Остановка атаки DOS

9

Один из сайтов, с которыми я работаю, недавно начал получать DoS'd. Это началось со скоростью 30 тыс. Оборотов в минуту, а теперь - 50 тыс. / Мин. Все IP-адреса практически уникальны, они не находятся в одной подсети и находятся в разных странах. Они только запрашивают главную страницу. Любые советы о том, как это остановить?

Серверы работают на Linux с Apache в качестве веб-сервера.

Спасибо

security ddos denial-of-service

— Уильям
источник

Что это за трафик? Вы определили, что это за DDoS? то есть он потребляет вашу пропускную способность или ресурсы вашей системы?

— Джош Брауэр

Это отличный вопрос, но, по-видимому, нет реального ответа. Вау, я никогда не знал, что кирпичная стена DoS была такой толстой.

— Xeoncross

4

Вы не просто пытаетесь противостоять DoS, вы пытаетесь противостоять DDoS, который распределен и с которым гораздо сложнее иметь дело.

По сути, вы пытаетесь выявить незаконный трафик и заблокировать его. В идеале, вы хотите обнулить этот трафик (еще лучше, чтобы ваши вышестоящие провайдеры обнуляли его).

Первый порт захода - идентификация. Вам нужно найти способ идентифицировать трафик, который отправляется на ваш хост. Является ли это обычным пользовательским агентом, является ли это фактом, что они на самом деле не используют надлежащий браузер ( СОВЕТ: они действуют как надлежащие браузеры - т.е. следуют перенаправлениям 301), независимо от того, поступают ли все запросы в одно и то же время или как много запросов каждый IP-адрес вашего сервера в час.

Вы не можете заблокировать их, не идентифицируя их, и вам нужно найти какой-то способ сделать это.

Эти инструменты предотвращения DDoS-атак, по сути, делают то же самое, за исключением того, что в режиме реального времени они стоят бомбы. В половине случаев есть ложные срабатывания, или DDoS настолько велик, что это не имеет значения, поэтому будьте осторожны, когда вкладываете свои деньги сюда, если решите инвестировать в один из них сейчас или в будущем.

Помните: 1. ОПРЕДЕЛИТЬ 2. БЛОК . 1 трудная часть.

— Филип Рейнольдс
источник

1

Проблема не в блокировании, проблема в идентификации. Вы не можете заблокировать что-то, если не можете идентифицировать это. До сих пор мы не видели никаких шаблонов вообще. Реальные браузеры, нет шаблонов во время запроса, совершенно разные страны, нет реферера, они следуют перенаправлениям, они принимают куки. Они действуют как обычные пользователи. Похоже, это почти невозможно сказать. Мы думаем о маршрутизации всего трафика в Amazon, чтобы Amazon обрабатывал все запросы на домашнюю страницу, которая будет кэшироваться, и на всех других страницах, обрабатываемых нашим веб-приложением. Спасибо за ответ, хотя.

— Уильям

Небольшое исправление: они, вероятно, не настоящие браузеры, имейте это в виду при работе над идентификацией. Кроме того, как выглядит ваша пользовательская база? Если все это ориентировано на США, вы можете заблокировать оффшорные запросы в качестве временного промежутка, чтобы купить вам немного передышки ...

— pboin

Они не «настоящие» браузеры в том смысле, что они используют Firefox, Chrome и т. Д. Для своих запросов. Одна вещь, которую вы заметите, это то, как я сказал, что это уникальные IP-адреса, работающие в течение нескольких часов, с таким высоким значением RPS. Этот «человек» имеет ОГРОМНЫЙ ботнет, по-видимому, даже наш дата-центр (ThePlanet) также не может найти способ остановить его. Не очень легко сказать, браузер это или нет. Если он выполняет переадресацию, хранит файлы cookie и т. Д. Как вы скажете? Кроме того, вы должны помнить что-то, каждый запрос уникален. Так что запрещение IP ничего не значит. Запросы должны быть заблокированы, прежде чем они попадут на наш сервер.

— Уильям

Не браузеры или текстовые браузеры не склонны запускать javascript? Какой заголовок пользовательского агента они также предоставляют?

— Филипп Рейнольдс

1

Вы предполагаете, что это преднамеренный DDoS. Первое, что нужно попробовать, это изменить IP-адрес. Если это на самом деле не преднамеренно, то это остановится.

Откуда будут поступать эти запросы, если они не являются преднамеренными? Это может быть случайным или ошибочной целью. Вряд ли, но стоит попробовать.

Вы уверены, что вы не просто получаете множество законного трафика? Может быть, вы были косой чертой, или что-то. Попробуйте посмотреть на рефералов в логах.

— Чейз Сейберт
источник

0

Ваш внешний маршрутизатор / балансировщик нагрузки не имеет управления DOS-атаками? Наш делает, и это делает мир различий.

— Chopper3
источник

Проблема в том, что ВСЕ ip уникальны из разных стран и т. Д. Нет никакого способа отличить злоумышленника от легитимного пользователя. ВСЕ из нашей пропускной способности в настоящее время съедено, мы можем сделать что-нибудь.

— Уильям

Но DOS-управляющим маршрутизаторам и балансировщикам нагрузки не важно, откуда идет трафик, если они видят много определенного типа трафика, связанного с DOS, с определенных IP-адресов, то они игнорируют его и продолжают свою работу независимо от того, позволяют серверам трафик сервера и клиента должен обрабатываться правильно. Такие люди, как Cisco и Foundry, зарабатывают много денег на своей работе в этой области, и то, что вы видите, вовсе не необычно.

— Chopper3

0

Вы можете попросить вашего вышестоящего провайдера попросить помочь вышестоящим. Допустим, например, что у вас есть веб-сайт только для пользователей из Великобритании. Затем вы можете проверить, откуда происходит трафик, используя некоторую базу данных whois. Допустим, например, что значительная часть вашего нежелательного трафика происходит из России, Китая и / или Кореи. Затем вы можете позвонить своему вышестоящему провайдеру и попросить его вызвать их, чтобы они временно обнуляли ваши IP-адреса из этих областей, предполагая, что у них есть маршрутизаторы, близкие к источникам.

Это не долгосрочное решение, но оно помогает, если ваша пользовательская база сгруппирована в нескольких географических областях. В прошлом Ive помогала таким клиентам, просто не объявляя их задирыми, а только национальными. Это отняло у них часть их бизнеса (пользователи, которые посчитали их недоступными, потому что они больше не были доступны на международном уровне), но это намного лучше, чем просто выйти из строя все вместе.

Но в конце дня это скорее отчаянный поступок. Но лучше отрезать конечность, чем потерять тело.

Если вам повезло, у вашего провайдера вышестоящих провайдеров есть оборудование, и вы готовы помочь вам отфильтровать большую часть нежелательного трафика.

Удачи :-)

— Руна Нильссен
источник