Один хакер злится на нас и начал против нас DDOS-атаку. Я думаю, что он скрипач, использующий такие инструменты, как DarkComet; атака, вероятно, проста.
Я размещаю сервер на своем ПК. Сервер находится на моем публичном IP. Я использую роутер. На сервере есть порт, перенаправленный для подключения людей. Есть прокси и прочее, но я не знаю, как его настроить
Сервер популярен, и я не хочу его выключать.
Есть ли у меня способ остановить атаку или даже просто отсрочить ее?
Лучший способ справиться с DDoS-атаками - начать как можно дальше от вашего соединения; вы хотите отсечь такую атаку как можно ближе к источнику.
Во-первых, выясните, какие IP-адреса используются, кто они, и поговорите с интернет-провайдером на дальнем конце. Возможно, они не смогут помочь, если они находятся в чужой стране или разбросаны по всему миру, но если это изолированный регион, вам может повезти.
Если это тупиковый путь, вы можете попросить своего интернет-провайдера предоставить черную дыру для ряда IP-адресов. У большинства учетных записей потребительского уровня такой возможности нет, но спросить не помешает. Если, конечно, вы не нарушаете Условия использования (TOU) для этого провайдера, вообще запуская сервер. Вы бы признались, что использовали их связь так, как им не нравится. Они могут решить закрыть вас.
Если у вас динамический IP-адрес, вы можете попробовать вытащить аккумулятор и шнур питания из модема / маршрутизатора (подключенного к интернет-провайдеру, а не любого внутреннего, который у вас может быть), и подождать несколько минут. Надеюсь, вы продлите подписку с новым IP-адресом и сможете просто обновить свой DNS. DDoS-атакам потребуется некоторое время, чтобы понять, что вы переехали, хотя у ваших законных клиентов будет такая же проблема. Это займет несколько минут / часов, но, возможно, в конце концов вам будет лучше.
Если вы не можете получить поддержку провайдера или изменить свой IP-адрес, вам понадобится брандмауэр. Сходите в местный магазин и купите хороший аппаратный брандмауэр, если можете. Один с правилами отбрасывания, специфичными для типов трафика / IP-адресов / и т. Д. Это будет стоить вам дорого, но вы можете настроить брандмауэр, чтобы отбрасывать весь подозрительный трафик. Преимущество здесь заключается в том, что у большинства подключений ограничение восходящего потока намного меньше, чем ограничение нисходящего потока, поэтому, отбрасывая пакеты, вы сохраняете свою пропускную способность восходящего потока (идущую к вашим посетителям) для фактических посещений страницы, а не для пингов, наков, 404 и всего остального. продолжаться.
Вы можете попробовать программный брандмауэр, но он должен быть хорошим. Брандмауэр Windows просто не собирается сокращать его здесь. Вам нужно что-то вроде Linux, где вы можете настроить правила отбрасывания для IP-адресов, которые вас бомбардируют. Вы по-прежнему будете использовать большую пропускную способность нисходящего потока для своей сети, но ваш сервер сможет сделать передышку, пока ваша другая система берет тепло.
Вы также можете просто настроить другой виртуальный сервер на своем сервере с одним файлом, который перенаправляет (302) с порта по умолчанию 80 или 443 на нестандартный порт, и настраивать там свои службы. Обычные браузеры будут перенаправлены на новую службу без особых проблем при загрузке следующей страницы, в то время как боты, вероятно, продолжат работать с портом по умолчанию. Простое перенаправление HTTP требует намного меньшей пропускной способности, чем полноценная загрузка страницы, поэтому это может уменьшить последствия атаки. Это действительно зависит от того, насколько умны сценарии DDoS-атак. Они могут просто безвредно отскочить от 302-го, а это значит, что им придется значительно увеличить свою атаку.
Наконец, если ничего не помогает, просто выключите сервер на 10 минут и посмотрите, что произойдет. Сценарии DDoS могут надоесть и отвлекаться (маловероятно, но попробовать стоит). Кстати, если вы размещаете свой собственный сервер с подключением потребительского уровня, пора его обновить. Пакеты потребительского уровня не подходят для хостинга, потому что они имеют очень небольшие восходящие потоки (относительно) и практически не поддерживают DDoS, DNS, почтовые серверы и другие обычные проблемы.
