Bir hizmet reddi saldırısı yaşıyorsunuz. Birden fazla ağdan gelen trafiği görürseniz (farklı alt ağlarda farklı IP'ler) dağıtılmış bir hizmet reddi (DDoS); Hepsi aynı yerden geliyorsa, eski bir DoS'unuz var. Yapabiliyorsanız, kontrol etmek yararlı olabilir; kontrol etmek için netstat kullanın. Bunu yapmak zor olsa da.
Hizmet reddi genellikle birkaç kategoriye ayrılır: trafik temelli ve yük temelli. Son ürün (çökme servisi ile) istismar tabanlı DoS ve oldukça farklı.
Ne tür bir saldırı olduğunu tespit etmeye çalışıyorsanız, biraz trafik çekmek isteyebilirsiniz (wireshark, tcpdump veya libpcap kullanarak). Mümkünse, aynı zamanda muhtemelen oldukça fazla trafik çekeceğinizin farkında olmalısınız.
Sık sık, bunlar botnet'lerden gelecektir (teklif verecekleri bazı saldırganların merkezi kontrolü altında ele geçirilen ana bilgisayar ağları). Bu, saldırganın, izlerini korurken, farklı ağlarda çok sayıda farklı ana bilgisayarın size saldırması için yukarı akış bant genişliğini (çok ucuza) edinmesi için iyi bir yoldur. Alçak Uydu İyon Topu bir botnet bir örneğidir (yerine isteğe bağlı olmasına rağmen zararlı türevi); Zeus daha tipik bir şey.
Trafik tabanlı
Trafik tabanlı bir DoS altındaysanız , sunucunuza Internet bağlantısının tamamen doymuş olduğu çok fazla trafik olduğunu görüyorsunuz . Sunucunuzu başka bir yerden pinglerken yüksek bir paket kaybı oranı vardır ve (kullanımdaki yönlendirme yöntemlerine bağlı olarak) bazen gerçekten de yüksek gecikme süresi görürsünüz (ping yüksek). Bu tür bir saldırı genellikle bir DDoS'dir.
Bu gerçekten "yüksek" bir saldırı olmasına rağmen, ne olduğu çok açık olsa da, bir sunucu yöneticisinin hafifletmesi zordur (ve paylaşılan bir barındırma kullanıcısı için hafiflemesi imkansızdır). ISS'nizden yardıma ihtiyacınız olacak; DDoS altında olduğunuzu ve size yardımcı olabileceklerini bildirin.
Ancak, çoğu ISS ve transit sağlayıcıları proaktif olarak neler olduğunu fark edecek ve sunucunuz için bir kara delik rotası yayınlayacaktır . Bunun anlamı, sunucunuza mümkün olan en düşük maliyetle bir rota yayınlamalarıdır 0.0.0.0
: İnternet üzerinden artık trafiğe açılmıyorlar. Bu yollar tipik olarak / 32 lerdir ve sonunda kaldırılırlar. Bu size hiç yardımcı olmuyor; amaç, ISS'nin şebekesini su baskınından korumaktır. Bu süre boyunca sunucunuz İnternet erişimini etkili bir şekilde kaybedecektir.
ISS'nizin (veya siz de kendi AS'niz varsa) yardım edebilmesinin tek yolu, olası DDoS trafiğini algılayan ve hız sınırlayan akıllı trafik şekillendiricileri kullanıyorlarsa. Herkesin bu teknolojiye sahip değil. Ancak, trafik bir veya iki ağdan veya bir ana bilgisayardan geliyorsa, önünüzdeki trafiği de engelleyebilir.
Kısacası, bu sorun hakkında yapabileceğiniz çok az şey var. En iyi uzun vadeli çözüm, hizmetlerinizi İnternet üzerinde ayrı ayrı ve aynı anda DDoSed olması gereken birçok farklı yerde barındırmak ve DDoS'yi çok daha pahalı hale getirmektir. Bunun için stratejiler korumanız gereken hizmete bağlıdır; DNS, birden çok yetkili ad sunucusu, yedek MX kaydına ve posta değiştiricisine sahip SMTP ve yuvarlak DNS veya çoklu ana bilgisayara sahip HTTP ile korunabilir (ancak, bu süre boyunca bazı bozulmalar göze çarpıyor olabilir).
