Apa teknik terbaik untuk mencegah penolakan serangan layanan?

Saat ini saya telah menggunakan (D) DoS-Deflate untuk mengelola situasi seperti itu di banyak server jarak jauh, bersama dengan Apache JMeter untuk pengujian beban.

Secara keseluruhan itu telah bekerja dengan cukup baik, meskipun saya ingin mendengar beberapa saran dari guru yang telah bekerja dengan keadaan seperti ini lebih lama daripada yang saya miliki. Saya yakin mereka yang bekerja di bisnis web hosting memiliki bagian yang adil dalam menghadapi situasi ini. Jadi saya bertanya-tanya apa praktik terbaik untuk mendekati masalah seperti ini di lingkungan perusahaan?

Mencegah DDoS sebagian besar tentang tidak menjadi target. Jangan meng-host server game, situs perjudian / porno, dan hal-hal lain yang cenderung membuat orang kesal.

Mengurangi serangan DDoS datang dalam dua bentuk:

• mampu mengabaikan lalu lintas dan menumpahkan muatan berlebih, yang berguna saat Anda sedang diserang yang mencoba menjatuhkan Anda dengan memuat mesin Anda secara berlebihan (dan juga berguna jika Anda pernah mendapatkan "Slashdotted";
• mampu menolak lalu lintas jaringan yang kasar di hulu Anda, sehingga tidak menyumbat tautan Anda dan mengambil konektivitas Anda.

Yang pertama agak tergantung pada apa yang sebenarnya Anda sajikan, tetapi biasanya datang ke beberapa kombinasi caching, penanganan overflow (mendeteksi ketika server "penuh" dan mengarahkan koneksi baru ke halaman "maaf" penggunaan sumber daya rendah) , dan penurunan pemrosesan permintaan yang anggun (jadi tidak melakukan rendering gambar yang dinamis, misalnya).

Yang terakhir membutuhkan komunikasi yang baik dengan upstreams Anda - minta nomor telepon NOC upstreams Anda ditato ke bagian dalam kelopak mata Anda (atau paling tidak di wiki di suatu tempat yang tidak dihosting di tempat yang sama dengan server produksi Anda. ...) dan kenali orang-orang yang bekerja di sana, jadi ketika Anda menelepon Anda akan segera mendapatkan perhatian sebagai seseorang yang benar-benar tahu apa yang mereka bicarakan daripada hanya menjadi johnny acak.

Anda tidak menyebutkan keamanan perimeter seperti apa yang Anda miliki. Dengan Cisco firewalls, Anda dapat membatasi jumlah embrio (setengah sesi) yang akan diizinkan firewall Anda sebelum diputus, sementara masih memungkinkan sesi penuh untuk dilalui. Secara default tidak terbatas, yang tidak menawarkan perlindungan.

Load-balancers berbantuan perangkat keras seperti Foundry ServerIron's dan ACE Cisco sangat bagus untuk menangani sejumlah besar jenis utama serangan DOS / DDOS tetapi tidak begitu fleksibel karena solusi perangkat lunak yang dapat 'mempelajari' teknik-teknik baru dengan lebih cepat.

Salah satu sumber informasi yang baik ada di situs ini . Satu ukuran yang hanya mereka sebutkan secara sepintas (dan yang perlu diteliti lebih lanjut) adalah mengaktifkan cookie SYN. Ini mencegah seluruh kelas serangan DoS dengan mencegah penyerang membuka sejumlah besar koneksi 'setengah terbuka' dalam upaya untuk mencapai jumlah maksimum deskriptor file yang diizinkan per proses. (Lihat halaman manual bash, cari built-in 'ulimit' dengan opsi '-n')

Penafian: Saya bukan guru proteksi DDoS.

Saya pikir itu tergantung pada anggaran yang Anda miliki untuk itu, apa persyaratan waktu aktif Anda dan bagaimana Anda atau pelanggan Anda terkena risiko semacam ini.

Perlindungan DDoS berbasis proxy bisa menjadi pilihan. Dalam kebanyakan kasus itu bukan pilihan yang murah, tapi saya pikir itu yang paling efektif. Saya akan meminta solusi penyedia hosting saya. RackSpace, misalnya, menyediakan alat mitigasi multi-tier ini . Saya yakin semua hosters besar memiliki solusi serupa.