Was sind die besten Techniken, um Denial-of-Service-Angriffe zu verhindern?

Derzeit verwende ich (D) DoS-Deflate , um solche Situationen auf zahlreichen Remote-Servern zu verwalten, zusammen mit Apache JMeter für Lasttests.

Insgesamt hat es ziemlich gut funktioniert, obwohl ich gerne einige Vorschläge von Gurus hören würde, die länger als ich mit solchen Umständen gearbeitet haben. Ich bin sicher, dass diejenigen, die im Webhosting-Geschäft tätig sind, einen angemessenen Anteil am Umgang mit diesen Situationen hatten. Ich frage mich also, welche Best Practices es gibt, um diese Art von Problemen in einem Unternehmensumfeld anzugehen.

Beim Verhindern eines DDoS geht es hauptsächlich darum, kein Ziel zu sein. Hosten Sie keine Spieleserver, Glücksspiel- / Pornoseiten und andere Dinge, die die Leute verärgern.

Es gibt zwei Möglichkeiten, einen DDoS-Angriff abzuwehren:

• in der Lage zu sein, Verkehr zu ignorieren und überschüssige Last abzubauen, was nützlich ist, wenn Sie einem Angriff ausgesetzt sind, der versucht, Sie durch Überlastung Ihrer Maschinen zu Fall zu bringen (und auch nützlich ist, wenn Sie jemals "Slashdotted" erhalten;
• in der Lage zu sein, missbräuchlichen Netzwerkverkehr vor Ihnen abzulehnen, damit Ihre Links nicht verstopfen und Ihre Konnektivität unterbrochen wird.

Ersteres hängt in gewissem Maße davon ab, was genau Sie bedienen, hängt jedoch normalerweise von einer Kombination aus Caching und Überlaufbehandlung ab (Erkennen, wenn die Server "voll" sind, und Umleiten neuer Verbindungen auf eine Seite mit geringem Ressourcenverbrauch "Entschuldigung") und eine ordnungsgemäße Verschlechterung der Anforderungsverarbeitung (z. B. kein dynamisches Rendern von Bildern).

Letzteres erfordert eine gute Kommunikation mit Ihren Upstreams. Lassen Sie die Telefonnummer der NOCs Ihrer Upstreams auf die Innenseite Ihrer Augenlider tätowieren (oder zumindest in einem Wiki, das nicht am selben Ort wie Ihre Produktionsserver gehostet wird. ..) und lernen Sie die Leute kennen, die dort arbeiten. Wenn Sie also anrufen, werden Sie sofort als jemand aufmerksam, der tatsächlich weiß, wovon er spricht, anstatt nur ein zufälliger Johnny zu sein.

Sie erwähnen nicht, welche Art von Perimetersicherheit Sie eingerichtet haben. Mit Cisco-Firewalls können Sie die Anzahl der Embryonal-Sitzungen (halbe Sitzungen) begrenzen, die Ihre Firewall zulässt, bevor sie abgeschnitten wird, und gleichzeitig vollständige Sitzungen zulassen. Standardmäßig ist es unbegrenzt, was keinen Schutz bietet.

Hardware-unterstützte Load-Balancer wie Foundry ServerIron und Cisco ACEs eignen sich hervorragend für die Bewältigung einer großen Anzahl der Haupttypen von DOS / DDOS-Angriffen, sind jedoch nicht so flexibel wie Softwarelösungen, mit denen neuere Techniken schneller „erlernt“ werden können.

Eine gute Informationsquelle ist diese Seite . Eine Maßnahme, die sie nur am Rande erwähnen (und die es wert ist, weiter untersucht zu werden), ist die Aktivierung von SYN-Cookies. Dies verhindert eine ganze Klasse von DoS-Angriffen, indem verhindert wird, dass ein Angreifer eine große Anzahl von "halboffenen" Verbindungen öffnet, um die maximal zulässige Anzahl von Dateideskriptoren pro Prozess zu erreichen. (Siehe die Bash-Manpage, suchen Sie nach dem 'ulimit', das mit der Option '-n' eingebaut wurde.)

Haftungsausschluss: Ich bin kein DDoS-Schutzguru.

Ich denke, es hängt von dem Budget ab, das Sie dafür haben, wie Ihre Betriebsbedingungen sind und wie Sie oder Ihre Kunden diesem Risiko ausgesetzt sind.

Proxy-basierter DDoS-Schutz könnte eine Option sein. In den meisten Fällen ist es keine billige Option, aber ich denke, es ist die effektivste. Ich würde meinen Hosting-Anbieter nach einer Lösung fragen. RackSpace bietet beispielsweise dieses mehrschichtige Tool zur Schadensbegrenzung . Ich bin sicher, dass alle großen Hoster ähnliche Lösungen haben.