it-swarm-id.com

Teknik apa yang digunakan firewall canggih untuk melindungi dari DoS / DDoS?

Sulit untuk melindungi server terhadap serangan Denial of Service , DoS/DDoS. Dua cara sederhana yang dapat saya pikirkan adalah menggunakan server dengan banyak sumber daya (mis. CPU dan memori), dan untuk membangun aplikasi server untuk ditingkatkan dengan sangat baik. Mekanisme perlindungan lainnya mungkin digunakan oleh firewall. Saya bisa memikirkan daftar hitam alamat IP, tapi saya tidak benar-benar tahu cara kerjanya. Dan mungkin ada teknik lain yang digunakan oleh firewall untuk melindungi terhadap serangan DDoS.

Teknik apa yang digunakan firewall canggih untuk melindungi terhadap serangan DoS/DDoS?

74
Jonas

Itu benar-benar dua serangan yang berbeda, meskipun serupa.

DoS "Reguler" didasarkan pada percobaan crash server/firewall, melalui beberapa jenis bug atau kerentanan. Misalnya. serangan terkenal SYN Flood . Perlindungan terhadap semua ini, tentu saja khusus untuk cacat (mis., Cookie SYN), dan pengodean/desain yang aman secara umum.

Namun, DDoS hanya mencoba untuk membanjiri server/firewall dengan membanjirinya dengan banyak permintaan yang tampaknya sah.
Sejujurnya, satu firewall tidak dapat melindungi hal ini, karena tidak ada cara nyata untuk menandai klien "buruk". Ini hanya masalah "upaya terbaik", seperti pembatasan itu sendiri sehingga tidak macet, memuat penyeimbang dan sistem failover, mencoba ke daftar hitam IPs (jika tidak sesuai dengan "kejahatan", lalu menurut penggunaan), dan tentu saja, secara aktif memberi tahu administrator.
Yang terakhir ini mungkin yang paling penting, karena dalam kasus DDoS jelas (saya katakan jelas, karena hanya penggunaan puncak biasa mungkin terlihat seperti DDoS - kisah nyata) benar-benar membutuhkan manusia untuk membedakan konteks situasi, dan mencari tahu apakah akan ditutup, upaya terbaik, penyediaan kotak lain, dll (atau gunakan serangan balik ... ssshhh !!)

39
AviD

Pengalaman saya tentang serangan DoS dan DDoS didasarkan dari menjadi insinyur Cisco untuk ISP dan kemudian sebagai Manajer Keamanan untuk Global yang sangat besar. Berdasarkan pengalaman ini, saya telah menemukan bahwa untuk secara efektif menangani serangan skala besar dan kompleks memerlukan kemitraan yang baik antara organisasi yang diserang dan ISP atau mitra mitigasi DDoS mereka (Ya sekarang ada perusahaan yang didedikasikan untuk ini, pada dasarnya mereka sangat ISP besar dalam hak mereka sendiri tetapi menggunakan jaringan global mereka untuk mengambil lalu lintas tambahan yang dihasilkan selama serangan).

Berikut adalah beberapa pertimbangan jika Anda menghadapi serangan yang berada di luar toleransi bandwidth Anda (alias konsumsi bandwidth) dan Anda perlu bantuan dalam merespons.

Di mana tidak ada mitra mitigasi: Membangun hubungan yang kuat dengan ISP Anda. Identifikasi tim dan kontak yang tepat yang akan Anda butuhkan jika ada serangan.

