Ec2 Negação de Serviço: Protegendo site baseado em nuvem a partir de ataque DOS

Você não pode evitar ataques do DOS, você só pode mitigá-los.

• Mantenha uma pequena superfície de ataque. Desative os serviços que você não está usando, bloqueie o acesso a portas que precisam ser acessadas apenas de locais específicos, certifique-se de que seus daemons tenham padrões sensatos sobre quantos encadeamentos executam e como se comportar quando os recursos do sistema estão baixos.
• Monitore o tráfego. Saiba quando um ataque começa porque você recebeu um aviso sobre o pico de tráfego ou de carga de recursos. Observe quando seus daemons ssh ou outras portas seguras são verificados. Observe padrões repetitivos de solicitações. Ser capaz e pronto analisá-los em profundidade quando as coisas ficarem confusas, mas manter um pulso sobre as coisas o tempo todo.
• Desviar ou bloquear qualquer que seja o tráfego que cause um ataque o mais rápido possível. Descobrir uma maneira de imprimir o ataque e diminuir esses tipos de solicitações. Priorize os serviços, cancele os de baixa prioridade se for necessário. Acalme-se e sirva de tudo, desde uma CDN até a costa estar limpa.

Em primeiro lugar, você precisa distinguir entre " Negação de Serviço (DoS) "ataque e" Negação de Serviço Distribuída (DDoS) " ataca.

Como sua pergunta é sobre o DoS, você geralmente protege contra ataques DoS:

• Manter seu sistema operacional, servidores Web, servidores de e-mail, etc. atualizados, para que não haja ataques remotos bem conhecidos de DoS contra o SO & serviços.

• Realize uma auditoria de segurança do seu próprio código de aplicativo da Web e tenha práticas de desenvolvimento seguras em vigor para o seu próprio código de aplicativo da web. Você quer ter certeza de que não há nenhum ataque de fuga remota / sobrecarga de buffer / buffer overflow / etc contra o seu próprio código de webapp.

• Tenha uma pequena "superfície de ataque" como o Caleb menciona. Ter o menor número possível de serviços que respondam ao tráfego da Internet. Ter um firewall em vigor com uma regra padrão negar todas e abrir apenas as portas necessárias (o Amazon EC2 " Security Groups "pode fazer isso para você).

Existe um número quase ilimitado de coisas que você pode fazer para aumentar a segurança contra ataques DoS. O verdadeiro truque é fazer um bom julgamento sobre o que você deve fazer. Minha lista acima é um ponto de partida razoável, mas você pode aprender muito mais sobre esse assunto, se quiser. Security.stackexchange.com não é um mau lugar para começar.

Estou pensando em usar o CloudFlare para isso. Todo o tráfego é encaminhado através deles e eles atentam para pedidos maliciosos e os bloqueiam. O principal ponto de venda é que, por estarem atentos ao tráfego ruim de várias origens, podem identificar potenciais ameaças antes que você possa fazer isso sozinho.

Parece ser uma alternativa muito econômica para a configuração de sua própria infraestrutura, mas não tenho certeza se o encaminhamento de todo o tráfego por meio de terceiros atrasa as coisas.

Você provavelmente não pode se proteger totalmente contra o DDoS, e a melhor abordagem seria cortar os invasores DDoS o mais próximo possível da fonte. Eu não conheço muitos produtos que fazem isso, mas um livre é descrito em este artigo .

A proteção contra ataques DDoS / DoS em uma infraestrutura de terceiros, como o EC2, é uma causa perdida. A única instância do EC2 não será capaz de lidar com qualquer tipo de ataque.

Se você levar a sério seus negócios, aconselho entrar em contato com fornecedores que podem filtrar seu tráfego por proxy para o destino real:

Por exemplo: link