Protección contra DDoS cuando se usan proxies

Navega tus respuestas
2

Estamos intentando proteger algunos sitios que se encuentran principalmente en Asia mediante el almacenamiento en caché distribuido. Estos sitios comúnmente están bajo ataques DDOS. Estamos usando fail2ban, pero todavía tenemos dos problemas:

  1. Muchos usuarios provienen de configuraciones de firewall / NAT comunes, por lo que parecen tener la misma dirección. Es posible que se bloqueen muchas solicitudes legítimas según las reglas de solicitud por segundo.

  2. Vemos ataques moderados de DDOS desde muchas direcciones diferentes, por ejemplo, 6000 direcciones hacen algunas solicitudes en un día, todas en la misma página. No está claro cómo bloquearlos, ya que hay muchos que hacen pocas solicitudes. En este momento no son realmente un problema, pero si aumentara la cantidad de clientes, o si se aplicara un robo de caché agresivo, estaríamos en problemas. ¿Cómo detectamos y protegemos contra este tipo de ataque?

pregunta davidm 08.05.2012 - 18:35
fuente

2 respuestas

4

Sugeriría que la defensa más simple es probablemente comprar acceso a un CDN que brinda protección contra DoS. Echa un vistazo a Cloudflare y Cloudfront. También puede consultar MaxCDN, Akamai, EdgeCast, level3, Rackspace, VPS, Cotendo, Limelight, Cachefly, Highwinds y muchos otros.

¿Por qué usar un CDN? Tres razones.

Primero, beneficiará tanto el rendimiento como la seguridad. Hará su sitio más rápido. Y, si obtiene una nube flash o un aumento inesperado de visitantes, ayudará a mantener su sitio rápido, responsable y disponible. Y, por supuesto, si usted se encuentra bajo un ataque de DOS, el CDN tiene la capacidad de absorber el tráfico y garantizar que su sitio permanezca disponible. Por lo tanto, esto es beneficioso tanto para la seguridad como para el rendimiento del sitio. (¿Con qué frecuencia ves eso?)

Segundo, es asequible. Un CDN es relativamente económico y es casi más económico que el tiempo del personal que le tomará defenderse de los ataques de DOS y mantenerse al día con las últimas técnicas de DOS.

Tercero, el CDN probablemente puede hacer un mejor trabajo que tú. Debido a su escala, el CDN probablemente ve miles de ataques de DOS al año (en cientos o miles de sitios web), por lo que tiene la posibilidad de acumular estadísticas sobre los patrones comunes, aprender a detectar ataques de DOS y determinar qué defensas trabajar mejor Además, debido a su escala, la CDN puede permitir que sus empleados se mantengan al día con las últimas técnicas de ataque que se utilizan en la naturaleza. Y, el CDN puede permitirse el lujo de desarrollar defensas automatizadas personalizadas, ya que serán aplicables a todos sus clientes.

Por lo tanto, eche un vistazo a los CDN como una posible defensa. Eso puede ser más sencillo de implementar y más efectivo que el enfoque que está tomando.

    
respondido por el D.W. 08.05.2012 - 22:04
fuente
0

Si desea diferenciar entre los clientes que usan la misma IP, entonces debe mirar los datos que se están intercambiando para perfilar la pila TCP o identificarlos en función de los agentes de usuario / cookies / referente. Esto significa que aún está expuesto a sloloris tipo DOS, a menos que tenga un servidor basado en eventos (que también le permitiría compilar las solicitudes de DOS). Si esto es un cambio excesivo con respecto al lugar en el que se encuentra ahora, entonces tendrá que vivir con la prohibición de los PI o el suministro de capacidad suficiente para absorber el castigo.

    
respondido por el symcbean 09.05.2012 - 15:06
fuente

Lea otras preguntas en las etiquetas

bloquear para el desarrollador de asp.net usando vs 2010 y ganar xp? Buscando un tutorial sobre las extensiones de meterpreter