आप सेवा हमले से इनकार कर रहे हैं। यदि आप कई नेटवर्कों (अलग-अलग सबनेट पर अलग-अलग आईपी) से आने वाले ट्रैफ़िक को देखते हैं, तो आपको सेवा से वंचित कर दिया गया है (DDoS); अगर यह सब उसी जगह से आ रहा है तो आपके पास एक पुराना पुराना DoS है। यदि आप सक्षम हैं, तो यह जांचने में मददगार हो सकता है; जाँच करने के लिए netstat का उपयोग करें। हालांकि यह करना कठिन हो सकता है।
सेवा से इनकार आमतौर पर एक युगल श्रेणियों में आता है: यातायात-आधारित, और लोड-आधारित। अंतिम आइटम (दुर्घटनाग्रस्त सेवा के साथ) शोषित-आधारित DoS है और काफी भिन्न है।
यदि आप यह बताने की कोशिश कर रहे हैं कि किस प्रकार का हमला हो रहा है, तो आप कुछ ट्रैफ़िक (वायरशार्क, tcpdump या libpcap का उपयोग करके) पर कब्जा करना चाहते हैं। यदि संभव हो तो आपको करना चाहिए, लेकिन यह भी ध्यान रखें कि आप संभवतः बहुत अधिक ट्रैफ़िक कैप्चर करेंगे।
जैसा कि अक्सर नहीं होता है, ये बॉटनेट्स (कुछ हमलावरों के केंद्रीय नियंत्रण के तहत समझौता किए गए मेजबानों के नेटवर्क, जिनकी बोली वे करेंगे) से आएंगे। यह हमलावर के लिए एक बहुत ही अच्छा तरीका है (बहुत सस्ते में) अलग-अलग नेटवर्क पर बहुत सारे मेजबान के अपस्ट्रीम बैंडविड्थ का अधिग्रहण करने के लिए आप पर हमला करने के लिए, जबकि उनके पटरियों को कवर करते हैं। कम कक्षा आयन तोप एक botnet का एक उदाहरण है (बजाय स्वैच्छिक होने के बावजूद मैलवेयर व्युत्पन्न); ज़ीउस एक अधिक विशिष्ट है।
यातायात आधारित
यदि आप ट्रैफ़िक-आधारित DoS के अंतर्गत हैं, तो आप पा रहे हैं कि आपके सर्वर पर बस इतना ट्रैफ़िक आ रहा है कि इंटरनेट से इसका कनेक्शन पूरी तरह से संतृप्त है। अपने सर्वर को कहीं और से पिंग करते समय एक उच्च पैकेट हानि दर होती है, और उपयोग में रूटिंग के तरीकों के आधार पर) कभी-कभी आप वास्तव में उच्च विलंबता (पिंग उच्च) देख रहे हैं। इस तरह का हमला आमतौर पर DDoS होता है।
हालांकि यह वास्तव में "जोर से" हमला है, और यह स्पष्ट है कि क्या चल रहा है, सर्वर व्यवस्थापक के लिए इसे मिटाना मुश्किल है (और मूल रूप से साझा होस्टिंग के उपयोगकर्ता के लिए शमन करने के लिए असंभव है)। आपको अपने ISP से सहायता की आवश्यकता है; उन्हें बताएं कि आप DDoS के अधीन हैं और वे मदद करने में सक्षम हो सकते हैं।
हालांकि, अधिकांश आईएसपी और पारगमन प्रदाता सक्रिय रूप से महसूस करेंगे कि क्या चल रहा है और आपके सर्वर के लिए एक ब्लैकहोल मार्ग प्रकाशित करेगा । इसका मतलब यह है कि वे आपके सर्वर पर एक मार्ग को यथासंभव कम लागत के साथ प्रकाशित करते हैं, इसके माध्यम से 0.0.0.0: वे इंटरनेट पर आपके सर्वर के लिए ट्रैफ़िक नहीं बनाते हैं। ये मार्ग आम तौर पर / 32s होते हैं और अंततः इन्हें हटा दिया जाता है। यह आपकी बिल्कुल मदद नहीं करता है; इसका उद्देश्य आईएसपी के नेटवर्क को जलप्रलय से बचाना है। अवधि के लिए, आपका सर्वर प्रभावी रूप से इंटरनेट एक्सेस खो देगा।
