DOS 공격 중지


9

내가 작업하는 사이트 중 하나가 최근 DoS'd를 받기 시작했습니다. 30k RPS에서 시작했으며 현재 50k / min입니다. IP는 거의 동일한 서브넷에 있지 않고 여러 국가에있어 모두 고유합니다. 메인 페이지 만 요청합니다. 이것을 막는 방법에 대한 팁이 있습니까?

서버는 Apache를 웹 서버로하여 Linux에서 실행됩니다.

감사


어떤 종류의 트래픽입니까? 어떤 종류의 DDoS인지 확인 했습니까? 즉, 대역폭을 소비합니까 아니면 시스템 리소스를 소비합니까?
Josh Brower

이것은 좋은 질문이지만 명백한 대답은 없습니다. 와우, 나는 DoS 벽돌 벽이 너무 두껍다는 것을 몰랐습니다.
Xeoncross 2016 년

답변:


4

DoS를 견뎌내려고하는 것이 아니라 분산되어 처리하기가 훨씬 어려운 DDoS를 견뎌내려고합니다.

기본적으로 불법 트래픽을 식별하고 차단하려고합니다. 이상적으로는이 트래픽을 널 라우팅하려고합니다 (상류 공급 업체가 트래픽을 널 라우팅하도록하는 것이 더 좋습니다).

첫 번째 포트는 식별입니다. 호스트에게 전송되는 트래픽을 식별 할 수있는 방법을 찾아야합니다. 일반적인 사용자 에이전트인지 여부, 실제로 올바른 브라우저를 사용하고 있지 않다는 사실 ( 힌트 : 올바른 브라우저처럼 작동합니까 ( 예 : 301 리디렉션)) 모든 요청이 정확히 동시에 발생하는지 여부 각 IP가 시간당 서버에 도달하는 많은 요청.

당신은 그들을 식별하지 않고 그들을 막을 수 없으며 당신은 그것을하는 방법을 찾아야합니다.

이러한 DDoS 완화 도구는 실시간 및 폭탄 비용을 제외하고는 본질적으로 동일한 작업을 수행합니다. 허위 긍정이 있거나 DDoS가 너무 커서 시간의 절반은 어쨌든 중요하지 않으므로 현재 또는 미래에 투자하기로 결정한 경우 여기에 돈을 넣는 곳에주의하십시오.

다음을 기억하십시오. 1. 식별 2. 차단 . 1은 어려운 부분입니다.


1
문제가 차단되지 않고 문제가 식별되었습니다. 식별 할 수 없으면 무언가를 차단할 수 없습니다. 지금까지 우리는 전혀 패턴을 보지 못했습니다. 실제 브라우저, 요청 시간 패턴 없음, 완전히 다른 국가, 리퍼러 없음, 리디렉션을 따르고 쿠키를 허용합니다. 그들은 일반 사용자처럼 행동합니다. 말하기가 거의 불가능 해 보입니다. 우리는 모든 트래픽을 아마존으로 라우팅하고, 아마존이 캐시 될 홈페이지에 대한 모든 요청을 처리하고, 현재 웹 애플리케이션이 처리하는 다른 모든 페이지를 처리하도록 생각하고 있습니다. 그래도 답변 주셔서 감사합니다.
William

마이너 보정 : 그들은 아마 야 하지 , 실제 브라우저 확인 작업을 할 때 마음에 계속. 또한 사용자 기반은 어떻게 생겼습니까? 그것이 모두 미국 중심이라면, 당신은 약간의 호흡 실을 구입하기위한 임시
간청

그들은 요청에 Firefox, Chrome 등을 사용한다는 의미에서 "실제"브라우저가 아닙니다. 한 가지 주목할 점은 RPS가 높은 곳에서 몇 시간 동안 실행되는 고유 한 IP라고 말한 것입니다. 이 "사람"에게는 명백한 거대한 봇넷이 있으며, 심지어 데이터 센터 (ThePlanet)도이를 막을 방법을 찾을 수 없습니다. 브라우저인지 아닌지 말하기는 쉽지 않습니다. 리디렉션, 쿠키 저장 등을 따르는 경우 어떻게 말합니까? 무언가를 기억해야하는 것 외에도 각 요청은 고유합니다. 따라서 IP 금지는 아무 의미가 없습니다. 서버에 도달하기 전에 요청을 차단해야합니다.
William

