¿Qué enfoque elegiría para defender de nuevo los ataques DDoS desde el nivel Nginx?

6

Uso Nginx compilado con el módulo Naxsi para protegerme contra algunas vulnerabilidades (inyección de SQL y secuencias de comandos entre sitios). Ahora necesito aplicar una capa de protección DDoS para hombres pobres en este nivel.

Leí mucho para llegar a la conclusión de que hay tres enfoques recomendados: dos módulos para Nginx y la opción de usar un equilibrador de carga TCP / HTTP (como HAProxy). Los módulos a los que me refiero son testcookie y anddos . Aparentemente, puede combinar el poder de ambos .

.

¿Qué recomendaría no solo desde una perspectiva de seguridad, sino también teniendo en cuenta el punto de vista del rendimiento?

    
pregunta uruguay_guy 05.01.2014 - 07:03
fuente

2 respuestas

5

También recomendaría usar:

  • ngx_http_limit_req_module para limitar el RPS, y retroceder a 503 en el tope de tope opcional. Lo hace muy bien con los navegadores zombis explotados DDoS;
  • almacenamiento en caché agresivo para usuarios anónimos (tal vez con la siguiente viñeta aplicada) y para la ubicación de destino (en caso de que no sea aleatorio) para eliminar los pases FastCGI;
  • use el poder de módulo LUA y bash-fu para integrarse con iptables, para bloquear zombies en un nivel de sistema para evitar UDP concurrente / SSH / whatever-flood (puede considerar el uso de utilidad de conjunto de chips para manejar grandes conjuntos de IP de zombis que iptables no podrá procesar lo suficientemente rápido) .
respondido por el НЛО 05.01.2014 - 13:01
fuente
0

Solo conozco a Roboo , que parece ser el precursor de testcookie-thingie. no es tan fácil de detectar Y proteger de ddos en http-level, esp. en sitios de gran volumen.

si es posible, es posible que desee habilitar proxy_cache, que es bastante rápido. cuando estás bajo ataque es posible dar un corto cache_time como 1 minuto.

    
respondido por el that guy from over there 09.01.2014 - 10:21
fuente

Lea otras preguntas en las etiquetas