, DDoS saldırısını şu şekilde gösterir:

Herhangi bir bilgisayar botnet'e katılabilir. Ve hatta bir akıllı telefon. Truva atını yakalamak ve zamanında tespit etmemek yeterlidir. Bu arada, en büyük botnet dünya çapında neredeyse 2 milyon makineye sahipti ve sahiplerinin ne yapmaları gerektiği konusunda hiçbir fikirleri yoktu.

Saldırı ve savunma yöntemleri

Bir saldırıya başlamadan önce, bir bilgisayar korsanı onu maksimum etkiyle nasıl gerçekleştireceğini bulur. Saldırıya uğrayan düğümün birkaç güvenlik açığı varsa, etki farklı yönlerde gerçekleştirilebilir ve bu da yanıtı önemli ölçüde karmaşıklaştırır. Bu nedenle, her sunucu yöneticisinin tüm darboğazlarını incelemesi ve mümkünse bunları güçlendirmesi önemlidir.

Sel basmak

Flood, basit bir ifadeyle anlamsal bir yük taşımayan bilgilerdir. DoS / DDoS saldırıları bağlamında, bir sel, alıcı düğümün işlemeye zorlandığı, şu veya bu düzeydeki boş, anlamsız isteklerin çığıdır.

Taşma kullanmanın temel amacı, iletişim kanallarını tamamen tıkamak, bant genişliğini maksimuma doyurmaktır.

Taşkın türleri:

• MAC seli - ağ iletişimcileri üzerindeki etki (portları veri akışlarıyla bloke eder).
• ICMP sel - kurbanı bir zombi ağı kullanarak hizmet yankı istekleriyle doldurur veya saldırıya uğrayan ana bilgisayar "adına" istek gönderir, böylece tüm botnet üyeleri aynı anda ona bir yankı yanıtı gönderir (Smurf saldırısı). özel bir durum ICMP taşması - ping taşması (sunucuya ping istekleri gönderme).
• SYN taşması - Kurbana birden fazla SYN isteği gönderme, çok sayıda yarı açık (bekleyen istemci onayı) bağlantı oluşturarak TCP bağlantı kuyruğunu doldurma.
• UDP seli - ICMP paketleri yerine UDP datagramlarının gönderildiği Smurf saldırıları şemasına göre çalışır.
• HTTP taşması - sunucuyu çok sayıda HTTP mesajıyla doldurmak. Daha karmaşık bir seçenek, iletilen verilerin önceden şifrelendiği ve saldırıya uğrayan ana bilgisayar tarafından işlenmeden önce şifresini çözmesi gereken bir HTTPS taşmasıdır.

Kendinizi selden nasıl korursunuz

• Ağ anahtarlarında MAC adresi doğrulamasını ve filtrelemeyi yapılandırın.
• ICMP yankı isteklerinin işlenmesini sınırlayın veya reddedin.
• Belirli bir adresten veya etki alanından gelen ve güvenilmezlik şüphesine yol açan paketleri engelleyin.
• Tek bir adresle yarı açık bağlantı sayısı için bir sınır belirleyin, saklama sürelerini azaltın, TCP bağlantı kuyruğunu uzatın.
• UDP hizmetlerinin dışarıdan trafik almasını devre dışı bırakın veya UDP bağlantılarının sayısını sınırlayın.
• CAPTCHA'ları, gecikmeleri ve diğer bot karşıtı koruma tekniklerini kullanın.
• Maksimum HTTP bağlantı sayısını artırın, nginx kullanarak istek önbelleğe almayı yapılandırın.
• Ağ kanalının bant genişliğini genişletin.
• Mümkünse, kriptografiyi işlemek için ayrı bir sunucu tahsis edin (varsa).
• Acil durumlarda sunucuya yönetici erişimi için bir yedekleme kanalı oluşturun.