브라우저가 아닌 브라우저 나 텍스트 기반 브라우저는 자바 스크립트를 실행하지 않는가? 어떤 사용자 에이전트 헤더도 제공하고 있습니까?
Philip Reynolds

1

이것이 의도적 인 DDoS라고 가정합니다. 가장 먼저 시도 할 것은 IP 주소를 변경하는 것입니다. 실제로 의도적이지 않으면 중지됩니다.

의도적이지 않은 경우 이러한 요청은 어디에서 발생합니까? 무작위 일 수도 있고, 잘못된 목표 일 수도 있습니다. 그럴 수도 있지만 시도해 볼 가치가 있습니다.

합법적 인 트래픽이 많지 않습니까? 어쩌면 당신은 슬래시 도트, 또는 뭔가되었을 수 있습니다. 로그에서 리퍼러를 살펴보십시오.


0

프론트 엔드 라우터 /로드 밸런서에 DOS 공격 관리 기능이 없습니까? 우리는 그렇게하고 세상을 변화시킵니다.


문제는 모든 IP가 다른 나라 등에서 독특하다는 것입니다. 실제로 합법적 인 사용자에게 공격자에게 알릴 방법이 없습니다. 우리의 모든 대역폭이 현재 사용되고 있습니다. 우리는 무엇이든 할 수 있습니다.
William

그러나 DOS 관리 라우터 및로드 밸런서는 트래픽의 출처를 신경 쓰지 않습니다. 특정 IP의 특정 유형의 DOS 관련 트래픽을 많이 본다면 서버를 무시하고 작업을 계속 수행 할 수 있습니다. 서버 및 고객 트래픽이 올바르게 처리됩니다. Cisco 및 Foundry와 같은 사람들은이 분야에서 일하면서 많은 돈을 벌고 있으며 현재보고있는 것은 평범하지 않습니다.
Chopper3

0

업스트림 제공자에게 업스트림에 도움을 요청하도록 요청할 수 있습니다. 예를 들어 영국 사용자 만 웹 사이트를 운영한다고 가정 해 보겠습니다. 그런 다음 일부 whois 데이터베이스를 사용하여 트래픽이 발생하는 일반적인 위치를 확인할 수 있습니다. 예를 들어 원치 않는 트래픽의 상당 부분이 러시아, 중국 및 / 또는 한국에서 발생한다고 가정 해 보겠습니다. 그런 다음 업스트림 공급자에게 전화를 걸어 소스에 가까운 라우터가 있다고 가정 할 때이 영역에서 IP 주소를 일시적으로 무효화하도록 할 수 있습니다.

이것은 장기적인 해결책은 아니지만 몇 개의 지리적 영역에 사용자 기반이 클러스터되어있는 경우 도움이됩니다. 과거에 Ive는 이와 같은 고객을 도와서 단순히 동료를 예고하는 것이 아니라 국가의 동료를 예고하는 것입니다. 그것은 그들의 사업의 일부를 빼앗아갔습니다 (더 이상 국제적으로 사용할 수 없었기 때문에 도달 할 수없는 것으로 판명 된 사용자).하지만 서비스를 완전히 중단하는 것보다 훨씬 좋습니다.

그러나 하루가 끝나면 이것은 더 절망적 인 행동입니다. 그러나 몸을 푸는 것보다 사지를 잘라내는 것이 좋습니다.

운이 좋으면 업스트림 제공 업체가 장비를 보유하고 있으며 원치 않는 대부분의 트래픽을 필터링 할 수 있도록 기꺼이 도와 줄 것입니다.

행운을 빕니다 :-)

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.