Как производится DDoS-атака

DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.

Прежде всего хочу рассказать в этой статье как производится DDoS-атаки и методы, а также скрипты и программы с помощью которых можно защититься от них.

DDoS-атаку произвести очень просто, даже рядовому пользователю сети интернет, так как в сети есть полно сайтов, либо нужных людей которые могут с вами поделится ПО (программным обеспечением) и купить криптер либо заказать криптование вируса.
Начнём с того, что ПО представляет из себя вебадминку управления ботнетом и программу по созданию бота (вируса, может быть и не вирус а троян, либо червь), а также криптер который, криптует, скрывает код вируса от антивирусной программы. Бот создаётся с привязкой к определённому доменному имени, на котором и висит вебадминка. Распространить бота, достаточно просто, либо заказать распространение, либо самому. Варианты рапространения, достаточно банальны: порносайт с заражённым вирусом, либо мейл рассылка, либо в аське и тд. В данном случае я описал вариант создания ботнета - DDoS.
Вычислить атакующего, в прицнипе можно, для этого нужно взломать заражённый бот, в данном случае это ПК в инете, и проследить с какого айпи производится запрос. Дальше уже дело обретает интересный ход событий, вычисляем IP хаккера...

Есть также способ защиты от DDoS-атак - ответная атака на боты, в данном случае возможно парализовать ботнет.

И так вы уже понимаете как это всё происходит, а вот теперь поговорим о главном, о защите. Существует много скриптов и программ для защиты от подобных атак.

Популярные скрипты в Linux и FreeBSD

• Iptables
• IPFW
• nginx
• apache (с помощью некоторых модулей (mod_evasive), хотя это не выход их положения)
• Panoptis
• D-Guard Anti-DDoS Firewall

Программы в Windows

Автоматизированные антиддос программы

• FortGuard Anti-DDoS Firewall
• D-Guard Anti-DDoS Firewall
• Outpost Firewall pro
• Comodo

Не автоматизированные

• Kerio Winrout Firewall
• wipfw

Либо на уровне сетевого оборудования - CISCO.

Заметка:

Тоже самое, что и обычный, только выполняется ботнетом в сотни тысяч машин. Такой ботнет легко забивает магистральный канал в 100 Гбит/сек. Впервые такой DDoS был устроен в рунете в октябре 2010, в результате чего у УкрТелекома были серьезные проблемы с магистральными каналами (атаковали одного из их клиентов). Жертва, исправляя свои DNS-записи, смогла лишь временно положить ya.ru и насолить darpa.net, что было даже воспето в стихах. Способов защиты от столь масштабного DDoS не изобрел ещё никто.

В декабре 2010 года совместно с сотрудниками отдела «К» МВД РФ и зарубежными коллегами, которые занимаются IT-безопасностью, в зоне .RU был обнаружен огромный ботнет, который насчитывает порядка 600000 заражённых компьютеров-«зомби» по всему миру. Обнаруженный ботнет управляется с российских серверов (с каких именно, не уточняется), также удалось установить владельца ботнета, им оказался некто под ником «crazyese» (кроме того, что данный человек посещает форумы хакерской тематики и замешан в DDoS атаках на правительственные сайты разных стран, больше ничего не известно). После обнаружения ботнета владельцем этой сети заинтересовались спецслужбы разных стран.

9 февраля 2012 года в сеть попал ICQ номер (602720169) того самого «crazyese», номер в сети опубликовал один из конкурентов «crazyese». Тем не менее, владелец номера это и не скрывает, продолжая открыто предлагать свои услуги.

Недавно стало известно, что с центра управления ботнет-сети того самого «crazyese» были атакованы крупные интернет ресурсы, такие как lenta.ru, vkontakte.ru, yandex.ru, ozon.ru, nasa.gov, kremlin.ru, facebook.com, список сайтов можно перечислять до бесконечности. В конце апреля 2011 года, эксперты зафиксировали новую ботнет-сеть хакера под ником «crazyese», численность которой превышает 4.7 млн заражённых компьютеров по всему миру, 53% из всех «зомби-машин» располагаются в США. Численность новой обнаруженной ботнет-сети растёт с каждым днём. Так же сообщается, что найденный в декабре ботнет из более чем 600000 «зомби-машин» удалось ликвидировать, однако хакер по сей день в розыске.