डॉस हमले को रोकना

जिन साइटों के साथ मैं काम करता हूं उनमें से एक हाल ही में DoS'd पाने के लिए शुरू हुई है। यह 30k RPS पर शुरू हुआ और अब यह 50k / मिनट है। आईपी ​​बहुत सुंदर सभी अद्वितीय हैं, एक ही सबनेट में नहीं हैं, और कई देशों में हैं। वे केवल मुख्य पृष्ठ का अनुरोध करते हैं। इसे रोकने के लिए कोई सुझाव?

सर्वर लिनक्स पर अपाचे के साथ वेब सर्वर के रूप में चल रहे हैं।

धन्यवाद

आप केवल एक DoS का सामना करने की कोशिश नहीं कर रहे हैं, आप एक DDoS का सामना करने की कोशिश कर रहे हैं, जो वितरित किया जाता है और इससे निपटने के लिए बहुत अधिक कठिन है।

अनिवार्य रूप से, आप नाजायज ट्रैफ़िक की पहचान करने और उन्हें अवरुद्ध करने का प्रयास कर रहे हैं। आदर्श रूप से, आप इस ट्रैफ़िक को कम करना चाहते हैं (अपने अपस्ट्रीम प्रोवाइडर्स को इसे रूट करने के लिए बेहतर तरीके से प्राप्त करें।)

कॉल का पहला पोर्ट पहचान है। आपको अपने होस्ट को भेजे जा रहे ट्रैफ़िक की पहचान करने के लिए कुछ तरीके खोजने होंगे। चाहे वह एक सामान्य उपयोगकर्ता एजेंट हो, चाहे यह तथ्य हो कि वे वास्तव में एक उचित ब्राउज़र का उपयोग नहीं कर रहे हैं ( HINT: क्या वे उचित ब्राउज़रों की तरह कार्य करते हैं - अर्थात 301 रीडायरेक्ट का पालन करें), चाहे सभी एक ही समय में बाढ़ का अनुरोध करें या कैसे कई अनुरोध प्रत्येक आईपी प्रति घंटे आपके सर्वर को मार रहा है।

आप उनकी पहचान किए बिना उन्हें ब्लॉक नहीं कर सकते हैं और आपको ऐसा करने का कोई तरीका खोजने की जरूरत है।

डीडीओएस शमन उपकरण अनिवार्य रूप से एक ही काम करते हैं, वास्तविक समय को छोड़कर और एक बम की लागत। समय के आधे झूठे सकारात्मक हैं या DDoS इतना बड़ा है कि यह वैसे भी कोई फर्क नहीं पड़ता है, इसलिए सावधान रहें कि आप अपना पैसा यहां डालते हैं यदि आप अभी या भविष्य में उनमें से किसी एक में निवेश करने का निर्णय लेते हैं।

याद रखें: 1. पहचान 2. ब्लॉक । 1 कठिन हिस्सा है।

आप मान रहे हैं कि यह एक जानबूझकर DDoS है। कोशिश करने वाली पहली बात आईपी पते को बदलना है। यदि यह वास्तव में जानबूझकर नहीं है, तो यह बंद हो जाएगा।

अगर यह जानबूझकर नहीं है तो ये अनुरोध कहां से आएंगे? यह यादृच्छिक हो सकता है, या यह एक गलत लक्ष्य हो सकता है। बेखबर, लेकिन एक कोशिश के काबिल।

क्या आप वाकई वैध ट्रैफ़िक का भार नहीं उठा रहे हैं? हो सकता है कि आपको स्लैशडॉट किया गया हो, या कुछ और। लॉग में रेफरल देखने की कोशिश करें।

क्या आपके फ्रंट-एंड राउटर / लोड-बैलेंसर में DOS- अटैक मैनेजमेंट नहीं है? हमारा करता है और यह अंतर की दुनिया बनाता है।

आप अपने अपस्ट्रीम प्रदाता को अपनी अपस्ट्रीम को सहायता करने के लिए कह सकते हैं। उदाहरण के लिए कहते हैं कि आप केवल यूके के उपयोगकर्ताओं के साथ एक वेबसाइट चलाते हैं। फिर आप जांच सकते हैं कि सामान्य रूप से ट्रैफ़िक की उत्पत्ति कुछ व्हिस डेटाबेस के उपयोग से होती है। उदाहरण के लिए कहते हैं कि आपके अवांछित ट्रैफ़िक की एक महत्वपूर्ण मात्रा रूस, चीन और / या कोरिया से उत्पन्न होती है। तब आप अपने अपस्ट्रीम प्रदाता को कॉल कर सकते हैं और उन्हें अपने आईपी पते को इन क्षेत्रों से अस्थायी रूप से शून्य करने के लिए कह सकते हैं, यह मानते हुए कि वे स्रोतों के करीब राउटर हैं।

यह एक दीर्घकालिक समाधान नहीं है, लेकिन यह मदद करता है अगर आपके उपयोगकर्ताबेस को कुछ भौगोलिक क्षेत्रों में क्लस्टर किया जाए। अतीत में, Ive ने इस तरह से ग्राहकों की मदद की, बस उन्हें राष्ट्रीय स्तर के लोगों की ओर अग्रसर करने की घोषणा नहीं की। थिस ने अपने कुछ व्यवसाय को दूर ले लिया (उपयोगकर्ताओं ने उन्हें अप्राप्य पाया क्योंकि वे अब अंतरराष्ट्रीय स्तर पर उपलब्ध थे), लेकिन इसके अलॉट आउट ऑफ सर्विस ऑलटोग्थर से बेहतर है।

लेकिन दिन के अंत में यह एक हताश करने वाला कार्य है। लेकिन शरीर को ढीला करने की तुलना में एक अंग को काटने के लिए बेहतर है।

यदि आपके भाग्य में अपस्ट्रीम प्रदाता प्रदाता के पास उपकरण हैं और आप अवांछित यातायात को दूर करने में मदद करने के लिए तैयार हैं।

सौभाग्य :-)