Назад | Перейти на главную страницу

Распределенный веб-сервер для предотвращения DDos-атак?

Я думал о способе предотвращения атак DDos (распределенного отказа в обслуживании) (что, кажется, сейчас является горячей темой), разместив подписанный Java-апплет на веб-сайте. Этот Java-апплет должен функционировать как веб-сервер, чтобы люди, просматривающие веб-сайт, могли использовать свою полосу пропускания, чтобы помочь другим получить доступ к тому же самому веб-сайту. Java-апплет не следует размещать на главной странице, но только если вы щелкнули по ссылке вроде: «Помогите нам против DDos-атак». Конечно, первая веб-страница, которая будет распространена на веб-сервер, будет главной страницей, и простое выполнение этого должно во многом облегчить ситуацию. С этим связано много проблем, и мне просто не хватает знаний, чтобы решить их.

  1. Можно ли это использовать для защиты от DDos-атак?
  2. Можно ли сделать это таким образом, чтобы можно было гарантировать, что контент, который отправляет распределенные веб-серверы, является фактическим содержимым страницы?

Распределенные веб-серверы могут взаимодействовать друг с другом, поэтому они могут организовывать себя в иерархии в соответствии с пропускной способностью и т. Д.

Должен быть центральный сервер, чтобы решать, какой контент представлять и какие серверы использовать, но, может быть, он может быть настроен на связь только с апплетами Java, чтобы он принимал входящие соединения только с определенных IP-адресов или что-то в этом роде?

Я считаю, что многие люди будут поддерживать эту страницу в фоновом режиме, чтобы помогать уязвимым веб-сайтам.

Пожалуйста, помогите мне нестандартно мыслить по этому поводу, потому что есть веб-сайт, и я бы очень хотел помочь.

Это маловероятно. Вот почему:

  • Несмотря на ваше заявление об обратном, вы не сможете распространять апплет, если станете жертвой DDOS, потому что немногие или никакие законные пользователи не смогут получить доступ к вашему сайту и загрузить апплет. Помните, что апплет браузера теряется, когда вы покидаете страницу.
  • Даже если вам удастся убедить людей загрузить автономный апплет в качестве своего рода клиента p2p (который затем может быть написан на любом языке), злоумышленник может спланировать это, а также атаковать вашу инфраструктуру p2p, таким образом нанеся DDOS всем вашим пользователям.
  • Я не понимаю, как вы будете информировать браузеры обычных пользователей об использовании ваших p2p-апплетов, когда ваша сеть не работает, потому что она находится под атакой.

Вкратце: хотя ваша идея звучит неплохо, она не поможет вам от DDOS-атак.

DDos - это горячая тема, когда какой-нибудь крупный парень решает, что пора заняться вирусным маркетингом, чтобы продать свой потрясающий продукт из черного ящика. То, о чем вы говорите, это одноранговый веб-хостинг, что-то Freenet делает. p2p веб-хостинг не решает проблемы ddos. главные узлы и другие связанные службы (DNS?) по-прежнему уязвимы. DDOS - это не просто переход на веб-страницу или отправка трафика только для синхронизации с нескольких зомби-машин. Все становится намного умнее в зависимости от того, какие деньги есть в игре. DDos означает, что вы, вероятно, даже не сможете распространить свой апплет среди некоторого начального числа посетителей (предположим, что вы когда-нибудь разработаете для этого хороший алгоритм). В вашем решении всегда будут точки отказа, независимо от того, распределены они или нет.

Да, балансировка нагрузки может быть решением для борьбы с DDoS-атаками.

http://cipherdyne.org/psad/download/ Вы можете прочитать это руководство.

Ddos атака - это синхрон, акк и еще один плохой пакет.

Это простое правило для остановки SYN ACC в sysctrl

Включить защиту от спуфинга IP, включить проверку исходного адреса

net.ipv4.conf.all.rp_filter = 1

Включить защиту TCP SYN Cookie

net.ipv4.tcp_syncookies = 1