Jakie są najlepsze techniki zapobiegania atakom typu „odmowa usługi”?

Obecnie używam (D) DoS-Deflate do zarządzania takimi sytuacjami na wielu zdalnych serwerach wraz z Apache JMeter do testowania obciążenia.

Ogólnie rzecz biorąc, działa całkiem nieźle, chociaż chciałbym usłyszeć sugestie guru, którzy pracowali w takich okolicznościach dłużej niż ja. Jestem pewien, że osoby pracujące w branży hostingu miały uczciwy udział w radzeniu sobie z tymi sytuacjami. Zastanawiam się więc, jakie są najlepsze praktyki podejścia do tego rodzaju problemów w środowisku korporacyjnym?

Zapobieganie DDoS polega głównie na tym, że nie jest celem. Nie hostuj serwerów gier, witryn hazardowych / pornograficznych i innych rzeczy, które często denerwują ludzi.

Łagodzenie ataku DDoS występuje w dwóch formach:

• możliwość ignorowania ruchu i zrzucenia nadmiernego obciążenia, co jest przydatne, gdy jesteś atakowany, który próbuje cię zdjąć przez przeciążenie twoich maszyn (a także jest przydatny, jeśli kiedykolwiek dostaniesz „Slashdotted”;
• możliwość odrzucania obraźliwego ruchu sieciowego przed tobą, aby nie blokował twoich linków i nie powodował utraty łączności.

Ten pierwszy jest nieco zależny od tego, co dokładnie podajesz, ale zwykle sprowadza się do pewnej kombinacji buforowania, obsługi przepełnienia (wykrywanie, kiedy serwery są „pełne” i przekierowywanie nowych połączeń do strony „przepraszam” o niskim zużyciu zasobów) i płynną degradację przetwarzania żądań (na przykład nie wykonując dynamicznego renderowania obrazów).

Ta ostatnia wymaga dobrej komunikacji z twoimi potokami - wytatuuj numer telefonu NOC twoich potoków na twoich powiekach (lub przynajmniej na wiki gdzieś, gdzie nie ma hosta w tym samym miejscu, co twoje serwery produkcyjne). ..) i poznaj ludzi, którzy tam pracują, więc kiedy zadzwonisz, natychmiast zwrócisz na siebie uwagę jako ktoś, kto tak naprawdę wie, o czym mówią, a nie tylko jakiś przypadkowy Johnny.

Nie wspominasz o tym, jaki rodzaj zabezpieczenia obwodowego masz na swoim miejscu. Dzięki zaporom ogniowym Cisco możesz ograniczyć liczbę embrionalnych (pół sesji), na które zapora zezwoli, zanim je odetnie, jednocześnie umożliwiając przejście pełnych sesji. Domyślnie jest nieograniczony, co nie zapewnia ochrony.

Urządzenia równoważące obciążenie, takie jak Foundry ServerIron i Cisco ACE, świetnie nadają się do radzenia sobie z ogromną liczbą głównych rodzajów ataków DOS / DDOS, ale nie są tak elastyczne, jak rozwiązania programowe, które szybciej „uczą się” nowych technik.

Jednym z dobrych źródeł informacji jest ta strona . Jednym ze środków, o których wspominają tylko (które warto zbadać dalej), jest włączenie plików cookie SYN. Zapobiega to atakom całej klasy DoS, uniemożliwiając atakującemu otwarcie dużej liczby połączeń „półotwartych” w celu osiągnięcia maksymalnej dozwolonej liczby deskryptorów plików na proces. (Zobacz stronę podręcznika bash, poszukaj wbudowanego „ulimit” z opcją „-n”)

Oświadczenie: Nie jestem guru ochrony DDoS.

Myślę, że to zależy od budżetu, jaki masz na to, jakie są twoje warunki dostępności i jak ty lub twoi klienci jesteście narażeni na tego rodzaju ryzyko.

Opcjonalna może być ochrona DDoS oparta na proxy. W większości przypadków nie jest to tania opcja, ale myślę, że jest najbardziej skuteczna. Poprosiłbym mojego dostawcę hostingu o rozwiązanie. Na przykład RackSpace zapewnia to wielopoziomowe narzędzie łagodzące . Jestem pewien, że wszyscy duzi hostingi mają podobne rozwiązania.