DoS и *NIX - Форум администраторов игровых серверов
Форум администраторов игровых серверов StormWall - Защита от DDos атак
Регистрация Мнения Справка Пользователи Календарь Все разделы прочитаны
Вернуться   Форум администраторов игровых серверов > MMO > Lineage II

Lineage II
Дискуссии на тему создания, настройки и обслуживания серверов Lineage 2. При поддержке: Премиум услуги по рекламе

Ответ
Опции темы
Непрочитано 22.06.2010, 15:13   #1
Изгнанные

Автор темы (Топик Стартер) DoS и *NIX

Давно собирался переходить на ОС из семейства *NIX, но сподвигло на этот шаг меня несколько фактов:

1. Стабильность "форточек" не оставляла лучшего.... то комп зависнет, то какие то глюки в системе, и много другого сблёва...

2. Есть такой файервол, который очень прославил ОС Linux - это iptables, если ты умеешь им пользоватся - ты крут в этой сфере. Действительно, опробовав его мы пришли в восторг... там конечно нету таких удобных настроек как в Фаерволах для Win, но всё же...

3. Понятие DoS и DDoS известно думаю всем. Самый страшный конечно второй, но чтобы тебя "заДДоСили", надо кому то очень сильно насолить! DoS менее страшен, и способов защиты от него больше,
особенно на "никсах". Так как линух в настройке очень гибок, там можно в сетевых настройках фаервола поставитьограничение на макс. размер принимаемого пакета, что собственно и сделал. Понятие Ping of Death, а именно пингование сервера с посылкой более крупных пакетов тут не прокатит. Так же не прокатит тут SYN Flood (между прочим очень опасный вид атаки), преимущество Линукс в даной ситуации в том, что этот вид атаки расчитан на ОС типа МАК и Вин. Опишу вкрадце: Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.

CPU Hog как и SYN Flood не действует на ОС семейства *NIX, действует только на WinNT, и действует по принципу вируса, то есть хацкер подсылает этого "демона" к жертве, и программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие... комп виснет.

Есть ещё несколько видов ДоС, но это всё семечки по сравнению с ДДоС. Что такое DDoS? DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Ещё одно определение ДДоС (с хакерского портала):
"Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров."

5. Такова уж винда, что расчитана она много для чего, но не для серверов точно!!! Те кто присутствует на данном форуме - это люди интелектуально развитые (не все конечно), особенно в области IT, и рано или поздно свяжутся с "НИКСАМИ"...

Итог: если Вы занимаетесь серверами, и стабильность, безопасноть Вашего "творения", да и самого PC в целом Вам не безразлична - то ставьте дистрибутив Линуха. Это всё!!!
Ramzessuss вне форума Отправить сообщение для Ramzessuss с помощью ICQ Ответить с цитированием
Сказали спасибо:
Непрочитано 22.06.2010, 16:27   #2
Пользователь

По умолчанию Re: DoS и *NIX

Спасибо автору за тему.
Как дополнение к этой статье, хочу посоветовать людям, которые не работали на никсах, скачать и поставить эмулятор (например VMware) и поставить, с помошью программы, никсы. Это никак не заденет вашу ОС, которая стоит на компе.
Т.е. С помошью программы можно поставить несколько ОС и переключаться между ними.
slate вне форума Ответить с цитированием
Непрочитано 22.06.2010, 16:34   #3
Изгнанные

Автор темы (Топик Стартер) Re: DoS и *NIX

я пол года юзал ВМВаре, эта программа относится к роду "Виртальные машины"
Ramzessuss вне форума Отправить сообщение для Ramzessuss с помощью ICQ Ответить с цитированием
Непрочитано 22.06.2010, 16:34   #4
Аватар для Ozzy
Администратор

По умолчанию Re: DoS и *NIX

Винда УГ, поэтому те же самые сервера NCSoft не падают от DDoS
Ozzy вне форума Ответить с цитированием
Непрочитано 22.06.2010, 16:43   #5
Пользователь

По умолчанию Re: DoS и *NIX

nix системы тоже очень даже неплохо падают под DoS/DDoS-атаками, впрочем как и вин.
Все, описанное автором, это хорошо, только самое главное не названо: любая система нуждается в ее правильной настройке под конкретные нужды, и linux - не исключение. Другой вопрос, что на нем, в большинстве случаев, сделать многое проще/дешевле, чем в windows, и, в первую очередь, из-за открытого кода и огромного количества гайдов, которые собрались в интернете за последние лет 20.
Но думать, что, поставив линукс, все проблемы решатся - неправильно. Наоборот, первое время их только прибавится, и переносить работающий проект с кое-как пыхтящего win-server-а на linux, ничего о нем не зная, - это смерть проекту.