आपके आईएसपी (या आप, यदि आपके पास खुद का एएस) का एकमात्र तरीका मदद करने में सक्षम है, यदि वे बुद्धिमान ट्रैफ़िक शेपर्स का उपयोग कर रहे हैं जो संभावित DDoS ट्रैफ़िक का पता लगा सकते हैं और दर-सीमा कर सकते हैं। हर किसी के पास यह तकनीक नहीं है। हालाँकि, यदि ट्रैफ़िक एक या दो नेटवर्क या एक होस्ट से आ रहा है, तो वे आपके आगे ट्रैफ़िक को रोक भी सकते हैं।
संक्षेप में, इस समस्या के बारे में आप बहुत कम कर सकते हैं । सबसे अच्छा दीर्घकालिक समाधान इंटरनेट पर कई अलग-अलग स्थानों में अपनी सेवाओं की मेजबानी करना है जो व्यक्तिगत रूप से और साथ-साथ DDoSed करना होगा, जिससे DDoS बहुत अधिक महंगा हो जाएगा। इसके लिए रणनीतियाँ उस सेवा पर निर्भर करती हैं जिसकी आपको रक्षा करने की आवश्यकता है; डीएनएस को कई आधिकारिक नामवरों के साथ संरक्षित किया जा सकता है, बैकअप एमएक्स रिकॉर्ड्स और मेल एक्सचेंजर्स के साथ एसएमटीपी, और राउंड-रॉबिन डीएनएस या मल्टीहोमिंग के साथ HTTP (लेकिन कुछ गिरावट वैसे भी अवधि के लिए ध्यान देने योग्य हो सकती है)।
लोड बैलेंसर्स शायद ही कभी इस समस्या का एक प्रभावी समाधान है, क्योंकि लोड बैलेंसर स्वयं एक ही समस्या के अधीन है और केवल एक अड़चन पैदा करता है। IPTables या अन्य फ़ायरवॉल नियम मदद नहीं करेंगे क्योंकि समस्या यह है कि आपका पाइप संतृप्त है। आपके फ़ायरवॉल द्वारा कनेक्शन देखे जाने के बाद, यह पहले से ही बहुत देर हो चुकी है ; आपकी साइट में बैंडविड्थ का उपभोग किया गया है। इससे कोई फर्क नहीं पड़ता कि आप कनेक्शन के साथ क्या करते हैं; हमले को कम या समाप्त कर दिया जाता है जब आने वाले ट्रैफ़िक की मात्रा वापस सामान्य हो जाती है।
यदि आप ऐसा करने में सक्षम हैं, तो अकामाई, लाइमलाइट और CDN77 जैसी सामग्री वितरण नेटवर्क (CDN) का उपयोग करने पर विचार करें या CloudFlare या Prolexic जैसी DDoS स्क्रबिंग सेवा का उपयोग करें। ये सेवाएं इस प्रकार के हमलों को कम करने के लिए सक्रिय कदम उठाती हैं, और इतने सारे अलग-अलग स्थानों में इतनी उपलब्ध बैंडविड्थ भी होती हैं कि उनमें बाढ़ आना आम तौर पर संभव नहीं है।
यदि आप CloudFlare (या किसी अन्य CDN / प्रॉक्सी) का उपयोग करने का निर्णय लेते हैं, तो अपने सर्वर का IP छुपाना याद रखें। अगर किसी हमलावर को IP पता चलता है, तो वह CloudFlare को दरकिनार करते हुए, सीधे आपके सर्वर को फिर से DDoS कर सकता है। आईपी छिपाने के लिए, आपके सर्वर को कभी भी अन्य सर्वरों / उपयोगकर्ताओं से सीधे संवाद नहीं करना चाहिए जब तक कि वे सुरक्षित न हों। उदाहरण के लिए आपके सर्वर को उपयोगकर्ताओं को सीधे ईमेल नहीं भेजना चाहिए। यदि आप CDN पर अपनी सभी सामग्री होस्ट करते हैं और आपका स्वयं का सर्वर नहीं है तो यह लागू नहीं होता है।