Пятнадцать IP-адресов - это относительно небольшое число. Вы можете заблокировать тех, кто использует программное или аппаратное обеспечение брандмауэра. Если он использует службу VPN или прокси-сервера, которая делает вид, будто исходный IP-адрес принадлежит адресному пространству, принадлежащему объекту в Бельгии, и вы не ожидаете, что оттуда будет поступать какой-либо законный трафик, вы можете заблокировать весь выделенный диапазон адресов. этому субъекту, по крайней мере, на период времени. Всегда существует риск того, что вы также можете заблокировать некоторый законный трафик, но этот риск может быть перевешен необходимостью сделать ваш сервер доступным для других законных пользователей.
Например, предположим, что я вижу 218.65.30.38 как атакующий IP-адрес, который на самом деле является адресом, с которого я видел, как кто-то пытался взломать один из моих собственных серверов, пытаясь угадать пароль. Я мог сначала пойти в Американский реестр интернет-номеров (ARIN) сайт на http://arin.net. В поле «Искать в whois» я бы поместил 218.65.30.38, что показало бы, что диапазон адресов 218.0.0.0 - 218.255.255.255 назначен другим Региональный интернет-реестр (RIR), в этом случае RIR - это Азиатско-Тихоокеанский сетевой информационный центр (APNIC), организация, назначающая блоки IP-адресов для этого региона. Тогда я мог перейти на сайт APNIC по адресу http://www.apnic.net и введите 218.65.30.38 в поле «Поиск Whois». Это говорит о том, что блок 218.64.0.0 - 218.65.127.255 назначен China Telecom. Если я не ожидаю легитимного трафика на сервер из Китая, я могу просто заблокировать весь диапазон адресов 218.64.0.0 - 218.65.127.255, поэтому, если злоумышленник исходит с 218.65.127.58, а не с 218.65.30.38, он все равно заблокирован. Этот метод может не работать для вас в зависимости от поставщика услуг VPN или прокси-сервера, который он использует, но вы можете подумать об этом, если знаете, например, что весь ваш законный трафик идет из Канады. Даже тогда это могло бы стать похоже на бить крота некоторое время в зависимости от того, насколько глобальной может быть сеть у поставщика прокси / VPN-услуг, если злоумышленники могут переключиться на VPN или прокси-сервер, управляемый поставщиком в другой стране, и быстро понять, что их блокируют, если они используют сервер в конкретная страна, но если они Сценарий детишек они могут этого не осознавать.
В качестве альтернативы, если вы управляете веб-сайтом, но трафик DDOS представляет собой какой-либо другой тип трафика, то есть не трафик HTTP / HTTPS на порт 80 или 443, тогда вы можете заблокировать этот трафик до вашего сервера на брандмауэре, который вы управлять, если явно нет законной необходимости для какой-либо внешней системы взаимодействовать с вашим сервером через порты или использовать протоколы, которые используют злоумышленники.
Я также предлагаю посмотреть, какой организации / компании назначены IP-адреса, используемые злоумышленниками; вы можете использовать технику, о которой я говорил выше, или просто перейти на веб-сайт, предоставляющий услуги whois. Например, вы можете использовать Поиск Whois. Возможно, что контактная информация, которую вы найдете там, не будет идентифицировать поставщика услуг VPN или прокси-сервера, поскольку организация, назначившая адресное пространство RIR, могла раздать меньшие части адресного пространства другим, например, компании, предоставляющей службы VPN или прокси-сервера, но вы можете попытаться связаться с организацией и уведомить их о проблеме. Если вы можете идентифицировать прокси-сервер / поставщика VPN и можете найти контактную информацию на их веб-сайтах, законный провайдер должен с неодобрением смотреть на любого клиента, использующего его сервис для таких атак. Многие укажут в своих условиях обслуживания, что использование их службы для таких гнусных действий является нарушением их условий обслуживания, в результате чего злоумышленник немедленно прекращает действие своей учетной записи и теряет все средства, которые он уже потратил на обслуживание.
Если он использует Темная комета RAT для управления компьютерами, принадлежащими отдельным пользователям, поиск IP-адресов через поиск whois должен привести к провайдеру. Обращение к Интернет-провайдеру может привести к тому, что Интернет-провайдер заблокирует весь доступ к сети из зараженной системы, и, как мы надеемся, приведет к тому, что пользователь узнает, что кто-то другой может удаленно управлять его или ее системой, и примет меры для ее дезинфекции.