46 votos

¿Cómo puedo prevenir un ataque DDOS en Amazon EC2?

Uno de los servidores que uso es alojado en la nube Amazon EC2. Cada pocos meses, parece que tenemos un ataque DDOS en este sever. Esto ralentiza el servidor increíblemente. Después de unos 30 minutos, y a veces un reinicio después, todo volvió a la normalidad.

Amazon tiene grupos de seguridad y firewall, pero ¿qué más debo tener en cuenta en lugar de en un servidor EC2 para mitigar o prevenir un ataque?

A partir de preguntas similares que he aprendido:

  • El límite de la tasa de solicitudes/minutos (o segundos) de una dirección IP en particular a través de algo como la IP tablas (o tal vez UFW?)
  • Tiene suficientes recursos para sobrevivir a un ataque - o -
  • Posiblemente construir la aplicación web por lo que es elástica tiene un elastic load balancer y puede escalar rápidamente para satisfacer una gran demanda)
  • Si el uso de mySql, configurar las conexiones de mySql para que se ejecutan de forma secuencial, de modo que las consultas lentas no saturar el sistema

¿Qué otra cosa que me estoy perdiendo? Me gustaría información acerca de las herramientas y opciones de configuración (de nuevo, el uso de Linux aquí), y/o cualquier cosa que es específico de Amazon EC2.

ps: Notas acerca del control de DDOS también sería bienvenida - tal vez con nagios? ;)

36voto

CloudWeavers Puntos 2088

Un DDOS (o incluso DOS), en su esencia, es un agotamiento del recurso. Usted nunca será capaz de eliminar los cuellos de botella, como sólo se puede empujar más lejos.

En AWS, estás de suerte porque el componente de red es muy fuerte - sería muy sorprendente saber que el enlace de subida se satura. Sin embargo, la CPU, así como los discos de e/S, son la manera más fácil de inundación.

El mejor curso de acción sería por partida algunos de monitoreo (local como SAR, control remoto con Nagios y/o ScoutApp) y algunos remoto de servicios de registro (syslog-ng). Con tal configuración, usted será capaz de identificar qué recursos se saturan (socket de red debido a la inundación Syn ; de la CPU debido a la mala consultas SQL o crawlers ; ram debido a la ...). No olvide tener su registro de partición (si no dispone de registro remoto habilitar) en una volúmenes de EBS (para más adelante el estudio de los registros).

Si el ataque viene a través de una de las páginas web, el registro de acceso (o el equivalente) puede ser muy útil.

24voto

Accipitridae Puntos 2595

También se puede aislar aún más sus instancias de EC2 poniéndolos detrás de un Elastic Load Balancer y aceptando sólo el tráfico de la ELB instancia. Esto pone más de la carga de la prueba en Amazon para gestionar los ataques DDOS.

Supongo que usted todavía tiene SSH abierto a todos, así que es probable que aún vamos a ver algunos rogue tráfico que viene de allí, a menos que usted puede bloquear ese puerto para algunas direcciones ip estática. Usted puede cambiar el SSHd puerto a algo más oscuro (es decir, algo distinto, 22) para reducir aún más DDOS hits (la mayoría de los bots de verificación sólo conocidos los puertos).

También voy a mencionar fail2ban, que pueden controlar los registros y modificar temporalmente su ip tablas para bloquear IPs específicas (por ejemplo, si ha habido 6 intentos fallidos de SSH en tu host de una dirección IP única, que puede bloquear esa IP por 30 minutos o así).

5voto

Shyam Sundar C S Puntos 860

@cwd:

Si usted está usando Apache, sugiero mod_security. Embalado por la mayoría de los vendedores, las normas fundamentales conjunto hacen un trabajo fantástico.

Otro endurecimiento de paso, es ;imiting las peticiones al servidor web de nivel. Nginx., Apache puede disminuir la velocidad y el límite de las solicitudes entrantes.

2voto

James Puntos 21

Yo soy parcial, como yo trabajo para una red de entrega de contenido como de seguridad ingeniero de Preventas.

Sin embargo, el aprovechamiento de una de mitigación de Ddos solución en una red de entrega de contenido se asegura de que usted nunca se quede sin recursos en el origen. Es similar a poner un F5 equilibrador de carga en la parte delantera de su sitio, pero se extendió a miles de lugares alrededor del mundo.

Una buena cdn le permitirá ocultar el origen con una lista blanca que se instale en la aws firewall. Así que cuando los atacantes realizar sus labores de reconocimiento en Amazon, su dirección IP se ven vacías, ya que todo será bloqueado.

Así que los ataques Ddos son bloqueados cuando el tráfico llega un nodo tan cerca como sea posible a la atacante. Esto asegura que usted mitigar los ataques Ddos tan lejos de los activos que está tratando de proteger.

Una buena cdn también puede realizar los controles de salud y de conmutación por error de tráfico a otros lugares, por ejemplo otro ego en el culo, Azure, espacio en el rack, suave capa, un físico dc etc. También debe disponer de un WAF para asegurarse de que puede bloquear la aplicación de la capa de agotamiento de los ataques como RUDY, slowpost, slowloris así como sqli, xss, rfi, lfi, etc.

Por defecto, el cdn también los bloques de la capa de red ataques de gota, los ataques icmp, synfloods etc. Un cdn es capaz de mitigar los ataques Ddos trey tienen grandes cantidades de capacidad para aceptar las peticiones, filtrar tráfico mal y de paso en el tráfico buena. Para la amplificación de los ataques como ntp, DNS, ssdp, chargen de snmp y volumétrica de los ataques puede ser bloqueado.

El mayor ataque que he visto hasta la fecha ha sido 321gbps en julio de 2014. Durante este ataque también hubo un protocolo DNS ataque a 20gbps. Así que usted tendrá que asegurarse de que la infraestructura DNS también es resistente para soportar un gran número de solicitudes.

A partir de la descripción proporcionada, parece que fueron sujetos a un agotamiento de ataque, donde thr atacante abrió un montón de hilos de tal manera que todos los hilos se consumieron en el servidor web, servidor de aplicaciones o servidor de seguridad. Es similar a algo así como una slowpost, slowloris o RUDY.

A bloque en contra de la aplicación de la capa de agotamiento de los ataques usted necesita para obtener un firewall de aplicaciones web (WAF). Un típico servidor de seguridad de red (incluido el amazonas y el firewall de firewalls de próxima generación) no será capaz de bloquear. Enviado el trabajo de los firewalls en estos días sólo puede bloquear aproximadamente el 30% de todos los ataques de estos días (Nov 2014).

2voto

UlyssesGrump Puntos 1

La solución que yo uso para el bloqueo en tiempo real de actividad mal IP saliendo de AWS y demás, es esta... En mi CSF Firewall en el config para LFD listas de bloqueo utilizo una lista de encontrar aquí - http://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addresses_Live_Database_Real-time

Descargar lista Negra para CSF Firewall " http://myip.ms/files/blacklist/csf/latest_blacklist.txt

No más escandalosamente desagradable AWS tráfico.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: