linux360

[ph3e4r]

Ce modalitati de detectie si protectie impotriva dos-ului folositi pentru serverele http?

[sin]

Mai multe servere web, un load-balancer care sa serveasca din cache paginile cerute la ddos, eventual cu abilitatea de a mapa 100% site-ul sursa sa nu faca forwarding la cereri care are intoarce 404.

[csdexter]

Si, de obicei, cam in functie de factura e si performanta :-) (Da, exista chiar solutii hardware [ASIC] in domeniul asta ;-) ).

@Dexter

[ph3e4r]

Oki dar asta inseamna ca deja esti atacat si tot ce faci este sa incerci sa mentii serverul "in picioare", ceva poate pentru a detecta din timp atacurile, a implementat cineva algoritmi gen change point detection?

[sin]

Depinde foarte mult ce intelegi tu prin atac. Ultimele la care am fost martor s-au tradus prin zeci de mii de cereri legitime (GET / HTTP/1.1) de la zeci de mii de hosturi unice din internet. Beat that.

[ph3e4r]

Uite de asa ceva as fi interesat sa vad cum au reactionat altii mai mari decat mine macar teoretic, un studiu de caz ceva bineinteles ma multumesc si cu o informatia pretioasa, deci pe langa load balancing si masini (ASIC) ce as mai putea sa fac ?Sa zicem ca dispun de numar mare gw de la diversi provideri (edge networks) cum as putea sa detectez atacul (fara sa vad urmarile adica fara sa am load crescut pe server, numar mare de conexiuni deschise) daca se poate.
Pentru ca daca as putea sa detectez macar 50% din sursele atacului atunci as putea sa le filtrez pentru a nu fi servite de apache.

[sin]

Eu cred ca tu nu intelegi ce am scris: sunt surse unice cu cereri perfect valide.
Nu e nimic de detectat, intrucat nu poti sti daca e un client sau un bot, mai ales ca semnatura browserului e una generica, like IE7 sau Firefox 3.

Asa ca iti trebuie capacitate de procesare sa faci fata numarului de cereri. Daca ai chestii foarte importante care trebuie sa fie mereu disponibile, poti incerca sa apelezi la un CDN precum Akamai, Amazon CloudFront si altii.

[tudorm]

Cod: Selectaţi tot

Eu cred ca tu nu intelegi ce am scris: sunt surse unice cu cereri perfect valide.
Nu e nimic de detectat, intrucat nu poti sti daca e un client sau un bot, mai ales ca semnatura browserului e una generica, like IE7 sau Firefox 3.

Asa ca iti trebuie capacitate de procesare sa faci fata numarului de cereri. Daca ai chestii foarte importante care trebuie sa fie mereu disponibile, poti incerca sa apelezi la un CDN precum Akamai, Amazon CloudFront si altii.


Corect, orice (D)DOS (Distributed DOS) respectabil in ziua de azi formuleaza cereri ``indistinguishable'' de cererile legitime, mai mult, cererile sunt de obicei trimise de la un botnet (i.e. masina lu' Vasile, Ghitza, tanti Veta, etc., toate avand in comun acelasi malware). Ca solutie---``fail fast'' sau ``admission control.'' De exemplu Google are DNS round-robin + hardware (ASIC) load balancer ca sa imprastie request-urile ca sa fie procesate de o gramada de masini intr-un datacenter. Load balancer-ul hardware (ASIC) face ``admission control'' pur si simplu trantind pachetele la podea cand traficul devine excesiv---asta nu inseamna ca unele masini din datacenter nu sunt si ele overloaded in acelasi timp.

Cheers,
T

[ph3e4r]

Are cineva si poate sa imi furnizeze niste loguri dinaintea si din timpul unui atac dos?
O zi buna

[csdexter]

Pai ia-le pe cele din timpul activitatii normale si multiplica-le de 10 ori, pastrand intervalul de observatie :-)

@Dexter

[ph3e4r]

ma intereseaza sa fie reale ca sa fie ip-uri diferite sa pot construi un model sau depista un tipar....

[panzerboy]

Cisco a lansat un feature interesant pentru jucariile ASA. http://www.networkworld.com/community/node/52679

Daca s-ar instala asa o solutie ar opri ca computerele din reteaua interna sa fie comandate din exterior. Ar fi interesant daca mai multi vendori ar face o solutie comuna si asa s-ar mai opri atacurile DDOS facute cu botnet-uri.

[ph3e4r]

Si totusi nu are nimeni?
Ma indoiesc ca poti opri in acest mod atacurile dos, spun asta pentru ca ceva bazat pe lista nu este intodeauna cea mai buna solutie. Ip-urile se pot schimba....

[sin]

Cand ti-o iei peste bot cea mai mare grija e sa incerci sa blochezi cat mai repede upstream atacul, nu sa faci tcpdump intr-o veselie

[ph3e4r]

Nu neaparat tcpdump e bun si un acces log