サイトフォームDoS攻撃を保護するための最良の方法は何ですか?どのような人気サイト/サービスがこの問題をどのように扱っているのか?DoS攻撃からWebサイトを保護する方法
アプリケーション、オペレーティングシステム、ネットワーク、ホスティングレベルのツール/サービスとは何ですか?
実際の経験を共有できる人がいればいいと思います。私はまだこの問題に対処しなければならなかったことがありませんが、一般的な方法は、短時間でリクエストを大量に作っているIPアドレスを追跡するために、小さなコードを書く必要
おかげ
もちろん、注射はしないでください。接続ポートを縛り、アプリケーションレイヤー(Webプログラミング)よりも物理レイヤーでブロックする方法が増えているので、Webプログラミングの最後にはできません。
多くの企業が負荷分散とサーバーファームを使用して帯域幅を差し替えるのは、多くの企業がIPトラフィックやIP範囲を監視していることです。あまりにも多くの問い合わせが来ています(もしそうなら、サーバーに当たる前にブロックを実行します)。
私が考えることができる最大の意図的なDoSは、woot.comの間にはwoot-offです。私はウィキペディア(http://en.wikipedia.org/wiki/Denial-of-service_attack#Prevention_and_response)を試し、予防方法について彼らが何を言わなければならないかを見ることを提案する。
実際に処理する前にそれらを否定します。
多くのホスティングサービスはホスティングと一緒にこの機能を提供しています。
私はこれをアプリケーション層で一度実装しました。サーバーファームに配信されたすべての要求は、ファーム内の各マシンが要求情報を送信できるサービスを通じて記録されました。その後、IPアドレスによって集約されたこれらの要求を処理し、時間間隔ごとに特定の数の要求のしきい値を超えるIPアドレスを自動的にフラグを立てました。フラグが立てられたIPからのリクエストには標準のCaptchaの応答があり、失敗した場合は永久に禁止されます(プロキシの背後にあるDoSを取得すると危険です)。 「ゼロ化」された。
また、自動化されたサービスとして自分自身を明らかにする要求を拒否するために使用できる手法もあります。 User-Agentヘッダーは、これを示すことがよくあります。この投稿をチェックアウトすると、良い情報がたくさんあります。 http://success.grownupgeek.com/index.php/2009/08/22/how-block-proxies/ –
これは古いものですが、これを行うと思われる人はfail2banを見たいかもしれません。アプリケーションにこれを構築することに反対し、私はそれが最も可能性が高い、より良い、そのように取り組んでいる問題の一種だと思うように、解答のserverfaultのソートのより多くのです
http://go2linux.garron.me/linux/2011/05/fail2ban-protect-web-server-http-dos-attack-1084.html
。ブロックしたいロジックが複雑な場合は、ポリシーを有効にするのではなく、禁止ポリシーアクションの基になる十分な情報をログに記録することを検討してください。
あなたが使用しているWebサーバによっては、slow loris攻撃のようなものに脆弱である可能性があり、Webアプリケーションレベルでは何もできないことを考慮してください。
攻撃者がIPアドレスを偽装すると、この技術はあまり役に立たないでしょう...私はちょうどIPのなりすましについては聞いたことがありますが、実用的な方法はわかりません – Mahes
あなたの攻撃者が悪意のあるパケットをそのようなパケットルーティング情報のレベルが低い場合は、攻撃者が速度を節約するためにいくつかの詳細をスキップすることが多いため、不正なTCPパケットまたはHTTP要求をチェックすることしか考えられません。もちろん、これは巨大な痛みです。その有用性は、DDoS攻撃をどのくらい恐れているかによって決まります。 – Actorclavilis