web-dev-qa-db-ja.com

DOS攻撃の阻止

私が働いているサイトの1つは、最近DoSを取得し始めました。最初は30kRPSでしたが、現在は50k/minです。 IPはほとんどすべて一意であり、同じサブネット内ではなく、複数の国にあります。彼らはメインページを要求するだけです。これを止める方法に関するヒントはありますか?

サーバーは、WebサーバーとしてApacheを使用してLinux上で実行されています。

ありがとう

9
William

DoSに耐えようとしているだけでなく、配布されて処理がはるかに難しいDDoSに耐えようとしているのです。

基本的に、不正なトラフィックを特定してブロックしようとしています。理想的には、このトラフィックをヌルルーティングする必要があります(アップストリームプロバイダーにヌルルーティングさせる方がよいでしょう)。

最初の寄港地は身分証明書です。ホストに送信されているトラフィックを識別する方法を見つける必要があります。それが一般的なユーザーエージェントであるかどうか、実際に適切なブラウザを使用していないという事実であるかどうか(HINT:適切なブラウザのように動作しますか-つまり、301リダイレクトに従います)、すべてのリクエストがまったく同じ時間、または各IPが1時間にサーバーにヒットするリクエストの数。

それらを識別せずにそれらをブロックすることはできず、それを行うための何らかの方法を見つける必要があります。

これらのDDoS緩和ツールは、リアルタイムで爆弾のコストがかかることを除いて、基本的に同じことを行います。半分の時間、誤検知が発生するか、DDoSが非常に大きいため、とにかく問題にはなりません。したがって、現在または将来、いずれかに投資する場合は、ここにお金を入れる場所に注意してください。

覚えておいてください:1。IDENTIFY 2. BLOCK。 1は難しい部分です。

4
Philip Reynolds

これは意図的なDDoSであると想定しています。最初に試すことは、IPアドレスを変更することです。それが実際に意図的でない場合、それは停止します。

意図的でない場合、これらの要求はどこから来るのでしょうか?ランダムであるか、誤ったターゲットである可能性があります。可能性は低いですが、試してみる価値があります。

正当なトラフィックを大量に取得しているだけではありませんか?多分あなたはスラッシュドットか何かをされています。ログ内のリファラーを見てみてください。

1
Chase Seibert

アップストリームプロバイダーに、アップストリームに支援を依頼するように依頼できます。たとえば、英国のユーザーのみでWebサイトを運営しているとします。次に、whoisデータベースを使用して、トラフィックが一般的にどこから発信されているかを確認できます。たとえば、不要なトラフィックのかなりの量がロシア、中国、および/または韓国から発信されているとしましょう。次に、アップストリームプロバイダーを呼び出して、それらのプロバイダーに呼び出して、ソースの近くにルーターがあると仮定して、これらのエリアから一時的にIPアドレスをnullrouteするように指示できます。

これは長期的な解決策ではありませんが、ユーザーベースがいくつかの地理的領域にクラスター化されている場合に役立ちます。過去に、Iveはこのような顧客を支援しましたが、単に国内の同業者ではなく、外国の同業者に顧客を発表することはありませんでした。これは彼らのビジネスの一部を奪いました(彼らがもはや国際的に利用できなくなったので彼らが到達できないと思ったユーザー)が、それは単にサービスを完全に停止するよりもはるかに優れています。

しかし、結局のところ、これはもっと必死の行動です。しかし、体を緩めるよりも手足を切る方が良いです。

運が良ければ、アップストリームプロバイダープロバイダーが機器を持っており、不要なトラフィックのほとんどをフィルターで取り除くのを喜んで支援します。

幸運を :-)

0
Rune Nilssen

フロントエンドルーター/ロードバランサーにDOS攻撃管理がありませんか?私たちのものはそうし、それは違いの世界を作ります。

0
Chopper3