หยุดการโจมตีแบบ DOS

9

หนึ่งในไซต์ที่ฉันทำงานด้วยเพิ่งเริ่มรับ DoS'd มันเริ่มต้นที่ 30k RPS และตอนนี้มันอยู่ที่ 50k / นาที IP นั้นค่อนข้างมีเอกลักษณ์ไม่เหมือนกันในซับเน็ตเดียวกันและอยู่ในหลายประเทศ พวกเขาขอหน้าหลักเท่านั้น มีเคล็ดลับเกี่ยวกับวิธีหยุดสิ่งนี้หรือไม่?

เซิร์ฟเวอร์กำลังทำงานบน Linux โดยมี Apache เป็นเว็บเซิร์ฟเวอร์

ขอบคุณ

security ddos denial-of-service

— วิลเลียม
แหล่งที่มา

มันเป็นจราจรแบบไหน? คุณได้ระบุ DDoS ว่าเป็นประเภทใด เช่นมันใช้แบนด์วิดท์ของคุณหรือใช้ทรัพยากรระบบของคุณหรือไม่

— Josh Brower

นี่เป็นคำถามที่ดี แต่เห็นได้ชัดว่าไม่มีคำตอบที่แท้จริง ว้าวฉันไม่เคยรู้เลยว่ากำแพงอิฐ DoS หนามาก

— Xeoncross

4

คุณไม่เพียง แต่พยายามทนต่อ DoS แต่คุณกำลังพยายามต้านทาน DDoS ซึ่งมีการแจกจ่ายและยากที่จะจัดการ

โดยพื้นฐานแล้วคุณกำลังพยายามระบุปริมาณการใช้งานที่ผิดกฎหมายและบล็อก เป็นการดีที่สุดที่คุณต้องการกำหนดเส้นทางการรับส่งข้อมูลนี้ (ดียิ่งขึ้นให้ผู้ให้บริการอัปสตรีมของคุณเพื่อกำหนดเส้นทางการว่าง)

พอร์ตแรกของการโทรคือการระบุ คุณต้องหาวิธีที่จะระบุปริมาณการใช้งานที่ถูกส่งไปยังโฮสต์ของคุณ ไม่ว่าจะเป็นตัวแทนผู้ใช้ทั่วไปไม่ว่าจะเป็นความจริงที่ว่าพวกเขาไม่ได้ใช้เบราว์เซอร์ที่เหมาะสม ( คำแนะนำ:พวกเขาทำตัวเหมือนเบราว์เซอร์ที่เหมาะสมหรือไม่เช่นติดตามการเปลี่ยนเส้นทาง 301) ไม่ว่าคำขอทั้งหมดจะท่วม คำขอจำนวนมากที่ IP แต่ละรายการใช้เซิร์ฟเวอร์ของคุณต่อชั่วโมง

คุณไม่สามารถบล็อกได้โดยไม่ต้องระบุตัวตนและคุณต้องหาวิธีในการทำเช่นนั้น

เครื่องมือบรรเทาสาธารณภัย DDoS นั้นทำสิ่งเดียวกันยกเว้นในเวลาจริงและใช้ระเบิด ครึ่งหนึ่งของเวลานั้นมีผลบวกที่ผิดพลาดหรือ DDoS มีขนาดใหญ่มากมันไม่สำคัญเลยดังนั้นโปรดระมัดระวังที่คุณใส่เงินของคุณที่นี่ถ้าคุณตัดสินใจที่จะลงทุนกับพวกเขาทั้งในตอนนี้หรือในอนาคต

