Включить защиту dos - IT Справочник
Llscompany.ru

IT Справочник
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Включить защиту dos

При попытке открыть одновременно несколько сайтов, пропадает интернет (при подключении по Wi-Fi, или по LAN)

Уже несколько раз встречал в комментариях проблему, когда при одновременном открытии сайтов в браузере, на компьютере (ноутбуке) пропадал интернет. При этом, подключение было через роутер, по Wi-Fi, или по сетевому кабелю.

Вообще-то проблема странная, и я не мог понять в чем дело. Да я так бы и не разобрался в этой проблеме, если бы не этот вопрос на форуме http://forum.f1comp.ru/post1179.html#p1179, от пользователя nebulus. Можете почитать. В итоге, nebulus сам нашел решение проблемы и поделился с нами. За что ему большое спасибо! Ну, а я решил вынести эту проблему в отдельную статью.

Суть проблемы

Открываем в браузере одновременно несколько сайтов (например сайты автоматически открываются после запуска браузера) , они начинают грузится и все, интернет пропадает. Статус подключения становится – Без доступа к интернету как тут https://f1comp.ru/internet/wi-fi-set-bez-dostupa-k-internetu-reshaem-problemu-na-primere-routera-tp-link/. Если открывать по одному сайту, то все работает отлично.

При этом, другие устройства от этого роутера продолжают работать нормально. На ноутбуке интернет появляется только после перезагрузки маршрутизатора. Снова открываем несколько сайтов и интернет снова без доступа к интернету (возле сети желтый треугольник) .

Если смотреть конкретную проблему, которая была у пользователя форума под именем nebulus, то он подключал ноутбук к интернету по Wi-Fi. Открывал сайты в браузере Chrome (хотя я не дума, что в другом браузере проблема бы пропала) . Роутер – TP-Link TL-WR841N.

В чем проблема, почему так происходит?

Как оказалось (как подсказал nebulus) , проблема в том, что при одновременном открытии нескольких сайтов, роутер распознавал запросы от ноутбука как атаку и блокировал его (не давал доступ к интернету) . После перезагрузки роутера, блокировка пропадала, до следующей попытке загрузить несколько сайтов.

Дело в том, что практически в каждом роутере есть защита от DoS атак. И в этом случае, она почему-то срабатывала не очень адекватно.

Вот решение, которое нашел nebulus:

Сейчас объясню подробнее.

Отключаем DoS защиту на роутере [решение проблемы]

Самый простой способ, это отключить защиту от DoS атак. Да и особого смысла в ней я не вижу. На роутерах TP-Link, это делается так:

Заходим в настройки, и переходим на вкладку SecurityAdvanced Security. Напротив пункта DoS Protection: ставим статус Disable. Нажимаем на кнопку Save, для сохранения настроек.

Если не хотите полностью отключать DoS защиту, то можете просто поставить галочки возле двух пунктов: Ignore Ping Packet from WAN Port to Router и Forbid Ping Packet from LAN Port to Router.

Обязательно перезагрузите роутер.

На роутере Asus:

Эти действия должны помочь Вам избавится от этой проблемы. Если возникнут вопросы, или есть чем поделится, то пишите в комментариях.

Информационная безопасность

Аналитика, обзоры, исследования из мира Информационной Безопасности | (с) Иван Пискунов

МОИ ПРОЕКТЫ

воскресенье, 17 июля 2016 г.

