很难保护服务器免受拒绝服务攻击DoS / DDoS。我可以想到的两种简单方法是使用具有大量资源(例如CPU和内存)的服务器,并构建服务器应用程序以很好地进行扩展。防火墙可能使用了其他保护机制。我可以想到将IP地址列入黑名单,但是我真的不知道它是如何工作的。防火墙可能还会使用其他技术来防御DDoS攻击。

高级防火墙又使用哪些技术来保护Dot / DDoS攻击?

评论

相关:serverfault.com/q/531941/87017

我不认为这可以作为答案,但是作为将来的参考,许多没有对被攻击者提供关键服务的小公司,他们只是关闭它们,同时准备解决问题​​的方法。例如,它发生在去年的Eve Online中。

#1 楼

实际上,这是两种不同但又相似的攻击。

“常规” DoS基于尝试通过某种错误或漏洞使服务器/防火墙崩溃。例如。众所周知的SYN Flood攻击。当然,针对这些问题的保护是针对该缺陷(例如SYN cookie)的,并且通常是安全的编码/设计。

但是,DDoS只是试图通过向大量服务器发送大量看似合法的请求来淹没服务器/防火墙。
说真的,单个防火墙无法真正防御这种情况,因为没有真正的方法标记“不良”客户。这只是“尽力而为”的问题,例如限制自身以使其不会崩溃,负载平衡器和故障转移系统,尝试将IP列入黑名单(如果不是根据“不良”,而是根据使用情况),当然,还应积极通知管理员。
这可能是最重要的,因为在明显的DDoS情况下(我说是显而易见的,因为正常的高峰使用可能看起来像DDoS-真实的故事),这确实需要人工来区分情况,并确定是否要关闭,尽力而为,提供另一个包装盒,等等(或使用反击... ssshhh!)

评论


反击...。但是,我们如何攻击无法确定的人呢?

–起搏器
2014-12-7 17:36

五角大楼IIRC研究了几种针对其XD3项目的DDoS攻击方法。他们正在考虑的反击之一是火箭。那么...当您具有爆炸半径时,谁需要精度? :)

– hamena314
16年8月18日在14:13

#2 楼

我对DoS和DDoS攻击的经验是基于担任ISP的思科工程师,后来担任大型Global的安全经理。根据这一经验,我发现,要有效地应对大规模和复杂的攻击,就需要被攻击的组织与其ISP或DDoS缓解合作伙伴之间建立良好的合作关系(是的,现在有许多公司致力于此,大型ISP有权使用,但可以使用其全球网络来承担攻击过程中产生的额外流量。

如果遇到超出带宽容忍范围(又称为带宽)的攻击,请考虑以下几点

没有缓解伙伴的地方:
与ISP建立牢固的关系。确定发生攻击时所需的正确团队和联系人。

使用防火墙(或其他日志记录设备)获取攻击证据(源IP,协议,数据包长度等)因为这些信息对于ISP如何决定响应方式非常有价值。凌晨三点尝试从命令行在Cisco路由设备上捕获流量并不是一件有趣的事情!因此,任何帮助表示赞赏。 :-)

使用此方法,您可能的方法是过滤出ISP云中的流量。如果您能够提供足够的信息,并且流量如此大,则ISP很有可能能够过滤掉恶意流量并保留有效的网络流量以自由访问您的网络。但是,如果引起ISP的延迟问题,那么它们很可能会在其BGP网关上给您的整个路由造成黑洞,您将从网上消失。其他路由筛选器会在网关上造成负载,因此不要期望您的ISP添加多个筛选器,因为这很可能会影响其他用户。

使用缓解伙伴:

我只能从一个提供者的经验谈起,因此您将需要做功课,以确定是否需要此服务,如果需要,最好由谁来提供。

该服务基于BGP路由通告和攻击监控。一旦发现攻击,缓解合作伙伴就会发布您的路由以通过其网络,在该网络中,核心路由器用于过滤恶意流量,然后再传递给组织。

我在所有网络中所扮演的角色这是为了测试缓解DDoS的合作方法的实施。这涉及利用全球安全工程师团队来产生足够的流量以进行有效的测试。我们正在测试识别攻击然后进行有效响应的能力。基于此,我们对他们的整体方法和解决方案印象深刻。

评论


有趣,对这个概念不熟悉。尽管最初的问题纯粹是关于防火墙具有什么机制的技术问题,但对于寻求解决方案的组织而言,这绝对是重要的。

–AVID♦
2010-11-24 14:05

尽管防火墙/ IPS可以很好地抵御基于DoS / DDoS的攻击,但即使您已经制定了非常好的健壮防火墙规则,强大的洪水仍将淹没您的管道。可悲的是,防止此类事情发生的唯一方法是与缓解供应商合作。 (或设备中,有一个声称可以停止DDoS,但是我还没有真正在演示中看到它的使用),我的组织正处于缓解合作伙伴关系的中间。

– g3k
13年1月22日在16:09

在某些状态防火墙上有一种称为“主动老化”的方法。我们可以将防火墙配置为以更快的速度使非活动会话(在防火墙上)老化,然后将防火墙配置为在会话超时时向服务器发送第一个数据包。防火墙不是很好的解决方案:D,但支持工程师在出现紧急情况时会采用次优解决方案:)。当DDOS攻击旨在在服务器上创建tcp会话以最大程度地利用内存,并且假定会话创建后,不会从恶意主机向服务器发送任何数据包时,该解决方案便会起作用。

– aRun
13年3月15日在5:56

#3 楼

防止DDOS不能直接由防火墙执行的保护的一种类型是,以一种针对本地服务器和另一国家/地区的请求将来自某个国家/地区的所有请求都分发到同一URL或域的方式,在全球范围内分发页面内容。是针对其他本地服务器执行,以在本地服务器之间分配负载,并且不会使唯一服务器过载。该系统的另一点是请求不会传输太远。

这是DNS的工作,其基础结构称为内容交付网络或CDN。

公司称为CloudFlare提供这种服务。

评论


我也可以推荐CloudFlare。

–马修·洛克(Matthew Lock)
16年8月10日在1:29

#4 楼

DDOS通常是通过向服务器发送大量数据包来完成的,服务器自然会疯狂地尝试在其中进行处理。一旦防火墙发现可能的DDOS,就可以将其配置为将具有足够高的PPS(每秒数据包)的所有客户端列入黑名单。

过滤器可以随时打开和关闭,因此,如果您遇到DDOS,则可以使用非常严格的规则集打开过滤器。

#5 楼

我想回答问题的第一部分,即“使用具有很多资源(例如CPU和内存)的服务器来扩展应用程序”。建议在执行服务器扩展之前执行应用程序扩展。应用程序分析可以分为以下步骤:


加载测试:通过诸如pylot之类的负载测试工具对应用程序执行压力测试。
查询优化:第二项任务是优化查询,即对于小型数据库可能有效的查询,但对于大型数据库却无法扩大规模。
应用程序分片:将大多数访问内容部署在更快的磁盘上。

有很多要添加的内容该列表的一个很好的阅读内容是“如何扩展Web应用程序”