Мозговой штурм: идеи предотвращения ЛАВИННОЙ РАССЫЛКИ/DOS/DDOS-АТАКИ

Во время Атаки SYN DDOS я переместил свой сайт в 2-й IP и имел мой блок ISP исходный IP на их уровне. В то время как это действительно создавало немного времени простоя в результате распространения DNS, оно действительно уменьшало загрузку и возвращало меня онлайн. Блокирование исходного IP на уровне ISP помешало DDOS достигать моих серверов. Вторичная DDos-атака была затем запущена составленная из законных соединений, но большого количества из них. Я закончил тем, что исправил свой iptables брандмауэра Linux для использования ipset для лучшей производительности, когда я заблокировал тысячи дюйм/с.

После нападения я протестировал различные брандмауэры (извините, никакая Cisco). PF с он - флаг synproxy от семейства BSD, дал лучшие результаты. В отличие от большинства брандмауэров, которые просто ударили ограничение уровня во время нападения, pf с, он - synproxy остановленное много соединений в брандмауэре. Кроме того, таблицы pf имеют большой взгляд производительность и динамично обновляемы. Никакая перезагрузка не требуется. pf также имеет много опций для настройки производительности и вычищения входящих пакетов/соединений.

netfilter с ipset дал хорошую производительность, но никакой synproxy.

Другая возможность состоит в том, чтобы использовать облачный хостинг, позволяя Вам продолжать бросать больше пропускной способности и аппаратных средств при нападении, таким образом, Ваши клиенты не чувствуют нападение.

Единственный способ действительно предотвратить DDOS состоит в том, чтобы сохранить Ваш сервер (серверы) от Интернета. Но затем необходимо объяснить управлению, почему никто не видит веб-сайт компании.:-)

Существует много различных типов нападений Отказа в обслуживании (DoS), и никакое единое решение не может решить эту проблему. Веб-приложение брандмауэры (WAF) может использоваться для защиты серверов от лавинной рассылки трафика, произведенного Распределенным Отказом (DDoS) нападения на Службу. Часто эти нападения содержат большой объем того же типа запроса. WAF может оценить предел или даже заблокировать определенного пользователя, который отправляет большое количество запросов HTTP. Ping ICMP является другим общим типом DDoS при блокировании входящего ICMP с пакетным брандмауэром фильтрации затем, это смягчит нападение.

Но в конечном счете с достаточно передают трафик, infrastrucutre вокруг Вас будет, начал рушиться, и Ваш сервер понизится. Маршрутизаторы для магистрали Интернета стали забитыми DDos-атаками, произведенными червями. Недавно, UltraDNS был DDoS'ed, который заставил Amazon.com понижаться: http://www.securityfocus.com/brief/1053

Finley, это не берет крупное количество пакетов для приведения в нерабочее состояние сервера. Атака "отказ в обслуживании" может быть как маленькая только 1 уродливый пакет. Переполнение буфера может заставить сервер отказывать, или еще хуже, предоставлять полный доступ Вашего сервера хакеру. Удостоверьтесь, что Ваше программное обеспечение актуально.

Существуют компании, которые специализируются на этом виде сервиса. Они имеют огромную пропускную способность в наличии так, чтобы они могли получить удар и только отфильтровать легальные запросы к Вашим серверам.

Обновление: Если Вы действительно хотите попытаться сделать это сами, затем, в первую очередь, рассматривают то, что были нападения с 50-80Gbit/sec длительной пропускной способностью. И каждый год это только становится больше и больше. Я не буду удивлен видеть 100 + нападения в этом году.

Теперь относительно защиты:

1. Любые нападения ниже прикладного уровня должны быть остановлены в периметре (лучше - на границе ISP). Вложите капитал в хорошие брандмауэры - загрузка ЦП будет огромна, таким образом, чем более мощный - тем лучше.

2. Прежде чем Ваше приложение находится под ударом - пытаются думать как взломщик - каковы самые слабые части? Взломщик будет поражать страницы, которые требуют, чтобы только несколько байтов были загружены на Ваши серверы, но которые выполняют большой тяжелый подъем на стороне сервера (например, любые виды поисков с подстановочными знаками и т.д.). Страницы, доступные без аутентификации, должны быть рассмотрены сначала. Попытайтесь идти с решением, которое позволит Вам быстро выключать эту функциональность, не выключая целый сайт.

3. Некоторые нападения происходят из определенных стран только (например, Китай, Россия, Корея (Кореи)). Можно подготовить ACLs к маршрутизаторам, которые заблокируют все netblocks, которые принадлежат определенной стране. Но будьте осторожны при массированной атаке, которой возможности состоят в том, что Ваши брандмауэры будут striggling с загрузкой ЦП.

Удачи!

mod_evasive является одной из лучших серверных мер мятежника, которые можно принять при выполнении веб-сервера Apache - http://www.think-security.com/protect-your-apache-web-server-with-mod_evasive/