Lotta contro l'inondazione della networking

il mio sito viene spesso attaccato dalle persone. È ansible vedere un tale attacco alle 18:00 e successivamente su un attacco più grande alle 22:30. In linea di principio la scheda di networking dei server viene inondata dalle richieste in entrata.

Le mie macchine sono un quad core dedicato, 12GB ddr3, 4x SAS 15k RPM in RAID10 con CentOS5.6 64bit.

Su questo server ho eseguito Nginx come mio webserver. Durante un attacco non posso accedere al mio sito perché l'intera networking sembra essere inondata. Una volta che si ferma, tutto è tornato alla normalità, senza necessità di riavviare nulla.

Ho indurito il mio SYSCTL un po ', vedere le impostazioni qui: http://pastebin.com/eFfAcWkr La mia IPTABLES config, la sua piuttosto fondamentale davvero. Occorre solo la port 80, 443, 21 e la mia port SSH aperta: http://pastebin.com/MsHSka08

La mia domanda è: cosa posso fare ulteriormente per combattere questi tipi di attacchi? Inoltre, c'è un modo per scoprire quale tipo di attacco è stato esattamente? *

La linea verde è i dati in entrata, quelli blu sono dati in output.

Attacco di rete

  • Come è ansible submit e-mail a un dominio senza un record MX?
  • SCM8014 a FVS338
  • Imansible connettere o ping a Internet dal mio dispositivo utilizzando ethernet crossover
  • Perché tutti i computer della mia networking hanno lo stesso indirizzo MAC?
  • Il "broadcast-address" deve essere all'interno della substring definita in dhcpd.conf?
  • Come rendere httpd accessibile solo attraverso la VPN?
  • Flusso di pacchetti in networking
  • strumento di monitoraggio che può visualizzare la banda per un determinato periodo di tempo
  • 2 Solutions collect form web for “Lotta contro l'inondazione della networking”

    Benvenuti nel meraviglioso mondo di Denial of Service (Distributed) o DDoS. Breve risposta: parla con il tuo ISP e chiedi loro di aiutarti a filtrare un DoS. Risposta più lunga:

    Dal momento che suona come la tua networking sta diventando satura, non c'è molto da fare con la tua networking o sisthemes per difendersi da questi attacchi: il loro scopo è quello di inondare con tanto traffico la tua width di banda a valle è intasata da spazzatura. Per risolvere questo problema, dovrai coinvolgere il tuo ISP. Se sei fortunato, gli attacchi sono semplici attacchi DoS con un indirizzo di origine identificabile e non spoofed. Il tuo ISP può applicare filtri a questi facilmente. Se sei sfortunato, gli attacchi stanno utilizzando indirizzi di origine spoofed e / o distribuiti in una botnet, rendendo molto più difficile filtrare (in quanto esiste un gran numero di fonti). Ci sono ancora cose che il vostro ISP può probabilmente fare, ma sono un po 'più complicate. Per difendersi veramente, è necessario esaminare i servizi di mitigazione DDoS come quelli offerti da Arbor Networks, VeriSign, ecc. Purtroppo, questi tendono ad essere abbastanza costosi. Un'altra opzione potrebbe essere quella di esaminare la distribuzione a una networking di distribuzione di contenuti come Akamai (alla fine costosa) o Cloudflare (alla fine libera, anche se Cloudflare non è un CDN completo).

    Per quanto riguarda l'individuazione di quale tipo di attacco è, probabilmente si può get un indizio dal traffico stesso. Esegui tcpdump o equivalente e vedi quale tipo di pacchetti stai ricevendo. Potrebbe essere qualsiasi cosa da ICMP (ad esempio, inondazioni ping) a UDP (ad esempio, un attacco di amplificazione DNS) a TCP (sin flood). Sulla base del traffico, avrei scommesso su un semplice attacco in stato di allontanamento (cioè ICMP o UDP). Questo è in realtà fortunato poiché un attacco a più alto livello, ad esempio un gruppo di zombie di una botnet che inonda le richieste HTTP alla port 80 o 443, è molto più difficile da affrontare.

    È ansible aggiungere un insieme di regole per contare le richieste incomming da un ip e quindi agire se superano una tresshold, lasciare il loro ip per pochi minuti

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.