Donanım kaynaklarını aşırı yükleme

Saldırıya uğrayan bilgisayarın iletişim kanalını değil, donanım kaynaklarını etkileyen, onları sonuna kadar yükleyerek donmalarına veya çökmelerine neden olan sel türleri vardır. Örneğin:

• Kullanıcıların yorum bırakabileceği bir forumda veya sitede yayınlayacak bir komut dosyası oluşturmak çok anlamsızdır. metin bilgisi tüm disk alanı dolana kadar.
• Aynı şey, yalnızca sunucu günlükleri sürücüyü dolduracaktır.
• Girilen verilerin bazı dönüşümlerinin bu verilerin sürekli işlenmesiyle ("ağır" paketler gönderilerek) gerçekleştirildiği bir sitenin yüklenmesi.
• CGI arabirimi aracılığıyla kod yürüterek işlemciyi veya belleği yüklemek (CGI desteği, sunucuda herhangi bir harici programı çalıştırmanıza olanak tanır).
• Sunucuyu dışarıdan erişilemez hale getiren bir güvenlik sistemi tetikleyicisi çağırma vb.

Donanım kaynaklarının aşırı yüklenmesine karşı nasıl korunur

• Donanım performansını ve disk alanını artırın. Sunucu normal modda çalışırken kaynakların en az %25-30'u boş kalmalıdır.
• Trafiği sunucuya iletmeden önce analiz etmek ve filtrelemek için sistemleri devreye sokun.
• Sistem bileşenleri tarafından donanım kaynaklarının kullanımını sınırlayın (kotaları ayarlayın).
• Sunucu günlük dosyalarını ayrı bir sürücüde saklayın.
• Kaynakları birkaç bağımsız sunucuya yayın. Böylece bir parça bozulursa diğerleri çalışır durumda kalır.

İşletim sistemlerindeki, yazılımlardaki, cihaz bellenimindeki güvenlik açıkları

Bu tür saldırıları gerçekleştirmek için sel kullanmaktan çok daha fazla seçenek var. Bunların uygulanması, saldırganın becerilerine ve deneyimine, program kodundaki hataları bulma ve bunları kendi yararına ve kaynak sahibinin zararına kullanma yeteneğine bağlıdır.

Bir bilgisayar korsanı bir güvenlik açığı (sistemi bozmak için kullanılabilecek bir yazılım hatası) keşfettikten sonra, yapması gereken tek şey bir güvenlik açığı oluşturmak ve bu güvenlik açığından yararlanan bir program çalıştırmaktır.

Güvenlik açıklarından yararlanma, her zaman yalnızca hizmet reddine neden olmayı amaçlamaz. Hacker şanslıysa, kaynak üzerinde kontrol sahibi olabilecek ve bu "kader armağanını" kendi takdirine göre elden çıkarabilecektir. Örneğin, dağıtmak için kullanın kötü amaçlı yazılım bilgileri çalmak ve yok etmek vb.

Yazılımdaki güvenlik açıklarının kötüye kullanılmasına karşı koyma yöntemleri

• İşletim sistemleri ve uygulamalardaki güvenlik açıklarını kapatan güncellemeleri zamanında yükleyin.
• Tüm yönetim hizmetlerini üçüncü taraf erişiminden ayırın.
• Sunucu işletim sisteminin ve programların çalışmasının sürekli izlenmesi araçlarını kullanın (davranış analizi vb.).
• Potansiyel olarak savunmasız programlardan (ücretsiz, kendi kendine yazılan, nadiren güncellenen) kanıtlanmış ve iyi korunmuş olanlar lehine vazgeçin.
• Hem donanım hem de yazılım sistemleri biçiminde bulunan DoS ve DDoS saldırılarına karşı sistemleri korumak için hazır araçlar kullanın.

