Re: За: DOS - Denial of Service - Атака
Re: За: DOS - Denial of Service - Атака
Някои ентусиасти се мъчат да блокират хилядите адреси, от които идват атаките, но е къртовска работа със съмнителна полза. Най-добре е просто да се изчака да премине и толкова. Ако сайтът е предназначен за хора от определена държава може да се филтрират всички останали страни, но и това носи колкото ползи, толкова и негативи. Трябва да се внимава да не се отреже някой важен бот на търсачки.
Как точно се прилага тази логика , "Да се изчака и ще се оправи" интересно ми е хостинг компаниите и те ли мислят така ? Нека нашите 1000-2000 клиента да страдат понеже няма никакъв достъп до сървъра и услугите който им предлагаме ?
Нивата на DDoS са прекалено много и различни, в последствие с годините начините по който може да се приложи станаха безброй :
* Атака с силно консумиране на трафик , което предизвиква запушване на каналите на доставчика Ви
* Атака предизвикваща стартиране на прекалено много процеси от страна на определено софтуерно приложение пример - Apache ( стартират се между 30-80 процеса един след друг консумирайки всички възможни ресурси )
* Атака с ниско консумиране на трафик която просто предизвиква стартиране на повече процеси , сякаш са реални посетители и просто безкрайно сконсумират ресурс на определена услуга като по този начин изключват възможността да се използва от друг човек същата тази услуга.
Не мога да кажа че при която и да е от тези атаки просто бих седял и я чакал да свърши след като си има достатъчно модули и начин за предотвратяване.
Като за начало може да се започне с една проста защитна стена
1)
APF
2)
CSF
3)
Чист iptables
Като в последствие е добре да се замислите да свържете тази защитна стена с софтуерно приложение което да следи колко грешни пароли се вписват и да блокира за определен период от време , има много такива възможности както лесни за интегриране с CSF така и с APF или чист iptables .
Mod_Security няма никакво място в тази тема , тъй като той използва правилата си за уеб базирани атаки върху съдържание или чрез съдържание което е НА сървъра Ви а не външни атаки.
Както "
Wessly" спомена има достатъчно модули зa Apache който помагат за лимитирането на връзката и типа трафик който идва към сървъра :
* libapache2-mod-evasive, libapache2-mod_ipconnlimit , mod_qos
Също така има си и специфицирана техника, хардуерни защити cisco рутери който могат да се сложат пред сървъра за по-голям контрол и сигурност.
След написаното мога спокойно да кажа, че никога не съм чакал да свърши когато съм имал подобни ситуации защото винаги може да се направи нещо и винаги има правилен и неправилен подход към ситуацията, след като не защитено или настроено нещо няма как да работи добре под напрежение на услугите.
ЕДИТ:: Дори и да не можеш този път да е предотвратиш, просто разбери каква е и после прочети как можеш да подсигуриш услугата която е атакувана.