DOS saldırısını durdurma

9

Çalıştığım sitelerden biri son zamanlarda DoS'd almaya başladı. 30k RPS'de başladı ve şimdi 50k / dak. IP'lerin hepsi benzersizdir, aynı alt ağda değil ve birden fazla ülkede bulunmaktadır. Sadece ana sayfayı talep ediyorlar. Bunun nasıl durdurulacağına dair ipucu var mı?

Sunucular Linux üzerinde Apache ile web sunucusu olarak çalışıyor.

Teşekkürler

security ddos denial-of-service

— William
kaynak

Ne tür bir trafik? Ne tür bir DDoS olduğunu belirlediniz mi? yani, bant genişliğinizi mi tüketiyor yoksa sistem kaynaklarınızı mı tüketiyor?

— Josh Brower

Bu harika bir soru ama görünüşe göre gerçek bir cevap yok. Vay be, DoS tuğla duvarının çok kalın olduğunu hiç bilmiyordum.

— Xeoncross

4

Sadece bir DoS'a dayanmaya çalışmıyorsunuz, dağıtılmış ve uğraşması çok daha zor olan bir DDoS'ye dayanmaya çalışıyorsunuz.

Esasen, gayri meşru trafiği belirlemeye ve engellemeye çalışıyorsunuz. İdeal olarak, bu trafiği null olarak yönlendirmek istiyorsunuz (yukarı akış sağlayıcılarınızı null yönlendirmesi için daha iyi olsun.)

İlk çağrı portu tanımlamadır. Ana makinenize gönderilen trafiği tanımlamak için bir yol bulmanız gerekir. İster ortak bir kullanıcı aracısı olsun, gerçekte uygun bir tarayıcı kullanmıyor olmaları ( İPUCU: uygun tarayıcılar gibi davranıyorlar mı - yani 301 yönlendirmelerini takip ediyorlar), ister tüm istekler aynı anda veya nasıl taşınırsa her IP'nin saatte sunucunuza vurduğu birçok istek.

Onları tanımlamadan engelleyemezsiniz ve bunu yapmanın bir yolunu bulmanız gerekir.

Bu DDoS azaltma araçları, gerçek zamanlı olarak ve bir bombaya mal olmak dışında, esas olarak aynı şeyi yapar. Yarısının yanlış pozitifleri var ya da DDoS o kadar büyük ki zaten önemli değil, bu yüzden şimdi ya da gelecekte bunlardan birine yatırım yapmaya karar verirseniz paranızı nereye koyduğunuza dikkat edin.

Unutmayın: 1. KİMLİĞİ 2. BLOK . 1 zor kısmıdır.

— Philip Reynolds
kaynak

1

Sorun engellemiyor, sorun tanımlanıyor. Tanımlayamazsanız bir şeyi engelleyemezsiniz. Şimdiye kadar hiç desen görmedik. Gerçek tarayıcılar, istek sürelerinde kalıp yok, tamamen farklı ülkeler, yönlendiren yok, yönlendirmeleri takip ediyorlar, çerezleri kabul ediyorlar. Normal kullanıcılar gibi davranırlar. Anlaşılması neredeyse imkansız gibi görünüyor. Tüm trafiği Amazon'a yönlendirmeyi düşünüyoruz, Amazon'un ana sayfa için önbelleğe alınacak tüm istekleri ve şu anda web uygulamamız tarafından yönetilen diğer tüm sayfaları ele almasını istiyoruz. Yine de cevap için teşekkürler.

— William

Küçük düzeltme: muhtemelen gerçek tarayıcılar değildir , tanımlama üzerinde çalışırken bunu aklınızda bulundurun. Ayrıca, kullanıcı tabanınız nasıl görünüyor? Her şey ABD merkezli ise, biraz nefes odası almak için denizaşırı talepleri bir stopgap olarak engellemek isteyebilirsiniz ...

