Bu sayfada güncel DoS saldırılarını zayıflatacak birkaç yöntem sunuyoruz. Bununla birlikte, bu sorunun şu anda her duruma uygun tek bir çözümü yoktur. Saldırı altındaki bir siteyi savunmak, yaratıcılık ve duruma özel bir yaklaşım gerektirir. Birkaç ipucu:

Yapılandırma parametreleri

Öneri 305 uygulandığından beri, tanıtım noktalarında DoS saldırılarını azaltmaya yardımcı olmak için bazı torrc seçenekleri eklendi:

  • HiddenServiceEnableIntroDoSDefense: Tanıtım noktası düzeyinde DoS savunmasını etkinleştirir. Bu seçenek etkinleştirildiğinde, hız ve patlama parametresi, tanıtım noktasına gönderilir ve daha sonra bu hizmete tanıtma isteği için hız sınırlaması uygulamasında kullanılır.

  • HiddenServiceEnableIntroDoSBurstPerSec: Bir saniyede tanıtım noktasında izin verilen istemci tanıtım patlaması. Bu seçenek 0 olarak ayarlandığında, sonsuz olarak kabul edilir ve bu nedenle HiddenServiceEnableIntroDoSDefense ayarlanırsa, savunmaları etkin bir şekilde devre dışı bırakır.

  • HiddenServiceEnableIntroDoSRatePerSec: Bir saniyede tanıtım noktasında izin verilen istemci tanıtım hızı. Bu seçenek 0 olarak ayarlandığında, sonsuz olarak kabul edilir ve bu nedenle HiddenServiceEnableIntroDoSDefense ayarlanırsa, savunmaları etkin bir şekilde devre dışı bırakır.

Nasıl çalıştıkları hakkında ayrıntılı bilgi almak için tor(1) rehber sayfasına ve Onion Services v3 teknik özelliklerinin [EST_INTRO_DOS_EXT] bölümüne bakın.

Buluşma devrelerindeki bağlantıları sınırlamak için aşağıdaki yapılandırma seçenekleri kullanılabilir:

  • HiddenServiceMaxStreams: Bir buluşma devresindeki en fazla eşzamanlı akış (bağlantı) sayısı. En fazla 65535 olabilir. (0 olarak ayarlamak sınırsız sayıda eşzamanlı akışa izin verir.)

  • HiddenServiceMaxStreamsCloseCircuit: 1 olarak ayarlanırsa, HiddenServiceMaxStreams değerinin aşılması, sınırı aşan akış oluşturma isteklerinin sessizce yok sayılması yerine, savunulan buluşma devresinin kopmasına neden olur.

Onionbalance

Onionbalance, Onion Hizmeti işletmecilerine, bir Onion Hizmeti için yapılan isteklerin birden fazla bilgisayar tarafından işlenmesi olanağını sunarak yüksek kullanılabilirlik oranı sağlar. Yatay ölçekte büyümek için Onionbalance kullanabilirsiniz. Ölçek büyüdükçe, saldırganların etkisi azalır. Onionbalance, Onion Hizmeti 3. sürümü ile kullanılabilir.

Kullanıcılarınızı gruplamak için istemci kimliği doğrulaması ya da birden çok onion adresi

Kullanıcılarınıza güveniyorsanız, onlara her zaman erişebilecekleri özel Onion Hizmeti ve istemci kimliği doğrulama bilgileri verebilirsiniz. Güvenmediğiniz kullanıcıları başka adreslere yönlendirebilirsiniz. Bununla birlikte, çok fazla onion adresinin olması, aslında güvenliğiniz için kötüdür (birçok koruma aktarıcısı kullanıldığından). Bu nedenle yapabildiğinizde istemci kimlik doğrulaması kullanmaya çalışın.

Güvenlik kodları ve çerezler

Kullanıcı oranlarını daha fazla sınırlamanız gerekiyorsa, altyapınızı katmanlara ayırın ve ön yüze yakın yerlere güvenlik kodları koyun. Böylece saldırganların altyapınızın derinlerine saldırmadan önce güvenlik kodlarını çözmesi gerekir.

Güvenlik kodları DDoS saldırılarını zayıflatmanın yollarından biridir. Bir istemciden bir istek geldiğinde, istemcide doğru güvenli çerezin bulunup bulunmadığına bakılır. Bulunamazsa güvenlik kodu sayfası açılır. İstemci güvenlik kodunu çözer. Nginx güvenlik kodunun çözümünü doğrulanmak üzere recatcha sunucusuna gönderir.

Yanıt doğru ise recaptcha sunucusundan "true..." ile, değilse "false..." ile başlayan bir yanıt alınır. Doğrulanan istemciye güvenlik çerezi eklenir, istemci görüntülemek istediği sayfaya yönlendirilir.

Güvenlik kodlarını Nginx ve OpenResty ile doğrudan web sunucunuza eklemek için Güvenlik kodu görüntüleri oluşturan ve doğrulayan Lua kullanacak şekilde uyarlayabilirsiniz. Bu uyarlamayı yapılandırmak kolay değildir.

Alternatif olarak sınama-çerez uygulaması kullanılabilir. Web sunucunuzda, istemcilerin geçerli çerezler ayarlayıp ayarlayamadığına bakın. Kötü niyetli istemcilerde genellikle bu özellik bulunmaz. Cloudflare, Nginx için çerezlerle etkileşim kurmayı sağlayan bir kitaplık sunuyor.

Ayrıca .onion hizmetinize bağlanan istemcilerin, User-Agent ve Referrer üst bilgilerinin saldırı ile ilişkilendirebileceğiniz bir değere ayarlanmamış olmasına da bakabilirsiniz.

Web sunucu kullanım oranını sınırlamak

Saldırganlar çok fazla sorgu yapan saldırgan devrelerle geliyorsa, bu aşırı kullanım oranını algılamaya çalışın ve HiddenServiceExportCircuitID torrc seçeneğini ile bunları yok edin. Kendi sezgisel yöntemlerinizi veya web sunucunuzun kullanım oranı sınırlama modülünü kullanabilirsiniz.

Yukarıdaki ipuçlarının zor zamanlarda ayakta kalmanıza yardımcı olması gerekir. Aynı zamanda daha gelişmiş savunmalar üzerinde de çalışıyoruz. Böylece onion hizmeti işletmecileri için el ile yapılandırma ve bakım gereksinimi azalıyor.