Google App Engine и dos.XML

Я понимаю, что единственный способ действительно смягчить DDoS-атаку-автоматизировать процесс занесения в черный список IP-адресов/диапазонов.

Google App Engine (GAE) позволяет настроить и загрузить dos.xml file и указать IP-адреса / диапазоны в черный список в любой момент времени.

очевидно, что если мое веб-приложение находится под хорошо организованной DDoS-атакой, IP-адреса / диапазоны, которые будут атаковать меня, будут постоянно меняться.

как часто GAE позвольте мне обновить dos.xml? Сколько времени нужно, чтобы изменения вступили в силу? Я спрашиваю, потому что я придумываю AutoBlacklister система, которая проверяет IP-адреса, которые она считает злоумышленниками, и обновит dos.xml динамически. Если нападающих больше 100 (GAE ограничивает вас 100 адресами/диапазонами), то в списке будет только топ-100 "худших преступников".

но если dos.xml можно обновить только с определенной периодичностью (например, раз в день и т. д.), и если это занимает слишком много времени (более нескольких минут!) чтобы вступить в силу, то эта система в значительной степени бесполезна против реальные DDoS.

кроме того, этот вопрос предполагает, что есть способ автоматизировать загрузку dos.xml: есть ли? Я бы представьте себе, есть безопасный URL, на который я могу загрузить файл с чем-то вроде HttpClient, но с GAE вы никогда не знаете, с какими условиями / ограничениями вы столкнетесь! Заранее спасибо!

2 ответов


черный список IPs не 100% DDoS методы смягчения доказательства, как:

A.) ботнет DDoS будет использовать законные IPs (т. е. Троянский ботнет), и в этом случае блокировка IP также будет препятствовать доступу законных пользователей.

B.) Это ничего не сделает против сетевой DDoS-атаки (т. е. SYN Flood) - атаки, которая использует поддельные IPs и даже не нуждается в установлении полного двухстороннего соединения для работы DDoS. (Чтобы остановить это, вам нужно будет иметь какие-то Передние ворота обратный прокси-сервер на месте, чтобы предотвратить доступ, пока не будет установлено полное 2-соединение --> ACK получено.)

для полной защиты DDoS вам нужно будет иметь достаточно большую "трубу", либо инвестируя в аппаратное обеспечение (слишком экспансивное и, следовательно, обычно не рентабельное), либо в решение прокси-сервера Передних ворот, которое сбалансирует дополнительный трафик, позволяя вам оставаться полностью работоспособным (т. е. облачный прокси).


вы можете обновить dos.xml через AppCfg. Можно обновить этот файл без полной передислокации сервера, что является дорогостоящим процессом. Насколько мне известно, нет ограничений на то, как часто это обновление может быть выполнено.

полное развертывание имеет ограничение, которое описано здесь:

количество раз, когда приложение было загружено разработчиком. Текущая квота составляет 1000 день.