इसके अलावा, कुछ VPS और होस्टिंग प्रदाता दूसरों की तुलना में इन हमलों को कम करने में बेहतर हैं। सामान्य तौर पर, वे जितने बड़े होंगे, वे इस पर बेहतर होंगे; एक प्रदाता जो बहुत अच्छी तरह से संचालित है और बहुत सारे बैंडविड्थ स्वाभाविक रूप से अधिक लचीला हैं, और एक सक्रिय और पूरी तरह से कर्मचारी नेटवर्क ऑपरेशन टीम के साथ और अधिक तेज़ी से प्रतिक्रिया करने में सक्षम होंगे।
लोड के आधार पर
जब आप लोड-आधारित DDoS का अनुभव कर रहे होते हैं, तो आप ध्यान देते हैं कि आपके प्लेटफॉर्म और बारीकियों के आधार पर लोड औसत असामान्य रूप से अधिक है (या सीपीयू, रैम या डिस्क उपयोग)। हालाँकि सर्वर कुछ भी उपयोगी नहीं प्रतीत होता है, यह बहुत व्यस्त है। अक्सर, असामान्य स्थितियों का संकेत करने वाले लॉग में प्रचुर मात्रा में प्रविष्टियां होंगी। अधिक बार नहीं यह कई अलग-अलग स्थानों से आ रहा है और डीडीओएस है, लेकिन यह जरूरी नहीं है। वहाँ भी विभिन्न मेजबान का एक बहुत कुछ नहीं है ।
यह हमला आपकी सेवा को महंगा सामान बनाने पर आधारित है। यह कुछ ऐसा हो सकता है जैसे कि टीसीपी कनेक्शन की एक गरिमामयी संख्या को खोलना और आपको उनके लिए राज्य बनाए रखने के लिए मजबूर करना, या आपकी सेवा में अत्यधिक बड़ी या कई फाइलें अपलोड करना, या शायद वास्तव में महंगी खोजों को करना, या वास्तव में कुछ भी करना जो संभालना महंगा है। ट्रैफ़िक उस सीमा के भीतर है जिसे आपने योजना बनाई थी और उस पर काम कर सकता है, लेकिन किए जाने वाले अनुरोधों के प्रकार इतने सारे को संभालने के लिए बहुत महंगे हैं ।
सबसे पहले, कि इस प्रकार का हमला संभव है अक्सर एक कॉन्फ़िगरेशन इश्यू या बग का संकेत होता हैआपकी सेवा में उदाहरण के लिए, आपके पास वर्बोज़ लॉगिंग चालू हो सकती है, और कुछ लिखने के लिए लॉग को संग्रहीत किया जा सकता है जो लिखने के लिए बहुत धीमा है। अगर किसी को यह पता चलता है और वह बहुत कुछ करता है जो आपको डिस्क में प्रचुर मात्रा में लॉग लिखने का कारण बनता है, तो आपका सर्वर क्रॉल में धीमा हो जाएगा। आपका सॉफ्टवेयर भी कुछ इनपुट मामलों के लिए कुछ बेहद अक्षम हो सकता है; कारण कई हैं जैसे कि कार्यक्रम हैं, लेकिन दो उदाहरण एक ऐसी स्थिति होगी जो आपकी सेवा को एक सत्र को बंद नहीं करने का कारण बनती है जो अन्यथा समाप्त हो जाती है, और एक स्थिति जो इसे एक बच्चे की प्रक्रिया को स्पैन करने और इसे छोड़ने का कारण बनती है। यदि आप दसियों हज़ारों खुले कनेक्शनों के साथ राज्य के साथ जुड़ते हैं, या दसियों हज़ारों बाल प्रक्रियाओं को समाप्त करते हैं, तो आप परेशानी में पड़ जाएंगे।
