Các kỹ thuật tốt nhất để ngăn chặn các cuộc tấn công từ chối dịch vụ là gì?

Hiện tại tôi đang sử dụng (D) DoS-Deflate để quản lý các tình huống như vậy trên nhiều máy chủ từ xa, cùng với Apache JMeter để kiểm tra tải.

Nhìn chung, nó đã hoạt động khá tốt, mặc dù tôi muốn nghe một số gợi ý từ các bậc thầy đã làm việc với những tình huống này lâu hơn tôi có. Tôi chắc rằng những người làm việc trong lĩnh vực kinh doanh lưu trữ web đã có những chia sẻ công bằng trong việc xử lý những tình huống này. Vì vậy, tôi tự hỏi những thực tiễn tốt nhất là gì để tiếp cận các loại vấn đề này trong môi trường công ty?

Ngăn chặn DDoS chủ yếu là về việc không phải là mục tiêu. Không lưu trữ máy chủ trò chơi, trang web cờ bạc / khiêu dâm và những thứ khác có xu hướng khiến mọi người khó chịu.

Giảm thiểu một cuộc tấn công DDoS có hai dạng:

• có thể bỏ qua lưu lượng truy cập và giảm tải quá mức, điều này rất hữu ích khi bạn bị tấn công cố gắng hạ gục bạn bằng cách làm quá tải máy của bạn (và cũng có ích nếu bạn bị "Chém";
• có thể từ chối lưu lượng truy cập mạng lạm dụng ngược dòng của bạn, để nó không làm tắc nghẽn các liên kết của bạn và mất kết nối của bạn.

Cái trước phụ thuộc một phần vào chính xác những gì bạn đang phục vụ, nhưng thường xuất hiện một số kết hợp bộ nhớ đệm, xử lý tràn (phát hiện khi các máy chủ "đầy đủ" và chuyển hướng các kết nối mới đến trang "xin lỗi" sử dụng tài nguyên thấp) và sự xuống cấp duyên dáng của xử lý yêu cầu (ví dụ như không thực hiện kết xuất hình ảnh động).

Loại thứ hai yêu cầu giao tiếp tốt với thượng nguồn của bạn - có số điện thoại của các NOC ngược dòng của bạn được xăm vào bên trong mí mắt của bạn (hoặc ít nhất là trong một wiki ở đâu đó không được lưu trữ ở cùng nơi với máy chủ sản xuất của bạn. ..) và làm quen với những người làm việc ở đó, vì vậy khi bạn gọi bạn sẽ nhận được sự chú ý ngay lập tức như một người thực sự biết những gì họ đang nói về thay vì chỉ là một johnny ngẫu nhiên.

Bạn không đề cập đến loại bảo mật chu vi nào bạn có tại chỗ. Với tường lửa của Cisco, bạn có thể giới hạn số lượng phôi (một nửa phiên) mà tường lửa của bạn sẽ cho phép trước khi cắt chúng, trong khi vẫn cho phép các phiên đầy đủ đi qua. Theo mặc định, nó không giới hạn, không cung cấp sự bảo vệ.

Các bộ cân bằng tải được hỗ trợ phần cứng như Foundry ServerIron và Cisco ACE rất tuyệt vời để xử lý một số lượng lớn các loại tấn công DOS / DDOS chính nhưng không linh hoạt như các giải pháp phần mềm có thể 'học' các kỹ thuật mới hơn nhanh hơn.

Một nguồn tốt cho thông tin là tại trang web này . Một biện pháp mà họ chỉ đề cập khi thông qua (và đáng để nghiên cứu thêm) là kích hoạt cookie SYN. Điều này ngăn chặn toàn bộ lớp tấn công DoS bằng cách ngăn kẻ tấn công mở một số lượng lớn các kết nối 'nửa mở' trong nỗ lực đạt được số lượng mô tả tệp tối đa được phép cho mỗi quy trình. (Xem trang chủ bash, tìm kiếm nội dung 'ulimit' với tùy chọn '-n')

Tuyên bố miễn trừ trách nhiệm: Tôi không phải là một chuyên gia bảo vệ DDoS.

Tôi nghĩ rằng nó phụ thuộc vào ngân sách bạn dành cho nó, điều kiện thời gian hoạt động của bạn là gì và bạn hoặc khách hàng của bạn phải đối mặt với loại rủi ro này như thế nào.

Bảo vệ DDoS dựa trên proxy có thể là một tùy chọn. Trong hầu hết các trường hợp, nó không phải là một lựa chọn rẻ tiền, nhưng tôi nghĩ đó là cách hiệu quả nhất. Tôi sẽ yêu cầu nhà cung cấp dịch vụ lưu trữ của tôi cho một giải pháp. RackSpace, ví dụ, cung cấp công cụ giảm thiểu nhiều tầng này . Tôi chắc chắn rằng tất cả các máy chủ lưu trữ lớn có giải pháp tương tự.