Dừng một cuộc tấn công DOS

9

Một trong những trang web tôi làm việc gần đây đã bắt đầu nhận DoS'd. Nó bắt đầu ở mức 30k RPS và bây giờ là 50k / phút. IP là khá nhiều duy nhất, không phải trong cùng một mạng con và ở nhiều quốc gia. Họ chỉ yêu cầu trang chính. Bất kỳ lời khuyên về làm thế nào để ngăn chặn điều này?

Các máy chủ đang chạy trên Linux với Apache là máy chủ web.

Cảm ơn

security  ddos  denial-of-service 
William
nguồn
Đó là loại giao thông nào? Bạn đã xác định nó là loại DDoS nào chưa? tức là, nó đang tiêu tốn băng thông của bạn hay nó đang tiêu tốn tài nguyên hệ thống của bạn?
Josh Brower
Đây là một câu hỏi tuyệt vời nhưng dường như không có câu trả lời thực sự. Wow, tôi không bao giờ biết rằng bức tường gạch DoS quá dày.
Xeoncross

Câu trả lời:

4

Bạn không chỉ cố gắng chịu đựng DoS, bạn đang cố gắng chống lại DDoS, được phân phối và khó đối phó hơn nhiều.

Về cơ bản, bạn đang cố gắng xác định lưu lượng truy cập bất hợp pháp và chặn chúng. Lý tưởng nhất là bạn muốn định tuyến lưu lượng truy cập này (thậm chí tốt hơn là nhờ các nhà cung cấp ngược dòng của bạn chuyển sang null.)

Cổng đầu tiên của cuộc gọi là nhận dạng. Bạn cần tìm một số cách để xác định lưu lượng đang được gửi đến máy chủ của bạn. Cho dù đó là tác nhân người dùng thông thường, cho dù thực tế là họ không thực sự sử dụng trình duyệt phù hợp ( GỢI Ý: họ có hành động như trình duyệt phù hợp hay không - tức là theo dõi chuyển hướng 301), cho dù tất cả các yêu cầu đều tràn vào cùng một lúc hay bằng cách nhiều yêu cầu mỗi IP đang truy cập máy chủ của bạn mỗi giờ.

Bạn không thể chặn chúng mà không xác định chúng và bạn cần tìm cách nào đó để làm điều đó.

Các công cụ giảm thiểu DDoS đó về cơ bản làm điều tương tự, ngoại trừ trong thời gian thực và tốn một quả bom. Một nửa thời gian có dương tính giả hoặc DDoS là rất lớn, dù sao đi nữa, vì vậy hãy cẩn thận khi bạn đặt tiền ở đây nếu bạn quyết định đầu tư vào một trong số chúng ngay bây giờ hoặc trong tương lai.

Ghi nhớ: 1. XÁC NHẬN 2. BLOCK . 1 là phần khó.

Philip Reynold
nguồn
1
Vấn đề không phải là chặn, vấn đề là xác định. Bạn không thể chặn thứ gì đó nếu bạn không thể xác định nó. Cho đến nay chúng tôi đã thấy không có mô hình nào cả. Các trình duyệt thực, không có mẫu trong thời gian yêu cầu, các quốc gia hoàn toàn khác nhau, không có người giới thiệu, họ theo dõi chuyển hướng, họ chấp nhận cookie. Họ hành động giống như người dùng bình thường. Điều này có vẻ như gần như không thể nói. Chúng tôi đang nghĩ đến việc định tuyến tất cả lưu lượng truy cập đến Amazon, để Amazon xử lý tất cả các yêu cầu cho trang chủ sẽ được lưu trong bộ nhớ cache và tất cả các trang khác được xử lý bởi ứng dụng web của chúng tôi. Cảm ơn vì câu trả lời.
William
Sửa lỗi nhỏ: có lẽ chúng không phải là trình duyệt thực, hãy ghi nhớ điều đó khi làm việc với nhận dạng. Ngoài ra, cơ sở người dùng của bạn trông như thế nào? Nếu tất cả đều tập trung vào Mỹ, bạn có thể muốn chặn các yêu cầu ra nước ngoài như một điểm dừng để mua cho bạn một chút phòng thở ...
pboin
Chúng không phải là trình duyệt "thực" theo nghĩa là chúng đang sử dụng Firefox, Chrome, v.v. cho các yêu cầu của chúng. Một điều bạn sẽ chú ý là cách tôi nói đây là những IP duy nhất, hoạt động hàng giờ, ở mức RPS cao. "Người" này có một botnet HUGE rõ ràng, ngay cả trung tâm dữ liệu của chúng tôi (ThePlanet) cũng không thể tìm ra cách để ngăn chặn nó. Thật không dễ để biết đó có phải là trình duyệt hay không. Nếu nó theo chuyển hướng, lưu trữ cookie, vv làm thế nào để bạn biết? Bên cạnh đó bạn cần phải nhớ một cái gì đó, mỗi yêu cầu là duy nhất. Vì vậy, cấm IP có nghĩa là không có gì. Các yêu cầu cần phải được chặn trước khi chúng tấn công máy chủ của chúng tôi.
William
Các trình duyệt không phải trình duyệt hoặc văn bản không có xu hướng chạy javascript? Những gì tiêu đề đại lý người dùng họ cũng cung cấp?
Philip Reynold
1

