Назад | Перейти на главную страницу

Блокировать все коммуникации из списка IP-адресов

Есть ли какой-либо брандмауэр (предпочтительно бесплатный :)), который может блокировать всю связь со всеми IP-адресами, кроме некоторых IP-адресов, исходящих из определенного места ...

Я в основном хочу заблокировать DDOS-атаку на своих серверах, ее атакуют некоторые IP-адреса за пределами моей страны

РЕДАКТИРОВАТЬ: Я использую 1 оконную машину и 1 Linux-машину

РЕДАКТИРОВАТЬ 2: Я слышал о какой-то организации, работающей в ИНДИИ, которая помогает нам в этом, поэтому я думаю, что это возможно. Они фильтруют только IP-адреса, поступающие только из региона Индии, и блокируют остальные.

Вы не упомянули свою операционную систему. Linux имеет netfilter / iptables, Net / Open / FreeBSD имеет pf, Windows Server 2008 R2 имеет Брандмауэр Windows в режиме повышенной безопасности который легко сможет фильтровать трафик на основе исходных IP-адресов. Там есть ничего который сможет (надежно) фильтровать по географическому положению.

Но в зависимости от типа DoS-атаки (здесь вы также можете опустить какие-либо подробности), блокировка трафика на уровне сетевого стека O / S вам не поможет. Если DoS насыщает вашу полосу пропускания, вам нужно будет поговорить со своим вышестоящим интернет-провайдером и попросить их о фильтрации.

Есть модули geoip как для iptables, так и для Apache, которые позволят вам занести в черный список целые страны. Сопоставления подсети не на 100% точны, но они «довольно хороши».

С учетом сказанного, если вы действительно получаете DoS'd (например, когда ваша ссылка становится насыщенной), брандмауэра будет недостаточно; вашим серверам все равно придется пережевывать эти пакеты, чтобы выяснить, следует ли их блокировать. Вам нужно будет заставить свой восходящий поток обнулить либо ваши серверы, либо злоумышленников - и если он сильно распределен, что ж, на самом деле это просто вопрос того, насколько отзывчивым и слаженным будет ваш провайдер.

Этот вопрос об ошибке сервера содержит несколько хороших общих советов по предотвращению DDoS-атак - вы можете попробовать множество вещей, но, как уже упоминалось, для значительных DDoS-атак требуется помощь вашего интернет-провайдера.

Было бы полезно узнать, какой веб-сервер вы используете в Windows и Linux - предположительно, IIS и Apache.

Несколько вариантов в порядке убывания полезности:

  • Используйте брандмауэр ядра Linux (iptables) для блокировки - подход xtables-addons прост, но ipset может обрабатывать большее количество диапазонов IP-адресов. Аналогичная установка в Windows. Было бы лучше использовать отдельный физический брандмауэр, тогда он мог бы работать как с Linux, так и с Windows, сокращая настройку и разгружая серверы.
  • Используйте mod_security на Apache - потенциально это может работать в Windows и Linux, если вы используете Apache на обоих. Поскольку использование GeoIP включает в себя довольно много настроек, чтобы поддерживать блоки GeoIP в актуальном состоянии, это может сократить общее обслуживание после настройки.
  • Использовать DNS-сервер для блокировки по GeoIP - Хорошо для случайного DoS, использующего ваше доменное имя. Однако это бесполезно против тех, кто просто использует ваш IP-адрес для DOS.

Видеть этот вопрос о блокировке GeoIP а также и теги (также добавлены к вашему вопросу.)

Служба защиты от DDoS-атак (также известная как услуга "чистые трубы") может быть лучшим вариантом для серьезных DDoS-атак: они обрабатывают ваш трафик и фильтруют DDoS-атаки, оставляя вам только действительный трафик сайта, в зависимости от того, насколько хорошо они фильтруются. У них огромные каналы, и они сосредоточены на этой проблеме, поэтому, вероятно, они будут работать лучше, чем собственное решение, и многое зависит от наличия достаточно большого канала для поглощения DDoS, чтобы их оборудование / программное обеспечение могло его фильтровать. BlockDOS.net это услуга по разумной цене, Prolexic и Verisign более топовые и намного более дорогие.

Если это слишком дорого, может помочь повторный хостинг на Amazon EC2, который может направлять весь трафик через конкретный экземпляр EC2 (например, VPS) - есть конкретный AMI (образ VPS) это предназначено для внешнего интерфейса ваших веб-серверов, которые будут находиться на отдельных экземплярах EC2. Amazon EC2 также позволяет запускать новые серверы для обработки возросшей нагрузки. С вас все равно может взиматься плата за трафик DDoS (возможно, больше, чем за услугу смягчения) и вы будете платить за дополнительные серверы, поэтому это требует некоторого расследования. У других поставщиков облачных VPS могут быть более эффективные политики DDOS или собственные услуги по предотвращению DDoS-атак.

Крупномасштабная устойчивая DDOS-атака обычно связана с атакой на ваши серверы имен. Это предотвращает доступ широкой публики к вашему сайту через доменное имя. Поскольку DDOS-атака может остановить Yahoo более чем на 24 часа. Вы не сможете предотвратить DDOS-атаку, просто заблокировав список IP-адресов в программном / аппаратном брандмауэре.

Возможно, вы захотите изучить некоторые службы очистки DDos. По сути, эти службы возьмут на себя весь трафик, который вы получаете, вычистят «плохих парней» и отправят вам чистые данные. Имейте в виду, что в зависимости от размера атаки это может оказаться довольно дорогим. Брандмауэр на вашем сервере не сильно поможет, потому что он уже достался вам. Вам нужно убрать трафик подальше от вас, и это может стать сложным.

Некоторые производители: