Просто о DDoS-атаке
Просто о DDoS-атаке
Просто о DDoS-атаке
24.07.2008
В последние месяцы против многих информационных сайтов был использован способ атаки, который ранее использовался лишь против коммерческих ресурсов, - распределенные атаки на отказ в обслуживании (DDoS). В июне был выведен из строя оппозиционный сайт "НБПитер", а в мае пострадал сайт "Нацбол.Ру". Ранее атаками на отказ на длительное время оказались недоступны другие СМИ - сайты "Эха Москвы", "Грани.Ру", "Антрикомпромат.Ру" и другие. Без сомнения, что те, кому это выгодно, нашли новый способ неправовой борьбы с нелояльными сайтами.
Структура атаки общеизвестна: получая особую команду от хакера, бот-неты (компьютеры пользователей, подчиненные хакеру) начинают отправлять запросы на атакуемый сервер. В виду того, что практически невозможно определить, какой из компьютеров, направляющих запрос, является зомбированным, борьба с DDoS-атаками осложняется. При большом количестве запросов на открытие страницы, сервер исчерпывает процессорное время, оперативную память и допустимое число одновременных соединений с базой данных. После этого любые легальные запросы от пользователя перестают обслуживаться - сайт обрушивается, или попросту говоря - становится не доступным для пользователей.
Для борьбы с DDoS используют различные методы: от аппаратного обеспечения, берущего на себя заботу по обеспечению легальных соединений, до специализированного программного обеспечения. Вот краткий список способов борьбы с атаками на отказ:
установка специального оборудования за пределами сервера. Оно будет отслеживать установку соединений на начальном этапе, чем избавит сервер от значительной нагрузки. Таким образом легко избавиться от атак на уровне протовола TCP/IP - так называемых "SYN-flood", хотя и в других случаях это тоже помогает; установка специальных правил файрвола. Необходимо ограничить одновременное число соединений, закрыть для внешней сети внутренние сервисы, не принимать явно неверно составленные пакеты. Это позволит избавиться от лишней нагрузки, связанной с обработкой лишних запросов; установка специализированных программных комплексов. Существуют программные пакеты со включенными сигнатурами атак, они позволят отсечь уже известные атаки.
Комбинированные программно-аппаратные комплексы являются наиболее эффективной защитой от DDoS-атак, но их недостатком является высокая стоимость. Аренда защищенного сервера может обходиться до 1000 долларов в месяц.
Однако для обыкновенного сайта, не располагающего мощными серверными ресурсами, тоже есть свое решение для проблемы распределенной атаки. При создании сайта можно предусмотреть специальные меры уже на уровне движка. Основная цель: снижение общей нагрузки на севрер при обработке запросов. Причем, это будет полезно и для сайтов с большой посещаемостью, поскольку время отклика на запросы сократится. Можно использовать следующие меры:
оптимизация запросов к базе данных и запросов ко внешним ресурсам;
сохранение результатов предыдущей обработки скриптов для выдачи уже сгенерированного HTML-кода;
создание сессий для посетителей, таким образом отслеживая реальных пользователей;
отказ от использования базы данных в некоторых случаях.
Возможно использование и комбинированного варианта, когда эти способы будут сочетаться. В результате мы получим неплохую защиту от атак на отказ даже не прибегая к дорогостоящим методам.
Copyright © 2018-2022, ООО "ГРОТЕК"