स्लो रीड DoS हमले के समर्थन के साथ
धीमेपन का एक नया संस्करण जारी करके, मैंने कई उपयोगकर्ताओं को उनकी सेवाओं का परीक्षण करने में मदद की। एक परीक्षण के दौरान एक शिक्षाप्रद कहानी हुई जो मैं बताना चाहता हूं।
मुझे एक पत्र मिला जिसमें आप धीमी गति से चलने वाले परिणामों को देखने के लिए कहेंगे। रिपोर्ट के अनुसार, कार्यक्रम ने सेकंड के एक मामले में सेवा को झुका दिया, जो अविश्वसनीय नहीं लग रहा था। आर्किटेक्चर के अनुसार, यह सेवा दुनिया भर के हजारों ग्राहकों की सेवा करने में सक्षम है, और धीमे-धीमे एक हजार कनेक्शन द्वारा सीमित है।
सेवा का विचार देने के लिए, मेरा कहना है कि संगठन में लगभग 60,000 पंजीकृत उपयोगकर्ता हैं, जो क्लाइंट एप्लिकेशन इंस्टॉल किए गए हैं, जो कभी-कभी केंद्रीय सर्वर से जुड़ते हैं, निर्देश प्राप्त करते हैं और परिणाम भेजते हैं (यह botnet नहीं है!)।
लगभग 2,000 क्लाइंट एप्लिकेशन किसी भी समय चल रहे हैं, और उनमें से कई सौ एक ही समय में सर्वर से जुड़े हैं।
सबसे पहले, मुझे संदेह था कि यह एक कंप्यूटर से अभिभूत हो सकता है, लेकिन मैं इस बारे में मजाक नहीं कर रहा था, मैंने वास्तुकला के बारे में पूछा था।
सिस्टम प्रसिद्ध ड्राइंग के अनुसार बनाया गया था, सिस्टम के घटकों की निगरानी की गई थी, समय पर पैच स्थापित किए गए थे, कुछ भी अजीब नहीं है जो इसे विफल करने की अनुमति दे सकता है।
सिस्टम की वास्तुकला इस प्रकार है:
- राउंड-रॉबिन डीएनएस, लोड-बैलेंसर के रूप में काम कर रहा है, और एक या दूसरे स्क्वीड के आईपी पते के साथ अनुरोधों का जवाब देते हुए, रिवर्स प्रॉक्सी के रूप में काम कर रहा है
- उनके लिए आवंटित शक्तिशाली मशीनों पर दो Zafirevolnutny स्क्वीड सर्वर
- वेब सर्वर का क्लस्टर
- एप्लिकेशन सर्वर का क्लस्टर
मैंने खुदाई शुरू की - एक उपयोगिता जो DNS को क्वेरी करने में मदद करती है, एक डोमेन नाम के अनुरूप आईपी पते की एक सूची प्राप्त की और एक स्क्वीड पर ध्यान केंद्रित करने के लिए / etc / मेजबान में एक पते को पंजीकृत किया।
एग्रेसिवली धीमे से सेट अप करें, इसे एक बॉस की एक फोटो के साथ एक URL देते हुए
शुरू करें ! 1000 कनेक्शन प्रति कनेक्शन 10 बार तस्वीर का अनुरोध करते हैं, और सर्वर प्रतिक्रियाओं को तुरंत पढ़ते हैं।
और सच झूठ! मैंने यह सुनिश्चित करने के लिए कि मेरे आईपी पर प्रतिबंध नहीं है, एक प्रॉक्सी के माध्यम से ब्राउज़र से डबल-चेक किया और यहां इस व्यक्ति ने हमले को काटने की मांग करते हुए खुद को ऊपर खींच लिया।
संक्षेप में, यह पता चला कि यह एक सरल कॉन्फ़िगरेशन त्रुटि है, और ऑपरेटिंग सिस्टम की सीमा (एंटरप्राइज रेडहैट, वैसे) एक प्रक्रिया द्वारा खुली फ़ाइल डिस्क्रिप्टर की संख्या के लिए 1024 है, इसलिए स्क्विड सिर्फ इस सीमा में भाग गया।
कहानी की नैतिकता, इस तथ्य के अलावा कि अच्छी पराजित बुराई है, यह है कि सिस्टम की सुरक्षा का स्तर सबसे कमजोर लिंक की सुरक्षा के स्तर से निर्धारित होता है, और आपको वास्तुकला की "शुद्धता" पर भरोसा किए बिना, कहीं भी चाल का इंतजार करना चाहिए। और इस तथ्य में भी कि पैच समय पर स्थापित करने के लिए पर्याप्त नहीं हैं, और बाहर से सुरक्षा का आकलन करना आवश्यक होगा। विशेष रूप से, यदि कोई सिस्टम एक मिनट में 10,000 कनेक्शनों को बंद कर देता है, तो इसका मतलब यह नहीं है कि वह 6 सेकंड में 1,000 कनेक्शनों का सामना कर सकता है, यदि कनेक्शनों का जीवन 6 सेकंड है, उदाहरण के लिए।
यदि आपके पास अभी भी 20,000 ग्राहक एक ही समय में जुड़े हैं, तो क्या करें - एक और चर्चा का विषय।