In che modo i principali siti impediscono il DDoS? [duplicare]

75

Per quanto ne so, non ho mai sentito o visto siti web su larga scala come Amazon, Microsoft, Apple, Google o Ebay soffrire mai di DDoS. Hai?

Ho una filosofia personale che più sei grande, più un bersaglio sei per tali attacchi. Immagina i punti brownie che otterresti se potessi far cadere un sito web importante.

Tuttavia, tali siti sono sempre rimasti solidi e apparentemente invincibili. Quali misure di sicurezza hanno implementato e possono essere applicate alle piccole imprese?

    
posta Lakitu 21.11.2014 - 20:42
fonte

5 risposte

65

In genere hanno un approccio molto stratificato. Ecco alcune cose che ho implementato o visto implementato in grandi organizzazioni. Alla tua domanda specifica sulle piccole imprese generalmente troverai un fornitore di terze parti per proteggerti. A seconda del caso d'uso, questo può essere un fornitore di cloud, una CDN, una soluzione di routing BGP o una soluzione basata su DNS.

Sovrascrizione dell'ampiezza di banda - Questo è abbastanza semplice. Man mano che si ingrandisce, i costi della larghezza di banda diminuiscono. Generalmente le grandi organizzazioni affittano una capacità significativamente maggiore di quella necessaria per tenere conto degli attacchi DDoS e di crescita. Se un attaccante non è in grado di raccogliere abbastanza traffico per sopraffarlo, un attacco volumetrico è generalmente inefficace.

Attenuazione automatica : molti strumenti monitoreranno i dati di Netflow provenienti da router e altre fonti di dati per determinare una linea di base per il traffico. Se i modelli di traffico escono da queste zone, gli strumenti di mitigazione DDoS possono attirare il traffico verso di loro utilizzando BGP o altri meccanismi e filtrare il rumore. Quindi passano il traffico pulito ulteriormente nella rete. Questi strumenti possono generalmente rilevare sia attacchi volumetrici, sia attacchi più insidiosi come slowloris.

Blackholing a monte - Esistono modi per filtrare il traffico UDP utilizzando la blackholing del router. Ho visto situazioni in cui un'azienda non ha bisogno di ricevere il traffico UDP (ad esempio NTP e DNS) per la propria infrastruttura, in modo che i loro fornitori di servizi di trasporto facciano blackhole su tutto questo traffico. I più grandi attacchi volumetrici fuori ci sono generalmente attacchi di amplificazione NTP o DNS.

Fornitore di terze parti - Anche molte organizzazioni abbastanza grandi temono che i mostri colpiscano 300 Gbps. Spesso implementano un servizio di reindirizzamento basato su DNS o un servizio basato su BGP per proteggerli nel caso in cui subiscano un attacco prolungato. Direi che anche i fornitori di CDN rientrano in questo ambito, dal momento che possono aiutare un'organizzazione a rimanere online durante un attacco.

System Hardening : puoi spesso configurare sia il tuo sistema operativo che le tue applicazioni per essere più resistenti agli attacchi DDoS a livello di applicazione. Cose come garantire sufficienti inode sul proprio server Linux per configurare il giusto numero di thread di lavoro Apache possono rendere più difficile per un utente malintenzionato interrompere il servizio.

    
risposta data 21.11.2014 - 21:22
fonte
13

Anche se non ci sono veri e propri contromisure per DDOS, ci sono alcuni punti per controllarlo.
Il primo è utilizzando una Content Delivery Network , utilizzando diversi data center in tutto il mondo per offrire contenuti ai visitatori di diverse aree geografiche. Questo aiuta ad eliminare il single point of failure e rende più difficile esaurire le risorse o saturare i collegamenti e bilanciare il carico di attacco.
Un altro modo è quello di lavorare a stretto contatto con le principali dorsali, gli ISP e le rispettive organizzazioni per bloccare gli IP degli hacker nella rete più specifica possibile per impedire che il loro traffico raggiunga i loro obiettivi. Spero che aiuti.

    
risposta data 21.11.2014 - 20:54
fonte
12

Come azienda di medie dimensioni, utilizziamo un servizio di mitigazione del DOS per ridurre il rischio che il nostro sito web non venga messo offline. Il nostro sito risolve l'indirizzo IP del provider. Il provider inoltra quindi la richiesta al nostro server web. Il nostro server web comunica solo con il provider.

Quindi usano i loro strumenti per determinare se determinati attacchi sono attacchi reali usando una varietà di strumenti di monitoraggio e correlazione. Se si ritiene che si tratti di un attacco, il provider non inoltra la richiesta ai nostri server Web e assorbe l'attacco. Per essere in grado di eseguire questo tipo di attenuazione, la tua capacità deve superare quella di ciò che l'attaccante sta cercando di fornire. Con aziende più grandi che normalmente si aspettano una maggiore capacità di larghezza di banda, mi aspetto che possano esternalizzare gli ISP o creare un sistema interno per eseguire la stessa strategia di mitigazione.

    
risposta data 21.11.2014 - 21:31
fonte
6

La mia azienda ha affrontato attacchi DDoS fino a 180 gbps e qui ci sono le mie tecniche che ho usato per mitigare.

