Определение атаки DOS [дубликат]

Атаки отказа в обслуживании сосредоточены на потреблении ограниченного ресурса. В основном это относится к сетевому трафику, но это может быть все, что у вас может закончиться. Например, если вашим веб-серверам требуется пять секунд для создания определенной сложной страницы, я могу сэкономить много трафика и просто сделать много запросов для этой медленной страницы, которая быстро потребляет внутренние ресурсы сервера.

Атака отказа в обслуживании идентифицируется по значительному всплеску использования ресурсов. Если вы посмотрите на график и увидите, что он резко скачок, это кандидат на отказ в обслуживании.

То, что вы видите большой трафик или использование ресурсов, не означает, что это атака. Эффект Слэшдота объясняет это явление. Вы сможете понять это, только посмотрев свои журналы. Если у половины подключений есть рефереры, указывающие на легитимную статью, которая только что была размещена на крупном сайте, то это реальный трафик. В противном случае, возможно, вы подверглись атаке.

Разница между DOS и DDOS-атаками сводится к задаче «перекрыть вентиль». Если это не распределенная атака, я могу просто убить атакующий хост или сеть на границе сети, и жизнь продолжится. Когда атака распространяется, это намного сложнее. Еще большая проблема, если ваш злоумышленник пытается сделать нежелательный трафик очень похожим на ваш обычный трафик.

Резюме

1. См. Всплеск
2. Определить причину
3. Определить ответственный трафик

Простой прямой ответ на простой прямой вопрос:

Настройте мониторинг на своем маршрутизаторе для построения графика количества пакетов в секунду (pps). Если вы не можете построить график пакетов в секунду, тогда используйте график использования полосы пропускания. Я предлагаю использовать для этого такой пакет, как Cacti, очень простой с оборудованием Cisco, а также с локальными сетевыми интерфейсами.

После того, как вы запустите этот пакет, вы можете следить за скачками числа пакетов в секунду.

Если это простой DoS, вы можете заблокировать источник трафика довольно легко с помощью правил брандмауэра.

Если это DDoS, тогда, если у вас нет достаточно здоровенного оборудования, вам нужно, чтобы ваш провайдер IP-транзита прошел затронутый Маршрут через службу фильтрации / защиты DDoS. Большинство поставщиков услуг общественного транспорта предлагают эту услугу.

Вместо того, чтобы оставлять пароли учетных записей в файловой системе, почему бы просто не создать команду sudo специально для этого и предоставить ее с параметром NOPASSWD?

Вы видите большое количество полуоткрытых соединений в состоянии SYN_RECV . Вы получаете SYN-лавину или кто-то, с кем вы работаете, изменил правило брандмауэра или правило исходящей маршрутизации?

Вы видите большой всплеск количества HTTP-запросов с одного IP-адреса. Это плохо себя ведет бот или скрипач пытается атаковать вас из подвала своей матери? Или, может быть, всем студентам университета было отправлено электронное письмо со ссылкой на ваш веб-сайт.

Вы видите большой всплеск количества HTTP-запросов со многих IP-адресов. DDoS или Reddit?

Вы видите большое количество DNS-запросов с одного IP-адреса. Пытается ли этот сервер атаковать вас, или кто-то другой подменяет адрес источника, чтобы сделать вас частью отраженной атаки DNS?

Может быть несколько подсказок относительно того, не работает ли ваш сайт из-за преднамеренной атаки или из-за обычного трафика. Некоторые из них могут быть определены из журналов, некоторые только во время атаки.:

Как упомянул Джефф Ферланд, действительный заголовок Referer является хорошим намеком на то, что трафик легитимен, однако это не абсолютный доказательство. Умеренно популярная страница с сотнями скрытых изображений, связанных с вашим сайтом, может быть методом инициирования DDoS-атаки. Это даже не обязательно должны быть изображения, подойдет любая страница. по-прежнему заставит клиент загружать эту страницу с вашего веб-сервера, но отобразит значок сломанного изображения. Если вы найдете рефереров, проверьте страницу, если можете, и убедитесь, что она действительно легальная.

Почтовые клиенты обычно не устанавливают реферер, но клиенты веб-почты делают это. Хотя вы не сможете увидеть письмо, просто загрузив реферер, тот факт, что он есть, предполагает, что это законный запрос.

Заголовок User-Agent может быть хорошей подсказкой. Большинство легитимных ботов используют уникальные пользовательские агенты со ссылкой на страницу about . Многие нелегитимные боты (спам-боты и парсеры электронной почты) используют IE 6.0 в качестве своего пользовательского агента. Большинство инструментов DoS содержат список реальных, но более старых пользовательских агентов из самых популярных браузеров, которые они меняют после каждого запроса. Если вы знаете нормальное соотношение различных версий каждого браузера на вашем веб-сайте, большие всплески Firefox 7.0.1 и IE 8.0 должны четко выделяться. Тем более, что сейчас Firefox и Chrome автоматически обновляются, версия, которой даже месяц назад, встречается редко.

