Heroku现在正处于DDoS攻击之下,这导致整个网站出现间歇性可用性问题(当然!)我的应用程序。
我最近看到过很多类型的攻击,包括几个月前在Register.com上发生的巨大DDoS攻击。
我的问题是,如果攻击者对Heroku的一个客户进行了归零会怎么样?
答案 0 :(得分:9)
简短回答:是的。 Heroku的dynos受到它们各自拥有自己的文件系统和自己的用户等的保护。
答案很长:根据(D)DoS攻击的严重程度,可能有一点来自DoS攻击的请求加载将需要比heroku云可用的资源更多的资源。您可能会遇到延迟请求,应用程序响应速度可能会降低。重要的是要了解这种“缺乏绩效”并不表示违反安全性。 Heroku,(我与员工一起使用的iirc)有一个非常强大的路由层,有助于平衡负载并避免使用故障排除和/或无响应的动态(应用程序的实例),但是再一次,真正的分布式拒绝服务攻击,它在服务器上的负载量很大,最终可能会达到云中资源不足的程度。
<speculating>
正是在这一点上,提供者(在这种情况下是Heroku)通常只能尝试隔离攻击,通常通过“保持线路”来完成,如果你将在dns级别和(暂时)拒绝受到域名攻击的请求。不是说这是唯一的方法,而是一种方式。非常依赖于攻击的具体细节,当然作为局外人,我不知道。
</speculating>
参考:http://www.heroku.com/how/dynos
我不是Heroku的员工或代表,只是一个用户 - 与他们交谈以获取更多细节
答案 1 :(得分:1)
此问题可能较旧,但在搜索结果中显示的位置很高。
Heroku在其安全页面上声明:
DDoS缓解
我们的基础设施提供DDoS缓解技术,包括TCP Syn cookie和连接速率限制,以及维护多个骨干网连接和超出Internet运营商提供的带宽的内部带宽容量。我们与供应商密切合作,以便在需要时快速响应事件并启用高级DDoS缓解控制。
来源:https://www.heroku.com/policy/security
测试DDoS负载时也很有趣:
请求排队
每个路由器维护一个内部的每个应用程序请求计数器。对于Cedar应用程序,路由器将每个dyno的活动请求数限制为50.然而,路由器之间没有协调,因此该请求限制是每个路由器。如果特定路由器上的请求计数器填满,则对该路由器的后续请求将立即返回H11(Backlog太深)响应。
来源:https://devcenter.heroku.com/articles/http-routing#request-queueing