每当匿名组织瞄准一个网站,他们都能够把它拿下来,即使是对于拥有专业的大公司/政府也是如此。
我读了关于处理普通DDOS攻击(基本理论)的DDOS防护技术。
但是,为什么这些技术在匿名组攻击的情况下失败?
通过一个非常好的有组织的DDOS攻击有没有成功的故事生存?
大多数识别和缓解类似匿名攻击攻击的机制都是众所周知的,大多数Anti-DoS产品和服务可以高成功地处理这些攻击。 但是,有时组织和企业没有调整或更新的保护政策。 此外,我惊奇地发现,其中许多人根本没有产品和服务的防DoS保护。
匿名通常使用众所周知的工具。 当地的SOC / NOC或服务提供商的SOC / NOC没有理由不能阻止他们的攻击。 问题是检测和阻塞是否足够准确,没有阻止合法stream量的误报。 由于这是一个成功的DoS / DDoS …
通常有三种处理DDoS / DoS攻击的途径:
正如你所看到的,这个问题没有明确的答案,因为它取决于许多参数,预算只是其中的一个。 服务或产品的质量也是一个重要的方面 – 它可以产生“实时”签名,以准确的缓解而不影响合法的stream量? 减less假阴性比率? – 是否包含行为学习和检测模块? 还是仅使用基于速率的阈值? – 它是否包含身份validation选项(用于HTTP / DNS和其他协议)? 再次为了减less错误的可能性。 – 它是否包括一个行动升级机制,一个封闭的反馈选项,可以根据当前采取的缓解行动的成功情况,自动采用更积极的缓解行动? – 无论合法的stream量费率如何,服务/产品可以提供的缓解率是多less。 – 产品是否包含24/7紧急服务? (大多数MSSP都有,不是所有的产品)
干杯,
匿名总是成功是不正确的。 没有什么独特的匿名 – 只是聪明和大量的攻击。
(希望匿名不会针对我说:)
来自英国广播公司的文章: 赞成Wikileaks积极分子放弃亚马逊networking攻击 :
匿名组织曾承诺在格林尼治标准时间1600时袭击这个网站(亚马逊),但后来改变了计划,说他们没有“部队”。
问题是没有技术可以确保你能够处理DDOS。 唯一的办法是有服务器和带宽,可以处理任何可能的负载,这是非常昂贵的。
像Verisign,Prolexic和其他公司的stream量清洗服务是保护自己的最有效的方法,除非您有钱花在像Arbor或Rio Rey这样的硬件解决scheme上。
这很大程度上取决于您所服务的stream量types,但有很多方法可以缓解。 (我将假设网站)。解决这个问题的一个相对简单和廉价的方法是将Varnish(或另一个httpcaching)放在Web服务器前面。 这将大大减lessstream量到您的networking和应用服务器的点击次数。 另外,使用像HAProxy这样的产品作为负载平衡器可以通过pipe理您的httpstream量到您的服务器的分布来帮助。
有DDOS防止措施,但将是昂贵的。 我知道,如果您使用Rackspace进行托pipe,他们有一个名为Preventier的产品(我知道这很贵)。
也可能值得您的时间来利用Akamai(或类似的CDN)托pipe您的内容,这也将解决这个问题,但通常具有高昂的美元成本。
和所有的事情一样,必须执行风险与回报分析,但是您必须记住,除了服务可用性之外,您还必须为品牌声誉付费。
注:我说廉价的光油和HAProxy,因为虽然他们是自由/开放源代码,它确实有工程师的时间来实施和支持的成本。 请注意,任何解决scheme都是如此,但是这些都有零美元的许可成本。
那么,这是非常困难的。 这是ddos的全部。 你有一百万台电脑同时向你的网站发送请求。 什么是防火墙应该做的?
最重要的一点就是将stream量保留在系统之外。 不知道你有你的服务器,但如果你的服务器在你的办公室,你应该得到一个有限的防火墙在你的ISP的地方。 这将保持stream量远离有限的input电缆。
如果限制因素是networking服务器,您可以在networking服务器之前设置一台Linux计算机,根据源IP地址进行过滤。 一次只允许一定数量的IP访问Web服务器,一旦传输结束,将IP阻塞,并将该插槽提供给下一个请求者。 这样你的服务器永远不会超过它的容量。
在这里使用鱿鱼加速器将是很大的帮助。 这样可以减less连接和进程的并发数量,并且除了caching静态内容外,还可以更快速地释放Web服务器资源。
你不能将自己限制在一组攻击者身上。 包括匿名组在内的大多数组都会使用BotNet。 这将来自大量的知识产权,所以你不能只是禁止这个范围。
减less( 不停止,因为这几乎是不可能的)的唯一方法是保持您的安全。 因此,维护更新,您的防火墙检查漏洞。 安全是一个非常专业化的课题,不应该被解雇。 您需要从防火墙开始,确保每个设备/连接都是安全的。 而且用户也受到安全教育,不会在他们的PC上获得恶意软件等(他们可以用于其他人的DDOS)