Защита от ddos атак windows

22.04.23

Содержание:

• Что такое DDoS-атака на Windows?
• Типы DDoS-атак и их влияние
• Как Windows может стать целью
• Методы защиты от DDoS-атак
• Инструменты для защиты Windows-систем
• Реальные примеры атак и их последствия
• Рекомендации по улучшению безопасности
• Система IT-безопасности от DDoS
• Вопрос-ответ

Картинка с сайта: zscomp.ru

В эпоху цифровых технологий, когда практически каждый аспект нашей жизни зависит от компьютерных систем, вопросы безопасности становятся всё более актуальными. Одной из серьёзных угроз является способность злоумышленников перегружать системы, что может привести к значительным перебоям в работе и утрате данных. Эти атаки, нацеленные на нарушения нормального функционирования систем, представляют собой одну из наиболее опасных форм киберугроз.

Современные компьютеры и серверы часто подвергаются подобным атакам, которые нацелены на снижение их эффективности и доступности. Киберпреступники используют различные методы для создания чрезмерной нагрузки, что в итоге приводит к сбоям и отказам в работе важных сервисов. Уязвимости, позволяющие осуществить такие атаки, требуют тщательного анализа и разработки эффективных мер по защите.

Для обеспечения надежной защиты от таких угроз, необходимо учитывать как особенности атакующих методов, так и возможности современных средств безопасности. В данном разделе мы рассмотрим ключевые аспекты, касающиеся защиты от таких атак, и предложим рекомендации по укреплению системной безопасности для предотвращения возможных инцидентов.

Что такое DDoS-атака на Windows?

В условиях современных угроз кибербезопасности, компьютерные системы могут стать целью целенаправленных действий, направленных на их перегрузку и нарушение нормальной работы. Это происходит, когда злоумышленники используют множество компьютеров для создания искусственной нагрузки на систему, что может привести к её недоступности для легитимных пользователей.

Картинка с сайта: zscomp.ru

Такие атаки могут быть особенно разрушительными для платформ, которые широко используются в корпоративных и личных целях. Когда ресурсы системы перегружаются, это может вызвать замедление работы или полный отказ в обслуживании. В результате пользователи сталкиваются с трудностями в доступе к необходимым ресурсам или сервисам.

• Атака с использованием ботнетов: нередко злоумышленники используют сеть заражённых компьютеров для генерации большого объема запросов к целевой системе.
• Использование уязвимостей: в некоторых случаях атакующие могут эксплуатировать известные уязвимости в программном обеспечении для увеличения эффективности своей атаки.
• Системы защиты: современные методы защиты включают использование фильтров и средств мониторинга для предотвращения перегрузки ресурсов системы.

Эффективная защита от подобных атак требует комплексного подхода, включая своевременные обновления программного обеспечения и использование специализированных решений для защиты от нежелательной нагрузки.

Типы DDoS-атак и их влияние

Картинка с сайта: zscomp.ru

В современном цифровом мире существует множество способов, которыми злоумышленники могут нацеливаться на сетевые ресурсы, чтобы нарушить их нормальное функционирование. Эти методы могут значительно варьироваться в зависимости от целей атакующих и используемых технологий. Каждый тип нападения имеет свои особенности и может оказывать различное влияние на целевые системы, от полного прекращения их работы до снижения эффективности работы.

Один из наиболее распространенных методов включает в себя перегрузку целевого сервиса большим количеством запросов, что может привести к его отказу в обслуживании. В других случаях атакующие могут пытаться замедлить работу системы, используя более сложные техники, которые затрудняют нормальное взаимодействие с пользователями. Эти атаки могут быть направлены как на крупные корпоративные сети, так и на отдельные пользователи или веб-сайты.

Каждый из видов таких нападений имеет свои особенности в плане реализации и воздействия, поэтому понимание их характеристик и последствий является ключевым для разработки эффективных стратегий защиты и восстановления систем после инцидентов.

Как Windows может стать целью

Картинка с сайта: zscomp.ru

Операционные системы, широко используемые в современном цифровом мире, не застрахованы от угроз и атак, которые могут привести к их временной или полной недоступности. Вредоносные действия направлены на создание перегрузок и нарушений в работе таких систем, что может существенно повлиять на их производительность и доступность для пользователей. Злоумышленники ищут способы эксплуатации уязвимостей в программном обеспечении для того, чтобы вызвать сбои и затруднения в функционировании компьютерных систем, используемых на различных устройствах.

Один из наиболее распространенных способов, с помощью которого операционные системы могут стать целью атак, включает в себя использование уязвимостей в сетевых протоколах и приложениях. Злоумышленники могут направлять значительные объемы запросов, чтобы перегрузить ресурсы системы, что приведет к нарушению её нормальной работы. Это может быть вызвано как программными ошибками, так и целенаправленными действиями, направленными на нарушение стабильности работы компьютеров.

Методы защиты от DDoS-атак

В условиях современного интернета особенно важным становится обеспечение надежной защиты от различных форм атак, которые могут привести к перегрузке и сбоям в работе систем. Эффективные меры предосторожности и методы нейтрализации угроз помогают минимизировать риски и поддерживать стабильность работы сетевых ресурсов.

Картинка с сайта: zscomp.ru

Первый важный шаг – это внедрение систем мониторинга, которые позволяют в реальном времени отслеживать и анализировать входящий трафик. Эти системы могут обнаруживать аномальные активности и своевременно реагировать на подозрительные всплески нагрузки.

Вторым значимым методом является использование решений для фильтрации трафика. Они позволяют блокировать нежелательные запросы до того, как они достигнут целевых серверов, тем самым снижая их нагрузку.

Третья мера – это распределение нагрузки. Включение дополнительных ресурсов и серверов помогает распределить входящие запросы по нескольким узлам, что снижает вероятность перегрузки одного конкретного узла.

Также важно отметить, что регулярное обновление программного обеспечения и настройка защитных механизмов помогают поддерживать высокий уровень безопасности и защищенности.

Инструменты для защиты Windows-систем

В условиях растущих угроз киберпространства важно иметь надёжные решения для обеспечения безопасности ваших вычислительных систем. Современные утилиты и программы способны эффективно защищать от различных видов атак, включая сетевые угрозы и вредоносные программы. Эти инструменты могут предлагать как базовые, так и расширенные возможности для мониторинга и предотвращения потенциальных рисков.

Реальные примеры атак и их последствия

Атаки на информационные системы могут иметь серьезные последствия для организаций и частных пользователей. Они могут нарушить работу ключевых сервисов, привести к финансовым убыткам и создать проблемы с репутацией. Рассмотрим несколько конкретных случаев, которые иллюстрируют масштабы ущерба и характер угроз.

Картинка с сайта: zscomp.ru

Одна из наиболее известных атак была направлена на крупную финансовую компанию, которая пострадала от массового потока запросов. Система компании оказалась перегружена, что привело к полной недоступности онлайн-сервисов в течение нескольких дней. Это вызвало значительные убытки из-за потерянных транзакций и недовольства клиентов.

В другом случае атака затронула государственные учреждения, что вызвало сбои в работе важной инфраструктуры. Проводимые операции по управлению внутренними процессами были приостановлены, что повлияло на эффективность работы и безопасность данных.

Такого рода инциденты подчеркивают важность наличия надежных средств защиты и планов на случай чрезвычайных ситуаций. Результаты таких атак могут быть долгосрочными, затрагивая как финансовое состояние, так и имидж организаций.

Рекомендации по улучшению безопасности

Обеспечение надежности и защиты систем от различных угроз требует комплексного подхода. Для повышения устойчивости к атакам и уязвимостям важно внедрить ряд стратегий и мероприятий, направленных на защиту данных и поддержание целостности ресурсов. Каждый шаг в этом направлении способствует укреплению безопасности и снижению рисков.

Картинка с сайта: zscomp.ru

1. Обновление программного обеспечения: регулярное обновление системных компонентов и приложений позволяет устранять известные уязвимости. Обновления часто включают исправления безопасности, которые помогают предотвратить эксплуатацию слабых мест в программном обеспечении.

2. Использование защитных решений: установка и настройка надежных антивирусных программ и межсетевых экранов существенно увеличивает защиту от вредоносного ПО и несанкционированного доступа. Эти инструменты помогают мониторить и блокировать подозрительную активность в реальном времени.

3. Контроль доступа: внедрение строгих правил доступа и авторизации помогает защитить критические данные от несанкционированного использования. Настройка прав пользователей и учетных записей обеспечивает контроль над тем, кто и какие действия может выполнять в системе.

4. Регулярное резервное копирование: создание резервных копий данных позволяет восстановить систему и информацию в случае атак или других инцидентов. Хранение резервных копий в безопасных местах предотвращает потерю данных и минимизирует последствия потенциальных атак.

5. Обучение пользователей: обучение сотрудников основам безопасности и осведомленности об угрозах помогает предотвратить случайные ошибки, которые могут привести к компрометации системы. Важность осторожного обращения с подозрительными ссылками и вложениями нельзя переоценить.

Применение данных рекомендаций способствует значительному улучшению безопасности и защите ресурсов от потенциальных угроз, обеспечивая стабильную и безопасную работу систем.

Система IT-безопасности от DDoS

Современный бизнес все чаще сталкивается с такими угрозами, как DDoS-атаки, мошенничество, взломы и блокировка корпоративной информации. Эти риски несут серьезные финансовые потери, часто исчисляемые миллионами рублей. Компания ZSC предлагает своим клиентам надёжное решение — комплексную систему IT-безопасности, которая эффективно защищает от всех типов цифровых угроз.

Основой нашей системы безопасности является предотвращение несанкционированного доступа из внешней сети в корпоративную. Мы создаём непроницаемый барьер, который не позволяет неавторизованным данным и пользователям проникнуть внутрь вашей инфраструктуры.

