Estoy buscando las mejores prácticas para detectar y prevenir DOS en la implementación del servicio (no monitoreo de red externo). El servicio maneja consultas para información de usuarios, grupos y atributos.¿Mejores prácticas para detectar ataques DOS (denegación de servicio)?
¿Cuál es su fuente de información favorita para manejar DOS?
Ésta es una técnica muy útil que encontré ..
Prevent Denial of Service (DOS) attacks in your web application
lo que haga contra DoS ataques, si piensa lo que haces puede en realidad aumentar el la carga requerida para manejar las solicitudes maliciosos o no deseados!
Si está utilizando Linux entonces usted debe leer este artículo:
Rule-based DoS attacks prevention shell script (de la Gaceta de Linux) Tiene las siguientes temas:
Al aplicar esto sin restringir adecuadamente el número de direcciones IP bloqueadas en iptables se puede introducir una vulnerabilidad de DoS al aumentar los recursos requeridos para generar solicitudes no solicitadas. Para reducir ese riesgo, use ipset para que coincida con las direcciones IP en iptables.
Además, lea sobre ssh dictionary attack prevention using iptables. (Permitiendo iptables con los cortafuegos de estado según se sugiere aquí no protege contra la mayoría de denegación de servicio contra-ataques, pero en realidad puede aliviar DoS ataques que contaminan la memoria RAM con la información de estado inútil.)
Nuevo en Linux? lea el Windows-to-Linux roadmap: Part 5. Linux logging de IBM.
¡Buena suerte!
Mi primer intento para resolver la vulnerabilidad DoS utilizó el enfoque sugerido por Gulzar, que es básicamente limitar el número de llamadas permitidas desde la misma dirección IP. Creo que es un buen enfoque, pero, desafortunadamente, causó que mi código fallara una prueba de rendimiento.
Como no pude hacer que el grupo de prueba de rendimiento cambiara su prueba (un problema político, no técnico), cambié para limitar el número de llamadas permitidas durante un intervalo configurable. Hice la cantidad máxima de llamadas y el intervalo de tiempo configurable. También permití establecer un valor de 0 o un número negativo que deshabilita los límites.
El código que debe protegerse es utilizado internamente por varios productos. Por lo tanto, hice que cada grupo de productos ejecutara sus series de QA y pruebas de rendimiento, y se obtuvieron los valores predeterminados que eran lo más pequeños posibles para limitar un verdadero ataque DoS, pero que aún pasaron todas las pruebas.
FWIW, el intervalo de tiempo fue 30 segundos y el número máximo de llamadas fue 100. Esto no es un enfoque completamente satisfactorio, pero es simple y práctico y fue aprobado por el equipo de seguridad corporativo (otra consideración política).
Parece que has usado la solución de Gulzar y luego te has agregado sabor, creo que en ese caso deberías darle crédito a Gulzar y aceptar su respuesta – Harryboy
Los productos que usan mi biblioteca tienen que funcionar en Windows y AIX además de Linux. –