Walka z DDos

0

Cześć,

Jakie znacie sprawdzone sposoby walki z atakujacymi w formie ddos?

Albo jakbyście mogli podzielić się materiałami.

Potrzebuje ochronić kilkadziesiąt projektów, niezależnych od siebie.

2

Zgłaszałeś ten fakt do obsługi hostingu czy serwer jest fizycznie Twój?

1

Napisz coś więcej o tych projektach bo lub przynajmniej czy Twoje pytanie dotyczy konkretnego projektu czy pytasz ogólnie teoretycznie.

https://www.kei.pl/blog/haslo/ddos/
https://www.ovh.pl/anty-ddos/firewall-anty-ddos.xml

2

Podano nie ma dobrej ochrony przed DDos. Najlepiej jest wycinać jest ruch z problematycznych rejonów: jak np nie serwujesz tych usług w Chinach to odfiltrować ten ruch na jakiś serwerach granicznych. Problemem jest też zdiagnozowanie czy to już jest DDos, czy nie. Z tym nie radzą sobie nawet duże firmy. Napisz coś więcej czy to jakiś hosting i jaki rodzaj tych usług.

0

System stawiamy na infrastrukturze wykorzystując jedną z publicznych chmur. Ze względu na leciwy projekt (~10 lat) i wykorzystanie starej infrastruktury - nie mamy dostępu bez poważnej migracji infrastruktury, możliwości wykorzystania od providerów chmur publicznych ich rozwiązań anty DDoS. Sama chmura zapewnia nam ochronę na warstwach 4 i niżej.

To co zrobiliśmy w pierwszej kolejności to na podstawie zbioru wszystkich atakujących IP - pogrupowaliśmy je w podsieci i wycieliśmy gdzieś tak z 3/4 internetu - natomiast to i tak nie pokrywało całej infrastruktury atakującego - bo jego botnet ma tak rozproszone IP, że nie jesteśmy wstanie wszystkich zablokować nie blokując też naszych klientów.

Ma sens blokowanie częśći ruchu na podstawie lokalizacji geograficznej - bo po co ludzie z chin mieliby robić 20 tysięcy żądań na sekundę do aplikacji dedykowanej np. na niemcy?
Natomiast botnet składa się też z maszyn znadujących się już w obszarach gdzie są nasi klienci - USA / EU.

Interesują mnie materiały teoretycznie jak i też jakieś rozwiązania / narzędzia w jakimkolwiek języku progrowania, które możemy postawić w własnym zakresie jako alternatywę do wykupienia usług firm 3cich jak np. akami / ovh / cloudflare - ze względu na koszta.

0

Rozwiązań jest sporo... Można zacząć np. od blokowania ruchu z codziennie aktualizowanych list adresów IP typu:
https://sblam.com/blacklist.txt
https://sblam.com/

Porobić liczniki ruchu z poszczególnych IP a następnie blokować te wyglądające nienaturalnie.
Blokować różnego rodzaju boty, crawlery itp.. itd...

Oczywiście to tylko przykład metod, które trzeba zastosować by uzyskać jakąś skuteczność. Różne metody należy też łączyć.

Jednak jak ktoś się zdecyduje zaatakować konkretnie Wasz serwis to złotego środka na to nie ma.

0

Nie ma 100% skutecznej i pewnej metody i w pojedynkę bym się za to nie brał, bo to jak z motyką na Słońce

Przede wszystkim, najgroźniejszy (moim zdaniem) DDoS to normalne skorzystanie z usługi pomnożone przez kilka lub kilkanaście milionów na raz (więcej tym gorzej). Po prostu zasoby sprzętu/infrastruktury nie nadążają z "obsługą" takiego ruchu, nie ma tu znaczenia czy to routery, load balancery czy właściwy serwer (np. www) Twojej usługi. Wycięcie klas adresowych też wiele nie daje - przykładowo na danej maszynie, która serwuje usługę/load balancerze. Aby określić skąd pochodzi pakiet, stos sieciowy musi trochę go "przeprocesować" nim firewall (czy to na routerze, czy na docelowych maszynach) podejmie decyzję. To jest nic jak mamy do czynienia, nie wiem, z małym ruchem, rzędu kilkuset, może kilku tysięcy requestów na sekundę, ale jak idzie to w miliony to zaczynają się schody. Jeszcze jak DDoS jest robiony za pomocą "dojrzałych" narzędzi, które np. spoofują adresy, to już w ogóle firewall może sobie procesować i sprawdzać do woli, a i tak, finalnie, wytnie coś losowego (jak zdąży taki pakiet przeprocesować tak w ogóle).

Najlepsza ochrona jest na poziomie infrastruktury (np. sprzęt ISP nie przepuszcza ruchu powyżej pewnego progu natężenia) + przekierowanie DNS (to robi np. CloudFlare). Wtedy Ci operatorzy przejmują na swoje "barki" takich ruch i kierują do /dev/null czy do jakichś instancji, które to analizują (i one mogą się "zatkać" by design). Przy czym, oba te rozwiązania nie gwarantują, że np. nie wytną Ci "normalnych" klientów, którzy akurat w momencie ataku zechcieli sobie wejść na stronę oraz nie gwarantują, że zaatakowana usługa w każdej części świata będzie tak samo dostępna.

Zasobami sprzętu i infrastruktury zdolnymi do utrzymania usług w warunkach poważnego DDoSa dysponuje kilka firm na świecie, zazwyczaj tych najbogatszych, co mają swoje usługi cloudowe (Google, Microsoft, Amazon, CloudFlare) - ale wynika to głównie ze skali ich infrastruktury (moim zdaniem). Np naprawdę poważny atak DDoS jest w stanie (moim zdaniem) na jakiś czas "wyciąć" 1 datacenter takiej firmy, ale pozostałe w innych lokalizacjach, jak mają kopie tych samych danych to będą w stanie świadczyć usługi dalej.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0