it-swarm-vi.com

Những kỹ thuật nào mà tường lửa tiên tiến sử dụng để bảo vệ chống lại DoS / DDoS?

Thật khó để bảo vệ một máy chủ chống lại Tấn công từ chối dịch vụ , DoS/DDoS. Hai cách đơn giản mà tôi có thể nghĩ đến là sử dụng máy chủ có nhiều tài nguyên (ví dụ: CPU và bộ nhớ) và xây dựng ứng dụng máy chủ để mở rộng rất tốt. Các cơ chế bảo vệ khác có thể được sử dụng bởi tường lửa. Tôi có thể nghĩ về các địa chỉ IP danh sách đen, nhưng tôi không thực sự biết nó hoạt động như thế nào. Và có lẽ có các kỹ thuật khác được tường lửa sử dụng để bảo vệ chống lại các cuộc tấn công DDoS.

Những kỹ thuật nào mà tường lửa tiên tiến sử dụng để bảo vệ các cuộc tấn công DoS/DDoS đơn giản?

74
Jonas

Đó thực sự là hai cuộc tấn công khác nhau, mặc dù tương tự nhau.

DoS "thông thường" dựa trên việc thử sập máy chủ/tường lửa, thông qua một số loại lỗi hoặc lỗ hổng. Ví dụ. các cuộc tấn công nổi tiếng SYN Flood . Tất nhiên, việc bảo vệ chống lại những điều này, cụ thể là dành riêng cho lỗ hổng (ví dụ: cookie SYN) và mã hóa/thiết kế an toàn nói chung.

Tuy nhiên, DDoS chỉ đơn giản là cố gắng áp đảo máy chủ/tường lửa bằng cách làm ngập nó với hàng loạt yêu cầu rõ ràng hợp pháp.
[.__.] Thật ra, một tường lửa duy nhất không thể thực sự bảo vệ chống lại điều này, vì không có cách nào thực sự để đánh dấu các máy khách "xấu". Đó chỉ là một câu hỏi về "nỗ lực tốt nhất", chẳng hạn như điều tiết chính nó để nó không gặp sự cố, cân bằng tải và hệ thống chuyển đổi dự phòng, cố gắng để đưa vào danh sách đen IP (nếu không theo "tính xấu", sau đó theo cách sử dụng), và tất nhiên, chủ động thông báo cho các quản trị viên.
[.__.] Cái cuối cùng này có thể là quan trọng nhất, vì trong trường hợp DDoS rõ ràng (tôi nói rõ ràng, bởi vì chỉ cần sử dụng đỉnh thông thường có thể trông DDoS - câu chuyện có thật) thực sự cần một con người để phân biệt bối cảnh của tình huống và tìm hiểu xem có nên đóng cửa, nỗ lực tốt nhất, cung cấp một hộp khác, v.v. (hoặc sử dụng phản công ... ssshhh !!)

39
AviD

Kinh nghiệm của tôi về các cuộc tấn công DoS và DDoS dựa trên việc trở thành kỹ sư của Cisco cho một ISP và sau đó là Quản lý bảo mật cho một Toàn cầu rất lớn. Dựa trên kinh nghiệm này, tôi đã thấy rằng để đối phó hiệu quả với các cuộc tấn công quy mô lớn và phức tạp đòi hỏi phải có sự hợp tác tốt giữa tổ chức bị tấn công và đối tác giảm thiểu ISP hoặc DDoS của họ (Hiện tại có các công ty dành riêng cho việc này, về bản chất họ là một ISP lớn theo quyền riêng của họ nhưng sử dụng mạng toàn cầu của họ để đảm nhận lưu lượng truy cập bổ sung được tạo trong một cuộc tấn công).

Dưới đây là một số cân nhắc nếu bạn đối mặt với một cuộc tấn công nằm ngoài khả năng chịu băng thông của bạn (còn gọi là tiêu thụ băng thông) và bạn cần trợ giúp trong việc đáp ứng.

Trường hợp không có đối tác giảm thiểu tồn tại : Thiết lập mối quan hệ bền chặt với ISP của bạn. Xác định đúng đội và liên hệ mà bạn sẽ cần nếu có một cuộc tấn công.

