
- Блог прокапитал217
- Академия управляющих (prop)188
- Форум трейдеров
- Начинающим трейдерам415
- Торговые стратегии2,669
- Торговые роботы, советники, индикаторы561
- Новости рынков784
- Волновой анализ167
- Аналитические обзоры1,001
- Брокеры Форекс153
- Психология торговли и методы управления капиталом98
- Бинарные опционы22
- Фьючерсы, опционы, акции (CFD)529
- Форум инвесторов
- Начинающим инвесторам91
- ПАММ портфели (дневники инвесторов)1,836
- Инвестирование в ПАММ счета601
- Инвестирование в ЛАММ, МАММ, копирования сделок31
- Краудфандинг (Инвестируем в стартапы)20
- Прочие виды инвестирования184
- Истории успеха15
- Сервисы
- Электронные платежные системы81
- Банки13
- Кредитные организации6
- Доска объявлений869
- Офф-топ
- Биржа "На каблучках"141
- Флудо-Домна93
- Поздравительные открытки195
- Общение на свободные темы1,497


179
cейчас с нами
113,335
пользователей
25,504
постов
1,423,174
комментариев


Разное » 2011 склад » Ddos-атаки: коротко о важном
+ Подписаться
-
13Комментарии2Темы31Репутация ProНовичок
2 Медалей
07.02.2011, 02:50Ddos-атаки: коротко о важном
Но знаю, что некоторые организации пользуются услугами ЦОД за пределами РФ. Я предполагаю, что в такой ситуации большого выбора есть возможность найти более качественный и надёжный ЦОД.
Т.е. фактически мы приходим к тому, что если периметр не расковыривает https, то он может анализировать злыдней уровнем ниже (IP, TCP) и только. Что возвращает нас к тому, что периметр защищает от только от части атак.
Я полагаю, что капча(HTTP) -> access list -> ЛК(HTTPS) сделана для того, чтобы веб сервер не заморачивался на всякий там анализ трафика, а занимался своей работой. А капча - это анализатор свой/чужой. Если чужой долбится в капчу, то этот трафик анализирует периметр и принимает решение, блокировать вход на саму капчу, или нет. Если же это человек, или очень умный бот, которого не распознал периметр и который прошел через капчу, то access list открывается и дальше уже дело за сервером. И за технической поддержкой Броко.
Возможно редирект через капчу призван снять вредоносную нагрузку с основного сервера на вспомогательный. То есть те, кто долбится, долбятся сначала в сервер "фильтр", а потом, после прохода капчи, редиректятся на другой сервер - основной.
Да, схема "капча(HTTP) -> access list -> ЛК(HTTPS)" имеет место быть. Но мне кажется, что ACL или black/white list получают информацию запросом от веб-сервера, а не в результате анализа http трафика. То есть веб-сервер, определив успешный проход капчи направляет запрос на добавление в white list. Согласен, что слишком нагружать веб-сервер проверками не стОит, но по моему, в данном случае всё равно нагружен веб-сервер.
Я не знаю в деталях как у них реализован этот механизм защиты, но мне видится именно что то в этом роде.
Например можно:
- Ограничить общее количество запросов на соединение с сервером в секунду.
Этим мы снизим общую нагрузку. - Ограничить количество соединений с одного IP.
Этим мы не позволим каждому боту генерить слишком много запросов. - Каждый IP, который создаёт много соединений в секунду (ну например больше 5 соединений в сек.) блокировать.
Так мы отсечём бОльшую часть ботов. Мало кто из людей, при просмотре веб-сайта, производит больше соединений за секунду.
Это самое простое, что приходит в голову. Это всё можно сделать на периметре, на уровне протоколов TCP/IP.
Кроме того я бы заблокировал, для этого сервера, UDP и даже ICMP (как экстренные меры), что бы избежать атак на уровне этих протоколов. А так же заблокировал все протоколы верхнего уровня, кроме http и https (предполагаю, что это должно было быть сделано с самого начала).
Мне кажется, что Броко в какой-то момент потребовалась более комплексная защита, что они, на мой взгляд, и реализовали. По истечению полутора суток я уже мог попадать на этот форум. Многие ресурсы по давлением доссеров не могут решить свои проблемы неделями. Иногда вообще не могут решить свои проблемы.
Если я не ошибаюсь, Броко воспользовалось услугами одной организации, специализирующейся на защите от DDoS атак и создании высоконагруженных проектов (http://highloadlab.com).
Да, каждая цель имеет ценность, но одна цель бОльшую, другая меньшую.
Что касается "спортивного интереса": на этот счёт есть исследования разных организаций в области безопасности, которые показывают, что объём взломов ради спортивного интереса (и подобных целей) сократился в последнее время до ничтожных значений от общего объёма взломов. В подавляющем большинстве случаев это именно заказ за деньги с чётким намерением нанести вред жертве. Поэтому всё чаще встречается такие термины, как "кибер терроризм" и подобные.
Как говорил один эксперт по безопасности: "Раньше взломщики были в основном школьники (или студенты), которые производили взлом не имея конкретной цели, а именно из спортивного интереса и что бы похвастаться перед друзьями. Теперь в большинстве это серьёзные взрослые люди, которые производят целенаправленные взломы, имея конкретную вредоносную задачу и как правило по чьему-то оплаченному заказу.". - Ограничить общее количество запросов на соединение с сервером в секунду.