Испытание DDoS на одном из моих экземпляров GCP. Что я могу сделать?
У меня есть единственный экземпляр, работающий на GCP, который сейчас страдает от DDoS-атак на основе нагрузки. Это экземпляр на основе Debian, передающий внутренний трафик демону Geneweb, работающему на том же компьютере.
Я узнал, что сервер отвечает только с 503 Service Unavailable. Я предполагаю, что Apache все еще отвечает, в то время как демон просто не может справиться с нагрузкой.
Мониторинг GCP показывает всплеск экземпляра. Мониторинг GCP
tailf error.log показывает входящий трафик. Снимок экрана консоли
Экземпляр не имеет балансировки нагрузки и имеет только правила брандмауэра по умолчанию. У меня нет опыта в продвинутом сетевом администрировании, которое здесь необходимо.
Есть подсказки? Рекомендации?
Есть разные способы смягчения DDOS-атак. Отметьте ниже некоторые моменты, которые вы можете учесть: 1.) Уменьшите поверхность атаки для вашего развертывания GCE 2.) Изолируйте свой внутренний трафик от внешнего мира 3.) Защита от DDoS-атак путем включения балансировки нагрузки на основе прокси. 4.) Масштаб, чтобы поглотить атаку 5.) Защита с разгрузкой CDN 6.) Развертывание сторонних решений защиты от DDoS-атак. 7.) Развертывание App Engine 8.) Google Cloud Storage для управления доступом с помощью подписанных URL-адресов. 9.) Ограничение скорости API 10.) Квоты ресурсов Более подробное объяснение можно найти по ссылке 1 .
Также я бы не стал отрицать, что на вашем экземпляре установлено какое-то вредоносное ПО, которое может вызывать чрезмерный исходящий трафик. К сожалению, это наиболее распространенная ситуация, которая приводит к огромному увеличению затрат для затронутых клиентов из-за исходящего трафика. Если вы думаете, что это могло быть так, следуйте следующим рекомендациям: - Используйте правила брандмауэра, чтобы запретить все исходящие соединения. - Затем выясните, как это было взломано, и проанализируйте поведение. - Наконец, предпримите некоторые действия: удалите вредоносное программное обеспечение или переустановите виртуальную машину, если это необходимо, убедитесь, что ваша система обновлена, а также улучшите ее безопасность. Вот более подробное руководство 2 о том, как действовать в подобных случаях.
Кроме того, это руководство 3 может помочь вам повысить безопасность вашей среды GCP.
Изучите сервер приложений, чтобы определить, почему он не отвечает. Множество возможных причин: невозможность доступа к базе данных, превышение пределов ресурсов, сбой, проблемы с производительностью.
Убедитесь, что на вашем веб-сервере включено кэширование. Для Apache httpd это будет из mod_cache .
Поместите экземпляры за балансировщик нагрузки . Позволяет анализировать запросы и, возможно, масштабировать до большего количества экземпляров.
Активируйте службу DDoS . Они предоставляют услугу фильтрации большого объема. При очень большом объеме может быть дорого.
Ищите продуктов в пространстве межсетевого экрана веб-приложений (WAF) . Они обеспечивают расширенную фильтрацию, в частности, HTTP-запросов. Может не масштабироваться до огромных размеров DDoS, но я думаю, что ваше приложение падает из-за относительно небольшого количества запросов.
Я ссылался на ресурсы GCP, но совет применим в целом.