Quale approccio sceglieresti per difendersi dagli attacchi DDoS dal livello Nginx?

Naviga le tue risposte
6

Uso Nginx compilato con il modulo Naxsi per proteggere da alcune vulnerabilità (SQL injection e cross-site scripting). Ora ho bisogno di applicare uno strato di protezione DDoS da uomo povero a questo livello.

Ho letto molto per giungere alla conclusione che ci sono tre approcci consigliati: due moduli per Nginx e l'opzione per utilizzare un bilanciamento del carico TCP / HTTP (come HAProxy). I moduli a cui mi riferisco sono testcookie e anddos . A quanto pare, puoi combinare la potenza di entrambi .

Cosa consiglieresti non solo dal punto di vista della sicurezza ma anche considerando il punto di vista delle prestazioni?

    
posta uruguay_guy 05.01.2014 - 07:03
fonte

2 risposte

5

Vorrei anche raccomandare di usare:

  • ngx_http_limit_req_module per limitare RPS, e fallback a 503 su colpo di bomba scoppiato facoltativamente. Funziona molto bene con i DDoS di zombi sfruttati;
  • memorizzazione nella cache aggressiva per gli utenti anonimi (con il prossimo proiettile applicato forse) e per la posizione di destinazione (nel caso non sia casuale) per eliminare i passaggi FastCGI;
  • usa il potere del modulo LUA e bash-fu per l'integrazione con iptables, per bloccare gli zombi a livello di sistema per impedire l'UDP simultaneo / SSH / any-flood (si può prendere in considerazione l'utilizzo di l'utilità ipset per gestire grandi insiemi di IP zombie che iptables non riuscirà a elaborare abbastanza velocemente) .
risposta data 05.01.2014 - 13:01
fonte
0

So solo di Roboo , che sembra essere il precursore del testcookie-thingie. non è così facile da rilevare e proteggere da ddos a livello http, esp. su siti con volumi elevati.

se possibile, potresti voler abilitare proxy_cache che è abbastanza veloce. quando sei sotto attacco è possibile gibve un breve cache_time come 1 minuto.

    
risposta data 09.01.2014 - 10:21
fonte

Leggi altre domande sui tag

Come condivido la mia chiave pubblica S / MIME? La CPU Intel i3 è affetta dalla vulnerabilità di Intel ME?