Jedna z witryn, z którymi pracuję, niedawno zaczęła otrzymywać DoS'd. Zaczęło się od 30 000 RPS, a teraz wynosi 50 000 / min. Adresy IP są prawie wszystkie unikalne, nie w tej samej podsieci i znajdują się w wielu krajach. Żądają tylko strony głównej. Wszelkie wskazówki, jak to zatrzymać?
Serwery działają w systemie Linux z serwerem Apache jako serwerem WWW.
Dzięki
security
ddos
denial-of-service
William
źródło
źródło
Odpowiedzi:
Nie tylko próbujesz wytrzymać DoS, ale próbujesz wytrzymać DDoS, który jest rozproszony i znacznie trudniejszy w obsłudze.
Zasadniczo próbujesz zidentyfikować nielegalny ruch i zablokować go. Idealnie byłoby zerować trasę tego ruchu (jeszcze lepiej zachęcić dostawców usług upstream do zerowania trasy).
Pierwszym portem zawinięcia jest identyfikacja. Musisz znaleźć sposób, aby zidentyfikować ruch wysyłany do twojego hosta. Niezależnie od tego, czy jest to zwykły agent użytkownika, czy faktem jest, że tak naprawdę nie używają odpowiedniej przeglądarki ( WSKAZÓWKA: czy zachowują się jak odpowiednie przeglądarki - tj. Postępują zgodnie z 301 przekierowaniami), czy wszystkie żądania napływają dokładnie w tym samym czasie lub w jaki sposób wiele żądań z każdego adresu IP uderza w serwer na godzinę.
Nie możesz ich zablokować bez ich identyfikacji i musisz znaleźć jakiś sposób, aby to zrobić.
Te narzędzia łagodzące DDoS zasadniczo robią to samo, z wyjątkiem czasu rzeczywistego i kosztują bombę. Połowa czasu to fałszywe alarmy lub DDoS jest tak duży, że to i tak nie ma znaczenia, więc uważaj, gdzie wkładasz swoje pieniądze, jeśli zdecydujesz się zainwestować w jeden z nich albo teraz, albo w przyszłości.
Pamiętaj: 1. IDENTYFIKUJ 2. BLOK . 1 jest trudną częścią.
źródło
Zakładasz, że jest to celowe DDoS. Pierwszą rzeczą do wypróbowania jest zmiana adresu IP. Jeśli nie jest to celowe, to się zatrzyma.
Skąd przychodzą te żądania, jeśli nie są zamierzone? Może to być losowy lub błędny cel. Mało prawdopodobne, ale warto spróbować.
Czy na pewno nie otrzymujesz masowego ruchu zgodnego z prawem? Może zostałeś ukradziony lub coś takiego. Spróbuj spojrzeć na strony odsyłające w dziennikach.
źródło
Czy twój front-end router / moduł równoważenia obciążenia nie ma zarządzania atakami DOS? Nasz robi i robi świat różnic.
źródło
Możesz poprosić dostawcę usług upstream o poproszenie ich o pomoc. Powiedzmy na przykład, że prowadzisz witrynę internetową tylko dla użytkowników z Wielkiej Brytanii. Następnie możesz sprawdzić, skąd ruch pochodzi z bazy danych Whois. Powiedzmy na przykład, że znaczna część niechcianego ruchu pochodzi z Rosji, Chin i / lub Korei. Następnie możesz zadzwonić do swojego dostawcy usług nadrzędnych i poprosić go o skontaktowanie się z ich dostawcą, aby tymczasowo anulowali adresy IP z tych obszarów, zakładając, że mają routery blisko źródeł.
To nie jest długoterminowe rozwiązanie, ale pomaga, jeśli twoja baza użytkowników jest skupiona w kilku obszarach geograficznych. W przeszłości Ive pomagał takim klientom, po prostu nie ogłaszając ich innym, tylko krajowym. To zabrało część ich działalności (użytkownicy, którzy stwierdzili, że są nieosiągalni, ponieważ nie byli już dostępni na arenie międzynarodowej), ale jest to o wiele lepsze niż po prostu rezygnacja z usług alltogeather.
Ale pod koniec dnia jest to bardziej desperacki czyn. Ale lepiej jest odciąć kończynę niż stracić ciało.
Jeśli masz szczęście, twój dostawca usług upstream ma sprzęt i chętnie pomoże ci odfiltrować większość niepożądanego ruchu.
Powodzenia :-)
źródło