Question:
Comment les principaux sites empêchent-ils DDoS?
Lakitu
2014-11-22 01:42:01 UTC
view on stackexchange narkive permalink

Autant que je sache, je n'ai jamais entendu parler ni vu de sites Web à grande échelle comme Amazon, Microsoft, Apple, Google ou Ebay souffrir de DDoS. Avez-vous?

J'ai une philosophie personnelle selon laquelle plus vous êtes gros, plus vous êtes une cible pour de telles attaques. Imaginez les points brownie que vous obtiendriez si vous pouviez faire tomber un site Web majeur.

Pourtant, ces sites sont toujours restés robustes et apparemment invincibles. Quelles mesures de sécurité ont-ils mises en œuvre et peuvent-elles être appliquées aux petites entreprises?

Moi aussi. Il y a 10 à 15 ans, un certain nombre de botmasters de Kidiot étaient capables de DDoS sur des sites majeurs hors du net. Un exemple: http://www.theregister.co.uk/2005/12/28/ebay_bots_ddos/
La principale protection DDoS de Google réside dans le fait qu'il dispose d'un système hautement distribué géographiquement avec plus de bande passante que quiconque, sauf un attaquant au niveau de l'état. Ce n'est pas quelque chose qu'une petite entreprise peut utiliser.
@Mark, qui doit être exploré. Il y a des avantages si vous exécutez des machines virtuelles et d'autres appliances sur leur réseau.
@NewWorld Eh bien google pour ça, ce n'est pas difficile à trouver. Un exemple est que PayPal (appartenant à Ebay) a été DDoSed par "Anonymous" il n'y a pas si longtemps.
Ou VISA il y a environ 2-3 ans.
Les serveurs Metal Gear Online 2 de Konami ont été fréquemment victimes de DDoS jusqu'à ce qu'ils décident d'arrêter les serveurs. Les DDoSers n'étaient que des enfants, remarquez.
[Ici] (http://money.cnn.com/2010/12/09/technology/amazon_wikileaks_attack/) un article que j'ai lu il y a quelque temps sur la façon dont Amazon a empêché Anonymous de lancer un DDoS contre eux
Blizzard a également souffert d'attaques DDoS contre World of Warcraft.
@Philipp So a Valve, contre les serveurs Dota. Ils ont récemment écrit un article de blog expliquant brièvement certaines des mesures qu'ils ont prises pour atténuer ces attaques: http://blog.dota2.com/2014/11/network-update/
Les serveurs de connexion Mojang (Minecraft) ont été DDoS plus que je ne peux compter - je me souviens des jours où j'ai joué à Minecraft, et à des intervalles aléatoires, normalement longs pendant les heures de pointe, personne ne pouvait se connecter à ** un ** serveur.
Cinq réponses:
theterribletrivium
2014-11-22 02:22:54 UTC
view on stackexchange narkive permalink

Ils ont généralement une approche très stratifiée. Voici quelques éléments que j'ai mis en œuvre ou vu mis en œuvre dans de grandes organisations. À votre question spécifique sur les petites entreprises, vous trouverez généralement un fournisseur tiers pour vous protéger. Selon votre cas d'utilisation, il peut s'agir d'un fournisseur de cloud, d'un CDN, d'une solution routée BGP ou d'une solution DNS.

Surabonnement de bande passante - Celui-ci est assez simple. À mesure que vous grandissez, vos coûts de bande passante diminuent. En général, les grandes entreprises louent une capacité beaucoup plus grande que ce dont elles ont besoin pour tenir compte de la croissance et des attaques DDoS. Si un attaquant est incapable de rassembler suffisamment de trafic pour le submerger, une attaque volumétrique est généralement inefficace.