Bir kaynağın bir bilgisayar korsanı tarafından saldırıya uğrayıp uğramadığı nasıl belirlenir

Saldırgan hedefe ulaşmayı başarırsa, saldırıyı fark etmemek imkansızdır, ancak bazı durumlarda yönetici tam olarak ne zaman başladığını belirleyemez. Yani, bazen saldırının başlangıcından belirgin semptomlara kadar birkaç saat sürer. Bununla birlikte, gizli maruz kalma sırasında (sunucu "yatana" kadar), belirli işaretler de vardır. Örneğin:

• Sunucu uygulamalarının veya işletim sisteminin doğal olmayan davranışı (donma, hatalı sonlandırma vb.).
• CPU yükü Veri deposu ve akümülatör orijinal seviyesinden keskin bir şekilde yükselir.
• Bir veya birkaç bağlantı noktasındaki trafik hacmi önemli ölçüde artar.
• Aynı kaynaklara birden fazla müşteri çağrısı var (sitenin bir sayfasını açma, aynı dosyayı indirme).
• Sunucu, güvenlik duvarı ve ağ cihazı günlüklerinin analizi, çeşitli adreslerden genellikle belirli bir bağlantı noktasına veya hizmete yönlendirilen çok sayıda tek tip istek gösterir. Özellikle site dar bir kitleye yönelikse (örneğin, Rusça konuşan) ve dünyanın her yerinden talepler geliyorsa. Aynı zamanda, trafiğin niteliksel bir analizi, isteklerin müşteriler için pratik bir anlamı olmadığını gösterir.

Yukarıdakilerin tümü %100 bir saldırı işareti değildir, ancak her zaman soruna dikkat etmek ve uygun koruyucu önlemleri almak için bir nedendir.

Siteye yapılan saldırılar, hackleme hakkında çok konuşuyoruz ama DDOS konusuna değinmedik. Bugün bu durumu düzeltiyoruz ve size sunuyoruz tam bakış DDoS saldırılarını organize etmek için teknolojiler ve hacker saldırılarını gerçekleştirmek için iyi bilinen araçlar.

KALI'da DDOS saldırıları için mevcut araçların bir listesini şu komutu çalıştırarak görüntüleyebilirsiniz:

kali> / usr / paylaş / exploitdb / platformlar / pencereler / dos

Bu komut, Windows sistemlerine saldırmak için bir istismar veritabanını gösterir.

Mevcut Linux DDoS saldırı araçlarını görüntülemek için şu komutu girin:

/ usr / share / exploitdb / platformlar / Linux / dos.

2. LOİK

Alçak Yörünge İyon Topu (LOIC) Alçak Yörünge İyon Topu. Belki de en popüler DDOS programı. Büyük ICMP istekleri, UDP gönderebilir, böylece kanalı kurbanın sunucusuna engelleyebilir. en bilinen saldırı LOIC'in yardımıyla 2009 yılında Anonymous grubu tarafından işlendi ve WikiLeaks'in bağış toplama sisteminden bağlantısının kesilmesine misilleme olarak PayPal, Visa, MasterCard'a yöneltildi.

LOIC kullanılarak düzenlenen saldırılar, İnternet sağlayıcılarının ağ ekipmanındaki UDP ve ICMP paketlerini bloke ederek bertaraf edilebilir. LOIC programının kendisini web sitesinden ücretsiz olarak indirebilirsiniz. Bu araç açık Windows tabanlı ve onunla çalışmak çok basit, kurbanın sitelerini belirtin ve sadece bir düğmeye basın.

2. HOIC

HOIC, LOIC'i oluşturan aynı ekip tarafından Praetox tarafından Geri Ödeme Operasyonu sırasında geliştirildi. Temel fark, HOIC'nin HTTP protokolünü kullanması ve onu rastgele HTTP GET'leri akışı göndermek için kullanmasıdır. POST istekleri... Aynı anda 256 alana saldırabilir. adresinden indirebilirsiniz.

3. XOIC

XOIC başka bir çok basit DDOS aracıdır. Kullanıcının kurbanın IP adresini belirlemesi, protokolü (HTTP, UDP, ICMP veya TCP) seçmesi ve tetiği çekmesi yeterlidir! adresinden indirebilirsiniz

5. HULK

6. UDP Taşkın

UDP Flooder ismine yakışır - bir hedefe birden fazla UDP paketi göndermek için tasarlanmış bir araç. UDP Flooder, oyuncuların sunucuyla bağlantısını kesmek için oyun sunucularına yapılan DDOS saldırılarında sıklıkla kullanılır. Program adresinden indirilebilir.

