Zatrzymanie ataku DOS

9

Jedna z witryn, z którymi pracuję, niedawno zaczęła otrzymywać DoS'd. Zaczęło się od 30 000 RPS, a teraz wynosi 50 000 / min. Adresy IP są prawie wszystkie unikalne, nie w tej samej podsieci i znajdują się w wielu krajach. Żądają tylko strony głównej. Wszelkie wskazówki, jak to zatrzymać?

Serwery działają w systemie Linux z serwerem Apache jako serwerem WWW.

Dzięki

security ddos denial-of-service William
źródło
Jaki to ruch? Czy zidentyfikowałeś, jaki to rodzaj DDoS? tzn. czy pochłania przepustowość, czy zasoby systemowe?
Josh Brower
To świetne pytanie, ale najwyraźniej nie ma prawdziwej odpowiedzi. Wow, nigdy nie wiedziałem, że ściana z cegły DoS była tak gruba.
Xeoncross,

Odpowiedzi:

4

Nie tylko próbujesz wytrzymać DoS, ale próbujesz wytrzymać DDoS, który jest rozproszony i znacznie trudniejszy w obsłudze.

Zasadniczo próbujesz zidentyfikować nielegalny ruch i zablokować go. Idealnie byłoby zerować trasę tego ruchu (jeszcze lepiej zachęcić dostawców usług upstream do zerowania trasy).

Pierwszym portem zawinięcia jest identyfikacja. Musisz znaleźć sposób, aby zidentyfikować ruch wysyłany do twojego hosta. Niezależnie od tego, czy jest to zwykły agent użytkownika, czy faktem jest, że tak naprawdę nie używają odpowiedniej przeglądarki ( WSKAZÓWKA: czy zachowują się jak odpowiednie przeglądarki - tj. Postępują zgodnie z 301 przekierowaniami), czy wszystkie żądania napływają dokładnie w tym samym czasie lub w jaki sposób wiele żądań z każdego adresu IP uderza w serwer na godzinę.

Nie możesz ich zablokować bez ich identyfikacji i musisz znaleźć jakiś sposób, aby to zrobić.

Te narzędzia łagodzące DDoS zasadniczo robią to samo, z wyjątkiem czasu rzeczywistego i kosztują bombę. Połowa czasu to fałszywe alarmy lub DDoS jest tak duży, że to i tak nie ma znaczenia, więc uważaj, gdzie wkładasz swoje pieniądze, jeśli zdecydujesz się zainwestować w jeden z nich albo teraz, albo w przyszłości.

Pamiętaj: 1. IDENTYFIKUJ 2. BLOK . 1 jest trudną częścią.

Philip Reynolds
źródło
1
Problem nie jest blokowany, problem jest identyfikowany. Nie możesz czegoś zablokować, jeśli nie możesz go zidentyfikować. Jak dotąd nie widzieliśmy żadnych wzorów. Prawdziwe przeglądarki, brak wzorców w czasie zapytań, zupełnie inne kraje, brak stron odsyłających, śledzą przekierowania, akceptują pliki cookie. Działają jak zwykli użytkownicy. Wygląda na to, że prawie niemożliwe jest powiedzieć. Myślimy o kierowaniu całego ruchu do Amazon, niech Amazon obsłuży wszystkie żądania dotyczące strony głównej, która będzie buforowana, i wszystkie inne strony obsługiwane na razie przez naszą aplikację internetową. Dziękuję za odpowiedź.
William
Niewielka korekta: prawdopodobnie nie są to prawdziwe przeglądarki, pamiętaj o tym podczas pracy nad identyfikacją. Jak również wygląda twoja baza użytkowników? Jeśli wszystko koncentruje się na USA, możesz zablokować wnioski offshore, aby zatrzymać trochę oddechu ...
pboin
Nie są to „prawdziwe” przeglądarki w tym sensie, że do swoich żądań używają Firefox, Chrome itp. Jedną z rzeczy, które zauważysz, jest to, jak powiedziałem, że są to unikalne adresy IP, działające godzinami, przy tak wysokim RPS. Ta „osoba” najwyraźniej ma OGROMNY botnet, nawet nasze centrum danych (ThePlanet) również nie może znaleźć sposobu, aby go zatrzymać. Nie jest łatwo stwierdzić, czy jest to przeglądarka, czy nie. Jeśli następuje przekierowanie, przechowuje pliki cookie itp., Jak to powiedzieć? Poza tym musisz coś zapamiętać, każda prośba jest wyjątkowa. Zatem banowanie adresu IP nic nie znaczy. Żądania muszą zostać zablokowane, zanim trafią na nasz serwer.
William
Przeglądarki inne niż przeglądarki tekstowe zazwyczaj nie uruchamiają javascript? Jaki nagłówek agenta użytkownika również podają?
Philip Reynolds,
1

