 fox
II/IDEC networks :: habra.14 :: / Сравнение Security Enhanced NGINX и Hiawatha Web Server при отражении атак 7 уровня (BOTS/SQL/XSS etc.)
|
Login |
[#]
Сравнение Security Enhanced NGINX и Hiawatha Web Server при отражении атак 7 уровня (BOTS/SQL/XSS etc.)
habrabot(difrex,1) — All
2015-06-12 19:00:02
Добрый день. В завершение «недели NGINX», мы решили рассказать об очень интересной сборке «безопасной» версии NGINX китайской компании [Neusoft][1], о которой не было замечено ни одной статьи на Хабре, а именно — [SeNginx][2]. В дополнение к этому, мы также расскажем вам о втором веб сервере, которому не уделяется так много внимания, как Nginx — [Hiawatha Web Server][3], и постараемся сравнить Hiawatha с SeNginx в плане использования их для обеспечения безопасности вашего сайта или web приложения. ![image][4] ![image][5] Отметим, что за 5 лет существования нашей хостинговой компании ([WooServers][6]) нам довелось повидать целый спектр атак различных уровней и типов на сайты и web приложения наших клиентов, а также поработать с London Metropolitan Police в поиске и поимке одного управляющего ботнетом. Сегодня DDoS атаки стали настолько частыми, что только за вчерашний день Arbor® в одном из наших датацентров зафиксировал [49 DDoS атак 3/4 уровней][7] мощностью до 20-25 Gbit/s ([график 1][8] и [график 2][9]). И, хотя Arbor® девайсы и могут при определенной настройке неплохо [справляться с атаками 3 и 4 уровня][10], они практически бесполезны при атаках 7 уровня, целью которых является перегрузка ресурсов сервера, а также поиск уязвимостей в вашем приложении. Самым бюджетным вариантом отражения атак 7 уровня являются различные варианты с использованием DNS RoundRobin + HaProxy, Nginx, Varnish Cache и т.д., которые либо позволяют рассредоточить атаку между несколькими серверами клиента, либо дают возможность обработать запросы ботов «в лоб» с помощью отдачи кешированной версии страницы. Данный подход, к сожалению, часто требует ручной настройки, постоянного мониторинга и редко эффективен при меняющихся типах атак. Наглядное представление DNS RoundRobin + Nginx ([источник][11]): ![image][12] После длительных поисков нами был найден отличный модуль к NGINX, написанный русскими программистами на Perl в 2012 году и позволяющий фильтровать ботов, которые заходят на ваш сайт в автоматическом режиме — [Roboo][13] ([статья на Хабре][14]). Модуль показал себя с наилучшей стороны, позволяя фильтровать сотни тысяч запросов от ботов с помощью NGINX с минимальной нагрузкой на сервер. [Читать дальше →][15]
[1]: http://security.neusoft.com/
[2]: http://senginx.org
[3]: https://www.hiawatha-webserver.org/
[4]: https://habrastorage.org/getpro/habr/post_images/738/067/12c/73806712cbea0744ea5624271592d3c6.png
[5]: https://www.hiawatha-webserver.org/images/hiawatha_logo.png
[6]: http://wooservers.com
[7]: https://habrastorage.org/files/e9f/396/692/e9f396692bc4453a8fd58fb38c8728f6.png
[8]: https://habrastorage.org/files/6c3/37a/a4a/6c337aa4a0c74e2a8c059da49ae9ab79.png
[9]: https://habrastorage.org/files/3c7/e7e/6db/3c7e7e6dbb02437a83d0f009478d7ebe.png
[10]: http://habrahabr.ru/company/timeweb/blog/161427/
[11]: http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/
[12]: https://habrastorage.org/getpro/habr/post_images/dc1/e4c/727/dc1e4c727aa071a7e9bde1d06edad41f.png
[13]: https://github.com/yuri-gushin/Roboo
[14]: http://habrahabr.ru/post/139931/
[15]: http://habrahabr.ru/post/260159/#habracut
habrabot(difrex,1) — All
2015-06-12 19:00:02
Добрый день. В завершение «недели NGINX», мы решили рассказать об очень интересной сборке «безопасной» версии NGINX китайской компании [Neusoft][1], о которой не было замечено ни одной статьи на Хабре, а именно — [SeNginx][2]. В дополнение к этому, мы также расскажем вам о втором веб сервере, которому не уделяется так много внимания, как Nginx — [Hiawatha Web Server][3], и постараемся сравнить Hiawatha с SeNginx в плане использования их для обеспечения безопасности вашего сайта или web приложения. ![image][4] ![image][5] Отметим, что за 5 лет существования нашей хостинговой компании ([WooServers][6]) нам довелось повидать целый спектр атак различных уровней и типов на сайты и web приложения наших клиентов, а также поработать с London Metropolitan Police в поиске и поимке одного управляющего ботнетом. Сегодня DDoS атаки стали настолько частыми, что только за вчерашний день Arbor® в одном из наших датацентров зафиксировал [49 DDoS атак 3/4 уровней][7] мощностью до 20-25 Gbit/s ([график 1][8] и [график 2][9]). И, хотя Arbor® девайсы и могут при определенной настройке неплохо [справляться с атаками 3 и 4 уровня][10], они практически бесполезны при атаках 7 уровня, целью которых является перегрузка ресурсов сервера, а также поиск уязвимостей в вашем приложении. Самым бюджетным вариантом отражения атак 7 уровня являются различные варианты с использованием DNS RoundRobin + HaProxy, Nginx, Varnish Cache и т.д., которые либо позволяют рассредоточить атаку между несколькими серверами клиента, либо дают возможность обработать запросы ботов «в лоб» с помощью отдачи кешированной версии страницы. Данный подход, к сожалению, часто требует ручной настройки, постоянного мониторинга и редко эффективен при меняющихся типах атак. Наглядное представление DNS RoundRobin + Nginx ([источник][11]): ![image][12] После длительных поисков нами был найден отличный модуль к NGINX, написанный русскими программистами на Perl в 2012 году и позволяющий фильтровать ботов, которые заходят на ваш сайт в автоматическом режиме — [Roboo][13] ([статья на Хабре][14]). Модуль показал себя с наилучшей стороны, позволяя фильтровать сотни тысяч запросов от ботов с помощью NGINX с минимальной нагрузкой на сервер. [Читать дальше →][15]
[1]: http://security.neusoft.com/
[2]: http://senginx.org
[3]: https://www.hiawatha-webserver.org/
[4]: https://habrastorage.org/getpro/habr/post_images/738/067/12c/73806712cbea0744ea5624271592d3c6.png
[5]: https://www.hiawatha-webserver.org/images/hiawatha_logo.png
[6]: http://wooservers.com
[7]: https://habrastorage.org/files/e9f/396/692/e9f396692bc4453a8fd58fb38c8728f6.png
[8]: https://habrastorage.org/files/6c3/37a/a4a/6c337aa4a0c74e2a8c059da49ae9ab79.png
[9]: https://habrastorage.org/files/3c7/e7e/6db/3c7e7e6dbb02437a83d0f009478d7ebe.png
[10]: http://habrahabr.ru/company/timeweb/blog/161427/
[11]: http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/
[12]: https://habrastorage.org/getpro/habr/post_images/dc1/e4c/727/dc1e4c727aa071a7e9bde1d06edad41f.png
[13]: https://github.com/yuri-gushin/Roboo
[14]: http://habrahabr.ru/post/139931/
[15]: http://habrahabr.ru/post/260159/#habracut