Защита от DDoS: от маршрутизатора до провайдера

  • на уровне провайдера
  • на уровне сетевого оборудования распределения и доступа
  • на уровне конфигурирования системного и прикладного ПО
  • Насыщение полосы пропускания Это самый распространенный тип атаки, цель которого — вывести информационную систему из строя из-за исчерпания системных ресурсов (процесса, памяти, канала связи). Данный тип атак разделяется на несколько подтипов, но все они так или иначе связаны с так называемым флудом — большим количеством запросов. Во-первых, это ping-флуд (множество ping-запросов), HTTP-флуд (множество небольших по размеру HTTP-запросов, вызывающих во много раз более объемные ответы). Во-вторых, это ICMP-флуд и UDP-флуд, которые усиливаются с помощью замены IP-адреса злоумышленника на IP-адрес жертвы. В-третьих, это SYN-флуд, когда атака основана на том, что атакуемой системе посылается много запросов на подключение от фактически несуществующих узлов, а атакуемая система продолжает пытаться эту связь наладить, пока не отключается по тайм-ауту
  • Нехватка ресурсовТакие атаки проводятся тогда, когда злоумышленник уже имеет доступ к ресурсам системы-жертвы, и целью является завладение дополнительными ресурсами, причем, как правило, не используя насыщение полосы пропускания. Сюда можно отнести метод отправки «тяжелых» для обработки (не по объему трафика, а по требуемому процессорному времени) пакетов; переполнение сервера файлами отчетов; плохая система квотирования (предоставления) ресурсов клиентам, при которой возможен запуск скриптов, требующих для обработки значительных ресурсов; недостаточная проверка качества данных, отправляемых клиентами; также сюда относится так называемая атака второго рода, когда у системы защиты от распределенных атак происходят ложные срабатывания на легальные действия клиентов.
  • Ошибки программирования. Такие ошибки связаны с наличием в используемом программном обеспечении на стороне системы-жертвы различных уязвимостей. Атаки такого типа можно разделить на использование некачественной обработки исключительных ситуаций (обработки исключений) и переполнение буфера (в случаях когда при передаче данных определенного типа на серверной стороне не проверяется превышение допустимого объема для такого типа данных, к чему сервер оказывается не готов).
  • Атаки на DNS-серверыТакие атаки можно разделить на два типа: атаки на уязвимость в программном обеспечении DNS-серверов и DDoS-атаки на DNS-серверы. Распределенные атаки на DNS-серверы подразумевают большое количество компьютеров для насыщения полосы пропускания либо захвата системных ресурсов. Ранее для подобных атак применялись многочисленные бот-сети. Но сейчас они неэффективны ввиду того, что провайдеры научились отсеивать подобный «мусорный» трафик. Также злоумышленники используют тот факт, что многие (десятки тысяч) DNS-серверов, работающих в интернете, настроены неправильно, что позволяет использовать их при организации DDoS-атак.

Существует также другая классификация DDoS-атак, по объекту атаки, выделяют следующие виды:

  • Объемные атаки.При таких атаках создается трафик такого объема, который превышает пропускную способность канала организации.
  • Атаки на приложения.С помощью сложных запросов, на выполнение которых требуются значительные ресурсы, выводятся из строя ключевые приложения, определяющие функционирование информационной системы в целом.
  • Другие инфраструктурные атаки.Сюда входят атаки, не входящие в предыдущие типы, но также направленные на вывод из строя сетевого оборудования или серверов.
  • Гибридные атаки. К этому виду относятся сложные атаки, сочетающие в себе сразу несколько типов атак, перечисленных в первых трех пунктах.
  • Smurf — злоумышленником отправляются широковещательные echo-пакеты (протокол ICMP), в заголовках которых в качестве источника указывается адрес жертвы. В результате, все системы, получившие ping-запрос, «заваливают» жертву echo-ответами.
  • ICMP-flood — похожа на Smurf, но отправляет ICMP-запросы напрямую на узел-жертву без использования широковещательного адреса.
  • UDP-flood— отправка на узел-мишень огромного количества UDP-пакетов, что приводит к «связыванию» сетевых ресурсов.
  • TCP-flood— аналогична предыдущей, но используются TCP-пакеты.
  • TCP SYN-flood — злоумышленник отправляет на открытый порт много SYN-пакетов с недостижимым адресом источника. Атакуемый маршрутизатор должен ответить пакетом , но узел, указанный в качестве источника, недоступен, и поэтому трехступенчатая схема установления TCP-соединения не завершается. А поскольку таких SYN-пакетов очень много, лимит на количество открытых соединений быстро превышается и жертва отказывается принимать запросы на установление соединения от обычных пользователей сети.

Обнаружение DoS-атаки

  • Огромное количество ARP-запросов;
  • Огромное количество записей в NAT/PAT-таблице;
  • Повышенное использование памяти маршрутизатора;
  • Повышенное использование процессорного времени маршрутизатора.

  • применяются уже непосредственно на маршрутизирующем оборудовании перед тем, как трафик достигает процессора маршрутизации, обеспечивая «персональную» защиту оборудования;
  • применяются уже после того, как трафик прошел обычные списки контроля доступа – являются последним уровнем защиты на пути к процессору маршрутизации;
  • применяются ко всему трафику (и внутреннему, и внешнему, и транзитному по отношению к сети оператора связи).

