Тестирование веб-серверов на устойчивость к атакам

Подобные работы интересно заказывать у официальной компании, а не у анонимного человека.

ДЛя модуляции реальной атаки совершенно не обязательно использовать ddos сеть, достаточно на 1-м компьютере семулировать работу множества клиентов, подобных программных реализаций множество.

А вообще был неплохой доклад на infosecurity по борьбе с ботами:

http://www.securitylab.ru/news/273030.php

В том числе было рассказано как правильно бороться с ддос атаками направленными на Вем сайт.

Написано вроде достаточно здраво, да и соседний топик распологает.

Вы бы о себе поведали побольше, откуда вы такой - где работали, что представляете, откуда вы, резюме какое нить.

Глядишь и найдется на оценку что-нить.

А то как правильно заметил выше HruPifPaf достаточно подпольно работаете ;-)

ЗЫ: немного смущает - нахождение узких мест во всех типах проектов - такого точно быть не может. Один человек не может хорошо разбираться и в HTTP, и в DB и в программных архитектурах проектах, тем более для каждой БД и платформ разработки - свои ньансы. Например разбираться в одном Оракле - это отдельная специальность, на которую надо положить все свое время, если действительно быть знатоком.

Я не анонимный человек это раз. Когда у тебя всё лежит, то будешь ли ты заключать договор с юр.лицом или с физ.лицом тебе принципиально не важно, главное это то, что твои проблемы гарантированно решатся, а какими способами это будет сделано уже не важно... если бюджет позволяет, то могу собрать команду для строительства отдельного ДЦ.

Есть рекомендации владельцев крупных ресурсов, которых поливали гигабитами. Из-за которых ложились каналы у крупнейших ДЦ. От одного только названия этого домена, многие хостинг провайдеры отказывались заключать договор, т.к. все прекрасно понимали, что поставив сервер к себе, можно проваляться со всеми клиентами пару дней. Не первый день работаем так сказать. Ничего не хочу сказать про конкретных ISP, но если ты заглянешь в эту кухню, то сразу обнаружишь, что все те понты, которые были на главной паге отсутствуют как класс... любимый хсп с красным логотипом обещал моему клиенту сделать дедик в течении пары дней, а в итоге делали целый месяц... это тебе про офицальные компании!!! но пока они его делали, мой клиент сидел на трех физических дедиках на разных площадках, которые были уже подготовлены к концу дня после обращения.

Когда я несу конверт сотруднику ДЦ, или же манагеру поставщика, который кинул своего клиента на сроки поставки железа и эти сервера отдал мне и моему клиенту, то совесть меня совершенно не мучает, т.к. мне больше всего важен мой клиент, у которого горит и который мне платит.

По поводу всех методик и теорий, которые выложены в сети, есть множество мнений, но касаемо PtSecurity, могу говорить (как говорит г-н Борщевский) только в двух тональностях... одна из них матом.

Бот-сети это канальные шалости, которые решаются организацией системы из зеркал. Это не самое страшное, что может случиться.

А вот у меня DNS есть хитрый, на базе BIND, который атакующим автономкам в качестве IP подсовывает 127.0.0.1... или IP одной авторитетной зарубежной конторы, у которой стоит IDS с автоабузами и атакующий потеряет свою бот-сеть быстрее, чем нахахает еще столько же.

С таким креативным подходом у нас в РФ никто не работает... простите за тональность, но на такое заявление имею полное право, т.к. с телекомом связан более десятка лет.

Ой.. не надо резюме. http://lists.paco.net/oops-devel/msg.200501.00006.html - когда-то работал там, а когда-то работал в hoster.ru. Вот кстати по поводу контент-провайдера очень хорошая тема, т.к. такой динамики роста никогда в жизни не видел... почитайте в СМИ про эту компанию. А сейчас собственно работаю на себя любимого, т.к. всем давно известно, что на отсидку рабочего дня в офисе меня не заманишь никакими коврижками... семья, здоровье и т.д. Сейчас интересны какие-то отдельные проекты, т.к. заниматься одним и тем-же достаточно продолжительное время не могу психологически.

Заказчики бывали соответствующие. Когда атакующие тратят по несколько тысяч енотов в день на атаку, то за свой зад какие-то опасения бывают.

