В последнее время стали использовать для организации распределенной ДДОС следующий способ:
1. Рассылается почтовый вирус-червь (и одновременно троян)
2. На зараженном компьтере открывается порт 6667 (или какой нибудь другой) который ждет поступления команд от инициатора атаки.
3. Инициатор может в любое удобное для него время дать команду на посылку например обычных запросов на доступ к какому-нибудь сайту (порты 53 и 80).
Теперь берем количество зараженных компьютеров - (сотни, тысячи или десятки и сотни тысяч компьютеров) умножаем на количество запросов которые каждый из них может посылать и получаем некоторое количество запросов в секунду (атака малой интенсивности 5-12 тысяч запросов в секунду, средней 50-100, ну и больше).
Понятное дело ни один апач ни на одном отдельном компьютере - такое не вынесет. Но проблема то не в этом. Есть разные серверы и нецелесообразно для хостинга домашней страницы использовать ту же архитектуру и технику что и для майкрософт.ком.
Как фильтровать? Ведь запросы по сути ничем не отличаются от обычных - разве что частотой повторения с одного и того же ай-пи.
Как вычислить атакующего? Ведь атакуют ничего не знающие пользователи. Понятно, что если иметь доступ к их компьютерам, то по логам (если они ведутся) можно вычислить откуда приходит запрос на порт трояна и подавить источники, но ведь такого доступа нет.
Какие идеи по борьбе с таким видом атак?
|