Le dimensioni di un sito Web non solo lo rendono un obiettivo più grande, ma anche le cose che svolgono un ruolo significativo sono:

  • Pubbliche relazioni (ti stai pubblicizzando come qualcosa che non sei, a quale popolo stai mirando)
  • Fornire promesse
  • Trattare i clienti nel modo giusto

I motivi per gli attacchi DDoS includono ma non sono limitati a quanto segue:

  • Fama ("Oh guarda me, sono riuscito a portare giù questo sito")
  • Denaro (i siti più grandi sono più costosi da attaccare, in genere se cercano denaro saranno più piccoli con entrate elevate che non hanno un grande team tecnico)
  • Attivismo

Anche (da uno dei commenti):

  • Un altro motivo è che stanno cercando di distrarti. Ad esempio, se vogliono attaccare Apache così sei impegnato a risolverlo mentre usano la tua password SSH bruteforce.

Ci sono molti diversi tipi di attacchi DDoS e come vengono avviati, in primo luogo è necessario ottenere i punti che ho elencato sopra in ordine, quindi gli attacchi DDoS probabilmente diminuiranno. Questo non significa che non li sperimenterai più, semplicemente darai alle persone meno motivi per attaccarti.

A livello tecnico, ci sono più cose da considerare perché la maggior parte delle aziende ha più nodi nella propria infrastruttura. In alcuni casi, ogni nodo richiede un diverso tipo di approccio. Nel mio caso questi nodi erano un'API, un server di gioco, un server di autenticazione, un database e un server sociale. Il passaggio 1 doveva garantire che non si esponesse mai un indirizzo IP che non ha bisogno di essere esposto. Nel mio caso quelli erano il server di autenticazione, il database e il server social. Limitare generalmente i punti di fallimento è un buon approccio per iniziare. La protezione è incredibilmente costosa, ed è bello avere la protezione più resistente dove ne hai davvero bisogno.

Dopo aver determinato quali punti devono essere pubblici, è possibile proteggere ciascuna funzione singolarmente nel modo in cui devono essere protetti. theterriblevitrium ha dato una risposta eccellente alle tecniche, ecco i miei 2 centesimi su quello.

  • Anycast (ad esempio, un CDN. Funziona incredibilmente bene per nodi statici come API locali, server DNS e server web, il lato negativo di questo è che attualmente non funziona in modo efficace per i sistemi che hanno un singolo punto di errore come i server di gioco)
  • Regole di rete e amp; Packet Inspection (EG ogni connessione può occupare solo X kb di traffico al secondo e ogni pacchetto deve corrispondere al modello x, yo z. Questo ha funzionato bene per i nostri giochi.Il lato negativo è che se raggiungono il limite di larghezza di banda, sei fuori di fortuna.)

Sentiti libero di fare qualsiasi domanda!

    
risposta data 22.11.2014 - 20:37
fonte
0

Non sono sicuro che questo fosse ciò che stavi ottenendo con Automated Mitigation menzionato da @theterribletrivium, ma usano anche load balancer per distribuire uniformemente il traffico su server separati affinché possano essere eseguiti il più velocemente possibile.

Sebbene non sia il modo più efficace per distribuire uniformemente gli utenti ai server, Google utilizza ciò che viene chiamato DNS round-robin . Round-robin DNS restituirà più indirizzi IP e l'utente si collegherà a uno di quegli indirizzi IP. Tuttavia, il problema è che lo stesso indirizzo IP può essere determinato da più computer a cui connettersi, rendendo gli altri server più veloci e non utilizzati.

Utilizzano una configurazione simile per gestire le grandi quantità di informazioni archiviate. Google utilizza ciò che chiama BigTable per memorizzare le informazioni relative a Google Maps, Blogger, YouTube, GMail e altro ancora. È stato riferito che Google utilizza centinaia di migliaia di server per archiviare tutte queste informazioni e per far funzionare i loro siti Web il più velocemente possibile.

Usano software (che probabilmente si sono sviluppati autonomamente) per ospitare i loro siti Web e senza utilizzare una grande quantità di memoria e CPU. Il server Web più popolare, Apache, non è sicuramente utilizzato da questi grandi siti Web a causa di come non riesce a gestire carichi così pesanti ed è influenzato dal Problema C10k . Il problema C10k causa il malfunzionamento dei server Web (come Apache) e talvolta lo spegnimento quando al server Web vengono eseguite più di 10.000 connessioni contemporaneamente (che Google probabilmente ha più di 10.000 connessioni contemporaneamente).

I server e l'hardware che usano sono al top della linea. Secondo l' articolo di Wikipedia sulla piattaforma Google , tuttavia, Google non utilizza l'hardware che offre il meglio, ma usa l'hardware che è il miglior bang for the buck.

Se ci pensi, siti Web come Google, Amazon, Microsoft e Apple sono tecnicamente sempre sotto attacco DDoS. Ma hanno tecnologie così avanzate che consentono ai loro siti web di essere accessibili da tutti senza essere arrestati.

    
risposta data 23.11.2014 - 00:56
fonte

Leggi altre domande sui tag