Припинення атаки DOS

9

Один із сайтів, з якими я працюю, нещодавно почав отримувати DoS'd. Він стартував з 30 к / с, а тепер - 50 к / хв. Практично захищені IP-адреси майже всі унікальні, не в одній підмережі, а є у багатьох країнах. Вони вимагають лише головну сторінку. Будь-які поради, як це зупинити?

Сервери працюють на Linux із Apache як веб-сервер.

Дякую

security ddos denial-of-service

— Вільям
джерело

Що це за трафік? Ви визначили, що це за DDoS? тобто це споживає вашу пропускну здатність або вона споживає ваші системні ресурси?

— Джош Броуер

Це велике запитання, але, мабуть, немає реальної відповіді. Нічого собі, я ніколи не знав, що цегляна стіна DoS така товста.

— Xeoncross

4

Ви не просто намагаєтесь протистояти DoS, ви намагаєтесь протистояти DDoS, який розповсюджується і набагато складніше боротися.

По суті, ви намагаєтесь виявити нелегітимний трафік та заблокувати їх. В ідеалі, ви хочете зняти нанівець цей трафік (ще краще попросіть своїх постачальників вище за поточним маршрутом прокласти його).

Перший порт виклику - ідентифікація. Вам потрібно знайти якийсь спосіб визначити трафік, який направляється вашому хосту. Невже це звичайний користувальницький агент, чи це факт, що вони насправді не використовують належний веб-переглядач ( Підказка: чи діють вони як належні браузери - тобто слідкують за переадресаціями 301), чи всі запити заливаються точно в той самий час або як багато запитів кожного IP-адреси потрапляє на ваш сервер за годину.

Ви не можете їх заблокувати, не визначивши їх, і вам потрібно знайти якийсь спосіб зробити це.

Ці інструменти для пом'якшення DDoS по суті роблять те саме, за винятком реального часу і коштують бомби. Половину часу є помилкові позитиви або DDoS настільки великий, що це все одно не має значення, тому будьте обережні, куди ви сюди вкладете свої гроші, якщо ви все-таки вирішите інвестувати в один з них зараз чи в майбутньому.

Запам’ятайте: 1. ІДЕНТИФІЯ 2. БЛОК . 1 - важка частина.

— Філіп Рейнольдс
джерело

1

Проблема не блокується, проблема виявляється. Ви не можете заблокувати щось, якщо не зможете його ідентифікувати. Поки ми взагалі не бачили жодних зразків. Справжні браузери, жодних зразків у часі запитів, абсолютно різних країн, немає посилань, вони слідують за переадресаціями, вони приймають файли cookie. Вони діють як звичайні користувачі. Схоже, це майже неможливо сказати. Ми думаємо про спрямування всього трафіку на Amazon, маємо Amazon обробляти всі запити на домашню сторінку, яка буде кешована, та всі інші сторінки, якими зараз обробляється наш веб-додаток. Дякую за відповідь, хоча.

— Вільям

Незначні виправлення: вони, мабуть, не справжні веб-переглядачі, майте це на увазі, працюючи над ідентифікацією. Крім того, як виглядає ваша база користувачів? Якщо це все, орієнтоване на США, ви, можливо, захочете заблокувати замовлення в офшорному режимі, як зупинка, щоб придбати вам трохи місця для дихання ...

— pboin

Вони не "справжні" браузери в тому сенсі, що вони використовують Firefox, Chrome тощо для своїх запитів. Одне, що ви помітите, це те, як я сказав, що це унікальні IP-адреси, що працюють годинами, на такому високому рівні RPS. У цієї "людини" є ВЕЛИЧИЙ ботнет, мабуть, навіть наш центр обробки даних (ThePlanet) не може знайти способу його зупинити. Не дуже легко сказати, чи це браузер чи ні. Якщо ви переходите до переспрямувань, зберігає файли cookie тощо, як вам це сказати? Крім того, що вам потрібно щось запам'ятати, кожен запит є унікальним. Тож заборона ІР нічого не означає. Запити потрібно заблокувати, перш ніж вони потрапляють на наш сервер.

— Вільям

Не браузери або текстові браузери, як правило, не запускають JavaScript? Який заголовок агента користувача вони також постачають?

— Філіп Рейнольдс

1

Ви припускаєте, що це навмисний DDoS. Перше, що потрібно спробувати, - це змінити IP-адресу. Якщо це насправді не навмисне, то воно зупиниться.

Звідки беруться ці запити, якщо це не навмисно? Це може бути випадковим чином, або це може бути помилковою ціллю. Навряд чи, але варто спробувати.

Ви впевнені, що не просто завантажуєте законний трафік? Можливо, ви були косою, або щось таке. Спробуйте подивитися реферерів у журналах.

— Чейз Сейберт
джерело

0

Чи ваш маршрутизатор / балансир завантаження не має управління DOS-атакою? Наше це робить, і це робить світ різницею.

— Подрібнювач3
джерело

Проблема полягає в тому, що ВСІ ip унікальні, з різних країн тощо. Дійсно, не можна сказати зловмисникові від законного користувача. ВСЕ наша пропускна здатність зараз з'їдається, ми можемо зробити все, що завгодно.

— Вільям

Але маршрутизатори, що керують DOS, і балансири навантажень не хвилюються, звідки береться трафік, якщо вони бачать багато певного типу трафіку, пов’язаного з DOS, з певних IP-адрес, то вони ігнорують його і продовжують свою роботу незалежно, дозволяючи серверам трафік сервера та клієнта належним чином поводиться. Такі люди, як Cisco та Foundry, заробляють багато грошей на роботі в цій галузі, і те, що ви бачите, зовсім не є звичайним.

— Chopper3

0

Ви можете попросити свого постачальника вище за течією попросити їхнього вище за течією. Скажімо, наприклад, що ви працюєте з веб-сайтом лише з Великобританії. Тоді ви можете перевірити, звідки трафік взагалі бере початок із використання якоїсь бази даних Whois. Скажімо, наприклад, що значна частина вашого небажаного трафіку трапляється з Росії, Китаю та / або Кореї. Тоді ви можете зателефонувати своєму постачальнику вище за течією та змусити їх зателефонувати, щоб вони тимчасово зводили ваші IP-адреси з цих областей, якщо вони мають маршрутизатори, близькі до джерел.

Це не довгострокове рішення, але це допомагає, якщо ваша база користувачів кластеризована в декількох географічних районах. У минулому Ive допомагав таким клієнтам, просто не оголошуючи їх передбачуваними однолітками, а лише національними. Це забрало частину їхнього бізнесу геть (користувачі, які виявили їх недосяжними, оскільки вони вже не доступні у всьому світі), але це набагато краще, ніж просто відмовитися від служби alltogeather.

Але наприкінці дня це більше відчайдушний вчинок. Але краще обрізати кінцівку, ніж ослабити тіло.

Якщо вам пощастило, постачальник постачальників вище за течією має обладнання та готовий допомогти вам відфільтрувати більшу частину небажаного трафіку.

Удачі :-)

— Руна Нільссена
джерело