7. RUDY

8. ToR'nin Çekici

ToR's Hammer, üzerinde çalışmak için yaratıldı saldırganın daha fazla anonimliğini sağlamak amacıyla ağ... Bu araçla ilgili sorun, TOR ağının oldukça yavaş olması ve dolayısıyla DDoS saldırısının etkinliğinin azalmasıdır. Bu DDOS programını Packet Storm sitelerinden veya indirebilirsiniz.

9. Pilori

Pyloris, yeni bir yaklaşım benimseyen başka bir DDoS aracıdır. Saldırganın kendi benzersiz HTTP isteğini oluşturmasına izin verir. Program daha sonra bu tür isteklerle TCP bağlantısını açık tutmaya çalışacak ve böylece sunucudaki mevcut bağlantıların sayısını azaltacaktır. Sunucunun bağlantı sınırı sona erdiğinde, sunucu artık bağlantı sunamaz ve site kullanılamaz hale gelir. Bu araç siteden ücretsiz olarak indirilebilir.

10. OWASP Sustalı

Açık Web Uygulama Güvenliği Projesi (OWASP) ve ProactiveRISK Geliştirme Aracı Sustalı DoS aracı test için İnternet uygulamaları DDOS saldırılarına karşı direnç Üç çalışma modu vardır: 1. SSL Yarı Açık, 2. HTTP Post ve 3. Slowloris. OWASP web sitesinden inceleme için indirebilirsiniz.

11. DAVOSET

12. GoldenEye HTTP DoS Aracı

13.THC-SSL-DOS

Bu DDOS programı (Kali ile birlikte gelir) ve internet kanalının bant genişliğini kullanmaması ve bir bilgisayardan kullanılabilmesi açısından çoğu DDOS aracından farklıdır. THC-SSL-DOS, SSL protokolü güvenlik açığından yararlanır ve hedef sunucuyu "öldürebilir". Tabii bu güvenlik açığı yoksa. Programı THC web sitesinden indirebilir veya KALİ Linux bu aracın zaten kurulu olduğu yer.

14. DDOSIM - Katman 7 DDoS öykünücüsü

Bu incelememizi sonlandırıyor, ancak gelecekte blog sayfalarımızda DDOS saldırıları konusuna geri döneceğiz.

En son 27 Ocak 2017'de güncellendi.

Birçok popüler kaynak, şu veya bu amaçla DDoS saldırılarına maruz kalır.

Popüler veya hızla büyüyen kaynakların sahibiyseniz, beyninizin güvenliğini düşünmelisiniz.

Bugün söyleyeceğiz DoS ve DDoS saldırıları nelerdir ikincisi nasıl yapılır ve bunlara karşı ne gibi etkili koruma vardır.

İçerik:

konsept

Tüm okul çocukları, öğretmenin konuyla ilgili düzenli saçmalıklarını dinlemek istemeyen ve onu sorularla bombardıman etmeye başlayan DDoS saldırılarının özüne aşinadır.

Sonuç olarak öğretmen yeni bir konu açmadan vazgeçti. DoS, bu temel şemadan çok farklı değildir.

DDoS denir hacker saldırısı artık yükle baş edemeyecekleri koşullar yaratmak için kullanıcıların (site ziyaretçileri) isteklerini işleyen sunuculara.

Yani siber suçluların karmaşık eylemleri, sunucu kaynağının kullanıcı isteklerini işlemek için artık yeterli olmamasını veya zorlaşmasını sağlamayı amaçlar.

Çoğu zaman bu, ekonomik hasara neden olmak için yapılır: arıza süresi maliyetlere yol açar, sistemin geri yüklenmesi ve korunması da finansal ve diğer kaynakları gerektirir.

nasıl organize edilir

DDoS'un DoS'tan farkı, istenmeyen bir kaynağa çok sayıda bilgisayar tarafından saldırıya uğraması, her iki gönüllünün de bununla ilgilenen ve virüs bulaşmış olmasıdır.

İkinci durumda, bilgisayar sahipleri arabalarının şu anda ne yaptığını her zaman tahmin etmezler.

