Arrêter une attaque DOS

9

L'un des sites avec lesquels je travaille a récemment commencé à obtenir le DoS'd. Il a commencé à 30k RPS et maintenant c'est à 50k / min. Les IP sont à peu près toutes uniques, pas dans le même sous-réseau et se trouvent dans plusieurs pays. Ils ne demandent que la page principale. Des conseils sur la façon d'arrêter cela?

Les serveurs fonctionnent sous Linux avec Apache comme serveur Web.

Merci

security ddos denial-of-service William
la source
De quel type de trafic s'agit-il? Avez-vous identifié de quel type de DDoS il s'agit? c'est-à-dire, consomme-t-il votre bande passante ou consomme-t-il les ressources de votre système?
Josh Brower
C'est une grande question mais apparemment il n'y a pas de vraie réponse. Wow, je n'ai jamais su que le mur de briques DoS était si épais.
Xeoncross

Réponses:

4

Vous n'essayez pas seulement de résister à un DoS, vous essayez de résister à un DDoS, qui est distribué et beaucoup plus difficile à gérer.

Essentiellement, vous essayez d'identifier le trafic illégitime et de le bloquer. Idéalement, vous souhaitez annuler le routage de ce trafic (mieux encore, demandez à vos fournisseurs en amont de le router nul.)

Le premier port d'escale est l'identification. Vous devez trouver un moyen d'identifier le trafic envoyé à votre hôte. Qu'il s'agisse d'un agent utilisateur commun, que ce soit le fait qu'ils n'utilisent pas réellement un navigateur approprié ( CONSEIL: agissent-ils comme des navigateurs appropriés - c'est-à-dire suivent les redirections 301), que toutes les demandes affluent en même temps ou par la façon dont de nombreuses requêtes chaque IP atteignent votre serveur par heure.

Vous ne pouvez pas les bloquer sans les identifier et vous devez trouver un moyen de le faire.

Ces outils d'atténuation DDoS font essentiellement la même chose, sauf en temps réel et coûtent une bombe. La moitié du temps, il y a des faux positifs ou le DDoS est si important qu'il n'a pas d'importance de toute façon, alors faites attention où vous placez votre argent ici si vous décidez d'investir dans l'un d'eux maintenant ou à l'avenir.

N'oubliez pas: 1. IDENTIFIER 2. BLOQUER . 1 est la partie difficile.

Philip Reynolds
la source
1
Le problème n'est pas bloquant, le problème est d'identifier. Vous ne pouvez pas bloquer quelque chose si vous ne pouvez pas l'identifier. Jusqu'à présent, nous n'avons vu aucun modèle. De vrais navigateurs, aucun modèle de temps de demande, des pays complètement différents, pas de référent, ils suivent les redirections, ils acceptent les cookies. Ils agissent comme des utilisateurs normaux. Cela semble presque impossible à dire. Nous pensons acheminer tout le trafic vers Amazon, demander à Amazon de gérer toutes les demandes de page d'accueil qui seront mises en cache et toutes les autres pages gérées par notre application Web pour l'instant. Merci pour la réponse.
William
Correction mineure: ce ne sont probablement pas de vrais navigateurs, gardez cela à l'esprit lorsque vous travaillez sur l'identification. De plus, à quoi ressemble votre base d'utilisateurs? Si tout est centré sur les États-Unis, vous voudrez peut-être bloquer les demandes offshore pour vous offrir un peu de
répit
Ce ne sont pas de «vrais» navigateurs dans le sens où ils utilisent Firefox, Chrome, etc. pour leurs demandes. Une chose que vous remarquerez est la façon dont j'ai dit que ce sont des adresses IP uniques, fonctionnant pendant des heures, à ce niveau élevé d'un RPS. Cette "personne" a un énorme botnet apparemment, même notre centre de données (ThePlanet) ne peut pas non plus trouver un moyen de l'arrêter. Ce n'est pas très facile de dire s'il s'agit d'un navigateur ou non. S'il suit des redirections, stocke des cookies, etc. comment le dites-vous? De plus, vous devez vous souvenir de quelque chose, chaque demande est unique. Donc, interdire une adresse IP ne veut rien dire. Les demandes doivent être bloquées avant qu'elles n'atteignent notre serveur.
William
Les non-navigateurs ou les navigateurs basés sur du texte n'ont pas tendance à exécuter javascript? Quel en-tête d'agent utilisateur fournit-il également?
Philip Reynolds
1

Vous supposez qu'il s'agit d'un DDoS intentionnel. La première chose à essayer est de changer l'adresse IP. Si ce n'est pas intentionnel, cela s'arrêtera.

D'où viendraient ces demandes si elles ne sont pas intentionnelles? Cela pourrait être aléatoire, ou ce pourrait être une cible erronée. Peu probable, mais mérite un essai.

Êtes-vous sûr que vous n'obtenez pas seulement des tonnes de trafic légitime? Peut-être que vous avez été slashdotted, ou quelque chose. Essayez de regarder les référents dans les journaux.

Chase Seibert
la source
0

Votre routeur / équilibreur de charge frontal n'a-t-il pas la gestion des attaques DOS? Le nôtre fait et cela fait un monde de différence.

Chopper3
la source
Le problème est que TOUS les IP sont uniques, de différents pays, etc. Il n'y a vraiment aucun moyen de distinguer l'attaquant d'un utilisateur légitime. TOUTE notre bande passante est consommée en ce moment, nous pouvons tout faire.
William
Mais les routeurs et les équilibreurs de charge de gestion DOS ne se soucient pas d'où vient le trafic, s'ils voient beaucoup d'un certain type de trafic lié à DOS de certaines adresses IP, ils l'ignorent et continuent leur travail indépendamment, permettant aux serveurs de le trafic serveur et client à traiter correctement. Des gens comme Cisco et Foundry font beaucoup d'argent de leur travail dans ce domaine et ce que vous voyez n'est pas du tout inhabituel.
Chopper3
0

Vous pouvez demander à votre fournisseur en amont de demander à son amont de l'aider. Disons par exemple que vous gérez un site Web uniquement avec des utilisateurs britanniques. Ensuite, vous pouvez vérifier d'où provient le trafic en général en utilisant une base de données whois. Disons par exemple qu'une part importante de votre trafic indésirable provient de Russie, de Chine et / ou de Corée. Ensuite, vous pouvez appeler votre fournisseur en amont et lui demander d'appeler le sien pour qu'il achemine temporairement vos adresses IP à partir de ces zones, en supposant qu'il dispose de routeurs proches des sources.

Ce n'est pas une solution à long terme mais cela aide si votre base d'utilisateurs est regroupée dans quelques zones géographiques. Dans le passé, Ive a aidé des clients comme celui-ci, ne les annonçant tout simplement pas à des pairs, juste nationaux. Cela a pris une partie de leur entreprise (les utilisateurs qui les trouvaient inaccessibles parce qu'ils n'étaient plus disponibles à l'international), mais c'est beaucoup mieux que d'être simplement hors service tous les jours.

Mais à la fin de la journée, c'est plus un acte désespéré. Mais il vaut mieux couper un membre que perdre le corps.

Si vous avez de la chance, votre fournisseur de fournisseurs en amont possède l'équipement et est prêt à vous aider à filtrer la plupart du trafic indésirable.

Bonne chance :-)

Rune Nilssen
la source