Atténuation automatisée - De nombreux outils surveillent les données Netflow des routeurs et d'autres sources de données pour déterminer une base de référence pour le trafic. Si les modèles de trafic sortent de ces zones, les outils d'atténuation DDoS peuvent attirer le trafic vers eux à l'aide de BGP ou d'autres mécanismes et filtrer le bruit. Ils transmettent ensuite le trafic propre plus loin dans le réseau. Ces outils peuvent généralement détecter à la fois les attaques volumétriques et les attaques plus insidieuses telles que slowloris.

Blackholing en amont - Il existe des moyens de filtrer le trafic UDP en utilisant le blackholing de routeur. J'ai vu des situations dans lesquelles une entreprise n'a pas besoin de recevoir du trafic UDP (c'est-à-dire NTP et DNS) vers son infrastructure, de sorte que leurs fournisseurs de transit mettent tout ce trafic au noir. Les attaques volumétriques les plus importantes sont généralement des attaques par amplification NTP ou DNS.

Fournisseur tiers - Même de nombreuses organisations assez grandes craignent cette attaque monstre à 300 Gbps. Ils implémentent souvent un service de redirection DNS ou un service BGP pour les protéger au cas où ils subiraient une attaque soutenue. Je dirais que les fournisseurs de CDN relèvent également de ce parapluie, car ils peuvent aider une organisation à rester en ligne pendant une attaque.

Renforcement du système - Vous pouvez souvent configurer à la fois votre système d'exploitation et vos applications pour qu'ils soient plus résistants aux attaques DDoS de la couche application. Des choses telles que la garantie de suffisamment d'inodes sur votre serveur Linux pour configurer le bon nombre de threads de travail Apache peuvent aider à rendre plus difficile pour un attaquant de mettre hors service votre service.

Excellente liste. Je suggérerais que la limitation de débit soit ajoutée dans une section distincte, car elle peut se produire au niveau de la couche amont / matériel, tiers et système / application. En règle générale, les serveurs d'applications (ceux qui exécutent les règles de calcul et de gestion, et pas seulement les fichiers) peuvent refuser de manière fiable les demandes de tout, sauf une petite liste de clients pré-approuvés (via une liste blanche IP).
Une autre approche qui est souvent adoptée est le secret sur l'emplacement des points les plus faibles et sur la distance à laquelle une attaque a pu causer des problèmes réels. Par exemple, si vous utilisez un CDN, vous avez généralement un serveur derrière lui, et attaquer ce serveur directement serait plus efficace que d'attaquer le CDN, de sorte que l'adresse IP de ce serveur reste secrète. Si un attaquant tente une attaque DDoS et ne parvient pas à causer de problèmes visibles, il abandonnera probablement et utilisera le bot net pour autre chose.
Quelle est la probabilité qu'un attaquant revienne et réessaye? Si l'attaquant apprenait d'une manière ou d'une autre qu'il avait réussi à pousser le système à 90% d'utilisation, il augmenterait probablement son bot net et reviendrait avec une autre attaque. Mais s'il n'obtient pas cette information, il pourrait ne pas prendre la peine d'essayer à nouveau, car pour autant qu'il sache, il faudra peut-être un ordre de grandeur plus de trafic pour effectuer l'attaque.
Sam
2014-11-22 01:54:52 UTC
view on stackexchange narkive permalink

Bien qu'il n'y ait pas de véritables contre-mesures pour DDOS, il existe des moyens de le contrôler.
Premièrement, en utilisant un réseau de diffusion de contenu, en utilisant plusieurs centres de données à travers le monde pour diffuser du contenu à visiteurs de différentes zones géographiques. Cela aide à éliminer le point de défaillance unique et rend plus difficile l'épuisement des ressources ou la saturation des liens et l'équilibre de la charge d'attaque.
Une autre façon consiste à travailler en étroite collaboration avec les principaux backbones, les FAI et les organisations respectives pour bloquer au maximum les adresses IP des attaquants. réseau spécifique que possible pour empêcher leur trafic d'atteindre leurs cibles. J'espère que cela aide.

CDN est la solution la plus facilement accessible pour les petites entreprises.
@JosephNeathawk Je ne pense pas. Facebook et Microsoft utilisent déjà des CDN.
Je ne sais pas ce que vous entendez par votre commentaire. J'étais d'accord que CDN est un bon choix et qu'il est facilement accessible aux petites entreprises. (facilement disponible en raison de son prix bas ou gratuit) Le fait qu'une grande entreprise l'utilise ne change rien pour les petites entreprises qui peuvent toujours obtenir des versions moins chères.
@JosephNeathawk Désolé! Je me suis trompé :)
pr-
2014-11-22 02:31:48 UTC
view on stackexchange narkive permalink

En tant qu'entreprise de taille moyenne, nous utilisons un service d'atténuation DOS pour réduire le risque que notre site Web soit mis hors ligne. Notre site résout l'adresse IP du fournisseur. Le fournisseur transmet ensuite la demande à notre serveur Web. Notre serveur Web ne communique qu'avec le fournisseur.

Ils utilisent ensuite leurs outils pour déterminer si certaines attaques sont de véritables attaques en utilisant divers outils de surveillance et de corrélation. En cas d'attaque, le fournisseur ne transmet pas la demande à nos serveurs Web et absorbe l'attaque. Afin de pouvoir effectuer ce type d'atténuation, votre capacité doit dépasser celle de ce que l'attaquant tente de fournir. Avec les grandes entreprises qui s'attendent normalement à une plus grande capacité de bande passante, je m'attendrais à ce qu'elles sous-traitent à des FAI ou créent un système interne pour exécuter la même stratégie d'atténuation.

Par exemple. [Cloudflare] (https://www.cloudflare.com/).
Pim de Witte
2014-11-23 01:37:26 UTC
view on stackexchange narkive permalink

Mon entreprise a traité des attaques DDoS jusqu'à 180 Gbit / s et voici mes techniques que j'ai utilisées pour atténuer.

La taille d'un site Web en fait non seulement une cible plus importante, mais les éléments qui jouent également un rôle important sont:

  • Relations publiques (vous faites-vous du marketing comme quelque chose vous ne l'êtes pas, quelles personnes ciblez-vous)
  • Tenir ses promesses
  • Traiter les clients de la bonne manière

Les motivations des attaques DDoS incluent, mais sont non limité à ce qui suit:

  • Fame ("Oh regarde-moi, j'ai réussi à supprimer ce site")
  • Argent (les sites plus grands sont plus chers à attaquer généralement, s'ils recherchent de l'argent, ils cibleront les plus petits avec des revenus élevés qui n'ont pas une grande équipe technique)
  • Activisme

Aussi (d'après l'un des commentaires) :

  • Un autre motif est qu'ils essaient de vous distraire. Par exemple, s'ils veulent attaquer Apache et que vous êtes occupé à résoudre ce problème pendant qu'ils renforcent brutalement votre mot de passe SSH.

Il existe de nombreux types d'attaques DDoS et comment elles sont initiées, vous devez d'abord pour obtenir les points que j'ai énumérés ci-dessus dans l'ordre, vos attaques DDoS diminueront probablement. Cela ne veut pas dire que vous ne les ressentirez plus, vous donnez simplement aux gens moins de motivation pour vous attaquer.

Sur le plan technique, il y a plusieurs choses à considérer car la plupart des entreprises ont plusieurs nœuds dans leur infrastructure. Dans certains cas, chaque nœud nécessite un type d'approche différent. Dans mon cas, ces nœuds étaient une API, un serveur de jeu, un serveur d'authentification, une base de données et un serveur social. L'étape 1 consistait à vous assurer que vous n'exposez jamais une adresse IP qui n'a pas besoin d'être exposée. Dans mon cas, il s'agissait du serveur d'authentification, de la base de données et du serveur social. Limiter généralement les points de défaillance est une bonne approche pour commencer. La protection est incroyablement chère, et il n'est bon que d'avoir la protection la plus résistante là où vous en avez vraiment besoin.

