Защищает ли Heroku отдельные сайты от DoS / DDoS-атак?
Heroku, похоже, находится под DDoS-атакой прямо сейчас, что вызывает периодические проблемы с доступностью на сайте, проявляющиеся (конечно!) мое приложение.
недавно я видел несколько таких атак, включая огромную DDoS-атаку на Register.com несколько месяцев назад.
мой вопрос в том, что произойдет, если злоумышленники обнулят одного из клиентов Heroku?
защищает ли Heroku отдельные приложения от DoS и DDoS нападения?
2 ответов
короткий ответ: да. Dynos Heroku защищены тем, что каждый из них имеет свою собственную файловую систему и своего пользователя и т. д.
длинный ответ: в зависимости от серьезности (D)DoS-атаки может быть точка, когда загрузка запросов от DoS-атаки потребует больше ресурсов, чем доступно облаку heroku. Вы можете столкнуться с отложенными запросами, и отзывчивость приложения может быть уменьшена. Это важно, хотя понять, что это "отсутствие производительности" не делает укажите нарушение безопасность . Heroku, (iirc из пары встреч, которые у меня были с сотрудниками), имеет довольно надежный уровень маршрутизации, который помогает сбалансировать нагрузку и избежать использования устранения неполадок и/или невосприимчивых dynos (экземпляров вашего приложения), но опять же, действительно распределенная атака отказа в обслуживании, с нелепым количеством нагрузки на сервер может в конечном итоге попасть в точку, где ресурсов в облаке просто недостаточно.
<speculating>
Именно в этом укажите, что провайдеры (Heroku в этом случае) обычно есть только возможность попытаться изолировать атаку, обычно это делается путем "удержания линии", если вы будете на уровне dns и (временно) отклонять запросы к домену/S под атакой. Не сказать, что это единственный путь, но один. Очень зависит от специфики атаки, которую, конечно, как аутсайдер, я не знаю.
</speculating>
ref: http://www.heroku.com/how/dynos
Я не сотрудник или представитель Heroku, просто пользователь-- поговорите с ними для более подробной информации
этот вопрос может быть старше, но он показан на высокой позиции в результатах поиска.
Heroku заявляет на своей странице безопасности:
Смягчение DDoS
наша инфраструктура предоставляет методы смягчения DDoS, включая файлы cookie TCP Syn и ограничение скорости соединения, в дополнение к поддержанию нескольких магистральных соединений и внутренней пропускной способности, которая превышает пропускную способность интернет-оператора. Мы тесно сотрудничаем с нашими поставщиками для быстрого реагирования на события и включения расширенных мер по смягчению последствий DDoS, когда это необходимо.
источник:https://www.heroku.com/policy/security
также интересно при тестировании нагрузки DDoS:
запрос обслуживания
каждый маршрутизатор поддерживает внутренний счетчик запросов для каждого приложения. Для приложений Cedar маршрутизаторы ограничивают количество активных запросов на dyno до 50. Однако нет координации между маршрутизаторами, поэтому это ограничение запроса на маршрутизатор. Если счетчик запросов на определенном маршрутизаторе заполняется, последующие запросы к этому маршрутизатору немедленно вернут ответ H11 (отставание слишком глубокое).
источник:https://devcenter.heroku.com/articles/http-routing#request-queueing