DDoS. Somos tão indefesos? [duplicado]

Existe uma pergunta semelhante aqui :

The challenge with this question is that it asks for a solution to a fundamentally unsolveable problem. There's no tool or practice you can adopt that is going to protect you from a moderately competant attacker who is determined to take down your service.

mod_evasive is about as good a solution as you're going to get to this problem in the short term. It implements "best practices" throttling of requests, and will prevent your system from being taken down by a 5 line Perl script.

In the longer term, when your application becomes successful, you'll inevitably wind up deploying a load balancer in front of it. The mainstream commercial load balancers (like F5's Big-IP) all implement "DOS protection" throttling, so you can turn that feature on when you upgrade. But don't upgrade just to get that feature.

The problem with solving modern DDOS attacks is that they are launched from numerous unrelated unpoints (often, from huge botnets). Web application firewalls like Citrix/NetScaler, Imperva, and F5 will do a decent job with the canned attacks, but skilled analysts (preferably from your own team) are going to be needed to stop "real" attackers who know your name; you do that job by analyzing the attack traffic, finding characteristics in it particular to the attacker, and filtering it.

I think you're on the right track with free "plug-and-play" defenses for this, especially with a new application.

@tqbf

Eles são. A coisa sobre DDoS é que seu poder é inversamente proporcional às estratégias de disponibilidade e redundância do defensor. O problema principal não é que o DDoS não possa ser mitigado; é que grande parte da web depende de arquitetura centralizada, redundância deficiente e cascata pontos únicos de falha .

Os protocolos originais da Internet foram projetados tendo em mente a disponibilidade e a redundância, fornecendo muito mais tolerância a falhas em detrimento da confiança ou da sincronização. Veja como o DNS, BGP SMTP, e O NNTP foi originalmente projetado para ilustrações perfeitas.

Voltando à web, os principais problemas com ataques DDoS são garantir que o DNS permaneça disponível sob carga pesada, garantindo que a redundância do servidor seja suficiente para lidar com o estresse na capacidade máxima e garantindo que conexões individuais não recebam uma quantidade desproporcionalmente alta de sistema recursos em relação aos outros.

Assim, a atenuação se torna uma questão de redirecionar ou ocultar o tráfego, espalhando o impacto sobre o máximo possível de hardware, fornecendo espelhos não programáticos e outros mecanismos de garantia de serviço relativos à sua comunidade de usuários. Muito disso é inserido no conceito de serviços altamente disponíveis e modelagem de ameaças, para qualquer pessoa interessada no campo.

Vou encerrar apontando que ainda há mais respostas no Server Fault, para qualquer pessoa interessada na perspectiva de TI deste problema.

Por favor, vá para IT Security Stack Exchange para uma boa discussão sobre isso e maneiras válidas de fazer isso. Existem parceiros de mitigação de DDoS que são muito bons nisso - fiz testes para validar um para um banco global e a mitigação de DDoS foi interrompida em segundos após o início do ataque e permitiu Business as Usual durante todo o ataque, que corremos em um carga elevada. A resposta que David dá é exatamente como funcionou nessa instância.

Sim, o DDoS é provavelmente o ataque mais poderoso força bruta . Você não pode realmente fazer nada sobre isso, pois qualquer servidor irá quebrar em algum momento. Você pode tentar contorná-lo, fornecer serviços diferentes a partir de servidores diferentes, obtendo assim apenas parcialmente atingidos. Um dos principais problemas com o DDoS é o primeiro "D": Distributed. Em quase todos os casos, uma botnet enorme é usada, então você não pode simplesmente sair e banir os IPs, pois isso fará com que clientes legítimos sejam bloqueados para fora do serviço, já que um botnet usa computadores ultrapassados para atingir seus danos.

Você pode lidar com isso empregando medidas, como balanceadores de carga, firewalls e outros, mas nunca conseguirá evitá-lo completamente.

A resposta da pergunta depende do número de invasores botnets . Talvez façamos parte dessa cadeia de botnets, quem sabe. Você acha que as pessoas pagam pelo software em todo o mundo? você deveria estar brincando comigo .. basta procurar por qualquer software em torrents, o que você baixou vem com rootkits que se escondem, mesmo que Os sistemas antivírus mais poderosos são usados. Se rootkits são usados, os atacantes podem controlar o computador das vítimas como um bot. Às vezes você não precisa de rootkits, qualquer software pré-instalado pode fazer o mesmo trabalho. Os invasores lucram vendendo esses botnets para fins diferentes (por exemplo, enviando spams).

A comunidade de pesquisa inventa algumas técnicas para impedir a atividade maliciosa ou impedir que os hosts façam parte da botnet (antes da fase de infecção), no entanto, essa é uma corrida armamentista interminável entre hackers e defensores. Tenha em mente que a Internet é um sistema aberto, então ainda não há uma solução final. Provavelmente nunca haverá, esta é a resposta da pesquisa nunca pára.

A Cisco tem algumas técnicas de atenuação, verifique aqui

Eu diria que é um ataque muito poderoso se você tiver bots suficientes para solicitar o site. Você pode contorná-lo parcialmente com balanceamento de carga, firewall e outras defesas. No entanto, bots suficientes também prejudicam as melhores defesas.

A questão principal, eu diria é que um 'DOS' é sempre executado contra um nome DNS, não um endereço IP. Assim, se o hoster vai trocar de servidores ou algo assim, o nome do dns estará sob ataque mesmo sob o novo servidor, sem escape ...