Sırasında hazırlık aşaması kötü niyetli kişiler güvenlik açıklarını tarar ve zayıflıkları tespit ettikten ve belirli avantajlar elde ettikten sonra, arka planda çalışarak dağıtırlar.

Sırasını bekler ve belirli bir komut gönderdikten sonra kullanıcının bilgisayarını bilgisayara bağlar. büyük ölçekli saldırı. Bu bilgisayara zombi denir.

Yeterli kaynaklarla, bu şekilde, neredeyse herhangi bir korumasız siteyi, herhangi bir özel kanıt bırakmadan "koyabilirsiniz", bu da cezalandırılma olasılığını neredeyse sıfıra indirir.

Hiç kimse hiçbir yerde DDoS'tan %100 korunamaz, çünkü herkesin dezavantajları vardır ve saldırıya uğrayabilir.

Ve bu durumda insan faktörü ikincil bir öneme sahip olmaktan uzaktır: doğru donanım ve yazılım kurulumu- başarılı çalışmanın anahtarı.

Hastalıklarda olduğu gibi, onlarla başa çıkmak ve sonuçlarından kurtulmaktansa onları önlemek daha iyidir. Bu, dikkate alacağımız yazılım, donanım ve organizasyonel yöntemlerle yapılır, ancak önce DDoS'u işlemenin en yaygın nedenlerini ve çeşitlerini öğreneceğiz.

İkinci ve daha az yaygın algoritma- gönüllüleri özel bir sunucu aracılığıyla belirtilen sunucuya toplu istek göndermeye katılmaya davet etmek yazılım.

Bu tür siber suç eylemlerinin üçüncü türü d - büyük portallarda (haberler) hedef kaynağa bağlantıların yerleştirilmesi. Kullanıcıların hızlı akışı nedeniyle, sunucu yüke ve "çökmelere" dayanamaz.

Ayrıca, sorun, site sahibinin kendisi tarafından, ziyaret edilen portallarda aktif olarak reklamını yaparak kışkırtılabilir.

nedenler

Alanında Uzmanlar bilgisayar Güvenliği tahsis etmek DDoS'u tetikleyen birkaç faktör:

• Kendi kendine eğitim, eğlence- acemi krakerler zarar vermeye çalışabilir küçük kaynak DDoS düzenleme alıştırması yapmak veya uygulamada gücünüzü test etmek için.
• Kişisel motifler- örneğin, hacker gruplarına yapılan baskınlardan sonra, FBI'ın Amerikan özel servislerinin web siteleri ve bazı devlet dairelerinin web siteleri birkaç hafta boyunca çalışmadı.

Büyük bir Ukrayna dosya barındırma hizmeti ex.ua'yı engellemenin sonuçları benzerdi.

• Siyasi eylem, protestoörneğin, korsan kaynakların kapatılmasına karşı.
• Haksız rekabet- site çalışmıyorken, bazı ziyaretçilerinin bir rakibe koşma olasılığı vardır.

Örneğin son 2 yıldaki saldırı sayısı Rus bankaları, onların ve devlet kurumlarının güvenilirliğini baltalamak için.Şubat 2017'de Sağlık Bakanlığı'nın araçlarına büyük bir saldırı düzenlendi.

• Finansal fayda- saldırgan, web kaynağının sahibinden genellikle finansal olmak üzere belirli bir fayda talep eder. ezBTC ve RedDoor grupları bu tür eylemlerle tanınır.

Çeşitler

Bir sistemi belirli bir süre çalışmaz hale getirmek, hacklemekten çok daha kolay, hızlı ve ucuzdur. Kullanıcıların bir siteye erişmesini zorlaştırmanın birkaç yolu vardır.

İnternet kanalı taşması veya taşması.

En yaygın algoritma, kullanıcı isteklerinin sunucuya ulaşamaması veya en azından sunucu tarafından işlenmemesi için tüm genişliği doldurmaktır. Bunun için özel uygulamalar yazılır. Sayısı sunucu tarafından desteklenen mümkün olan maksimuma ulaşan çok sayıda yanlış bağlantı açarlar veya çok sayıda yanlış istek gönderirler.