Что входит в наш комплекс IT-решений?

• Защита сети снаружи: доступ возможен только через надёжные VPN-каналы.
• Полный аудит существующих правил доступа с целью устранения уязвимостей.
• Тонкая настройкаFirewall для эффективного управления трафиком и защиты данных.
• Интеллектуальная балансировка интернет-каналов для стабильной работы сети.
• Автоматическое обновление сетевого оборудования и чёткое разграничение прав доступа.

Мы предлагаем комплексную защиту, которая полностью закрывает все возможные лазейки для внешних угроз. Если вы хотите обезопасить свой бизнес от кибератак, обратитесь в ZSC. Мы разработаем и внедрим решение, которое идеально подойдет именно вам.

Все подробности безопасности, которую можете получить, читайте статью«Безопасный доступ в сеть».

Вопрос-ответ

Какие признаки могут указывать на то, что ваш сервер Windows подвергся DDoS-атаке?

Основные признаки DDoS-атаки на сервер Windows включают необычно высокий уровень трафика, замедление работы системы или отдельных приложений, частые сбои и ошибки, а также непредвиденные задержки в сети. Вы также можете заметить резкое увеличение использования сетевых ресурсов или процессов, которые потребляют много ресурсов. Мониторинг сетевого трафика и использование специализированных инструментов для анализа могут помочь определить, что ваш сервер подвергся атаке. Важно также обратить внимание на необычные сообщения в журналах событий Windows, которые могут указывать на проблемы с сетевыми соединениями или перегрузку системы.

Какие меры можно предпринять для защиты серверов Windows от DDoS-атак?

Защита серверов Windows от DDoS-атак требует комплексного подхода. Во-первых, важно использовать надежное средство защиты от атак, такое как специализированное программное обеспечение для защиты от DDoS. Во-вторых, можно внедрить решения для фильтрации трафика, такие как сетевые экраны и системы предотвращения вторжений. Также рекомендуется настроить балансировщики нагрузки, которые помогут распределить трафик по нескольким серверам, уменьшая нагрузку на один конкретный сервер. Кроме того, важно регулярно обновлять системы и применять патчи безопасности, чтобы устранить известные уязвимости. Не забывайте также про резервное копирование данных и создание планов реагирования на инциденты, чтобы минимизировать последствия атаки.

Можно ли предотвратить DDoS-атаку, или только уменьшить ее последствия?

Предотвратить DDoS-атаку полностью может быть сложно, так как атаки могут быть достаточно масштабными и сложными. Однако можно значительно уменьшить вероятность успешной атаки и её последствия. Это достигается путем внедрения различных мер предосторожности, таких как использование фильтров трафика, повышение устойчивости серверов, настройка систем предотвращения атак и мониторинг сети. Регулярное обновление программного обеспечения и своевременное реагирование на угрозы также помогают улучшить защиту. Поддержка провайдеров облачных услуг, предлагающих услуги защиты от DDoS-атак, может стать дополнительной мерой по повышению безопасности.

Какие инструменты и программное обеспечение могут помочь в защите Windows-серверов от DDoS-атак?

Для защиты Windows-серверов от DDoS-атак можно использовать различные инструменты и программное обеспечение. Одним из таких инструментов являются специализированные решения для защиты от DDoS, такие как Cloudflare, Arbor Networks или Akamai Kona Site Defender, которые предлагают продвинутые возможности фильтрации и распределения трафика. Также можно использовать антивирусные программы и системы предотвращения вторжений (IPS), такие как McAfee или Symantec, которые имеют функции защиты от сетевых угроз. Настройка брандмауэров и сетевых экранов, таких как Windows Defender Firewall или сторонние решения, также играет важную роль в предотвращении несанкционированного доступа и управления трафиком. Кроме того, важно использовать системы мониторинга и анализа трафика, такие как Wireshark или SolarWinds, для своевременного обнаружения и реагирования на подозрительные активности в сети.

Читайте также:

• Защита WiFi-сети от DDoS-атак
• Защита от DDoS-атак на Ubuntu с помощью эффективных методов
• Эффективная защита от DDoS-атак с помощью прокси
• Эффективные средства защиты от DDoS атак
• Эффективные методы защиты от DOS и DDoS атак
• Эффективные методы защиты от DDoS атак на IP-адреса
• Как защититься от DDoS-атаки по IP-адресу
• Эффективная защита от DDoS атак с помощью Firewall
• Как защитить сервер от DDoS атак

Время на прочтение5 мин

Количество просмотров28K

Картинка с сайта: habr.com

По статистике, около 33% компаний попадают под DDoS-атаки. Предсказать атаку невозможно, а некоторые из них могут быть действительно мощными и достигать 300-500 Гб/с. Для того чтобы обезопасить себя от DDoS-атак можно воспользоваться услугами специализированных сервисов. Не все владельцы сайтов знают, куда бежать, если попал под атаку — так что я решил собрать несколько вариантов в одном топике.

