Размышления про DDoS

[Мутный 54]

Всем привет !

 

Хочу рассказать небольшую историю и какие выводы вынес из сложившийся ситуации:

 

Первая часть рассказа:

 

Итак есть у меня небольшой сайтик посвящённый безопасности, да вроде сидел никого не трогал, сайтик вроде никому и не мешает, так в качестве хобби...

 

Да были на него небольшие атаки, но обычно справлялся DDOS Deflare, также кое-что сам периодически банил...

 

И вот вчера свершилось, чего я так долго ждал, наконец-то оно, настоящий ддос... Я так рад, что печёнку свело !

 

По началу был ддос из 25-ти ботов, но даже его я несмог отразить....

 

Прикол, перезагружаю сервак и через пару секунд он падает и-так наверное сидел минуты три, потом начил думать... Кое-как залез через SSH и отключил сервисы апаче, кстати может кому нужны комманды:

killall -9 apache2service apache2 stop

killall -9 apache2 - Обязательно, ибо процессы апача, как оказалось в моём случае отжирают как память, так и проц.

 

Ну хорошо, нагрузка спала до нуля, ога подумал я значит атака на апач...

 

К тому-же я через netstat проверил все коннекты и оказалось, что кто-то долбит постоянно пустыми запросами...

 

Тут я уже начил настраивать апач, уязвимости оказались в настройках:

 

1)Ну во первых максимальное число коннектов у меня было 450, для моего сервера это смертоубийство;

2)Таймаут пять минут, тоже много;

3)Сам сервис почему-то не перезапускался....

 

Всё это головотяпство в этоге сыграла дурную службу, в этоге что я сделал:

StartServers 1MinSpareServers 2MaxSpareServers 5ServerLimit 150MaxClients 150MaxRequestsPerChild 400

А также:

KeepAlive OnKeepAliveTimeout 30

Плюс использовал DdosDeflare...

 

Что получил в этоге, сервисы апаче уже так не напрягают сервер и боты потихонечку забанил DdosDeflare + вручную отсеял...

 

Вторая часть рассказа:

 

Итак я с читой совестью и целыми зубамими, начил троллить этого мудака хакера...

 

И вот свершилось, теперь уже серьёзный ддос 1000 Мбит, около 5000 ботов...

 

Вот тут-то я напрягся, что получилось:

 

1)Разумеется доступ к SSH и прочее заблокировался, у моего провайдера есть опция "Перезагрузить сервер",  а что толку-то ? Секунда-две и сервак в дауне...

 

2)В этоге мой провайдер заблокировал VPS !

 

Долго думал я как-же этого избежать в будущем и один добрый человек подсказал:

 

Самое первое что нужно сделать это, сделать так что-бы при возрастании загрузки выше, некоторого критического уровня, блокировать файрволом атакуемый сервис, т.е. например если нагрузка у сервера максимальна, нужно блокировать все порты, кроме 22 (Порт SSH), и таким образом даже если атакуемый сервис окажется уязвим к атаке, сам сервер будет "Жить" и к нему будет доступ...

 

Как это сделать вот статья на хабре:http://habrahabr.ru/post/128526/

 

Третья часть рассказа:

 

В разработке, пока жду как разблокируют мой VPS наконец, о своей борьбе с этим ддосом, расскажу позже...

 

Если меня ненакроет лавина страшных ботов, гы-гы-гы !

 

З.Ы. Если я не вернусь, звоните призеденту...

[Сергей Ильин 1538]

Самое первое что нужно сделать это, сделать так что-бы при возрастании загрузки выше, некоторого критического уровня, блокировать файрволом атакуемый сервис, т.е. например если нагрузка у сервера максимальна, нужно блокировать все порты, кроме 22 (Порт SSH), и таким образом даже если атакуемый сервис окажется уязвим к атаке, сам сервер будет "Жить" и к нему будет доступ...

 

Это вариант для медленных атак. Если прийдет 10Гб/с хотя бы, а тебя канал всего 2Гб/с  предположим, то ляжет оборудование провайдера. И все, никакое подключение к серверу не будет возможным по основному каналу связи. Нужно резервный канал связи иметь. Как правило в таких случаях сам провайдер отключит ваш сайт.

