Hlavní navigace

CSIRT.CZ radí, jak se bránit útokům typu DDoS

Redakce 2. 2. 2012

V posledních týdnech se rozmáhá internetové vandalství v podobě vyřazování webových stránek z provozu metodou distribuovaného odmítnutí služby. Pracovníci Národního bezpečnostního týmu CSIRT.CZ, který již více než rok působí v rámci sdružení CZ.NIC, proto včera vydali doporučení pro správce internetových stránek.

V posledních týdnech se rozmáhá internetové vandalství v podobě vyřazování webových stránek z provozu metodou distribuovaného odmítnutí služby. Pracovníci Národního bezpečnostního týmu CSIRT.CZ, který již více než rok působí v rámci sdružení CZ.NIC, proto včera vydali do­poručení pro správce internetových stránek.

Skupina Anonymous využívá během svých útoků především nástroje HOIC,LOIC a SLOW­LORIS. Tyto nástroje generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů. To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

V tuto chvíli doporučujeme následující možnosti, které povedou ke snížení dopadu útoků:

MIF16

  • Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.
  • Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.
  • Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný ngin­x v módu reverzní proxy se zapnutou cache.
  • Doporučujeme také zkontrolovat zda na www stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučujeme kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástrojeNikto2. Doporučujeme také preventivně změnit hesla k databázím.

Jak již bylo zmíněno, zatím se akcí Anonymous neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream. 

Zdroj: CSIRT.CZ

Našli jste v článku chybu?
Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

DigiZone.cz: Skylink nabídne eSportsTV HD

Skylink nabídne eSportsTV HD

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Root.cz: Bezpečný router Omnia právě dorazil

Bezpečný router Omnia právě dorazil

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET