Как пережить анонимную DDOS-атаку? [дубликат]
На этот вопрос уже есть ответ здесь:
- Я нахожусь под DDoS. Что я могу сделать? 5 ответов
Каждый раз, когда анонимная группа нацеливается на веб-сайт, они могут закрыть его .. даже для крупных корпораций / правительств с профессионалом.
Я читал (базовую теорию) о том, как бороться с обычными DDOS-атаками с помощью методов защиты от DDOS.
Но почему эти методы не работают в случае групповых атак анонимов?
Есть ли какие-нибудь истории успеха о выживании с помощью действительно хорошо организованной DDOS-атаки?
Большинство механизмов выявления и смягчения атак, таких как анонимные атаки, хорошо известны, и большинство продуктов и услуг Anti-DoS могут успешно справиться с ними. Однако иногда организации и предприятия не имеют настроенных или обновленных политик защиты. Более того, я был удивлен, обнаружив, что многие из них вообще не имеют защиты Anti-DoS ни по продуктам, ни по услугам.
Анонимы обычно используют хорошо известные инструменты. Нет никаких причин, по которым местный SOC / NOC или SOC / NOC поставщика услуг не сможет заблокировать свои атаки. Вопрос в том, достаточно ли точны обнаружение и блокировка без ложных срабатываний блокировки легитимного трафика. Как следствие этого - успешный DoS / DDoS ...
В общем, есть три пути борьбы с DDoS / DoS-атаками:
- Наличие достаточного количества ресурсов (пропускная способность, серверы и т.д.) - нереальный вариант для атаки объем может превышать имеющуюся у вас полосу пропускания, а стоимость неограниченной вычислительной мощности огромна.
- ' Аренда услуг провайдера охранных услуг - хорошее решение, зависит от возможностей конкретного провайдера. Однако следует отметить, что большинство MSSP работают с центрами очистки в режиме Out-of-Path. Это означает, что они во многих случаях полагаются на протоколы анализа трафика, такие как NetFlow, для выявления атак. Хотя этот вариант отлично работает с DDoS-атаками или большими объемными атаками, он не может идентифицировать низкие и медленные атаки. Вы можете преодолеть это ограничение, если готовы сами позвонить в MSSP, как только вы сами обнаружите проблемы с трафиком. Еще одно ограничение подхода «очистных центров» состоит в том, что обычно проверяется только одно направление движения.
- Наличие собственного встроенного решения Anti-DoS. Хотя иногда дороже, эта опция обеспечит вам максимальную безопасность, так как попытки сканирования, попытки грубой силы и многие другие угрозы безопасности могут быть устранены встроенным устройством. Встроенное устройство эффективно, если объем атаки не превышает пропускную способность вашего канала. Работа во встроенном режиме гарантирует обнаружение слабых и медленных атак и даже вторжений, в зависимости от оборудования, которое вы хотите использовать.
Как видите, четкого ответа на вопрос нет, так как он зависит от многих параметров, бюджета это только один из них. Качество услуги или продукта также является важным аспектом - зависит от оборудования, которое вы хотите использовать.
Как видите, на этот вопрос нет однозначного ответа, так как он зависит от многих параметров, бюджет - только один из них. Качество услуги или продукта также является важным аспектом - зависит от оборудования, которое вы хотите использовать.
Как видите, на этот вопрос нет однозначного ответа, так как он зависит от многих параметров, бюджет - только один из них. Качество услуги или продукта также является важным аспектом - - Может ли он генерировать сигнатуры «в реальном времени» для точного смягчения последствий, не затрагивая законный трафик? уменьшение ложноотрицательного отношения? - Включает ли он модули поведенческого обучения и обнаружения? или Используются ли только пороговые значения на основе скорости? - Включает ли он варианты аутентификации (для HTTP / DNS и других протоколов)? снова для уменьшения вероятности ложноотрицательных результатов. - Включает ли он механизм эскалации действий, вариант закрытой обратной связи, который может автоматически использовать более агрессивные действия по смягчению последствий в зависимости от успеха текущего предпринятого действия по смягчению? - Какую степень смягчения последствий может предложить услуга / продукт, независимо от допустимой скорости трафика. - Есть ли в продукте круглосуточная служба экстренной помощи? (он есть у большинства MSSP, но не у всех продуктов)
Ура,
Услуги по очистке трафика от таких компаний, как Verisign, Prolexic и других, являются наиболее эффективным способом защитить себя, если у вас нет денег на покупку оборудования, такого как Arbor или Rio Rey.
