Какие способы защиты вы знаете?

От DDOS защититься практически невозможно. По крайней мере пока хороших способов не придумано.

Если ваш сервер ддосят можно спокойно его выключить и ложиться спать.

Более-менее действенное решение - это обеспечить ОГРОМНЫЙ запас мощностей сервера и канала, что стоит и огромных денег. Тогда среднестатистический ДДОС почти не страшен.

Могу Вас утешить тем, что ддосы - не самое распространенное явление, которое к тому же требует определенных вложений со стороны атакуюзего. В общем если вы не насолите оч. сильно какому-то крутому хакеру (или конкуренту), ддосить никто вас не будет.

Почему не придумали? Хорошенько фильтруйте входные переменные, если пишите сайт сами, и будет вам счастье... :) Выбирайте правильный движок, если не сами... :) В распространенных форумных движках почти все возможности для XSS надежно закрыты. Иначе везде (в том числе и здесь) такое бы творилось :)

Вообще смешной вопрос. Опять же - фильтруем переменные, используем правильные движки... :)

Об универсальных методах защиты мне ничего не известно. Почти наверняка возможно использование внешнего фаерволла с модулем обнаружения вторжений (intrusion detection), который опять же будет просто фильтровать входные переменные, если считает их подозрительныеми.

При желании можно самому написать дополнительную фильтрацию переменных, отдельным скриптом (буквально несколько pregmatch и все "подозрительные" входные данные загнутся) и с промощью mod_rewrite в Apache. Но судя по тому какие Вы задаете вопросы, это будет для вас несколько сложновато.

В общем, подытоживаю: все проблемы не из-за того, что "ничего хорошего не придумано для защиты", а от того что программисты, разрабатывавшие сайт, где-то допустили небольшую оплошность, недостаточно аккуратно обработав входящие переменные. Если бы программисты ИДЕАЛЬНО делали свою работу, то ни о каких атаках и речи бы не было. Но все мы люди, и у себя на сайтах я время от времени нахожу баги, которые могли бы повлиять на безопасноть.

Никаких конкретных CMS я советовать не буду, чтобы потом не оказаться крайним :) Выскажу на этот счет 2 соображения:
1) сильно распространенные CMS с открытым кодом почти не содержат ошибок, приводящих к проблемам с безопасностью. Но хороших хакер или программист, может очень внимательно изучить его исходники и найти лазейки. Потом появится эксплоит и эти CMS повалятся одна за другой, прежде чем появится обновление. Или прежде чем владельцы сайтов решат, что неплохо было бы обносить движок.
2) написанные на заказ CMS (я конечно подразумеваю что написанные хорошими программистами), могут потенциально содержать больше ошибок. Но поскольку изучать исходники никто не может, то и возможностей для успешных атак гораздо меньше. Этот способ ещё Керхгофф 100 лет назад назвал "security throw obscurity" - Безопасность посредством неясности.

Самый плохой вариант - это когда система с открытым кодом, но распростанена незначительно.

В общем мое мнение - либо выбирайте то, что бесплатно и сильно распространено, либо делайте на заказ.

Оба варианта обеспечат довольно неплохой уровень безопасности. Только не забывайте ставить обновления.

И не слушайте Вы байки про всякие там XSS и SQL injection. :) Нормальные программист таких ляпов не допускет.

Это сообщение отредактировал mvf23 - 06-10-2006 - 10:23

DDoS - Denial Of Service Attack, атака на отказ в обслуживании. Вкратце: это когда на сервер обрушивается огромное количество запросов со множества компьютеров с разных концов света, в результате чего сервер тратит все свои ресурсы на обслуживание этих запросов и становится недоступным для нормальных людей.

Вот тут подробней.

Это сообщение отредактировал JeyLo - 06-10-2006 - 13:54

с одного компа имеющего инет с широким канало можно замутить DDoS в 3 000 000 запросов одновременно,пробовали на канале в 16 мб\с загрузили сервак на 10% только

а что бы завалить,нужно не меньше 10 компов с широким каналом и анлимный трафф

Эти и отличается DDOS от просто DOS. Ещё одна D означает distributed. То есть распределенная. То есть запросы изут не с одного комптютера, а со множества.

Ещё очень многое зависит от того какие именно запросы слать. И один запрос иногда может нагрузить сервер на 50% :)

Да и кстати обычно DDOS атаки производятся не десятками, а сотнями и тысячами комптютеров обычно зараженных одним вирусом.

Это сообщение отредактировал mvf23 - 06-10-2006 - 14:12

Если уж "путевого" ничего не придумали )), то можно по старинке фильтровать переменные...

а ты думаеш это легко написать такова траяна и разослать что бы его неодин антивирус неспалил?
такие готовые затрояненые сети стоят очень дорого
да и я пример просто привел,мне если чесно,легче знакомых обучить по использованию самой общедоступной и бесплатной проги для ddos,ну кто знает реч идет о денио,чем писать трояна
например компов 15 с разных точек России,с хорошим широким каналом вполне хватает что бы свалить простинький форумок

ути какие мы все умные,вы говорите только про то что выложенно в инете,а все что в инете это для лохов,то что уже спалили
некто вам невыложит описалово на атаку которую еще неспалили
а по теме,вот случай кагда уязвимость позволяет удаленному пользователю произвести xss нападение:
это можно осуществить из за недастаточной обработки входных данных в параметре "сat" в различных сценариях,удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере атакуемого в контексте безопасности уязвимого сайта
а вот на это как раз и нет путевой защиты,фильтры непомагают,как ты некрути,тут главное грамотно все провернуть

Это сообщение отредактировал Ohne_Dich - 06-10-2006 - 18:31

всем он мне нравется,это один из небольших примеров

видать мы разговариваем на разные темы,вы смотрите со стороны програмирования и защиты,а я сооовсем с другой

не от одной атаки я невидел путевой защиты,вам кажется что вы защитились,а вас ломают,но вы это незнаете и некагда неузнаете

народ и ненадо сдесь пытатся умничать,надо обяснять так что бы простые,нечё в этом несоображающем,юзеры поняли

да кстати,там кто то писал что от ддоса нет защиты,он неправ,пусть в тырнете полазиет почитает,я нечего расписывать несабираюсь,патамушта ломает

Ржу - не могу. Выньте меня четверо из под стола. Откуда скопировал? :)

На тебе плюс в репутацию, за то что рассмешил! Пиши ещё! :)

Гыгыгы... Ну насмешил. Без обид.

Уж распиши, пожалуйста, способы защиты :) Подосить тебя может в ответ? Чтоб посмотреть как ты будешь защищаться. Шучу. :)

В отдельных, очень редких случаях от ДДОСа можно защититься. (Как например в случае описанном выше - атаки с 15 компов: просто все 15 IP-адресов отрубаются на аппартаном фаерволле до лучшых времен. При условии что канал не забит (а такое сделать весьма сложно), все будет ok)

Действительно, существуют очень малоэффективные способы защиты. Основные я уже перечислил раньше - не нарываться и наращивать мощности серверов, в том числе с помощью распределения нагрузки по нескольким серверам. В отдельных случаях может помогать фильтрация пакетов (например на фаерволле).

Но все это (кроме неограниченного наращивания мощностей), при серъезной, настоящей атаке никак не поможет.

Можешь мне поверить, в этом я разбираюсь и довольно неплохо (не зря в дипломе "Компьютерная безопасность" написано ).

Да, и можешь особо не "тырить" по интернету - вот почитай к примеру http://ru.wikipedia.org/wiki/DDoS

Раз вопрос был задан довольно специфический и с использованием специальных терминов, которые и не каждый компьютерщик знает (к примеру DDOS и XSS), при ответе я расчитавал на уровень от уверенного пользователя, хорошо разбирающегося в сетях, до программиста, никак не на уровень "ниче-в-этом-несоображающего" юзеря :) Ну что ж, раз непонятно поясню жизненными примерами:

Принцип ДДоС атаки ты можешь ощутить на некоторых вокзалах. Представь, ты приходишь на вокзал встречать знакомого, а тебя окружают полсотни цыган, начинают теребить за рукава и просить денег. Что ты сможешь сделать?

1) покинуть это заведение, плюнув на затею встретить знакомого
2) стоять среди цыган, надеясь что ваш знакомый таки сможет вас среди них найти.
3) можно их (цыган) последовательно "отключать" (ударом в нос), но если цыган достаточно много, пока ты их отключаешь твой друг уже уедет восвояси, так тебя и не дождавшись. Кроме того ты можешь случайно "отключить" и друга в такой суматохе.

Понятно? Не на уровне программиста?

Смысл подавляющего числа веб-атак (в том числе и упомянутой XSS, а также все типы injection), заключается в том, что строка, получаемая от пользователя, содержит помимо запрашиваемой информации какую-нибудь "полезную" добавку, которая при неправильной обработке может выполниться. К примеру это может быть команда "cat" или "format c:", это не принципиально.

Снова пример из жизни: ты меня спрашиваешь как меня зовут - а я даю тебе свою визитку. Внизу рядом с моим именем приписан номер телефона. Ты сразу (или потом), начинаешь обрабатывать эти данные, и набираешь указанный номер (это оказывается сильно платный номер секса по телефону), и незамедлительно попадаешь на бабки.

А если бы ты отфильтровал эти данные, то ничего бы страшного не произошло Ты мог сделать это разными способами - например:
1) оторвать бы от визитки кусок, где написан номер телефона, сказав мне "Я тебя твой номер телефона не просил"
2) просто проигнорировать бы его
3) на худой конец проверить бы - российский это номер или нет

Понятно? Не на уровне программиста?

Так какие способы существуют для защиты? :) Ты предлагаешь использование како-то внешней защиты? Милиции например? И что она должна делать? В случае ДДОС атаки "милиция" не может отличить, с кем ты пришел пообщаться - с 50 цыганами, или с одним единственным знакомым. Поэтому может только либо к тебе вообще никого не пускать, либо пускать всех подряд. В случае XSS и других типов injection атак все зависит от тебя. Если не можешь отфильтровать данные - сам дурак. Значит тебя все будут "разводить на лоха". Можно опять же привлечь милицию в качестве посредника, которой будет за тебя фильтровать все подозрительные данные, но в оин прекрасный день она может отфильтровать то что стоило оставить столо. Например, ты хочешь выяснить номер секса по телефону, но милиция считает эти данные подозрительными и отсекает их, хотя как раз именно они тебе сейчас нужны. :)

Так какие способы существуют для защиты? :) Повторюсь: от ддоса - практически никаких. От остальных атак - нужно выбирать хорошие скрипты, автор которых позаботлился о том, чтобы они корректно фильтровали входные данные. Чтобы при ответе на вопрос "как тебя зовут?" не начинали звонить в секс по телефону или форматировать диск. :)

Ещё вопросы? :) Только сразу уточняйте на каком уровне отвечать :)

Это сообщение отредактировал mvf23 - 14-10-2006 - 15:57

ну это неполучится при всем твоем жилание,будеш ддосить сервак прова

я не себя имел ввиду,а тех кто ничерта непонимает,мне и так всё давольно таки ясно как что работает и зачем оно нужно

а вопросы я надеялся появятся у других пользователей,для этого и создавал тему,потому что сам я так обяснить немагу,нету такова педагогического таланта,знать знаю,а рассказать на таком уровне что бы все поняли нефига немагу

Это сообщение отредактировал Ohne_Dich - 15-10-2006 - 03:46