আমি কীভাবে অ্যামাজন ইসি 2 তে একটি ডিডিওএস আক্রমণ প্রতিরোধ করতে পারি?


46

আমি যে সার্ভারগুলি ব্যবহার করি তার মধ্যে একটি আমাজন ইসি 2 ক্লাউডে হোস্ট করা হয়। প্রতি কয়েক মাস পরে আমরা এই বিভাজনে একটি ডিডিওএস আক্রমণ করে দেখি। এটি সার্ভারকে অবিশ্বাস্যভাবে ধীর করে দেয়। প্রায় 30 মিনিটের পরে এবং কখনও কখনও পরে পুনরায় বুট করার পরে, সমস্ত কিছু স্বাভাবিক হয়ে যায়।

অ্যামাজনের সুরক্ষা গোষ্ঠী এবং ফায়ারওয়াল রয়েছে তবে ইসি 2 সার্ভারে আক্রমণ প্রশমিত করতে বা প্রতিরোধ করার জন্য আমার আর কী থাকতে হবে?

অনুরূপ প্রশ্ন থেকে আমি শিখেছি:

  • নির্দিষ্ট আইপি ঠিকানা থেকে আইপি টেবিলের মতো কোনও কিছু (বা সম্ভবত ইউএফডাব্লু?) এর মাধ্যমে অনুরোধের হার / মিনিট (বা সেকেন্ড) সীমাবদ্ধ করুন
  • এ জাতীয় আক্রমণ থেকে বাঁচার জন্য পর্যাপ্ত সংস্থান রয়েছে - বা -
  • সম্ভবত ওয়েব অ্যাপ্লিকেশনটি তৈরি করুন যাতে এটি স্থিতিস্থাপক হয় / এর স্থিতিস্থাপক লোড ব্যালেন্সার থাকে এবং এ জাতীয় উচ্চ চাহিদা মেটাতে দ্রুত স্কেল করতে পারে)
  • যদি মাইএসকিএল ব্যবহার করে, মাইএসকিএল সংযোগগুলি সেট আপ করুন যাতে তারা ধারাবাহিকভাবে চালিত হয় যাতে ধীর অনুসন্ধানগুলি সিস্টেমে ডুবে না যায়

আমি আর কি মিস করছি? আমি নির্দিষ্ট সরঞ্জাম এবং কনফিগারেশন বিকল্পগুলি (আবার এখানে লিনাক্স ব্যবহার করে) এবং / অথবা আমাজন ইসি 2 এর সাথে সুনির্দিষ্ট কিছু সম্পর্কিত তথ্য পছন্দ করতে চাই।

PS: ডিডিওএসের জন্য পর্যবেক্ষণ সম্পর্কিত নোটগুলিও স্বাগত জানানো হবে - সম্ভবত নাগিওসের সাথে? ;)


এটি প্রতিরোধ করা প্রায় অসম্ভব তবে আপনি অবশ্যই আপনার দুর্বলতা হ্রাস করতে পারেন।
বেলমিন ফার্নান্দেজ

1
খুবই সত্য. এবং আমি এমন উত্তরগুলি নিয়ে খুশি হব যেগুলি দুর্বলতা হ্রাস করার বিষয়ে আলোচনা করবে :)
সিডাব্লুডে

কীভাবে এটি প্রতিরোধ করা যায় তা জানতে, আক্রমণের প্রকৃতি সম্পর্কে আরও জানতে হবে। এটি কি সিন-বন্যা ছিল? এমন কোনও ওয়েব পৃষ্ঠা ছিল যা ব্যয়বহুল যা আঘাত হানাছিল? এটা কি অন্য কোন পরিষেবা ছিল?
স্টি

আমি মনে করি এটি একটি ওয়েবপৃষ্ঠা ছিল তবে নিশ্চিত নয়। আমি এগুলি পর্যবেক্ষণ এবং তদন্ত করার পরামর্শগুলিও স্বাগত জানাব। কিছু অ্যাক্সেস লগ ইতিমধ্যে মুছে ফেলা হয়েছে - আমার আর কী সন্ধান করা উচিত?
সিডব্লিউডি

এবং প্রকৃতপক্ষে, যদি কোনও রিবুট সমস্যার সমাধান করে, তবে আমি জানি না এটি কী হতে পারে, সম্ভবত আপনার সার্ভারে কোথাও কোথাও একটি রিসোর্স লিক রয়েছে। একটি রিবুট অবশ্যই নিজের নিজের কোনও ডিডিওএস থামাতে পারে না। আপনি কীভাবে জানবেন যে এটি আদৌ একটি ডিডিওএস?
স্টি

