Si presento un retraso de Thread.Sleep(x) mientras renderizo mi respuesta HTTP, donde x cambiaría dependiendo de la tasa de solicitudes de una IP dada: de ser cero mientras la tasa de solicitud es baja, y aumenta gradualmente si las solicitudes siguen una detrás de otra.Ataque DDOS: defensa con Thread.Sleep()?
¿Es esta una solución viable para proteger contra un DDOS?
¿Cuáles son los puntos débiles?
No. A DDoS es un ataque que utilizó muchas máquinas comprometidas para atacar a un objetivo. Eso protegerá contra ataques más pequeños como DoSes, pero no ataques distribuidos. Por lo general, su servidor web se bloqueará antes de que pueda tener algún efecto.
Recomendaría un servidor o servicio de protección DDoS si tiene muchos problemas con ellos.
Definitivamente no previene un DDOS porque el equipo de red en frente de su aplicación aún puede verse abrumado.
Además, la naturaleza distribuida de una "denegación de servicio distribuida" significa que obtendrá tráfico excesivo de muchas direcciones IP diferentes, no una.
Pero, independientemente de lo que haga en su aplicación, no se sobreponga a lo que está delante de su aplicación.
No, no protege contra ataques DDOS. Protege a la CPU de la sobrecarga, pero aún ocupa el hilo mientras está durmiendo, por lo que un atacante puede ocupar fácilmente todos los hilos asignados en el servidor web, lo que lo hace insensible. De hecho, hace que sea más fácil realizar un ataque DDOS.
Un sueño se puede utilizar para proteger contra ataques de fuente bruta al reducir el número de intentos que se pueden hacer por segundo. (El inconveniente es, por supuesto, que lo hace más sensible a los ataques DDOS.)
+1 porque agotar un recurso es de lo que se tratan los ataques DDoS. CPU, memoria, hilos, conexiones, ancho de banda, cualquier recurso finito. –
Un hilo de suspensión es útil solo para ayudar a protegerse contra los ataques de criptografía. Puede usarlos para protegerse contra:
Además de éstos usos, un hilo de dormir no tiene mucha aplicación en seguridad. Atan los recursos (conexiones o estado de sesión), por lo que son inútiles para protegerse contra un ataque DoS.
DDoS no pueden protegerse con código, es más que proteger su servidor, por lo general, DDoS perjudica su equilibrador de carga y cortafuegos si tiene alguno, si no el DDoS dañará su servidor.
DDoS se pueden hacer a través de muchos niveles: UPD/TCP/HTTP, etc ...
La mejor manera de protegerse de los ataques DDoS es utilizar proxy inverso así que si vas a su sitio no lo puedo mostrar el verdadero IP, y felizmente ahora lo tenemos gratis con Cloud Flare.https://www.cloudflare.com/
Escribí un pequeño artículo sobre cómo Cloud Flare te protege, ya que los estoy usando desde hace un año y son los MEJORES hasta ahora y los más baratos.
http://www.yourwwwdesign.com/2012/07/23/best-practice-to-protect-your-site-from-ddos-for-free/
Espero que esto ayude! si necesita más ayuda, no dude en ponerse en contacto conmigo.
¿Esto realmente protege contra un DDoS, o solo reduce el número de conexiones necesarias para crear un DDoS en su servidor? Además, ¿no está diseñando su servidor para responder más lentamente durante el tráfico pesado que una especie de punto débil incorporado? – Caleb
La idea es ajustar la función que produce 'x' dependiendo de las tasas de solicitud, de modo que permita que las solicitudes regulares se realicen fácilmente, mientras que la repetitividad excesiva introducirá retrasos. Por lo tanto, no debería ser un punto débil. El punto débil, como han mencionado otros, es la naturaleza distribuida de las solicitudes. – Andy
Bueno, sí, ese es el punto. Su servidor, por su diseño, se ralentizará si alguien publica un enlace a una de sus páginas en Slashdot. Eso no es un DDoS real (o tal vez lo es), pero no podrá notar la diferencia. – Caleb