В чем не разбираюсь на низком уровне, так это в Linux и в Solaris. В каких-то тонкостях Windows, но это еще ничего не значит, т.к. всё оно по сути одинаковое. Полный эникей... абсолютно полный...

Серверные приложения можно писать ограниченным количеством способов, которые всем давно известны и описаны. Зная архитектуру серверного приложения всегда можно определить "стоимость" конекта.

Oracle, PostgreSQL, MySQL, MS SQL... какая разница. Это только на пресухе будут рассказывать про всю мощу RAC и массштабируемость ораклевых кластеров. Любая СУБД гарантирует какие-то вещи, к примеру уникальность PK. При интенсивной записи в одну таблицу, даже если там 100 серверов в кластере, то без соответствующей блокировки и синхронизации все гарантии идут лесом... про это все знают, но почему-то, мега дорогие специалисты это иногда не учитывают.

Конечно СУБД развиваются и т.д., но когда знаешь все основы и т.д, то уточнить ситуацию в конкретной версии можно очень быстро. Тем более, что за годы работы в этой области скопился ряд каких-то типичных ошибок, которые допускаются где только можно.

Из языков в основном пишу на PHP и на Си... на всем остальном писать могу, но из под палки и очень дорого. Не могу сказать, что SQL знаю в совершенстве, но написать какой-то биллинг массштаба крупного ISP вообще не проблема (под netflow уже раз надцать писал). Любой солюшен фактически... опять же, если речь идёт за подход с точки зрения заказчика, то можно нанимать мегапрограммистов, которые будут писать очень хороший код, а можно этот солюшен кластеризовать (т.е. добавить железа) и стоимость его обслуживания + само железо будет дешевле чем зарплата мегапрограммистов, которых после проекта надо чем-то занять.

Если тебе надо построить кластер под PPPoE клиентов и сетку на 50тыс MAC, то с этим тоже можно ко мне, т.к. есть соответствующий опыт. Кто-то для балансировки SMTP ставит nginx, а кто-то это делает на базе WCCP, т.к. это так-же стабильно, но дополнительное железо не требуется... и т.д. и т.п... удивил?.. а по PPPoE :D ну просто я знаю тех, кто за соответсвующие деньги допишет под MPD то, чего там не хватает, но по моему ТЗ, т.к. при всем моем уважении к ним, такой креатив у них проскакивает редко. По поводу написания ТЗ тоже песня отдельная, т.к. кто-то пишет хочу полочку, а кто-то пишет еще какого цвета, плотности, формы и т.д... под какие-то проекты очень быстро могу собрать команду.

Кто-то наворачивает мега систему для suexec под php в Apache, а кто-то пишет модуль к ядру, который меняет процессу apache в prefork менять свой uid/gid на лету... первую грязную версию мне помог сделать Майк Потанин из SwSoft, которая была фактически патчем к setuid/setgid, а потом уже как-то сам, какие-то syscall's свои и т.д. Вот посмотри как в hoster.ru php работает... это касаемо local security, т.к. иногда у заказчиков такие потребности возникают... ну что бы не городить там огород из suexec, external fastcgi и т.д..

PS. За что обижен на SwSoft, так это за то, что прибили ветку под FreeBSD...

По поводу LAN тестов, что бы не было иллюзий.

LAN тест позволяет прежде всего оценить производительность, а не устойчивость к атакам. Люди которые креативят очень длительные DDOS-ы не ставят перед собой цель поливать веб-сервер гигабитным трафиком... такой DDOS будет очень короткий, а его цена слишком дорогой. Максимум это неделя!!! Потом выходит патч под винду, владельцев троянов фильтруют и т.д... Последний DDOS на моего клиента был целую неделю... пострадало очень много провайдеров, даже когда поставили зеркала атака продолжалась, но сайт стоял и был доступен.

Последния истерия атакущих заключалась в мести какому-то ДЦ... 250 мегабит, а потом сетка с троянами очевидно закончилась. В какой-то момент трафик размазали по всем ДЦ... кому-то было плохо, а кому-то терпимо. Кто-то кричал, что мы от вас отказываемся, а кто-то согласился поставить наши acl. Клиенту это не интересно... ему интересно, что бы это работало, а повторение подобного стоило заказчикам колоссальных денег.