Примечание: при подготовке к посту использовались англоязычные материалы и публикации на Хабре

Cloudflare

Один из самых известных защитных сервисов. При использовании тарифов FREE и PRO можно рассчитывать на базовую защиту от DDoS-атак. Для более надёжной защиты от атак уровней 3, 4 и 7 нужно подключить бизнес или корпоративный аккаунт.

В Cloudflare фиксированная оплата, то есть независимо от того сколько и каких уровней будут атаки, клиент платит одну и ту же сумму. Среди клиентов этого сервиса такие крупные компании, как Nasdaq, DigitalOcean, Cisco, Salesforce и Udacity.

Сеть Cloudflare представлена в 102 датацентрах с пропускной способностью более 10 Тбит/с и способна устранять любые атаки, а также отражать DNS и Smurf-атаки. У сервиса также есть круглосуточная служба экстренной помощи, куда можно обратиться во время атаки.

Incapsula

Этот сервис предлагает комплексную защиту от атак различных типов. Сервис может работать постоянно или по запросу и обнаруживать любые атаки. Сеть Incapsula состоит из 32 дата-центров с пропускной способностью в 3 Тбит/с. У Incapsula есть пробная версия для бизнеса c SSL протоколом, CDN и WAF, которая защитит от DDoS-атак.

На случай, если атака уже совершена и счёт идёт на минуты, можно воспользоваться сервисом экстренной помощи Under Attaсk.

Akamai

Этот сервис один из лидеров в сфере обеспечения безопасности и CDN. По заявоениям руководства Akamai, сервис может справиться с атакой в 1,3 терабита в секунду.

Этот сервис построен на интеллектуальной платформе Akamai и оказывает поддержку круглосуточно. Защитить сайты можно от всех известных атак, включая зашифрованный трафик. У Akamai 1300 сетевых адресов более чем в 100 странах.

Qrator

Один из наиболее известных российских ресурсов по борьбе с DDoS, ведет блог на Хабре. Особенностью работы системы является «прозрачность» для легитимных пользователей — их она выявляется с помощью алгоритмов умной фильтрации, не заставляя вводить капчу или другим образом подтверждать свою «легитимность».

Кроме того, даже при необходимости отражения атаки на уровне приложений (7 уровень модели OSI) не требуется тонкой настройки продукта — при обнаружении атаки система перейдет в нужный режим автоматически.

Для подключения защиты Qrator нужно изменить A-запись сайта. К недостаткам можно отнести достаточно высокую стоимость использования продукта, но компания предоставляет SLA (если уровень услуги не обеспечен, платить не обязательно) и бесплатный тестовый период в семь суток.

AWS Shield Advanced

Сервис Shield предназначен для защиты приложений, работающих на платформе AWS. Он бесплатный, однако, для продвинутой защиты стоит перейти на тариф Shield Advanced. В продвинутую версию добавлена проверка сетевого потока и мониторинг трафика прикладного уровня, защита от большего количества атак, блокировка нежелательного трафика, анализ после атаки и круглосуточное время работы.

Все эти службы защиты от DDoS-атак предназначены для блоггеров, электронной коммерции, малого и среднего бизнеса. Для бизнеса более крупных масштабов существуют другие сервисы, с более высоким уровнем защиты и большим функционалом. Вот некоторые из них: Сети ARBOR, Neustar, Rackspace, Akamai, F5 Silverline и Radware.

King Servers Anti DDoS

Еще один российский проект со своим блогом на Хабре. Поскольку King Servers — это хостинг-провайдер, то и защитный инструмент компании «заточен» под нужды пользователей хостинга. Защита предоставляется в двух вариантах — при аренде оборудования в определенном дата-центре оно сразу попадает в зону фильтрации (защищенный хостинг). Если площадка в этой зоне по каким-то причинам не подходит, остается вариант удаленной защиты, при которой размещать оборудование в дата-центре компании не нужно.

Компания дает гарантию безопасности от SYN Flood, UDP/ICMP Flood, HTTP/HTTPS-атак, фильтрацию грязного трафика до 1 ТБит/с — чистый трафик выделяется и направляется на сайт пользователя. Пользователям не нужно самим заниматься настройками, эту задачу берет на себя круглосуточная служба поддержки, которая отрабатывает и заявки на кастомизацию сервиса.

BeeThink Anti-DDoS Guardian

Этот инструмент защищает серверы Windows от большинства DoS и DDoS-атак: SYN, IP flood, TCP flood, UDP flood, ICMP flood, HTTP-DDoS, атак 7 уровня и многих других.

Сервис BeeThink совместим с Windows 10, Windows 8, Windows 7, Windows 2016, Windows 2012, Windows 2008, Windows 2003, Windows 2000, Windows XP и Vista.

Помимо защиты от DDoS-атак сервис в режиме реального времени проводит мониторинг сетевых операций, поддерживает разные форматы IP-адресов, поддерживает black и white листы, ищет удалённые IP-адреса и информацию о их владельцах. Базовый тариф стоит $99,95.

