ამ გვერდზე წარმოგიდგენთ გზებს, მომსახურების შეჩერების (DoS) შეტევების გასაუვნებლად. თუმცაღა, ჯერჯერობით არ არსებობს საერთო გადაწყვეტა, ყველაფერს რომ მოერგება. საიტის დაცვა შეტევისგან, მოითხოვს შემოქმედობითობასა და საგანგებოდ მისადაგებულ მიდგომას. რამდენიმე რჩევა:
Onionbalance
Onionbalance საშუალებას აძლევს Onion-მომსახურების გამშვებებს, მიაღწიონ ხელმისაწვდომობის მაღალ დონეს, რამდენიმე ცალკეულ აპარატურაზე მოთხოვნების დამუშავებით, Onion-მომსახურებისთვის. შეგიძლიათ გამოიყენოთ განშლადობისთვის. რაც უფრო მეტად გაიშლება მომსახურება, შემტევებს უფრო გაუძნელდებათ მისი ზედმეტად დატვირთვა. Onionbalance ხელმისაწვდომია v3 Onion-მომსახურებებისთვის.
კლიენტის დამოწმება ან რამდენიმე Onion-მისამართი, მომხმარებლების დასაყოფად
თუ გყავთ მომხმარებლები რომელთაც ენდობით, გადაეცით ცალკე გამოყოფილი Onion-მომსახურება და კლიენტის დასამოწმებელი მონაცემები, რომ მუდმივად ხელმისაწვდომი იყოს. მომხმარებლები რომელთაც არ ენდობით, დაყავით რამდენიმე მისამართის გამოყენებით. That said, having too many onion addresses is actually bad for your security (because of the use of many guard nodes), so try to use client authorization when possible.
Captcha-შემოწმებები და ფუნთუშები
თუ გესაჭიროებათ მეტად შემცირება მომხმარებელთა სიხშირის, დაყავით თქვენი ინფრასტრუქტურა შრეებად და ჩასვით Captcha-შემოწმებები, კლიენტის მხარეს. შედეგად, შემტევებს მოუწევთ Captcha-შემოწმებების გავლა, უფრო ღრმა შეტევის განხორციელებამდე.
Captcha-შემოწმებები კარგი გზაა, DDoS-შეტევების გაუვნებლებისთვის. როცა მოთხოვნა მოდის კლიენტისგან, ამოწმებს კლიენტს აქვს თუ არა მართებული დაცული ფუნთუშა, თუ არა, მაშინ ამისამართებს recaptcha-გვერდზე. კლიენტს შეჰყავს Captcha-სიმბოლოები. Nginx აგზავნის ამ შესაყვან სიმბოლოებს Recaptcha-მომსახურებასთან დამოწმებისთვის.
სწორი პასუხი recaptcha-სერვერიდან, იწყება ტექსტით „true...“, თუ არადა ეწერება „false...“. დაცული ფუნთუშა მიენიჭება დამოწმებულ კლიენტს და გადამისამართდება გვერდზე, რომლის ნახვაც სურს.
შესაძლებელია Captcha-შემოწმებები დაინერგოს პირდაპირ ვებსერვერზე Nginx და OpenResty-ით Lua-ს გამოყენებით, შესამოწმებელი სურათების შედგენითა და დადასტურებით. ამის დანერგვა არაა მარტივი საქმე.
სანაცვლოდ, უფრო ადვილია დაინერგოს შესამოწმებელი ფუნთუშებით გამოცდა. თქვენი ვებსერვერი გადაამოწმებს, კლიენტს უყენია თუ არა მართებული ფუნთუშები, მავნე კლიენტებს, უმეტესად არ აქვთ ეს შესაძლებლობა. Nginx-ში, Cloudflare-ს გააჩნია ბიბლიოთეკა ფუნთუშებთან ურთიერთქმედებისთვის.
სხვა გზები გულისხმობს, თქვენს .onion-თან დაკავშირებული კლიენტების User-Agent და Referer-თავსართების მართებულობის გადამოწმებას, ის მნიშვნელობა ხომ არ აქვს, რომელსაც შეტევას შეიძლება უკავშირებდეთ.
ვებსერვერის სიხშირის შეზღუდვა
თუ შემტევები ტვირთავენ თქვენს მომსახურებას ძალისმიერი წრედებით, რომლებიც ბევრ მოთხოვნას გზავნის, სცადეთ გადამეტებული გამოყენების აღმოჩენა და მათი გათიშვა, HiddenServiceExportCircuitID torrc-ის ფუნქციით.
შეგიძლიათ გამოიყენოთ აღმოჩენის საკუთარი მეთოდები ან საკუთარი ვებსერვერის სიხშირის შემზღუდავი მოდული.
ზემოაღნიშნული რჩევები, დაგეხმარებათ შეინარჩუნოთ სიმშვიდე, მღელვარე გარემოებებში. იმავდროულად, ჩვენ ვმუშაობთ გაუმჯობესებული დაცვის საშუალებებზე, რომ Onion-ის გამშვებებისგან ხელით გამართვისა და ჩხირკედელაობის საჭიროება შემცირდეს.