Какие способы защиты вы знаете?

Ohne_Dich
10/5/2006, 7:33:44 PM
меня вот интересует,какие виды защиты вы знаете или существуют от атак на сайты и форумы
например как защитить форум от DDoS?
может кто знает как защищятся от XSS атаки,правдо я знаю что еще нечего путевого непридумали от этого вида атаки
чё мутите от SQL Injection,какой CMS используете? и что можите посоветовать?
mvf23
10/6/2006, 2:21:16 PM
например как защитить форум от DDoS?

От DDOS защититься практически невозможно. По крайней мере пока хороших способов не придумано.

Если ваш сервер ддосят можно спокойно его выключить и ложиться спать.

Более-менее действенное решение - это обеспечить ОГРОМНЫЙ запас мощностей сервера и канала, что стоит и огромных денег. Тогда среднестатистический ДДОС почти не страшен.

Могу Вас утешить тем, что ддосы - не самое распространенное явление, которое к тому же требует определенных вложений со стороны атакуюзего. В общем если вы не насолите оч. сильно какому-то крутому хакеру (или конкуренту), ддосить никто вас не будет.

может кто знает как защищятся от XSS атаки,правдо я знаю что еще нечего путевого непридумали от этого вида атаки

Почему не придумали? Хорошенько фильтруйте входные переменные, если пишите сайт сами, и будет вам счастье... :) Выбирайте правильный движок, если не сами... :) В распространенных форумных движках почти все возможности для XSS надежно закрыты. Иначе везде (в том числе и здесь) такое бы творилось :)

чё мутите от SQL Injection

Вообще смешной вопрос. Опять же - фильтруем переменные, используем правильные движки... :)

Об универсальных методах защиты мне ничего не известно. Почти наверняка возможно использование внешнего фаерволла с модулем обнаружения вторжений (intrusion detection), который опять же будет просто фильтровать входные переменные, если считает их подозрительныеми.

При желании можно самому написать дополнительную фильтрацию переменных, отдельным скриптом (буквально несколько pregmatch и все "подозрительные" входные данные загнутся) и с промощью mod_rewrite в Apache. Но судя по тому какие Вы задаете вопросы, это будет для вас несколько сложновато.

В общем, подытоживаю: все проблемы не из-за того, что "ничего хорошего не придумано для защиты", а от того что программисты, разрабатывавшие сайт, где-то допустили небольшую оплошность, недостаточно аккуратно обработав входящие переменные. Если бы программисты ИДЕАЛЬНО делали свою работу, то ни о каких атаках и речи бы не было. Но все мы люди, и у себя на сайтах я время от времени нахожу баги, которые могли бы повлиять на безопасноть.

Никаких конкретных CMS я советовать не буду, чтобы потом не оказаться крайним :) Выскажу на этот счет 2 соображения:
1) сильно распространенные CMS с открытым кодом почти не содержат ошибок, приводящих к проблемам с безопасностью. Но хороших хакер или программист, может очень внимательно изучить его исходники и найти лазейки. Потом появится эксплоит и эти CMS повалятся одна за другой, прежде чем появится обновление. Или прежде чем владельцы сайтов решат, что неплохо было бы обносить движок.
2) написанные на заказ CMS (я конечно подразумеваю что написанные хорошими программистами), могут потенциально содержать больше ошибок. Но поскольку изучать исходники никто не может, то и возможностей для успешных атак гораздо меньше. Этот способ ещё Керхгофф 100 лет назад назвал "security throw obscurity" - Безопасность посредством неясности.

Самый плохой вариант - это когда система с открытым кодом, но распростанена незначительно.

В общем мое мнение - либо выбирайте то, что бесплатно и сильно распространено, либо делайте на заказ.

Оба варианта обеспечат довольно неплохой уровень безопасности. Только не забывайте ставить обновления.

И не слушайте Вы байки про всякие там XSS и SQL injection. :) Нормальные программист таких ляпов не допускет.
-=Велла=-
10/6/2006, 2:41:43 PM
Что такое DDoS и каков механизм?
DELETED
10/6/2006, 5:53:37 PM
(-=Велла=- @ 06.10.2006 - время: 10:41) Что такое DDoS и каков механизм?
DDoS - Denial Of Service Attack, атака на отказ в обслуживании. Вкратце: это когда на сервер обрушивается огромное количество запросов со множества компьютеров с разных концов света, в результате чего сервер тратит все свои ресурсы на обслуживание этих запросов и становится недоступным для нормальных людей.