Gunakan firewall Anda (atau perangkat logging lainnya) untuk mendapatkan bukti serangan (IP sumber, protokol, panjang paket, dll) karena informasi ini dapat sangat berharga bagi ISP dalam memutuskan bagaimana merespons. Tidaklah menyenangkan mencoba menjebak traffic pada perangkat routing Cisco dari baris perintah jam tiga pagi! Jadi bantuan apa pun dihargai. :-)

Dengan ini kemungkinan pendekatan Anda adalah menyaring lalu lintas dalam cloud ISP. Jika Anda telah dapat memberikan informasi yang cukup dan lalu lintas yang demikian maka ISP mungkin dapat menyaring lalu lintas berbahaya dan membiarkan lalu lintas jaringan yang valid bebas untuk mengakses jaringan Anda. Namun, jika Anda menyebabkan masalah latensi untuk ISP maka mereka kemungkinan akan membuat lubang hitam seluruh rute Anda di gateway BGP mereka dan Anda akan menghilang dari internet. Filter perutean tambahan menyebabkan beban pada gateway, jadi jangan berharap ISP Anda menambahkan beberapa filter karena hal ini dapat berdampak pada pengguna mereka yang lain.

Menggunakan mitra mitigasi:

Saya hanya dapat berbicara dari pengalaman satu penyedia untuk ini, jadi Anda perlu melakukan pekerjaan rumah Anda untuk memutuskan apakah Anda memerlukan ini dan jika demikian siapa yang paling baik ditempatkan untuk menyediakan.

Layanan ini didasarkan pada iklan rute BGP dan pemantauan serangan. Setelah serangan diidentifikasi, mitra mitigasi mengiklankan rute Anda untuk melewati jaringan mereka, tempat router inti digunakan untuk menyaring lalu lintas berbahaya sebelum meneruskan ke organisasi.

Peran saya dalam semua ini adalah untuk menguji implementasi pendekatan mitra untuk mitigasi DDoS. Ini melibatkan penggunaan tim global insinyur keamanan untuk menghasilkan lalu lintas yang cukup untuk membuat tes yang valid. Kami menguji kemampuan untuk mengidentifikasi serangan dan kemudian merespons secara efektif. Berdasarkan ini, kami sangat terkesan dengan pendekatan mereka secara keseluruhan dan solusinya berhasil.

40
David Stubley

Salah satu jenis perlindungan terhadap DDOS tidak dilakukan secara langsung oleh firewall adalah mendistribusikan konten halaman di seluruh dunia dengan cara semua permintaan yang berasal dari suatu negara dilakukan terhadap server lokal dan permintaan dari negara lain , ke URL atau domain yang sama, dilakukan terhadap server lokal lain yang mendistribusikan beban antara server lokal dan tidak membebani server unik. Poin lain dari sistem ini adalah bahwa permintaan tidak bepergian terlalu jauh.

Ini adalah pekerjaan untuk DNS dan infrastrukturnya disebut Content Delivery Network atau CDN.

Perusahaan sebagai CloudFlare menawarkan layanan semacam ini.

8
kinunt

DDOS biasanya dilakukan dengan mengirimkan sejumlah besar paket ke server, di mana server akan dengan panik mencoba memproses, secara alami. Setelah firewall mengetahui kemungkinan DDOS, firewall mungkin dikonfigurasikan untuk membuat daftar hitam setiap klien dengan PPS (Paket Per Detik) yang cukup tinggi).

Filter dapat dinyalakan dan dimatikan kapan saja, sehingga jika Anda mengalami DDOS, Anda dapat menghidupkan filter dengan aturan yang sangat ketat.

5
Chris Dale

Saya ingin menjawab pertanyaan pertama yaitu " menggunakan server dengan banyak sumber daya (mis. CPU dan memori) untuk meningkatkan aplikasi ". Disarankan untuk melakukan penskalaan aplikasi sebelum melakukan penskalaan server. Pembuatan profil aplikasi dapat dipecah menjadi langkah-langkah berikut:

  1. Memuat Pengujian: Lakukan pengujian stres pada aplikasi Anda melalui alat pengujian beban seperti pylot.
  2. Optimasi kueri: Tugas kedua adalah kueri optimalisasi, yakni kueri yang dapat bekerja secara efisien untuk basis data kecil tetapi gagal meningkatkan skala untuk basis data besar.
  3. Aplikasi sharding: menyebarkan sebagian besar konten akses pada disk yang lebih cepat.

Ada banyak yang perlu ditambahkan pada daftar ini dan pembacaan yang baik adalah "Cara mengatur skala aplikasi web"

2
Ali Ahmad