DOS攻撃の阻止

9

私が協力しているサイトの1つが最近DoSを取得し始めました。30k RPSから始まり、現在は50k / minです。IPはほとんど同じで、同じサブネット内ではなく、複数の国にあります。メインページのみをリクエストします。これを止める方法に関するヒントはありますか？

サーバーは、ApacheをWebサーバーとしてLinuxで実行されています。

ありがとう

security ddos denial-of-service

— ウィリアム
ソース

それはどのようなトラフィックですか？それがどのようなDDoSであるかを特定しましたか？つまり、帯域幅を消費していますか、それともシステムリソースを消費していますか？

— Josh Brower、

これは素晴らしい質問ですが、本当の答えはないようです。わあ、DoSのレンガの壁がこんなに厚いとは知りませんでした。

— Xeoncross

4

あなたはDoSに耐えようとするだけでなく、分散していて処理がはるかに困難なDDoSに耐えようとしています。

基本的に、不正なトラフィックを特定してブロックしようとしています。理想的には、このトラフィックをヌルルーティングする必要があります（アップストリームプロバイダーにヌルルーティングさせるのがさらに良いでしょう）。

呼び出しの最初のポートは識別です。ホストに送信されているトラフィックを特定する方法を見つける必要があります。それが一般的なユーザーエージェントであるかどうか、実際に適切なブラウザを使用していないという事実であるかどうか（ヒント：適切なブラウザのように動作するか、つまり301リダイレクトに従う）、すべてのリクエストが正確に同時にまたはどのようにフラッドするか各IPが1時間あたりサーバーにヒットする多くのリクエスト

あなたはそれらを識別することなくそれらをブロックすることはできません、そしてあなたはそれを行う何らかの方法を見つける必要があります。

これらのDDoS緩和ツールは、リアルタイムで爆弾を投下することを除いて、基本的に同じことを行います。誤検知が発生したり、DDoSが非常に大きいために問題になることはほとんどありません。現在または将来のいずれかに投資する場合は、どこにお金を投入するかに注意してください。

注意：1.識別2.ブロック。1は難しい部分です。

— フィリップ・レイノルズ
ソース

1

問題はブロッキングではなく、問題が特定されています。識別できない場合はブロックできません。これまでのところ、パターンはまったくありません。実際のブラウザは、リクエスト時間にパターンがなく、完全に異なる国であり、リファラーがなく、リダイレクトに従い、Cookieを受け入れます。通常のユーザーと同じように動作します。これを言うのはほとんど不可能のようです。すべてのトラフィックをAmazonにルーティングし、キャッシュされるホームページのすべてのリクエストをAmazonに処理させ、他のすべてのページを当面はWebアプリで処理することを検討しています。でも答えてくれてありがとう。

— ウィリアム

マイナーな修正：彼らはおそらく本当のブラウザではありません、識別に取り組むときそれを覚えておいてください。また、ユーザーベースはどのようになっていますか？それがすべて米国中心である場合、オフショア要求を一時

— 停止

リクエストにFirefoxやChromeなどを使用しているという意味では、「実際の」ブラウザではありません。あなたが気づくであろうことの1つは、RPSの高い状態で何時間も実行されている、これらがユニークなIPであると私が言った方法です。この「人」は巨大なボットネットを持っているようです。私たちのデータセンター（ThePlanet）でさえ、それを阻止する方法を理解することはできません。それがブラウザであるかどうかを判断するのは簡単ではありません。リダイレクトが続く場合、Cookieを保存するなど、どのように判断しますか？何かを覚えておく必要があることに加えて、各要求は一意です。したがって、IPを禁止しても意味はありません。リクエストは、サーバーに到達する前にブロックする必要があります。

— ウィリアム

非ブラウザー、またはテキストベースのブラウザーは、JavaScriptを実行する傾向がありませんか？どのユーザーエージェントヘッダーも提供していますか？

— フィリップレイノルズ、

1

これは意図的なDDoSであると想定しています。最初に試すことは、IPアドレスを変更することです。それが実際に意図的なものでなければ、停止します。

意図的でない場合、これらのリクエストはどこから来るのでしょうか？ランダムな場合もあれば、誤ったターゲットである場合もあります。ありそうにありませんが、試してみる価値はあります。

正当なトラフィックを大量に取得しているだけではありませんか？たぶん、あなたはスラッシュドットか何かにされてきました。ログでリファラーを確認してください。

— チェイスセイバート
ソース

0

フロントエンドルーター/ロードバランサーにDOSアタック管理がありませんか？私たちのものはそうであり、それは違いの世界を作ります。

— チョッパー3
ソース

問題は、すべてのIPが異なる、国が異なるなどです。正当なユーザーから攻撃者に知らせる方法は本当にありません。現在、すべての帯域幅が使い果たされています。何でもできます。

— ウィリアム、

しかし、DOS管理ルーターとロードバランサーは、トラフィックがどこから来るかを気にしません。特定のIPからの特定のタイプのDOS関連のトラフィックを多く見た場合、それらを無視して、サーバーに次のことを許可します。サーバーと顧客のトラフィックが正しく処理されます。CiscoやFoundryのような人々は、この分野での彼らの仕事から多くのお金を稼いでいます、そしてあなたが見ているものは決して異常ではありません。

— Chopper3

0

アップストリームプロバイダーに、アップストリームに支援を依頼するよう依頼できます。たとえば、英国のユーザーのみでウェブサイトを運営しているとします。次に、whoisデータベースを使用して、トラフィックの一般的な発信元を確認できます。たとえば、不要なトラフィックのかなりの量が偶然にロシア、中国、および/または韓国から発信されたとしましょう。次に、アップストリームプロバイダーを呼び出し、それらにそれらを呼び出して、ソースに近いルーターがあると仮定して、これらのエリアからIPアドレスを一時的にnullrouteさせることができます。

これは長期的な解決策ではありませんが、ユーザーベースがいくつかの地理的なエリアにクラスター化されている場合に役立ちます。以前は、Iveはこのような顧客を支援しましたが、国外の仲間だけでなく、他の仲間にそのことを知らせないでください。これは彼らのビジネスの一部を取り去りました（彼らはもう国際的に利用できなかったためにそれらに到達できないと感じたユーザー）が、単にalltogatherのサービスを停止するよりもはるかに優れています。

しかし、結局のところ、これはもっと必死の行為です。しかし、体を緩めるより手足を切る方が良いです。

運が良ければ、上流のプロバイダープロバイダーが機器を所有していて、不要なトラフィックのほとんどをフィルターで除外するのに喜んで協力します。

幸運を：-）

— ルーン・ニルセン
ソース