จำเอาไว้: 1. ระบุ 2. BLOCK 1 คือส่วนที่ยาก

— Philip Reynolds
แหล่งที่มา

1

ปัญหาไม่ได้ปิดกั้นปัญหาระบุอยู่ คุณไม่สามารถบล็อกบางสิ่งได้หากคุณไม่สามารถระบุได้ จนถึงตอนนี้เราไม่เห็นรูปแบบเลย เบราว์เซอร์จริงไม่มีรูปแบบในเวลาที่ร้องขอประเทศที่แตกต่างอย่างสิ้นเชิงไม่มีผู้อ้างอิงพวกเขาติดตามการเปลี่ยนเส้นทางพวกเขายอมรับคุกกี้ พวกเขาทำหน้าที่เหมือนผู้ใช้ทั่วไป ดูเหมือนว่าแทบจะเป็นไปไม่ได้ที่จะบอก เรากำลังคิดที่จะกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดไปยังอเมซอนให้ Amazon จัดการคำขอทั้งหมดสำหรับหน้าแรกที่จะถูกแคชและหน้าอื่น ๆ ทั้งหมดที่จัดการโดยเว็บแอปของเราในตอนนี้ ขอบคุณสำหรับคำตอบว่า

— วิลเลียม

การแก้ไขเล็กน้อย: พวกเขาอาจไม่ใช่เบราว์เซอร์จริงโปรดจำไว้ว่าเมื่อทำงานกับการระบุตัวตน นอกจากนี้ฐานผู้ใช้ของคุณเป็นอย่างไร หากเป็นศูนย์กลางของสหรัฐอเมริกาคุณอาจต้องการปิดกั้นคำขอนอกชายฝั่งในฐานะที่เป็นจุดแวะพักเพื่อซื้อห้องหายใจเล็ก ๆ น้อย ๆ ให้กับคุณ ...

— pboin

พวกเขาไม่ใช่เบราว์เซอร์ "ของจริง" ในแง่ที่ว่าพวกเขากำลังใช้ Firefox, Chrome และอื่น ๆ สำหรับคำขอของพวกเขา สิ่งหนึ่งที่คุณจะสังเกตเห็นคือวิธีที่ฉันพูดว่าสิ่งเหล่านี้เป็น IP ที่ไม่ซ้ำใครทำงานเป็นเวลาหลายชั่วโมงที่ RPS ระดับสูง "บุคคล" นี้มีบ็อตเน็ตขนาดใหญ่อย่างชัดเจนแม้แต่ศูนย์ข้อมูลของเรา (ThePlanet) ก็ไม่สามารถหาวิธีหยุดได้เช่นกัน มันไม่ง่ายเลยที่จะบอกได้ว่ามันเป็นเบราว์เซอร์หรือไม่ หากติดตามการเปลี่ยนเส้นทางเก็บคุกกี้ ฯลฯ คุณจะบอกได้อย่างไร นอกจากนี้คุณต้องจำบางสิ่งคำขอแต่ละใบมีเอกลักษณ์ ดังนั้นการแบนไอพีจึงไม่มีความหมายอะไรเลย คำขอจะต้องถูกบล็อกก่อนที่จะถึงเซิร์ฟเวอร์ของเรา

— วิลเลียม

ไม่ใช่เบราว์เซอร์หรือเบราว์เซอร์ที่ใช้ข้อความจะไม่เรียกใช้จาวาสคริปต์หรือ ส่วนหัวตัวแทนผู้ใช้ใดที่พวกเขากำลังจัดหายัง

— Philip Reynolds

1

คุณกำลังสมมติว่านี่เป็น DDoS โดยเจตนา สิ่งแรกที่ต้องลองคือเปลี่ยนที่อยู่ IP ถ้ามันไม่ได้ตั้งใจจริงแล้วมันจะหยุด

คำขอเหล่านี้มาจากที่ใดหากไม่ได้ตั้งใจ มันอาจเป็นแบบสุ่มหรืออาจเป็นเป้าหมายที่เข้าใจผิด ไม่น่ามี แต่ควรลองดู

คุณแน่ใจหรือไม่ว่าคุณไม่ได้รับปริมาณข้อมูลที่ถูกต้องตามกฎหมายเท่านั้น บางทีคุณอาจถูกเฉือนหรือบางสิ่งบางอย่าง ลองดูผู้อ้างอิงในบันทึก

