DDoS атака заобикаля Qrator
Нека се регистрираме в такава услуга и да получим писмо за регистрация от него по пощата. Нека отворим източника на писмото и да видим:
Сега можем безопасно да атакуваме тази машина. Каналът на машината едва ли ще е повече от 1GB, но има дънни платки с вградени мрежови карти с 4 интерфейса наведнъж. Така че атаката ще бъде с резерв - 4GB. Ние няма да атакуваме приложението или nginx - можете просто да наводните канала с трафик. Въпреки факта, че попълваме само входящата посока към сървъра, не е страшно. Заявките от потребители също са входяща посока. 4 GB много ли са за DDoS атака? Да преброим. В Москва много хора имат добър интернет вкъщи - поне 40Mb. 4 GB/40 MB = 100 машини. Това са само 100 машини с бот - такъв ботнет може да се организира доста бързо (ако имате подходящите умения), а за човек, който постоянно се занимава с DDoS, това изобщо не е проблем. Съвременните ботнети са хиляди заразени машини.
Как ще бъде защитено?
Просто решение е да имате пощенска машина извън DC и извън бойната подмрежа, която ще работи като пощенско реле и ще прекъсва всички "Получени", които има. Не е трудно да направите това, в същия постфикс има опцията content_filter, където можете да посочите SMTP прокси за филтриране на съдържание. На всеки език можете лесно и просто да напишете smtp-прокси, което ще отреже всичко излишно в писмото. Честно казано, не познавам готови инструменти, но за мен задачата да напиша smtp-прокси в python или ruby е задача за няколко часа.
Откраднете DNS зона
Много е лесно да се защитите - всички технически DNS са поставени в отделен поддомейн и са защитени по-задълбочено. srv1.servers.example.com - нещо подобно.
непряка атака
Не е трудно да се заключи, че сайт без статика не е такъввърши работа. Обикновено услугите за защита от DDoS таксуват пари за трафик, така че статиката от главния домейн се прехвърля към CDN. Наводняването на CDN трафик е много трудна задача поради разпространението му. Но можете да видите какъв вид статика все още има на сайта. ОТНОСНО! Банерите се показват от левия сервиз и той не стои зад прокси защитник - това е просто късмет. Можете да качите канал в банерната система: js няма да се зареди, DOM Ready няма да се случи - ако има много js на сайта, е почти невъзможно да го използвате.
Това не е универсален начин, но може да работи там, където сайт без js не работи по принцип. Защитата от това също е максимално тъпа - асинхронен js за банери. Не можах - о, добре.
финансова атака
Тук намерихме интересен файл в CDN: cdn-1.example.com/static/video/hardporn.flv. Тежи цели 140 MB. Спомняме си, че прокси защитниците взимат пари за трафик. Откъде CDN ще вземе този файл? В прост случай с www.example.com/static/video/hardporn.flv. Нека проверим и се уверим, че работи. Така че това е страхотно. В прост случай се нуждаем от много малък ботнет, който просто ще изтегли този файл за няколко дни - без много натоварване, без да привлича вниманието на прокси защитник. Разбира се, това ще бъде излишък на предплатен трафик и компанията, която притежава сайта, ще трябва да бъде много тъжна.
Можете да изкривите тази атака малко - намерете XSS и залепете html5 видео с автоматично пускане и показване: няма. Външно нищо не се променя, но всеки потребител дърпа много трафик. Всеки потребител, за разлика от ботнет, не може да бъде филтриран.
Като цяло финансовите атаки са най-опасни за бизнеса. Или бизнесът плаща за огромен трафик, за да накара сайта да работи (и да привлече още повече трафик), или не плаща и услугата пада.
Защитата от това е проста до глупост - върнете 403от статика към всичко с изключение на CDN.
Мобилна API атака
Ако сайтът има и мобилно приложение, сега е модерно, значи модерен сайт. Имайки мобилно приложение, обикновено сайтът има и мобилен API. След като инсталирате приложението за себе си и събирате трафик с tcpdump (е, не е трудно да вдигнете wifi от точка до точка на вашия компютър), можете да намерите api-mobile.example.com. Може би поради желанието да спести пари, той също няма да стои зад прокси защитник, а ще гледа директно към сървъра. Е, IP адресът, от който се нуждаем, изгоря.
Защитата, както вече разбрахте, е проста - API трафикът трябва да преминава през прокси защитник.
Заключение
Всички тези методи са прости. Те не изискват задълбочено проучване на сайта - просто се натъкнете на него, те дори не изискват да получите черупка върху него. Не всички методи работят на всички сайтове, но на повечето сайтове поне един метод ще работи.
Защитата срещу DDoS атаки чрез защитници е добра, оправдава се финансово и технически. Остава задача за администраторите на сайта - но не си проспивайте IP!
Hardcore conf в C++. Каним само професионалисти.