حماية نفسك ضد هجمات حجب الخدمة
https://stackoverflow.com/questions/1029380
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هذا قد يكون شيئا أكثر ملاءمة Serverfault ، ولكن العديد من webdevelopers الذين يأتون هنا فقط ربما تستفيد من الإجابات الممكنة عن هذا السؤال.
السؤال هو:كيف يمكنك أن تحمي بشكل فعال نفسك ضد هجمات الحرمان من الخدمة ضد مزود الويب الخاص بك?
سألت نفسي هذا بعد قراءة هذا المادة
لأولئك الذين لا دراية, هذا ما أتذكره عن ذلك:دوس الهجوم محاولة احتلال جميع الاتصالات الخاصة بك عن طريق إرسال مرارا وهمية رؤوس الملقمات الخاصة بك.
وبذلك الخادم الخاص بك سوف تصل إلى الحد الأقصى من الممكن simultanious اتصالات ونتيجة طبيعية لا يمكن للمستخدمين الوصول لموقع الويب الخاص بك بعد الآن.
ويكيبيديا توفر المزيد من معلومات: http://en.wikipedia.org/wiki/Denial_of_service
المحلول
لا يوجد دواء, ولكن يمكنك أن تجعل دوس الهجمات أكثر صعوبة عن طريق القيام ببعض الإجراءات التالية:
- لا (أو الحد من الرغبة) لا تكلفة العمليات باسم غير مصادق العملاء
- خنق المصادقة محاولات
- خنق العمليات التي تجرى نيابة عن كل مصادقة العميل ، حساباتهم بشكل مؤقت تأمين إذا كانت تفعل أشياء كثيرة جدا في وقت قصير جدا
- مماثل العالمية خنق كل غير مصادق العملاء و تكون على استعداد لخفض هذا الإعداد إذا كنت الكشف عن هجوم في التقدم
- لديك علم يمكنك استخدامها أثناء هجوم لتعطيل كل غير مصادق الوصول
- لا تقم بتخزين الأشياء باسم غير مصادق العملاء ، واستخدام الحصص إلى حد التخزين لكل مصادقة العميل
- في العام ، يرفض كل تالف, معقدة بشكل غير معقول أو غير معقول ضخمة الطلبات بأسرع وقت ممكن (و سجل لهم للمساعدة في الكشف عن هجوم)
- لا تستخدم نقية LRU إذا كانت تطلب من غير مصادق العملاء يمكن أن يؤدي إلى طرد الأشياء من ذاكرة التخزين المؤقت ، لأنك سوف تكون عرضة الخابية الهجمات (حيث خبيث عميل يطلب الكثير من مختلف النادر استخدامها الأشياء ، مما يؤدي إلى طرد جميع الأشياء المفيدة من ذاكرة التخزين المؤقت الخاصة بك وتحتاج إلى بذل المزيد من العمل لخدمة عملاء شرعية)
تذكر أنه من المهم أن صريح رفض مخنوق الطلبات (على سبيل المثال ، HTTP 503:الخدمة غير متوفرة استجابة أو استجابة مماثلة من المناسب مهما البروتوكول الذي تستخدمه) بدلا من الطوابير مخنوق الطلبات.إذا كنت طابور لهم قائمة الانتظار فقط تلتهم كل ما تبذلونه من الذاكرة و دوس الهجوم سوف يكون على الأقل فعالة كما كانت من دون اختناق.
بعض المشورة أكثر تحديدا من أجل ملقمات HTTP:
- تأكد من أن ملقم ويب تم تكوينه رفض
POSTالرسائل دون المصاحبContent-Lengthرأس ورفض الطلبات (خنق المخالف العميل) والتي يتجاوز ذكرContent-Length, و رفض الطلبات معContent-Lengthوهو غير معقول طويلة للحصول على الخدمة التيPOST(أوPUT) يهدف إلى
نصائح أخرى
لهذا الهجوم معين (طالما أن الطلب هو الحصول) على موازن تحميل أو WAF التي تستند فقط طلبات الكاملة لخادم ستعمل.
والمشاكل تبدأ عندما بدلا من وظيفة GET يستخدم (والذي هو سهل) لأنه لا يمكن معرفة ما إذا كان هذا هو ما بعد ضارة أو فقط بعض تحميل بطيئة حقا من مستخدم.
ومن دوس في حد ذاتها لا يمكنك حقا حماية تطبيق الويب الخاص بك بسبب حقيقة بسيطة. والموارد الخاصة بك محدودة في حين أن المهاجم يحتمل أن تكون لديه الوقت والموارد غير محدود لأداء وزارة الخارجية. وأكثر من مرة أنها رخيصة للمهاجمين لتنفيذ الخطوات المطلوبة. مثلا هذا الهجوم المذكور أعلاه بضعة 100 اتصالات تشغيل بطيئة -> لا مشكلة
وخوادم غير متزامن، لأحد، هي أكثر أو أقل في مأمن من هذا شكل معين من أشكال الهجوم. أنا على سبيل المثال أخدم جانغو تطبيقات باستخدام وكيل عكسي إنجن إكس، وان الهجوم لا يبدو أن تؤثر على عملها على الإطلاق. الخادم غير متزامن شعبي آخر هو لايت باد.
والعقل لكم، وهذا الهجوم هو خطير لأنه لا يمكن أن يؤديها حتى من قبل جهاز واحد مع اتصال بطيء. ومع ذلك، هجمات DDoS المشتركة المساومات الخادم الخاص بك ضد جيش من الآلات، وهناك القليل الذي يمكن القيام به لحماية نفسك منها.
والجواب باختصار:
وأنت لا تستطيع حماية نفسك ضد وزارة الخارجية.
وأنا لا يوافقون على أنه ينتمي على serverfault منذ يصنف دوس باعتبارها قضية أمن ويرتبط بالتأكيد لبرمجة
