Как защитить DDoS от браузера конечного пользователя?
Подобно тому, что только что испытал Github.com, что, если поставщик сценариев, такой как объявления Google, анализ Google или что-то подобное, добавляет вредоносные сценарии в конце своего сценария и позволяет конечным пользователям попадать в цель? Что если он запретит выполнение целевого сценария? Что если он / она разрешит скрипту запросить произвольный путь к целевому домену?
Как защитить такую атаку?
1 ответ
Это не просто. В основном вы хотите заблокировать трафик как можно раньше.
Обычно это ваши брандмауэры или даже раньше ваш провайдер.
При такой атаке, которая обычно недостаточно гибка, вы можете блокировать только IP-сети.
Вы можете направить весь наш трафик поставщику, который специализируется на предотвращении DDoS-атак.
У них огромные ресурсы полосы пропускания.
Это, очевидно, должно быть хорошо подготовлено.
Для некоторых из этих провайдеров вы должны иметь возможность изменять маршруты BGB.
Они называются центрами очистки или поставщиками чистых труб.
Они забирают весь ваш трафик и отфильтровывают плохой трафик, отправляя только "чистый" трафик на ваши серверы.
Там речь идет о создании правил отлова атакующего трафика.
В простейшем случае запрашивается всегда один и тот же URL.
=> Удалить повторный трафик на этот единственный URL.
Это становится сложнее, когда URL-адреса случайные.
=> Если IP-адрес попадает на страницы, которые возвращают 404 более X раз за Y минут, заблокируйте его.
И еще сложнее, когда URL-адреса случайные, но существуют.
Тогда вам нужно обнаружить аномалию в пробке.
Вы заблокируете некоторых из ваших реальных пользователей, если они используют зараженные страницы, которые используются для DDoS вас.
Это цена, которую нужно заплатить, чтобы ваши услуги были доступны остальным пользователям.