सवाल मैं अमेज़ॅन ईसी 2 पर डीडीओएस हमले को कैसे रोक सकता हूं?


मेरे द्वारा उपयोग किए जाने वाले सर्वरों में से एक अमेज़ॅन ईसी 2 क्लाउड पर होस्ट किया गया है। हर कुछ महीनों में हमारे पास इस सेवर पर डीडीओएस हमला होता है। यह सर्वर को अविश्वसनीय रूप से धीमा कर देता है। लगभग 30 मिनट के बाद, और कभी-कभी रीबूट बाद में, सबकुछ सामान्य हो जाता है।

अमेज़ॅन में सुरक्षा समूह और फ़ायरवॉल है, लेकिन हमले को कम करने या रोकने के लिए ईसी 2 सर्वर पर मुझे और क्या होना चाहिए?

इसी तरह के प्रश्नों से मैंने सीखा है:

  • आईपी ​​टेबल (या शायद यूएफडब्ल्यू) जैसे किसी विशेष आईपी पते से अनुरोध / मिनट (या सेकेंड) की दर सीमित करें?
  • ऐसे हमले से बचने के लिए पर्याप्त संसाधन हैं - या -
  • संभवतः वेब एप्लिकेशन का निर्माण करें ताकि यह लोचदार हो / लोचदार लोड बैलेंसर हो और इतनी उच्च मांग को पूरा करने के लिए तेज़ी से बढ़ाया जा सके)
  • यदि mySql का उपयोग करते हैं, तो MySQL कनेक्शन सेट अप करें ताकि वे अनुक्रमिक रूप से चल सकें ताकि धीमे प्रश्न सिस्टम को दबाएंगे

मैं और क्या भुल रहा हूं? मुझे विशिष्ट टूल और कॉन्फ़िगरेशन विकल्पों (फिर से, यहां लिनक्स का उपयोग करके), और / या अमेज़ॅन ईसी 2 के लिए विशिष्ट कुछ भी जानकारी चाहिए।

ps: डीडीओएस के लिए निगरानी के बारे में नोट्स का भी स्वागत किया जाएगा - शायद नागोस के साथ? ;)


46
2017-12-13 01:08


मूल


इसे रोकना लगभग असंभव है लेकिन आप निश्चित रूप से अपनी भेद्यता को कम कर सकते हैं। - Belmin Fernandez
सच सच। और मैं उन उत्तरों से खुश हूं जो भेद्यता कम करने पर चर्चा करते हैं :) - cwd
यह जानने के लिए कि इसे कैसे रोकें, किसी को हमले की प्रकृति के बारे में और जानना होगा। क्या यह एक syn-flood था? क्या कोई ऐसा वेब पेज था जो महंगा था जिसे मारा जा रहा था? क्या यह कुछ और सेवा थी? - stew
मुझे लगता है कि यह एक वेबपेज था लेकिन मुझे यकीन नहीं है। मैं इन पर निगरानी और जांच करने के सुझावों का भी स्वागत करता हूं। कुछ एक्सेस लॉग पहले ही हटा दिए जा चुके हैं - मुझे और क्या देखना चाहिए? - cwd
और वास्तव में, यदि कोई रीबूट समस्या को हल करता है, तो मुझे नहीं पता कि यह क्या हो सकता है, सिवाय इसके कि आपके सर्वर के पास संसाधन संसाधन रिसाव है। एक रिबूट निश्चित रूप से डीडीओएस को अपने आप नहीं रोक सकता है। आप कैसे जानते हैं कि यह एक डीडीओएस है? - stew


जवाब:


एक डीडीओएस (या यहां तक ​​कि एक डॉस), इसके सार में, एक संसाधन थकावट है। आप कभी भी बाधाओं को खत्म करने में सक्षम नहीं होंगे, क्योंकि आप उन्हें केवल दूर दूर धक्का दे सकते हैं।

एडब्ल्यूएस पर, आप भाग्यशाली हैं क्योंकि नेटवर्क घटक बहुत मजबूत है - यह जानना बहुत आश्चर्यजनक होगा कि अपस्ट्रीम लिंक संतृप्त था। हालांकि, सीपीयू, साथ ही डिस्क I / O, बाढ़ के लिए रास्ता आसान है।

कार्रवाई का सबसे अच्छा तरीका कुछ निगरानी शुरू कर देगा (एसएआर जैसे स्थानीय, नागोस और / या स्काउट ऐप के साथ रिमोट) और कुछ दूरस्थ लॉगिंग सुविधाएं (Syslog-ng)। इस तरह के सेटअप के साथ, आप यह पहचानने में सक्षम होंगे कि कौन से संसाधन संतृप्त हो जाते हैं (सिन बाढ़ के कारण नेटवर्क सॉकेट; खराब एसक्यूएल प्रश्नों या क्रॉलर के कारण सीपीयू; राम के कारण ...)। ईबीएस वॉल्यूम्स (बाद में लॉग का अध्ययन करने के लिए) पर अपना लॉग विभाजन (यदि आपके पास रिमोट लॉगिंग सक्षम नहीं है) को भूलना न भूलें।

यदि हमले वेब पृष्ठों के माध्यम से आते हैं, तो एक्सेस लॉग (या समतुल्य) बहुत उपयोगी हो सकता है।


36
2017-12-13 02:20



आप "लोड-आधारित" खंड को देखना चाह सकते हैं serverfault.com/a/531942/87017 - Pacerier


आप अपने ईसी 2 उदाहरणों को एक लोचदार लोड बैलेंसर के पीछे रखकर और ईएलबी इंस्टेंस से केवल ट्रैफिक स्वीकार कर भी अलग कर सकते हैं। यह डीडीओएस हमलों का प्रबंधन करने के लिए अमेज़ॅन पर अधिक ध्यान देता है।

मुझे लगता है कि आपके पास अभी भी एसएसएच सभी के लिए खुला होगा, इसलिए संभवतः आप वहां कुछ नकली यातायात आ रहे हैं, जब तक कि आप उस बंदरगाह को कुछ स्थैतिक आईपी तक बंद नहीं कर सकते। डीडीओएस हिट को कम करने के लिए आप एसएसएचडी बंदरगाह को और अधिक अस्पष्ट (यानी, 22 से अधिक कुछ) में बदल सकते हैं (अधिकांश बॉट केवल ज्ञात बंदरगाहों की जांच करते हैं)।

मैं fail2ban का भी उल्लेख करूंगा, जो लॉग की निगरानी कर सकता है और विशिष्ट आईपी को अवरुद्ध करने के लिए अस्थायी रूप से आपके आईपी टेबल को संशोधित कर सकता है (उदाहरण के लिए, यदि आपके होस्ट में एक ही आईपी पते से एसएसएच को 6 विफल प्रयास हुए हैं, तो यह 30 के लिए उस आईपी को अवरुद्ध कर सकता है मिनट या तो)। ध्यान रखें कि (जैसा कि जॉर्डन ने पूरी तरह से टिप्पणी की थी) fail2ban संभवतः प्रॉक्सी किए गए यातायात को अवरुद्ध करने के लिए उपयुक्त नहीं है (उदाहरण के लिए, एक ईएलबी से) क्योंकि यह प्रॉक्सी के आईपी को अवरुद्ध करेगा, जरूरी नहीं कि मूल रिमोट आईपी।

मैंने इसका उपयोग नहीं किया है, लेकिन अपाचे mod_evasive भी जांच के लायक हो सकता है; हालांकि, आईपी-आधारित अवरोधन की बात आती है तो असफल होने के कारण यह समान कमजोरी हो सकती है।


24
2017-12-13 19:52



+1 धन्यवाद। असल में मैंने एसएसएच बंद कर दिया था;) - cwd
ध्यान दें कि यदि आप ईएलबी के पीछे हैं, तो fail2ban काम नहीं करेगा - क्योंकि यह आमतौर पर आईपीटीबल्स में आईपी को अवरुद्ध करके काम करता है। लेकिन आईपी हमेशा आपके ईएलबी का होगा। मुझे एहसास हुआ कि मेरे सेटअप में fail2ban जोड़ने की कोशिश करने के बाद। यह काम नहीं करता है अगर उपयोगकर्ता केवल ईएलबी के माध्यम से उपयोग कर रहा है। - Jordan Reiter


यदि आप अपाचे का उपयोग कर रहे हैं, तो मैं इसका उपयोग करने का सुझाव देता हूं mod_security। अधिकांश विक्रेताओं द्वारा पैक किया गया, मूल नियम सेट एक शानदार काम करता है।

एक और सख्त कदम वेबसर्वर स्तर पर अनुरोधों को सीमित कर रहा है। nginx।, अमरीका की एक मूल जनजाति इनकमिंग अनुरोधों को थ्रॉटल और सीमित कर सकते हैं।


5
2018-03-07 19:57



भयानक - वे शानदार विकल्प की तरह दिखते हैं धन्यवाद! - cwd


समाधान जो मैं रीयलटाइम खराब गतिविधि को अवरुद्ध करने के लिए उपयोग करता हूं आईपी और एडब्ल्यूएस से बाहर आ रहा है यह है ... एलएफडी ब्लॉकलिस्ट के लिए कॉन्फ़िगर में मेरे सीएसएफ फ़ायरवॉल में मैं यहां मिली एक सूची का उपयोग करता हूं - http://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addresses_Live_Database_Real-time

सीएसएफ फ़ायरवॉल के लिए ब्लैकलिस्ट डाउनलोड करें » http://myip.ms/files/blacklist/csf/latest_blacklist.txt

कोई और अपमानजनक रूप से अप्रिय एडब्ल्यूएस यातायात नहीं।


2
2017-08-14 06:05



यह सवाल का जवाब नहीं देता है। - kasperd


मैं पूर्वाग्रहित हूं, क्योंकि मैं एक सुरक्षा प्रस्तुति इंजीनियर के रूप में एक सामग्री वितरण नेटवर्क के लिए काम करता हूं।

