我的网站因为来自多个 IP 范围的简单请求而瘫痪,每秒有数万个或更多的请求。
有没有办法防御这种攻击?
有没有办法追溯到攻击者?
答案1
如果您有大量的时间和资源,您可以追溯到 C&C,但实际上,除非您拥有丰富的知识和经验,否则您不会有太多的运气。
为了防御此类攻击,您可以尝试识别攻击的一些常见方面(例如用户代理),并在它们进入站点的高资源使用部分之前阻止它们(假设它们通过请求需要大量时间处理的动态页面来杀死站点)。您还可以总体上提高性能以处理负载(缓存、优化、购买更多硬件),但这是一场您可能无法取胜的军备竞赛。
最后,如果您只想让问题消失,那就拿出您的支票簿,去找 Arbor networks 等 DDoS 缓解专家。他们收费不低,但确实可以让问题消失,而且这比您自己学习 DDoS 缓解的艰辛过程而让您的网站缓慢而痛苦地死亡要便宜得多。
答案2
您可以尝试使用 SYN Cookies 或 WEB Cookies 来验证尝试访问您网站的来源。
尽管 SYN Cookies 非常简单直接,但令人惊讶的是,许多攻击工具无法正确响应它们。例如,Apache 本身就支持 SYN Cookies(/proc/sys/net/ipv4/tcp_syncookies)。
WEB Cookies 更加复杂,可以通过简单的 302 重定向到同一位置,使用 cookie 来验证真实性,或者使用更复杂的 JS 对象机制。我不知道常规 Web 服务器是否支持这些选项。不过我听说有一个俄罗斯 Web 服务器可以同时运行这两种方式。
当然,正如 womble 上面提到的,您可以从 MSSP(您自己的提供商或“云中”服务)“租用” DDoS 服务器,或者购买您自己的专用反 DoS 设备。有很多,价格范围不同。任何解决方案/产品都有优点和缺点。