Один из сайтов, с которыми я работаю, недавно начал получать DoS'd. Это началось со скоростью 30 тыс. Оборотов в минуту, а теперь - 50 тыс. / Мин. Все IP-адреса практически уникальны, они не находятся в одной подсети и находятся в разных странах. Они только запрашивают главную страницу. Любые советы о том, как это остановить?
Серверы работают на Linux с Apache в качестве веб-сервера.
Спасибо
security
ddos
denial-of-service
Уильям
источник
источник
Ответы:
Вы не просто пытаетесь противостоять DoS, вы пытаетесь противостоять DDoS, который распределен и с которым гораздо сложнее иметь дело.
По сути, вы пытаетесь выявить незаконный трафик и заблокировать его. В идеале, вы хотите обнулить этот трафик (еще лучше, чтобы ваши вышестоящие провайдеры обнуляли его).
Первый порт захода - идентификация. Вам нужно найти способ идентифицировать трафик, который отправляется на ваш хост. Является ли это обычным пользовательским агентом, является ли это фактом, что они на самом деле не используют надлежащий браузер ( СОВЕТ: они действуют как надлежащие браузеры - т.е. следуют перенаправлениям 301), независимо от того, поступают ли все запросы в одно и то же время или как много запросов каждый IP-адрес вашего сервера в час.
Вы не можете заблокировать их, не идентифицируя их, и вам нужно найти какой-то способ сделать это.
Эти инструменты предотвращения DDoS-атак, по сути, делают то же самое, за исключением того, что в режиме реального времени они стоят бомбы. В половине случаев есть ложные срабатывания, или DDoS настолько велик, что это не имеет значения, поэтому будьте осторожны, когда вкладываете свои деньги сюда, если решите инвестировать в один из них сейчас или в будущем.
Помните: 1. ОПРЕДЕЛИТЬ 2. БЛОК . 1 трудная часть.
источник
Вы предполагаете, что это преднамеренный DDoS. Первое, что нужно попробовать, это изменить IP-адрес. Если это на самом деле не преднамеренно, то это остановится.
Откуда будут поступать эти запросы, если они не являются преднамеренными? Это может быть случайным или ошибочной целью. Вряд ли, но стоит попробовать.
Вы уверены, что вы не просто получаете множество законного трафика? Может быть, вы были косой чертой, или что-то. Попробуйте посмотреть на рефералов в логах.
источник
Ваш внешний маршрутизатор / балансировщик нагрузки не имеет управления DOS-атаками? Наш делает, и это делает мир различий.
источник
Вы можете попросить вашего вышестоящего провайдера попросить помочь вышестоящим. Допустим, например, что у вас есть веб-сайт только для пользователей из Великобритании. Затем вы можете проверить, откуда происходит трафик, используя некоторую базу данных whois. Допустим, например, что значительная часть вашего нежелательного трафика происходит из России, Китая и / или Кореи. Затем вы можете позвонить своему вышестоящему провайдеру и попросить его вызвать их, чтобы они временно обнуляли ваши IP-адреса из этих областей, предполагая, что у них есть маршрутизаторы, близкие к источникам.
Это не долгосрочное решение, но оно помогает, если ваша пользовательская база сгруппирована в нескольких географических областях. В прошлом Ive помогала таким клиентам, просто не объявляя их задирыми, а только национальными. Это отняло у них часть их бизнеса (пользователи, которые посчитали их недоступными, потому что они больше не были доступны на международном уровне), но это намного лучше, чем просто выйти из строя все вместе.
Но в конце дня это скорее отчаянный поступок. Но лучше отрезать конечность, чем потерять тело.
Если вам повезло, у вашего провайдера вышестоящих провайдеров есть оборудование, и вы готовы помочь вам отфильтровать большую часть нежелательного трафика.
Удачи :-)
источник