Stoppen eines DOS-Angriffs

9

Eine der Websites, mit denen ich arbeite, hat vor kurzem begonnen, DoS'd zu bekommen. Es begann bei 30.000 U / min und jetzt bei 50.000 km / min. Die IPs sind so gut wie alle einzigartig, nicht im selben Subnetz und in mehreren Ländern. Sie fordern nur die Hauptseite an. Irgendwelche Tipps, wie man das aufhält?

Die Server laufen unter Linux mit dem Apache als Webserver.

Vielen Dank

security ddos denial-of-service Wilhelm
quelle
Um welche Art von Verkehr handelt es sich? Haben Sie festgestellt, um welche Art von DDoS es sich handelt? dh verbraucht es Ihre Bandbreite oder verbraucht es Ihre Systemressourcen?
Josh Brower
Dies ist eine großartige Frage, aber anscheinend gibt es keine wirkliche Antwort. Wow, ich wusste nie, dass die DoS-Mauer so dick ist.
Xeoncross

Antworten:

4

Sie versuchen nicht nur, einem DoS standzuhalten, sondern auch einem DDoS, das verteilt und viel schwieriger zu handhaben ist.

Im Wesentlichen versuchen Sie, illegitimen Datenverkehr zu identifizieren und zu blockieren. Im Idealfall möchten Sie diesen Datenverkehr auf Null setzen (noch besser, Ihre Upstream-Anbieter sollten ihn auf Null setzen).

Die erste Anlaufstelle ist die Identifizierung. Sie müssen einen Weg finden, um den Datenverkehr zu identifizieren, der an Ihren Host gesendet wird. Ob es sich um einen allgemeinen Benutzeragenten handelt, ob es sich um die Tatsache handelt, dass sie keinen richtigen Browser verwenden ( TIPP: Verhalten sie sich wie richtige Browser - dh folgen Sie 301 Weiterleitungen), ob alle Anforderungen genau zur gleichen Zeit eingehen oder wie Viele Anfragen jede IP trifft Ihren Server pro Stunde.

Sie können sie nicht blockieren, ohne sie zu identifizieren, und Sie müssen einen Weg finden, dies zu tun.

Diese DDoS-Tools zur Schadensbegrenzung machen im Wesentlichen dasselbe, außer in Echtzeit und kosten eine Bombe. Die Hälfte der Zeit gibt es Fehlalarme oder das DDoS ist so groß, dass es sowieso keine Rolle spielt. Seien Sie also vorsichtig, wo Sie Ihr Geld hier anlegen, wenn Sie sich entscheiden, jetzt oder in Zukunft in eines davon zu investieren.

Denken Sie daran: 1. IDENTIFIZIEREN 2. BLOCK . 1 ist der schwierige Teil.

Philip Reynolds
quelle
1
Das Problem blockiert nicht, das Problem identifiziert sich. Sie können etwas nicht blockieren, wenn Sie es nicht identifizieren können. Bisher haben wir überhaupt keine Muster gesehen. Echte Browser, keine Muster in Anforderungszeiten, völlig andere Länder, kein Referrer, sie folgen Weiterleitungen, sie akzeptieren Cookies. Sie verhalten sich wie normale Benutzer. Das sieht so aus, als wäre es fast unmöglich zu sagen. Wir denken darüber nach, den gesamten Datenverkehr an Amazon weiterzuleiten, alle Anfragen für die zwischengespeicherte Homepage von Amazon zu bearbeiten und alle anderen Seiten, die derzeit von unserer Web-App verarbeitet werden. Danke für die Antwort.
William
Kleinere Korrekturen: Es handelt sich wahrscheinlich nicht um echte Browser. Denken Sie daran, wenn Sie an der Identifizierung arbeiten. Wie sieht Ihre Benutzerbasis aus? Wenn alles auf die USA ausgerichtet ist, möchten Sie möglicherweise Offshore-Anfragen als Notlösung blockieren, um sich ein wenig Luft zu verschaffen ...
pboin
Sie sind keine "echten" Browser in dem Sinne, dass sie Firefox, Chrome usw. für ihre Anfragen verwenden. Eine Sache, die Sie bemerken werden, ist, wie ich sagte, dass dies eindeutige IPs sind, die stundenlang bei einem so hohen RPS laufen. Diese "Person" hat anscheinend ein RIESIGES Botnetz, selbst unser Rechenzentrum (ThePlanet) kann keinen Weg finden, es zu stoppen. Es ist nicht leicht zu erkennen, ob es sich um einen Browser handelt oder nicht. Wenn es Weiterleitungen folgt, Cookies speichert usw. Wie können Sie dies feststellen? Außerdem müssen Sie sich an etwas erinnern, jede Anfrage ist einzigartig. Das Verbot einer IP bedeutet also nichts. Die Anfragen müssen blockiert werden, bevor sie auf unseren Server gelangen.
William
Nicht-Browser oder textbasierte Browser neigen nicht dazu, Javascript auszuführen? Welchen User Agent-Header liefern sie auch?
Philip Reynolds
1