3. Infrastructure ACL

  • обычно устанавливаются на границе сети оператора связи («на входе в сеть»);
  • имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
  • обеспечивают беспрепятственный транзит трафика через границу операторской сети;
  • обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).
  • для отвода в сторону и анализа трафика с адресами назначения, которые принадлежат адресному пространству сети оператора связи, но при этом реально не используются (не были выделены ни оборудованию, ни пользователям); такой трафик является априори подозрительным, так как зачастую свидетельствует о попытках просканировать или проникнуть в вашу сеть злоумышленником, не имеющим подробной информации о её структуре;
  • для перенаправления трафика от цели атаки, являющейся реально функционирующим в сети оператора связи ресурсом, для его мониторинга и анализа.

Защита на уроне distributed — оборудования

class-map type?
access-control access-control specific class-map
control Configure a control policy class-map
inspect Configure CBAC Class Map
logging Class map for control-plane packet logging
port-filter Class map for port filter
queue-threshold Class map for queue threshold
stack class-map for protocol header stack specification

Создать специальную политику (Policy-map type )
policy-map type?
access-control access-control specific policy-map
control Configure a control policy policy-map
inspect Configure CBAC Policy Map
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting

И применить её в этом режиме:
control-plane host
service-policy type?
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting

Ограничение же нагрузки на мозг служебными пакетами организуется похоже, только для этого достаточно описать обычный класс трафика, обычную политику, где в качестве действия указать ограничение словом police
police rate [units] pps

Читать еще:  Mail ru вирус

Как включить защиту DDoS?

DDoS (распределенные атаки отказа в обслуживании) обычно блокируются на уровне сервера, верно?

есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его?

Если нет, то каков самый быстрый и наиболее распространенный способ остановить DDoS-атаки?

10 ответов

DDOS-это семейство атак, которые подавляют ключевые системы в центре обработки данных, включая:

  • подключение хостингового центра к сети Интернет
  • внутренняя сеть и маршрутизаторы Хостинг-Центра
  • брандмауэр и балансировщики нагрузки
  • ваши веб-серверы, серверы приложений и базы данных.

прежде чем вы начнете строить свою защиту DDOS, подумайте, что такое наихудшее значение риска. Для некритическая, бесплатная в использовании услуга для небольшого сообщества, общая стоимость риска может быть арахисом. Для платной, ориентированной на общественность, критически важной системы для установленного многомиллиардного бизнеса ценность может быть стоимостью компании. В этом последнем случае вы не должны использовать StackExchange 🙂 в любом случае, для защиты от DDOS вам нужен глубокий подход к защите:

  1. работа с вашим хостинг-центром чтобы понять услуги, которые они предлагают, включая фильтрацию IP и портов при их сетевых подключениях к интернету и брандмауэрам, которые они предлагают. Это критично: многие сайты вытягиваются из интернета хостинг-компании поскольку хостинговая компания имеет дело с нарушением работы центра обработки данных, вызванным DDOS для одного клиента. Кроме того, во время DDOS-атаки вы будете работать очень тесно с персоналом хостингового центра, поэтому знайте их номера экстренных служб и будьте с ними в хороших отношениях:) они должны иметь возможность блок целых международных регионов, полностью блокировать конкретные услуги или сетевые протоколы и другие меры защиты широкого спектра, или альтернативно разрешить только белый список IPs (в зависимости от вашей бизнес-модели)
  2. находясь в хостинговом центре-используйте Сеть Доставки Контента распространять (в основном статические) услуги близко к конечным пользователям и скрывать реальные серверы от архитекторов DDOS. Полный CDN слишком велик для DDOS, чтобы вынуть все узлы во всех странах; если DDOS ориентирован на одну страну, по крайней мере, другие пользователи все еще в порядке.

сохранить все ваши системы и программные пакеты обновлено с последними исправлениями безопасности — и я имею в виду всех:

  • управляемые коммутаторы — да, они иногда нуждаются в обновлении
  • маршрутизаторы
  • файрволы
  • балансировщики нагрузки
  • операционные системы
  • Web серверы
  • языки и их библиотек

убедитесь, что у вас есть хороший брандмауэр или устройство безопасности настройка и регулярно пересматривается квалифицированным экспертом по безопасности. Строгие правила на брандмауэре-хорошая защита от многих простых атак. Также полезно иметь возможность управлять пропускной способностью, доступной для каждой открытой службы.