Sử dụng tường lửa của bạn (hoặc thiết bị ghi nhật ký khác) để lấy bằng chứng về cuộc tấn công (IP nguồn, giao thức, độ dài gói, v.v.) vì thông tin này có thể cực kỳ có giá trị đối với ISP khi quyết định cách phản hồi. Thật không vui khi cố gắng bẫy lưu lượng truy cập trên thiết bị định tuyến của Cisco từ dòng lệnh vào lúc ba giờ sáng! Vì vậy, bất kỳ trợ giúp được đánh giá cao. :-)

Với cách tiếp cận này, khả năng của bạn sẽ là lọc ra lưu lượng trong đám mây ISP. Nếu bạn đã có thể cung cấp đủ thông tin và lưu lượng là như vậy thì ISP cũng có thể lọc lưu lượng độc hại và để lưu lượng truy cập mạng hợp lệ miễn phí truy cập mạng của bạn. Tuy nhiên, nếu bạn đang gây ra sự cố về độ trễ cho ISP thì có khả năng họ sẽ lỗ đen toàn bộ tuyến đường của bạn tại cổng BGP của họ và bạn sẽ biến mất khỏi mạng. Các bộ lọc định tuyến bổ sung gây ra tải trên các cổng, vì vậy đừng hy vọng ISP của bạn sẽ thêm nhiều bộ lọc vì điều này có thể ảnh hưởng tốt đến những người dùng khác của họ.

Sử dụng đối tác giảm thiểu :

Tôi chỉ có thể nói từ kinh nghiệm của một nhà cung cấp cho việc này, vì vậy bạn sẽ cần làm bài tập về nhà để quyết định xem bạn có yêu cầu điều này không và nếu có thì ai sẽ là người cung cấp tốt nhất.

Dịch vụ này dựa trên quảng cáo lộ trình và giám sát tấn công của BGP. Khi một cuộc tấn công đã được xác định, đối tác giảm thiểu quảng cáo tuyến đường của bạn để đi qua mạng của họ, nơi các bộ định tuyến lõi được sử dụng để lọc lưu lượng độc hại trước khi chuyển đến tổ chức.

Vai trò của tôi trong tất cả những điều này là để kiểm tra việc thực hiện một cách tiếp cận hợp tác để giảm thiểu DDoS. Điều này liên quan đến việc sử dụng một nhóm các kỹ sư bảo mật toàn cầu để tạo ra lưu lượng đủ để thực hiện một thử nghiệm hợp lệ. Chúng tôi đã thử nghiệm cả khả năng xác định một cuộc tấn công và sau đó để phản ứng hiệu quả. Dựa trên điều này, chúng tôi đã rất ấn tượng với cách tiếp cận tổng thể của họ và giải pháp đã có hiệu quả.

40
David Stubley

Một loại bảo vệ chống DDOS không được thực hiện trực tiếp bởi tường lửa là phân phối nội dung của trang trên toàn thế giới theo cách tất cả các yêu cầu đến từ một quốc gia được thực hiện đối với máy chủ địa phương và các yêu cầu từ quốc gia khác , với cùng một URL hoặc tên miền, được thực hiện đối với các máy chủ cục bộ khác phân phối tải giữa các máy chủ cục bộ và không làm quá tải một máy chủ duy nhất. Một điểm khác của hệ thống này là các yêu cầu không đi quá xa.

Đây là công việc dành cho DNS và cơ sở hạ tầng được gọi là Mạng phân phối nội dung hoặc CDN.

Các công ty như CloudFlare cung cấp loại dịch vụ này.

8
kinunt

DDOS thường được thực hiện bằng cách gửi một lượng lớn các gói đến máy chủ, trong đó máy chủ sẽ cố gắng xử lý một cách tự nhiên. Khi tường lửa thông báo DDOS có thể, nó có thể được cấu hình để đưa vào danh sách đen bất kỳ ứng dụng khách nào có đủ cao PPS (Gói mỗi giây).

Bộ lọc có thể được bật và tắt bất cứ lúc nào, vì vậy nếu bạn gặp DDOS, bạn có thể bật bộ lọc với quy tắc rất nghiêm ngặt.

5
Chris Dale

Tôi muốn trả lời phần đầu tiên của câu hỏi đó là " sử dụng máy chủ có nhiều tài nguyên (ví dụ: CPU và bộ nhớ) để mở rộng ứng dụng ". Nên thực hiện mở rộng ứng dụng trước khi thực hiện mở rộng quy mô máy chủ. Hồ sơ ứng dụng có thể được chia thành các bước sau:

  1. Kiểm tra tải: Thực hiện kiểm tra căng thẳng trên ứng dụng của bạn thông qua các công cụ kiểm tra tải như pylot.
  2. Tối ưu hóa truy vấn: Nhiệm vụ thứ hai là tối ưu hóa truy vấn tức là truy vấn có thể hoạt động hiệu quả cho cơ sở dữ liệu nhỏ nhưng không thể mở rộng quy mô cho cơ sở dữ liệu lớn.
  3. Ứng dụng shending: triển khai hầu hết nội dung truy cập trên đĩa nhanh hơn.

Có rất nhiều thứ để thêm vào danh sách này và đọc tốt là "Cách mở rộng ứng dụng web"

2
Ali Ahmad