Quali sono le migliori tecniche per prevenire attacchi denial of service?

Attualmente sto usando (D) DoS-Deflate per gestire tali situazioni su numerosi server remoti, insieme ad Apache JMeter per i test di carico.

Nel complesso ha funzionato abbastanza bene, anche se mi piacerebbe sentire alcuni suggerimenti da guru che hanno lavorato con questo tipo di circostanze per più tempo di me. Sono sicuro che coloro che lavorano nel settore dell'hosting web hanno avuto la loro parte equa nel gestire queste situazioni. Quindi mi chiedo quali siano le migliori pratiche per affrontare questo tipo di problemi in un ambiente aziendale?

Prevenire un DDoS significa soprattutto non essere un bersaglio. Non ospitare server di gioco, siti di giochi d'azzardo / porno e altre cose che tendono a infastidire le persone.

La mitigazione di un attacco DDoS si presenta in due forme:

• essere in grado di ignorare il traffico e perdere il carico in eccesso, il che è utile quando sei sotto un attacco che cerca di abbatterti sovraccaricando le tue macchine (e si rivela utile anche se ricevi "Slashdotted";
• essere in grado di rifiutare il traffico di rete offensivo a monte di te, in modo da non ostruire i tuoi collegamenti ed eliminare la tua connettività.

Il primo dipende in qualche modo da quello che stai servendo, ma di solito si riduce a una combinazione di memorizzazione nella cache, gestione degli overflow (rilevare quando i server sono "pieni" e reindirizzare le nuove connessioni a una pagina "scusa" a basso consumo di risorse) e il gradevole degrado dell'elaborazione della richiesta (ad esempio, non eseguendo il rendering dinamico delle immagini).

Quest'ultimo richiede buone comunicazioni con i tuoi upstream: fai in modo che il numero di telefono dei NOC dei tuoi upstream sia tatuato all'interno delle palpebre (o almeno in un wiki da qualche parte che non è ospitato nello stesso posto dei tuoi server di produzione. ..) e conoscere le persone che lavorano lì, quindi quando chiami avrai immediatamente attenzione come qualcuno che sa davvero di cosa stanno parlando piuttosto che essere un po 'di johnny a caso.

Non menzionate che tipo di sicurezza perimetrale avete in atto. Con i firewall Cisco è possibile limitare il numero di embrioni (mezze sessioni) che il firewall consentirà prima di interromperle, pur consentendo comunque il completamento delle sessioni complete. Di default è illimitato, il che non offre protezione.

I sistemi di bilanciamento del carico assistiti dall'hardware come Foundry ServerIron e Cisco ACE sono ottimi per gestire un numero enorme di tipi principali di attacchi DOS / DDOS ma non sono così flessibili come le soluzioni software che possono "apprendere" più rapidamente le nuove tecniche.

Una buona fonte di informazioni è in questo sito . Una misura che citano solo di passaggio (e che vale la pena approfondire ulteriormente la ricerca) è l'abilitazione dei cookie SYN. Ciò impedisce un'intera classe di attacchi DoS impedendo a un utente malintenzionato di aprire un numero elevato di connessioni "semiaperte" nel tentativo di raggiungere il numero massimo di descrittori di file consentito per processo. (Vedi la manpage di bash, cerca 'ulimit' incorporato con l'opzione '-n')

Disclaimer: non sono un guru della protezione DDoS.

Penso che dipenda dal budget che hai per esso, quali sono i termini di operatività e come tu o i tuoi clienti siete esposti a questo tipo di rischio.

La protezione DDoS basata su proxy potrebbe essere un'opzione. Nella maggior parte dei casi non è un'opzione economica, ma penso che sia la più efficace. Vorrei chiedere una soluzione al mio fornitore di hosting. RackSpace, ad esempio, fornisce questo strumento di mitigazione multilivello . Sono sicuro che tutti i grandi hoster hanno soluzioni simili.