Sucuri

Этот сервис предоставляет защиту для любых сайтов: WordPress, Joomla, Drupal, Magento, Microsoft.Net и других.

Sucuri предоставляет антивирус и межсетевой экран для сайтов, в которые включена защита от DDoS. Также сервис обнаруживает и удаляет вредоносные программы, повышает производительность сайтов, защищает от брутфорс-атак и защищает от ботов. Минимальная стоимость месячного тарифа — $19,88.

Cloudbric

Этот инструмент работает с сайтами на всех платформах. Он очень удобен в использовании, имеет интуитивно понятный интерфейс, а его настройки занимают три минуты — нужно просто изменить настройки DNS. Информация об уровне защиты отображается на рабочей панели, что позволяет быстро выявить и устранить угрозу.

Разработчики гарантируют защиту от всех кибератак. Среди клиентов сервиса такие крупные компании, как Samsung, ING и eBay.

Стоимость использования зависит от объёма трафика, так за 10 Гб придётся заплатить $29, а за 100 Гб $149. Если объём трафика не превышает 4 Гб, сервисом можно пользоваться бесплатно.

Alibaba Anti-DDoS

Сервис китайского гиганта интернет-коммерции поможет справиться с атаками до 2 Тбит/с и поддерживает все протоколы: TCP, UDP, HTTP, HTTPS.

Сервис можно использовать не только для защиты сайтов, расположенных на хостинге Alibaba, но и размещённых на AWS, Azure, Google Cloud и других.

Также Anti-DDos Pro работает круглосуточно и в случае проблем, можно обратиться в службу поддержки к экспертам по безопасности.

StormWall Pro

Этот инструмент защищает от любых уровней DDoS-атак и поддерживает сайты на платформах Drupal, Joomla, WordPress, Bitrix, Magento, PrestaShop и других CMS.

Датацентры StormWall расположены в США, России и Европе и работают с минимальной задержкой. Настройка системы займёт всего несколько минут, а в случае трудностей, это могут сделать менеджеры компании. Любая техническая проблема, которая может возникнуть в течение работы, будет решена в короткие сроки — ответа техподдержки придётся ждать не дольше 15 минут.

Стоимость использования сервиса зависит от количества посетителей сайта. Так, за $69 можно обеспечить защиту сайта с 5000 посетителей в месяц, а за $300 купить безлимит.

Myra

Сервис Myra DDoS полностью автоматизирован и предназначен для защиты сайта, DNS-серверов и веб-приложений. Система подходит для всех типов CMS и интернет-магазинов.

Штаб-квартира Myra расположена в Германии, поэтому все данные обрабатываются согласно законом о конфиденциальности этой страны.

Предлагаю собрать в комментариях более полный список полезных инструментов по защите от DDoS. Какие сервисы знаете вы?

DDoS-атаки бывают разных типов — злоумышленники могут атаковать как сервер в целом, так и отдельный сайт. Сегодня мы подробнее остановимся на атаках уровня L7, его еще называют уровнем приложений. В случае с сайтами, такая атака направлена на http/https-сервер и проявляется, как правило, в том, что на веб-сервере запускается огромное количество процессов — нагрузка возрастает и сервер начинает тормозить или становится недоступен по причине исчерпания ресурсов.

Далее расскажем о том, как выявить проблемный сайт на сервере и восстановить работоспособность сайтов при атаках.

1. Диагностика на наличие атаки
   1. Определяем наличие атаки 
   2. DoS-атаки и выявление источника атаки по логам
   3. Простой, но важный способ снижения нагрузки от атак
2. Защита от DDoS-атак
   1. С помощью ispmanager
      1. Точечная блокировка в ispmanager
      2. Блокировка по странам
   2. Ручные настройки 
      1. Корректировка параметров apache
      2. Модули nginx
      3. Переменные sysctl
3. Подключение DDoS-защиты
   1. Если нужен сервис защиты, но бюджет не позволяет

Диагностика на наличие атаки 

В первую очередь нам необходимо понять, есть ли DDoS-атака.

Если это атака на канальном уровне, то, скорее всего, ваш сервер будет недоступен, так как сетевой канал забит, и попасть на сервер можно будет только через VNC.
Однако в данной статье мы говорим об атаках на веб-сервер — в этом случае, если есть возможность — зайдите на сервер по ssh.

Определяем наличие атаки

Командами ps и top вы можете выявить главный признак атаки — большое количество процессов httpd (apache2), php-fpm или nginx (реже). 

Если на сервер по ssh войти не удается, то вполне возможно еще удастся попасть через окно VNC в панели VMmanager (бессетевой доступ к VDS).