SYN seli- yanlış isteklerle sistemin hesaplama yeteneklerinin taşması. Bağlantı kurulduktan sonra sistem, her istek için belirli miktarda fiziksel sunucu kaynağı tahsis eder.

Saldırgan, yanıt almadan kurbana bir paket gönderir ve veri paketini yeniden gönderir. Bunları işlemek, IP'yi değiştirip yenisini göndermekten daha fazla zaman alır. Bu, sunucunun fiziksel kaynağını tüketir.

Donanım kaynaklarını yakalama- önceki türe benzer şekilde, amacı kurbanın merkezi işlemcisini %100 yüklemektir.

Sunuculara saldırmak için HTTP ve ping taşmaları kullanılır nispeten küçük verim bilgisayar korsanının İnternet hızı kurbanınkinden bir büyüklük sırasından daha fazla veya daha fazla olmadığında.

Şema aşağıdaki gibidir: saldırgan, içeriği birkaç büyüklük sırası daha büyük olan küçük bir paket gönderir. IP'yi değiştirdikten sonra, süreç ikincisinin başarısızlığına yol açana kadar devam eder.

Şirin saldırısı. Saldırıya uğrayan makinenin hizmet reddedilme olasılığının yüksek olması nedeniyle en ciddi algoritma.

Kötü niyetli kişi yayını kullanıyor. Sahte bir paket gönderdikten sonra, siber suçlu IP'lerini saldırıya uğrayan sistemin adresiyle değiştirir, bu yüzden paketleri kendisine geri gönderir. Saldırganların sayısı arttığında, sunucu kendi kendine gönderdiği istekleri işleyemez.

UDP sel- Kurbana eko komutları gönderilir, saldırganın IP'si, kendi isteklerini kabul etmek zorunda kalan saldırganın adresine değiştirilir. Büyük bir sayı ve böylece tüm şerit yanlış cevaplarla doluncaya kadar.

taşma işlem gücü - işlenmesi için çok şey gerektiren isteklerin gönderilmesi. CPU %100 kullanıldığında, kullanıcılar siteye erişemez.

Günlük dosyalarıyla HDD taşması. Bir sistem yöneticisinin niteliklerinin hizmet verdiği sunuculara saldırma yeteneği üzerindeki etkisinden bahsetmiştik. Deneyimsiz bir kişi, günlük dosyasının boyutuna veya içindeki kayıtların sayısına belirli sınırlar koymazsa, tüm disk alanını kaplayacak ve sunucuyu devre dışı bırakacaktır.

Kodun dezavantajları. Profesyoneller istek gönderme düzeyine düşmezler, kurbanın sistemini dikkatlice inceler ve açıklar yazarlar - küçük programlar, bu uygulamaların geliştiricisinin amaçları için sistemdeki deliklerin kullanılmasına izin verir. Çoğu durumda, bu tür kod, var olmayan bir alana veya geçersiz bir işleve bir çağrıya neden olur.

Önbellek saldırıları- kurbanın adresi için IP DNS sunucusunun değiştirilmesi. İstek, saldırıya uğrayan kaynağın sayfasına değil, saldırganın sitesine yönlendirir. Çok sayıda zombi bilgisayarın varlığında, IP'nin dönüştürülmesiyle baş edemediği için isteklerle doyurulur. alan isimleri.

Doğru yapılandırma ileDNS başarılı bir saldırı olasılığı sıfıra düşer.

Katman 7- sunucu istek için ağır bir paket göndermelidir, örneğin bir arşiv veya.

vDOS gibi siber suçları gerçekleştirmek için ücretli kaynaklar vardır.

Kullanıcı adı ve hizmetin çalışma amacını sormadan herkese hizmet vermektedir.

Görüldüğü gibi saldırı gerçekleştirmenin birçok yöntemi var ancak yanlış istekleri gerçek olanlardan ayıran uygun filtreler ve kalifiye personel varlığında bu olasılık önemli ölçüde azalır.

Bunun nasıl yapıldığını anlayalım.

