web-dev-qa-db-ja.com

主要なサイトはDDoSをどのように防止していますか?

私の知る限り、Amazon、Microsoft、Apple、Google、またはEbayなどの大規模なWebサイトがDDoSの被害に遭ったことは聞いたことも、見たこともありません。ありますか?

私は、あなたが大きくなるほど、あなたはそのような攻撃の対象となるという個人的な哲学を持っています。主要なウェブサイトをダウンさせることができるとしたら、ブラウニーポイントを想像してみてください。

しかし、そのようなサイトは常に頑丈で、無敵のようです。彼らはどのようなセキュリティ対策を実施しており、これらは中小企業に適用できますか?

75
Lakitu

彼らは一般的に非常に階層化されたアプローチを持っています。大規模な組織で実装した、または実装したと思われるものをいくつか示します。中小企業に関するあなたの特定の質問に対して、あなたは一般的にあなたを保護するためにサードパーティプロバイダーを見つけるでしょう。ユースケースに応じて、これはクラウドプロバイダー、CDN、BGPルーティングソリューション、またはDNSベースのソリューションになります。

Bandwidth Oversubscription-これはかなり簡単です。大きくなるにつれて、帯域幅のコストは下がります。一般に、大規模な組織は、成長とDDoS攻撃に対処するために必要な容量よりも大幅に大きな容量をリースします。攻撃者がこれを圧倒するのに十分なトラフィックを集めることができない場合、ボリューム攻撃は一般に効果がありません。

自動軽減-多くのツールは、ルーターおよびその他のデータソースからのnetflowデータを監視して、トラフィックのベースラインを決定します。トラフィックパターンがこれらのゾーンから外れる場合、DDoS軽減ツールは、BGPまたは他のメカニズムを使用してトラフィックをそれらに引き付け、ノイズをフィルターで除外できます。次に、クリーンなトラフィックをさらにネットワークに渡します。これらのツールは、通常、ボリューム攻撃と、スローロリスなどの潜行性攻撃の両方を検出できます。

アップストリームブラックホール-ルーターブラックホールを使用してUDPトラフィックをフィルタリングする方法があります。企業がインフラストラクチャへのUDPトラフィック(NTPおよびDNS))を受信する必要がない状況を見たため、トランジットプロバイダーはこのトラフィックのすべてをブラックホール化しています。最大の大量攻撃そこに一般的に反映されているNTPまたはDNS増幅攻撃。

サードパーティプロバイダー-多くのかなり大規模な組織でさえ、300 Gbpsのモンスター攻撃を恐れています。持続的な攻撃を受けた場合に備えて、DNSベースのリダイレクトサービスまたはBGPベースのサービスを実装して保護することがよくあります。 CDNプロバイダーも、攻撃の最中に組織がオンラインに留まるのを助けることができるので、この範疇に入ると思います。

システム強化-多くの場合、オペレーティングシステムとアプリケーションの両方を構成して、アプリケーションレイヤーのDDoS攻撃に対する耐性を高めることができます。 Linuxサーバー上で適切な数のApacheワーカースレッドを構成するのに十分なiノードを確保することなどは、攻撃者がサービスを停止するのを困難にするのに役立ちます。

65

DDOSには実際の対策はありませんが、それを制御する方法がいくつかあります。
最初は コンテンツ配信ネットワーク を使用することです。世界中のいくつかのデータセンターを使用して、さまざまな地域からの訪問者にコンテンツを提供します。これは、単一点障害を排除するのに役立ち、リソースを使い果たしたり、リンクを飽和させたり、攻撃の負荷を分散したりすることが困難になります。
別の方法は、主要なバックボーン、ISP、およびそれぞれの組織と緊密に連携して、トラフィックがターゲットに到達するのを防ぐために、最も特定のネットワークで攻撃者のIPを可能な限りブロックすることです。それが役に立てば幸い。

13
Sam

中堅企業として、DOS緩和サービスを使用して、Webサイトがオフラインにノックされるリスクを低減しています。当社のサイトはプロバイダーのIPアドレスに解決されます。次に、プロバイダーはリクエストをウェブサーバーに転送します。私たちのウェブサーバーはプロバイダーとのみ通信します。

次に、さまざまな監視および相関ツールを使用して、特定の攻撃が実際の攻撃であるかどうかを判断するためにツールを使用します。攻撃と思われる場合、プロバイダーはWebサーバーにリクエストを転送せず、攻撃を吸収します。このタイプの緩和策を実行できるようにするには、攻撃者が提供しようとしている容量を超える必要があります。通常、より大きな帯域幅容量を期待する大企業では、ISPにアウトソーシングするか、同じ緩和戦略を実行する内部システムを作成することを期待します。