Une fois que vous avez déterminé quels points doivent être publics, vous pouvez protéger chaque fonction individuellement de la manière dont elle doit être protégée. theterriblevitrium a donné une excellente réponse aux techniques, voici mes 2 cents sur celle-là.

  • Anycast (par exemple, un CDN. Cela fonctionne incroyablement bien pour les nœuds statiques tels que les API locales, les serveurs DNS et les serveurs Web, l'inconvénient est que cela actuellement ne fonctionne pas efficacement pour les systèmes qui ont un point de défaillance unique comme les serveurs de jeu)
  • Règles de réseau & Inspection des paquets (par exemple, chaque connexion ne peut prendre que X kb de trafic par seconde et chaque paquet doit motif x, y ou z. Cela a bien fonctionné pour nos jeux. L'inconvénient est que s'ils atteignent votre limite de bande passante, vous n'avez pas de chance.)

N'hésitez pas à poser des questions !

Un autre motif est qu'ils essaient de vous distraire. Par exemple, s'ils veulent attaquer Apache, vous êtes occupé à le réparer pendant qu'ils forcent brutalement votre mot de passe SSH.
C'est vrai.Éditera mon commentaire
ub3rst4r
2014-11-23 05:56:49 UTC
view on stackexchange narkive permalink

Je ne suis pas sûr que ce soit ce à quoi vous vouliez en venir avec l'atténuation automatisée mentionnée par @theterribletrivium, mais ils utilisent également des équilibreurs de charge pour répartir le trafic uniformément entre les serveurs afin qu'ils fonctionnent aussi vite que possible.

Bien que ce ne soit pas le moyen le plus efficace de répartir équitablement les utilisateurs entre les serveurs, Google utilise ce que l'on appelle le DNS Round Robin. Le DNS round-robin renverra plusieurs adresses IP et l'utilisateur se connectera à l'une de ces adresses IP. Le problème avec ceci cependant est que la même adresse IP peut être déterminée par plusieurs ordinateurs auxquels se connecter, rendant les autres serveurs plus rapides et non utilisés.

Ils utilisent une configuration similaire pour traiter les grandes quantités d'informations qui est stocké. Google utilise ce qu'il appelle BigTable pour stocker des informations relatives à Google Maps, Blogger, YouTube, GMail et plus encore. Il est rapporté que Google utilise des centaines de milliers de serveurs afin de stocker toutes ces informations et de rendre leurs sites Web aussi rapides que possible.

Ils utilisent un logiciel (qu'ils ont probablement développé eux-mêmes) pour héberger leurs sites Web et sans utiliser une grande quantité de mémoire et de CPU. Le serveur Web le plus populaire, Apache, n'est certainement pas utilisé par ces grands sites Web en raison de la façon dont il ne parvient pas à gérer ces charges lourdes et il est affecté par le problème C10k. Le problème C10k provoque l'échec des serveurs Web (tels qu'Apache) et parfois leur arrêt lorsque plus de 10000 connexions sont établies au serveur Web en même temps (Google a probablement beaucoup plus de 10000 connexions à la fois).

Les serveurs et le matériel qu'ils utilisent sont haut de gamme. Cependant, selon l ' article Wikipédia sur la plate-forme Google, Google n'utilise pas le matériel le plus performant, mais le matériel le plus rentable.

Si vous y réfléchissez, des sites Web tels que Google, Amazon, Microsoft et Apple sont techniquement toujours soumis à une attaque DDoS. Mais ils ont mis en place des technologies avancées qui permettent à tout le monde d'accéder à leurs sites Web sans être arrêtés.

En ce qui concerne le matériel utilisé, je pense que le but de Google est qu'ils n'utilisent explicitement pas de matériel haut de gamme. Ils utilisent à la place un nombre d'appareils haut de gamme.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...