Инструменты DoS могут запрашивать одну страницу или перемещаться по списку страниц, но в любом случае они обычно этого не делают. запрашивать весь связанный контент, такой как таблицы стилей, сценарии JavaScript и изображения. Они также не отправляют заголовки управления кешем, такие как If-Modified-Since и If-None-Match , поскольку они в значительной степени нарушают цель выполнения запроса. Если вы видите, что многие клиенты проявляют такое поведение, это может быть злонамеренным. (Пока ваши элементы управления кешем настроены правильно.)

Инструменты DoS часто не отправляют те же заголовки, что и обычные веб-браузеры. Запустите tcpdump на своем сервере, чтобы захватить некоторый трафик и проанализировать его. Некоторые различия, которые я заметил в ботах (не обязательно в инструментах DoS):

• Заголовок Host: последним, а не первым. Обычные браузеры, кажется, перечисляют его сразу после GET.
• Данные POST некорректно закодированы в URL. Некоторые настоящие браузеры, такие как IE6, тоже не понимают этого.
• Конкретные и уникальные Accept - *: заголовки. Китайский и русский языки бросились в глаза, но это анекдотично, а не статистически.
• Нет файлов cookie.

Некоторые заголовки могут быть явно вредоносными, например, заголовок Range: , в котором перечислены тысячи перекрывающихся диапазонов .

Если у вас включен mod_forensic , вы сможете анализировать эти заголовки после атаки, однако mod_forensic может создать много данных в ваших журналах, и это может само по себе вызвать DoS.

Что касается отраженной атаки DNS, то это Практически невозможно сказать, просто анализируя трафик. Вам придется выйти за пределы диапазона, чтобы понять это. Узнайте, кому принадлежит IP-адрес, и напишите им по электронной почте или позвоните им и спросите, действительно ли они делают все эти DNS-запросы.

Это подводит меня к внеполосным методам выявления злонамеренных намерений. Часто за DoS-атакой стоит причина. Google может помочь вам найти эту причину. Найдите свое доменное имя (но удалите результаты из этого домена с -site: yourdomain.com ) и / или IP-адресом и ограничьте результаты самыми последними. Вы можете найти доказательства того, что злоумышленник хвастается, что вас сбили, или твит от @anonops, сигнализирующий о том, что вы являетесь текущей целью. Вы также можете найти историю Slashdot, в которой вас упоминают. В любом случае поиск вашего веб-сайта может сработать. Дон' Не забывайте и другие поисковые системы, у всех них есть свои сканеры, и, поскольку вы ищете результаты в течение последних нескольких часов, ни одна из них не будет иметь полного охвата.

Некоторые DoS-атаки основаны на вымогательстве. Особенно против сайтов с большими деньгами и определенных запланированных мероприятий, таких как сайты азартных игр. Обычный метод - создать короткий DoS за неделю или две до Суперкубка или Гранд-Нэшнл, а затем пригрозить, что они сделают это снова в критический период, если им не заплатят. Если вы получили запрос о вымогательстве, вероятно, DoS был преднамеренным и злонамеренным.

Некоторые DoS-атаки основаны на вымогательстве. Особенно против сайтов с большими деньгами и определенных запланированных мероприятий, таких как сайты азартных игр. Обычный метод - создать короткий DoS за неделю или две до Суперкубка или Гранд-Нэшнл, а затем пригрозить, что они сделают это снова в критический период, если им не заплатят. Если вы получили запрос о вымогательстве, вероятно, DoS был преднамеренным и злонамеренным.

Некоторые DoS-атаки основаны на вымогательстве. Особенно против сайтов с большими деньгами и определенных запланированных мероприятий, таких как сайты азартных игр. Обычный метод - создать короткий DoS за неделю или две до Суперкубка или Гранд-Нэшнл, а затем пригрозить, что они сделают это снова в критический период, если им не заплатят. Если вы получили запрос о вымогательстве, вероятно, DoS был преднамеренным и злонамеренным.

Это зависит от запущенных вами служб. В Википедии есть хорошее определение: Атака отказа в обслуживании (DDoS-атака) - это попытка совершить компьютер или сетевой ресурс недоступны для предполагаемых пользователей. Несмотря на то, что средства выполнения, мотивы и цели DoS атака может быть разной, обычно она состоит из согласованных усилий человеку или нескольким людям, чтобы предотвратить доступ к Интернет-сайту или службе функционирует эффективно или вообще, временно или на неопределенный срок.

Этот термин обычно используется относящиеся к компьютерным сетям, но не ограничиваются этой областью; за Например, он также используется в отношении управления ресурсами ЦП.

Когда вы запускаете веб-сервер, вы можете увидеть огромный всплеск GET-запросов, для служб DNS это будет пчелиный поиск, ... Атака в основном состоит из запрашивать много у вашего сервера, пока он не сможет справиться.