 

Единственный хороший вариант в таком случае - это переписать NS записи в  DNS для подключения к стороннему сервису Anti-DDoS. Очистка пойдет практически сразу, как только вас подключат. Но тут уже понадобится бюджет, защита не бесплатная

[Мутный 54]

Если прийдет 10Гб/с хотя бы, а тебя канал всего 2Гб/с предположим, то ляжет оборудование провайдера.

Ога так и произошло, провайдер заблокирова айпи и всё, сейчас прикрутил на атакуемы сайт CF, но не помогло пара часов поработало и всё...

 

Видно это из-за того-что ддосер знает мой айпи ?

 

А если взять выжидательную позицию, т.е. ддосеру-же тоже приходится тратить на атаку силы и ресурсы, он-же не может ддосить постоянно...

 

В идеале, как-то этих ботов вычислять и блокировать, но я к сожалению бессилен, доступа к серваку нету ?

 

Может кто сталкивался с такой ситуацией, проблема ещё что я не готов отдавать тысячи баксов за защиту, бюджет ограничен !

 

З.Ы. Канал забивать не честно, по сути у кого больше ресурсов, тот и выйграет !

[Сергей Ильин 1538]

Видно это из-за того-что ддосер знает мой айпи ?

 

Так его по-любому будут знать, он же в DNS-записи.

 

А если взять выжидательную позицию, т.е. ддосеру-же тоже приходится тратить на атаку силы и ресурсы, он-же не может ддосить постоянно...

указан

 

У него затраты копеечные могут быть, а у вас бизнес будет простаивать в это время.

 

Может кто сталкивался с такой ситуацией, проблема ещё что я не готов отдавать тысячи баксов за защиту, бюджет ограничен !

 

Рекомендую сделать следующее. Совершенно не факт, что досят именно ваш сайт. Если это VPS, то на сервере может крутиться десяток других сайтов и досить могут кого-то из них на самом деле. У нас такое как-то было с Мастерхостом очень давно.

 

Можно попробовать перенести сайт к другому провайдеру с хорошим каналом. Ростелеком здесь кандидат номер один http://www.rtcomm.ru/data_center/hosting/

 

Грубую фильтрацию они сделают если нужно будет, там хорошая команда по этой части. Если же вдруг их канал упадет, то не отходя от кассы подключите их услугу Anti-DDoS. Она оказывается на оборудовании Arbor, стоит вполне бюджетно (зависит от трафика, но это тысячи рублей в месяц, не долларов!). Чтобы сэкономить когда атака пройдет можете услугу отключить Вряд ли вас будут снова долбать, если посмотрят что все зря.

[Мутный 54]

У меня выделенный сервер (VDS), выделенный айпишник...

 

Проблема в том, что когда они поняли что не смогут завалить сервер медленным ддосом, решили забить канал и им это удалось !

 

Сейчас перевожу все свои сайты на CloudFlare, причём в днс будет что-то такое:

 

***.ns.cloudflare.com

***.ns.cloudflare.com

 

Айпишник уже будет CF и будет полное проксирование всех сайтов...

 

Также на уровне файервола забаню любые попытки доступа к северу минуя CF, должно заработать...

 

Но проблема, что CF банят в РФ, т.к. этим сервисом пользуются для скрытия IP-адреса своих сайтов, например любители продавать фарму и прочее...

 

Будете смеятся за что меня ддосят !

 

Ддосит какие-то школьники, условие прекращение ддоса, что-бы заходили на их хакерскую тимму и писали статьи !

 

Канникулы начались, чую задалбают эти школьники-хакеры...

[akoK 75]

cloudflare.com - в бесплатном варианте не защищает от DDOS. Защита действительно  работает только на корпоративных тарифах.

 

Да, если бесплатная учетка то IP cloudflare может быть заблокирован роскомнадзором... или как там его.

[Мутный 54]

Да тут ддосят как-бы не меня (Не мой сайт), просто решил помочь попросили, вот прикольная тема зацените:

 

 

https://xenforo.info/threads/Рабыня-Изаура-или-как-меня-какеры-хотят-взять-в-плен.11304/

 

Не реклама !

