У меня есть единственный экземпляр, работающий на GCP, который сейчас страдает от DDoS-атак на основе нагрузки. Это экземпляр на основе Debian, передающий внутренний трафик демону Geneweb, работающему на той же машине.
Я узнал, что сервер отвечает только с сообщением 503 Service Unavailable. Я предполагаю, что Apache все еще отвечает, в то время как демон просто не может справиться с нагрузкой.
Мониторинг GCP показывает всплеск количества экземпляров. GCP мониторинг
tailf error.log показывает входящий трафик. Скриншот консоли
Экземпляр не имеет балансировки нагрузки и имеет только правила брандмауэра по умолчанию. У меня нет опыта в продвинутом сетевом администрировании, которое здесь необходимо.
Есть подсказки? Рекомендации?
Изучите сервер приложений, чтобы определить, почему он не отвечает. Множество возможных причин: невозможность доступа к базе данных, превышение пределов ресурсов, сбой, проблемы с производительностью.
Убедитесь, что на вашем веб-сервере включено кеширование. Для Apache httpd это будет из mod_cache.
Поместите экземпляры за балансировщик нагрузки. Позволяет анализировать запросы и, возможно, масштабировать до большего количества экземпляров.
Активировать DDoS сервис. Они предоставляют услугу фильтрации большого объема. Может быть дорогим при очень большом объеме.
Искать продукты в пространстве межсетевого экрана веб-приложений (WAF). Они обеспечивают расширенную фильтрацию конкретно HTTP-запросов. Может не масштабироваться до огромных размеров DDoS, но я думаю, что ваше приложение падает из-за относительно небольшого количества запросов.
Я связался с ресурсами GCP, но совет применим в целом.
Есть разные способы смягчить DDOS-атаки. Отметьте ниже некоторые моменты, которые вы можете рассмотреть: 1.) Уменьшите поверхность атаки для вашего развертывания GCE 2.) Изолируйте свой внутренний трафик от внешнего мира 3.) DDoS-защиту, включив балансировку нагрузки на основе прокси 4.) Масштабируйте, чтобы поглотить атака 5.) Защита с помощью разгрузки CDN 6.) Развертывание сторонних решений защиты от DDoS-атак 7.) Развертывание App Engine 8.) Google Cloud Storage для управления доступом с использованием подписанных URL-адресов 9.) Ограничение скорости API 10.) Квоты ресурсов для более подробное объяснение проверьте эту ссылку1 для справки.
Также я бы не стал отрицать, что на вашем экземпляре установлено какое-то вредоносное ПО, которое может вызывать чрезмерный исходящий трафик. К сожалению, это наиболее распространенная ситуация, которая приводит к огромному увеличению затрат для затронутых клиентов из-за исходящего трафика. Если вы думаете, что это могло быть так, следуйте следующим рекомендациям: - Используйте правила брандмауэра, чтобы запретить все исходящие соединения. - Затем выясните, как это было взломано, и проанализируйте поведение. - Наконец, примите некоторые меры: удалите вредоносное программное обеспечение или переустановите виртуальную машину, если это необходимо, убедитесь, что ваша система обновлена, а также улучшите ее безопасность. Вот более подробное руководство 2, о том, как действовать в подобных случаях.
Кроме того, это руководство3 может помочь вам повысить безопасность вашей среды GCP.
