it-swarm-eu.dev

Jaké techniky používají pokročilé brány firewall k ochraně před DoS / DDoS?

Je těžké chránit server před útoky Denial of Service , DoS/DDoS. Dva jednoduché způsoby, na které mohu myslet, je použít server s velkým množstvím zdrojů (např. Procesor a paměť) a velmi dobře vytvořit serverovou aplikaci, aby se škálovala. Firewall pravděpodobně používá další ochranné mechanismy. Dokážu vymyslet černé IP adresy, ale nevím, jak to funguje. A pravděpodobně existují další techniky, které firewall používá k ochraně před útoky DDoS.

Jaké techniky používají pokročilé firewally k ochraně proti útokům DoS/DDoS?

74
Jonas

To jsou opravdu dva různé, i když podobné útoky.

„Pravidelný“ DoS je založen na pokusu o zhroucení serveru/brány firewall prostřednictvím nějaké chyby nebo zranitelnosti. Např. dobře známé SYN Flood útoky. Ochrana proti těmto je samozřejmě specifická pro vadu (např. SYN cookies) a obecně bezpečné kódování/design.

DDoS se však jednoduše pokusí přemoci server/firewall zaplavením masou zjevně oprávněných požadavků.
Je pravda, že jediný firewall nemůže proti tomu skutečně chránit, protože neexistuje reálný způsob, jak označit „špatné“ klienty. Je to jen otázka „nejlepšího úsilí“, jako je samotné škrtení, takže nedochází k havárii, vyrovnávání zátěže a převzetí služeb při selhání, pokus o blacklist IP (pokud ne podle "špatnosti", pak podle použití) a samozřejmě aktivně informovat administrátory.
Toto poslední může být nejdůležitější, protože v případech zjevné DDoS (říkám zřejmé, protože jen pravidelné maximální využití by mohlo vypadat jako jako DDoS - skutečný příběh), je opravdu nutné, aby člověk odlišil kontext situace a zjistil, zda se má vypnout, co nejlepší úsilí, zajistit další box atd. (Nebo použít protiútok ... ssshhh !!)

39
AviD

Moje zkušenost s útoky DoS a DDoS je založena na tom, že jsem technikem Cisco pro poskytovatele služeb Internetu a později jako správce zabezpečení pro velmi rozsáhlou globální společnost. Na základě této zkušenosti jsem zjistil, že účinné řešení rozsáhlých a složitých útoků vyžaduje dobré partnerství mezi napadenou organizací a jejich partnerem pro zmírňování problémů s ISP nebo DDoS (Ano, v současné době jsou společnosti, které se jí věnují, v podstatě velmi velký poskytovatel internetových služeb samy o sobě, ale pomocí globální sítě využijí další provoz generovaný během útoku).

Níže jsou uvedeny některé úvahy, pokud čelíte útoku, který je mimo vaši toleranci šířky pásma (aka šířka pásma spotřeby) a potřebujete pomoc při reakci.

Pokud neexistuje žádný partner pro zmírnění: Navázejte s vaším poskytovatelem internetových služeb silný vztah. Určete správné týmy a kontakty, které budete potřebovat, dojde-li k útoku.

Použijte svůj firewall (nebo jiné protokolovací zařízení) k získání důkazů o útoku (zdrojová IP, protokol, délka paketu atd.), Protože tyto informace mohou být pro poskytovatele internetových služeb velmi cenné při rozhodování o tom, jak reagovat. Není zábavné pokoušet se zachytit provoz na směrovacím zařízení Cisco z příkazového řádku ve tři ráno! Jakákoli pomoc se tak ocení. :-)

S vaším pravděpodobným přístupem bude odfiltrování provozu v cloudu ISP. Pokud jste byli schopni poskytnout dostatek informací a provoz je takový, pak ISP může být schopen odfiltrovat škodlivý provoz a ponechat platný síťový provoz volný pro přístup k vaší síti. Pokud však pro ISP způsobujete problémy s latencí, je pravděpodobné, že celou cestu na vaší bráně BGP zčerná a vy zmizí ze sítě. Další směrovací filtry způsobují zatížení bran, takže neočekávejte, že váš ISP přidá více filtrů, protože to může mít dopad na jejich ostatní uživatele.

Pomocí partnera pro zmírnění:

Mohu o tom mluvit pouze ze zkušenosti jednoho poskytovatele, takže budete muset udělat domácí úkoly, abyste se rozhodli, zda to budete potřebovat, a pokud ano, kdo by byl nejlépe připraven poskytnout.

Tato služba byla založena na sledování trasy BGP a sledování útoků. Poté, co byl identifikován útok, partner pro zmírnění reklam inzeruje vaši trasu, aby projel svou sítí, kde se hlavní směrovače používají k odfiltrování škodlivého provozu před předáním do organizace.

Mým úkolem v tom všem bylo otestovat implementaci partnerského přístupu ke zmírnění DDoS. To zahrnovalo využití globálního týmu bezpečnostních techniků k vygenerování dostatečného provozu pro provedení platného testu. Testovali jsme schopnost identifikovat útok a poté efektivně reagovat. Na základě toho jsme byli velmi ohromeni jejich celkovým přístupem a řešení fungovalo.

40
David Stubley

Jedním typem ochrany proti DDOS neprováděno přímo firewally je distribuovat obsah stránky po celém světě tak, aby všechny požadavky, které přicházejí z jedné země, byly prováděny proti lokálnímu serveru a požadavky z jiné země. , na stejnou adresu URL nebo doménu, jsou prováděny proti jiným místním serverům, které distribuují zatížení mezi místními servery a nezatěžují jedinečný server. Dalším bodem tohoto systému je, že žádosti nejdou příliš daleko.

Toto je práce pro DNS a infrastruktura se nazývá Content Delivery Network nebo CDN.

Společnosti jako CloudFlare nabízejí tento druh služeb.

8
kinunt

DDOS se obvykle provádí zasláním ohromného množství paketů na server, ve kterém se server zoufale pokusí zpracovat, přirozeně. Jakmile si firewall všimne možného DDOS, může být nakonfigurován tak, aby zakázal všechny klienty s dostatečně vysokou PPS (pakety za sekundu).

Filtry mohou být zapnuty a vypnuty kdykoli, takže pokud dojde k DDOS, můžete zapnout filtr s velmi přísnými pravidly.

5
Chris Dale

Rád bych odpověděl na první část otázky, která zní „ použít server s velkým množstvím zdrojů (např. CPU a paměť) pro rozšíření aplikace “. Před provedením škálování na serveru je doporučeno provést škálování aplikací. Profilování aplikací lze rozdělit do následujících kroků:

  1. Načítání testování: Proveďte zátěžové testování aplikace pomocí nástrojů pro testování zatížení, jako je pylot.
  2. Optimalizace dotazu: Druhým úkolem je optimalizace dotazu, tj. Dotazu, který může efektivně fungovat pro malou databázi, ale pro velké databáze selhává.
  3. Sharding aplikací: nasazení většiny obsahu na rychlejší disk.

Tento seznam je ještě hodně doplněn a dobré přečtení je „Jak změnit měřítko webové aplikace“

2
Ali Ahmad