Типичные методы распространения DDOS
 

В этой статье я хочу рассмотреть типичные методы распространения DDOS, обсудить причины и сделать заключение о том, как можно предотвратить распространение DDOS ботов и выйти на их владельцев

Классическое распространение DDOS ботов происходит постоянно, в автоматизированном или даже можно сказать, автоматическом режиме, без непосредственного вмешательства владельца. Инструментом служит тот-же самый ботнет.

Все начинается с того, что обычный пользователь заходит на инфицированный сайт. Причиной может стать спам рассылка по email или icq, но чаще всего это сайт adult направленности, который привлекает любителей «клубнички», а в это время заражает компьютеры посетителей.

Почему сайт стал инфицированным? Этому может быть несколько причин, наиболее обыденные из которых – воровство ftp доступа к сайту и последующее его заражение, использование уязвимости в правах файловой системы виртуального хостинга для заражения «соседей», и вебмастера, клюнувшие на предложение разместить у себя на сайте «безвредный iframe».

Почему компьютер пользователя заразился? Как правило зараженные компьютеры работают под взломанной MS Windows, на которую, по причине взлома, обновления не устанавливаются, а антивирусные программы, если и есть, то не могут распознать специально написанные программы «загрузчики», которые не несут в себе никакой угрозы, срабатывают не всегда, тем самым обманывая эвристический анализ, и служат для загрузки остальных частей DDOS бота.

Программа начинает закачивать части, которые могут выполнять следующие действия, которыми конечно, весь список возможностей не ограничивается:
ожидание команды от координатора DDOS
воровство emqil адресов, паролей от ftp доступов, сохраненных на компьютере пользователя
рассылка спама по icq листу контактов и списку email, якобы от имени пользователя
инфицирование сайтов при загрузке файлов на ftp (на компьютере пользователя все выглядит чисто, а на хостинге уже лежат инфицированные страницы)

Таким образом, зараженный компьютер уже выступает не только как пассивная зомби-машина, ожидающая команды, но еще может выполнять автономные действия, которые ведут к дальнейшему распространению ботнета.

Получив в свое распоряжение несколько тысяч, а то и десятков тысяч зараженных зомби-машин, владелец может управлять ими через координатор DDOS атак. Координатор представляет собой несложный PHP скрипт, который связан с базой данных IP адресов и открывает для владельца форму, где можно указать сайт и тип атаки.

Скрипт начинает посылать запросы ботнету и «пробуждает» его для атаки на сайт. При этом владелец больше себя никак не проявляет. В некоторых случаях, ботнеты сами могут периодически запрашивать у координаторов какие действия им нужно предпринять. Например BlackEnergy именно так и поступает, посылая POST запросы файлу stat.php

Компьютеры пользователей, выступающие в роли DDOS ботов начинают постоянно обращаться к атакуемому сайту. Если при обычной посещаемости на сайт идет 5-10 запросов в секунду, то ботнет поднимает эту частоту в несколько порядков и сервер не может их всех обработать. Заказчик атаки получил желаемое – сделал сайт недоступным.
Ситуация с атакой еще усугубляется тем, что DDOS бот может сделать так называемый time_wait запрос, который представляет собой соеденение с окном нулевого размера, который только держит соединение открытым, но информации не передает. Это позволяет атакующим забивать сервера, защищенные файрволом.
Что же делать для предотвращения распространения ботнета?

Пользователям – следить за обновлениями для свой ОС и антивируса, использовать менее уязвимый браузер -FireFox, Opera. Конечно, это легче написать, чем сделать, но тем не менее, может быть после прочтения этой заметки вы смените браузер.

Хостинг провайдерам – более внимательно отслеживать логи запросов к сайтам, выявляя IP зомби-машин и владельца ботнета. Зараженные IP отсылать к ISP провайдерам, а IP владельцев – в соответствующие организации. При этом все должно быть максимально унифицировано, автоматизированно и безбумажно.

ISP провайдерам и организациям по борьбе с к интернет-терроризмом – размещать на сайте формы, куда можно внести жалобы на IP адреса, замешанные в DDOS атаках

В следующей статье я напишу о том, как можно защитить сервер самому от DDOS атаки среднего уровня.



пс....всетаки относится к антиддосу

ты или переименуй статью/цикл статей или пиши уже конкретно "Вычисляем DDos"ера"

теории везде навалом.

Сорь.....чет я намудил.....спс за комент

ну это лабуда, коей и так достаточно в Сети. обрати внимание на название темы и содержание. о защите от ддоса тоже можешь не писать - инфы новой врядли скажешь, а повторяться не имеет смысла.
Лучше по сабжу что-то полезное напиши.

Интересно, есть ли какой нибудь реально работающий способ отразить DDoS атаку???

Это как? Что за окно нулевого размера? Обьясните пожалуйста.

Для того, чтобы передающая сторона не отправляла данные интенсивнее, чем их может обработать приемник, существуют средства управления потоками- окна.
Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит, до тех пор пока приемник не сообщит о большем размере окна.

Тоесть передача данных не происходит, но сервер тратит ресурсы на поддержание соединения? Я правильно понял?

Да, резервируя размер буфера под прием.

ТЫ потратил 1 минуту времени большинства пользователей АЧ.