Yük dengeleyici nadiren bu soruna etkili bir çözümdür, çünkü yük dengeleyicisinin kendisi aynı soruna tabidir ve sadece bir tıkanıklık yaratır. IPTable'lar veya diğer güvenlik duvarı kuralları işe yaramaz çünkü sorun borunuzun doymuş olmasıdır. Bağlantılar güvenlik duvarınız tarafından göründüğünde, zaten çok geç ; Sitenize bant genişliği tüketildi. Bağlantılarla ne yaptığınız önemli değil; Gelen trafik miktarı normale döndüğü zaman saldırı hafifletilir veya biter.
Bunu yapabiliyorsanız, Akamai, Limelight ve CDN77 gibi bir içerik dağıtım ağı (CDN) kullanmayı düşünün veya CloudFlare veya Prolexic gibi bir DDoS temizleme servisi kullanın. Bu hizmetler, bu tür saldırıları hafifletmek için aktif önlemler almakta ve aynı zamanda, pek çok farklı yerde, onları silmenin genellikle mümkün olmadığı pek çok bant genişliği bulunmaktadır.
CloudFlare (veya başka bir CDN / proxy) kullanmaya karar verirseniz, sunucunuzun IP adresini gizlemeyi unutmayın. Bir saldırgan IP'yi bulursa, sunucunuzu doğrudan CloudFlare'yi atlayarak doğrudan DDoS yapabilir. IP'yi gizlemek için sunucunuz güvenli olmadıkça asla diğer sunucularla / kullanıcılarla doğrudan iletişim kurmamalıdır. Örneğin, sunucunuz doğrudan kullanıcılara e-posta göndermemelidir. CDN'de tüm içeriğinizi barındırıyorsanız ve kendi sunucunuz yoksa, bu geçerli değildir.
Ayrıca, bazı VPS ve barındırma sağlayıcıları bu saldırıları diğerlerinden daha hafifletmekte daha iyidir. Genel olarak, ne kadar büyük olursa, o kadar iyi olurlar; Çok iyi eşlenmiş ve çok fazla bant genişliğine sahip bir sağlayıcı doğal olarak daha dayanıklı olacak ve aktif ve tamamen çalışan bir ağ operasyon ekibine sahip bir kişi daha hızlı tepki verebilecek.
Yük tabanlı
Yüke dayalı bir DDoS yaşıyorsanız, yük ortalamasının anormal derecede yüksek olduğunu (veya platformunuza ve özelliklere bağlı olarak CPU, RAM veya disk kullanımı) fark edersiniz. Sunucu faydalı bir şey yapmıyor gibi görünse de çok meşgul. Genellikle, günlüklerde olağandışı koşulları gösteren çok miktarda giriş olacaktır. Çoğu zaman bu, pek çok farklı yerden gelmiyor ve bir DDoS, ama mutlaka böyle değil. Çok fazla farklı ev sahibi olmak zorunda bile değilsiniz .
Bu saldırı, servisinizi çok pahalı şeyler yapmanıza dayanıyor. Bu, çok sayıda TCP bağlantısı açmanız ve sizi durumlarını korumanıza zorlamak ya da hizmetinize aşırı büyük ya da çok sayıda dosya yüklemek veya belki de gerçekten pahalı aramalar yapmak ya da gerçekten kullanması pahalı bir şey yapmak gibi bir şey olabilir. Trafik, planladığınız ve üstesinden gelebileceğiniz sınırlar dahilindedir, ancak yapılan isteklerin çoğu bu kadarını yerine getirmek için çok pahalıdır .