хорошие мониторинг сети инструменты на месте — это может помочь вам понять:

  • что вы находитесь под атакой, а не просто под тяжелым грузом
  • откуда идет атака (которая может включать страны, с которыми вы обычно не ведете бизнес) и
  • что такое атака на самом деле (порты, службы, протоколы, IPs и содержимое пакетов)

атака может быть просто интенсивным использованием законных услуг веб-сайта (например нажатие «законных» URI, выполняющих запросы или вставляющих / обновляющих / удаляющих данные) — тысячи или миллионы запросов, поступающих от десятков до миллионов различных IP-адресов, поставят сайт на колени. Кроме того, некоторые службы могут быть настолько дорогими для запуска, что только несколько запросов вызывают DOS — думаю, действительно дорогой отчет. Так что вам нужно хорошо мониторинг на уровне приложений о том, что происходит:

  • какие службы были вызваны и какие аргументы / данные отправлено (т. е. вход в приложение)
  • какие пользователи делают вызов и из которых IPs (т. е. вход в ваше приложение)
  • какие запросы и вставки / обновления / удаления выполняет БД
  • средняя загрузка, загрузка процессора, дисковый ввод — вывод, сетевой трафик на всех компьютерах (и VMs) в вашей системе
  • убедитесь, что вся эта информация легко извлекается и что вы можете сопоставлять журналы с разных компьютеров и служб (т. е. все компьютеры синхронизированы по времени с помощью ntp).

разумные ограничения и ограничения в вашем приложении. Например, вы можете:

  • используйте функцию QoS в подсистеме балансировки нагрузки для отправки всех анонимных сеансов на отдельные серверы приложений в кластере, в то время как зарегистрированные пользователи используют другой набор. Это предотвращает анонимный DDOS уровня приложения, вынимая ценных клиентов
  • С помощью сильной, показанные на картинке, чтобы защита анонимных услуг
  • сессия тайм-ауты
  • есть ограничение сеанса или ограничение скорости для определенных типов запросов, таких как отчеты. Убедитесь, что при необходимости вы можете отключить анонимный доступ
  • убедитесь, что пользователь имеет ограничение на количество одновременных сеансов (для предотвращения взлома учетной записи входа в миллион раз)
  • имеют разные пользователи приложений базы данных для разных служб (например, транзакционное использование против использования отчетов) и используют базу данных управление ресурсами, чтобы предотвратить один тип веб-запроса от подавляющего всех других
  • Если возможно, сделайте эти ограничения динамическими или, по крайней мере, настраиваемыми. Таким образом, пока вы находитесь под атакой, вы можете установить агрессивные временные ограничения («дросселирование» атаки), такие как только один сеанс на пользователя и отсутствие анонимного доступа. Это, конечно, не отлично подходит для ваших клиентов, но намного лучше, чем не иметь никакого обслуживания вообще.

последние, но не по крайней мере, напишите план ответа DOS документ и получить это внутренне рассмотрены всеми соответствующими сторонами: Бизнес, Управление, команда разработчиков SW, ИТ-команда и эксперт по безопасности. Процесс написания документа заставит вас и вашу команду подумать над проблемами и поможет вам быть готовым, если худшее должно произойти в 3 утра в ваш выходной день. Документ должен охватывать (среди прочего):

  • что в опасности, и цена к дело
  • меры, принятые для защиты активов
  • как обнаружена атака
  • запланированная процедура реагирования и эскалации
  • процессы для поддержания системы и этого документа в актуальном состоянии

Итак, преамбула в сторону, вот некоторые конкретные ответы:

DDOS обычно блокируются на уровне сервера, верно?

не совсем — большинство худших DDOS-атак низкоуровневые (на уровне IP-пакетов) и обрабатываются правилами маршрутизации, брандмауэрами и устройствами безопасности, разработанными для обработки DDOS-атак.

есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его?

некоторые DDOS-атаки направлены на само приложение, отправляя допустимые URIs и HTTP-запросы. Когда скорость запросов растет, ваш сервер(ы) начинают бороться, и у вас будет отключение SLA. В этом случае есть вещи, которые вы можете сделать в уровень PHP:

мониторинг уровня приложения: убедитесь, что каждая служба/страница регистрирует запросы таким образом, чтобы вы могли видеть, что происходит (так что вы можете принять меры для смягчения атаки). Некоторые идеи:

