Menghentikan serangan DOS

9

Salah satu situs tempat saya bekerja baru saja mulai mendapatkan DoS'd. Ini dimulai pada 30k RPS dan sekarang 50k / mnt. IP hampir semuanya unik, tidak di subnet yang sama, dan di beberapa negara. Mereka hanya meminta halaman utama. Ada tips tentang cara menghentikan ini?

Server berjalan di Linux dengan Apache sebagai server web.

Terima kasih

William
sumber
Lalu lintas macam apa itu? Sudahkah Anda mengidentifikasi jenis DDoS apa itu? yaitu, apakah itu memakan bandwidth Anda atau itu menghabiskan sumber daya sistem Anda?
Josh Brower
Ini adalah pertanyaan yang bagus tetapi tampaknya tidak ada jawaban nyata. Wow, saya tidak pernah tahu bahwa dinding bata DoS sangat tebal.
Xeoncross

Jawaban:

4

Anda tidak hanya mencoba untuk menahan DoS, Anda mencoba untuk menahan DDoS, yang didistribusikan dan jauh lebih sulit untuk dihadapi.

Pada dasarnya, Anda mencoba mengidentifikasi lalu lintas tidak sah dan memblokirnya. Idealnya, Anda ingin merutekan lalu lintas ini dari nol (lebih baik buat penyedia hulu Anda untuk merutekannya)

Port of call pertama adalah identifikasi. Anda perlu menemukan beberapa cara untuk mengidentifikasi lalu lintas yang dikirim ke host Anda. Entah itu agen pengguna umum, apakah itu fakta bahwa mereka tidak benar-benar menggunakan browser yang tepat ( PETUNJUK: apakah mereka bertindak seperti browser yang tepat - yaitu ikuti 301 pengalihan), apakah semua permintaan masuk pada waktu yang sama persis atau dengan cara bagaimana banyak permintaan setiap IP mengenai server Anda per jam.

Anda tidak dapat memblokirnya tanpa mengidentifikasi mereka dan Anda perlu menemukan cara untuk melakukannya.

Alat-alat mitigasi DDoS pada dasarnya melakukan hal yang sama, kecuali secara real time dan biaya bom. Setengah dari waktu ada positif palsu atau DDoS begitu besar sehingga tidak masalah, jadi berhati-hatilah di mana Anda menyimpan uang Anda di sini jika Anda memutuskan untuk berinvestasi di salah satu dari mereka sekarang atau di masa depan.

Ingat: 1. IDENTIFIKASI 2. BLOK . 1 adalah bagian yang sulit.

Philip Reynolds
sumber
1
Masalahnya bukan menghalangi, masalahnya mengidentifikasi. Anda tidak dapat memblokir sesuatu jika Anda tidak bisa mengidentifikasi itu. Sejauh ini kami belum melihat pola sama sekali. Peramban asli, tidak ada pola pada waktu permintaan, negara yang sama sekali berbeda, tidak ada perujuk, mereka mengikuti arahan ulang, mereka menerima cookie. Mereka bertindak seperti pengguna normal. Sepertinya ini hampir mustahil untuk diceritakan. Kami sedang memikirkan merutekan semua lalu lintas ke Amazon, meminta Amazon menangani semua permintaan untuk beranda yang akan di-cache, dan semua halaman lain yang ditangani oleh aplikasi web kami untuk saat ini. Terima kasih atas jawabannya.
William
Koreksi kecil: mereka mungkin bukan peramban asli, ingatlah itu saat mengerjakan identifikasi. Juga, seperti apa basis pengguna Anda? Jika itu semua AS-sentris, Anda mungkin ingin memblokir permintaan lepas pantai sebagai pengganti sementara untuk memberi Anda sedikit ruang bernafas ...
pboin
Mereka bukan "nyata" browser dalam arti bahwa mereka menggunakan Firefox, Chrome, dll untuk permintaan mereka. Satu hal yang akan Anda perhatikan adalah bagaimana saya mengatakan ini adalah IP unik, berjalan selama berjam-jam, setinggi itu di RPS. "Orang" ini tampaknya memiliki botnet BESAR, bahkan pusat data kami (ThePlanet) juga tidak dapat menemukan cara untuk menghentikannya. Tidak mudah mengetahui apakah ini browser atau bukan. Jika mengikuti pengalihan, menyimpan cookie, dll. Bagaimana Anda memberi tahu? Selain Anda perlu mengingat sesuatu, setiap permintaan unik. Jadi melarang IP tidak ada artinya. Permintaan harus diblokir sebelum mencapai server kami.
William
Non-browser, atau browser berbasis teks cenderung tidak menjalankan javascript? Header agen pengguna apa yang mereka berikan juga?
Philip Reynolds
1

Anda mengasumsikan bahwa ini adalah DDoS yang disengaja. Hal pertama yang harus dicoba adalah mengubah alamat IP. Jika tidak disengaja, maka itu akan berhenti.

Dari mana datangnya permintaan ini jika tidak disengaja? Itu bisa acak, atau bisa menjadi target yang salah. Tidak mungkin, tetapi patut dicoba.

Apakah Anda yakin tidak hanya mendapatkan banyak lalu lintas yang sah? Mungkin Anda pernah di-slashdotted, atau apalah. Coba lihat pengarah di log.

Chase Seibert
sumber
0

Apakah router / load-balancer front-end Anda tidak memiliki manajemen serangan-DOS? Milik kami melakukannya dan itu membuat dunia perbedaan.

Chopper3
sumber
Masalahnya adalah, SEMUA ip unik, dari berbagai negara, dll. Sebenarnya tidak ada cara untuk memberi tahu penyerang dari pengguna yang sah. SEMUA bandwidth kita sedang dimakan sekarang, kita bisa melakukan apa saja.
William
Tetapi router-router yang mengelola DOS dan load-balancers tidak peduli dari mana datangnya traffic, jika mereka melihat banyak jenis lalu lintas terkait-DOS dari IP tertentu maka mereka mengabaikannya dan melanjutkan pekerjaan mereka terlepas, memungkinkan server untuk lalu lintas server dan pelanggan harus diperlakukan dengan benar. Orang-orang seperti Cisco dan Foundry menghasilkan banyak uang dari pekerjaan mereka di bidang ini dan apa yang Anda lihat tidak aneh sama sekali.
Chopper3
0

Anda dapat meminta penyedia hulu Anda untuk meminta hulu mereka untuk membantu. Katakanlah misalnya bahwa Anda menjalankan situs web dengan pengguna UK saja. Kemudian Anda dapat memeriksa di mana lalu lintas secara umum berasal dari menggunakan beberapa database whois. Katakanlah misalnya bahwa sejumlah besar lalu lintas yang tidak diinginkan Anda berasal dari rusia, Cina, dan / atau Korea. Kemudian Anda dapat memanggil penyedia upstream Anda dan meminta mereka memanggil mereka untuk membatalkan akses alamat IP Anda sementara dari area ini, dengan asumsi mereka memiliki router yang dekat dengan sumber.

Ini bukan solusi jangka panjang tetapi akan membantu jika basis pengguna Anda dikelompokkan dalam beberapa wilayah geografis. Di masa lalu Ive membantu pelanggan seperti ini, hanya tidak mengumumkan mereka ke teman-teman lama, hanya yang nasional. Ini memang mengambil beberapa bisnis mereka (pengguna yang menemukan mereka tidak dapat dijangkau karena mereka tidak tersedia secara internasional lagi) tetapi banyak yang lebih baik daripada hanya keluar dari layanan alltogeather.

Tetapi pada akhirnya ini lebih merupakan tindakan putus asa. Tapi lebih baik memotong anggota tubuh daripada kehilangan tubuh.

Jika Anda beruntung penyedia penyedia hulu Anda memiliki peralatan dan bersedia membantu Anda menyaring sebagian besar lalu lintas yang tidak diinginkan.

Semoga berhasil :-)

Rune Nilssen
sumber