¿Cuáles son las mejores técnicas para prevenir ataques de denegación de servicio?

Actualmente he estado usando (D) DoS-Deflate para administrar tales situaciones en numerosos servidores remotos, junto con Apache JMeter para pruebas de carga.

En general, ha estado funcionando bastante bien, aunque me gustaría escuchar algunas sugerencias de los gurús que han estado trabajando con este tipo de circunstancias durante más tiempo que yo. Estoy seguro de que aquellos que trabajan en el negocio de alojamiento web han tenido su parte justa de lidiar con estas situaciones. Entonces, me pregunto cuáles son las mejores prácticas para abordar este tipo de problemas en un entorno corporativo.

La prevención de un DDoS se trata principalmente de no ser un objetivo. No aloje servidores de juegos, sitios de apuestas / pornografía y otras cosas que tienden a molestar a la gente.

La mitigación de un ataque DDoS viene en dos formas:

• ser capaz de ignorar el tráfico y eliminar el exceso de carga, lo cual es útil cuando estás bajo un ataque que intenta derribarte sobrecargando tus máquinas (y también es útil si alguna vez recibes "Slashdotted";
• ser capaz de rechazar el tráfico de red abusivo de su parte anterior, para que no obstruya sus enlaces y elimine su conectividad.

El primero depende en cierta medida de lo que está sirviendo exactamente, pero generalmente se reduce a una combinación de almacenamiento en caché, manejo de desbordamiento (detectar cuándo los servidores están "llenos" y redirigir nuevas conexiones a una página de "perdón" de bajo uso de recursos) y una degradación elegante del procesamiento de solicitudes (por lo que no se realiza una representación dinámica de imágenes, por ejemplo).

Esto último requiere una buena comunicación con sus upstreams: tatúe el número de teléfono de los NOC de sus upstreams en el interior de sus párpados (o al menos en un wiki en algún lugar que no esté alojado en el mismo lugar que sus servidores de producción). ..) y conocer a las personas que trabajan allí, así que cuando llames, recibirás atención inmediata como alguien que realmente sabe de lo que están hablando en lugar de ser solo un poco al azar.

No mencionas qué tipo de seguridad perimetral tienes instalada. Con los cortafuegos de Cisco, puede limitar la cantidad de embriones (medias sesiones) que su cortafuegos permitirá antes de que los corte, al tiempo que permite que pasen sesiones completas. Por defecto es ilimitado, lo que no ofrece protección.

Los equilibradores de carga asistidos por hardware, como Foundry ServerIron's y Cisco ACE, son excelentes para tratar grandes cantidades de los principales tipos de ataques DOS / DDOS, pero no son tan flexibles como las soluciones de software que pueden 'aprender' técnicas más nuevas más rápido.

Una buena fuente de información está en este sitio . Una medida que solo mencionan de pasada (y que vale la pena investigar más a fondo) es habilitar las cookies SYN. Esto evita que toda una clase de ataques DoS evite que un atacante abra una gran cantidad de conexiones 'medio abiertas' en un intento por alcanzar la cantidad máxima de descriptores de archivo permitidos por proceso. (Vea la página de manual de bash, busque el 'ulimit' incorporado con la opción '-n')

Descargo de responsabilidad: no soy un gurú de la protección DDoS.

Creo que depende del presupuesto que tenga para él, cuáles son sus condiciones de tiempo de actividad y cómo usted o sus clientes están expuestos a este tipo de riesgo.

La protección DDoS basada en proxy podría ser una opción. En la mayoría de los casos, no es una opción barata, pero creo que es la más efectiva. Le pediría a mi proveedor de hosting una solución. RackSpace, por ejemplo, proporciona esta herramienta de mitigación de múltiples niveles . Estoy seguro de que todos los grandes anfitriones tienen soluciones similares.