имеют формат журнала, который вы можете легко загрузить в инструмент журнала (или Excel или аналогичный), и анализировать с помощью инструментов командной строки (grep, sed, awk). Помните, что DDOS будет генерировать миллионы строк журнала. Вам, вероятно, понадобится slic’n’DICE ваш журналы (особенно в отношении URI, времени, IP и пользователя), чтобы понять, что происходит, и должны генерировать такие данные, как:

  • какие URI доступны
  • какие URIs терпят неудачу с высокой скоростью (вероятный показатель конкретных URIs атакующие атакуют)
  • какие пользователи получают доступ к сервису
  • сколько IP-адресов каждый пользователь получает доступ к службе из
  • какие URI являются анонимными пользователями доступ
  • какие аргументы используются для данной службы
  • аудит конкретных действий пользователей

войти IP-адрес каждого запроса. Не отменяйте DNS это-по иронии судьбы стоимость этого делает DDOS проще для злоумышленников

разумные ограничения скорости: вы можете реализовать ограничения на количество запросов, которые данный IP или пользователь может сделать в данный период времени. Может ли законный клиент сделать более 10 запросов в секунду? Могут ли анонимные пользователи вообще получать доступ к дорогостоящим отчетам?

Читать еще:  Топ 3 антивируса

CAPTCHA для анонимного доступа: реализуйте CAPTCHA для всех анонимных запросов, чтобы убедиться, что пользователь является человеком, а не DDOS бот.

каков самый быстрый и распространенный способ остановить DDOS-атаки?

самый быстрый, вероятно, уступить шантажу, хотя это может быть нежелательно.

в противном случае первое, что вам нужно сделать, это связаться с вашим хостингом и/или поставщиком CDN и работать с ними (если они еще не связались с вами, уже спрашивая, Что, черт возьми, происходит. ). Когда происходит DDOS, он, вероятно, будет влиять на других клиентов хостинг-провайдера, и провайдер может быть под значительным давлением, чтобы закрыть свой сайт просто для защиты своих ресурсов. Будьте готовы поделиться своими журналами (любой информацией) с провайдером; эти журналы в сочетании с их сетевыми мониторами могут предоставить достаточно информации для блокировки/смягчения атаки.

Если вы ожидаете DDOS, это очень хорошая идея, чтобы квалифицировать хостинг-провайдера на уровне защиты, которую они могут обеспечить. Они должны иметь DDOS опыт и инструменты для его смягчения-понять их инструменты, процессы и процедуры эскалации. Также спросите о том, какая поддержка у хостинг-провайдера от их upstream провайдеров. Эти услуги могут означать больше авансовых или ежемесячных затрат, но рассматривать это как страховой полис.

в то время как под атакой, вам нужно будет захватить ваши журналы и шахты их — попробуйте и выработать шаблон атаки. Вы должны рассмотреть возможность отключения анонимного доступа и регулирования услуги под атакой (т. е. уменьшить ограничение скорости приложения для сервиса).

Если вам повезло и у вас есть небольшая фиксированная клиентская база, вы можете определить свои действительные IP-адреса клиентов. Если это так, вы можете переключиться на подход с белым списком на короткое время. Убедитесь, что все ваши клиенты знают, что это происходит, чтобы они могли позвонить, если им нужен доступ с нового IP:)

по PHP-части речи;

хотя я не полагаюсь на PHP для этого, он может быть реализован, но должен учитывать все эти возможности или более;

  1. злоумышленник может изменить IP для каждого запроса
  2. злоумышленник может передать параметр(ы) в URI, что целевой сайт не заботится об этих параметрах
  3. злоумышленник может перезапустить сеанс до окончания срока действия .

уровень php слишком поздно в цепочке запросов.

размещение сервера apache за устройством с открытым исходным кодом может быть хорошим вариантом для вас.

http://tengine.taobao.org/ имеет некоторую документацию и исходный код больше модулей, направленных на предотвращение DDOS. Это расширение nginx, поэтому вы можете легко настроить его как обратный прокси для вашего экземпляра apache.

совершенно забыл тоже,http://www.cloudflare.com является одним из лучших бесплатных брандмауэров веб-приложений, у них есть бесплатные и платные планы и спасут вашу задницу от DDOS мы используем его для многих наших сайтов с высоким трафиком только для его возможностей кэширования. Это ужасно!

DDoS лучше всего обрабатывается очень дорогими, специально построенными сетевыми устройствами. Хосты, как правило, плохо справляются с защитой DDoS, поскольку они подвержены относительно низкой производительности, истощению состояния, ограниченной пропускной способности и т. д. Использование iptables, Apache mods и подобных сервисов может помочь в некоторых ситуациях, если у вас нет доступа к оборудованию для смягчения DDoS или службе смягчения DDoS, но это далеко не идеально и по-прежнему оставляет вас под угрозой атаки.