উত্তর:


36

একটি ডিডিওএস (বা একটি ডস) এর সংক্ষেপে এটি একটি উত্সের ক্লান্তি। আপনি কখনই বাধাগুলি দূর করতে পারবেন না, কারণ আপনি কেবল তাদের দূরে ঠেলে দিতে পারেন।

এডাব্লুএসে, আপনি ভাগ্যবান যেহেতু নেটওয়ার্ক উপাদানটি খুব শক্তিশালী - এটি জানতে পেরে অত্যন্ত অবাক করা হবে যে প্রবাহের লিঙ্কটি স্যাচুরেটেড হয়েছিল। তবে সিপিইউ, পাশাপাশি ডিস্ক আই / ও, বন্যার পক্ষে সহজ উপায়।

কর্মের সর্বোত্তম কোর্সটি হবে কিছু মনিটরিং (স্থানীয় যেমন এসএআর, নাগিওস এবং / অথবা স্কাউট অ্যাপ্লিকেশন সহ রিমোট) এবং কিছু দূরবর্তী লগিং সুবিধা (সিসলগ-এনজি) শুরু করে। এই ধরনের সেটআপের সাহায্যে আপনি সনাক্ত করতে সক্ষম হবেন যে কোন সংস্থানগুলি স্যাচুরেটেড হয় (সিএন বন্যার কারণে নেটওয়ার্ক সকেট; খারাপ এসকিউএল কোয়েরির কারণে সিপিইউ বা ক্রলারগুলির কারণে; ভেড়া ...)। কোনও ইবিএস ভলিউমে (পরে লগগুলি অধ্যয়ন করতে) আপনার লগ পার্টিশনটি (যদি আপনার দূরবর্তী লগিং সক্ষম না করে থাকে) ভুলে যাবেন না।

আক্রমণটি যদি ওয়েব পৃষ্ঠাগুলির মাধ্যমে আসে তবে অ্যাক্সেস লগ (বা সমতুল্য) খুব কার্যকর হতে পারে।



24

আপনি আপনার ইসি 2 উদাহরণগুলি ইলাস্টিক লোড ব্যালান্সারের পিছনে রেখে এবং কেবল ইসিবি উদাহরণ থেকে ট্র্যাফিক গ্রহণ করে আলাদা করতে পারেন। এটি ডিডিওএস আক্রমণ পরিচালনা করতে অ্যামাজনকে আরও বেশি দাম দেয়।

আমি ধরে নিলাম আপনার কাছে এখনও সকলের জন্য এসএসএইচ খোলা থাকবে, সুতরাং আপনি সম্ভবত এখনও কিছু দুর্বৃত্ত ট্র্যাফিক সেখানে উপস্থিত দেখবেন, যদি না আপনি এই বন্দরটিকে কিছু স্থির আইপিতে লক করতে না পারেন। ডিডিওএস হিটগুলি আরও কমাতে আপনি এসএসএইচডি বন্দরটিকে আরও অস্পষ্ট কিছুতে (অর্থাত্ 22 টি বাদে অন্য কিছুতে) পরিবর্তন করতে পারেন (বেশিরভাগ বট কেবল পরিচিত বন্দরগুলি পরীক্ষা করে দেখুন)।

আমি ব্যর্থ 2 বাবাকেও উল্লেখ করব, যা লগগুলি নিরীক্ষণ করতে এবং নির্দিষ্ট আইপিগুলিকে ব্লক করতে অস্থায়ীভাবে আপনার আইপি টেবিলগুলিকে সংশোধন করতে পারে (উদাহরণস্বরূপ, যদি কোনও হোস্টের মধ্যে একটি হোস্টের মধ্যে এসএসএইচ-এর 6 টি ব্যর্থ প্রচেষ্টা হয়েছে, তবে এটি আইপি 30 এর জন্য ব্লক করতে পারে মিনিট বা তাই)। মনে রাখবেন যে (জর্ডান আশ্চর্যরূপে মন্তব্য করেছেন) ব্যর্থ2ban সম্ভবত প্রক্সি ট্র্যাফিক ব্লক করার জন্য উপযুক্ত নয় (উদাহরণস্বরূপ, এটি একটি ELB থেকে) কারণ এটি প্রক্সিটির আইপি ব্লক করবে, অগত্যা আসল দূরবর্তী আইপি নয়।

আমি এটি ব্যবহার করি নি, তবে অ্যাপাচি মোড_দেহকও তদন্তের জন্য উপযুক্ত হতে পারে; তবে আইপি-ভিত্তিক ব্লকিংয়ের ক্ষেত্রে এটি ব্যর্থ 2ban এর মতো একই দুর্বলতা থাকতে পারে।


+1 আপনাকে ধন্যবাদ। আসলে আমি
এসএসএস

1
মনে রাখবেন যে আপনি যদি কোনও ELB এর পিছনে থাকেন তবে ব্যর্থ 2ban কাজ করবে না - কারণ এটি সাধারণত আইপিটিবেলে একটি আইপি ব্লক করে কাজ করে। তবে আইপি সর্বদা আপনার ইএলবি হতে চলেছে। আমি বুঝতে পারি যে আমার সেটআপে ব্যর্থ 2ban যোগ করার চেষ্টা করার পরে। ব্যবহারকারী যদি কেবল ELB এর মাধ্যমে অ্যাক্সেস করে তবে এটি কাজ করে না।
জর্ডান রিয়েটার

5

আপনি যদি অ্যাপাচি ব্যবহার করেন তবে আমি মোড_সিকিউরিটি ব্যবহার করার পরামর্শ দিই । বেশিরভাগ বিক্রেতাদের দ্বারা প্যাকেজড, মূল বিধিগুলি সেটটি দুর্দান্ত কাজ করে।

আর একটি শক্তিশালী পদক্ষেপটি ওয়েব সার্ভার স্তরে অনুরোধগুলি সীমাবদ্ধ করছে। এনগিনেক্স ।, অ্যাপাচি আগত অনুরোধগুলিকে থ্রটল এবং সীমাবদ্ধ করতে পারে।


দুর্দান্ত - এগুলি দেখতে দুর্দান্ত বিকল্পগুলির মত দেখাচ্ছে ধন্যবাদ!
cwd

2

রিয়েলটাইম খারাপ ক্রিয়াকলাপের আইপি এর AWS এবং অন্যদের থেকে অবরুদ্ধ করার জন্য আমি যে সমাধানটি ব্যবহার করি তা হ'ল ... এলএফডি ব্লকলিস্টগুলির কনফিগারেশনে আমার সিএসএফ ফায়ারওয়ালে আমি এখানে একটি তালিকা ব্যবহার করেছি - http://myip.ms/browse/blacklist/ Blacklist_IP_Blacklist_IP_Addresses_Live_Database_Real টাইম

ডাউনলোড কালোতালিকা জন্য সিএসএফ ফায়ারওয়াল » http://myip.ms/files/blacklist/csf/latest_blacklist.txt

আর ভয়ঙ্করভাবে দুর্বল AWS ট্র্যাফিক নেই।


1
এটি প্রশ্নের উত্তর দেয় না।
কাস্পারড

2

আমি পক্ষপাতদুষ্ট, যেহেতু আমি সুরক্ষা প্রিসালেস ইঞ্জিনিয়ার হিসাবে একটি সামগ্রী বিতরণ নেটওয়ার্কের জন্য কাজ করি।

তবে কন্টেন্ট ডেলিভারি নেটওয়ার্কে একটি ডিডোস প্রশমন সমাধানটি উপস্থাপন করা নিশ্চিত করে যে আপনি কখনই উত্সের উত্স থেকে চলে না। এটি আপনার সাইটের সামনে একটি এফ 5 লোড ব্যালেন্সার রাখার মতো, তবে বিশ্বের হাজার হাজার স্থানে ছড়িয়ে পড়ে।

একটি ভাল সিডিএন আপনাকে একটি হোয়াইটলিস্টের সাহায্যে উত্সটি ছাঁটাই করতে দেয় যা আপনি আউস ফায়ারওয়ালে ইনস্টল করেন। সুতরাং আক্রমণকারীরা যখন অ্যামাজনে তাদের পুনর্বিবেচনা সম্পাদন করে, আপনার আইপি ঠিকানাটি খালি হয়ে আসবে কারণ সমস্ত কিছু অবরুদ্ধ করা হবে।

সুতরাং ট্রাফিক আক্রমণকারীর যতটা সম্ভব নোডকে আঘাত করে তখন ডিডোস আক্রমণগুলি অবরুদ্ধ করা হয়। এটি নিশ্চিত করে যে আপনি যে সম্পদ রক্ষার চেষ্টা করছেন তার থেকে দূরে ডিডস আক্রমণকে প্রশমিত করুন।

