Load balancing la ddos pentru firmele mici

Limbaje de Programare Backend
,
1

Ma intrebam ce solutii de load balancing aveti pentru firmele mici impotriva unui ddos mai serios (gen un ddos platit cu botneti de la concurenta, adica layer 3,4 in special)

Prin firmele mici ma refer la un buget de sub 100 de euro lunar, ca solutii mai scumpe sunt destule.

Eu ma gandesc la Microsoft Azure si Amazon AWS in special, cel putin pentru frontend si API-uri. Nu cred ca existe firme din Romania cu o infrastructura decenta la un pret rezonabil. E Voxility dar trebuie sa iti faci propriul sistem de load balancing si devine mai scump ca si Azure. (ma rog au si ei un sistem de ‘500 Gbps redirect’ dar e overkill pentru 500 de euro lunar)

1 Like
2

Cred că pentru ddos nu răspunzi cu load balancer. Ceva de genul cloudflare ar fi mai potrivit (și cred că mai e și moca).

1 Like
3

Eu vorbesc de situatiile in care cloudflare-ul moca iti blocheaza si el traficul si primesti email sa faci upgrade la pachetul de 200 euro lunar care practic e un load balancer care face cache pe mai multe servere. Am implementat web application firewall cu nginx testcookie si limit ip conn.

1 Like
4

Poti pune nginx.conf-ul open source si link catre modulele nginx aferente (if any)?

1 Like
5

Tot ce folosesc mai special la nginx:


si

La testcookie module aes.min.js-ul il am pe github.

Dupa mai multe ore de cercetare am gasit urmatoarele informatii interesante :
0. Setare Round-Robin DNS pe frontend-uri, adica distribuirea pe mai multe ip-uri prin lume cu vps-uri ieftine care sa faca proxy la un frontend primar ascuns. (de fiecare data cand intrii pe un site, iti va da alt ip, vezi google.com)
https://www.digitalocean.com/community/tutorials/how-to-configure-dns-round-robin-load-balancing-for-high-availability
https://support.cloudflare.com/hc/en-us/articles/200168916-Can-I-use-round-robin-DNS-entries-

  1. Blocare totala UDP pe frontend.
  2. Utilizare https://en.wikipedia.org/wiki/Anycast pentru DNS-uri (practic utilizarea unui serviciu de cloud dns hosting global), aici intervine Cloudflare si alternativele.
  3. Se va utiliza mereu un server extern pentru trimis si primit mail-uri fata de backend-ul principal.
  4. Ideea mea cel putin, e sa existe si un frontend exclusiv IPv6. In Romania avem acoperire IPv6 destul de buna. Majoritatea nu vor ataca un ip ipv6 sau botnetii nu au ip-uri ipv6. Probabil ca aceasta ar fi cea mai ieftina solutie ca si compromis, intradevar multi nu vor avea ipv6 dar majoritatea tot vor putea intra.
  5. Utilizarea unui CDN protejat pentru resurse ca sa scadem costul vps-urilor din frontend.
  6. Daca sunt bani poate exista un honeypot frontend care sa filtreze cu echipament dedicat/in cloud si sa faca share la reguli la celelalte frontend-uri.

Ca si fapt divers : https://www.staminus.net/dns-srv-making-it-more-difficult-to-ddos-your-minecraft-server-and-how-to-bypass-it/
(extrem de util pentru servere de jocuri, api-uri, etc., majoritatea nu se vor chinui sa afle adresa reala)

In concluzie, ideal ar fi sa fie minim 3 ip-uri in round-robin dns pe vps-uri in locatii diferite (ideal la AWS, Azure pentru cativa centi pe ora), cel putin un frontend ipv6 exclusiv sau cu ipv4 dar cu allow pe o anumita tara, server dns distribuit si nimic legat de udp sau mail pe backend. (backend total ascuns)

2 Likes