อะไรคือเทคนิคที่ดีที่สุดในการป้องกันการปฏิเสธการโจมตีบริการ?

9

ขณะนี้ฉันได้ใช้(D) DoS-Deflateเพื่อจัดการสถานการณ์ดังกล่าวบนเซิร์ฟเวอร์ระยะไกลจำนวนมากพร้อมกับApache JMeterสำหรับการทดสอบโหลด

โดยรวมแล้วมันทำงานได้ค่อนข้างดีแม้ว่าฉันต้องการฟังคำแนะนำจากกูรูที่ทำงานกับสถานการณ์แบบนี้มานานกว่าที่ฉันมี ฉันแน่ใจว่าผู้ที่ทำงานในธุรกิจเว็บโฮสติ้งมีส่วนแบ่งที่ยุติธรรมในการจัดการกับสถานการณ์เหล่านี้ ดังนั้นฉันสงสัยว่าแนวทางปฏิบัติที่ดีที่สุดคือการจัดการกับปัญหาประเภทนี้ในสภาพแวดล้อมขององค์กร

load-balancing denial-of-service jmeter

— จอห์นที
แหล่งที่มา

ฉันไม่เคยเห็น (D) DoS-Deflate มาก่อน ขอบคุณสำหรับหัวขึ้น. ข้อบกพร่องใด ๆ "ทำงานค่อนข้างดี" คุณถูกโจมตีหรือไม่เพียงแค่ทำให้การเชื่อมต่อที่ผิดกฎหมายใช่หรือไม่

— Gareth

มันต้องมีการแก้ไขเล็กน้อยหลังจากติดตั้ง แต่ทุกอย่างนั้นค่อนข้างตรงไปตรงมา มันจัดการการเชื่อมต่อปกติได้ดี แต่เมื่อใช้ JMeter เพื่อทดสอบความแข็งแรงของเครือข่ายมันจะทำการดีขึ้นและ JMeter จะมีประสิทธิภาพน้อยกว่ามาก

— John T

4

การป้องกัน DDoS นั้นส่วนใหญ่ไม่ได้เป็นเป้าหมาย อย่าโฮสต์เซิร์ฟเวอร์เกมการพนัน / เว็บไซต์ลามกและสิ่งอื่น ๆ ที่ทำให้คนอื่นรำคาญ

การบรรเทาการโจมตี DDoS มีสองรูปแบบ:

ความสามารถในการเพิกเฉยต่อการรับส่งข้อมูลและลดภาระส่วนเกินซึ่งเป็นประโยชน์เมื่อคุณถูกโจมตีซึ่งพยายามที่จะทำให้คุณล้มลงโดยการบรรทุกเครื่องจักรของคุณมากเกินไป (และยังมีประโยชน์หากคุณได้รับ
ความสามารถในการปฏิเสธทราฟฟิกเครือข่ายที่ไม่เหมาะสมของคุณเพื่อไม่ให้เกิดการอุดตันลิงก์และนำการเชื่อมต่อของคุณออก

ก่อนหน้านี้ค่อนข้างขึ้นอยู่กับสิ่งที่คุณกำลังให้บริการ แต่โดยทั่วไปจะมีการรวมกันของการแคชการจัดการล้น (การตรวจจับเมื่อเซิร์ฟเวอร์ "เต็ม" และเปลี่ยนเส้นทางการเชื่อมต่อใหม่ไปยังหน้าการใช้ทรัพยากรต่ำ "ขอโทษ") และการลดระดับการประมวลผลคำขออย่างนุ่มนวล (ตัวอย่างเช่นอย่าแสดงภาพแบบไดนามิก)

สิ่งหลังต้องการการสื่อสารที่ดีกับ upstreams ของคุณ - ให้หมายเลขโทรศัพท์ของ NOC ของ upstreams 'ของคุณถูกรอยสักที่ด้านในของเปลือกตาของคุณ (หรืออย่างน้อยที่สุดใน wiki ที่ไม่ได้โฮสต์ในสถานที่เดียวกันกับเซิร์ฟเวอร์ที่ใช้งานจริงของคุณ .. ) และทำความรู้จักกับคนที่ทำงานที่นั่นดังนั้นเมื่อคุณโทรหาคุณจะได้รับความสนใจทันทีในฐานะคนที่รู้ว่าพวกเขากำลังพูดถึงอะไรมากกว่าแค่เป็นจอห์นนี่แบบสุ่ม

— womble
แหล่งที่มา

1

+1 สำหรับการป้องกันอัปสตรีมและตัวเลขที่มีรอยสัก

— Andy

3

คุณไม่ได้พูดถึงสิ่งที่คุณมีในการรักษาความปลอดภัยปริมณฑล ด้วยไฟร์วอลล์ของ Cisco คุณสามารถ จำกัด จำนวนตัวอ่อน (ครึ่งเซสชัน) ที่ไฟร์วอลล์ของคุณอนุญาตก่อนที่จะตัดออกในขณะที่ยังอนุญาตให้ใช้งานเซสชันทั้งหมดได้ โดยค่าเริ่มต้นมันไม่ จำกัด ซึ่งไม่มีการป้องกัน

— GregD
แหล่งที่มา

2

ตัวโหลดบาลานซ์ที่ใช้ฮาร์ดแวร์ช่วยเช่น Foundry ServerIron และ Cisco ACEs นั้นยอดเยี่ยมสำหรับการจัดการกับการโจมตี DOS / DDOS ประเภทหลักจำนวนมาก แต่ไม่ค่อยยืดหยุ่นเท่าโซลูชันซอฟต์แวร์ที่สามารถเรียนรู้เทคนิคใหม่ ๆ ได้เร็วขึ้น

— Chopper3
แหล่งที่มา

2

แหล่งข้อมูลที่ดีแหล่งหนึ่งอยู่ที่เว็บไซต์นี้ มาตรการหนึ่งที่พวกเขาพูดถึงเมื่อผ่าน (และที่ควรค่าแก่การค้นคว้าเพิ่มเติม) คือการเปิดใช้งานคุกกี้ SYN สิ่งนี้จะป้องกันการโจมตี DoS ทั้งคลาสโดยป้องกันผู้โจมตีจากการเปิดการเชื่อมต่อแบบ 'เปิดครึ่ง' จำนวนมากเพื่อพยายามเข้าถึงตัวอธิบายไฟล์สูงสุดที่อนุญาตต่อกระบวนการ (ดู manpage ทุบตีมองหา 'ulimit' builtin ด้วยตัวเลือก '-n')

— eternaleye
แหล่งที่มา

1

ข้อจำกัดความรับผิดชอบ: ฉันไม่ใช่กูรูการประท้วง DDoS

ฉันคิดว่ามันขึ้นอยู่กับงบประมาณที่คุณมีเงื่อนไขเงื่อนไขการใช้บริการของคุณคืออะไรและคุณหรือลูกค้าของคุณต้องเผชิญกับความเสี่ยงประเภทนี้อย่างไร

การป้องกัน DDoS ที่ใช้พร็อกซีอาจเป็นตัวเลือก ในกรณีส่วนใหญ่มันไม่ใช่ตัวเลือกที่ถูก แต่ฉันคิดว่ามันมีประสิทธิภาพมากที่สุด ฉันจะขอคำแนะนำจากผู้ให้บริการโฮสต์ของฉัน ตัวอย่างเช่น RackSpace จัดเตรียมเครื่องมือการลดหลายระดับนี้ ฉันแน่ใจว่าร้านขายยาขนาดใหญ่ทั้งหมดมีวิธีแก้ไขปัญหาที่คล้ายกัน

— splattne
แหล่งที่มา