Arresto di un attacco DOS

9

Uno dei siti con cui lavoro ha recentemente iniziato a ottenere DoS'd. È iniziato a 30k RPS e ora è a 50k / min. Gli IP sono praticamente tutti unici, non nella stessa sottorete, e si trovano in più paesi. Richiedono solo la pagina principale. Qualche consiglio su come fermarlo?

I server sono in esecuzione su Linux con Apache come server Web.

Grazie

security ddos denial-of-service

— William
fonte

Che tipo di traffico è? Hai identificato che tipo di DDoS è? cioè, sta consumando la tua larghezza di banda o sta consumando le tue risorse di sistema?

— Josh Brower,

Questa è un'ottima domanda, ma a quanto pare non c'è una vera risposta. Wow, non ho mai saputo che il muro di mattoni DoS fosse così spesso.

— Xeoncross,

4

Non stai solo cercando di resistere a un DoS, stai cercando di resistere a un DDoS, che è distribuito e molto più difficile da gestire.

In sostanza, stai cercando di identificare il traffico illegittimo e bloccarli. Idealmente, si desidera annullare il routing di questo traffico (ancora meglio far sì che i provider upstream lo instradino null).

Il primo porto di scalo è l'identificazione. Devi trovare un modo per identificare il traffico che viene inviato al tuo host. Che si tratti di un agente utente comune, sia che non stiano effettivamente utilizzando un browser appropriato ( SUGGERIMENTO: si comportano come i browser corretti - ovvero seguono i reindirizzamenti 301), se tutte le richieste vengono inviate allo stesso tempo o in base a come molte richieste ogni IP colpisce il tuo server all'ora.

Non puoi bloccarli senza identificarli e devi trovare un modo per farlo.

Questi strumenti di mitigazione DDoS fanno essenzialmente la stessa cosa, tranne che in tempo reale e costano una bomba. La metà delle volte ci sono falsi positivi o il DDoS è così grande che non importa comunque, quindi fai attenzione a dove metti i tuoi soldi qui se decidi di investire in uno di essi ora o in futuro.

Ricorda: 1. IDENTIFICARE 2. BLOCCO . 1 è la parte difficile.

— Philip Reynolds
fonte

1

Il problema non si sta bloccando, il problema si sta identificando. Non puoi bloccare qualcosa se non riesci a identificarlo. Finora non abbiamo visto alcun modello. Browser reali, nessun modello nei tempi di richiesta, paesi completamente diversi, nessun referrer, seguono i reindirizzamenti, accettano i cookie. Agiscono come normali utenti. Sembra quasi impossibile dirlo. Stiamo pensando di instradare tutto il traffico verso Amazon, far sì che Amazon gestisca tutte le richieste per la homepage che verranno memorizzate nella cache e tutte le altre pagine gestite dalla nostra app Web per ora. Grazie per la risposta però.

— William,

Correzione minore: probabilmente non sono veri browser, tienilo a mente quando lavori sull'identificazione. Inoltre, com'è la tua base di utenti? Se è tutto incentrato sugli Stati Uniti, potresti voler bloccare le richieste offshore come stop per comprarti un po 'di respiro ...

— pboin

Non sono browser "reali", nel senso che utilizzano Firefox, Chrome, ecc. Per le loro richieste. Una cosa che noterai è come ho detto che si tratta di IP unici, in esecuzione per ore, a un livello così elevato di RPS. Questa "persona" ha apparentemente una botnet ENORME, neanche il nostro data center (ThePlanet) riesce a trovare un modo per fermarla. Non è molto facile dire se si tratta di un browser o meno. Se segue i reindirizzamenti, memorizza i cookie, ecc. Come si dice? Inoltre devi ricordare qualcosa, ogni richiesta è unica. Quindi vietare un IP non significa nulla. Le richieste devono essere bloccate prima che colpiscano il nostro server.

— William,

Non browser o browser basati su testo non tendono a eseguire javascript? Quale intestazione agente utente forniscono anche?

— Philip Reynolds,

1

Stai assumendo che si tratti di un DDoS intenzionale. La prima cosa da provare è cambiare l'indirizzo IP. Se in realtà non è intenzionale, allora si fermerà.

Da dove verrebbero queste richieste se non fossero intenzionali? Potrebbe essere casuale o potrebbe essere un bersaglio sbagliato. Improbabile, ma vale la pena provare.

Sei sicuro di non ricevere solo un sacco di traffico legittimo? Forse sei stato tagliato o qualcosa del genere. Prova a guardare i referrer nei registri.

— Chase Seibert
fonte

0

Il tuo router / bilanciamento del carico front-end non ha una gestione degli attacchi DOS? La nostra lo fa e fa la differenza.

— Chopper3
fonte

Il problema è che TUTTI gli IP sono unici, provenienti da diversi paesi, ecc. Non c'è davvero modo di dire all'attaccante da un utente legittimo. Tutta la nostra larghezza di banda viene consumata proprio ora, possiamo fare qualsiasi cosa.

— William,

Ma i router e i bilanciatori del carico che gestiscono DOS non si preoccupano da dove provenga il traffico, se vedono un certo tipo di traffico relativo a DOS da determinati IP, allora lo ignorano e continuano il loro lavoro indipendentemente, permettendo ai server di il traffico del server e del cliente deve essere trattato correttamente. Persone come Cisco e Foundry traggono molti soldi dal loro lavoro in quest'area e ciò che vedi non è affatto fuori dal comune.

— Chopper3,

0

Puoi chiedere al tuo fornitore upstream di chiedere assistenza al suo upstream. Diciamo ad esempio che gestisci un sito web solo con utenti del Regno Unito. Quindi è possibile verificare da dove proviene il traffico in generale dall'uso di alcuni database whois. Diciamo ad esempio che una parte significativa del tuo traffico indesiderato proviene da Russia, Cina e / o Corea. Quindi puoi chiamare il tuo provider upstream e fargli chiamare i loro per farli annullare temporaneamente i tuoi indirizzi IP da queste aree, supponendo che abbiano router vicini alle fonti.

Questa non è una soluzione a lungo termine, ma aiuta se la base utente è raggruppata in alcune aree geografiche. In passato Ive ha aiutato i clienti in questo modo, semplicemente non annunciandoli ai padri, ma solo a quelli nazionali. Questo ha portato via alcuni dei loro affari (utenti che li hanno trovati irraggiungibili perché non erano più disponibili a livello internazionale), ma è molto meglio che essere semplicemente fuori servizio.

Ma alla fine è più un atto disperato. Ma è meglio tagliare di un arto che perdere il corpo.

Se sei fortunato, il tuo fornitore di servizi a monte ha le attrezzature e sei disposto ad aiutarti a filtrare la maggior parte del traffico indesiderato.

In bocca al lupo :-)

— Rune Nilssen
fonte