Как включить защиту от DDoS?

DDoS (распределенные атаки типа «отказ в обслуживании») обычно блокируются на уровне сервера, верно?

есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его?

Если нет, то каков самый быстрый и наиболее распространенный способ остановить DDoS-атаки?

10 ответов:

DDOS-это семейство атак, которые подавляют ключевые системы в центре обработки данных, включая:

  • подключение хостингового центра к сети Интернет
  • внутренняя сеть и маршрутизаторы хостингового центра
  • брандмауэр и балансировщики нагрузки
  • ваши веб-серверы, серверы приложений и базы данных.

прежде чем вы начнете строить свою защиту от DDOS, подумайте, что такое наихудшее значение риска. Для некритическая, бесплатная в использовании услуга для небольшого сообщества, общая стоимость риска может быть арахисом. Для платной, публичной, критически важной системы для установленного многомиллиардного бизнеса стоимость может быть стоимостью компании. В этом последнем случае вы не должны использовать StackExchange 🙂 в любом случае, чтобы защититься от DDOS, вам нужен глубокий подход к защите:

  1. работа с вашим хостинг-центром понять, какие услуги они предлагают, включая фильтрацию IP и портов при их сетевых подключениях к интернету и брандмауэрам, которые они предлагают. Это критично: многие сайты вытягиваются из интернета хостинг-компании поскольку хостинговая компания имеет дело с нарушением работы всего центра обработки данных, вызванным DDOS-атакой на одного клиента. Кроме того, во время DDOS-атаки вы будете очень тесно сотрудничать с персоналом хостингового центра, поэтому знайте их номера экстренных служб и будьте в хороших отношениях с ними:) они должны быть в состоянии блокируйте целые международные регионы, полностью блокируйте конкретные сервисы или сетевые протоколы и другие защитные меры широкого спектра, или же разрешайте только белые IP-адреса (в зависимости от вашей бизнес-модели)
  2. В то время как на хостинг — центре-используйте Сеть Доставки Контента распространять (в основном статические) сервисы близко к вашим конечным пользователям и скрывать ваши реальные серверы от архитекторов DDOS. Полный CDN слишком большой для DDOS, чтобы вынуть все узлы во всех странах; если DDOS ориентирован на одну страну, по крайней мере, другие пользователи все еще в порядке.

храните все свои системы и программные пакеты обновлено с последними исправлениями безопасности — и я имею в виду все из них:

  • управляемые коммутаторы — да, они иногда нуждаются в обновлении
  • маршрутизаторы
  • файрволы
  • балансировщики нагрузки
  • операционные системы
  • Web серверы
  • языки и их библиотек

убедитесь, что у вас есть хороший брандмауэр или устройство безопасности настройка и регулярно пересматривается квалифицированным экспертом по безопасности. Строгие правила на брандмауэре являются хорошей защитой от многих простых атак. Также полезно иметь возможность управлять пропускной способностью, доступной для каждой открытой службы.

хорошие мониторинг сети инструменты на месте — это может помочь вам понять:

  • что вы находитесь под атакой, а не просто под тяжелым грузом
  • откуда идет атака (которая может включать страны, с которыми вы обычно не ведете бизнес) и
  • что такое атака на самом деле (порты, службы, протоколы, IP-адреса и содержимое пакетов)

атака может быть просто интенсивное использование законных услуг веб-сайта (например нажатие «легальных» URI, выполняющих запросы или вставляющих / обновляющих / удаляющих данные) — тысячи или миллионы запросов, поступающих от десятков до миллионов различных IP-адресов, поставят сайт на колени. Кроме того, некоторые службы могут быть настолько дорогими для запуска, что только несколько запросов вызывают DOS — думаю, действительно дорогой отчет. Так что вам нужно хорошо мониторинг на уровне приложений о том, что происходит:

  • какие службы были вызваны и какие аргументы / данные отправлено (т. е. вход в приложение)
  • какие пользователи делают вызов и из которых IPs (т. е. вход в приложение)
  • какие запросы и вставки / обновления / удаления БД выполняет
  • средняя загрузка, загрузка ЦП, дисковый ввод-вывод, сетевой трафик на всех компьютерах (и виртуальных машинах) в вашей системе
  • убедитесь, что вся эта информация легко извлекается и что вы можете сопоставлять журналы с разных компьютеров и служб (т. е. обеспечить все компьютеры синхронизируются по времени с помощью ntp).

