Hlavní navigace

CSIRT.CZ radí, jak se bránit útokům typu DDoS

Redakce

V posledních týdnech se rozmáhá internetové vandalství v podobě vyřazování webových stránek z provozu metodou distribuovaného odmítnutí služby. Pracovníci Národního bezpečnostního týmu CSIRT.CZ, který již více než rok působí v rámci sdružení CZ.NIC, proto včera vydali doporučení pro správce internetových stránek.

V posledních týdnech se rozmáhá internetové vandalství v podobě vyřazování webových stránek z provozu metodou distribuovaného odmítnutí služby. Pracovníci Národního bezpečnostního týmu CSIRT.CZ, který již více než rok působí v rámci sdružení CZ.NIC, proto včera vydali do­poručení pro správce internetových stránek.

Skupina Anonymous využívá během svých útoků především nástroje HOIC,LOIC a SLOW­LORIS. Tyto nástroje generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů. To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

V tuto chvíli doporučujeme následující možnosti, které povedou ke snížení dopadu útoků:

  • Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.
  • Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.
  • Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný ngin­x v módu reverzní proxy se zapnutou cache.
  • Doporučujeme také zkontrolovat zda na www stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučujeme kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástrojeNikto2. Doporučujeme také preventivně změnit hesla k databázím.

Jak již bylo zmíněno, zatím se akcí Anonymous neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream. 

Zdroj: CSIRT.CZ

Našli jste v článku chybu?

2. 2. 2012 19:49

misko (neregistrovaný)

anonymous je hlavne banda pubescentov, co sa organizuju na IRC a pustaju software co im niekto natajrtlikuje. Takze ziadna vazna hrozba.

5. 2. 2012 13:06

Jan Starosta (neregistrovaný)

Ale to nejsou reseni, ktera se daji aplikovat v radu hodin a mohou byt financne narocna. A vyuziti cloudove reseni muze byt problematicke u nekterych z napadenych webu z pravniho i technickeho pohledu.

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů