Які найкращі методи запобігання відмовам у нападі на службу?

В даний час я використовую (D) DoS-Deflate для управління такими ситуаціями на численних віддалених серверах, а також Apache JMeter для тестування навантажень.

В цілому це працює досить добре, хоча я хотів би почути кілька пропозицій від гуру, які працювали з такими обставинами довше, ніж у мене. Я впевнений, що ті, хто працює в бізнесі, що займається веб-хостингом, мали свою справедливу частку у вирішенні цих ситуацій. Тож мені цікаво, які найкращі практики стосуються таких проблем у корпоративному середовищі?

Запобігання DDoS в основному полягає в тому, щоб не бути ціллю. Не розміщуйте ігрові сервери, сайти для азартних ігор та порно та інші речі, які зазвичай дратують людей.

Пом'якшення DDoS-атаки відбувається у двох формах:

• вміння ігнорувати трафік і скидати зайве навантаження, що корисно, коли ви знаходитесь під атакою, яка намагається зняти вас, перевантажуючи ваші машини (а також стане в нагоді, якщо ви коли-небудь отримаєте "Slashdotted";
• можливість відхиляти зловживаний мережевий трафік вище за вас, щоб він не засмічував ваші посилання та не виводив з вами зв’язок.

Перший дещо залежить від того, що саме ви обслуговуєте, але зазвичай зводиться до певної комбінації кешування, обробки переповнення (виявлення, коли сервери "наповнені" та перенаправлення нових з'єднань на "вибачте" сторінку з низьким використанням ресурсів) і витончена деградація обробки запитів (наприклад, не роблячи динамічного відтворення зображень).

Останнє вимагає гарної комунікації з вашими потоками - попросіть номер телефону NOC-кодів ваших потоків нанести на внутрішню сторону повік (або, принаймні, на вікі-де-небудь, де не розміщено там же, де ваші виробничі сервери. .

Ви не згадуєте, який у вас захист по периметру. За допомогою брандмауерів Cisco ви можете обмежити кількість ембріональних (половинних сеансів), які ваш брандмауер дозволить перед тим, як відрізати їх, одночасно дозволяючи пройти повний сеанс. За замовчуванням він необмежений, що не забезпечує захисту.

Засоби, що підтримують обладнання, на зразок навантажувачів, таких як Foundry ServerIron і Cisco ACE, чудово підходять для боротьби з величезною кількістю основних типів DOS / DDOS-атак, але не настільки гнучкі, як програмні рішення, які можуть швидше «навчити» новіші методи.

Одне хороше джерело інформації є на цьому сайті . Одним із заходів, про який вони лише згадують (і який варто вивчити далі) є включення файлів cookie SYN. Це запобігає всьому класу DoS-атак, запобігаючи зловмиснику відкривати велику кількість "напіввідкритих" з'єднань, намагаючись досягти максимальної кількості дескрипторів файлів, дозволених у процесі. (Дивіться сторінку bash, шукайте 'ulimit' вбудований з опцією '-n')

Відмова: Я не гуру захисту DDoS.

Я думаю, що це залежить від бюджету, який ви маєте на себе, які умови вашого режиму роботи та як ви або ваші клієнти піддаєтесь такому ризику.

Захист DDoS на основі проксі може бути можливим. У більшості випадків це не дешевий варіант, але я вважаю, що це найефективніше. Я б попросив у свого хостинг-провайдера рішення. Наприклад, RackSpace надає цей багаторівневий інструмент пом'якшення наслідків . Я впевнений, що всі великі хостери мають подібні рішення.