Brainstorm: Flood / DoS / DDoS Ataque a ideias de prevenção

Navegue suas respostas
1

Esta não é uma questão perguntando como parar um ataque. Isso é simplesmente um tópico para que qualquer um e todos discutam ideias para prevenir, lidar e manter seu servidor vivo durante esses ataques.

Não discuta o uso de software de terceiros, este é um lugar para você criar suas próprias ideias e ler outras.

Poste exemplos, se desejar. Poste ideias sobre como filtrar ataques de inundação. Poste ideias sobre como manter seu servidor ativo enquanto estiver sob um pesado ataque DDoS.

    
por 3 revs, 2 users 100%Gnarly 29.12.2011 / 12:38

4 respostas

2

Durante um ataque DDOS SYN, mudei meu site para um segundo IP e fiz com que meu ISP bloqueasse o IP original no nível deles. Embora isso tenha criado um pouco de tempo de inatividade como resultado da propagação do DNS, ele aliviou a carga e me colocou de volta on-line. Bloquear o IP original no nível do ISP impediu que o DDOS atingisse meus servidores. Um ataque DDOS secundário foi então lançado com conexões legítimas, mas muitas delas. Acabei de corrigir o iptables do meu firewall Linux para usar o ipset para melhorar o desempenho, pois bloqueei os milhares de IPs.

Após o ataque, testei vários firewalls (desculpe, não Cisco). PF com seu sinalizador synproxy da família BSD deu os melhores resultados. Diferentemente da maioria dos firewalls que acabaram de iniciar a limitação de taxa durante um ataque, o synPoxy interrompeu muitas conexões no firewall. Além disso, as tabelas do pf têm um excelente desempenho de pesquisa e são dinamicamente atualizáveis. Não é necessário recarregar. O pf também tem muitas opções para ajustar o desempenho e limpar pacotes / conexões de entrada.

netfilter com ipset deu bom desempenho, mas não synproxy.

Outra possibilidade é usar hospedagem baseada em nuvem, permitindo que você continue jogando mais largura de banda e hardware no ataque para que seus clientes não sintam o ataque.

A única maneira de impedir verdadeiramente um DDOS é manter seu (s) servidor (es) fora da internet. Mas então você tem que explicar para a gerência por que ninguém pode ver o site da sua empresa. : -)

    
por 06.01.2010 / 16:52
1

Existem muitos tipos diferentes de ataques de negação de serviço (DoS) e nenhuma solução única pode resolver esse problema. Os firewalls de aplicativos Web (WAF) podem ser usados para proteger os servidores contra a inundação de tráfego produzida por um ataque de negação distribuída (DDoS) de serviço. Geralmente, esses ataques contêm um grande volume do mesmo tipo de solicitação. Um WAF pode limitar ou até mesmo bloquear um usuário específico que envia um grande número de solicitações http. Um ping ICMP é outro tipo de DDoS comum, se você bloquear o ICMP de entrada com o firewall de filtragem de pacotes, isso atenuará o ataque.

Mas, eventualmente, com o tráfego suficiente, a infra-estrutura em torno de você começará a desmoronar e seu servidor irá para baixo. Roteadores para a espinha dorsal da internet ficaram obstruídos por ataques DDoS produzidos por worms. Recentemente, o UltraDNS foi DDoS'ed, o que levou a Amazon.com a cair: link

Finley, não é preciso um grande número de pacotes para derrubar um servidor. Um ataque de negação de serviço pode ser tão pequeno apenas um pacote malformado. Um estouro de buffer pode causar a falha do servidor ou, pior ainda, permitir acesso total do seu servidor a um hacker. Certifique-se de que seu software esteja atualizado.

    
por 06.01.2010 / 03:32
0

Existem empresas especializadas nesse tipo de serviço. Eles têm uma enorme largura de banda disponível para que possam receber um hit e filtrar apenas solicitações legítimas para seus servidores.

Atualização: Se você realmente quer tentar fazê-lo sozinho, em primeiro lugar considere o fato de que houve ataques com largura de banda sustentada de 50-80Gbit / s. E a cada ano, só fica maior e maior. Não ficarei surpreso em ver mais de 100 ataques este ano.

Agora, em relação à defesa:

  1. Qualquer ataque abaixo da camada de aplicação deve ser interrompido no perímetro (melhor - na borda do ISP). Invista em bons firewalls - a carga da CPU será enorme, então quanto mais poderoso - melhor.

  2. Antes que o seu aplicativo esteja sob ataque - tente pensar como um invasor - quais são as partes mais fracas? O invasor acessará páginas que requerem apenas alguns bytes para serem carregadas em seus servidores, mas que executam muito trabalho pesado no lado do servidor (por exemplo, qualquer tipo de pesquisa com caracteres curinga, etc.). Páginas acessíveis sem autenticação devem ser revisadas primeiro. Tente incluir uma solução que permita desativar rapidamente essa funcionalidade sem desativar todo o site.

  3. Alguns ataques são originários apenas de países específicos (por exemplo, China, Rússia, Coréia (s)). Você pode preparar ACLs para seus roteadores que bloquearão todos os netblocks que pertencem a um país específico. Mas tenha cuidado, sob um ataque massivo, as chances são de que seus firewalls estarão se debatendo com a carga da CPU.

Boa sorte!

    
por 07.01.2010 / 13:27
-1

mod_evasive é uma das melhores medidas contrárias do servidor que você pode tomar, se você estiver executando um servidor web Apache - link

    
por 10.05.2010 / 12:48

Tags

Problema com o Postfix O PC virtual do modo XP embutido no Windows 7 pode ser convertido em VMWare usando o conversor vCenter?