Вот тут подробней.
-=Велла=-
10/6/2006, 5:57:41 PM
о как.. буду знать.. пасиба...
Ohne_Dich
10/6/2006, 6:00:41 PM
(JeyLo @ 06.10.2006 - время: 11:53) DDoS - Denial Of Service Attack, атака на отказ в обслуживании. Вкратце: это когда на сервер обрушивается огромное количество запросов со множества компьютеров с разных концов света, в результате чего сервер тратит все свои ресурсы на обслуживание этих запросов и становится недоступным для нормальных людей.
с одного компа имеющего инет с широким канало можно замутить DDoS в 3 000 000 запросов одновременно,пробовали на канале в 16 мб\с загрузили сервак на 10% только

а что бы завалить,нужно не меньше 10 компов с широким каналом и анлимный трафф sleep.gif
mvf23
10/6/2006, 6:11:29 PM
(Ohne_Dich @ 06.10.2006 - время: 14:00) с одного компа имеющего инет с широким канало можно замутить DDoS в 3 000 000 запросов одновременно,пробовали на канале в 16 мб\с загрузили сервак на 10% только

а что бы завалить,нужно не меньше 10 компов с широким каналом и анлимный трафф sleep.gif
Эти и отличается DDOS от просто DOS. Ещё одна D означает distributed. То есть распределенная. То есть запросы изут не с одного комптютера, а со множества.

Ещё очень многое зависит от того какие именно запросы слать. И один запрос иногда может нагрузить сервер на 50% :)

Да и кстати обычно DDOS атаки производятся не десятками, а сотнями и тысячами комптютеров обычно зараженных одним вирусом.
Аrtur
10/6/2006, 9:39:43 PM
(Ohne_Dich @ 05.10.2006 - время: 18:33) может кто знает как защищятся от XSS атаки,правдо я знаю что еще нечего путевого непридумали от этого вида атаки
Если уж "путевого" ничего не придумали )), то можно по старинке фильтровать переменные...
Ohne_Dich
10/6/2006, 10:11:46 PM
(mvf23 @ 06.10.2006 - время: 12:11) Да и кстати обычно DDOS атаки производятся не десятками, а сотнями и тысячами комптютеров обычно зараженных одним вирусом.
а ты думаеш это легко написать такова траяна и разослать что бы его неодин антивирус неспалил?
такие готовые затрояненые сети стоят очень дорого
да и я пример просто привел,мне если чесно,легче знакомых обучить по использованию самой общедоступной и бесплатной проги для ddos,ну кто знает реч идет о денио,чем писать трояна
например компов 15 с разных точек России,с хорошим широким каналом вполне хватает что бы свалить простинький форумок biggrin.gif
Ohne_Dich
10/6/2006, 10:24:47 PM
(Аrtur @ 06.10.2006 - время: 15:39) Если уж "путевого" ничего не придумали )), то можно по старинке фильтровать переменные...
ути какие мы все умные,вы говорите только про то что выложенно в инете,а все что в инете это для лохов,то что уже спалили
некто вам невыложит описалово на атаку которую еще неспалили
а по теме,вот случай кагда уязвимость позволяет удаленному пользователю произвести xss нападение:
это можно осуществить из за недастаточной обработки входных данных в параметре "сat" в различных сценариях,удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере атакуемого в контексте безопасности уязвимого сайта devil_2.gif
а вот на это как раз и нет путевой защиты,фильтры непомагают,как ты некрути,тут главное грамотно все провернуть biggrin.gif
Platinum PROFI
10/7/2006, 10:09:14 AM
А где ты уже этот cat параметр увидел?? Может на СексНароде?? wink.gif И к тому чего-то я непнял, чем тебе этот cat не понравился?? Любой параметр можно безо всяких дополнительных проблем отфильтровать...
Ohne_Dich
10/7/2006, 12:41:08 PM
(Platinum PROFI @ 07.10.2006 - время: 04:09) А где ты уже этот cat параметр увидел?? Может на СексНароде?? wink.gif И к тому чего-то я непнял, чем тебе этот cat не понравился?? Любой параметр можно безо всяких дополнительных проблем отфильтровать...
всем он мне нравется,это один из небольших примеровimage