2Ramzessuss: посмотри в личку
Blakkky вне форума Ответить с цитированием
Непрочитано 22.06.2010, 17:16   #6
Аватар для [STIGMATED]
Супергерой

По умолчанию Re: DoS и *NIX

Линь требует более тщательной настройки, в отличии от двухкликаемой винды...
И одно слово : "Мой сервер стоит на линукс" уже стоит того, что бы прислушатся.
__________________
Web программист\разработчик

— Есть только один способ проделать большую работу — полюбить ее. Если вы к этому не пришли, подождите. Не беритесь за дело.
[STIGMATED] вне форума Отправить сообщение для [STIGMATED] с помощью Skype™ Ответить с цитированием
Непрочитано 22.06.2010, 17:18   #7
Аватар для Ozzy
Администратор

По умолчанию Re: DoS и *NIX

STIGMATED, ты уверен в том, что сказал?)))))))
Ozzy вне форума Ответить с цитированием
Непрочитано 22.06.2010, 17:19   #8
Аватар для [STIGMATED]
Супергерой

По умолчанию Re: DoS и *NIX

Думаю да) Если слова сказаны с увереностью и доказательством=)
__________________
Web программист\разработчик

— Есть только один способ проделать большую работу — полюбить ее. Если вы к этому не пришли, подождите. Не беритесь за дело.
[STIGMATED] вне форума Отправить сообщение для [STIGMATED] с помощью Skype™ Ответить с цитированием
Непрочитано 22.06.2010, 17:26   #9
Пользователь

По умолчанию Re: DoS и *NIX

Ну нынешние линуксы тоже в "2 клика" ставятся (Ubuntu тот же самый) так что порог входа теперь стал пониже. Некоторые сборки линукса вполне вменяемо настроены "из коробки" (тот же CentOS), а некоторые надо ковырять напильником (Ubuntu Server), а есть вообще экземпляры, которые просто без отвертки, лома, напильника, кувалды и такой-то матери вообще даже ставиться не хотят (Gentoo), и все это linux, так что то, что "у меня установлен линукс" еще не показатель. Показатель - это первые несколько месяцев успешной бессбойной работы системы (когда она переживет ДоС/ДДоС, будет отстроена безопасность, установлены, настроены и оптимизированы все сервисы и т.д.). И следующая контрольная точка - это падение оборудования (чаще всего это хард) и запуск системы после ее устранения.

А по теме:
Время от времени проскакивают решения, позиционирующие себя как защита от DDoS-атак, реализованные на уровне apache + php. Это, конечно, красиво, но спасает только от толпы школьников, тыкающих F5, не более того.

(D)DoS - атака "отказ в обслуживании" достигается несколькими путями, но все они нацелены на выбирание ресурсов системы:
1. если приложение достаточно "тяжелое" (значительно потребляющее процессор и/или память, например, веб-сервер или сервер базы данных), то DoS достигается большой нагрузкой на процессор(ы).
2. если приложение достаточно "легкое" (например echo/ping-сервис), то можно выбрать разрешенное количество открытых сокетов на приложение (по-умолчанию это 1024 сокета, но этот параметр настраивается, всего в системе их может быть 65535, соответственно, если запросов больше, то новые сокеты не будут создаваться, на это и нацелена syn-атака) или выбрать интернет-канал (это можно достичь просто большим количеством данных, передаваемых с/на сервер).

От первого типа атак (встречается он чаще, потому что его проще организовать, т.к. количество машин-зомби на нее нужно на много меньше) вполне можно отбиться собственными силами. Для этого надо недопустить до приложения вредоносный трафик, следовательно, помочь может только правильная настройка ограничений в программном файрволе системы.
От второго защититься своими силами практически невозможно (если это на самом деле серьезная ДоС-атака в сотни тысяч машин по всему миру), это задача хостера/ДЦ. Чаще всего решается выделенными linux-серверами, занимающимися роутингом трафика внутри ДЦ, или аппаратными файлволами.

Почитать можно, например, тут http://www.hackzone.ru/articles/zashita_ot_ddos.html (настройка линукс-системы для отражения ДДоСа), или тут http://ru.wikipedia.org/wiki/Iptables (вообще про iptables)

ЗЫ: ну и всегда можно найти "нестандартное" решение по защите, например, от нескольких тысяч одновременных подключений веб-сервер можно закрыть, настроив связку apache|php-cgi + nginx. Смысл в том, чтобы легкий и быстрый nginx отдавал статику (картинки, флеш, html-страницы и т.д.), а непосредственно обращения к php-скриптам, которые и дают основную нагрузку на систему, перенаправлял на apache|php-cgi, а ответы скриптов кешировал у себя на некоторое время.

Последний раз редактировалось Blakkky; 22.06.2010 в 17:56.
Blakkky вне форума Ответить с цитированием
Непрочитано 22.06.2010, 19:44   #10
Изгнанные

Автор темы (Топик Стартер) Re: DoS и *NIX

Тема про ДДоС атаки и их устройство очень интересна, так как можно понять свои ошибки когда создавал сервер, чего не учёл при настройке, но всё же согласитесь, линух наиболее подходит для этого дела. Нет, я не хочу сказать что Виндовс дерьмо а никс рулит, я считаю что у всего своё предназначение, у винды были попытки создать серверную ОС, но это не то... решение для себя я уже вынес... дело за Вами =)

Добавлено через 1 час 55 минут
up тему!

Последний раз редактировалось Ramzessuss; 22.06.2010 в 21:40. Причина: Добавлено сообщение
Ramzessuss вне форума Отправить сообщение для Ramzessuss с помощью ICQ Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


© 2007–2022 «Форум администраторов игровых серверов»
Защита сайта от DDoS атак — StormWall
Работает на Булке неизвестной версии с переводом от zCarot
Текущее время: 05:16. Часовой пояс GMT +3.

Вверх