首先,我明白在数据中心级别上有DDoS防护更好。 但是,我们的区议会还没有准备好提供高质量的保护。 所以我们考虑使用一些外部的DDoS保护服务。
我GOOGLE了几个,像(对不起,不能发布多个链接):
总的想法是,你正在改变DNS指向DDoS保护服务。 他们为您过滤stream量,然后将其redirect到您的后端。 所以,它增加了一些小的时间开销,但让你的网站在DDoS下仍然活着。
但在网站上写东西真的很容易。 我的问题是:有没有人有这样的服务经验? 它真的帮助反对DDoS?
这些types的服务可能是相当昂贵的,除非你有现金来吸收它,剧本小子可以通过增加攻击到多gbps区域来快速增加他们的火力,这将花费你不less。 其中大部分往往要求您在遇到问题之前先运行它,因为它们通过分析stream量模式进行工作。
一年前,我设法通过将NGINX设置为apache之前的反向代理来抵御中级的DDoS攻击(10K req / sec)。 几乎所有的DDoSstream量都有一些共同点,通常是User-Agentstring。 只要确定通用性,并使用像NGINX这样的具有c10k能力的代理,就可以将实际stream量转发到普通的Web服务器,从而降低攻击stream量。
FWIW:我的经验是使用运行Fedora Core 1的 10年历史的硬件,在100M的上行链路上运行。 攻击stream量持续1周,但真正的客户从未注意到网站性能下降。 只要注意带宽费用。
至于大概做同样的事情的商业运作,我无法想象为什么他们不会工作。 这不是火箭手术。
大拇指为prolexic – 他们做得很好。 – 这是昂贵的,但他们在比赛早,从我的经验提供良好的服务。
我从来没有使用这样的服务,但它取决于你得到的攻击types。 如果他们纯粹是带宽风格的攻击,只需要填满pipe道,唯一的办法就是聘请像他们这样的服务,或者将服务器分布在多个pipe道和数据中心。
如果他们正在利用一个应用程序或协议,那么我会处理你的configuration变化。
我有Verisign的DDoS缓解服务经验。 他们是昂贵的,但它运作良好。