पहली चीज जो आप कर सकते हैं, वह ट्रैफ़िक को छोड़ने के लिए फ़ायरवॉल का उपयोग करना है । यह हमेशा संभव नहीं होता है, लेकिन अगर कोई विशेषता है तो आप आने वाले ट्रैफ़िक में मिल सकते हैं (यदि ट्रैफ़िक हल्का है तो इसके लिए tcpdump अच्छा हो सकता है), आप इसे फ़ायरवॉल पर छोड़ सकते हैं और यह अब परेशानी का कारण नहीं होगा। दूसरी बात यह है कि अपनी सेवा में बग को ठीक करें (विक्रेता के साथ संपर्क में रहें और एक लंबे समर्थन अनुभव के लिए तैयार रहें)।
हालाँकि, यदि यह एक कॉन्फ़िगरेशन समस्या है, तो वहाँ से शुरू करें । उत्पादन प्रणालियों पर लॉगिंग को उचित स्तर पर बंद करें (प्रोग्राम के आधार पर यह आमतौर पर डिफ़ॉल्ट होता है, और आमतौर पर यह सुनिश्चित करना होगा कि "डिबग" और "वर्बोज़" लॉगिंग का स्तर बंद हो; यदि कोई उपयोगकर्ता जो कुछ भी करता है वह सटीक रूप से लॉग इन होता है; ठीक विस्तार, आपकी लॉगिंग बहुत क्रियात्मक है)। इसके अतिरिक्त, चाइल्ड प्रोसेस और रिक्वेस्ट लिमिट्स की जांच करें , संभवत: आने वाले रिक्वेस्ट को थ्रॉटल करें , प्रति आईपी कनेक्शन और लागू चाइल्ड प्रोसेस की संख्या लागू हो।
यह बिना कहे चला जाता है कि आपके सर्वर को बेहतर कॉन्फ़िगर और बेहतर प्रावधान किया गया है, इस प्रकार का हमला जितना कठिन होगा। विशेष रूप से रैम और सीपीयू के साथ कंजूस होने से बचें। बैकएंड डेटाबेस और डिस्क स्टोरेज जैसी चीजों के लिए अपने कनेक्शन सुनिश्चित करें तेज और विश्वसनीय हैं।
शोषण आधारित
यदि आपकी सेवा रहस्यमय तरीके से ऊपर आने के बाद बहुत जल्दी से दुर्घटनाग्रस्त हो जाती है, खासकर यदि आप अनुरोधों के एक पैटर्न को स्थापित कर सकते हैं जो दुर्घटना से पहले होता है और अनुरोध असामान्य है या अपेक्षित उपयोग पैटर्न से मेल नहीं खाता है, तो आप एक शोषण-आधारित DoS का अनुभव कर सकते हैं। यह केवल एक होस्ट (बहुत ज्यादा किसी भी प्रकार के इंटरनेट कनेक्शन के साथ), या कई मेजबानों के रूप में हो सकता है।
यह कई मामलों में लोड-आधारित DoS के समान है , और मूल रूप से समान कारण और शमन हैं। अंतर केवल इतना है कि इस मामले में, बग आपके सर्वर को बेकार नहीं होने देता है, लेकिन मरने के लिए। हमलावर आमतौर पर एक दूरस्थ दुर्घटना भेद्यता का शोषण कर रहा है, जैसे कि गार्बल्ड इनपुट जो आपकी सेवा में अशक्तता या कुछ का कारण बनता है।
इसे एक अनधिकृत रिमोट एक्सेस अटैक के समान संभालें। यदि वे नीचे पिन किए जा सकते हैं, तो मेजबान और यातायात के मूल के खिलाफ फ़ायरवॉल । यदि लागू हो तो रिवर्स प्रॉक्सी को मान्य करें । फॉरेंसिक सबूत इकट्ठा करें (ट्रैफ़िक में से कुछ को आज़माएं और कैप्चर करें), वेंडर के साथ बग टिकट दर्ज करें, और मूल के खिलाफ दुर्व्यवहार की शिकायत (या कानूनी शिकायत) दर्ज करने पर विचार करें।
इन हमलों को माउंट करने के लिए काफी सस्ता है, अगर एक शोषण मिल सकता है, और वे बहुत शक्तिशाली हो सकते हैं, लेकिन नीचे ट्रैक करने और रोकने के लिए अपेक्षाकृत आसान भी हैं। हालाँकि, तकनीकें जो ट्रैफ़िक-आधारित DDoS के विरुद्ध उपयोगी हैं, आमतौर पर शोषण-आधारित DoS के विरुद्ध बेकार हैं।