[Мутный 54]

Хочу обратить внимание на свои ошибки и почему ддос на мой сервер оказался таким критичным, может остальным позволит избежать такие ошибки:

 

1)Если есть потенциалл к ддосу, то лучше наверное позаботится о защите за ранее, но только настроек и тюнинга сервера недостаточно, нужен програмно-аппаратный комплекс, направленный на отражение разных атак, начиная от медленного ддоса и заканчивая забиванием канала хостера;

 

2)Немного по подробней остановлюсь про забивания канала, при такой атаке безполезно закрывать порты и т.д., т.к. ддосер может посылать сотни тысяч запросов и при такой атаки должен-быть физически проксирующий сервер, это может-быть CloudFlare, sucuri.net или ещё что...

 

Кстати цены у CF достаточно демократичны, 20 баксов за первый домен + 5 баксов за каждый другой если нужно, в принципе если проект важный, то можно себе позволить + они на этом тарифе предоставляют WAF, кеширование и много настроек позволяющих увиличить скорость открытия сайта, а также его безопасность.

 

Также нужно отметить что CF, даже платный акк. это не панацея от всех бед, его можно пробить, особенно если неправильно настроете DNS и ддосер узнает реяльный айпи сервера...

 

3)Как уже говорил, что защита должна-быть комплексной и не нужно надеятся только-лишь на одно средство, поэтому как минимум нужно выбирать и соответствующие тарифы при выборе хостера:

 

Расскажу проблему, которая сыграла со мно фатальную роль: Это даже не медленный ддос, это не забивание канала... Хрен-бы с этим, самая большая проблема, это то-что на моём тарифе лимитированный траффик, в данном случае это 1Тб, и за два дня его полностью съели, что привело к блокировки сервера до следующего месяца и к долгому и нудному бла-бла-бла с техподдержкой хостера !

 

Поэтому при ддос как минимум, важно тариф с нелиметированным траффиком, либо достаточно большой лимит траффика...

 

Но желательно, можно присмотреться к хостером которые уже могут защищать от ддос, к сожалению в РФ нормальных не нашел, неустраивает прежде всего цена, ибо не готов платить 3000 в месяц (А это в среднем минимальная цена за защиту, у сервисов в РФ...), НО нашёл парочку сервисов которые уже в траифе защищают от ддос, с русскоязычной техподдержкой...

 

Такие сервисы имеют распределённые сервера и ОЧЕНЬ широкий канал, забить их достаточно тяжело, но всё зависит от возможностей и желания атакующих конечно...

 

Как утверждают, могут блокировать атаки до 10000МБит, если больше уже нужно доплачивать и такие сервисы немного по дороже стоят чем аналоги без защиты, но не на много всего на 5-10 баксов....

 

У меня всё, жду ещё советов !

[Мутный 54]

Последние известия из "Боевых действий" !

 

Ну подключил я этот CF, + к ней использовал кое-какую защиту сервера в виде ограничения лимитов и бана айпишников, что получилось:

 

Зарегился я в ихней тимме и акунул их в гавнесцо, но почему-то забанили меня с формулеровкой "Неадекват" Но свою цель я добился, буквально через три минуты на сервер обрушился ддос, итог:

 

1)К сожалению не успел я настроить форум, что-бы почта отправлялясь через сторонний SMTP-сервер, "Хакер" зарегился у меня и благополучно слил реальный айпишник моего сервера, что позволило ддосит в обход CF !

 

2)Но я это предвидел, вообще разработал концепт, что-бы ипользовалось всё в комплексе...

Но к сожалению поспешил, ещё одно головотяпство, домен "По у молчанию" был как-раз атакуемый домен, т.е. айпишник вёл на атакуемый сайт...

 

3)Вообще можно-было конечно забанить все запросы, отличные от серверов CF, тогда было-бы полное проксирование через облако...

 

Но я решил поиграть с хакерами, и сделал "Ловушку", доступ-то к реальному айпи есть, но вот как только начинают ддосить, их боты попаают в блеклист...

 

4)Плюс настроил GeoIP...

 

Итог: Тридцать минут и все ихние боты у меня в чёрном списке...

 

Прошло сутки и тишина, не каких ботов, всё пучком !

 

Ну и этог этой истории, которую я пережил:

 

1)К сожалению почти все хостеры не защищают от ддос и достаточно 15-20 ботов, что-бы положить практически любой сервак;

 

2)Дудос это вам не хухры-мухры, а достаточно мощное оружие, особенно если у хакера есть ресурсы и умение делать атаки на сервера;

 

3)Тем не менее защитится от ддос можно и нужно, причём в зависимости от силы атаки можно обойтись либо беспалтными сервисами, либо за минимальную доп. плату...;

 

4)Нужно обязательно позаботится о защите за ранее, вовсе не обязательно подключать сразу, но необходимо подготовить себя на случай атаки на сервер, нужно ответить как минимум на следующие вопросы, даже когда атаки нет:

 

-Что я буду делать в случае DDOS;

-Какие сервисы потенциально можно использовать, подготовить список сервисов, можно даже зарегится там и обсудить детали;

-Сколько я готов потратить времени/денег на защиту;

-Ну и последнее, есть хостеры с уже защитой от ддос, если часто атакуют, возможно имеет смысл выбрать их, или использовать что-то в комплексе...

 

ВСЕМ УДАЧИ !

[Сергей Ильин 1538]

Ддосит какие-то школьники, условие прекращение ддоса, что-бы заходили на их хакерскую тимму и писали статьи !  

 

 

Сдай их в Управление К

[priv8v 960]

Сергей, на сайт хватает статей?

Добрым словом и ботнетом всегда проще уговорить написать статью, чем просто добрым словом.

 

Что-то Илья Рабинович давненько статей не писал...

[Мутный 54]

Сдай их в Управление К

Да-там дети, их-бы энергию да в нужное русло...

 

Я им подготовил тестовую площадку, а ддосить нехотят - сложно, а сайты без защиты ддосят, потому-что просто... Вот и вся хак. тимма !

[Илья Рабинович 521]

Что-то Илья Рабинович давненько статей не писал...

Я сейчас пишу немного на другие темы и на другом ресурсе. Но, вполне возможно, напишу статью, когда будет понятно, что бы такого интересного написать.

[priv8v 960]

Вот же что доброе слово делает!

[Сергей Ильин 1538]

Сергей, на сайт хватает статей? Добрым словом и ботнетом всегда проще уговорить написать статью, чем просто добрым словом.   Что-то Илья Рабинович давненько статей не писал...

 

У Ильи сейчас особо нечего ддосить. Но ход мыслей мне объективно нравится. Эксперты что-то расслабились )

Я сейчас пишу немного на другие темы и на другом ресурсе. Но, вполне возможно, напишу статью, когда будет понятно, что бы такого интересного написать.

 

Оффтоп - сайты, лечение сайтов

[Мутный 54]

Ну ботнет это серьёзный аргумент, в принципе планирую у них что-то написать (Но разумеется не из-за ботнета, по своему желанию пишу...), а так может действительно у экспертов что-то поддосить и отключать ботнет с условием написания одной статьи в неделю...

 

Правда тут почти все профессиональные безопасники, дудос можте боком выйти, потом придут "Вежливые люди", ну тут можно дурачка включить:

 

"А что, ддос ? Не не слышал !"

 

Ну либо на жалость давить:

 

"Дяденьки простите, я больше так не буду !"

 

[Мутный 54]

в принципе планирую у них что-то написать (Но разумеется не из-за ботнета, по своему желанию пишу...)

Что-то передумал, подумал что то-чем они занимаются:ДДОС,Дефейс и прочее... Не для меня, потом репутация будет ещё-та, хоть и не занимался никогда...

 

Лучше в других местах буду писать статьи !

[Сергей Ильин 1538]

Что-то передумал, подумал что то-чем они занимаются:ДДОС,Дефейс и прочее... Не для меня, потом репутация будет ещё-та, хоть и не занимался никогда...

