DDoS (распределенные атаки типа «отказ в обслуживании») обычно блокируются на уровне сервера, верно?
Есть ли способ заблокировать его на уровне PHP или хотя бы уменьшить?
Если нет, то какой самый быстрый и распространенный способ остановить DDoS-атаки?
DDOS — это семейство атак, которые перегружают ключевые системы в центре обработки данных, включая:
Прежде чем приступить к построению защиты от DDOS, подумайте, какова наихудшая стоимость, подверженная риску. Для некритического бесплатного сервиса для небольшого сообщества общая сумма риска может быть мизерной. Для платной публичной критически важной системы для устоявшегося многомиллиардного бизнеса ценностью может быть ценность компании. В этом последнем случае вам не следует использовать StackExchange :) В любом случае, для защиты от DDOS вам нужен комплексный подход к защите:
Держите все свои системы и программные пакеты обновленными с помощью последних исправлений безопасности — я имею в виду все из них:
Убедитесь, что у вас есть хороший брандмауэр или устройство безопасности, настроенное и регулярно проверяемое квалифицированным экспертом по безопасности. Строгие правила брандмауэра — хорошая защита от многих простых атак. Также полезно иметь возможность управлять пропускной способностью, доступной для каждой открытой службы.
Подготовьте хорошие инструменты мониторинга сети. Это поможет вам понять:
Атака может заключаться в простом интенсивном использовании законных служб веб-сайта (например, попадание «легальных» URI, выполняющих запросы, или вставка/обновление/удаление данных) — тысячи или миллионы запросов, поступающих с десятков или миллионов различных IP-адресов, приведут сайт к его колени. В качестве альтернативы, запуск некоторых служб может быть настолько дорогим, что только несколько запросов вызывают DOS - подумайте о действительно дорогом отчете. Поэтому вам нужен хороший мониторинг происходящего на уровне приложений:
Разумные ограничения и ограничения в вашем приложении. Например, вы можете:
И последнее, но не менее важное: напишите документ План реагирования на DOS и проведите его внутреннюю проверку всеми соответствующими сторонами: бизнесом, руководством, командой разработчиков ПО, ИТ-группой и экспертом по безопасности. Процесс написания документа заставит вас и вашу команду обдумать проблемы и поможет вам подготовиться, если самое худшее произойдет в 3 часа ночи вашего выходного дня. Документ должен охватывать (среди прочего):
Итак, преамбула в сторону, вот несколько конкретных ответов:
DDOS обычно блокируются на уровне сервера, верно?
На самом деле нет — большинство самых страшных DDOS-атак являются низкоуровневыми (на уровне IP-пакетов) и обрабатываются правилами маршрутизации, брандмауэрами и устройствами безопасности, разработанными для борьбы с DDOS-атаками.
Есть ли способ заблокировать его на уровне PHP или хотя бы уменьшить?
Некоторые DDOS-атаки нацелены на само приложение, отправляющее действительные URI и HTTP-запросы. Когда скорость запросов возрастает, ваши серверы начинают работать с перебоями, и у вас может возникнуть сбой в связи с соглашением об уровне обслуживания. В этом случае есть вещи, которые вы можете сделать на уровне PHP:
Мониторинг на уровне приложений: убедитесь, что каждая служба/страница регистрирует запросы таким образом, чтобы вы могли видеть, что происходит (чтобы вы могли предпринять действия для смягчения атаки). Некоторые идеи:
Имейте формат журнала, который можно легко загрузить в инструмент журнала (или Excel или аналогичный) и проанализировать с помощью инструментов командной строки (grep, sed, awk). Помните, что DDOS будет генерировать миллионы строк журнала. Вам, скорее всего, потребуется разрезать ваши журналы (особенно в отношении URI, времени, IP и пользователя), чтобы понять, что происходит, и вам нужно будет сгенерировать такие данные, как:
Запишите IP-адрес каждого запроса. НЕ реверсируйте DNS — по иронии судьбы, затраты на это облегчают атаку DDOS для злоумышленников.