— Chase Seibert
แหล่งที่มา

0

front-end router / load-balancer ของคุณไม่มีการจัดการโจมตีแบบ DOS หรือไม่? เราทำและทำให้โลกแตกต่าง

— Chopper3
แหล่งที่มา

ปัญหาคือว่าไอพีทั้งหมดนั้นมีเอกลักษณ์เฉพาะตัวจากประเทศต่าง ๆ ฯลฯ ไม่มีทางที่จะบอกผู้โจมตีจากผู้ใช้ที่ถูกกฎหมาย แบนด์วิดท์ทั้งหมดของเรากำลังถูกกินหมดเราสามารถทำอะไรได้เลย

— วิลเลียม

แต่เราเตอร์ที่จัดการกับ DOS และตัวโหลดบาลานซ์ไม่สนใจว่าทราฟฟิกมาจากไหนหากพวกเขาเห็นทราฟฟิกที่เกี่ยวข้องกับดอสจาก IP ของบางประเภทพวกเขาก็ไม่สนใจและทำงานต่อโดยไม่คำนึงถึง การรับส่งข้อมูลเซิร์ฟเวอร์และลูกค้าจะได้รับการปฏิบัติอย่างถูกต้อง ผู้คนอย่าง Cisco และ Foundry ทำเงินได้มากมายจากงานของพวกเขาในพื้นที่นี้และสิ่งที่คุณเห็นไม่ได้ผิดไปจากปกติ

— Chopper3

0

คุณสามารถขอให้ผู้ให้บริการอัปสตรีมของคุณเพื่อขอให้อัปสตรีมของพวกเขาให้ความช่วยเหลือ ให้บอกเช่นว่าคุณใช้เว็บไซต์กับผู้ใช้ในสหราชอาณาจักรเท่านั้น จากนั้นคุณสามารถตรวจสอบว่าทราฟฟิกทั่วไปมาจากการใช้ฐานข้อมูล whois ช่วยบอกเช่นว่าปริมาณการรับส่งข้อมูลที่ไม่ต้องการของคุณเกิดขึ้นจากรัสเซียจีนและ / หรือเกาหลี จากนั้นคุณสามารถเรียกผู้ให้บริการต้นน้ำของคุณและให้พวกเขาเรียกพวกเขาเพื่อให้พวกเขาเป็นโมฆะที่อยู่ IP ของคุณชั่วคราวจากพื้นที่เหล่านี้สมมติว่าพวกเขามีเราเตอร์ใกล้กับแหล่งที่มา

นี่ไม่ใช่วิธีแก้ปัญหาระยะยาว แต่จะช่วยได้หากฐานผู้ใช้ของคุณอยู่ในพื้นที่ทางภูมิศาสตร์ไม่กี่แห่ง ในอดีตที่ผ่านมาฉันได้ช่วยเหลือลูกค้าเช่นนี้อย่าเพิ่งประกาศให้พวกเขารู้ล่วงหน้า สิ่งนี้ทำให้ธุรกิจบางส่วนของพวกเขาหายไป (ผู้ใช้ที่พบว่าพวกเขาไม่สามารถเข้าถึงได้เพราะพวกเขาไม่สามารถใช้งานได้ในต่างประเทศอีกต่อไป) แต่มันก็ยังดีกว่าการใช้บริการนอกสถานที่

แต่ในตอนท้ายของวันนี้เป็นการกระทำที่สิ้นหวังมากกว่า แต่มันจะดีกว่าถ้าจะตัดขา

หากคุณโชคดีผู้ให้บริการต้นน้ำของคุณมีอุปกรณ์และยินดีที่จะช่วยคุณกรองปริมาณการใช้งานที่ไม่พึงประสงค์ออกไป

โชคดี :-)

— Rune Nilssen
แหล่งที่มา