सेवा हमलों से इनकार करने के लिए सबसे अच्छी तकनीकें क्या हैं?


9

वर्तमान में मैं लोड परीक्षण के लिए Apache JMeter के साथ कई दूरस्थ सर्वरों पर ऐसी स्थितियों का प्रबंधन करने के लिए (D) DoS-Deflate का उपयोग कर रहा हूं ।

कुल मिलाकर यह काफी अच्छा काम कर रहा है, हालाँकि मैं गुरुओं के कुछ सुझाव सुनना चाहूंगा जो इस तरह की परिस्थितियों में मेरे साथ लंबे समय से काम कर रहे हैं। मुझे यकीन है कि वेब होस्टिंग व्यवसाय में काम करने वालों को इन स्थितियों से निपटने का अपना उचित हिस्सा मिला होगा। इसलिए मैं सोच रहा हूं कि कॉरपोरेट परिवेश में इस प्रकार की समस्याओं के लिए सबसे अच्छे तरीके क्या हैं?


मैंने पहले (D) DoS-Deflate को नहीं देखा था। सर उठाने के लिए धन्यवाद। कोई दोष? "अच्छी तरह से काम करना" क्या आप पर हमला किया गया है या यह सिर्फ कानूनी कनेक्शन को खराब नहीं करता है?
गारेथ

इसे स्थापित करने के बाद थोड़ी छेड़छाड़ की आवश्यकता थी लेकिन सब कुछ काफी सीधा है। यह नियमित रूप से ठीक कनेक्शन का प्रबंधन करता है लेकिन जब JMeter का उपयोग करने के लिए यह पूरी तरह से यह अच्छी तरह से उठाता है तो नेटवर्क की क्षमता का परीक्षण करने के लिए और JMeter बहुत कम प्रभावी हो जाता है।
जॉन टी

जवाबों:


4

DDoS को रोकना ज्यादातर लक्ष्य नहीं होने के बारे में है। गेम सर्वर, जुआ / पोर्न साइट्स और अन्य चीजों की मेजबानी न करें, जो लोगों को परेशान करते हैं।

DDoS हमले को कम करना दो रूपों में आता है:

  • ट्रैफ़िक और शेड के अतिरिक्त लोड को अनदेखा करने में सक्षम होने के नाते, जो तब उपयोगी होता है जब आप किसी ऐसे हमले के तहत होते हैं जो आपको अपनी मशीनों को ओवरलोड करके नीचे ले जाने की कोशिश करता है (और कभी-कभी "स्लैशडॉट" मिलने पर भी काम आता है;
  • आपके साथ अपमानजनक नेटवर्क ट्रैफ़िक को अस्वीकार करने में सक्षम होना, ताकि यह आपके लिंक को रोक न सके और आपकी कनेक्टिविटी को निकाल ले।

पूर्व कुछ हद तक इस बात पर निर्भर करता है कि आप क्या सेवा कर रहे हैं, लेकिन आमतौर पर कैशिंग के कुछ संयोजन के लिए नीचे आता है, अतिप्रवाह हैंडलिंग (यह पता लगाने पर कि सर्वर "पूर्ण" हैं और कम कनेक्शन-उपयोग "क्षमा" पृष्ठ पर नए कनेक्शन पुनर्निर्देशित कर रहे हैं) , और अनुरोध प्रसंस्करण के सुंदर गिरावट (उदाहरण के लिए, छवियों के गतिशील प्रतिपादन नहीं कर रहे हैं)।

उत्तरार्द्ध को आपकी अपस्ट्रीम के साथ अच्छे संचार की आवश्यकता होती है - आपकी पलकों के अंदर तक आपके नोजल के NOCs का फोन नंबर होता है (या कहीं कम से कम विकी में, जो आपके उत्पादन सर्वर के समान स्थान पर होस्ट नहीं किया गया हो। ..) और वहां काम करने वाले लोगों को जानने के लिए, इसलिए जब आप फोन करते हैं, तो आपको तत्काल ध्यान मिलेगा क्योंकि कोई व्यक्ति जो वास्तव में जानता है कि वे कुछ यादृच्छिक जॉनी होने के बजाय क्या बात कर रहे हैं।


1
अपस्ट्रीम संरक्षण और टैटू अंक के लिए +1
एंडी

3

आपने उल्लेख नहीं किया है कि आपके पास किस प्रकार की परिधि सुरक्षा है। सिस्को फ़ायरवॉल के साथ आप भ्रूण की संख्या (आधे सत्र) को सीमित कर सकते हैं जो आपके फ़ायरवॉल को काटने से पहले अनुमति देगा, जबकि अभी भी पूर्ण सत्रों से गुजरने की अनुमति है। डिफ़ॉल्ट रूप से यह असीमित है, जो कोई सुरक्षा प्रदान नहीं करता है।


2

फाउंड्री ServerIron और सिस्को ACEs जैसे हार्डवेयर-असिस्टेड लोड-बैलेंसर्स मुख्य प्रकार के DOS / DDOS हमलों की बड़ी संख्या से निपटने के लिए महान हैं, लेकिन सॉफ्टवेयर समाधान के रूप में इतने लचीले नहीं हैं जो नई तकनीकों को जल्दी सीख सकें।


2

जानकारी के लिए एक अच्छा स्रोत इस साइट पर है । एक उपाय जो वे केवल पारित करने में उल्लेख करते हैं (और जो आगे शोध के लायक है) SYN कुकीज़ को सक्षम कर रहा है। यह एक हमलावर को पूरी प्रक्रिया में अनुमति दी गई फ़ाइल विवरणकों की अधिकतम संख्या तक पहुंचने के प्रयास में एक हमलावर को बड़ी संख्या में 'आधा-खुला' कनेक्शन खोलने से रोकता है। (बैश मैनपेज देखें, it -n ’विकल्प के साथ with अलिमित’ बिलियन की तलाश करें)


1

डिस्क्लेमर: मैं डीडीओएस प्रोटेक्शन गुरु नहीं हूं।

मुझे लगता है कि यह आपके लिए उस बजट पर निर्भर करता है, आपकी अपटाइम शर्तों की शर्तें क्या हैं और आप या आपके ग्राहक इस तरह के जोखिम के संपर्क में कैसे हैं।

प्रॉक्सी-आधारित DDoS सुरक्षा एक विकल्प हो सकता है। ज्यादातर मामलों में यह एक सस्ता विकल्प नहीं है, लेकिन मुझे लगता है कि यह सबसे प्रभावी है। मैं अपने होस्टिंग प्रदाता से समाधान के लिए पूछूंगा। उदाहरण के लिए, RackSpace यह बहु स्तरीय शमन उपकरण प्रदान करता है । मुझे यकीन है कि सभी बड़े होस्टर्स के पास समान समाधान हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.