видать мы разговариваем на разные темы,вы смотрите со стороны програмирования и защиты,а я сооовсем с другой

не от одной атаки я невидел путевой защиты,вам кажется что вы защитились,а вас ломают,но вы это незнаете и некагда неузнаете image

народ и ненадо сдесь пытатся умничать,надо обяснять так что бы простые,нечё в этом несоображающем,юзеры поняли

да кстати,там кто то писал что от ддоса нет защиты,он неправ,пусть в тырнете полазиет почитает,я нечего расписывать несабираюсь,патамушта ломает biggrin.gif
Platinum PROFI
10/8/2006, 3:53:19 AM
Теперь я не совсем понял твой ответ... Что ты конкретно сказать хотел???
mvf23
10/14/2006, 6:24:59 AM
(Ohne_Dich)это можно осуществить из за недастаточной обработки входных данных в параметре "сat" в различных сценариях,удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере атакуемого в контексте безопасности уязвимого сайта

Ржу - не могу. lol.gif Выньте меня четверо из под стола. lol.gif Откуда скопировал? :)

На тебе плюс в репутацию, за то что рассмешил! Пиши ещё! :)

(Ohne_Dich @ 07.10.2006 - время: 08:41)да кстати,там кто то писал что от ддоса нет защиты,он неправ,пусть в тырнете полазиет почитает,я нечего расписывать несабираюсь,патамушта ломает biggrin.gif
Гыгыгы... Ну насмешил. Без обид.

Уж распиши, пожалуйста, способы защиты :) Подосить тебя может в ответ? Чтоб посмотреть как ты будешь защищаться. Шучу. :)

В отдельных, очень редких случаях от ДДОСа можно защититься. (Как например в случае описанном выше - атаки с 15 компов: просто все 15 IP-адресов отрубаются на аппартаном фаерволле до лучшых времен. При условии что канал не забит (а такое сделать весьма сложно), все будет ok)

Действительно, существуют очень малоэффективные способы защиты. Основные я уже перечислил раньше - не нарываться и наращивать мощности серверов, в том числе с помощью распределения нагрузки по нескольким серверам. В отдельных случаях может помогать фильтрация пакетов (например на фаерволле).

Но все это (кроме неограниченного наращивания мощностей), при серъезной, настоящей атаке никак не поможет.

Можешь мне поверить, в этом я разбираюсь и довольно неплохо (не зря в дипломе "Компьютерная безопасность" написано wink.gif).

Да, и можешь особо не "тырить" по интернету - вот почитай к примеру https://ru.wikipedia.org/wiki/DDoS

Надо обяснять так что бы простые,нечё в этом несоображающем,юзеры поняли

Раз вопрос был задан довольно специфический и с использованием специальных терминов, которые и не каждый компьютерщик знает (к примеру DDOS и XSS), при ответе я расчитавал на уровень от уверенного пользователя, хорошо разбирающегося в сетях, до программиста, никак не на уровень "ниче-в-этом-несоображающего" юзеря :) Ну что ж, раз непонятно поясню жизненными примерами:

Принцип ДДоС атаки ты можешь ощутить на некоторых вокзалах. Представь, ты приходишь на вокзал встречать знакомого, а тебя окружают полсотни цыган, начинают теребить за рукава и просить денег. Что ты сможешь сделать?

1) покинуть это заведение, плюнув на затею встретить знакомого
2) стоять среди цыган, надеясь что ваш знакомый таки сможет вас среди них найти.
3) можно их (цыган) последовательно "отключать" (ударом в нос), но если цыган достаточно много, пока ты их отключаешь твой друг уже уедет восвояси, так тебя и не дождавшись. Кроме того ты можешь случайно "отключить" и друга в такой суматохе.

Понятно? Не на уровне программиста?