— Aralık'ta

İstekleri için Firefox, Chrome vb. Kullandıkları için "gerçek" tarayıcılar değiller. Fark edeceğiniz bir şey, bunların saatlerce çalışan bir RPS'nin benzersiz IP'leri olduğunu nasıl söyledim. Görünüşe göre bu "kişi" BÜYÜK bir botnet var, hatta veri merkezimiz (ThePlanet) de onu durdurmak için bir yol bulamıyor. Tarayıcı olup olmadığını söylemek çok kolay değil. Yönlendirmeleri takip ederse, çerezleri depolar vb. Nasıl anlarsınız? Ayrıca bir şeyi hatırlamanız gerekir, her istek benzersizdir. Yani bir IP'nin yasaklanması hiçbir şey ifade etmez. İstekler sunucumuza ulaşmadan önce engellenmelidir.

— William

Tarayıcı olmayanlar veya metin tabanlı tarayıcılar javascript çalıştırma eğiliminde değil mi? Hangi kullanıcı aracısı başlıklarını da sağlıyorlar?

— Philip Reynolds

1

Bunun kasıtlı bir DDoS olduğunu varsayıyorsunuz. Denenecek ilk şey IP adresini değiştirmektir. Aslında kasıtlı değilse, o zaman duracaktır.

Eğer kasıtlı değilse bu talepler nereden gelecektir? Rastgele olabilir veya yanlış bir hedef olabilir. Olası değil, ama denemeye değer.

Sadece bir sürü meşru trafik almadığınızdan emin misiniz? Belki de slashdotted falan. Günlüklerdeki yönlendirmelere bakmayı deneyin.

— Chase Seibert
kaynak

0

Ön uç yönlendiricinizin / yük dengeleyicinizin DOS saldırısı yönetimi yok mu? Bizimki fark eder ve fark yaratır.

— Chopper3
kaynak

Sorun, TÜM ip farklı ülkelerden, vb benzersizdir. Saldırganı meşru bir kullanıcıdan anlatmak için gerçekten hiçbir yolu yoktur. TÜM bant genişliğimiz şu anda yeniliyor, her şeyi yapabiliriz.

— William

Ancak DOS yöneten yönlendiriciler ve yük dengeleyiciler, trafiğin nereden geldiğini umursamıyorlar, belirli IP'lerden çok fazla DOS ile ilgili trafik türü görürlerse, onu görmezden gelirler ve işlerine devam ederler, böylece sunucuların sunucu ve müşteri trafiğinin doğru şekilde ele alınması. Cisco ve Foundry gibi insanlar bu alandaki çalışmalarından çok para kazanıyor ve gördüğünüz şey sıra dışı değil.

— Chopper3

0

Memba sağlayıcınızdan memba memurlarından yardım istemelerini isteyebilirsiniz. Diyelim ki yalnızca İngiliz kullanıcılarla bir web sitesi işletiyorsunuz. Ardından, genel olarak trafiğin nereden kaynaklandığını bazı whois veritabanını kullanarak kontrol edebilirsiniz. Diyelim ki, istenmeyen trafiğinizin önemli bir kısmı Rusya, Çin ve / veya Kore'den geliyor. Daha sonra, yukarı akış sağlayıcınızı çağırabilir ve kaynaklarına yakın yönlendiricileri olduğu varsayılarak, IP adreslerinizi bu alanlardan geçici olarak geçersiz kılmalarını sağlamak için kendi aramalarını isteyebilirsiniz.

Bu uzun vadeli bir çözüm değildir, ancak kullanıcı tabanınızın birkaç coğrafi alanda kümelenmesi yardımcı olur. Geçmişte böyle müşterilere yardımcı oldum, sadece akranlarını değil, sadece ulusal olanları duyurduklarını duyurdum. Bu bazı işlerini götürdü (artık uluslararası kullanılabilir werent çünkü ulaşılamaz bulan kullanıcılar) ama onun sadece hizmet alltogeather beeing daha çok daha iyi.

Ama günün sonunda bu daha umutsuz bir eylem. Ancak bir uzuvun kesilmesi vücudu kaybetmekten daha iyidir.

Eğer şanslıysanız, yukarı doğru sağlayıcı sağlayıcınız ekipmana sahiptir ve istenmeyen trafiğin çoğunu filtrelemenize yardımcı olmaya hazırdır.

İyi şanslar :-)

— Rune Nilssen
kaynak