Salah satu situs tempat saya bekerja baru saja mulai mendapatkan DoS'd. Ini dimulai pada 30k RPS dan sekarang 50k / mnt. IP hampir semuanya unik, tidak di subnet yang sama, dan di beberapa negara. Mereka hanya meminta halaman utama. Ada tips tentang cara menghentikan ini?
Server berjalan di Linux dengan Apache sebagai server web.
Terima kasih
security
ddos
denial-of-service
William
sumber
sumber
Jawaban:
Anda tidak hanya mencoba untuk menahan DoS, Anda mencoba untuk menahan DDoS, yang didistribusikan dan jauh lebih sulit untuk dihadapi.
Pada dasarnya, Anda mencoba mengidentifikasi lalu lintas tidak sah dan memblokirnya. Idealnya, Anda ingin merutekan lalu lintas ini dari nol (lebih baik buat penyedia hulu Anda untuk merutekannya)
Port of call pertama adalah identifikasi. Anda perlu menemukan beberapa cara untuk mengidentifikasi lalu lintas yang dikirim ke host Anda. Entah itu agen pengguna umum, apakah itu fakta bahwa mereka tidak benar-benar menggunakan browser yang tepat ( PETUNJUK: apakah mereka bertindak seperti browser yang tepat - yaitu ikuti 301 pengalihan), apakah semua permintaan masuk pada waktu yang sama persis atau dengan cara bagaimana banyak permintaan setiap IP mengenai server Anda per jam.
Anda tidak dapat memblokirnya tanpa mengidentifikasi mereka dan Anda perlu menemukan cara untuk melakukannya.
Alat-alat mitigasi DDoS pada dasarnya melakukan hal yang sama, kecuali secara real time dan biaya bom. Setengah dari waktu ada positif palsu atau DDoS begitu besar sehingga tidak masalah, jadi berhati-hatilah di mana Anda menyimpan uang Anda di sini jika Anda memutuskan untuk berinvestasi di salah satu dari mereka sekarang atau di masa depan.
Ingat: 1. IDENTIFIKASI 2. BLOK . 1 adalah bagian yang sulit.
sumber
Anda mengasumsikan bahwa ini adalah DDoS yang disengaja. Hal pertama yang harus dicoba adalah mengubah alamat IP. Jika tidak disengaja, maka itu akan berhenti.
Dari mana datangnya permintaan ini jika tidak disengaja? Itu bisa acak, atau bisa menjadi target yang salah. Tidak mungkin, tetapi patut dicoba.
Apakah Anda yakin tidak hanya mendapatkan banyak lalu lintas yang sah? Mungkin Anda pernah di-slashdotted, atau apalah. Coba lihat pengarah di log.
sumber
Apakah router / load-balancer front-end Anda tidak memiliki manajemen serangan-DOS? Milik kami melakukannya dan itu membuat dunia perbedaan.
sumber
Anda dapat meminta penyedia hulu Anda untuk meminta hulu mereka untuk membantu. Katakanlah misalnya bahwa Anda menjalankan situs web dengan pengguna UK saja. Kemudian Anda dapat memeriksa di mana lalu lintas secara umum berasal dari menggunakan beberapa database whois. Katakanlah misalnya bahwa sejumlah besar lalu lintas yang tidak diinginkan Anda berasal dari rusia, Cina, dan / atau Korea. Kemudian Anda dapat memanggil penyedia upstream Anda dan meminta mereka memanggil mereka untuk membatalkan akses alamat IP Anda sementara dari area ini, dengan asumsi mereka memiliki router yang dekat dengan sumber.
Ini bukan solusi jangka panjang tetapi akan membantu jika basis pengguna Anda dikelompokkan dalam beberapa wilayah geografis. Di masa lalu Ive membantu pelanggan seperti ini, hanya tidak mengumumkan mereka ke teman-teman lama, hanya yang nasional. Ini memang mengambil beberapa bisnis mereka (pengguna yang menemukan mereka tidak dapat dijangkau karena mereka tidak tersedia secara internasional lagi) tetapi banyak yang lebih baik daripada hanya keluar dari layanan alltogeather.
Tetapi pada akhirnya ini lebih merupakan tindakan putus asa. Tapi lebih baik memotong anggota tubuh daripada kehilangan tubuh.
Jika Anda beruntung penyedia penyedia hulu Anda memiliki peralatan dan bersedia membantu Anda menyaring sebagian besar lalu lintas yang tidak diinginkan.
Semoga berhasil :-)
sumber