हालांकि, एक सामग्री वितरण नेटवर्क पर एक डीडीओ शमन समाधान का लाभ उठाने से यह सुनिश्चित होता है कि आप मूल रूप से संसाधनों से बाहर नहीं निकलते हैं। यह आपकी साइट के सामने एक एफ 5 लोड बैलेंसर डालने जैसा है, लेकिन दुनिया भर के हजारों स्थानों पर फैल गया है।

एक अच्छा सीडीएन आपको मूल श्वेतसूची के साथ उत्पत्ति को छिपाने की अनुमति देगा जिसे आप फायरवॉल पर इंस्टॉल करते हैं। इसलिए जब हमलावर अमेज़ॅन पर अपना पुनर्जागरण करते हैं, तो आपका आईपी पता खाली हो जाएगा क्योंकि सबकुछ अवरुद्ध हो जाएगा।

इसलिए ट्रैफिक अवरुद्ध हो जाता है जब यातायात हमले के लिए जितना संभव हो सके नोड को हिट करता है। यह सुनिश्चित करता है कि आप जिस संपत्ति को बचाने की कोशिश कर रहे हैं उससे दूर तक डीडीओएस हमलों को कम करें।

एक अच्छा सीडीएन अन्य स्थानों पर स्वास्थ्य जांच और विफलता यातायात भी कर सकता है जैसे गधे, अज़ूर, रैक स्पेस, मुलायम परत, एक भौतिक डीसी आदि पर एक और अहंकार। यह सुनिश्चित करने के लिए एक डब्ल्यूएएफ भी होना चाहिए कि आप एप्लिकेशन लेयर थकावट हमलों को अवरुद्ध कर सकते हैं जैसे रूडी, स्लोपोस्ट, स्लोरोरिस के साथ-साथ स्क्ली, एक्सएसएस, आरएफआई, एलएफआई इत्यादि।

डिफ़ॉल्ट रूप से सीडीएन भी टायर्रोप, आईसीएमपी हमलों, synfloods आदि जैसे नेटवर्क परत हमलों को अवरुद्ध करता है। एक सीडीएन डीडीओएस हमलों को कम करने में सक्षम है क्योंकि ट्रे में अनुरोध स्वीकार करने, खराब ट्रैफिक को फ़िल्टर करने और अच्छे ट्रैफिक को पार करने की क्षमता बहुत अधिक है। इसलिए एनटीपी, डीएनएस, एसएसडीपी, चार्जन और स्नैम्प वॉल्यूमेट्रिक हमलों जैसे हमलों को बढ़ाया जा सकता है।

जुलाई 2014 में अब तक का सबसे बड़ा हमला 321 जीबीपीएस रहा है। इस हमले के दौरान 20 जीबीपीएस पर एक डीएनएस प्रोटोकॉल हमला भी था। तो आपको यह सुनिश्चित करने की आवश्यकता होगी कि आप बड़ी संख्या में अनुरोधों का सामना करने के लिए DNS आधारभूत संरचना भी लचीला है।

आपके द्वारा प्रदान किए गए विवरण से, ऐसा लगता है कि आप थकाऊ हमले के अधीन थे, जहां थ्रो अटैकर ने बहुत सारे थ्रेड खोले थे जैसे कि सभी थ्रेड वेब सर्वर, ऐप सर्वर या फ़ायरवॉल पर खपत किए गए थे। यह धीमी गति, धीमी गति या रूडी जैसे कुछ जैसा है।

एप्लिकेशन लेयर थकावट हमलों के खिलाफ ब्लॉक करने के लिए आपको एक वेब एप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ) प्राप्त करने की आवश्यकता होगी। एक ठेठ नेटवर्क फ़ायरवॉल (अमेज़ॅन फ़ायरवॉल और अगली पीढ़ी के फ़ायरवॉल समेत) इसे अवरुद्ध करने में सक्षम नहीं होंगे। इन दिनों प्रेषित कार्य फायरवॉल इन दिनों सभी हमलों के लगभग 30% को अवरुद्ध कर सकते हैं (नवंबर 2014)।


2
2017-11-12 12:12





यहां एक उपकरण है जिसे मैंने अपाचे, ईएलबी और एसीएल के साथ fail2Ban पर उपयोग करने वाले लोगों के लिए बनाया है: https://github.com/anthonymartin/aws-acl-fail2ban

यह डीओएस हमलों और ec2 उदाहरणों के दुरुपयोग को रोकने और रोकने के लिए उपयोगी है।


1
2017-09-19 16:20





कॉन्फ़िगर सर्वर फ़ायरवॉल सबसे अच्छा है जिसे मैंने ईसी 2 में सॉफ्टवेयर आधारित वीएम में डीडीओएस शमन के लिए देखा है। यदि आप syslog सुविधा को गठबंधन करते हैं तो यह एक लोड संतुलित वातावरण के खिलाफ सुरक्षा कर सकता है।

http://configserver.com/cp/csf.html


0
2017-10-10 16:27



सर्वर फॉल्ट में आपका स्वागत है! जबकि यह सैद्धांतिक रूप से सवाल का जवाब दे सकता है, यह बेहतर होगा यहां उत्तर के आवश्यक हिस्सों को शामिल करने के लिए, और संदर्भ के लिए लिंक प्रदान करें। - Scott Pack