Смысл подавляющего числа веб-атак (в том числе и упомянутой XSS, а также все типы injection), заключается в том, что строка, получаемая от пользователя, содержит помимо запрашиваемой информации какую-нибудь "полезную" добавку, которая при неправильной обработке может выполниться. К примеру это может быть команда "cat" или "format c:", это не принципиально.

Снова пример из жизни: ты меня спрашиваешь как меня зовут - а я даю тебе свою визитку. Внизу рядом с моим именем приписан номер телефона. Ты сразу (или потом), начинаешь обрабатывать эти данные, и набираешь указанный номер (это оказывается сильно платный номер секса по телефону), и незамедлительно попадаешь на бабки.

А если бы ты отфильтровал эти данные, то ничего бы страшного не произошло Ты мог сделать это разными способами - например:
1) оторвать бы от визитки кусок, где написан номер телефона, сказав мне "Я тебя твой номер телефона не просил"
2) просто проигнорировать бы его
3) на худой конец проверить бы - российский это номер или нет

Понятно? Не на уровне программиста?

Так какие способы существуют для защиты? :) Ты предлагаешь использование како-то внешней защиты? Милиции например? И что она должна делать? В случае ДДОС атаки "милиция" не может отличить, с кем ты пришел пообщаться - с 50 цыганами, или с одним единственным знакомым. Поэтому может только либо к тебе вообще никого не пускать, либо пускать всех подряд. В случае XSS и других типов injection атак все зависит от тебя. Если не можешь отфильтровать данные - сам дурак. Значит тебя все будут "разводить на лоха". Можно опять же привлечь милицию в качестве посредника, которой будет за тебя фильтровать все подозрительные данные, но в оин прекрасный день она может отфильтровать то что стоило оставить столо. Например, ты хочешь выяснить номер секса по телефону, но милиция считает эти данные подозрительными и отсекает их, хотя как раз именно они тебе сейчас нужны. :)

Так какие способы существуют для защиты? :) Повторюсь: от ддоса - практически никаких. От остальных атак - нужно выбирать хорошие скрипты, автор которых позаботлился о том, чтобы они корректно фильтровали входные данные. Чтобы при ответе на вопрос "как тебя зовут?" не начинали звонить в секс по телефону или форматировать диск. :)

Ещё вопросы? :) Только сразу уточняйте на каком уровне отвечать :)
Ohne_Dich
10/15/2006, 6:52:25 AM
(mvf23 @ 14.10.2006 - время: 04:24) Уж распиши, пожалуйста, способы защиты :) Подосить тебя может в ответ? Чтоб посмотреть как ты будешь защищаться. Шучу. :)
ну это неполучится при всем твоем жилание,будеш ддосить сервак прова play_ball.gif
Раз вопрос был задан довольно специфический и с использованием специальных терминов, которые и не каждый компьютерщик знает (к примеру DDOS и XSS), при ответе я расчитавал на уровень от уверенного пользователя, хорошо разбирающегося в сетях, до программиста, никак не на уровень "ниче-в-этом-несоображающего" юзеря :)
я не себя имел ввиду,а тех кто ничерта непонимает,мне и так всё давольно таки ясно как что работает и зачем оно нужно wink.gif
Ещё вопросы? :) Только сразу уточняйте на каком уровне отвечать :)
а вопросы я надеялся появятся у других пользователей,для этого и создавал тему,потому что сам я так обяснить немагу,нету такова педагогического таланта,знать знаю,а рассказать на таком уровне что бы все поняли нефига немагу pardon.gif
tyoma
10/15/2006, 9:12:07 AM
Почитай тута
Zerаtul
2/24/2007, 5:35:40 AM
Думаю стоит пойти на античат(antichat.ru), и там есть темки где можно попросить проверить ваш форум на дыры(sql inj, xss, инклюдинг итп)..

Ну а от ддоса вас не спасёт вообще ничего. Обычные сайты типа хоумпаг ддосить никто не будет..
Если сайт серьёзный то найдут как положить сервер..

Думаю особенно вдоватся в подробности не стоит - но тут всё решают деньги и боты.. Т.е колличество ботов у того кто ддосит и количество денег на защиту у того кто не хочет чтобы сервер лежал :)