Один из сайтов, с которыми я работаю, недавно начал получать DoS-атаки. Это началось с 30k RPS, а теперь 50k / min. Практически все IP-адреса уникальны, не принадлежат одной подсети и находятся в разных странах. Они запрашивают только главную страницу. Есть какие-нибудь советы, как это остановить?
Серверы работают под управлением Linux с Apache в качестве веб-сервера.
Спасибо
Вы не просто пытаетесь противостоять DoS-атакам, вы пытаетесь противостоять DDoS-атакам, которые распространяются и с которыми гораздо труднее бороться.
По сути, вы пытаетесь выявить незаконный трафик и заблокировать его. В идеале вы хотите обнулить этот трафик (даже лучше, чтобы ваши вышестоящие провайдеры обнуляли его).
Первый порт захода - идентификация. Вам нужно найти способ идентифицировать трафик, который отправляется на ваш хост. Будь то обычный пользовательский агент, будь то факт, что они на самом деле не используют правильный браузер (ПОДСКАЗКА: действуют ли они как нормальные браузеры - т.е. следуют переадресации 301), все ли запросы поступают в одно и то же время или по тому, сколько запросов каждый IP-адрес попадает на ваш сервер в час.
Вы не можете заблокировать их, не идентифицировав их, и вам нужно найти способ сделать это.
Эти инструменты защиты от DDoS-атак, по сути, делают то же самое, за исключением того, что они работают в режиме реального времени и стоят бомбы. В половине случаев происходят ложные срабатывания или DDoS-атаки настолько велики, что в любом случае это не имеет значения, поэтому будьте осторожны, куда вы кладете сюда свои деньги, если вы все же решите инвестировать в один из них сейчас или в будущем.
Помните: 1. ИДЕНТИФИКАЦИЯ 2. БЛОКИРОВКА. 1 - сложная часть.
Вы предполагаете, что это преднамеренный DDoS. Первое, что нужно попробовать, это изменить IP-адрес. Если это на самом деле не намеренно, то это прекратится.
Откуда бы поступали эти запросы, если бы они не преднамеренные? Это может быть случайная цель или ошибочная цель. Маловероятно, но попробовать стоит.
Вы уверены, что получаете не только законный трафик? Может быть, тебя косили или что-то в этом роде. Попробуйте посмотреть рефереров в логах.
Ваш интерфейсный маршрутизатор / балансировщик нагрузки не поддерживает управление DOS-атаками? Наш делает, и это имеет огромное значение.
Вы можете попросить своего вышестоящего провайдера попросить его помочь. Допустим, например, что у вас есть веб-сайт только для пользователей из Великобритании. Затем вы можете проверить, откуда вообще исходит трафик, используя некоторую базу данных whois. Предположим, например, что значительная часть вашего нежелательного трафика происходит из России, Китая и / или Кореи. Затем вы можете позвонить своему вышестоящему провайдеру и попросить его вызвать свой, чтобы он временно отключил ваши IP-адреса из этих областей, при условии, что у них есть маршрутизаторы, близкие к источникам.
Это не долгосрочное решение, но оно помогает, если ваша пользовательская база сосредоточена в нескольких географических областях. В прошлом Ive помогал таким клиентам, просто не объявляя их зарубежным коллегам, а только национальным. Это действительно отняло у них часть бизнеса (пользователи, которые сочли их недоступными, потому что они больше не были доступны на международном уровне), но это намного лучше, чем просто выйти из строя все вместе.
Но, в конце концов, это скорее отчаянный поступок. Но лучше отрезать конечность, чем терять тело.
Если вам повезет, у вашего провайдера есть оборудование, и он будет готов помочь вам отфильтровать большую часть нежелательного трафика.
Удачи :-)