разумные ограничения и ограничения в вашем приложении. Например, вы можете:

  • используйте функцию QoS в подсистеме балансировки нагрузки для отправки всех анонимных сеансов на отдельные серверы приложений в кластере, в то время как вошедшие в систему пользователи используют другой набор. Это предотвращает анонимное DDOS на уровне приложений, выводящее ценных клиентов
  • С помощью сильной, показанные на картинке, чтобы защита анонимных сервисов
  • сессия тайм-ауты
  • есть ограничение сеанса или ограничение скорости для определенных типов запросов, таких как отчеты. Убедитесь, что вы можете отключить анонимный доступ, если это необходимо
  • убедитесь, что у пользователя есть ограничение на количество одновременных сеансов (чтобы предотвратить вход взломанной учетной записи в миллион раз)
  • имеют разные пользователи приложения базы данных для разных служб (например, транзакционное использование и использование отчетов) и используют базу данных управление ресурсами, чтобы предотвратить один тип веб-запроса от подавляющего всех других
  • Если возможно, сделайте эти ограничения динамическими или, по крайней мере, настраиваемыми. Таким образом, пока вы находитесь под атакой, вы можете установить агрессивные временные ограничения на месте («дросселирование» атаки), такие как только один сеанс на пользователя и без анонимного доступа. Это, конечно, не очень хорошо для ваших клиентов, но намного лучше, чем не иметь никакого обслуживания вообще.

последние, но не по крайней мере, написать план реагирования DOS документ и получить это внутренне рассмотрены всеми соответствующими сторонами: бизнес, менеджмент, команда разработчиков SW, ИТ-команда и эксперт по безопасности. Процесс написания документа заставит вас и вашу команду продумать проблемы и поможет вам быть готовым, если худшее произойдет в 3 часа ночи в ваш выходной день. Документ должен охватывать (среди прочего):

  • что находится под угрозой, и стоимость для бизнес
  • меры, принятые для защиты активов
  • как обнаружена атака
  • запланированная процедура реагирования и эскалации
  • процессы для поддержания системы и этого документа в актуальном состоянии
Читать еще:  Защита от сетевых атак

Итак, преамбула в сторону, вот некоторые конкретные ответы:

DDOS обычно блокируются на уровне сервера, верно?

не совсем — большинство худших DDOS-атак являются низкоуровневые (на уровне пакетов IP) и обрабатываются правилами маршрутизации, брандмауэрами и устройствами безопасности, разработанными для обработки DDOS-атак.

есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его?

некоторые DDOS-атаки направлены на само приложение, отправляя действительные URI и HTTP-запросы. Когда скорость запросов повышается, ваш сервер(ы) начинает бороться, и у вас будет сбой SLA. В этом случае, есть вещи, которые можно сделать в уровень PHP:

мониторинг уровня приложения: убедитесь, что каждая служба/страница регистрирует запросы таким образом, чтобы вы могли видеть, что происходит (поэтому вы можете предпринять действия для смягчения атаки). Некоторые идеи:

имейте формат журнала, который вы можете легко загрузить в инструмент журнала (или Excel или аналогичный) и проанализировать с помощью инструментов командной строки (grep, sed, awk). Помните, что DDOS будет генерировать миллионы строк журнала. Вам, вероятно, нужно будет нарезать n’DICE ваш журналы (особенно в отношении URI, времени, IP и пользователя), чтобы понять, что происходит, и нужно генерировать такие данные, как:

  • какие URI доступны
  • какие URI терпят неудачу с высокой скоростью (вероятный показатель конкретных URI, которые атакуют атакующие)
  • какие пользователи обращаются к сервису
  • сколько IP-адресов каждый пользователь получает доступ к службе из
  • какие URI являются анонимными пользователями доступ
  • какие аргументы используются для данного сервиса
  • аудит конкретных действий пользователей

регистрируйте IP-адрес каждого запроса. Не отменяйте DNS это-по иронии судьбы стоимость этого делает DDOS проще для злоумышленников

разумные ограничения скорости: вы можете реализовать ограничения на то, сколько запросов данный IP или пользователь может сделать в данный период времени. Может ли законный клиент сделать более 10 запросов в секунду? Могут ли анонимные пользователи вообще получать доступ к дорогим отчетам?

