جلوگیری از DDOS

جلوگیری از DDOS توسط CloudFlare

DDOS در حال حاضر از خطرناک ترین نوع حملات محسوب میشود ، به نوعی میتوان گفت مقابله 100% با DDOS غیر ممکن است ، برای مثال سایت اسپم هاوس چند ماه گذشته با پهنای باندی معادل کل پهنای باند ایران ، مورد حمله قرار گرفت و Down شد !

کلا مبنای حملات DOS زیر بار قرار دادن یک سرویس به شکلی که دیگر قادر به پاسخگویی نباشد و باعث اتلاف منابع و نهایتا کرش کردن سیستم شود ، حال این منابع میتواند CPU باشد و یا حتی Bandwidth !

اگر حملات از چندین مبدا باشد Distributed  و یا DDOS نامیده میشود که معضل از اینجا شروع میشود ، برای مثال اخیرا بنده در جریان یک حمله بودم که لاگ فایروال حدود یک میلیون IP متفاوت را در 10 دقیقه تشان میداد !! در همچین شرایطی امکان بستن تمامی این IP ها وجود ندارد …

بدترین نوع حملات DDOS ، نوع Traffic Flood است ، بدین ترتیب که از مثلا 1 میلیون کلاینت ترافیک های کانکشن لس به سمت هدف ارسال میشود و باعث پر شدن پهنای باند میگردد ، که حتی دیتا سنتر های بزرگ نیز قادر به رد کردن بیش از یک حجم مشخص را ندارند !

وقتی شما این عبارت را در گوگل سرچ کنید : DDOS Protected Host به نتایج زیادی بر میخورید که اکثرا fake هستند ولی بعضی قیمت های نجومی و یک Dead Line دارند ! همشان مثلا میگویند ما تا 1 گیگابیت DDOS را هندل میکنیم و بعد از آن Null route ! پس عملا سعی کنید تابلو نشوید چون ، DDOS شدن خرجش 100 هزار تومن است !

ddos1

CloudFlare ادعا میکند که میتواند تا حجم بالایی از ترافیک را هندل و جلوی DDOS را بگیرد ، که البته در مورد اسپم هاوس نشان داد که اینطورا هم نیست.

مکانیسم کار بدین صورت است که شما NS های کلادفلیر را ست میکنید و سپس دامین خود را در پنل کلادفلیر ثبت میکنید ، از آنجا به بعد بسته به جیب شما ، میزان امنیت شما مشخص میشود ! اگر ماهی 3000 دلار هزینه کنید ، به شما تضمین حفاظت کامل در مقابل انواع حملات و ویروس ها و … را میدهد !

در واقع وقتی کسی سایت شما را پینگ میکند IP کلاد را میبیند و مثلا ، IP اصلی سرور شما قابل دسترسی نیست ، پس تمامی خملات به سمت کلاد سرازیر شده ، و کلاد میبایست این حملات را هندل کند :

ddos2

نهایتا باید عرض کنم که باوجود همه این تدابیر و حتی خرید UTM های 100 هزار دلاری ، باز هم امکان DDOS شدن کماکان وجود دارد ، فقط شما میتوانید کمی لایه های حفاظتی را افزایش دهید ولی روزی خواهد رسید که مجبورید بنویسید :

router bgp xxxx
neighbor x.x.x.x remote-as xxxx shutdown

منیع : سایت شبکه

463
۳ دیدگاه
۱۹ اسفند ۹۲

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی - پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم

دیدگاه کاربران