DDoS攻击。 我们是无助的吗？

这里有一个类似的问题：

这个问题面临的挑战是要求解决一个根本无法解决的问题。 你可以采取的任何工具或做法都不会保护你免受那些决心放弃你的服务的适度的攻击者的攻击。

mod_evasive是一个很好的解决scheme，你将在短期内解决这个问题。 它实现了对请求进行限制的“最佳实践”，并且可以防止系统被5行Perl脚本占用。

从长远来看，当你的应用程序成功的时候，你将不可避免地在它前面部署一个负载平衡器。 主stream的商业负载均衡器（如F5的Big-IP）都实现了“DOS保护”限制，所以升级时可以打开这个function。 但不要升级只是为了获得该function。

解决现代DDOS攻击的问题是，它们是从无数不相关的点（通常来自巨大的僵尸networking）发起的。 像Citrix / NetScaler，Imperva和F5这样的Web应用程序防火墙将在固定的攻击方面做得不错，但需要熟练的分析人员（最好来自你自己的团队）阻止知道你名字的“真实”攻击者。 您可以通过分析攻击stream量，find攻击者特有的特征并对其进行过滤来完成这项工作。

我认为你正在为这个免费的“即插即用”防御而走上正轨，特别是在新的应用程序中。

@tqbf

他们是。 关于DDoS的一点是它的威力与防御者的可用性和冗余策略成反比。 主要的问题不是DDoS 不能被减轻; networking的大部分依赖于集中式体系结构，冗余度差和级联单点故障 。

最初的互联网协议的devise考虑到了可用性和冗余性，以牺牲信任或同步为代价提供了更多的容错function。 看看DNS， BGP， SMTP和NNTP最初是如何为完美的插图而devise的。

回到networking，DDoS攻击的主要问题是确保DNS在重负载下保持可用，确保服务器冗余足以应对峰值容量的压力，并确保单个连接不会相对于系统资源占用过多的系统资源其他。

因此，缓解措施成为重新路由或阻止stream量，尽可能多地传播硬件的影响，提供非程序化的镜像以及与用户群体相关的其他服务保证机制。 其中大部分内容都融入了高可用性服务和威胁build模的概念，对于任何对此领域感兴趣的人。

我将通过指出在Server Fault上存在更多的答案来解决这个问题。

请转到IT Security Stack Exchange，以获得关于此的一个良好的讨论和有效的方法来做到这一点。 有一些非常擅长的DDoS缓解合作伙伴 – 我在全球银行进行了testing，以validation其中的一个，在攻击开始的几秒钟内减less了DDoS的缓解，并且在整个攻击过程中允许业务为常规高负荷。 大卫给出的答案就是在这种情况下它的工作原理。

是的，DDoS可能是最强大的蛮力攻击。 你无法做任何事情，因为任何服务器都会在某个时候中断。 你可以尝试绕过它，从不同的服务器提供不同的服务，这样只会受到部分打击。 DDoS的主要问题之一是第一个“D”：分布式。 在几乎所有的情况下，都会使用一个巨大的僵尸networking，所以你不能绕过去禁止IP，因为这会导致合法的用户被locking在服务之外，因为僵尸networking使用超出的计算机来实现其损害。

你可以通过使用负载平衡器，防火墙和其他的措施来处理它，但是你将永远无法完全防止它。

问题的答案取决于有多less个僵尸networking攻击者拥有。 也许我们是谁知道这个僵尸networking链的一部分。 你认为人们为全世界的软件付费吗？ 你应该在开玩笑吧。只要search任何软件，不pipe你下载了什么软件，都可以隐藏自己的rootkit ，即使使用了最强大的防病毒系统。 如果使用rootkit，攻击者可以将受害者计算机控制为bot。 有时你不需要任何rootkit，任何预装的软件都可以做同样的工作。 攻击者为了不同的目的（例如发送垃圾邮件）出售这些僵尸networking而获利。

研究界发明了一些技术来阻止恶意活动，或者阻止主机成为僵尸networking的一部分（在感染阶段之前），然而这是黑客和捍卫者之间永无止境的军备竞赛。 请记住，互联网是一个开放的系统，所以还没有最终的解决scheme。 也许永远不会有，这是研究的答案永不止息。

思科有一些缓解技术，请查看这里

如果你有足够的机器人请求网站，我会说这是一个非常强大的攻击。 您可以通过负载平衡，防火墙和其他防御措施来部分抵消它。 但是，足够的机器人也会削弱最好的防御。

我要说的主要问题是，一个'DOS'总是运行一个DNS名称，而不是IP地址。 因此，如果主机要切换服务器等，DNS名称将受到攻击，即使在新的服务器，没有逃脱…