লিনাক্স: বহির্গামী টিসিপি বন্যা রোধ করুন


9

আমি লোডবালেন্সারদের পিছনে বেশ কয়েক শতাধিক ওয়েবসার্ভার চালাচ্ছি, অ্যাপ্লিকেশনগুলির আধিক্য সহ অনেকগুলি সাইট হোস্ট করছি (যার কোনও নিয়ন্ত্রণ আমার নেই)। প্রতি মাসে প্রায় একবার, কোনও একটি সাইট হ্যাক হয়ে যায় এবং কোনও ব্যাংক বা রাজনৈতিক প্রতিষ্ঠানে আক্রমণ করার জন্য একটি বন্যার স্ক্রিপ্ট আপলোড করা হয়। অতীতে, এগুলি সর্বদা ইউডিপি বন্যা ছিল যা পৃথক ওয়েবসভারে বহির্গামী ইউডিপি ট্র্যাফিক অবরোধ করে কার্যকরভাবে সমাধান করা হয়েছিল। গতকাল তারা 80 টি পোর্টে অনেক টিসিপি সংযোগ ব্যবহার করে আমাদের সার্ভারগুলি থেকে একটি বৃহত মার্কিন ব্যাঙ্ক বন্যা শুরু করেছিল these এই জাতীয় সংযোগগুলি আমাদের অ্যাপ্লিকেশনগুলির জন্য পুরোপুরি বৈধ, কেবল তাদের ব্লক করা কোনও গ্রহণযোগ্য সমাধান নয়।

আমি নিম্নলিখিত বিকল্পগুলি বিবেচনা করছি। তুমি কোনটি সুপারিশ কর? আপনি কি এগুলি বাস্তবায়ন করেছেন এবং কীভাবে?

  • সোর্স পোর্ট সহ ওয়েবসারভার (iptables) আউটগোয়িং টিসিপি প্যাকেটগুলির সীমাবদ্ধতা! = 80
  • একই তবে কুইউটিং সহ (টিসি)
  • প্রতি সার্ভারের প্রতি ব্যবহারকারী সীমা বহির্গামী ট্র্যাফিক। বেশিরভাগ প্রশাসনিক বোঝা, যেহেতু প্রতিটি অ্যাপ্লিকেশন সার্ভারে বিভিন্ন ব্যবহারকারীের সম্ভাব্য 1000 রয়েছে। হতে পারে এটি: আমি প্রতি ব্যবহারকারী ব্যান্ডউইথকে কীভাবে সীমাবদ্ধ রাখতে পারি?
  • আর কিছু?

স্বভাবতই, আমি আমাদের হোস্ট করা সাইটগুলির একটিতে হ্যাকারদের সুযোগ কমাতেও উপায়গুলি সন্ধান করছি, কিন্তু যে প্রক্রিয়াটি কখনই 100% জলরোধী হবে না, তাই আমি অনুপ্রবেশের প্রভাবকে কঠোরভাবে সীমাবদ্ধ করতে চাই।

আপডেট: আমি বর্তমানে এই নিয়মগুলি দিয়ে পরীক্ষা করছি, এটি এই নির্দিষ্ট আক্রমণটিকে আটকাতে পারে। আপনি কীভাবে তাদের আরও জেনেরিক করার প্রস্তাব করবেন? যখন আমি কেবল এসওয়াইএন প্যাকেটে সীমাবদ্ধতা রাখি তখন আমি কি একটি পরিচিত টিসিপি ডস আক্রমণ অনুভব করছি?

iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT
iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset

চিয়ার্স!

উত্তর:


3

আমার মতামতের জন্য সর্বোত্তম সম্ভাব্য সমাধান এবং যেটি আমার পক্ষে খুব ভালভাবে কাজ করেছে তা হ'ল গন্তব্য আইপি-র সংযোগ / প্যাকেটের সংখ্যা সীমাবদ্ধ করা। যুক্তিসঙ্গত হারের সীমা নির্ধারণ করা আক্রমণকারীকে লক্ষ্য করে বড় পরিমাণ সংযোগ পাঠাতে বাধা দেবে। বন্দর এবং প্রোটোকল স্থাপন করা ভাল ধারণা নয় কারণ যদি আক্রমণকারী আজকে HTTP বন্যা প্রেরণ করছে, আগামীকাল সে বিভিন্ন ধরণের আক্রমণ ব্যবহার করবে। সুতরাং আইপি প্রতি সংযোগগুলি সাধারণ হিসাবে সীমাবদ্ধ করা আপনার সমস্যার সমাধান হতে পারে।

আমি আসা করি এটা সাহায্য করবে :)


-3

আমি যে অবস্থানটি সর্বদা গ্রহণ করেছি তা হ'ল কোনও ওয়েবসভার আউটবাউন্ড টিসিপি সংযোগ তৈরি করা উচিত নয় - কেবল ইনবাউন্ড অনুরোধের প্রতিক্রিয়া হিসাবে সার্ভার হিসাবে ট্রাফিক প্রেরণ করে। (আমি কেবল ওয়েবসারভার এবং এসএসএইচের জন্য ইনবাউন্ড টিসিপিকেও অনুমতি দিই) আপনার সিস্টেমে করা আক্রমণগুলিতে (হ্যাকাররা এক্সটার্ম উইন্ডো পেতে পারে না বা আপনার হোস্টের জন্য তাদের সরঞ্জামদণ্ডটি উইজেট করতে পারে না)।


ঠিক আছে, তাহলে কোনও ওয়েবসাইট কীভাবে অন্য ওয়েবসাইট থেকে আরএসএস ফিড আনতে পারে?
মাইকেল হ্যাম্পটন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.