 

Это точно, лучше не стоит

[Мутный 54]

 

Что-то передумал, подумал что то-чем они занимаются:ДДОС,Дефейс и прочее... Не для меня, потом репутация будет ещё-та, хоть и не занимался никогда...

 

Это точно, лучше не стоит

 

Всем привет !

 

Лето - все отдыхают, какая-то таска в сети...

 

Но тем не менее хочу подвести этог, своих экспериментов над "Хакерами", итак:

 

1)CloudFlare, слабо помогает, по причине что нетак сложно вычислить реальный айпишник сервера, далее попробовать забить канал;

 

2)CloudFlare, пропускает в общем-то либо нужно делать постоянно заглушку с проверкой браузера, что вызывает неудобство;

 

3)Короче непонравились мне проксирующие сервисы, при сильных и постоянных атаках нужно делать комплекссную защиту, т.е. желательно перенести атакуемые ресурсы на защищенные сервера с аппаратной защитой, по крайне-мере мне помогло

 

4)Незнаю почему, но атаки были в основном с Китая, Индии, Вьетнама... Поэтому блокировка этих стран (Я использовал GeoIP для nginx), существенно снизило нагрузку + скрипт (D)Deflate очень сильно помогает кстати !

 

Вроде пока всё, конец экспериментам !

[Мутный 54]

Всем привет !

 

Вспомнил про эту тему, даже не знаю интересно будет кому здесь-нет, но продолжение кул-стори, о том как я пережил более 30 Гбитную атаку, разумеется это не уровень лабы Каспера, но для меня это ново, было занемательно...

 

Итак, вообще у моего хостера на тарифе есть аппаратная защита от забивания канала на уровне ДЦ, но к сожалению в данном случае при такой силе атаки на Layer 7, был пропуск более 20000 ботов, а у меня проект не коммерческий, в общем-то что-бы положить мою впску достаточно и 3000 ботов, короче пришлось фильтровать в ручную !

 

Итак что было сделано:

 

Вообще я понимал, что реально навряд-ли они будут постоянно ддосить с такой силой, но всё-же хотелось обезвредить именно в пик атаки, для этого я по GeoIP заблокировал все страны, кроме СНГ.

 

Но на моё удивление, эти товарищи стали ддосить из РФ, короче всё сервер упал, ну я решил глянуть логи что-там такое и обнаружил кучу запросов такого типа:

"GET / HTTP/1.0" 301 184 "-" "-"

Ну тут сразу видно, пустые запросы и пустой юзер-агент, ага можно сделать фильтр в nginx:

 

if ($http_user_agent = "") { return 444; }
if ($http_user_agent = "-") { return 444; }

 

Обратите внимание на код ошибки 444 - Это нестандартная ошибка, т.е. nginx закроет соединение, не вернув никакой инфы, ботам должно понравиться...

 

Также на всякий случай сделал ещё это, т.е. ограничение на запросы:

 

if ($request_method !~ ^(GET|HEAD|POST)$) {
                                                return 444;
                                              }

 

Очень сильно помогло, но не надолго, опять упал, да-блин , анализирую дальше логи, чо они-там опять придумали, но в этот раз ещё легче:

 

Запросы такого типа, как понял с ломанных сайтов, кстати привожу запрос как он есть:

 

GET / HTTP/1.0" 200 253178 "-" "WordPress/4.2.2; http://demo.nola.land;verifying pingback from 127.0.0.1"

 

Куча более 1000 таких запросов, сайты разные, но везде юзерагент WordPress, ога попались

 

Делаем фильтр:

 

if ( $http_referer ~* (^WordPress) ){
                                            return 444;
                                         }

 

Ну и всё, по началу где-то час всё тормазило, а потом они сдулись, далее вернул нужные мне страны, а это РФ, СНГ, Европа и США, а все остальные в бан, это на случай повторных атак, короче пока живу...

 

Для справки, если верить логам, много ботов было с Индии, Китая, Вьетнама, далее Мексика...

 

Ну и блокировать лучше на уровне файервола, в плане нагрузке, хотя мне удобней всё через nginx делать...

