Quais são as melhores técnicas para impedir ataques de negação de serviço?

Atualmente, tenho usado o (D) DoS-Deflate para gerenciar essas situações em vários servidores remotos, juntamente com o Apache JMeter para teste de carga.

No geral, tem funcionado muito bem, embora eu gostaria de ouvir algumas sugestões de gurus que trabalham com esse tipo de circunstância há mais tempo do que eu. Tenho certeza de que aqueles que trabalham no negócio de hospedagem na web tiveram uma parcela justa de lidar com essas situações. Então, estou me perguntando quais são as melhores práticas para abordar esse tipo de problema em um ambiente corporativo.

Prevenir um DDoS é principalmente sobre não ser um alvo. Não hospede servidores de jogos, sites de apostas / pornografia e outras coisas que tendem a irritar as pessoas.

A atenuação de um ataque DDoS ocorre de duas formas:

• ser capaz de ignorar o tráfego e liberar excesso de carga, o que é útil quando você está sob um ataque que tenta derrubá-lo sobrecarregando suas máquinas (e também é útil se você receber "Slashdotted";
• poder rejeitar o tráfego de rede abusivo a montante de você, para que não obstrua seus links e retire sua conectividade.

O primeiro é um pouco dependente do que exatamente você está servindo, mas geralmente se resume a uma combinação de armazenamento em cache, manipulação de estouro (detectando quando os servidores estão "cheios" e redirecionando novas conexões para uma página de "desculpas" de baixo uso de recursos) , e degradação normal do processamento de solicitações (por exemplo, não fazer renderização dinâmica de imagens).

O último requer boas comunicações com os upstreams - tenha o número de telefone dos NOCs dos upstreams tatuados na parte interna das pálpebras (ou pelo menos em um wiki em algum lugar que não esteja hospedado no mesmo local que os servidores de produção). ..) e conhecer as pessoas que trabalham lá, então, quando você ligar, receberá atenção imediata como alguém que realmente sabe do que está falando, em vez de apenas ser um babaca aleatório.

Você não menciona que tipo de segurança de perímetro você possui. Com os firewalls da Cisco, você pode limitar o número de embriões (meias sessões) que o firewall permitirá antes de cortá-los, enquanto ainda permite a execução de sessões completas. Por padrão, é ilimitado, o que não oferece proteção.

Os balanceadores de carga assistidos por hardware, como o Foundry ServerIron e o Cisco ACEs, são ótimos para lidar com um grande número de tipos principais de ataques DOS / DDOS, mas não são tão flexíveis quanto as soluções de software que podem 'aprender' mais rapidamente as técnicas mais recentes.

Uma boa fonte de informações está neste site . Uma medida que eles mencionam apenas de passagem (e que vale a pena pesquisar mais) é ativar os cookies SYN. Isso evita que uma classe inteira de ataques DoS impeça que um invasor abra um grande número de conexões 'semi-abertas' na tentativa de atingir o número máximo de descritores de arquivo permitidos por processo. (Veja a página de manual do bash, procure o 'ulimit' embutido com a opção '-n')

Isenção de responsabilidade: eu não sou um guru de proteção de DDoS.

Acho que depende do orçamento que você tem para isso, quais são seus termos de condições de tempo de atividade e como você ou seus clientes estão expostos a esse tipo de risco.

A proteção DDoS baseada em proxy pode ser uma opção. Na maioria dos casos, não é uma opção barata, mas acho que é a mais eficaz. Eu pediria ao meu provedor de hospedagem uma solução. O RackSpace, por exemplo, fornece essa ferramenta de mitigação de várias camadas . Tenho certeza de que todos os hosters grandes têm soluções semelhantes.