Каковы лучшие методы предотвращения атак отказа в обслуживании?

9

В настоящее время я использую (D) DoS-Deflate для управления такими ситуациями на многочисленных удаленных серверах, а также Apache JMeter для нагрузочного тестирования.

В целом, это работает довольно хорошо, хотя я хотел бы услышать некоторые предложения от гуру, которые работают с такими обстоятельствами дольше, чем я. Я уверен, что те, кто работает в сфере веб-хостинга, внесли свою долю в этих ситуациях. Так что мне интересно, каковы лучшие методы решения таких проблем в корпоративной среде?

Джон Т
источник
Я не видел (D) DoS-Deflate раньше. Спасибо за внимание. Есть недостатки? "работает довольно хорошо" На вас напали или это просто не испортило законные связи?
Гарет
После установки потребовалось немного поработать, но все довольно просто. Он прекрасно управляет обычными соединениями, но при использовании JMeter для нагрузочного тестирования сети до ее полной пропускной способности он очень хорошо это воспринимает, и JMeter становится гораздо менее эффективным.
Джон Т

Ответы:

4

Предотвращение DDoS в основном сводится к тому, чтобы не быть целью. Не размещает игровые сервера, игорные / порносайты, и другие вещи, которые, как правило, чтобы заставить человек раздражали.

Снижение DDoS-атаки происходит в двух формах:

  • возможность игнорировать трафик и сбрасывать лишнюю нагрузку, что полезно, когда вы находитесь под атакой, которая пытается сбить вас с толку, перегружая ваши машины (и также пригодится, если вы когда-нибудь получите «Slashdotted»);
  • возможность отклонить оскорбительный сетевой трафик перед вами, чтобы он не засорял ваши ссылки и не лишал вас возможности подключения.

Первый в некоторой степени зависит от того, что именно вы обслуживаете, но обычно сводится к некоторой комбинации кэширования, обработки переполнения (обнаружение, когда серверы «переполнены» и перенаправление новых соединений на страницу «извините» с низким потреблением ресурсов) и постепенное ухудшение обработки запросов (например, без динамического рендеринга изображений).

Последнее требует хорошей связи с вашими восходящими потоками - имейте номер телефона NOCs ваших вышестоящих элементов, вытатуированный внутри ваших век (или, по крайней мере, в вики, где-то, который не размещен в том же месте, что и ваши производственные серверы). ...) и познакомьтесь с людьми, которые там работают, поэтому, когда вы позвоните, вы сразу же получите внимание как человек, который действительно знает, о чем они говорят, а не просто какой-то случайный Джонни.

ombble
источник
1
+1 за защиту вверх по течению и татуированные цифры
Энди
3

Вы не упоминаете, какой тип охраны периметра у вас на месте. С помощью брандмауэров Cisco вы можете ограничить число эмбриональных (половинных сессий), которые ваш брандмауэр разрешит, прежде чем отключить, и в то же время разрешить проходить полные сеансы. По умолчанию он неограничен, что не дает никакой защиты.

GregD
источник
2

Аппаратные балансировщики нагрузки, такие как Foundry ServerIron и Cisco ACE, отлично подходят для борьбы с огромным количеством основных типов атак DOS / DDOS, но не настолько гибки, как программные решения, которые могут быстрее «освоить» новые методы.

Chopper3
источник
2

Один хороший источник информации на этом сайте . Одной из мер, о которой они только упомянули (и которая заслуживает дальнейшего изучения), является использование файлов cookie SYN. Это предотвращает целый класс DoS-атак, не позволяя злоумышленнику открывать большое количество «полуоткрытых» соединений в попытке достичь максимального числа файловых дескрипторов, разрешенных для каждого процесса. (См. Справочную страницу bash, ищите встроенную команду ulimit с опцией -n)

eternaleye
источник
1

Отказ от ответственности: я не DDoS гуру защиты.

Я думаю, что это зависит от того, какой у вас на это бюджет, каковы условия работы и как вы или ваши клиенты подвержены такого рода рискам.

Защита от DDoS-атак на основе прокси может быть вариантом. В большинстве случаев это не дешевый вариант, но я думаю, что он наиболее эффективен. Я бы попросил моего хостинг-провайдера для решения. RackSpace, например, предоставляет этот многоуровневый инструмент смягчения последствий . Я уверен, что все крупные хостеры имеют похожие решения.

splattne
источник