Также можно перезагрузить сервер через VMmanager и попробовать зайти по ssh. Если возрастает количество процессов веб-сервера, то необходимо остановить его либо, как вариант, можно «убить» все процессы веб-сервера командой:

killall -9 <имя демона-процесса веб-сервера>

Посмотреть, какой процесс запускается в качестве веб-сервера, можно с помощью команды (если утилиты netstat нет, то необходимо предварительно ее установить):

netstat -na | grep ':80 '

netstat -na

Посмотреть количество процессов веб-сервера и количество подключений на 80-ый порт:

ps aux | grep -с <имя демона-процесса веб-сервера>

netstat -na | grep -с ":80 "

Эти команды считают количество процессов веб-сервера и количество подключений на 80 порт (если у вас используется SSL-сертификат, то вместо “80” необходимо указывать “443”, оптимально использовать оба варианта).

Если количество соединений превышает среднестатистическое, вероятно, это DoS/DDoS-атака.

DoS-атаки и выявление источника атаки по логам 

DoS-атаки случаются даже чаще,чем DDoS, и если говорить максимально упрощенно, то их отличает то, что они:

• либо направлены с одного источника,
• либо не приводят к полной недоступности ресурса — только к высокой нагрузке,
• либо их основная цель использовать уязвимость на сайте или ином веб-ресурсе.

Посмотреть, какие источники подключений к 80-му (443-му) порту присутствуют, можно с помощью команды:

netstat -an | grep -E '\:80 |\:443 '| awk '{print $5}' | grep -Eo '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' | sort | uniq -c | sort -n

Команда выведет список по возрастанию в виде строк: количество подключений — ip-адрес источника.

Данная команда также поможет в выявлении DoS/DDoS. Tcpdump запишет в файл ddos.log первые 200 пакетов, которые соединений на 80/443 порту:

tcpdump -nr ddos.log | awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn

Если атака временно прекратилась или вы хотите узнать, откуда больше всего подключались, можно проанализировать access-лог веб-сервера командой:

grep `date +%d/%b/%Y` /var/www/httpd-logs/*.access.log  | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

Она выведет список 10 наиболее «активных» IP-адресов. Также по логу можно выявить, на какой сайт идет очень много обращений.

Выяснить, не было ли однотипных обращений, можно командой:

grep `date +%d/%b/%Y` /var/www/httpd-logs/*.access.log | awk '{print $1" "$7}' | sort | uniq -c | sort -rnk1 | head -n 10

Для этой же цели многие предпочитают использовать модуль mod_status.

Mod_status позволяет в реальном времени осуществлять мониторинг загрузки сервера.

Например, в случае apache 2.4 необходимо отредактировать файл /etc/apache2/mods-enabled/status.conf

Поменять секцию:

      <Location /server-status>

               SetHandler server-status

               Require local

               #Require ip 192.0.2.0/24

       </Location>

на

      <Location /server-status>

               SetHandler server-status

       </Location>

Затем проверить, чтобы следующая строка строка была не закомментирована, т.е. присутствовала в файле именно в таком виде:

ExtendedStatus On

Перезапустите apache.

Теперь по адресу http://ip-aдрес.сервера/server-status доступна статистика запросов к нему.

Нас интересует следующее:

0-0    86795    0/31/31    W     0.54    0    0    0.0    0.09    0.09     89.18.166.89    example.com    GET / HTTP/1.0

1-0    86796    0/19/19    W     0.30    0    0    0.0    0.06    0.06     79.140.78.68    example.com    GET / HTTP/1.0

2-0    86801    0/9/9    W     0.15    0    0    0.0    0.03    0.03     89.18.166.89    example.com    GET / HTTP/1.0

3-0    86802    0/9/9    W     0.14    0    0    0.0    0.03    0.03     82.12.33.48    myhost.com    GET /server-status/ HTTP/1.1

4-0    86805    0/4/4    W     0.07    1    0    0.0    0.01    0.01     79.140.78.68    example.com    GET / HTTP/1.0

5-0    86806    0/3/3    W     0.06    2    0    0.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

6-0    86807    0/4/4    W     0.07    0    0    0.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

7-0    86808    1/4/4    C     0.08    0    2015    3.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

8-0    86811    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0

9-0    86812    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0

10-0    86813    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0 

В данном случае атака идет пустыми запросами GET / к серверу example.com. Вам следует его отключить. Выполнить это лучше всего в панели управления: зайдя в раздел с сайтами, выбрать сайт (в данном случае example.com) и нажать сверху кнопку Файлы конфигурации, где вы увидите внизу конфигурационный файл nginx. Найдите отрывок такого вида:

server {

       listen       80;

       server_name  example.com www.example.com;

Пропишите ниже server_name строку

deny all;

Аналогично сделайте в секции, где указано listen 443;

Если у вас нет nginx, а только apache, то перейдите в корневую директорию сайта и создайте файл .htaccess с содержимым:

Deny from All

Теперь при обращении к сайту будет выдаваться ошибка 403 Forbidden, и нагрузка на остальные сайты значительно снизится.

