Ar an leathanach seo cuirimid i láthair roinnt bealaí chun ionsaithe DoS a mhaolú faoi láthair.
Is féidir na cineálacha cur chuige seo go léir a chomhcheangal.
Níl aon réiteach amháin a oireann do chách ar an bhfadhb seo faoi láthair, áfach.
Teastaíonn cruthaitheacht agus cur chuige saincheaptha chun suíomh atá faoi ionsaí a chosaint.
Tá forbhreathnú ar na cosaintí curtha i bhfeidhm ag an deamhan tor tugtha sa rannán Forbhreathnú ón Meicníochtaí um chosc ar shéanadh-seirbhíse in Tor sonraíocht, agus anseo tugaimid roinnt leideanna praiticiúla.
Teorannú rátaí ag na Pointí Réamhrá
Ó cuireadh Togra 305 i bhfeidhm, tá roinnt torrc cuireadh roghanna leis chun cabhrú le hionsaithe DoS a mhaolú ag na pointí tosaigh:
HiddenServiceEnableIntroDoSDefense: Cumasaigh cosaint DoS ag an leibhéal intropoint.
Nuair a bheidh sé seo cumasaithe, seolfar an paraiméadar ráta agus pléasctha chuig an bpointe tosaigh a úsáidfidh ansin iad chun teorannú rátaí a chur i bhfeidhm ar iarratas isteach chuig an tseirbhís seo.
HiddenServiceEnableIntroDoSBurstPerSec: Phléasc an réamhrá cliant ceadaithe in aghaidh an tsoicind ag an bpointe réamhrá.
Más é 0 an rogha seo, meastar go bhfuil sé gan teorainn agus mar sin má tá HiddenServiceEnableIntroDoSDefense socraithe, díchumasaíonn sé na cosaintí go héifeachtach.
HiddenServiceEnableIntroDoSRatePerSec: An ráta ceadaithe cliant isteach in aghaidh an tsoicind ag an bpointe réamhrá.
Más é 0 an rogha seo, meastar go bhfuil sé gan teorainn agus mar sin má tá HiddenServiceEnableIntroDoSDefense socraithe, díchumasaíonn sé na cosaintí go héifeachtach.
Chun tuilleadh eolais a fháil faoin gcaoi a n-oibríonn siad, seiceáil an manleathanach tor(1) agus an Eisínteacht chosanta Denial-of-Service (DOS_PARAMS) den chuid sonraíocht Seirbhísí Oinniún v3.
Cruthúnas Oibre (PoW) roimh bhunú Rendezvous Circuits
Mínítear meicníocht chosanta Cruthúnas Oibre (PoW) go fada ag an Ceisteanna Coitianta PoW, agus is féidir é a chumrú do gach Seirbhís Oinniún leis na roghanna torrc seo a leanas:
HiddenServicePoWDefensesEnabled: Cumasaigh maolú DoS seirbhíse atá bunaithe ar chruthúnas.
Nuair a bheidh sé cumasaithe, áireoidh Tor paraiméadair le haghaidh bhfreagra roghnach cliant sa chuid criptithe de thuairisceoir na seirbhíse ceilte seo.
Tabharfar tús áite d’iarratais rendezvous isteach bunaithe ar an méid iarrachta a roghnaíonn cliant a dhéanamh agus réiteach ar an bhfreagra á ríomh.
Déanfaidh an tseirbhís méid molta iarrachta a nuashonrú go tréimhsiúil, bunaithe ar ualach ionsaithe, agus díchumasófar an bhfreagra go hiomlán nuair nach bhfuil an tseirbhís ró-ualach.
Ráta HiddenSeirbhísePoWQueue: Ráta marthanach na n-iarratas rindreála le seoladh in aghaidh an tsoicind ón scuaine tosaíochta.
HiddenServicePoWQueueBurst: An t-uasmhéid pléasctha le haghaidh iarratais rindreála a láimhseáiltear ón scuaine tosaíochta láithreach.
Tá an rogha dhomhanda seo a leanas infheidhme maidir le seirbhísí oinniúin agus a gcliaint araon:
CompiledProofOfWorkHash: Nuair a bhíonn maolú DoS cruthúnais oibre gníomhach, úsáidfidh na seirbhísí iad féin agus na cliaint a nascann feidhm hash a ghintear go dinimiciúil mar chuid den ríomh puzail.
Tá PoW cumasaithe de réir réamhshocraithe ar leaganacha C Tor 0.4.8.1-alpha ar aghaidh (ach is féidir é a dhíchumasú má chuirtear le chéile é le --disable-module-pow).
Is féidir tacaíocht bhunúsach PoW a sheiceáil tríd an ordú seo a rith:
tor --list-modules
relay: yes
dirauth: yes
dircache: yes
pow: yes
Má tá pow: yes agat, tá an mheicníocht cosanta PoW ionsuite i C Tor agat.
Mar gheall ar riachtanais cheadúnais, na leabharlanna bhfreagra cliant PoW v1 (Equi-X agus HashX ag tevador, tá an dá cheann faoin LGPL-3.0) cumasaithe ach amháin má tá tor tiomsaithe le --enable-gpl.
Is féidir é seo a dhearbhú tríd an ordú seo a leanas a rith:
tor --version
Leagan Tor 0.4.8.3-rc.
Tá an tógáil seo de Tor clúdaithe ag an GNU General Public License (https://www.gnu.org/licenses/gpl-3.0.en.html)
Tá Tor ag rith ar Linux le Libevent 2.1.12-stable, OpenSSL 3.0.9, Zlib 1.2.13, Liblzma 5.4.1, Libzstd N/A agus Glibc 2.36 mar libc.
Tiomsaíodh Tor le leagan GCC 12.2.0
Mura bhfuil PoW cumasaithe ag do C Tor suiteáilte nó mura bhfuil sé tógtha le tacaíocht GNU GPL, ansin beidh ort pacáistí eile a chuardach nó é a thiomsú tú féin.
Teorainneacha srutha sna Ciorcaid Rendezvous bunaithe
Is féidir na roghanna cumraíochta seo a leanas a úsáid chun naisc a theorannú sna ciorcaid rendezvous:
HiddenServiceMaxStreams: An t-uaslíon sruth comhuaineach (naisc) in aghaidh an chiorcaid rendezvous.
Is é 65535 an t-uasluach a cheadaítear. (Má shocraítear é seo ar 0, beidh líon neamhtheoranta de shruthanna comhuaineacha ar fáil.)
HiddenServiceMaxStreamsCloseCircuit: Má shocraítear é go 1, ansin má sháraítear HiddenServiceMaxStreams beidh sé ina chúis le stróiceadh síos ar an gciorcad rendezvous circuit, in ionad iarratais ar chruthú srutha a sháraíonn an teorainn a neamhaird go ciúin.
Cothromaíocht oinniún
Onionbalance ligeann d’oibreoirí Seirbhíse Oinniún maoin ard-infhaighteachta a bhaint amach trí chead a thabhairt d’innill iolracha iarratais ar Sheirbhís Oinniún a láimhseáil .
Is féidir leat Onionbalance a úsáid chun scála go cothrománach.
Dá mhéad a scála tú, is amhlaidh is deacra a bheidh sé d’ionsaitheoirí tú a shárú.
Tá Onionbalance ar fáil le haghaidh v3 Services Oinniún.
Teorannú ar ráta an fhreastalaí gréasáin
Má tá ionsaitheoirí ag cur thar maoil leat le ciorcaid ionsaitheacha a dhéanann an iomarca ceisteanna, déan iarracht an ró-úsáid sin a bhrath agus iad a mharú ag baint úsáide as an rogha torrc HiddenServiceExportCircuitID.
Is féidir leat do heuristics féin a úsáid nó modúl teorannaithe rátaí do fhreastalaí gréasáin a úsáid.
Ba chóir go gcabhródh na leideanna thuas leat a choinneáil ar snámh in amanna suaite.
Ag an am céanna táimid ag obair ar chosaintí níos forbartha, ionas go mbeidh níos lú cumraíochta láimhe agus tinkering ag teastáil ó oibreoirí oinniúin.
Taisce
Bealach eile chun an t-ualach ar do sheirbhís a laghdú ná taisceadh ábhair a chur i bhfeidhm, go díreach ag an bhfeidhmchlár inneall nó trí aghaidh seachfhreastalaí taisce a chur ar bun.
Údarú cliant nó seoltaí iomadúla oinniúin chun d'úsáideoirí a roinnt
Má tá úsáideoirí agat a bhfuil muinín agat astu, tabhair dintiúir tiomnaithe Seirbhíse Oinniún agus údaraithe cliant dóibh ionas gur féidir é a bheith ar fáil i gcónaí.
Maidir le húsáideoirí nach bhfuil muinín agat astu, roinn iad i seoltaí iolracha.
É sin ráite, tá an iomarca seoltaí oinniún dona le do shlándáil (mar go n-úsáidtear go leor nóid gharda), mar sin déan iarracht údarú cliaint a úsáid nuair is féidir.
Captchas agus fianáin
Más gá duit a thuilleadh úsáideoirí a theorannú rátaí, roinn do bhonneagar i sraitheanna agus cuir Captchas gar don aghaidh.
Ar an mbealach seo beidh ar ionsaitheoirí Captchas a réiteach sula mbeidh siad in ann ionsaí níos doimhne isteach i do bhonneagar.
Is bealach iad captchas chun ionsaithe DDoS a mhaolú.
Nuair a thagann iarratas ó chliant seiceann sé an bhfuil an fianán slán ceart ag an gcliant atreoraíonn sé chuig an leathanach recaptcha.
Ionchuir an cliant na litreacha captcha.
Seolann Nginx na litreacha ionchuir seo chuig an bhfreastalaí recaptcha lena fhíorú.
An freagra ceart ón bhfreastalaí recaptcha le tús "true...", eile tá sé ag tosú le "bréagach...".
Cuir an fianán slán leis don chliant fíoraithe ceart, atreoraigh an cliant chuig an leathanach a bhfuil sé ag iarraidh féachaint air.
Is féidir Captchas a chur i bhfeidhm go díreach ag do fhreastalaí gréasáin le Nginx agus OpenResty ag baint úsáide as Lua chun na híomhánna captcha a ghiniúint agus a fhíorú.
Ní furasta an cur i bhfeidhm seo a chumrú.
Rogha eile a d’fhéadfadh a bheith ann ná dúshlán fianán tástála a chur i bhfeidhm.
Seiceáil ag do fhreastalaí gréasáin gur féidir le cliaint fianáin bhailí a shocrú, is minic nach mbíonn an ghné seo ag cliaint mhailíseacha.
In Nginx, soláthraíonn Cloudflare leabharlann chun idirghníomhú le fianáin.
Áirítear le modhanna eile a chinntiú go bhfuil ceanntásc Gníomhaire Úsáideora bailí ag na cliaint a nascann le do .oinniún agus nach bhfuil an ceanntásc Tarchuir socraithe chuig luach ar féidir leat a chomhlachú leis an ionsaí.