В этой статье я хочу рассмотреть типичные методы распространения DDOS, обсудить причины и сделать заключение о том, как можно предотвратить распространение DDOS ботов и выйти на их владельцев Классическое распространение DDOS ботов происходит постоянно, в автоматизированном или даже можно сказать, автоматическом режиме, без непосредственного вмешательства владельца. Инструментом служит тот-же самый ботнет. Все начинается с того, что обычный пользователь заходит на инфицированный сайт. Причиной может стать спам рассылка по email или icq, но чаще всего это сайт adult направленности, который привлекает любителей «клубнички», а в это время заражает компьютеры посетителей. Почему сайт стал инфицированным? Этому может быть несколько причин, наиболее обыденные из которых – воровство ftp доступа к сайту и последующее его заражение, использование уязвимости в правах файловой системы виртуального хостинга для заражения «соседей», и вебмастера, клюнувшие на предложение разместить у себя на сайте «безвредный iframe». Почему компьютер пользователя заразился? Как правило зараженные компьютеры работают под взломанной MS Windows, на которую, по причине взлома, обновления не устанавливаются, а антивирусные программы, если и есть, то не могут распознать специально написанные программы «загрузчики», которые не несут в себе никакой угрозы, срабатывают не всегда, тем самым обманывая эвристический анализ, и служат для загрузки остальных частей DDOS бота. Программа начинает закачивать части, которые могут выполнять следующие действия, которыми конечно, весь список возможностей не ограничивается: ожидание команды от координатора DDOS воровство emqil адресов, паролей от ftp доступов, сохраненных на компьютере пользователя рассылка спама по icq листу контактов и списку email, якобы от имени пользователя инфицирование сайтов при загрузке файлов на ftp (на компьютере пользователя все выглядит чисто, а на хостинге уже лежат инфицированные страницы) Таким образом, зараженный компьютер уже выступает не только как пассивная зомби-машина, ожидающая команды, но еще может выполнять автономные действия, которые ведут к дальнейшему распространению ботнета. Получив в свое распоряжение несколько тысяч, а то и десятков тысяч зараженных зомби-машин, владелец может управлять ими через координатор DDOS атак. Координатор представляет собой несложный PHP скрипт, который связан с базой данных IP адресов и открывает для владельца форму, где можно указать сайт и тип атаки. Скрипт начинает посылать запросы ботнету и «пробуждает» его для атаки на сайт. При этом владелец больше себя никак не проявляет. В некоторых случаях, ботнеты сами могут периодически запрашивать у координаторов какие действия им нужно предпринять. Например BlackEnergy именно так и поступает, посылая POST запросы файлу stat.php Компьютеры пользователей, выступающие в роли DDOS ботов начинают постоянно обращаться к атакуемому сайту. Если при обычной посещаемости на сайт идет 5-10 запросов в секунду, то ботнет поднимает эту частоту в несколько порядков и сервер не может их всех обработать. Заказчик атаки получил желаемое – сделал сайт недоступным. Ситуация с атакой еще усугубляется тем, что DDOS бот может сделать так называемый time_wait запрос, который представляет собой соеденение с окном нулевого размера, который только держит соединение открытым, но информации не передает. Это позволяет атакующим забивать сервера, защищенные файрволом. Что же делать для предотвращения распространения ботнета? Пользователям – следить за обновлениями для свой ОС и антивируса, использовать менее уязвимый браузер -FireFox, Opera. Конечно, это легче написать, чем сделать, но тем не менее, может быть после прочтения этой заметки вы смените браузер. Хостинг провайдерам – более внимательно отслеживать логи запросов к сайтам, выявляя IP зомби-машин и владельца ботнета. Зараженные IP отсылать к ISP провайдерам, а IP владельцев – в соответствующие организации. При этом все должно быть максимально унифицировано, автоматизированно и безбумажно. ISP провайдерам и организациям по борьбе с к интернет-терроризмом – размещать на сайте формы, куда можно внести жалобы на IP адреса, замешанные в DDOS атаках В следующей статье я напишу о том, как можно защитить сервер самому от DDOS атаки среднего уровня. взято с hostinghelp.biz пс....всетаки относится к антиддосу
ты или переименуй статью/цикл статей или пиши уже конкретно "Вычисляем DDos"ера" теории везде навалом.
Для того, чтобы передающая сторона не отправляла данные интенсивнее, чем их может обработать приемник, существуют средства управления потоками- окна. Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит, до тех пор пока приемник не сообщит о большем размере окна.
Тоесть передача данных не происходит, но сервер тратит ресурсы на поддержание соединения? Я правильно понял?
