আমি লোডবালেন্সারদের পিছনে বেশ কয়েক শতাধিক ওয়েবসার্ভার চালাচ্ছি, অ্যাপ্লিকেশনগুলির আধিক্য সহ অনেকগুলি সাইট হোস্ট করছি (যার কোনও নিয়ন্ত্রণ আমার নেই)। প্রতি মাসে প্রায় একবার, কোনও একটি সাইট হ্যাক হয়ে যায় এবং কোনও ব্যাংক বা রাজনৈতিক প্রতিষ্ঠানে আক্রমণ করার জন্য একটি বন্যার স্ক্রিপ্ট আপলোড করা হয়। অতীতে, এগুলি সর্বদা ইউডিপি বন্যা ছিল যা পৃথক ওয়েবসভারে বহির্গামী ইউডিপি ট্র্যাফিক অবরোধ করে কার্যকরভাবে সমাধান করা হয়েছিল। গতকাল তারা 80 টি পোর্টে অনেক টিসিপি সংযোগ ব্যবহার করে আমাদের সার্ভারগুলি থেকে একটি বৃহত মার্কিন ব্যাঙ্ক বন্যা শুরু করেছিল these এই জাতীয় সংযোগগুলি আমাদের অ্যাপ্লিকেশনগুলির জন্য পুরোপুরি বৈধ, কেবল তাদের ব্লক করা কোনও গ্রহণযোগ্য সমাধান নয়।
আমি নিম্নলিখিত বিকল্পগুলি বিবেচনা করছি। তুমি কোনটি সুপারিশ কর? আপনি কি এগুলি বাস্তবায়ন করেছেন এবং কীভাবে?
- সোর্স পোর্ট সহ ওয়েবসারভার (iptables) আউটগোয়িং টিসিপি প্যাকেটগুলির সীমাবদ্ধতা! = 80
- একই তবে কুইউটিং সহ (টিসি)
- প্রতি সার্ভারের প্রতি ব্যবহারকারী সীমা বহির্গামী ট্র্যাফিক। বেশিরভাগ প্রশাসনিক বোঝা, যেহেতু প্রতিটি অ্যাপ্লিকেশন সার্ভারে বিভিন্ন ব্যবহারকারীের সম্ভাব্য 1000 রয়েছে। হতে পারে এটি: আমি প্রতি ব্যবহারকারী ব্যান্ডউইথকে কীভাবে সীমাবদ্ধ রাখতে পারি?
- আর কিছু?
স্বভাবতই, আমি আমাদের হোস্ট করা সাইটগুলির একটিতে হ্যাকারদের সুযোগ কমাতেও উপায়গুলি সন্ধান করছি, কিন্তু যে প্রক্রিয়াটি কখনই 100% জলরোধী হবে না, তাই আমি অনুপ্রবেশের প্রভাবকে কঠোরভাবে সীমাবদ্ধ করতে চাই।
আপডেট: আমি বর্তমানে এই নিয়মগুলি দিয়ে পরীক্ষা করছি, এটি এই নির্দিষ্ট আক্রমণটিকে আটকাতে পারে। আপনি কীভাবে তাদের আরও জেনেরিক করার প্রস্তাব করবেন? যখন আমি কেবল এসওয়াইএন প্যাকেটে সীমাবদ্ধতা রাখি তখন আমি কি একটি পরিচিত টিসিপি ডস আক্রমণ অনুভব করছি?
iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT
iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset
চিয়ার্স!