DDo'ları Tanımlama

Çoğu durumda, mümkünse, özellikle ilk saatlerinde bir saldırıyı fark etmek son derece zordur.

Birçok kurban, başarılı bir saldırıdan birkaç gün sonra veya tamamlanmasından birkaç hafta sonra, kurbanın istatistik veya fatura veya makul miktarda kanal genişletmesi aldığında sunucularında yanlış isteklerin istila edildiğini fark etti.

Vahşetlerin zamanında tespiti için saldırının türünü ve algoritmasını tam olarak bilmek gerekiyor, ardından çok kısa da olsa inceledik.

Sıradan bir kullanıcının, güvenlik servisinden kalifiye bir uzmanın yardımı olmadan herhangi bir şey yapması pek olası değildir.

Bu tür insanlar, bir saldırıyı püskürtmek için ayarlarda birkaç manipülasyon yapmanıza yardımcı olacaktır. Kimliklerinin araçları şunlarla ilgilidir: birkaç kategori:

• İstatistik- kaynaktaki kullanıcı etkinliğinin incelenmesi;
• imzalar- gelenlerin niteliksel analizi ve giden trafik;
• birinci ve ikinci kombinasyonu.

Koruma: genel kavramlar

Saldırıların önlenmesi ve suçlularla mücadele, doğru ayar donanım ve yazılım, ancak yalnızca zayıf saldırılardan kurtaracaklar.

Ve o zaman bile, bazen sadece saldırının etkinliğini azaltacaktır. Koddaki delikleri kapatmak, zombi bilgisayarlarla ve botnet ağlarıyla savaşmak için daha etkili bir önlemdir.

Ve hiçbir durumda daha sonra bırakmamalısınız.

Mağdur rolünden kaçınmak için sunucuyu başlatırken, ağ oluştururken ve yazılımı yapılandırırken ne gibi önlemler alınması gerektiğini bulalım.

satın alma zamanı

Suçun türüne göre hizmet kesintisini önlemeye yönelik farklı algoritmalar ayırt edilir.

• HTTP taşmasını önlemek için sayıyı artırıyoruz eşzamanlı bağlantılar taban ile ve saldırı gelişirse, bu bağlantıları atarız.
• ICMP seli- ICMP ECHO isteklerine verilen yanıtları devre dışı bırakın.
• UDP sel- ayrıca bu tür istekleri devre dışı bırakırız veya sınırlandırırız izin verilen miktar.
• SYN seli- varlığını belirlediysek, yarı açık TCP bağlantılarının sırasını 1-3'e düşürün.

Uygun becerilerle, bu eylemler, saldırganların İnternet servis sağlayıcısına başvurma çabalarının etkinliğini yalnızca geçici olarak azaltacaktır.

• Zamanında yazılım güncellemesi sunucu ve site motorunda.
• Bir yanıt planına sahip olmak acil bir durumun ortaya çıkması üzerine.
• Yazma/sipariş aşamasında DDoS olasılığının dikkate alınması program kodu iyice test edin.
• Arayüze erişim eksikliği ile idare harici ağ.
• Penetrasyon testi kullanımı ve kritik sorunlar OWASP İlk 10 Güvenlik Açığı.
• Güvenlik donanımı yoksa, talep üzerine bir yazılım koruma hizmeti sağlamak yönlendirme şemasında ayarlamalar yaparak.
• CDN içerik dağıtım ağlarının işletilmesi. Zamanlamaları azaltmak ve erişim hızını artırmak için trafiği birden çok sunucu arasında dağıtmanıza olanak tanır.
• Web Uygulamalarına Web Uygulaması Güvenlik Duvarı Kurma, siteye gelen trafiği izleyecek ve orijinalliğini doğrulayacak ve büyük olasılıkla yanlış istekleri hariç tutacaktır.
• Apache kullanmıyoruz. Apache kullanırken, nginx önbelleğe alma proxy'sini kurun, ancak sizi Slowloris'in kendisinden kurtarmaz. tehlikeli yol DDoS. Güvenli bir HTTPS sunucusunda kalsanız iyi olur.
• Sorunun kaynağı üzerindeki etki.İstismarcıyı tanıyorsanız, onu yasa dışı eylemleri durdurmaya zorlamak için yasaları veya diğer kozları kullanın. Bunun için özel firmalar bile var.

DNS güvenliği

Çalışması, çoğunlukla botların yeniden yönlendirme işlevine sahip olmamasına ve çerez kullanmamasına dayanmaktadır.

Son zamanlarda gelişmelerine rağmen ve bu nedenle bu tür programlara karşı mücadele daha zor hale geliyor.

Modül, gereksiz istekleri izler, çünkü bot gövdesi neredeyse hiçbir zaman (ancak vakalar daha sık hale gelir) bir JavaScript motoru taşımaz. Layer 7 saldırısı durumunda filtre olur.

Modül şunları kontrol eder:

• bot gerçekten iddia ettiği tarayıcı mı:
• Aslında JS'yi destekliyor mu?
• nasıl okunacağını bilip bilmediğini.

Birkaç doğrulama yöntemi vardır ve hepsi için, gerekirse en son sürümde AES-128 kullanılarak şifrelenen çerezler kullanılır. Botların desteklemediği üzerinden de kurulabilir.

İkincisi, Flash kullanmayan birçok ziyaretçiyi de engelleyecektir, ancak saldırı sırasında küçük bir müşteri kaybı, ödenmesi gereken büyük bir bedel değildir.

Araç ücretsiz olarak dağıtılır ve çeşitli durumlar için yapılandırma dosyaları ile birlikte gelir.

Testcookie'nin aşağıdaki dezavantajları vardır:

• Googlebot da dahil olmak üzere (en azından mevcut haliyle) tüm botları engeller ve bu da kalıcı kullanımını imkansız hale getirir;
• Linkler gibi nadir internet tarayıcılarına sahip kullanıcılara rahatsızlık verir;
• sahip olan gelişmiş botlara karşı koruma sağlamayacaktır.

İşlevleri geçici olarak devre dışı bırakma

Bilgisayar korsanları, satır içi arama gibi sitenin (büyük kaynaklar için) "en zor" kısımlarına odaklanma eğilimindedir. Bu zarar verme yöntemi kullanılıyorsa, aramayı bir süreliğine kapatmanız yeterli.

Müşteriler biraz rahatsızlık hissedecek olsa da, çoğu sorun çözüldüğünde kesinlikle geri dönecektir. Ayrıca, sorun hakkında bilgilendirilebilirler.

Coğrafi konum

Modern site motorları, kullanıcıları coğrafyaya göre ayıklamanıza olanak tanır.

Son günlerde veya saatlerde çok sayıda Çinli çevrimiçi mağazanızı veya şehir haber portalınızı ziyaret ederse, erişimini kapatmayı deneyebilirsiniz. Elbette bunlar bot.

Coğrafi etiketlemenin doğruluğu, kullanıcı yasakları, ve diğer dezavantajlar- sitenin gelecekteki performansı için geçici ödeme.

hata ayıklayıcı

Xdebug profil oluşturucuyu kullanmak, en ağır sorguları görmenizi sağlar.

Entegre hata ayıklayıcı bundan sorumlu kodu belirleyecektir ve eğer sorun buradaysa, becerikli eller ve parlak bir kafa, veritabanına yapılan karmaşık sorguları kolaylaştıracaktır.

Şüpheli trafiği engelleme

Şüpheli trafiği engellemek için bir güvenlik duvarı veya ACL listeleri kullanıyoruz.

Bu tür yazılımlar, belirli talep kategorileri için siteye erişimi engelleyebilir, ancak ayrı gerçek trafik"kötü" den yapamaz.

Ters DDoS saldırısı

Eğer güç ve çıktı kanalı Yeter ki saldırıya uğrayan sunucudan gelen trafiği tekrar saldırgana yönlendirme işlemi gerçekleştirilebilir.

Çoğu zaman, bu işlem saldırıları durdurmanıza ve hatta saldırganın sunucusunu devre dışı bırakılmadan önce yüklemenize olanak tanır.