Modulo Anti-DDOS para servidor Web Nginx.

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

ANDDOS es un módulo Anti-DDoS para servidores Web Nginx, el objetivo de este modulo es limitar el impacto de los ataques DDOS a los servidores Web a nivel HTTP. No proporciona protección en las capas inferiores (IP, TCP, ..), problemas que deben ser resueltos en otros puntos de la red. Es totalmente transparente, al no utiliza una interacción directa de aplicaciones. Esta demostrado que los enfoques no conductuales no tienen futuro ante los ataques DDoS. Por este motivo ANDDOS adopta un enfoque conductual utilizando un algoritmo que puede aprender de un tráfico en curso, filtrando las peticiones HTTP, basándose en su comportamiento.


Este modulo se compone de dos partes:

  • Procesador de solicitudes, que permiten o deniega las solicitudes de los clientes, utilizando una tabla hash. Tiene algunas limitaciones actualmente, por lo que el filtrado se puede hacer por la lista de IP generada en un servidor de seguridad.
  • Filtro que aprende, guarda estadísticas sobre cada cliente en una tabla de hash.

Posee varios niveles de ejecución que marcan la estrategia de filtrado, que consiste básicamente en que: Un cliente se define por la dirección IP y el encabezado HTTP user_agent (con su cookie). Cada cliente obtendrá su propia cookie y el servidor requerirá de su presencia y valor correcto para procesar las próximas peticiones. El objetivo es detener los ataques a nivel HTTP, que no esperan una respuesta del servidor. Se permite a cada cliente enviar unas primeras peticiones. Y después de identificar el cliente se pueden filtrar en caso de ataque o añadirlo a una lista de clientes.

El algoritmo se centra en los parámetros previstos en respuesta de aplicaciones del servidor, que deben de ser más creíble que los encabezados de solicitud como:

  • Códigos HTTP de respuesta.
  • Tiempo empleado por el proceso de peticiones a nivel global para la detección de los clientes que realizan solicitudes lentas ataque.
  • Secuencia de conexiónes entre las solicitudes por remitente.
  • Solicitud de división basándose en la respuesta de tipo mime.

Fuente:http://www.gurudelainformatica.es/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone