Quais são as melhores técnicas para impedir ataques de negação de serviço?

9

Atualmente, tenho usado o (D) DoS-Deflate para gerenciar essas situações em vários servidores remotos, juntamente com o Apache JMeter para teste de carga.

No geral, tem funcionado muito bem, embora eu gostaria de ouvir algumas sugestões de gurus que trabalham com esse tipo de circunstância há mais tempo do que eu. Tenho certeza de que aqueles que trabalham no negócio de hospedagem na web tiveram uma parcela justa de lidar com essas situações. Então, estou me perguntando quais são as melhores práticas para abordar esse tipo de problema em um ambiente corporativo.

John T
fonte
Eu não tinha visto (D) DoS-Deflate antes. Obrigado pela atenção. Alguma falha? "trabalhando razoavelmente bem" Você foi atacado ou simplesmente não estraga as conexões legítimas?
530 Gareth
Ele precisava de alguns ajustes após a instalação, mas tudo é bastante direto. Ele gerencia bem as conexões regulares, mas ao usar o JMeter para testar a rede com capacidade total, ele capta isso muito bem e o JMeter se torna muito menos eficaz.
John T

Respostas:

4

Prevenir um DDoS é principalmente sobre não ser um alvo. Não hospede servidores de jogos, sites de apostas / pornografia e outras coisas que tendem a irritar as pessoas.

A atenuação de um ataque DDoS ocorre de duas formas:

  • ser capaz de ignorar o tráfego e liberar excesso de carga, o que é útil quando você está sob um ataque que tenta derrubá-lo sobrecarregando suas máquinas (e também é útil se você receber "Slashdotted";
  • poder rejeitar o tráfego de rede abusivo a montante de você, para que não obstrua seus links e retire sua conectividade.

O primeiro é um pouco dependente do que exatamente você está servindo, mas geralmente se resume a uma combinação de armazenamento em cache, manipulação de estouro (detectando quando os servidores estão "cheios" e redirecionando novas conexões para uma página de "desculpas" de baixo uso de recursos) , e degradação normal do processamento de solicitações (por exemplo, não fazer renderização dinâmica de imagens).

O último requer boas comunicações com os upstreams - tenha o número de telefone dos NOCs dos upstreams tatuados na parte interna das pálpebras (ou pelo menos em um wiki em algum lugar que não esteja hospedado no mesmo local que os servidores de produção). ..) e conhecer as pessoas que trabalham lá, então, quando você ligar, receberá atenção imediata como alguém que realmente sabe do que está falando, em vez de apenas ser um babaca aleatório.

mulher
fonte
1
+1 para dígitos de proteção e tatuados a montante
Andy
3

Você não menciona que tipo de segurança de perímetro você possui. Com os firewalls da Cisco, você pode limitar o número de embriões (meias sessões) que o firewall permitirá antes de cortá-los, enquanto ainda permite a execução de sessões completas. Por padrão, é ilimitado, o que não oferece proteção.

GregD
fonte
2

Os balanceadores de carga assistidos por hardware, como o Foundry ServerIron e o Cisco ACEs, são ótimos para lidar com um grande número de tipos principais de ataques DOS / DDOS, mas não são tão flexíveis quanto as soluções de software que podem 'aprender' mais rapidamente as técnicas mais recentes.

Chopper3
fonte
2

Uma boa fonte de informações está neste site . Uma medida que eles mencionam apenas de passagem (e que vale a pena pesquisar mais) é ativar os cookies SYN. Isso evita que uma classe inteira de ataques DoS impeça que um invasor abra um grande número de conexões 'semi-abertas' na tentativa de atingir o número máximo de descritores de arquivo permitidos por processo. (Veja a página de manual do bash, procure o 'ulimit' embutido com a opção '-n')

eternaleye
fonte
1

Isenção de responsabilidade: eu não sou um guru de proteção de DDoS.

Acho que depende do orçamento que você tem para isso, quais são seus termos de condições de tempo de atividade e como você ou seus clientes estão expostos a esse tipo de risco.

A proteção DDoS baseada em proxy pode ser uma opção. Na maioria dos casos, não é uma opção barata, mas acho que é a mais eficaz. Eu pediria ao meu provedor de hospedagem uma solução. O RackSpace, por exemplo, fornece essa ferramenta de mitigação de várias camadas . Tenho certeza de que todos os hosters grandes têm soluções semelhantes.

splattne
fonte