Zakładasz, że jest to celowe DDoS. Pierwszą rzeczą do wypróbowania jest zmiana adresu IP. Jeśli nie jest to celowe, to się zatrzyma.

Skąd przychodzą te żądania, jeśli nie są zamierzone? Może to być losowy lub błędny cel. Mało prawdopodobne, ale warto spróbować.

Czy na pewno nie otrzymujesz masowego ruchu zgodnego z prawem? Może zostałeś ukradziony lub coś takiego. Spróbuj spojrzeć na strony odsyłające w dziennikach.

Chase Seibert
źródło
0

Czy twój front-end router / moduł równoważenia obciążenia nie ma zarządzania atakami DOS? Nasz robi i robi świat różnic.

Siekacz 3
źródło
Problem polega na tym, że WSZYSTKIE adresy IP są unikalne, pochodzą z różnych krajów itp. Naprawdę nie ma sposobu, aby powiedzieć osobie atakującej legalny użytkownik. Cała nasza przepustowość jest obecnie wykorzystywana, moglibyśmy zrobić wszystko.
William
Ale routery zarządzające DOS i usługi równoważenia obciążenia nie dbają o to, skąd pochodzi ruch, jeśli widzą dużo określonego rodzaju ruchu związanego z DOS z niektórych adresów IP, ignorują go i kontynuują swoją pracę niezależnie od tego, umożliwiając serwerom ruch serwera i klientów należy traktować poprawnie. Ludzie tacy jak Cisco i Foundry zarabiają dużo pieniędzy na pracy w tym obszarze, a to, co widzisz, wcale nie jest niczym niezwykłym.
Chopper3
0

Możesz poprosić dostawcę usług upstream o poproszenie ich o pomoc. Powiedzmy na przykład, że prowadzisz witrynę internetową tylko dla użytkowników z Wielkiej Brytanii. Następnie możesz sprawdzić, skąd ruch pochodzi z bazy danych Whois. Powiedzmy na przykład, że znaczna część niechcianego ruchu pochodzi z Rosji, Chin i / lub Korei. Następnie możesz zadzwonić do swojego dostawcy usług nadrzędnych i poprosić go o skontaktowanie się z ich dostawcą, aby tymczasowo anulowali adresy IP z tych obszarów, zakładając, że mają routery blisko źródeł.

To nie jest długoterminowe rozwiązanie, ale pomaga, jeśli twoja baza użytkowników jest skupiona w kilku obszarach geograficznych. W przeszłości Ive pomagał takim klientom, po prostu nie ogłaszając ich innym, tylko krajowym. To zabrało część ich działalności (użytkownicy, którzy stwierdzili, że są nieosiągalni, ponieważ nie byli już dostępni na arenie międzynarodowej), ale jest to o wiele lepsze niż po prostu rezygnacja z usług alltogeather.

Ale pod koniec dnia jest to bardziej desperacki czyn. Ale lepiej jest odciąć kończynę niż stracić ciało.

Jeśli masz szczęście, twój dostawca usług upstream ma sprzęt i chętnie pomoże ci odfiltrować większość niepożądanego ruchu.

Powodzenia :-)

Rune Nilssen
źródło