УКОЛ СМЕРТИ С ШЕЛЛА

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-032-3

Пощадим сервер и прекратим флуд командой ./tfn2k -P TCP -f ./hosts -i server3.flood.net -c 0. После всего этого считаем эксперимент успешным. Мы доказали, что DDoS может нанести реальный урон серверу и его сервисам. Более того, DDoS подразумевает реальную утечку траффика, а за него кто-то все равно расплачивается...

А ЕСТЬ ЛИ ЗАЩИТА?

Этот вопрос покажется тебе немного странным. Ведь фаерволлы еще никто не отменял. Казалось бы, установи запрет на UDP, ICMP и открой TCP только доверенным хостам (мне ли тебя учить правильной настройке фаерволла?). Но не все так просто, как кажется... Если твоей машиной серьезно заинтересуются, то никакой фаерволл тебе не поможет. Ведь пакеты все равно приходят в систему, а файр лишь фильтрует их. С десятками и сотнями пакетов он, допустим, справится. А что если атака будет производиться с тысячи машин? Сервер просто не выдержит, а пропускная способность упадет до нулевой отметки. Единственное спасение - прописывать настройку фаерволла не на самой машине, а на роутере, который стоит на ступень выше. Но опять же при атаке роутеру вряд ли повезет ;).

А от небольших атак фаерволл - единственное средство защиты. Мало кто знает, что он может писать в логи все обращения к серверу. Сейчас я расскажу - как. Объясняю на примере ipfw (файра для FreeBSD). Создаем запись, которая обрабатывает весь входящий траффик. Помимо этого, используем параметр log, а при желании и logamount, значение которого будет равно максимуму записей в log-файле. Таким образом, запись будет выглядеть так:

ipfw add 50000 log logamount 1000000 allow ip from any to me

Далее смотри /var/log/secure (туда будет скидываться инфа о входящих пакетах). А еще лучше - перенастрой syslogd, чтобы записи от фаерволла писались в отдельный лог. Но его настройка - это совсем другая история...

Вот, собственно, и все. Пора делать выводы. После прочтения материала для кого-то DDoS остался загадкой и мифическим явлением, кто-то понял всю глубину таких атак и поспешил защищать свой сервер, а кто-то забил на все проблемы и свалил пить пиво. А хакер не дремлет, он пишет заветную строчку клиенту tfn, которую с радостью готовы исполнить тысячи демонов DDoS-ера...

ФБР заявило, что осенний DDoS - самая крупная глобальная атака за всю историю существования Интернета.

Два-три сервера-зомби для DDoS очень мало - обычно число серверов составляет от нескольких десятков до нескольких тысяч!

DDoS может нанести реальный урон серверу и его сервисам. Более того, DDoS подразумевает реальную утечку траффика, а за него кто-то все равно расплачивается...

Учитывай тот фактор, что весь траффик, который ты нагонишь удаленному серверу, может учитываться твоим провайдером, так что у тебя есть реальный шанс наступить на твои же собственные грабли (читай: "попасть на огромные бабки").

DDOS В IRC СЕТЯХ

Имея опыт IRC-оператора, с уверенностью скажу, что DDoS в IRC - явление вполне обыденное. Ведь каждый пользователь может посмотреть список серверов командой /links, а затем направленно флудить их потоком мусора от машин с огромным каналом...