একটি ভাল সিডিএন স্বাস্থ্য পরীক্ষা করতে পারে এবং অন্যান্য স্থানে ট্র্যাফিক ওভার ট্র্যাফিকও করতে পারে যেমন গাধা, অজুরে, র্যাক স্পেস, নরম স্তর, একটি শারীরিক ডিসি ইত্যাদির উপর অন্য একটি অহংকারও থাকতে পারে যাতে আপনি অ্যাপ্লিকেশন স্তর ক্লান্তি আক্রমণকে ব্লক করতে পারেন তা নিশ্চিত করার জন্য এটি একটি ডাব্লুএএফএফ থাকা উচিত রুডি, স্লোপোস্ট, স্লোলোরিসের পাশাপাশি স্ক্লি, এক্সএসএস, আরএফআই, এলএফআই ইত্যাদি

ডিফল্টরূপে সিডিএন নেটওয়ার্ক লেয়ার আক্রমণ যেমন টিয়ারড্রপ, আইসিএমপি আক্রমণ, সিনফ্লুডস ইত্যাদি ব্লক করে A সুতরাং এনটিপি, ডিএনএস, এসএসডিপি, চার্জেন এবং স্ন্যাম্প ভলিউমেট্রিক আক্রমণগুলির মতো পরিবর্ধক আক্রমণগুলি অবরুদ্ধ করা যেতে পারে।

আমি আজ অবধি সবচেয়ে বড় আক্রমণটি দেখেছি জুলাই ২০১৪ সালে 321 জিবিপিএস this এই হামলার সময় 20 জিবিপিএসে একটি ডিএনএস প্রোটোকল আক্রমণ ছিল। সুতরাং আপনাকে ডিএনএস অবকাঠামো বিপুল সংখ্যক অনুরোধ সহ্য করার জন্যও দৃili়রূপে তা নিশ্চিত করতে হবে।

আপনার সরবরাহ করা বিবরণ থেকে দেখে মনে হচ্ছে আপনি কোনও ক্লান্তিকর আক্রমণে পড়েছিলেন, যেখানে থ্রাই আক্রমণকারী প্রচুর থ্রেড খুলেছিল যে সমস্ত থ্রেড ওয়েব সার্ভার, অ্যাপ্লিকেশন সার্ভার বা ফায়ারওয়ালে নষ্ট হয়ে গেছে। এটি স্লোপোস্ট, স্লোলোরিস বা রুডির মতো কিছু।

অ্যাপ্লিকেশন স্তর ক্লান্তি আক্রমণ আক্রমণ বন্ধ করতে আপনার একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (ডাব্লুএএফ) পেতে হবে। একটি সাধারণ নেটওয়ার্ক ফায়ারওয়াল (অ্যামাজন ফায়ারওয়াল এবং পরবর্তী প্রজন্মের ফায়ারওয়াল সহ) এটি ব্লক করতে সক্ষম হবে না। আজকাল পাঠানো কাজের ফায়ারওয়ালগুলি এই দিনগুলিতে (নভেম্বর 2014) কেবলমাত্র 30% আক্রমণকে অবরুদ্ধ করতে পারে।


1

অ্যাপাচি, ইএলবি এবং এসিএল-এর জন্য ফেইল 2ব্যান ব্যবহার করার জন্য যারা খুঁজছেন তাদের জন্য এখানে একটি সরঞ্জাম প্রস্তুত করা হয়েছে: https://github.com/anthonymartin/aws-acl-fail2ban

এটি ডস এর আক্রমণ সনাক্তকরণ এবং প্রতিরোধের জন্য কার্যকর এবং ec2 দৃষ্টান্ত ব্যবহার করে।


0

কনফিগার সার্ভার ফায়ারওয়াল হ'ল ইসি 2 তে সফ্টওয়্যার ভিত্তিক ভিএম এর ডিডোএস প্রশমন জন্য আমি সবচেয়ে ভাল দেখেছি। আপনি যদি সিসলগ বৈশিষ্ট্যটি একত্রিত করেন তবে এটি ভারসাম্যপূর্ণ ভারসাম্যহীন পরিবেশের থেকে রক্ষা করতে পারে।

http://configserver.com/cp/csf.html


সার্ভার ফল্ট আপনাকে স্বাগতম! যতক্ষণ এই তাত্ত্বিক প্রশ্নের উত্তর হতে পারে, এটা বাঞ্ছনীয় হবে উত্তর অপরিহার্য অংশের এখানে অন্তর্ভুক্ত করা, এবং রেফারেন্স এর জন্য লিঙ্ক প্রদান।
স্কট প্যাক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.