डॉस हमले को रोकना


9

जिन साइटों के साथ मैं काम करता हूं उनमें से एक हाल ही में DoS'd पाने के लिए शुरू हुई है। यह 30k RPS पर शुरू हुआ और अब यह 50k / मिनट है। आईपी ​​बहुत सुंदर सभी अद्वितीय हैं, एक ही सबनेट में नहीं हैं, और कई देशों में हैं। वे केवल मुख्य पृष्ठ का अनुरोध करते हैं। इसे रोकने के लिए कोई सुझाव?

सर्वर लिनक्स पर अपाचे के साथ वेब सर्वर के रूप में चल रहे हैं।

धन्यवाद


यह किस तरह का यातायात है? क्या आपने पहचाना है कि यह किस तरह का DDoS है? यानी, क्या यह आपके बैंडविड्थ का उपभोग कर रहा है या यह आपके सिस्टम संसाधनों का उपभोग कर रहा है?
जोश ब्राउन

यह एक महान प्रश्न है लेकिन स्पष्ट रूप से इसका कोई वास्तविक उत्तर नहीं है। वाह, मुझे कभी नहीं पता था कि DoS ईंट की दीवार इतनी मोटी थी।
20

जवाबों:


4

आप केवल एक DoS का सामना करने की कोशिश नहीं कर रहे हैं, आप एक DDoS का सामना करने की कोशिश कर रहे हैं, जो वितरित किया जाता है और इससे निपटने के लिए बहुत अधिक कठिन है।

अनिवार्य रूप से, आप नाजायज ट्रैफ़िक की पहचान करने और उन्हें अवरुद्ध करने का प्रयास कर रहे हैं। आदर्श रूप से, आप इस ट्रैफ़िक को कम करना चाहते हैं (अपने अपस्ट्रीम प्रोवाइडर्स को इसे रूट करने के लिए बेहतर तरीके से प्राप्त करें।)

कॉल का पहला पोर्ट पहचान है। आपको अपने होस्ट को भेजे जा रहे ट्रैफ़िक की पहचान करने के लिए कुछ तरीके खोजने होंगे। चाहे वह एक सामान्य उपयोगकर्ता एजेंट हो, चाहे यह तथ्य हो कि वे वास्तव में एक उचित ब्राउज़र का उपयोग नहीं कर रहे हैं ( HINT: क्या वे उचित ब्राउज़रों की तरह कार्य करते हैं - अर्थात 301 रीडायरेक्ट का पालन करें), चाहे सभी एक ही समय में बाढ़ का अनुरोध करें या कैसे कई अनुरोध प्रत्येक आईपी प्रति घंटे आपके सर्वर को मार रहा है।

आप उनकी पहचान किए बिना उन्हें ब्लॉक नहीं कर सकते हैं और आपको ऐसा करने का कोई तरीका खोजने की जरूरत है।

डीडीओएस शमन उपकरण अनिवार्य रूप से एक ही काम करते हैं, वास्तविक समय को छोड़कर और एक बम की लागत। समय के आधे झूठे सकारात्मक हैं या DDoS इतना बड़ा है कि यह वैसे भी कोई फर्क नहीं पड़ता है, इसलिए सावधान रहें कि आप अपना पैसा यहां डालते हैं यदि आप अभी या भविष्य में उनमें से किसी एक में निवेश करने का निर्णय लेते हैं।

याद रखें: 1. पहचान 2. ब्लॉक । 1 कठिन हिस्सा है।


1
समस्या अवरुद्ध नहीं है, समस्या की पहचान हो रही है। यदि आप इसे पहचान नहीं सकते हैं तो आप कुछ को ब्लॉक नहीं कर सकते। अब तक हमने कोई पैटर्न नहीं देखा है। रियल ब्राउजर, रिक्वेस्ट टाइम में कोई पैटर्न नहीं, पूरी तरह से अलग-अलग देशों में, कोई रेफरर नहीं, वे रीडायरेक्ट का पालन करते हैं, वे कुकीज़ स्वीकार करते हैं। वे सामान्य उपयोगकर्ताओं की तरह ही कार्य करते हैं। ऐसा लग रहा है कि यह बता पाना लगभग असंभव है। हम अमेज़ॅन के सभी ट्रैफ़िक को रूट करने के बारे में सोच रहे हैं, अमेज़ॅन ने उस मुखपृष्ठ के सभी अनुरोधों को संभाल लिया है, जिन्हें कैश किया जाएगा, और अब हमारे वेब ऐप द्वारा हैंडल किए गए अन्य सभी पृष्ठ। जवाब के लिए धन्यवाद।
विलियम

मामूली सुधार: वे वास्तविक ब्राउज़र नहीं हैं, पहचान पर काम करते समय इसे ध्यान में रखें। इसके अलावा, आपका उपयोगकर्ता-आधार कैसा दिखता है? यदि यह सभी यूएस-केंद्रित है, तो आप सांस लेने के कमरे को खरीदने के लिए एक स्टॉपगैप के रूप में अपतटीय अनुरोधों को अवरुद्ध करना चाह सकते हैं ...
pboin

