如何保护我的静态网站堆栈免受DDoS攻击?

时间:2015-05-27 20:37:15

标签: security proxy dns reverse-proxy ddos

作为一个思想实验,我正在寻求设计一个价格合理的静态网站堆栈,它没有单点故障,分布式,持久,安全且非常快。我的基本蓝图如下:

  • 主要和辅助管理任播DNS(分别为NSONE和Dyn)
  • 主静态网站(AWS S3)和故障转移静态网站(Rackspace)
  • Cloudfront,Azure,Softlayer和Rackspace上的多CDN分发(使用NSONE的过滤器链完成)

现在,这个蓝图的绝大部分使用按使用付费的服务这一事实使得堆栈价格合理且可扩展。但是,我看到的单一明显的漏洞可能是财务拒绝服务(FDoS)攻击滥用堆栈并运行用户账单,直到他们被迫使其网站脱机。

因此,需要考虑并减轻各种DDoS攻击以防止滥用。由于两个原因,常见的DDoS反向代理服务存在问题。首先,它们位于DNS服务器和Web服务器之间,因此无法保护DNS免受滥用。其次,有一些方法可以通过发生的各种泄漏来发现模糊的Web服务器的IP(鉴于服务不使用静态IP,S3和Rackspace上的问题较少,您可以限制访问权限你的CDN)。 GRE隧道可以防止这些泄漏,并且可以通过一些高端DDoS服务实现,但这仍然无法保护DNS。

因此,似乎需要一个位于托管DNS服务前面的解决方案。也许设置一个位于DDoS过滤网络上的DNS代理服务器,该服务器将清理后的流量转发到托管DNS提供商的网络,在那里给予合法查询响应?这可以使用BIND转发完成吗?如果是这样,为了避免DNS代理成为单点故障,可以建立使用小实例的小型/多样化任播DNS代理网络。假设这是一个有效的解决方案,它需要更多的工作,但可能仍然比企业DDoS解决方案便宜得多。

好的,这就引出了一个问题,潜在的攻击者是否仍然可以使用前面的DNS代理服务器攻击您的托管DNS?是否还有明显明显的攻击途径?我认为有必要为CDN发行版创建规则以响应攻击的细节。在这种情况下,除了创建自己的规则之外,如果CDN本身没有防DDoS过滤器,是否有办法防止文件的大量请求带宽带宽?

好的,谢谢你忍受我的思想实验。同样,我只是希望找到没有单点故障的最佳解决方案,价格合理,分布式,耐用,安全且速度非常快。再次感谢您,我期待听到您的技术意见!

0 个答案:

没有答案