Menší ale časté DDOS útoky na http – jak často je řešíte?

Typy útoku (https://cs.wikipedia.org/wiki/Denial_of_service) Všechny typy se vyznačují několika společnými charakteristikami:

• Zaplavení provozu na síti náhodnými daty, které zabraňují protékání skutečných dat.
• Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
• Narušení konfiguračního nastavení.
• Extrémnímu zatížení CPU cílového serveru.
• Vsunutím chybových hlášení do sekvence instrukcí, které můžou vést k pádu systému.
• Pád samotného operačního systému.

S mnoha typy utoku (i castecne s utokem na HTTP) muze pomoci detekce na strane hostingu. Hosting ale neni vsemocny. Zbytek musite resit sam (resp. minimalizovat skody), napr.

• konfigurace serveru
• optimalizace nastaveni Apache a DB
• nasazeni frontnedu
• CDN
• cachovani na strane aplikace
• postavit HA cluster a sdilet zatez mezi 2 a vice servery

Napsal weby;1392379

Zdravím, jak často se vám stáva, že vám na web utočí někdo přes ddos?

Mě s pravidelností cca 1 do měsíce. Naposled včera během dvou minut cca 170 blokovaných IP adres z různých subnetů. Celkově 17-27 tisíc požadavků na dynamicky generovaný obsah během minuty. Mám sice své řešení na automatické blokování které zahrnuje použití memcache a následně při detekci utoku i firewall ale i tak to v případě zvyšování počtu IP adres zapojených do útoku nebude stačit.

Žádný vyděračský email mě nepřišel, tak nevím jaký k tomu má kdo důvod.

Pokud je nějaká jistota, že nikdo nemá zálusk na poškození webů, které jsou hostovány. Domnívám se, že jde jen o pokus zneužít cíl díky nějaké chybě která je zvenčí "cítit". Toto může být dost dobře splašená/špatně ovládaná síť botů ... také sem tam zaznamenáváme podobné cyklické "jevy" bez logiky ... Ideál takový servřík schovat za nějakou CDN kde jsou prostředky a technologie. Jak to vypadá po těch x dnech?

On to klidne muze bejt nekdo, kdo si stavi vlastni botnet a nahodne si na google nasel web, na kterem to testuje. Pripadne konkurence, kazdopadne nez to resit, nejrychlejsi reseni bude schovat ten web za cloudflare. Pokud by se na vas nekdo zameril cilene, tak vam stejne zadne reseni moc nepomuze. Dnes se da levne koupit takovy DDoS traffic, ze s tim bude mit problem i specializovana spolecnost.

Pokud vás trápí ddos úroky,- myslím, že tu dobré řešení napsal VDusek (reverzní proxy cache).- Dost může pomoci i Cloudflare.com, zdarma lze stránku chránit díky nim. V nastavení cloudflare je potřeba dát si pozor na TXT DNS záznamy aby neodhalovaly skutečnou IP serveru. To jde řešit umístěním mail serveru na jiný počítač.- používejte ipset a firewall Config server firewall, v nastavení umožňuje blokovat IP z různých blacklistů. Díky ipsetu můžete blokovat i stovky tisíc IP, jakmile detekujete pomocí config server firewallu útok (příliš vysoká periodicita požadavků z IP atd.), tak se daná IP permanentně blokne a už vás při příštím útoku nemusí tolik zajímat, protože se automaticky blokne na úrovni netfilteru/firewallu- používám Mod_security a tam lze také ledacos odfiltrovat. pokud jeví požadavky nějaké společné známky- Pokud hrozí přetížení serveru, také se doporučuje mít MySQL na jiném/zvláštním serveru.- pokud útoky začnou přetěžovat kapacitu síťového připojení, pak je možné kromě navýšení také objednat DDoS chráněnou IP adresu, která bude sloužit vašemu serveru jako proxy. Nabízí to spoustu firem jako třeba BuyVM. Tam je ochrana i proti Layer 7 (web requesty)