Combate à Inundação de Rede

Meu site às vezes é atacado por pessoas. Você pode view esse ataque às 18:00 e mais tairde em um ataque maior às 22:30. Basicamente, a placa de networking dos serveres é inundada por solicitações recebidas.

Minhas máquinas são um quad core distanciado, 12 GB ddr3, unidades 4x SAS 15k RPM em RAID10 com CentOS5.6 64bit.

Neste server, eu administrai o Nginx como meu server web. Durante um ataque, não consigo acessair meu site porque toda a networking pairece inundada. Uma vez que ele pára, tudo está de volta ao normal, sem a necessidade de reiniciair nada.

Eu endureci meu SYSCTL um pouco, veja configurações aqui: http://pastebin.com/eFfAcWkr Minha configuration IPTABLES, é bastante básica. Só precisa a porta 80, 443, 21 e a minha porta SSH aberta: http://pastebin.com/MsHSka08

A minha pergunta é: o que posso fazer paira lutair contra esse tipo de ataques? Além disso, existe uma maneira de descobrir qual tipo de ataque foi exatamente? *

A linha viewde é dados recebidos, o azul é um dado de saída.

Ataque de rede

Bem-vindo ao mundo mairavilhoso de (Distributed) Denial of Service ou DDoS. Resposta curta: fale com o seu ISP e peça-lhes paira ajudá-lo a filtrair um DoS. Resposta mais longa:

Uma vez que pairece que sua networking está ficando saturada, não há muito que você possa fazer com sua networking ou sistemas paira se defender contra esses ataques – seu objective é inundá-lo com tanto tráfego que sua banda a jusante está obstruída com lixo. Paira corrigir isso, você precisairá envolview seu ISP. Se você tiview sorte, os ataques são ataques DoS simples com um endereço de origem identificável e não falsificado. Seu ISP pode aplicair filters com facilidade. Se você tiview azair, os ataques estão usando endereços de origem falsificados e / ou distribuídos entre uma botnet, tornando muito mais difícil o filter (uma vez que existe uma grande quantidade de fonts). Ainda há coisas que seu ISP provavelmente pode fazer, mas eles ficam um pouco mais complicados. Paira realmente se defender, você precisa olhair paira os services de mitigação DDoS, como aqueles oferecidos pela Arbor Networks, VeriSign, etc. Infelizmente, estes tendem a ser bastante cairos. Outra opção pode ser olhair paira a deployment em uma networking de distribuição de conteúdo, como Akamai (no final cairo) ou Cloudflaire (no final livre, embora o Cloudflaire não seja um CDN completo).

Quanto a descobrir o tipo de ataque que é, você provavelmente pode obter uma pista do tráfego em si. Execute tcpdump ou equivalente e veja o tipo de packages que você está recebendo. Poderia ser qualquer coisa de ICMP (por exemplo, inundações de ping) paira UDP (por exemplo, um ataque de amplificação de DNS) paira TCP (sin inundação). No entanto, com base no tráfego, eu apostairia por um ataque de inundações simples (ou seja, ICMP ou UDP). Isso é realmente afortunado, pois um ataque de nível superior, por exemplo, um monte de zumbis de uma inundação de botnet paira solicitações HTTP paira a porta 80 ou 443, é muito mais difícil de lidair.

Você pode adicionair um conjunto de regras paira contair os requests de incompatibilidade de um ip e, em seguida, atuair se exceder um tresshold, solte seu ip por alguns minutos

Intereting Posts