Простой, но важный способ снижения нагрузки от атак

Как правило, флуд-боты обращаются по доменному имени, но могут перебирать и IP-адреса. В этом случае необходимо создать домен-заглушку. Но не забудьте для него в файлах конфигурации nginx указать deny all; (как в примере выше) или, если у вас только apache, в корневой директории заглушки добавить такой же файл .htaccess с содержимым:

Deny from All

Это не самый эффективный способ борьбы с атаками, но крайне полезный, так как он решает помимо этого много проблем с индексацией сайта, со сканом сайтов по IP-адресу и другие случаи. Однако далее мы рассмотрим уже целенаправленные способы фильтрации атак.

Защита от DDoS-атак

С помощью ispmanager

В панели ispmanager есть функция, позволяющая ограничить количество подключений к сайту с одного IP-адреса. При этом IP-адрес блокируется по всем портам, поэтому если ваш IP-адрес попадёт в бан, то вы потеряете связь с сервером на 5 минут.

Приступаем к настройке.

Заходим в ispmanager — раздел «Сайты» (в старом меню это «Домены-WWW-домены») — выделить домен — кнопка «Изменить». Ищем подраздел «Оптимизация» и «защита от DDos» и ставим галочку «Включить защиту от DDoS-атаки» — следом появятся параметры защиты от атаки.

Картинка с сайта: firstvds.ru

А именно:

«Количество запросов в секунду» — при достижении указанного количества подключений, IP блокируется только в Nginx.
«Максимальный размер всплеска» — при достижении указанного количества подключений, IP блокируется по всем портам на 5 минут.

Обратите внимание! Данный модуль всего лишь метод сглаживания слабых атак силами веб-сервера. Если атака серьезная и полностью выводит из строя веб-сервер своей нагрузкой, то данный модуль никак не спасет. Также не указывайте экстремально низкие значения (меньше 30-20), так как архитектура некоторых сайтов подразумевает, что при одном клике на сайте к серверу уйдет несколько запросов, следовательно, повышается риск заблокировать легитимного пользователя.

Точечная блокировка в ispmanager и блокировка по странам

Выше мы уже описывали варианты поиска источника нагрузки, когда атакующих IP-адресов немного. В этом случае их проще всего точечно заблокировать в панели ispmanager в разделе «Администрирование» — «Брандмауэр», нажав кнопку «Создать» и указав адрес:

Картинка с сайта: firstvds.ru

В этом же разделе есть возможность включить блокировку по определенным странам, нажав сверху кнопку «Страны». Стоит учитывать, что географическая привязанность IP-адресов всегда условна и может быть не точна. По этой причине для более-менее рабочей точности геораспределения адреса используются платные базы IP-адресов, в ispmanager это работает именно так, и блокировка будет доступна, если вы зарегистрируетесь и приобретете ключ доступа к базам сервиса Maxmind:

Картинка с сайта: firstvds.ru

Картинка с сайта: firstvds.ru

Ручные настройки

Чтобы точечно зафильтровать 80 порт для ip xxx.xxx.xxx.xxx, используйте команду:

iptables -A INPUT -p tcp --src xxx.xxx.xxx.xxx --dport 80 -j DROP

Эти и последующие команды можно и нужно аналогично использовать и для 443-го порта.
Можно использовать ipset (нужен соответствующий модуль):

ipset -N ddos iphash

iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set ddos src -j DROP

while true; do tail -10000 /var/www/httpd-logs/site.ru.access.log | sort | cut -f 1 -d " " | uniq -c | awk '($1>50){print $2}' | xargs -tl -I _ ipset -A ddos _;sleep 30; done

Закрываем icmp (поможет при icmp-flood):

iptables -A INPUT -p icmp -j DROP --icmp-type 8

Ограничение максимального числа «полуоткрытых» соединений с одного IP к конкретному порту (необходим соответствующий модуль):

iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP

Ограничение максимального числа соединений с одного IP к конкретному порту:

/sbin/iptables  -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 3 -j REJECT

Корректировка параметров apache

Если в качестве веб-сервера используется apache, в качестве дополнительных средств можно корректировать параметры, влияющие на количество создаваемых процессов в системе.

Откройте любым удобным текстовым редактором конфигурационный файл /etc/httpd/conf/httpd.conf (если Centos) и /etc/apache2/mods-available/mpm_prefork.conf (если Debian/Ubuntu):

<IfModule mpm_itk_module>

   StartServers          1

   MinSpareServers       1

   MaxSpareServers       1

   MaxClients          150

   MaxRequestsPerChild  100

</IfModule>

Измените MaxClients (максимальное число процессов) в меньшую сторону до количества процессов, которые не забивают ресурсы вашего сервера до отказа. Каждый процесс apache занимает в среднем 4-8 мегабайт памяти. А лучше узнать точно, сколько памяти в среднем на вашем сервере занимает один процесс apache/httpd так:

top -d 1 | grep -E 'http|apache' | awk '{a+=$7}END{print a/(1024*NR) " Mb"}'

Необходимо, чтобы суммарное количество помещалось в оперативной памяти.

