Como evitar DoS em um ambiente de proxy com apenas 1 IP

1

Temos muitos servidores por trás de um proxy (nginx) e um IP. Os usuários estão chegando aos seus servidores por meio de proxy. Adicionamos o domínio deles ao proxy e direcionamos o tráfego para os servidores deles.

O problema é que às vezes temos ataques DoS ou DDoS diretamente ao IP e não aos domínios. Além de usar o sofisticado DDoS Mitigator, existe uma solução para evitar DDoS para o IP relacionado?

Obrigado antecipadamente, Atenciosamente

    
por Harun Baris Bulut 13.12.2013 / 20:49

1 resposta

2

A atenuação de ataques DDoS é Difícil (e cara).

Existem empresas para as quais você pode pagar, que lhe fornecerão uma caixa que você coloca em seu datacenter, que faz a filtragem de pacotes, mas está imune a ser inundada pela rede. Essas coisas são fornecidas por provedores de firewall high-end, como redes Arbor, etc. Eu não sei como essas coisas funcionam. Aparentemente eles fazem, mas como sempre, YMMV.

Também há serviços de mitigação de DDoS como serviço (se isso fizer sentido). Você recebe uma ferramenta de mitigação de DDoS, fornecida em um Pay As You Go (embora, na verdade, seja mais como um contrato mensal de taxa fixa). Você rotear todo o seu tráfego através do serviço hospedado, e eles fornecem um "canal limpo" que foi filtrado por seu cluster de hardware caro.

A maneira lenta / antiga de fazer isso é trabalhar com seu provedor de upstream para direcionar nulo o tráfego de DDoS antes que ele atinja seus servidores.

Eu proponho que você pesquise alguns serviços de mitigação de DDOS, eu dei a você um ponto de partida na Arbor, que faz as opções hospedadas e IaaS, chama alguns vendedores, passa pelo discurso de pré-venda e os deixa lutar entre si para o seu costume.

Existem alguns pontos de partida razoáveis no artigo da Wikipédia . Praticamente todos os fornecedores de firewall high-end em que consigo pensar têm seu próprio sabor de solução.

    
por 13.12.2013 / 21:24

Tags