Hizmet reddi saldırılarını önlemek için en iyi teknikler nelerdir?

9

Şu anda çok sayıda uzak sunucuda bu tür durumları yönetmek için (D) DoS- Deflate'i ve yük testi için Apache JMeter'i kullanıyorum .

Genel olarak oldukça iyi çalışıyor, ancak bu tür koşullarla çalıştığım guruların bazı önerilerini benden daha uzun süredir duymak istiyorum. Eminim bu web hosting iş çalışan bu durumlar ile ilgili kendi adil pay vardı. Kurumsal bir ortamda bu tür sorunlara yaklaşmak için en iyi uygulamaların ne olduğunu merak ediyorum.

load-balancing  denial-of-service  jmeter 
John T
kaynak
Daha önce (D) DoS-Deflate'i görmemiştim. Söylediğin için teşekkürler. Herhangi bir kusur var mı? "Oldukça iyi çalışıyor" Saldırıya uğradınız mı yoksa yasal bağlantıları kesmiyor musunuz?
Gareth
Kurulumdan sonra biraz tamir gerekiyordu, ancak her şey oldukça basit. Düzenli bağlantıları gayet iyi yönetir, ancak ağı tam kapasitesine kadar test etmek için JMeter kullanırken bunu çok iyi yapar ve JMeter çok daha az etkili olur.
John T

Yanıtlar:

4

DDoS'yi önlemek çoğunlukla hedef olmamakla ilgilidir. Oyun sunucularını, kumar / porno sitelerini ve insanları rahatsız etme eğiliminde olan diğer şeyleri barındırmayın.

DDoS saldırısını azaltmak iki şekilde gerçekleşir:

  • trafiği görmezden gelmek ve aşırı yük atmak, bu da makinelerinizi aşırı yükleyerek sizi aşağı indirmeye çalışan bir saldırı altındayken yararlıdır (ve "Slashdotted" alırsanız da kullanışlı olur;
  • bağlantınızı tıkamayacak ve bağlantınızı kesmeyecek şekilde kötüye kullanılan ağ trafiğini reddedebilmeniz.

Birincisi, tam olarak ne sunduğunuza bağlıdır, ancak genellikle önbellekleme, taşma işleme (sunucuların "dolu" olduğunu tespit etme ve yeni bağlantıları düşük kaynak kullanımı "özür dilerim" sayfasına yönlendirme) ve istek işlemenin zarif bir şekilde bozulması (örneğin, görüntülerin dinamik olarak oluşturulmasını engellemez).

İkincisi sizin upstreams ile iyi iletişim gerektirir - senin kapaklarınızın iç kısmına dövme sizin upstreams' NOCs telefon numarasını (veya bir wiki yerde çok az değil üretim sunucuları gibi aynı yerde ev sahipliği yaptı. ..) ve orada çalışan insanları tanıyın, böylece aradığınızda, rastgele bir johnny olmaktan ziyade ne hakkında konuştuklarını gerçekten bilen biri olarak hemen dikkat çekeceksiniz.

womble
kaynak
1
Yukarı akım koruması ve dövmeli rakamlar için +1
Andy
3

Ne tür bir çevre güvenliğiniz olduğunu söylemezsiniz. Cisco güvenlik duvarları ile, güvenlik duvarınızın kesilmeden önce izin vereceği embriyonik (yarım oturumlar) sayısını sınırlarken, aynı zamanda tam oturumların geçmesine izin verebilirsiniz. Varsayılan olarak sınırsızdır ve koruma sağlamaz.

GregD
kaynak
2

Foundry ServerIron ve Cisco ACE'ler gibi donanım destekli yük dengeleyiciler, çok sayıda ana DOS / DDOS saldırısı türüyle uğraşmak için mükemmeldir, ancak daha yeni teknikleri daha hızlı 'öğrenebilen' yazılım çözümleri kadar esnek değildir.

Chopper3
kaynak
2

Bilgi için iyi bir kaynak bu sitede . Sadece geçerken bahsettikleri (ve daha fazla araştırmaya değer) bir ölçü SYN çerezlerini etkinleştirmektir. Bu, bir saldırganın işlem başına izin verilen maksimum dosya tanıtıcı sayısına ulaşmak amacıyla çok sayıda 'yarı açık' bağlantı açmasını engelleyerek tüm DoS saldırı sınıfını önler. (Bash manpage'e bakın, '-n' seçeneğiyle 'ulimit' yerleşimini arayın)

eternaleye
kaynak
1

Feragatname: Ben bir DDoS koruma gurusu değilim.

Bunun bütçeniz, çalışma süresi koşullarınızın ne olduğuna ve sizin veya müşterilerinizin bu tür risklere nasıl maruz kaldığına bağlı olduğunu düşünüyorum.

Proxy tabanlı DDoS koruması bir seçenek olabilir. Çoğu durumda ucuz bir seçenek değildir, ancak bence en etkili olanıdır. Hosting sağlayıcımdan bir çözüm isteyebilirim. Örneğin RackSpace, bu çok katmanlı azaltma aracını sağlar . Eminim tüm büyük sunucuların benzer çözümleri vardır.

splattne
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.