Назад | Перейти на главную страницу

Ec2 Denial of Service: защита облачного веб-сайта от DOS-атак

Как я могу подготовить инфраструктуру своего веб-сайта, работающую на инстансе EC2, против DOS-атак? Я запускаю apache с nginx в качестве обратного прокси

Вы не можете предотвратить атаки DOS, вы можете только смягчить их.

  • Держите небольшую поверхность атаки. Отключите службы, которые вы не используете, заблокируйте доступ к портам, к которым нужно получить доступ только из определенных мест, убедитесь, что ваши демоны имеют разумные значения по умолчанию в отношении того, сколько потоков они запускают и как себя вести при нехватке системных ресурсов.
  • Следите за трафиком. Знайте, когда начинается атака, потому что вы получили уведомление о скачке трафика или загрузки ресурсов. Обратите внимание, когда ваши демоны ssh или другие защищенные порты сканируются. Обратите внимание на повторяющиеся шаблоны запросов. Будьте в состоянии и будьте готовы проанализировать их подробно, когда что-то идет наперекосяк, но всегда держите руку на пульсе.
  • Уклоняйтесь или блокируйте какой бы трафик ни создавал атаку, как можно скорее. Найдите способ отследить атаку и подавить эти типы запросов. Расставьте приоритеты в услугах, откажитесь от услуг с низким приоритетом, если нужно. Сядьте на корточки и обслуживайте все, от CDN до тех пор, пока берег не станет чистым.

Во-первых, нужно различать между Атака «отказ в обслуживании (DoS)» и «распределенный отказ в обслуживании (DDoS)» атаки.

Поскольку ваш вопрос касается DoS, вы обычно защищаете от DoS-атак:

  • Обновление вашей операционной системы, веб-серверов, почтовых серверов и т. Д. Во избежание каких-либо хорошо известных удаленных DoS-атак на базовые ОС и службы.

  • Выполнение аудита безопасности вашего собственного кода веб-приложения и наличие безопасных методов разработки для вашего собственного кода веб-приложения. Вы хотите быть уверены, что на ваш собственный код веб-приложения не будет никаких удаленных атак / удаленного истощения ресурсов / переполнения буфера и т. Д.

  • Как упоминает Калеб, имейте небольшую "поверхность атаки". Иметь как можно меньше сервисов, отвечающих на интернет-трафик. Установите брандмауэр с правилом запретить все по умолчанию и открывать только необходимые порты (Amazon EC2's "Группы безопасности" могут это сделать для тебя).

Есть почти неограниченное количество вещей, которые вы жестяная банка do для повышения безопасности от DoS-атак. Настоящая уловка состоит в том, чтобы сделать здравое суждение о том, что вы должен делать. Приведенный выше список является разумной отправной точкой, но вы можете узнать гораздо больше по этой теме, если хотите. Security.stackexchange.com неплохое место для начала.

Я подумывал об использовании CloudFlare для этого. Весь трафик проходит через них, они отслеживают вредоносные запросы и блокируют их. Главный аргумент заключается в том, что, поскольку они занимаются отслеживанием плохого трафика из различных источников, они могут идентифицировать потенциальные угрозы до того, как вы сможете сделать это самостоятельно.

Это кажется очень рентабельной альтернативой настройке вашей собственной инфраструктуры, но я не уверен, что маршрутизация всего моего трафика через стороннюю организацию замедлит работу.

Вы, вероятно, не сможете полностью защититься от DDoS, и лучшим подходом было бы отсечь DDoS-атакующих как можно ближе к источнику. Я не знаю многих продуктов, которые это делают, но одна бесплатная описана в Эта статья.

Защита от DDoS / DoS-атак на стороннюю инфраструктуру, такую ​​как EC2, - безнадежное дело. Единственный экземпляр EC2 не сможет справиться с любой атакой.

Если вы серьезно относитесь к своему бизнесу, я бы посоветовал связаться с поставщиками, которые могут прокси-фильтровать ваш трафик до фактического назначения:

Например: http://www.gigenet.com/ddos-protection.html