Parando um ataque do DOS

9

Um dos sites com os quais trabalho recentemente começou a receber DoS. Começou em 30k RPS e agora está em 50k / min. Os IPs são praticamente todos exclusivos, não estão na mesma sub-rede e estão em vários países. Eles só solicitam a página principal. Alguma dica de como parar isso?

Os servidores estão rodando no Linux com o Apache como servidor web.

Obrigado

    
por William 29.12.2009 / 17:55

4 respostas

4

Você não está apenas tentando resistir a um DoS, está tentando resistir a um DDoS, que é distribuído e muito mais difícil de lidar.

Essencialmente, você está tentando identificar tráfego ilegítimo e bloqueá-lo. O ideal é que você queira distribuir nulo esse tráfego (ainda melhor que seus provedores de upstream façam o roteamento nulo).

O primeiro porto de escala é a identificação. Você precisa encontrar alguma maneira de identificar o tráfego que está sendo enviado para o seu host. Seja um agente de usuário comum, seja o fato de que eles não estão realmente usando um navegador adequado ( HINT: eles agem como navegadores adequados - ou seja, seguem redirecionamentos 301), se todas as solicitações são inundadas exatamente o mesmo tempo ou por quantas solicitações cada IP está atingindo seu servidor por hora.

Você não pode bloqueá-los sem identificá-los e precisa encontrar alguma maneira de fazer isso.

Essas ferramentas de mitigação de DDoS essencialmente fazem a mesma coisa, exceto em tempo real e custam uma bomba. Metade do tempo há falsos positivos ou o DDoS é tão grande que não importa de forma alguma, por isso tenha cuidado onde colocar o seu dinheiro aqui se decidir investir num deles agora ou no futuro.

Lembre-se: 1. IDENTIFICAR 2. BLOCO . 1 é a parte difícil.

    
por 29.12.2009 / 18:28
1

Você está assumindo que isso é um DDoS intencional. A primeira coisa a tentar é mudar o endereço IP. Se não for de fato intencional, então irá parar.

De onde esses pedidos viriam se não fosse intencional? Pode ser aleatório ou pode ser um alvo errado. Improvável, mas vale a pena tentar.

Tem certeza de que não está apenas recebendo muito tráfego legítimo? Talvez você tenha sido slashdotted, ou algo assim. Tente ver os referenciadores nos registros.

    
por 29.12.2009 / 22:06
0

O seu roteador de front-end / load-balancer não possui gerenciamento de ataque do DOS? O nosso faz e faz um mundo de diferença.

    
por 29.12.2009 / 17:57
0

Você pode pedir ao seu provedor de upstream para pedir ajuda a seu upstream. Digamos, por exemplo, que você gere um site apenas com usuários do Reino Unido. Então você pode verificar onde o tráfego em geral se origina de usar algum banco de dados whois. Digamos, por exemplo, que uma quantidade significativa de seu tráfego indesejado se origine da Rússia, China e / ou Coréia. Em seguida, você pode chamar seu provedor de upstream e fazer com que ele chame o deles para fazer com que eles anulem seus endereços IP temporariamente a partir dessas áreas, supondo que eles tenham roteadores próximos às fontes.

Essa não é uma solução de longo prazo, mas ajuda se sua base de usuários estiver agrupada em algumas áreas geográficas. No passado, eu ajudei clientes assim, simplesmente não os anunciando para os pares anteriores, apenas nacionais. Isso levou alguns de seus negócios para longe (usuários que os encontraram inacessíveis porque não estavam mais disponíveis internacionalmente), mas é muito melhor do que apenas ficar fora de serviço.

Mas no final do dia isso é mais um ato desesperado. Mas é melhor cortar um membro do que soltar o corpo.

Se você estiver com sorte, seu provedor de provedores de upstream tem o equipamento e está disposto a ajudá-lo a filtrar a maior parte do tráfego indesejado.

Boa sorte: -)

    
por 30.12.2009 / 09:52