Назад | Перейти на главную страницу

Можно ли отличить «хорошие» HTTP-запросы от DoS-атак?

Как я мог узнать, что множество запросов за короткий промежуток времени исходит от DoS-атаки, а не от обычных запросов браузера?

Один из лучших индикаторов злонамеренной атаки - это огромное количество запросов на материалы, которые не являются вашим фактическим контентом. Помимо этого, лучшее, что вы можете сделать, - это искать закономерности.

Тысячи идентичных или похожих запросов из одного и того же источника в течение секунды вполне могут быть частью атаки DOS. Это также может быть вызвано неисправной программой, но, с вашей точки зрения, единственная разница заключается в намерении. Конечно, если это число составляет сотни тысяч или даже миллионы запросов, можно с уверенностью сказать, что вы действительно подверглись атаке. То же самое применимо, если эти запросы исходят из разных источников.

Вы не можете - по крайней мере, не всегда. Это полностью зависит от характера DDOS-атаки: если она обращается только к одной странице, это может быть мошенническая DDOS-атака или просто скопище слэшдотов (в случае слэшдота вы можете получить подсказку через рефереры)

Если несколько IP-адресов начинают появляться чаще и слишком быстро проскальзывают ваш сайт, это может быть плохо для вашего сайта или может потребоваться: если у вас есть интересный (и изменяющийся) контент, большие поисковые системы будут более агрессивно атаковать вас. . Это может быть не слишком распространено, но, тем не менее, может, по крайней мере, привести к DOS, если будет слишком агрессивным.

В конце концов: разве слэшдот не является разновидностью DDOS? Это руководство, но очень распространено и может привести к DOS.

Вы не получите подсказок в реферере, если вас называют в популярном потоковом подкасте, где все узнают о вашем сайте одновременно (на ум приходит twit.tv - они часто закрывают сайты, упоминая их). Поскольку каждый вводит URL-адрес вручную в свой браузер, нет никаких подсказок, откуда они пришли.

Последний вопрос: когда вы определите, что они собой представляют: что бы вы с ними сделали? Ваша сеть может быть уже насыщена, поэтому необходимо добавить защиту от DDOS за пределами вашей сети - или вы ищете алгоритм для размещения там?