it-swarm-tr.com

Gelişmiş güvenlik duvarları DoS / DDoS'ye karşı koruma için hangi teknikleri kullanır?

Bir sunucuyu Hizmet Reddi saldırılarına , DoS/DDoS'ye karşı korumak zordur. Düşünebileceğim iki basit yol, çok fazla kaynağa sahip bir sunucu kullanmak (örn. CPU ve bellek) ve sunucu uygulamasını çok iyi ölçeklendirecek şekilde oluşturmaktır. Diğer koruma mekanizmaları büyük olasılıkla güvenlik duvarı tarafından kullanılmaktadır. IP adreslerini kara listeye almayı düşünebilirim, ancak nasıl çalıştığını gerçekten bilmiyorum. Ve muhtemelen güvenlik duvarı tarafından DDoS saldırılarına karşı korunmak için kullanılan başka teknikler de vardır.

Gelişmiş güvenlik duvarları, DoS/DDoS saldırılarına karşı hangi teknikleri kullanır?

74
Jonas

Bunlar gerçekten de benzer olsa da iki farklı saldırı.

"Düzenli" DoS, bir tür hata veya güvenlik açığı nedeniyle sunucuyu/güvenlik duvarını kilitlemeye çalışır. Örneğin. iyi bilinen SYN Sel saldırı. Bunlara karşı koruma elbette kusurlara (örn. SYN çerezleri) özgüdür ve genel olarak güvenli kodlama/tasarımdır.

Bununla birlikte, DDoS, sunucu/güvenlik duvarını, görünüşte meşru talep kitleleri ile doldurarak boğmaya çalışır.
Doğrusu, tek bir güvenlik duvarı buna karşı gerçekten koruyamaz, çünkü "kötü" istemcileri işaretlemenin gerçek bir yolu yoktur. Bu sadece "en iyi çaba" meselesi, yani kendini azaltma, yük dengeleyicileri ve yük devretme sistemleri, IP'lerini kara listeye almaya "kötülüğe" göre değil, kullanıma göre) ve elbette yöneticileri aktif olarak bilgilendirir.
Bu son en önemli olabilir, çünkü görünür DDoS vakalarında (açıkça söylüyorum, çünkü sadece düzenli pik kullanımı gibi görünebilir DDoS - gerçek hikaye) durumun bağlamını ayırt etmek ve kapatmak, en iyi çaba, başka bir kutu sağlamak, vb (veya karşı saldırı ... ssshhh !!)

39
AviD

DoS ve DDoS saldırıları konusundaki deneyimim, bir ISS için Cisco mühendisi ve daha sonra çok büyük bir Global için Güvenlik Yöneticisi olarak dayanıyor. Bu deneyime dayanarak, büyük ölçekli ve karmaşık saldırıları etkili bir şekilde ele almanın saldırı altındaki kuruluş ile ISS veya DDoS azaltma ortağı arasında iyi bir ortaklık gerektirdiğini gördüm (Evet, şimdi buna adanmış şirketler var, aslında çok kendi başına büyük ISP’lere sahip olur, ancak küresel ağlarını saldırı sırasında üretilen ek trafiği almak için kullanır).

Bant genişliği toleransınızın (bant genişliği tüketimi olarak da bilinir) dışında bir saldırı ile karşı karşıya kalırsanız ve yanıt vermek için yardıma ihtiyacınız varsa, aşağıda belirtilen bazı noktalar vardır.

Etki azaltma ortağının olmadığı durumlarda: İSS'nizle güçlü bir ilişki kurun. Saldırı durumunda ihtiyacınız olacak doğru ekipleri ve kişileri belirleyin.

