THELOCALHOST.RU
Защита сервера от DOS атак
В данной статье, в продолжение поста о хакерских атаках, я хотел бы поговорить о том, как наиболее эффективно провести защиту сервера от DOS- и DDOS-атак.
Но прежде, чем говорить о защите, нужно все-таки рассказать, хотя бы и в нескольких словах, что такое эти самые атаки.
Что такое DOS и DDOS.
DOS-атака (Denial of Service, отказ в обслуживании) – проведение удаленной атаки на сервер таким образом, чтобы он, вследствие множества полученных лже-запросов, перестал бы отвечать на реальные запросы пользователей. Данный тип атаки может быть выполнен как сам по себе (к примеру, когда сама цель атаки – положить сайт конкурента), так и одним из звеньев в получении полного контроля над удаленной системой со стороны злоумышленников.
Если же атака осуществляется не с одного, а сразу с нескольких компьютеров (их может быть несколько десятков или даже сотен тысяч), то такой тип атаки называют DDoS-атакой (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Компьютеры, которые осуществляют такой тип атаки, называются зомби, а сама сеть – ботнетом.
Иногда сами администраторы сайтов допускают своими непродуманными действиями DDOS-атаки в отношении своего сайта. Это может произойти, когда, например, располагается ссылка на суперпопулярном сайте на ресурс, который до этого не был очень популярным и располагался на низкопроизводительном сервере. Наплыв пользователей провоцирует отказ в обслуживании, и сервер, разумеется, падает.
Очень обидно, что борьба с DDOS-атаками ложиться практически всегда на плечи самого вебмастера, который зачастую не обладает нужными техническими познаниями, а провайдеры, которые могли бы помочь в решении проблемы, попросту часто забивают на эти атаки огромный болт.
Так что сейчас я опишу основные направления, в которых нужно двигаться вебмастеру для достижения максимального эффекта противодействия описываемым сейчас мною типам атак.
Как защитить свой сервер.
1. При выборе сервера добивайтесь, чтобы у вас была возможность удаленной перезагрузки сервера и вывод консоли управления им на другой IP-адрес, в том числе и по SSH-протоколу.
2. Постоянно обновляйте все имеющееся на сервере программное обеспечение, одним словом – латайте обнаруженные дырки и баги.
3. Маскируйте сервер какими только возможно методами. Прячьте его под NAT, блокируйте пинги. Если вам удастся хорошо замаскировать IP-адрес, то можете считать, что половина дела сделана, и сделана действительно на уровне.
4. Постоянно анализируйте пакеты, блокируйте нежелательный IP-адреса, читайте логи брандмауэра.
5. Применяйте не только софтовые, но и хардварные сетевые решения для защиты от зарекомендовавших себя производителей – CISCO, 3Com и т.д. Но при этом следует иметь в виду, что данные решения вылетят вам в весьма большую копеечку – от 10 000 долларов и практически до бесконечности.
6. Комбинируйте, усваивайте новую информацию, думайте наконец. Если постоянно и грамотно разбираться в сетевых решениях, знать, откуда ноги растут у тех или иных видов атак, то в большинстве случаев можно обезопасить свой сервер от почти всех из них, хотя и не со 100% вероятностью, но с 80-90% — это точно. Главное — побороть лень, и тогда все получится.
Это основные методы того, как проводится защита сервера от DOS-атак. Скажу еще, что в рамках одной статьи изложить все, что касается той или иной атаки, попросту невозможно.