Что бы максимально долго продержать атаку нужно забивать "слоты" серверов!!! Для этого не нужны гигабиты. Типичный форум на шаред хостинге, если его лупить поисковыми запросами определенного типа, укладывает mysql уже на 30 параллельных конектах. В итоге вся динамика завязанная на mysql перестает отвечать и через какое-то время агресивность атаки можно снизить... посетители сайта остервенело жмут кнопку refresh и тем самым продолжают начатое дело.

Хостинг провайдер нагружает клиента сначала на VPS, потом на dedic, потом на colo и т.д... потом клиент меняет HSP, потом еще одного, а потом заказывает новый движок и т.д. и т.п... это же дорого всё очень... а по сути, приложение можно было снабдить каким-то собственными наработками, которые применяются для защиты от роботов и при этом не причиняют неудобства обычным посетителям.

LAN тесты, которые позволяют задавать набор коннектов с указанным bandwith стоят очень дорого. То, что ваш веб-сервер умеет обрабатывать 1000 запросов в секунду, еще не означает того, что он не перестанет отвечать для всех остальных если на него приконектить 1000 медленных клиентов.

LAN тесты, которые позволяют делать подобные вещи, т.е. эмулировать сотни тысяч IP адресов с заданными каналами идут фактически со своим железом.... 20-30тыс сокетов это уже целая заточенная операционка, несколько сетевых карт с максимальным хардварным опционом... это даже не пять тысяч долларов стоит, а гораздо больше. Организации, которые имеют дело с такой нагрузкой имеют штат хорошо квалифицированных специалистов... это люди, которые понимают о чем идёт речь... держать таких на зарплате в мелкой организации смысла нет.

Какие-то дешевые и мелкие солюшены в природе есть, но они тоже там не копейки стоят, даже если брать пиратские версии, то под рукой надо иметь хорошего администратора, который это всё развернет... это же не apache benchmark тупо гонять... в этом, как минимум надо понимать, т.к. конфигурация подобных приложений может не один день занять.

Что бы эмулировать скорость множества клиентов надо работать со стеком на очень низком уровне, там вплоть до l2 опускаются... это даже не ip raw сокет.

Даже если акселератор держит 10 тыс конектов, то если в критической ситуации он не будет дропать неугодных, то ему фактически забьёт весь backlog. Это только в рекламных буклетах с установкой IDS все проблемы заканчиваются, а в реалии, когда твоим ресурсом занимаются проплаченные профи, то эту атаку будешь квалифицировать как всплеск посещаемости... придется ставить балансировщики, дополнительные веб-сервера и т.д... вы себе не представляете разочарование заказчика, когда покупка дорогостоящей железки решила только малую часть его проблем... кто-то где-то поправил атакующий софт и опять колоссальные траты.

Есть множество секретов, которые не стоит расскрывать массам, т.к. шаловливые ручки порой бывает нужно только навести на мысль, а потом уже ничем не остановишь.

Судя по текстам этого человека, можно понять что человек, серьезный! Даже очень серьезный и знает свое дело!

kostich, Вчитался в последний пост, вопросы отпали :)

В теме 🚬

Ага. Блестящий способ показать свой профессионализм при таких условиях. Я серьезно. И где то даже жалею, что не Ваш клиент: не нужно оно мне (ибо я никому не нужен :)))) да и денег нет.

Все хорошо, но мож кому-то надо потестить его портальчик?

Ну что бы хоть была уверенность того, что его не завалят какие-то пионеры. Потестил человеку форум, на, не буду говорить где -> 10 параллельных рандомных поисков и VPS лежит. Может отпишет сюда, но это приятель старый... в аську стукнулся.

Там же выше постами была инфа о каких-то бесплатных тестах.

PS. Не надо думать, что всё это очень и очень дорого. Какие-то консультации стоят вполне себе вменяемо... это даже дешевле, чем смотреть как твой админ гуглит креатив цельную неделю... что бы потом выдать пару конфигурационных строчек.

Обратился к топикстартеру. Оперативно положил сайт в 503. Потом очень дотошно разжевал возможные пути защиты. Много чего попутно рассказал, потратив на меня больше часа времени. Просто не верится, что такие люди еще есть в сети, т.к. все сделал бесплатно.

kostich'у - респект однозначно!