Güvenlik duvarınızı (veya başka bir kayıt cihazını) kullanarak saldırının kanıtını (kaynak IP, protokol, paket uzunluğu vb.) Elde edin, çünkü bu bilgiler nasıl yanıt verileceğine karar verirken ISS için çok değerli olabilir. Sabah üçte bir Cisco yönlendirme cihazında trafiği komut satırından yakalamaya çalışmak eğlenceli değil! Yani herhangi bir yardım takdir. :-)

Bununla olası yaklaşımınız, ISP bulutundaki trafiği filtrelemek olacaktır. Yeterli bilgi verebildiyseniz ve trafik böyleyse, ISS kötü niyetli trafiği filtreleyebilir ve ağınıza erişmek için geçerli ağ trafiğini serbest bırakabilir. Ancak, ISS için gecikme sorunlarına neden oluyorsanız, bunların tüm rotanızı BGP ağ geçidinde kara delik yapması muhtemeldir ve ağdan kaybolursunuz. Ek yönlendirme filtreleri ağ geçitlerinde yüke neden olur, bu nedenle ISS'nizin birden fazla filtre eklemesini beklemeyin, çünkü bu diğer kullanıcıları etkileyebilir.

Bir azaltma ortağı kullanma:

Bunun için yalnızca bir sağlayıcının deneyiminden konuşabilirim, bu yüzden buna ihtiyacınız olup olmadığına ve eğer öyleyse en iyi şekilde yerleştirilecek kim olduğuna karar vermek için ödevinizi yapmanız gerekecektir.

Hizmet, BGP güzergah reklamı ve saldırı izlemeye dayanıyordu. Bir saldırı belirlendikten sonra, azaltma ortağı ağınıza geçme yolunu bildirir; burada çekirdek yönlendiriciler, kuruluşa geçmeden önce kötü amaçlı trafiği filtrelemek için kullanılır.

Tüm bunlardaki rolüm DDoS azaltımına ortak bir yaklaşımın uygulanmasını test etmekti. Bu, geçerli bir test için yeterli trafik üretmek üzere küresel bir güvenlik mühendisleri ekibinin kullanılmasını içeriyordu. Hem bir saldırıyı belirleme yeteneğini, hem de etkili bir şekilde tepki verme yeteneğini test ediyorduk. Buna dayanarak, genel yaklaşımlarından çok etkilendik ve çözüm işe yaradı.

40
David Stubley

DDOS'a karşı bir tür koruma doğrudan güvenlik duvarları tarafından gerçekleştirilmez, sayfanın içeriğini bir ülkeden gelen tüm isteklerin yerel bir sunucuya ve başka bir ülkenin isteklerine karşı gerçekleştirileceği şekilde dünya çapında dağıtmaktır , aynı URL veya alan adına yükü yerel sunucular arasında dağıtan ve benzersiz bir sunucuyu aşırı yüklemeyen diğer yerel sunuculara karşı gerçekleştirilir. Bu sistemin bir başka noktası da, taleplerin çok ileri gitmemesidir.

Bu DNS'ler için bir çalışmadır ve altyapı İçerik Dağıtım Ağı veya CDN olarak adlandırılır.

CloudFlare olarak şirketler bu tür hizmetler sunmaktadır.

8
kinunt

DDOS genellikle sunucunun doğal olarak çılgınca işlemeye çalışacağı çok büyük miktarda paket göndererek yapılır. Bir güvenlik duvarı olası bir DDOS'u fark ettikten sonra, yeterince yüksek olan istemcileri kara listeye alacak şekilde yapılandırılabilir PPS (Saniyedeki Paket).

Filtreler herhangi bir zamanda açılıp kapatılabilir, böylece bir DDOS yaşıyorsanız, çok katı bir kural kümesine sahip bir filtreyi açabilirsiniz.

5
Chris Dale

Sorunun ilk bölümünü (" uygulamayı ölçeklendirmek için çok fazla kaynağa sahip bir sunucu kullanın (örneğin CPU ve bellek)" şeklinde yanıtlamak istiyorum. Sunucu ölçeklendirmesi yapmadan önce uygulama ölçeklendirmesi yapmanız önerilir. Uygulama profili aşağıdaki adımlara ayrılabilir:

  1. Yükleme Testi: Pylot gibi yük testi araçlarıyla uygulamanız üzerinde stres testi yapın.
  2. Sorgu optimizasyonu: İkinci görev, küçük veritabanı için verimli bir şekilde çalışabilen ancak büyük veritabanları için ölçeklenemeyen sorguyu optimize etmektir.
  3. Uygulama parçalama: çoğu erişim içeriğini daha hızlı diskte dağıtma.

Bu listeyi eklemek için çok şey var ve iyi bir okuma "Bir web uygulaması nasıl ölçeklendirilir"

2
Ali Ahmad