12
pr-

私の会社は最大180 GbpsのDDoS攻撃に対処してきました。これは、軽減するために使用した私のテクニックです。

Webサイトのサイズは、それをより大きなターゲットにするだけでなく、重要な役割を果たすものは次のとおりです。

  • 広報活動(あなたは自分を自分ではないものとして売り込んでいますか?
  • 約束を果たす
  • 顧客を正しい方法で扱う

DDoS攻撃の動機には次のものがありますが、これらに限定されません。

  • 名声(「ああ、私を見て、なんとかこのサイトを削除した」)
  • お金(より大きなサイトは攻撃するのに費用がかかります。一般的に、彼らがお金を探しているのであれば、大きな技術チームを持たない、高い収益でより小さなターゲットを狙います)
  • アクティビズム

また、(コメントの1つから):

  • 別の動機は、彼らがあなたの注意をそらそうとしていることです。たとえば、攻撃者がApacheを攻撃したいので、SSHパスワードをブルートフォースしている間は、修正に忙しいとします。

DDoS攻撃にはさまざまな種類があり、それらがどのように開始されるか、最初に上記のポイントを順番に取得する必要があります。その後、DDoS攻撃は減少する可能性があります。これはあなたがそれらをもう経験しないことを意味するのではなく、単にあなたを攻撃する動機を人々に与えないだけです。

技術レベルでは、ほとんどの企業のインフラストラクチャに複数のノードがあるため、考慮すべき点がいくつかあります。場合によっては、各ノードに異なるタイプのアプローチが必要です。私の場合、これらのノードはAPI、ゲームサーバー、認証サーバー、データベース、ソーシャルサーバーでした。ステップ1は、公開する必要のないIPアドレスを公開しないようにすることです。私の場合、それらは認証サーバー、データベース、ソーシャルサーバーでした。一般に、障害点を制限することから始めるのが良い方法です。保護は信じられないほど高価であり、本当に最も必要な場所で最も回復力のある保護を提供することは良いことです。

公開する必要があるポイントを決定したら、保護する必要がある方法で各機能を個別に保護できます。 theterriblevitriumはテクニックに優れた答えを出しました。ここに私の2セントがあります。

  • Anycast (たとえば、CDN。これは、ローカルAPI、DNSサーバー、Webサーバーなどの静的ノードで非常にうまく機能します。これの欠点は、現在、ゲームサーバーなどの単一障害点)
  • ネットワークルールとパケットインスペクション(たとえば、各接続は1秒あたりX kbのトラフィックしか使用できず、各パケットはパターンx、y、またはzに一致する必要があります。これは、ゲームでうまく機能しました。欠点は、帯域幅の制限に達した場合、運が悪い。)

ご質問はお気軽に!

6
Pim de Witte

これが@theterribletriviumによって言及された自動軽減機能で得ていたものかどうかはわかりませんが、ロードバランサーを使用して、可能な限り高速に実行できるようにトラフィックを別々のサーバーに均等に分散します。

これはユーザーをサーバーに均等に分散させるための最も効果的な方法ではありませんが、Googleは Round-robin DNS と呼ばれるものを使用しています。ラウンドロビンDNSは複数のIPアドレスを返し、ユーザーはそれらのIPアドレスの1つに接続します。ただし、これによる問題は、接続する複数のコンピューターが同じIPアドレスを判別できるため、他のサーバーが高速になり、使用されないことです。

格納される大量の情報を処理するために同様の設定を使用します。 Googleは、Googleマップ、Blogger、YouTube、GMailなどに関連する情報を保存するために BigTable という名前を使用しています。 Googleは、これらすべての情報を保存し、Webサイトをできるだけ高速に実行するために、数十万のサーバーを使用していると報告されています。

彼らは(おそらく自分たちで開発した)ソフトウェアを使用してウェブサイトをホストし、大量のメモリとCPUを使用しません。最も人気のあるWebサーバーであるApacheは、このような大きな負荷を処理できず、 C10k問題 の影響を受けるため、これらの大規模なWebサイトでは使用されません。 C10kの問題により、Webサーバー(Apacheなど)に障害が発生し、同時に10,000を超える接続がWebサーバーに対して行われるとシャットダウンする場合があります(Googleは一度に10,000を超える接続を行う可能性があります)。

サーバーとサーバーが使用するハードウェアは最上位です。 GoogleプラットフォームのWikipediaの記事 によると、Googleは最高のパフォーマンスを発揮するハードウェアを使用せず、投資に見合う最高のハードウェアを使用しています。

考えてみると、Google、Amazon、Microsoft、AppleなどのWebサイトは、技術的には常にDDoS攻撃を受けています。しかし、Webサイトへのアクセスを可能にする高度なテクノロジーが導入されていますシャットダウンされることなく誰もが。

0
ub3rst4r