Ddos ve Ddos engelleme konusunda kısıtlı bir bilgim mevcut. Olası bir API endpointime veya servera Ddos saldırısında nasıl bir yol izlemeliyim diye araştırmalar yapıyorum. Merak ettiğim bir kaç şey var yanıtlarsanız çok memnun kalırım hocam. @ozgurozturknet
Cloudflare saldırıları azalıyor ve ipleri tespit edip ip engellemesi yapabiliyoruz bu bilgiler her yerde var buraya kadar tamam ama kendi LB mı ec2 server üzerine kurup ddos yapan ipleri engelleme yapmak istersem ACL üzerinden sanırım engelleyebiliyormuşum? Doğruysa Benim merak ettiğim ve kafamın karıştığı yer bunun (ACL nin) bir ücreti/sınırı var mıdır bazı yerlerde aws acl ücreti almıyor yazıyor bazı yerlerde de ücretlidir her kural için ücret alınır yazıyor.
Bunun dışında AWS WAF, AWS STANDART SHIELD ve AWS CONFIG’ ten bahsediyorlar ama biri kural başı 1 dolar+5$ bölge ücreti diğeri sabit fiyatlı 100 papel pek anlamadım özetle merak ettiğim ACL eklenen ipler ücretli midir? Bir sınır var mıdır? Client üzerinden gelen istekleri (ip adreslerini) EC2 üzerine kurduğum LB üzerinden alıp logluyor muyuz bunun takibini en güzel şekilde hangş yöntem ve yazılımlarla nasıl yapabilirim merak ediyorum. +Kaynak öneriniz varsa da çok iyi olur hocam.
Şimdi öncelikle ddos nasıl oluyor bunu bir düşünün. Ddos dediğimiz aynı anda birden fazla cihaz üzerinden hedef bir sisteme ya gerçek istek gönderilip ya da sadece bağlantı isteği gönderip bağlantı açılmasının sağlanarak hedef sistemin bu yoğun trafiğe cevap veremeyecek duruma gelmesinin sağlanmasıdır. Ddos genel olarak dünyanın her yerinden internete bağlı binlerce hatta onbinlerce cihazın infekte edilerek kontrol altına alınması ve ana bir merkezden bunların hedef sisteme bağlantı kurmasının sağlanarak saldırının gerçekleştirilmesk yöntemiyle çalışır.
Şimdi şunu düşünün. Dünyanın her yerinden olabilecek “böyle bir şart yok tüm infekte olmuş cihazlar aynı ülkede de olabilir” binlerce farklı cihazın size istek göndermesini nasıl engellersiniz? Evet acl ücretsiz tek tek kural yazarsınız da bu onbinlerce ip adresini nasıl tespit edeceksiniz? Gördüğünüz gibi teknik olarak mümkün olsa da pratik olarak mümkün değil. Ha şunu yapabilirsiniz misal sisteminiz normalde sadece Tr’den bağlanan insanlara hizmet veriyor. O zaman gider Türkiye ipleri hariç hepsini aclden engellersiniz ve bu sayede riski biraz azaltabilirsiniz. Ama bu da ideal çözüm değil.
İşte aws shield gibi ya da cloudflare gibi servisler bu işe özelleşmis servisler. Siz dış dünyadan gelen trafiği direkt karşılamak yerine bu servisleri dış dünyadan ilk giriş noktası yaparsınız, bu servisler çeşitli yapay zeka ve kendi algoritmaları sayesinde gelen tarifigin içinden ddos saldırılarını algılayıp blocklar ve size temiz trafik akar. Böylece servisinin çökmez ve müşterilerinize hizmet etmeye devam eder.
Uzun lafın kısası sabrınız ve tespit yeteneğiniz varsa bu işi acl ile de manuel halledebilirsiniz ama çok zor.