Sie gehen davon aus, dass dies eine absichtliche DDoS ist. Als erstes müssen Sie die IP-Adresse ändern. Wenn es nicht beabsichtigt ist, wird es aufhören.

Woher würden diese Anfragen kommen, wenn es nicht beabsichtigt ist? Es könnte zufällig sein oder es könnte ein falsches Ziel sein. Unwahrscheinlich, aber einen Versuch wert.

Sind Sie sicher, dass Sie nicht nur eine Menge legitimen Datenverkehrs erhalten? Vielleicht wurdest du mit einem Schrägstrich versehen oder so. Schauen Sie sich die Überweiser in den Protokollen an.

Chase Seibert
quelle
0

Verfügt Ihr Front-End-Router / Load-Balancer nicht über ein DOS-Angriffsmanagement? Unsere tut es und es macht einen großen Unterschied.

Chopper3
quelle
Das Problem ist, dass ALLE IPs einzigartig sind, aus verschiedenen Ländern usw. Es gibt wirklich keine Möglichkeit, den Angreifer von einem legitimen Benutzer zu unterscheiden. Unsere gesamte Bandbreite wird gerade aufgebraucht, wir können alles tun.
William
DOS-verwaltende Router und Load-Balancer kümmern sich jedoch nicht darum, woher der Datenverkehr stammt. Wenn sie von bestimmten IP-Adressen einen Großteil eines bestimmten DOS-bezogenen Datenverkehrs sehen, ignorieren sie diesen und setzen ihre Arbeit unabhängig davon fort, sodass Server dies können Server- und Kundenverkehr müssen korrekt behandelt werden. Leute wie Cisco und Foundry verdienen viel Geld mit ihrer Arbeit in diesem Bereich, und was Sie sehen, ist überhaupt nicht ungewöhnlich.
Chopper3
0

Sie können Ihren Upstream-Anbieter bitten, seinen Upstream um Unterstützung zu bitten. Nehmen wir zum Beispiel an, Sie betreiben eine Website nur mit britischen Benutzern. Anschließend können Sie mithilfe einer whois-Datenbank überprüfen, woher der Datenverkehr im Allgemeinen stammt. Nehmen wir zum Beispiel an, dass ein erheblicher Teil Ihres unerwünschten Datenverkehrs aus Russland, China und / oder Korea stammt. Dann können Sie Ihren Upstream-Anbieter anrufen und ihn anrufen lassen, damit er Ihre IP-Adressen vorübergehend aus diesen Bereichen auf Null setzt, vorausgesetzt, er hat Router in der Nähe der Quellen.

Dies ist keine langfristige Lösung, aber es hilft, wenn Ihre Nutzerbasis in einigen geografischen Gebieten gruppiert ist. In der Vergangenheit habe ich Kunden wie diesen geholfen und sie einfach nicht angekündigt, auf Kollegen zu verzichten, sondern nur auf nationale. Dies hat einen Teil ihres Geschäfts weggenommen (Benutzer, die sie als nicht erreichbar empfanden, weil sie nicht mehr international verfügbar waren), aber es ist viel besser, als nur außer Betrieb zu sein.

Aber am Ende des Tages ist dies eher eine verzweifelte Handlung. Aber es ist besser, ein Glied abzuschneiden, als den Körper zu verlieren.

Wenn Sie Glück haben, verfügt Ihr Upstream-Anbieter über die Ausrüstung und ist bereit, Ihnen dabei zu helfen, den größten Teil des unerwünschten Datenverkehrs wegzufiltern.

Viel Glück :-)

Rune Nilssen
quelle