CAPTCHA для анонимного доступа: реализовать CAPTCHA для всех анонимных запросов, чтобы убедиться, что пользователь является человеком, а не DDOS бот.

каков самый быстрый и наиболее распространенный способ остановить DDOS-атаки?

быстрее всего, вероятно, поддаться на шантаж, хотя это может быть нежелательно.

в противном случае, первое, что вам нужно сделать, это связаться с вашим хостинг-провайдером и/или CDN-провайдером и работать с ними (если они еще не связались с вами, уже спрашивая, Что, черт возьми, происходит. ). Когда происходит DDOS, он, вероятно, будет влиять на других клиентов хостинг-провайдера, и провайдер может быть под значительным давлением, чтобы закрыть ваш сайт просто для защиты своих ресурсов. Будьте готовы поделиться своими журналами (любой и всей информацией) с поставщиком; эти журналы в сочетании с их сетевыми мониторами могут вместе предоставить достаточно информации для блокирования/смягчения атаки.

Если вы ожидаете DDOS, это очень хорошая идея, чтобы квалифицировать ваш хостинг-провайдер на уровне защиты, которую они могут обеспечить. Они должны иметь DDOS опыт и инструменты для его смягчения-понимание их инструментов, процессов и процедур эскалации. Также спросите о том, какую поддержку хостинг-провайдера и от их upstream провайдеров. Эти услуги могут означать более авансовую или ежемесячную стоимость, но рассматривать это как страховой полис.

находясь под атакой, вам нужно будет захватить ваши журналы и заминировать их — попробуйте и разработайте шаблон атаки. Вы должны рассмотреть возможность отключения анонимного доступа и регулирования услуги под атакой (т. е. уменьшить ограничение скорости приложения для сервиса).

если повезет и у вас есть небольшая фиксированная клиентская база, вы можете определить свои действительные IP-адреса клиентов. Если это так, вы можете переключиться на подход с белым списком на короткое время. Убедитесь, что все ваши клиенты знают, что это происходит, чтобы они могли позвонить, если им нужно получить доступ с нового IP:)

согласно PHP части вопроса;

хотя я не полагаюсь на PHP для этого, он может быть реализован, но должен учитывать все эти возможности или более;

  1. злоумышленник может изменить IP для каждого запроса
  2. злоумышленник может передать параметр(ы) в URI, что целевой сайт не заботится эти параметры
  3. злоумышленник может перезапустить сеанс до окончания срока действия .

уровень php слишком поздно в цепочке запросов.

Размещение вашего сервера apache за устройством с открытым исходным кодом может быть хорошим вариантом для вас.

http://tengine.taobao.org/ имеет некоторую документацию и исходный код больше модулей, направленных на предотвращение DDOS. Это расширение nginx, поэтому вы можете легко настроить его как обратный прокси для вашего экземпляра apache.

совсем забыл тоже,http://www.cloudflare.com является одним из лучших бесплатных брандмауэров веб-приложений, у них есть бесплатные и платные планы и спасет вашу задницу от DDOS мы используем его для многих наших сайтов с высоким трафиком только для его возможностей кэширования. Это ужасно!

DDoS лучше всего обрабатывается очень дорогими, специально построенными сетевыми устройствами. Хосты, как правило, не очень хорошо выполняют защиту от DDoS, поскольку они подвержены относительно низкой производительности, истощению состояния, ограниченной пропускной способности и т. д. Использование iptables, Apache mods и подобных сервисов может помочь в некоторых ситуациях, если у вас нет доступа к оборудованию для смягчения DDoS или службе смягчения DDoS, но это далеко не идеально и все еще оставляет вас под угрозой атаки.

Защита от DoS атак

UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон ), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:

Шаг 1. Создать профили DoS защиты

В разделе Политики безопасности—>Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты.

Шаг 2. Создать правила защиты DoS

В разделе Политики сети—>Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге.

Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:

Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов.

Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

* Порог уведомления — при превышении количества запросов над указанным значением происходит запись события в системный журнал.

* Порог отбрасывания пакетов — при превышении количества запросов над указанным значением UserGate начинает отбрасывать пакеты, и записывает данное событие в системный журнал.

Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:

* Вкл — включает ограничение количества сессий.

* Ограничить число сессий — задается число сессий.

Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности—>Правила защиты DoS и указать необходимые параметры.

Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector