내가 작업하는 사이트 중 하나가 최근 DoS’d를 받기 시작했습니다. 30k RPS에서 시작했으며 현재 50k / min입니다. IP는 거의 동일한 서브넷에 있지 않고 여러 국가에있어 모두 고유합니다. 메인 페이지 만 요청합니다. 이것을 막는 방법에 대한 팁이 있습니까?
서버는 Apache를 웹 서버로하여 Linux에서 실행됩니다.
감사
답변
DoS를 견뎌내려고하는 것이 아니라 분산되어 처리하기가 훨씬 어려운 DDoS를 견뎌내려고합니다.
기본적으로 불법 트래픽을 식별하고 차단하려고합니다. 이상적으로는이 트래픽을 널 라우팅하려고합니다 (상류 공급 업체가 트래픽을 널 라우팅하도록하는 것이 더 좋습니다).
첫 번째 포트는 식별입니다. 호스트에게 전송되는 트래픽을 식별 할 수있는 방법을 찾아야합니다. 일반적인 사용자 에이전트인지 여부, 실제로 올바른 브라우저를 사용하고 있지 않다는 사실 ( 힌트 : 올바른 브라우저처럼 작동합니까 ( 예 : 301 리디렉션)) 모든 요청이 정확히 동시에 발생하는지 여부 각 IP가 시간당 서버에 도달하는 많은 요청.
당신은 그들을 식별하지 않고 그들을 막을 수 없으며 당신은 그것을하는 방법을 찾아야합니다.
이러한 DDoS 완화 도구는 실시간 및 폭탄 비용을 제외하고는 본질적으로 동일한 작업을 수행합니다. 허위 긍정이 있거나 DDoS가 너무 커서 시간의 절반은 어쨌든 중요하지 않으므로 현재 또는 미래에 투자하기로 결정한 경우 여기에 돈을 넣는 곳에주의하십시오.
다음을 기억하십시오. 1. 식별 2. 차단 . 1은 어려운 부분입니다.
답변
이것이 의도적 인 DDoS라고 가정합니다. 가장 먼저 시도 할 것은 IP 주소를 변경하는 것입니다. 실제로 의도적이지 않으면 중지됩니다.
의도적이지 않은 경우 이러한 요청은 어디에서 발생합니까? 무작위 일 수도 있고, 잘못된 목표 일 수도 있습니다. 그럴 수도 있지만 시도해 볼 가치가 있습니다.
합법적 인 트래픽이 많지 않습니까? 어쩌면 당신은 슬래시 도트, 또는 뭔가되었을 수 있습니다. 로그에서 리퍼러를 살펴보십시오.
답변
프론트 엔드 라우터 /로드 밸런서에 DOS 공격 관리 기능이 없습니까? 우리는 그렇게하고 세상을 변화시킵니다.
답변
업스트림 제공자에게 업스트림에 도움을 요청하도록 요청할 수 있습니다. 예를 들어 영국 사용자 만 웹 사이트를 운영한다고 가정 해 보겠습니다. 그런 다음 일부 whois 데이터베이스를 사용하여 트래픽이 발생하는 일반적인 위치를 확인할 수 있습니다. 예를 들어 원치 않는 트래픽의 상당 부분이 러시아, 중국 및 / 또는 한국에서 발생한다고 가정 해 보겠습니다. 그런 다음 업스트림 공급자에게 전화를 걸어 소스에 가까운 라우터가 있다고 가정 할 때이 영역에서 IP 주소를 일시적으로 무효화하도록 할 수 있습니다.
이것은 장기적인 해결책은 아니지만 몇 개의 지리적 영역에 사용자 기반이 클러스터되어있는 경우 도움이됩니다. 과거에 Ive는 이와 같은 고객을 도와서 단순히 동료를 예고하는 것이 아니라 국가의 동료를 예고하는 것입니다. 그것은 그들의 사업의 일부를 빼앗아갔습니다 (더 이상 국제적으로 사용할 수 없었기 때문에 도달 할 수없는 것으로 판명 된 사용자).하지만 서비스를 완전히 중단하는 것보다 훨씬 좋습니다.
그러나 하루가 끝나면 이것은 더 절망적 인 행동입니다. 그러나 몸을 푸는 것보다 사지를 잘라내는 것이 좋습니다.
운이 좋으면 업스트림 제공 업체가 장비를 보유하고 있으며 원치 않는 대부분의 트래픽을 필터링 할 수 있도록 기꺼이 도와 줄 것입니다.
행운을 빕니다 🙂