वे "वास्तविक" ब्राउज़र इस अर्थ में नहीं हैं कि वे फ़ायरफ़ॉक्स, क्रोम आदि का उपयोग अपने अनुरोधों के लिए कर रहे हैं। एक बात आप देखेंगे कि मैंने कैसे कहा कि ये अद्वितीय आईपी हैं, जो आरपीएस के उच्च स्तर पर घंटों तक चल रहे हैं। इस "व्यक्ति" के पास स्पष्ट रूप से एक बड़ी संख्या है, यहां तक ​​कि हमारे डेटा सेंटर (ThePlanet) भी इसे रोकने का कोई तरीका नहीं निकाल सकते हैं। यह बताना बहुत आसान नहीं है कि यह ब्राउज़र है या नहीं। यदि यह रीडायरेक्ट करता है, कुकीज़ को स्टोर करता है, आदि तो आप कैसे बताते हैं? इसके अलावा आपको कुछ याद रखने की आवश्यकता है, प्रत्येक अनुरोध अद्वितीय है। तो आईपी पर प्रतिबंध लगाने का मतलब कुछ भी नहीं है। हमारे सर्वर को हिट करने से पहले अनुरोधों को अवरुद्ध करने की आवश्यकता है।
विलियम

गैर-ब्राउज़र या पाठ आधारित ब्राउज़र जावास्क्रिप्ट को चलाने के लिए क्या नहीं है? क्या उपयोगकर्ता एजेंट हेडर वे भी आपूर्ति कर रहे हैं?
फिलिप रेनॉल्ड्स 18

1

आप मान रहे हैं कि यह एक जानबूझकर DDoS है। कोशिश करने वाली पहली बात आईपी पते को बदलना है। यदि यह वास्तव में जानबूझकर नहीं है, तो यह बंद हो जाएगा।

अगर यह जानबूझकर नहीं है तो ये अनुरोध कहां से आएंगे? यह यादृच्छिक हो सकता है, या यह एक गलत लक्ष्य हो सकता है। बेखबर, लेकिन एक कोशिश के काबिल।

क्या आप वाकई वैध ट्रैफ़िक का भार नहीं उठा रहे हैं? हो सकता है कि आपको स्लैशडॉट किया गया हो, या कुछ और। लॉग में रेफरल देखने की कोशिश करें।


0

क्या आपके फ्रंट-एंड राउटर / लोड-बैलेंसर में DOS- अटैक मैनेजमेंट नहीं है? हमारा करता है और यह अंतर की दुनिया बनाता है।


समस्या यह है, सभी आईपी अलग-अलग देशों से अद्वितीय हैं, हमलावर को वैध उपयोगकर्ता से बताने का कोई तरीका नहीं है। हमारे सभी बैंडविड्थ अभी खाए जा रहे हैं, हम कुछ भी कर सकते हैं।
विलियम

लेकिन डॉस-मैनेजिंग राउटर और लोड-बैलेंसर्स को परवाह नहीं है कि ट्रैफ़िक कहां से आता है, अगर उन्हें कुछ निश्चित प्रकार के डॉस-संबंधित ट्रैफ़िक को कुछ IP से देखते हैं तो वे इसे अनदेखा कर देते हैं और अपने काम को बिना किसी कारण के साथ आगे बढ़ाते हैं, जिससे सर्वरों को अनुमति मिलती है सर्वर और ग्राहक ट्रैफ़िक को सही ढंग से व्यवहार किया जाए। सिस्को और फाउंड्री जैसे लोग इस क्षेत्र में अपने काम से बहुत पैसा कमाते हैं और जो आप देख रहे हैं वह बिल्कुल भी सामान्य नहीं है।
चॉपर 3

0

आप अपने अपस्ट्रीम प्रदाता को अपनी अपस्ट्रीम को सहायता करने के लिए कह सकते हैं। उदाहरण के लिए कहते हैं कि आप केवल यूके के उपयोगकर्ताओं के साथ एक वेबसाइट चलाते हैं। फिर आप जांच सकते हैं कि सामान्य रूप से ट्रैफ़िक की उत्पत्ति कुछ व्हिस डेटाबेस के उपयोग से होती है। उदाहरण के लिए कहते हैं कि आपके अवांछित ट्रैफ़िक की एक महत्वपूर्ण मात्रा रूस, चीन और / या कोरिया से उत्पन्न होती है। तब आप अपने अपस्ट्रीम प्रदाता को कॉल कर सकते हैं और उन्हें अपने आईपी पते को इन क्षेत्रों से अस्थायी रूप से शून्य करने के लिए कह सकते हैं, यह मानते हुए कि वे स्रोतों के करीब राउटर हैं।

यह एक दीर्घकालिक समाधान नहीं है, लेकिन यह मदद करता है अगर आपके उपयोगकर्ताबेस को कुछ भौगोलिक क्षेत्रों में क्लस्टर किया जाए। अतीत में, Ive ने इस तरह से ग्राहकों की मदद की, बस उन्हें राष्ट्रीय स्तर के लोगों की ओर अग्रसर करने की घोषणा नहीं की। थिस ने अपने कुछ व्यवसाय को दूर ले लिया (उपयोगकर्ताओं ने उन्हें अप्राप्य पाया क्योंकि वे अब अंतरराष्ट्रीय स्तर पर उपलब्ध थे), लेकिन इसके अलॉट आउट ऑफ सर्विस ऑलटोग्थर से बेहतर है।

लेकिन दिन के अंत में यह एक हताश करने वाला कार्य है। लेकिन शरीर को ढीला करने की तुलना में एक अंग को काटने के लिए बेहतर है।

यदि आपके भाग्य में अपस्ट्रीम प्रदाता प्रदाता के पास उपकरण हैं और आप अवांछित यातायात को दूर करने में मदद करने के लिए तैयार हैं।

सौभाग्य :-)

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.