Birincisi, bu tür bir saldırının mümkün olduğu genellikle bir yapılandırma sorunu veya hatayı gösterir.Hizmetinizde Örneğin, aşırı ayrıntılı günlük kaydı açık olabilir ve günlükleri yazması çok yavaş olan bir şeyde depolar olabilir. Birisi bunu fark ederse ve bol miktarda günlük yazıp diske yazmanıza neden olan bir çok şey yaparsa, sunucunuz sürünmeye yavaşlar. Yazılımınız ayrıca belirli giriş durumları için son derece verimsiz bir şey yapıyor olabilir; Sebepler, programlar kadar çoktur, ancak iki örnek, hizmetinizin, aksi halde bitmiş bir oturumu kapatmamasına ve bunun bir çocuk sürecini doğurup bırakmasına neden olan bir durum olabilir. Sonunda devletle olan onbinlerce açık bağlantı veya on binlerce alt sürecin sonu gelirse, başınız belaya girer.
Yapabileceğiniz ilk şey , trafiği azaltmak için güvenlik duvarı kullanmaktır . Bu her zaman mümkün değildir, ancak gelen trafikte bulabileceğiniz bir özellik varsa (trafik hafif ise tcpdump bunun için iyi olabilir), güvenlik duvarına düşebilir ve artık sorun çıkarmaz. Yapılacak diğer şey, hizmetinizdeki hatayı düzeltmektir (satıcıyla iletişim kurun ve uzun bir destek deneyimine hazır olun).
Ancak, bir yapılandırma sorunu varsa, buradan başlayın . Üretim sistemlerinde günlüğe kaydetmeyi makul bir seviyeye düşürün (programa bağlı olarak bu genellikle varsayılandır ve genellikle "hata ayıklama" ve "ayrıntılı" günlük düzeylerinin kapalı olduğundan emin olmanızı gerektirir; ince detay, günlüğünüz çok ayrıntılı. Ek olarak, alt süreci kontrol et ve talep sınırlarını , muhtemelen gelen talepleri, IP başına bağlantıları ve izin verilen alt süreç sayısını azaltma .
Sunucunuz için ne kadar iyi yapılandırılmış ve o kadar iyi bir hazırlık yapıldığını söylemeye gerek yok, bu tür bir saldırı daha zor olacak. Özellikle RAM ve CPU ile cimri olmaktan kaçının. Arka uç veritabanları ve disk depolama gibi şeylere bağlantılarınızın hızlı ve güvenilir olduğundan emin olun.
Exploit tabanlı
Hizmetiniz, ulaştıktan sonra gizlice hızla çöküyorsa , özellikle de çökmeden önce gelen ve istek atipik olan veya beklenen kullanım örnekleriyle uyuşmayan bir istek modeli kurabilirseniz, bir istismara dayalı DoS yaşıyor olabilirsiniz. Bu, yalnızca bir ana bilgisayardan (hemen hemen her türlü internet bağlantısına sahip) veya birçok ana bilgisayardan gelebilir.
Bu, birçok bakımdan yüke dayalı bir DoS'a benzer ve temelde aynı nedenlere ve azaltmalara sahiptir. Tek fark, bu durumda, hatanın sunucunuzun israf edilmesine değil, ölmesine neden olmasıdır. Saldırgan, genellikle sıfırdan parazite neden olan ya da hizmetinizde bir şeye neden olan bozuk girdi gibi uzaktan kilitlenme güvenlik açığı kullanıyor.
Bunu yetkisiz bir uzaktan erişim saldırısına benzer şekilde yapın. Kaynak ana bilgisayarlara karşı güvenlik duvarı ve sabitlenebilirlerse, trafik türüne karşı güvenlik duvarı . Varsa, doğrulayıcı proxy'ler kullanın . Adli kanıtlar toplayın (trafiğin bir kısmını yakalamaya çalışın), satıcıya bir hata bileti gönderin ve kökene karşı suistimal şikayeti (veya yasal şikayet) göndermeyi düşünün.
Bir saldırı tespit edilebilirse, bu saldırıların gerçekleştirilmesi oldukça ucuzdur ve çok güçlü olabilirler, aynı zamanda izlenmesi ve durdurulması da oldukça kolaydır. Bununla birlikte, trafik bazlı DDoS'a karşı faydalı olan teknikler, istismara dayalı DoS'a karşı genellikle işe yaramaz.