Quelles sont les meilleures techniques pour prévenir les attaques par déni de service?

Actuellement, j'utilise (D) DoS-Deflate pour gérer de telles situations sur de nombreux serveurs distants, avec Apache JMeter pour les tests de charge.

Dans l'ensemble, cela fonctionne assez bien, même si j'aimerais entendre des suggestions de gourous qui travaillent avec ce genre de circonstances depuis plus longtemps que moi. Je suis sûr que ceux qui travaillent dans l'hébergement Web ont eu leur juste part de gérer ces situations. Je me demande donc quelles sont les meilleures pratiques pour aborder ce genre de problèmes dans un environnement d'entreprise?

Empêcher un DDoS, c'est surtout ne pas être une cible. N'hébergez pas de serveurs de jeux, de sites de jeux / porno et d'autres choses qui tendent à ennuyer les gens.

L'atténuation d'une attaque DDoS se présente sous deux formes:

• être capable d'ignorer le trafic et de réduire la charge excessive, ce qui est utile lorsque vous êtes sous une attaque qui essaie de vous abattre en surchargeant vos machines (et est également utile si vous obtenez "Slashdotted";
• être en mesure de rejeter le trafic réseau abusif en amont de vous, afin qu'il n'obstrue pas vos liens et ne supprime pas votre connectivité.

Le premier dépend quelque peu de ce que vous servez exactement, mais se résume généralement à une combinaison de mise en cache, de gestion des débordements (détection du moment où les serveurs sont "pleins" et redirection des nouvelles connexions vers une page "désolé" à faible utilisation des ressources) , et une dégradation gracieuse du traitement des requêtes (donc pas de rendu dynamique d'images, par exemple).

Ce dernier nécessite de bonnes communications avec vos amonts - faites tatouer le numéro de téléphone des CNO de vos amonts à l'intérieur de vos paupières (ou tout au moins dans un wiki quelque part qui n'est pas hébergé au même endroit que vos serveurs de production). ..) et apprenez à connaître les gens qui y travaillent, donc quand vous appelez, vous obtiendrez une attention immédiate en tant que personne qui sait de quoi ils parlent plutôt que d'être simplement un johnny aléatoire.

Vous ne mentionnez pas le type de sécurité de périmètre que vous avez en place. Avec les pare-feu Cisco, vous pouvez limiter le nombre d'embryons (demi-sessions) que votre pare-feu autorisera avant de les couper, tout en permettant aux sessions complètes de passer. Par défaut, il est illimité, ce qui n'offre aucune protection.

Les équilibreurs de charge assistés par matériel tels que Foundry ServerIron et Cisco ACE sont parfaits pour faire face à un grand nombre des principaux types d'attaques DOS / DDOS mais ne sont pas aussi flexibles que les solutions logicielles qui peuvent `` apprendre '' de nouvelles techniques plus rapidement.

Une bonne source d'information se trouve sur ce site . Une mesure qu'ils ne mentionnent qu'en passant (et qui mérite d'être approfondie) est d'activer les cookies SYN. Cela empêche toute une classe d'attaques DoS en empêchant un attaquant d'ouvrir un grand nombre de connexions «semi-ouvertes» dans le but d'atteindre le nombre maximum de descripteurs de fichiers autorisés par processus. (Voir la page de manuel bash, recherchez le module intégré 'ulimit' avec l'option '-n')

Avertissement: je ne suis pas un gourou de la protection DDoS.

Je pense que cela dépend du budget dont vous disposez, de vos conditions de disponibilité et de la manière dont vous ou vos clients êtes exposés à ce type de risque.

La protection DDoS basée sur un proxy peut être une option. Dans la plupart des cas, ce n'est pas une option bon marché, mais je pense que c'est la plus efficace. Je demanderais à mon hébergeur une solution. RackSpace, par exemple, fournit cet outil d'atténuation à plusieurs niveaux . Je suis sûr que tous les gros hébergeurs ont des solutions similaires.