Отредактируйте /etc/httpd/conf/httpd.conf (если Centos) и /etc/apache2/apache2.conf (если Debian/Ubuntu)

Следует уменьшить параметры:

Timeout 300

MaxKeepAliveRequests 100

до 60 и 50 соответственно, чтобы как можно скорее старые процессы apache прекращали свое существование.

Модули Nginx

Если панели ispmanager нет, но используется веб-сервер nginx, проверьте, чтобы nginx был собран с модулями http limit req и GeoIP. С их помощью аналогичным образом, как в панели ispmanager, только вручную в конфигурационных файлах, можно блокировать доступ для IP-адресов, превысивших ограничение на количество подключений. Также можно заблокировать и доступ по странам. Ввиду возможных особенностей ручных конфигураций, рекомендуем самостоятельно изучить документацию nginx по модулю HTTP limit req и GeoIP.

Переменные sysctl

Системные переменные, которые могут быть полезны, при DDoS.

ICMP-FLOOD

Команда ниже поможет при отражении атаки типа icmp-flood:

sysctl net.ipv4.icmp_echo_ignore_all=1

SYN-FLOOD

Уменьшает время удержания «полуоткрытых» соединений:

sysctl -w net.ipv4.tcp_synack_retries=1

Включает TCP syncookies:

sysctl -w net.ipv4.tcp_syncookies=1

Увеличивает размер очереди полуоткрытых соединений, по умолчанию — 512:

sysctl -w net.ipv4.tcp_max_syn_backlog=4096

Проверяет TCP-соединение каждую минуту. Если на другой стороне — легальная машина, она сразу ответит. По умолчанию — 2 часа:
sysctl -w net.ipv4.tcp_keepalive_time=60

Повторяет проверку через 20 секунд:

sysctl -w net.ipv4.tcp_keepalive_intvl=20

Количество проверок перед закрытием соединения:

sysctl -w net.ipv4.tcp_keepalive_probes=3

Изменяет время ожидания приема FIN:

sysctl -w net.ipv4.tcp_fin_timeout=10

Обратите внимание! Эти настройки будут работать до первой перезагрузки сервера, для постоянного использования параметры необходимо внести в системный конфиг sysctl.conf

Подключение DDoS-защиты

Этот раздел статьи должен был быть, пожалуй, самый первым, так как является самым эффективным и главным способом бороться с DDoS-атаками.
Как уже упоминалось, указанные выше меры могут спасти только от небольших атак или атак с источников-«одиночек». 

Для качественной защиты и избавления от дополнительных манипуляций стоит подключать профессиональную DDoS-защиту. Есть много сервисов, которые не привязаны к хостингу и могут помочь защитить ваш сайт.

Мы, в свою очередь, предлагаем готовое решение от наших партнеров DDoS-Guard по подключению защищенного канала (для атак на канальном уровне) и защиты L7 (для атак на уровне приложений), обе защиты по одной стоимости, подробнее здесь.

Если нужен сервис защиты, но бюджет не позволяет

Стоит упомянуть и еще один сервис, который допускает вариант бесплатной защиты от DDoS (как вы понимаете, «бесплатно» означает, что это будет не настолько же эффективно) — Cloudflare. 

Базово, на этом сервисе можно добавить свой домен, направив его на предоставляемые ими NS. Также по умолчанию, направив домен на их NS, в качестве А-записей на стороне Cloudflare предлагается указать «проксирующий» IP-адрес, который будет отдаваться по домену глобально и принимать на себя все запросы и пропускать их через фильтр бесплатной защиты. 

Помимо того, что более эффективная фильтрация будет платной, есть еще «узкое горлышко» в том, что сам VDS при наличии доменов с Cloudflare не избавляется от угрозы прямой атаки по IP-адресу. Как правило, IP-адрес скрывают, стараются, чтобы по доменам нигде не «светились» старые DNS-записи, ведущие сразу на IP-адрес VDS и т.д.

Но есть более кардинальное и рекомендуемое решение в данном случае — запретить в фаерволе доступ по 80-му и 443-му портам для всех адресов, кроме адресов из подсетей cloudflare, тем самым пуская к веб-серверу только трафик, уже прошедший фильтрацию сервиса.

На примере Iptables это можно сделать следующими командами:

iptables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP

ip6tables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP

wget -O - https://www.cloudflare.com/ips-v4 | while read subnet; do iptables -I INPUT -s $subnet -j ACCEPT; done

wget -O - https://www.cloudflare.com/ips-v6 | while read subnet; do ip6tables -I INPUT -s $subnet -j ACCEPT; done

Это только базовая настройка, которую можно кастомизировать, в том числе и для случаев без Cloudflare, ограничив доступ атакующих источников, или ограничить доступ к DNS, и по почтовым портам, добавив правила для доступа ваших рабочих и других легитимных IP-адресов и т.д.

В целом, грамотная настройка фаервола и веб-сервера может помочь справляться с базовыми атаками даже без участия Cloudflare. Однако никакие бесплатные решения не помогут от серьезных и мощных DDoS-атак.