DDoS глазами Forbes.ua — ненаучная фантастика
На сайте Forbes.ua опубликовали колонку «Анонимного хакера», объясняющую, что такое DDoS и сколько он стоит. Чтиво полезное, если вы хотите убедиться в актуальности персонажей Ильфа и Петрова — волны в некоторых редакциях до сих перекатываются по коридорам и падают стремительным домкратом, и Forbes.ua не стал исключением. Сознательно ли издание нашло рядового читателя Хабра, когда-то что-то слышавшего о таких видах атак, или просто не смогли разобраться — бог весть. Скорее всего, просто торопились продолжить информационную линию после своего заявления о DDoS-атаке на сайт.
Но получилось смешно. Например, вот это:
На любом сайте легко выявить уязвимые места, которые выполняются дольше всего и требуют больше всего ресурсов. При такой атаке большинство сайтов можно «положить», используя всего один компьютер со стандартным подключением к интернету (100 Мб/с).
Ну да, а первая D (Distributed) в названии только для красоты. На самом деле, как выяснил Forbes.ua, большинство распределенных атак проводятся с одного компьютера.
Нет, вообще такие атаки бывают. Существует целый набор средств, которые способны серией запросов с одного компьютера положить гораздо более мощный сервер. Но, как бы это сказать — только в том случае, если у сервера админ с квалификацией автора статьи. Потому что не предусмотреть на публичном ресурсе лимит по количество соединений с одного IP может только такой «специалист».
Дочитав до «истории» с хакерской войной, я уже все понял :).
Иногда, чтобы два конкурента поругались друг с другом и начали войну, одного из них «ддосят». Таким образом хакеры сталкивают их лбами и получают новый источник дохода. Год назад была история, когда две конкурирующие компании в Европе «ддосили» друг друга. Причем владельцами обоих были русские. В результате они так заигрались, что положили канал, соединяющий Европу и Россию. А так как часть серверов «Яндекса» находится в Голландии, то поисковик просто лег.
Ну что тут сказать? Ведь мы специально и очень детально объясняли, как произошел тот сбой. Никаких хакеров и близко не было. Проблема, видимо, в том, что для понимания наших объяснений нужна все же какая-то квалификация, а зачем огород городить.
В действительности ситуация с DDoS атаками выглядит совершенно иначе. Подавляющее большинство атак, которые встречаются в Сети, — это распределенные атаки на веб-ресурс путем использования ботнетов. То есть берется сетка различной величины — несколько тысяч машин, несколько десятков тысяч машин, — состоящая из завирусованных компьютеров, на которых клиентская часть вируса умеет получать с управляющего сервера параметры для атаки (например, URL документа, который надо запросить, и дополнительные, типа User-agent). Получив параметры, клиент начинает запрашивать документ (или список документов). Выглядит это как одновременный приход на сайт десятков тысяч посетителей, делающих в минут несколько десятков хитов каждый.
Если у вас не свой сервер, единственное, что вы можете сделать — пожаловаться в поддержку хостинга. На уровне сайта с таким бороться невозможно. Хотя можно постараться облегчить нагрузку — включить кэширование, заменить динамические страницы статическими, — но это поможет только, если атакуют совсем пионеры.
Если у вас сервер свой, то задача отражения атаки решаема, нужен только хороший админ (всего-то, да?). Логика борьбы очень проста — в основной силе такой атаки кроется ее слабость. В чем сила DDoS? В массовости. Обратная сторона этой массовости — атакующий не может настроить 20 тысяч ботов так, чтобы они выглядели как 20 тысяч живых людей. То есть в принципе-то может, но это сделает атаку безумно дорогой. Поэтому задача отражения атаки выглядит как выявление ботовой активности — что за документы запрашивают боты, каким User-agent представляются и так далее, — и дальше блокировка всех IP, с которых идут подобные запросы. То есть берете логи веб-сайта, изучаете их глазами, видите странные запросы, проверяете, насколько их много, и блокируете IP на файрволле. Возможно, забаните живых людей, это не страшно.
Всякий раз, когда я слышу рассказы про жуткий DDoS и хакеров в УАнете, меня не покидает ощущение, что этими рассказами администраторы сайтов прикрывают свою некомпетентность. Мой форум атакуют примерно раза два в месяц и зачастую пользователи этого даже не замечают.
Еще совет — если у вас свой сервер, попросите хостинг заблокировать входящий ICMP и UDP трафик. Если они вам, конечно, не нужны для функционирования сервера. Эти протоколы легко используются для флуда, а бороться с ним на уровне сервера действительно тяжело. К тому же весь дошедший до сервера трафик может тарифицироваться, а это ваши деньги.
И не читайте за обедом советских газет. А если других нет? Вот никакие и не читайте.