 

Выводы которые я сделал:

 

Какая-бы навороченная аппаратная защита не была, всё-равно должен-быть человек, который-бы мог всё-это фильтровать вручную + также не забывайте делать лимиты на коннекты к базе и т.д., что-бы не потерять доступ к серверу в случае критичных нагрузок !

 

Надеюсь эта тема кому-то поможет !

[Сергей Ильин 1538]

@Мутный, спасибо за интересный пост с описанием логики действий.

 

Мы тут на прошлой неделе большой обзор выпустили, что есть на рынке для защиты от DDoS. Все основные варианты там описаны.

https://www.anti-malware.ru/reviews/ddos_protection_market_russia_2016

 

Выбор довольно большой. Я ставлю на сервисы, как наиболее удобный вариант организации защиты. Цены очень разные у всех кстати.

[Мутный 54]

@Мутный, спасибо за интересный пост с описанием логики действий.

 

Мы тут на прошлой неделе большой обзор выпустили, что есть на рынке для защиты от DDoS. Все основные варианты там описаны.

https://www.anti-malware.ru/reviews/ddos_protection_market_russia_2016

 

Выбор довольно большой. Я ставлю на сервисы, как наиболее удобный вариант организации защиты. Цены очень разные у всех кстати.

Ога читал !

 

Я к сожалению нищеброд, постоянно думаю чо-бы бесплатно заюзать, из списка использую CloudFlare и-то бесплатный аккаунт !

 

Кстати если думаете что бесплатный акк. не защищает, не правы, но нужно настроить самому, например можно сделать режим "Я под атакой", тогда будет вот такая проверка:

 

Но я не люблю такой режим, на один из проектов, который ну очень часто атакуют, в логах узнал страны из которых часто идут атаки и сделал такую проверку по странам, в CF даже на бесплатном акке позволяет это делать, смотрите скрин:

 

Ну и режим файервола поставил на "Hight", пока кто ддосит, не могут пробить !

 

Но у CF, даже на платном акке есть минусы:

 

1)Случались блокировки IP-адресов Роскомнадзором;

2)Недают выделенный IP;

3)Палит реальный IP-адрес сервера !

 

Поэтому если есть деньги лучше что-то другое выбрать, на самом деле сервисов куча, например в статье не представлены такие:Sucuri, Incapsula и т.д.

 

Но я всё-же склоняюсь, что защита должна-быть на уровне Дата-Центра, в частности и сервисы типа DDOS-Guard предоставляют свои защищенные сервера, или тот-же Ростелеком например, почему лучше выбирать защиту на уровне вашего провайдера:

 

1. Нет вероятности, что ддосер спалит ваш реальный айпи адрес;

 

2. В случае ддоса на Layer 7, сотрудники могут помочь отразить атаку вручную.

 

Ну и скажу что я сейчас на своём основном так сказать проекте как-раз и использую аппаратную защиту на уровне Дата-центра, т.е. не проксирование, как-раз по мойму там  Arbor стоит, железка хорошая, но как я писал, в случае атаки на уровне приложения, приходится фильтровать в ручную много !

[Мутный 54]

Боты научились обходить проверку CloudFlare: "Checking your browser before accessing", да-блин !

 

Так-что мой бюджетный вариант для нишебродов, закончился вот чем !

 

 

 

[Мутный 54]

CloudFlare всё-же справилась, они при сильных атаках, вообще капчу потом просят ввести с подозрительный IP (С ТОРа например), которую не введёт даже нормальный посетитель, у меня получилось с третьего раза только !

 

[Мутный 54]

Хе сейчас многие Российские хостеры попали под раздачу, за последнюю неделю, ддосили три известных мне хостера с силой атаки не менее 70Гбит, в этоге два хостера перешли под защиту ddos-guard, один успел купить железку....

 

Многие склоняются всё-же делать защиту самим, даже не смотря на цены на оборудование это: "Умные" роуторы + проксирование, оказывается в долгосрочной перспективе дешевле, чем у сторонних компаний !

 

Ну и к сожалению многие хостинг-компании в РФ не готовы отразить атаки на себя !