Разумные ограничения скорости: вы можете ввести ограничения на количество запросов, которые данный IP-адрес или пользователь может сделать за определенный период времени. Может ли законный клиент делать более 10 запросов в секунду? Могут ли анонимные пользователи вообще получать доступ к дорогостоящим отчетам?
CAPTCHA для анонимного доступа: внедрите CAPTCHA для всех анонимных запросов, чтобы убедиться, что пользователь является человеком, а не DDOS-ботом.
Какой самый быстрый и распространенный способ остановить DDOS-атаки?
Самое быстрое, наверное, поддаться на шантаж, хотя это может и нежелательно.
В противном случае первое, что вам нужно сделать, это связаться с вашим хостинг-провайдером и/или поставщиком CDN и работать с ними (если они уже не связались с вами и не спросили, что, черт возьми, происходит...). Когда происходит DDOS, это, вероятно, побочно затронет других клиентов хостинг-провайдера, и провайдер может оказаться под значительным давлением, чтобы закрыть ваш сайт просто для защиты своих ресурсов. Будьте готовы поделиться своими логами (любой и всей информацией) с провайдером; эти журналы в сочетании с их сетевыми мониторами могут предоставить достаточно информации, чтобы заблокировать/смягчить атаку.
Если вы ожидаете DDOS, очень хорошей идеей будет квалифицировать вашего хостинг-провайдера по уровню защиты, который он может предоставить. У них должен быть опыт DDOS и инструменты для его смягчения — понимать их инструменты, процессы и процедуры эскалации. Также узнайте, какую поддержку оказывает хостинг-провайдер от их вышестоящих провайдеров. Эти услуги могут означать более авансовые или ежемесячные затраты, но рассматривайте это как страховой полис.
Находясь под атакой, вам нужно будет захватить свои журналы и добыть их — попытайтесь определить схему атаки. Вам следует рассмотреть возможность отключения анонимного доступа и ограничения атакуемых сервисов (т. е. уменьшить ограничение скорости приложения для сервиса).
Если вам повезет, и у вас будет небольшая фиксированная клиентская база, вы сможете определить действительные IP-адреса клиентов. Если это так, вы можете ненадолго переключиться на подход с использованием белого списка. Убедитесь, что все ваши клиенты знают, что это происходит, чтобы они могли позвонить, если им понадобится доступ с нового IP :)
Дуг МакКлин дает отличный совет по адресу: https://stackoverflow.com/a/1029613/1395668
Согласно PHP-части вопроса;
Хотя я не полагаюсь на PHP для этого, его можно реализовать, но необходимо учитывать все эти возможности или больше;
Простое псевдо;
<?php
// Assuming session is already started
$uri = md5($_SERVER['REQUEST_URI']);
$exp = 3; // 3 seconds
$hash = $uri .'|'. time();
if (!isset($_SESSION['ddos'])) {
$_SESSION['ddos'] = $hash;
}
list($_uri, $_exp) = explode('|', $_SESSION['ddos']);
if ($_uri == $uri && time() - $_exp < $exp) {
header('HTTP/1.1 503 Service Unavailable');
// die('Easy!');
die;
}
// Save last request
$_SESSION['ddos'] = $hash;
?>
Уровень php находится слишком поздно в цепочке запросов.
Размещение вашего сервера Apache за устройством с открытым исходным кодом может быть хорошим вариантом для вас.
http://tengine.taobao.org/ содержит некоторую документацию и исходный код дополнительных модулей, направленных на предотвращение DDOS. Это расширение nginx, поэтому вы можете легко настроить его в качестве обратного прокси-сервера для вашего экземпляра apache.
См.: http://blog.zhuzhaoyuan.com/2012/01/a-mechanism-to-help-write-web-application-firewalls-for-nginx/ о том, как бороться с DoS-атаками.
Совсем забыл, http://www.cloudflare.com — один из лучших бесплатных брандмауэров для веб-приложений, у них есть бесплатный и платные планы и спасет вашу задницу от DDOS, мы используем его для многих наших сайтов с высоким трафиком только из-за его возможностей кэширования. Это круто!
Вы не можете сделать это на уровне PHP. DDOS — это своего рода атака, которая отправляет слишком много запросов на ваш веб-сервер. Ваш веб-сервер отклонит запрос до того, как он вызовет ваш PHP-скрипт.
Если вы используете Apache, вот несколько советов от Apache: http://httpd.apache.org/docs/trunk/misc/security_tips.html
С DDoS лучше всего справляются очень дорогие специализированные сетевые устройства. Хосты, как правило, плохо справляются с защитой от DDoS-атак, потому что они подвержены относительно низкой производительности, исчерпанию состояния, ограниченной пропускной способности и т. д. Использование iptables, модов apache и подобных сервисов может помочь в некоторых ситуациях, если у вас нет доступа к оборудованию для защиты от DDoS-атак. или служба защиты от DDoS-атак, но она далека от идеала и по-прежнему подвергает вас риску атаки.
Есть плагины, которые вы можете использовать в apache для ddos/dos. Хорошее начало здесь http://www.debianadmin.com/how-to-protect-apache-against-dosddos-or-brute-force-attacks.html
Если вы на LEMP, вы можете проверить здесь. http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
Это хорошие недорогие отправные точки.
Как насчет чего-то подобного на стороне PHP:
//if user does not change IP, then ban the IP when more than 10 requests per second are detected in 1 second
$limitps = 10;
if (!isset($_SESSION['first_request'])){
$_SESSION['requests'] = 0;
$_SESSION['first_request'] = $_SERVER['REQUEST_TIME'];
}
$_SESSION['requests']++;
if ($_SESSION['requests']>=10 && strtotime($_SERVER['REQUEST_TIME'])-strtotime($_SESSION['first_request'])<=1){
//write the IP to a banned_ips.log file and configure your server to retrieve the banned ips from there - now you will be handling this IP outside of PHP
$_SESSION['banip']==1;
}elseif(strtotime($_SERVER['REQUEST_TIME'])-strtotime($_SESSION['first_request']) > 2){
$_SESSION['requests'] = 0;
$_SESSION['first_request'] = $_SERVER['REQUEST_TIME'];
}
if ($_SESSION['banip']==1) {
header('HTTP/1.1 503 Service Unavailable');
die;
}
НЕ используйте защиту на основе PHP, это ужасно и вряд ли окажет какое-либо влияние! Настройте свой веб-сервер для запросов с ограничением скорости, например, в Nginx, используя модуль limit_req (http://nginx.org/en/docs/http/ngx_http_limit_req_module.html)
Хотя я бы рекомендовал использовать CloudFlare для борьбы с атаками на уровне 4, но не на уровне 7, если вы не готовы платить.
DDOS обычно блокируются на уровне сервера. Пожалуйста, включите защиту от DDOS на уровне вашего сервера. Пожалуйста, ознакомьтесь с примечаниями ниже для защиты от DDOS.
Параметры конфигурации HTTP-сервера Apache, которые могут помочь предотвратить проблемы DDOS:
Директива RequestReadTimeout позволяет ограничить время, которое может потребоваться клиенту для отправки запроса.
Дайте 10 секунд на получение запроса, включая заголовки, и 30 секунд на получение тела запроса:
RequestReadTimeout header=10 body=30
Подождите не менее 10 секунд, чтобы получить тело запроса. Если клиент отправляет данные, увеличьте время ожидания на 1 секунду для каждых 1000 полученных байт без верхнего предела времени ожидания (за исключением ограничения, заданного косвенно LimitRequestBody):
RequestReadTimeout body=10,MinRate=1000
RequestReadTimeout header=10-30,MinRate=500
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500
Директива KeepAliveTimeout также может быть снижена на сайтах, подверженных DoS-атакам. Некоторые сайты даже полностью отключают поддержку активности через KeepAlive, что, конечно, имеет другие недостатки в производительности. Значения различных директив, связанных с тайм-аутом, предоставленных другими модулями, должны быть проверены.
Директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine и LimitXMLRequestBody должны быть тщательно настроены, чтобы ограничить потребление ресурсов, вызванное вводом клиента. Настройте директиву MaxRequestWorkers, чтобы позволить серверу обрабатывать максимальное количество одновременных подключений без исчерпания ресурсов.
Этапы защиты от DDOS:
