DoS и *NIX

[Ramzessuss]

Давно собирался переходить на ОС из семейства *NIX, но сподвигло на этот шаг меня несколько фактов:

1. Стабильность "форточек" не оставляла лучшего.... то комп зависнет, то какие то глюки в системе, и много другого сблёва...

2. Есть такой файервол, который очень прославил ОС Linux - это iptables, если ты умеешь им пользоватся - ты крут в этой сфере. Действительно, опробовав его мы пришли в восторг... там конечно нету таких удобных настроек как в Фаерволах для Win, но всё же...

3. Понятие DoS и DDoS известно думаю всем. Самый страшный конечно второй, но чтобы тебя "заДДоСили", надо кому то очень сильно насолить! DoS менее страшен, и способов защиты от него больше,
особенно на "никсах". Так как линух в настройке очень гибок, там можно в сетевых настройках фаервола поставитьограничение на макс. размер принимаемого пакета, что собственно и сделал. Понятие Ping of Death, а именно пингование сервера с посылкой более крупных пакетов тут не прокатит. Так же не прокатит тут SYN Flood (между прочим очень опасный вид атаки), преимущество Линукс в даной ситуации в том, что этот вид атаки расчитан на ОС типа МАК и Вин. Опишу вкрадце: Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.

CPU Hog как и SYN Flood не действует на ОС семейства *NIX, действует только на WinNT, и действует по принципу вируса, то есть хацкер подсылает этого "демона" к жертве, и программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие... комп виснет.

Есть ещё несколько видов ДоС, но это всё семечки по сравнению с ДДоС. Что такое DDoS? DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Ещё одно определение ДДоС (с хакерского портала):
"Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров."

5. Такова уж винда, что расчитана она много для чего, но не для серверов точно!!! Те кто присутствует на данном форуме - это люди интелектуально развитые (не все конечно), особенно в области IT, и рано или поздно свяжутся с "НИКСАМИ"...

Итог: если Вы занимаетесь серверами, и стабильность, безопасноть Вашего "творения", да и самого PC в целом Вам не безразлична - то ставьте дистрибутив Линуха. Это всё!!!

[slate]

Спасибо автору за тему.
Как дополнение к этой статье, хочу посоветовать людям, которые не работали на никсах, скачать и поставить эмулятор (например VMware) и поставить, с помошью программы, никсы. Это никак не заденет вашу ОС, которая стоит на компе.
Т.е. С помошью программы можно поставить несколько ОС и переключаться между ними.

[Ramzessuss]

я пол года юзал ВМВаре, эта программа относится к роду "Виртальные машины"

[Ozzy]

Винда УГ, поэтому те же самые сервера NCSoft не падают от DDoS

[Blakkky]

nix системы тоже очень даже неплохо падают под DoS/DDoS-атаками, впрочем как и вин.
Все, описанное автором, это хорошо, только самое главное не названо: любая система нуждается в ее правильной настройке под конкретные нужды, и linux - не исключение. Другой вопрос, что на нем, в большинстве случаев, сделать многое проще/дешевле, чем в windows, и, в первую очередь, из-за открытого кода и огромного количества гайдов, которые собрались в интернете за последние лет 20.
Но думать, что, поставив линукс, все проблемы решатся - неправильно. Наоборот, первое время их только прибавится, и переносить работающий проект с кое-как пыхтящего win-server-а на linux, ничего о нем не зная, - это смерть проекту.

2Ramzessuss: посмотри в личку

[[STIGMATED]]

Линь требует более тщательной настройки, в отличии от двухкликаемой винды...
И одно слово : "Мой сервер стоит на линукс" уже стоит того, что бы прислушатся.

[Ozzy]

STIGMATED, ты уверен в том, что сказал?)))))))

[[STIGMATED]]

Думаю да) Если слова сказаны с увереностью и доказательством=)

[Blakkky]

Ну нынешние линуксы тоже в "2 клика" ставятся (Ubuntu тот же самый) так что порог входа теперь стал пониже. Некоторые сборки линукса вполне вменяемо настроены "из коробки" (тот же CentOS), а некоторые надо ковырять напильником (Ubuntu Server), а есть вообще экземпляры, которые просто без отвертки, лома, напильника, кувалды и такой-то матери вообще даже ставиться не хотят (Gentoo), и все это linux, так что то, что "у меня установлен линукс" еще не показатель. Показатель - это первые несколько месяцев успешной бессбойной работы системы (когда она переживет ДоС/ДДоС, будет отстроена безопасность, установлены, настроены и оптимизированы все сервисы и т.д.). И следующая контрольная точка - это падение оборудования (чаще всего это хард) и запуск системы после ее устранения.

А по теме:
Время от времени проскакивают решения, позиционирующие себя как защита от DDoS-атак, реализованные на уровне apache + php. Это, конечно, красиво, но спасает только от толпы школьников, тыкающих F5, не более того.

(D)DoS - атака "отказ в обслуживании" достигается несколькими путями, но все они нацелены на выбирание ресурсов системы:
1. если приложение достаточно "тяжелое" (значительно потребляющее процессор и/или память, например, веб-сервер или сервер базы данных), то DoS достигается большой нагрузкой на процессор(ы).
2. если приложение достаточно "легкое" (например echo/ping-сервис), то можно выбрать разрешенное количество открытых сокетов на приложение (по-умолчанию это 1024 сокета, но этот параметр настраивается, всего в системе их может быть 65535, соответственно, если запросов больше, то новые сокеты не будут создаваться, на это и нацелена syn-атака) или выбрать интернет-канал (это можно достичь просто большим количеством данных, передаваемых с/на сервер).

От первого типа атак (встречается он чаще, потому что его проще организовать, т.к. количество машин-зомби на нее нужно на много меньше) вполне можно отбиться собственными силами. Для этого надо недопустить до приложения вредоносный трафик, следовательно, помочь может только правильная настройка ограничений в программном файрволе системы.
От второго защититься своими силами практически невозможно (если это на самом деле серьезная ДоС-атака в сотни тысяч машин по всему миру), это задача хостера/ДЦ. Чаще всего решается выделенными linux-серверами, занимающимися роутингом трафика внутри ДЦ, или аппаратными файлволами.

Почитать можно, например, тут http://www.hackzone.ru/articles/zashita_ot_ddos.html (настройка линукс-системы для отражения ДДоСа), или тут http://ru.wikipedia.org/wiki/Iptables (вообще про iptables)

ЗЫ: ну и всегда можно найти "нестандартное" решение по защите, например, от нескольких тысяч одновременных подключений веб-сервер можно закрыть, настроив связку apache|php-cgi + nginx. Смысл в том, чтобы легкий и быстрый nginx отдавал статику (картинки, флеш, html-страницы и т.д.), а непосредственно обращения к php-скриптам, которые и дают основную нагрузку на систему, перенаправлял на apache|php-cgi, а ответы скриптов кешировал у себя на некоторое время.

[Ramzessuss]

Тема про ДДоС атаки и их устройство очень интересна, так как можно понять свои ошибки когда создавал сервер, чего не учёл при настройке, но всё же согласитесь, линух наиболее подходит для этого дела. Нет, я не хочу сказать что Виндовс дерьмо а никс рулит, я считаю что у всего своё предназначение, у винды были попытки создать серверную ОС, но это не то... решение для себя я уже вынес... дело за Вами =)

Добавлено через 1 час 55 минут
up тему!