Bạn đang cho rằng đây là một DDoS có chủ ý. Điều đầu tiên để thử là thay đổi địa chỉ IP. Nếu nó không thực sự có chủ ý, thì nó sẽ dừng lại.

Những yêu cầu này sẽ đến từ đâu nếu nó không cố ý? Nó có thể là ngẫu nhiên, hoặc nó có thể là một mục tiêu sai lầm. Không thể, nhưng đáng để thử.

Bạn có chắc chắn rằng bạn không chỉ nhận được vô số lưu lượng truy cập hợp pháp? Có lẽ bạn đã bị chém, hoặc một cái gì đó. Hãy thử nhìn vào các giới thiệu trong nhật ký.

Đuổi theo Seibert
nguồn
0

Bộ định tuyến / bộ cân bằng tải phía trước của bạn không có quản lý tấn công DOS? Chúng ta làm và nó làm cho một thế giới của sự khác biệt.

Chopper3
nguồn
Vấn đề là, TẤT CẢ ip là duy nhất, từ các quốc gia khác nhau, v.v ... Thực sự không có cách nào để nói với kẻ tấn công từ một người dùng hợp pháp. TẤT CẢ băng thông của chúng tôi đang bị ăn mòn ngay bây giờ, chúng tôi có thể làm bất cứ điều gì.
William
Nhưng các bộ định tuyến và bộ cân bằng tải quản lý DOS không quan tâm lưu lượng đến từ đâu, nếu họ thấy nhiều loại lưu lượng liên quan đến DOS từ một số IP nhất định thì họ bỏ qua và tiếp tục với công việc của mình bất kể, cho phép máy chủ lưu lượng máy chủ và khách hàng được xử lý chính xác. Những người như Cisco và Foundry kiếm được rất nhiều tiền từ công việc của họ trong lĩnh vực này và những gì bạn thấy không có gì khác thường cả.
Chopper3
0

Bạn có thể yêu cầu nhà cung cấp thượng nguồn của bạn yêu cầu thượng nguồn của họ hỗ trợ. Ví dụ, hãy nói rằng bạn chỉ chạy một trang web với người dùng ở Vương quốc Anh. Sau đó, bạn có thể kiểm tra xem lưu lượng truy cập nói chung bắt nguồn từ việc sử dụng một số cơ sở dữ liệu whois. Ví dụ, hãy nói rằng một lượng đáng kể lưu lượng truy cập không mong muốn của bạn bắt nguồn từ Nga, Trung Quốc và / hoặc Hàn Quốc. Sau đó, bạn có thể gọi nhà cung cấp ngược dòng của mình và yêu cầu họ gọi cho họ để họ tạm thời chuyển địa chỉ IP của bạn khỏi các khu vực này, giả sử họ có bộ định tuyến gần với nguồn.

Đây không phải là một giải pháp lâu dài nhưng nó có ích nếu cơ sở người dùng của bạn được nhóm trong một vài khu vực địa lý. Trong quá khứ, Ive đã giúp khách hàng như thế này, chỉ đơn giản là không công bố họ để từ bỏ các đồng nghiệp, chỉ là những người quốc gia. Họ đã lấy đi một số công việc kinh doanh của họ (những người dùng thấy họ không thể truy cập được vì họ không còn khả dụng ở quốc tế nữa) nhưng tốt hơn nhiều so với việc sử dụng dịch vụ alltogeather.

Nhưng vào cuối ngày, đây là một hành động tuyệt vọng. Nhưng nó tốt hơn để cắt một chi hơn là mất cơ thể.

Nếu bạn may mắn, nhà cung cấp dịch vụ thượng nguồn của bạn có thiết bị và sẵn sàng giúp bạn lọc hầu hết lưu lượng không mong muốn.

Chúc may mắn :-)

Rune Nilssen
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.