Защищает ли Heroku отдельные сайты от DoS/DDoS-атак?
Heroku, похоже, находится под атакой DDoS прямо сейчас, что вызывает проблемы с периодической доступностью на сайте, которые проявляют себя (конечно!) мое приложение.
Недавно я видел несколько таких атак, включая огромную DDoS-атаку на Register.com несколько месяцев назад.
Мой вопрос: что произойдет, если злоумышленники обрушились на одного из клиентов Heroku?
Защищает ли Heroku отдельные приложения от DoS-атак и DDoS-атак?
Ответы
Ответ 1
Короткий ответ: Да. Динамики Heroku защищены тем, что у каждого из них есть собственная файловая система и их собственный пользователь и т.д.
Длинный ответ: в зависимости от серьезности атаки (D) DoS, может быть точка, что загрузка запросов от DoS-атаки потребует больше ресурсов, чем доступно для облака heroku. У вас могут возникнуть задержки запросов и отзывчивость приложений может быть уменьшена. Важно понимать, что это "недостаток производительности" не означает нарушения безопасности. Heroku's (iirc из пары конвоев, которые у меня были с сотрудниками) имеет довольно надежный уровень маршрутизации, который помогает сбалансировать нагрузку и не использовать беспроигрышные и/или нерегулярные динамики (экземпляры вашего приложения), но опять же, действительно распределенный Атака "Отказ в обслуживании", при этом смехотворное количество нагрузки на сервер может в конечном итоге попасть в точку, где ресурсов в облаке просто недостаточно.
<speculating>
Именно в этот момент поставщики (Heroku в этом случае) обычно имеют возможность изолировать атаку, обычно выполняемую "удерживанием строки", если вы будете на уровне dns и (временно) отклоняете запросы на домен/с под атакой. Не сказать, что это единственный путь, но один путь. Очень зависим от специфики атаки, которая, разумеется, как аутсайдеров, я не знаю.
</speculating>
ref: http://www.heroku.com/how/dynos
Я не сотрудник или представитель Heroku, просто пользователь - поговорите с ними для более подробной информации
Ответ 2
Этот вопрос может быть старше, но он отображается в высоком положении в результатах поиска.
Heroku заявляет на своей странице безопасности:
Смягчение DDoS
Наша инфраструктура обеспечивает методы смягчения DDoS, включая TCP Syn cookies и ограничение скорости соединения в дополнение к поддержке нескольких магистральных соединений и внутренней пропускной способности, которая превышает пропускную способность, предоставляемую провайдером Интернет-провайдера. Мы тесно сотрудничаем с нашими провайдерами, чтобы быстро реагировать на события и активировать расширенные средства управления изменениями DDoS, когда это необходимо.
Источник: https://www.heroku.com/policy/security
Также интересно при тестировании нагрузки DDoS:
Очередь запросов
Каждый маршрутизатор поддерживает внутренний счетчик запросов для каждого приложения. Для приложений Cedar маршрутизаторы ограничивают количество активных запросов на dyno до 50. Однако между маршрутизаторами нет координации, поэтому этот предел для каждого маршрутизатора. Если счетчик запросов на конкретном маршрутизаторе заполняется, последующие запросы к этому маршрутизатору немедленно возвращают ответ H11 (Backlog too deep).
Источник: https://devcenter.heroku.com/articles/http-routing#request-queueing
