我在以下scheme中查找有关DDoS的一些信息:
我有一个位于思科卫士后面的服务器,它将被DDoS攻击,我只关心IPS的列表,而不是攻击者。
是否有可能将所有其他ips排除在外,但是实际上对我的服务器得到任何回应,或者从长远来看,不pipe我做了什么,只要他们有足够的DDoS权力,我就会像一个flie一样下去?
有没有推荐的公司能够真正应对DDoS?
我的服务器将主要运行几个客户端,将连接到外部服务器,所有它需要访问是我的本地MySQL的私人networking,所以我可以访问它。
如果我必须有这些服务,他们将在私人networking上,至less不会有其他服务运行,如Web或FTP等。
MySQL只能从外部获得1个安全的ip,除了我之外,任何人都不知道,并且在localhost + privatenetworking内部。
有没有解决办法?
如果您想将允许的源IP限制为已知的子集,从DDoS防护的angular度来看,这非常棒 。 DDoS通过饱和pipe道工作; 如果你把这个顽皮的交通阻止在链条上(pipe道不是无限的,但它们足够接近我们的目的),你基本上可以经受任何DDoS。 诀窍是让allow / deny列表足够接近互联网的“核心”,那么DDoS将stream经的pipe道的大小(以至于被丢弃的点)大到可以处理它。
你需要做的是规定任何潜在的DDoS(BPS和PPS)的最大预期容量,并与供应商交谈,让他们知道你需要的容量和响应能力。 确保他们能够在需要时立即应用您的黑名单。 你想问的function通常被称为“实时黑洞路由”。 如果您以任何forms运行BGP,那么执行此操作就相当简单(如http://jonsblog.lewis.org/2011/02/05中所述 )。 如果你没有运行BGP,你需要和你的提供者一起确定你可以启动黑帽的机制(如果你不得不打电话给一个NOC来安装它,不要打扰 – 这是trivially可自动化)。
第一次启动和运行时testing此function,并定期再次testing,以确保它仍然有效。 你不想在你的提供商那里尖叫,因为他们的黑客在一个大的DDoS中停止工作。