Ну, это очень сложно. В этом весь смысл ddos. У вас есть миллион компьютеров, которые одновременно отправляют запросы на ваш сайт. Что должен делать брандмауэр?
Наиболее важным моментом является предотвращение проникновения трафика в вашу систему. Не знаю, где у вас есть серверы, но если ваши серверы находятся в вашем офисе, вы должны установить ограничивающий брандмауэр на месте вашего провайдера. это удержит трафик от вашего ограниченного входящего кабеля.
Если ограничивающим фактором является веб-сервер, вы можете настроить Linux-компьютер перед веб-сервером для фильтрации на основе IP-адреса источника. Разрешить только определенному количеству IP-адресов для доступа к веб-серверу одновременно, и как только передача будет завершена, заблокируйте IP-адрес и предоставьте слот следующему запрашивающему. Таким образом, ваш сервер никогда не превышает своей мощности.
Использование здесь ускорителя Squid было бы большим подспорьем. Это сокращает количество одновременных подключений и процессов и быстрее освобождает ресурсы веб-сервера в дополнение к кэшированию статического содержимого.
Это сильно зависит от типа трафика, который вы обслуживаете, но есть несколько способов смягчить его. (Я предполагаю, что это веб-сайты.) Относительно простой и недорогой способ решить эту проблему - поставить Varnish (или другой http-кеш) перед вашими веб-серверами. Это значительно сократит количество попаданий трафика на ваши веб-серверы и серверы приложений. Кроме того, использование такого продукта, как HAProxy, в качестве балансировщика нагрузки может в некоторой степени помочь, управляя распределением вашего http-трафика на ваши серверы.
Существуют меры по предотвращению DDOS, но они будут дорогостоящими. Я знаю, что если вы используете Rackspace для хостинга, у них есть предложение продукта под названием Preventier (которое, как я знаю, дорогое).
Также может стоить вашего времени использовать Akamai (или аналогичный CDN) для размещения вашего контента, который также решит эту проблему, но обычно требует высоких долларовых затрат.
Как и во всем, необходимо провести анализ риска и вознаграждения, но вы должны помнить, что помимо доступности ваших услуг, вы также существенно платить за репутацию вашего бренда.
ПРИМЕЧАНИЕ: Я говорю, что Varnish и HAProxy являются недорогими, потому что, хотя они бесплатны / с открытым исходным кодом, их внедрение и поддержка требует затрат инженерных часов. Обратите внимание, что это верно для любого решения, но оно требует нулевой стоимости лицензирования.
хотя они являются бесплатными / с открытым исходным кодом, для их внедрения и поддержки требуются инженерные часы. Обратите внимание, что это верно для любого решения, но оно требует нулевой стоимости лицензирования. хотя они являются бесплатными / с открытым исходным кодом, для их внедрения и поддержки требуются инженерные часы. Обратите внимание, что это верно для любого решения, но оно требует нулевой стоимости лицензирования.Неправда, что анонимные всегда добиваются успеха. И в анонимности нет ничего уникального - просто умные и масштабные атаки.
(Надеюсь, аноним не станет преследовать меня за то, что я говорю это :)
Из статьи BBC: Активисты Pro-Wikileaks отказываются от кибератак Amazon :
группа Anonymous пообещала атаковать сайт (Amazon) в 16:00 по Гринвичу, но с тех пор изменили свои планы, заявив, что у них нет «сил».
Проблема в том, что нет никакой техники, которая могла бы гарантировать, что вы справитесь с DDOS. Единственный способ - иметь серверы и пропускную способность, способные справиться с любой возможной нагрузкой, а это явно дорого.
Вы не можете ограничиться одной группой нападавших. Большинство групп, включая группу анонимов, использовали бы BotNet. Это может происходить из большого количества IP-адресов, поэтому вы не можете просто запретить этот диапазон.
Единственный способ минимизировать ( НЕ ОСТАНОВИТЬ , поскольку это почти невозможно) - это следить за своей безопасностью. Так что обновления поддерживаются, ваш брандмауэр проверяется на уязвимости. Безопасность - это очень специализированный предмет, и его нельзя сбрасывать со счетов. Вам нужно начать с вашего брандмауэра и убедиться, что каждое устройство / соединение безопасно. А также, что пользователи осведомлены о безопасности, а также о том, что на их ПК не должно быть вредоносного ПО (их можно использовать для DDOS-атак)