这不是一个问如何阻止攻击。 这只是一个线程,任何人和每个人都可以讨论在这些攻击过程中防止,处理和保持服务器活动的想法。
不要讨论使用第三方软件,这是一个让自己的想法和阅读别人的地方。
发表例子,如果你想。 张贴想法如何过滤洪水攻击。 在发生严重的DDoS攻击的情况下,提出如何让服务器保持活跃状态。
在DDOS SYN攻击过程中,我将我的网站移到了第二个IP,并让我的ISP阻止了它们的原始IP。 虽然这确实造成了DNS传播的一小部分停机时间,但确实缓解了负载并使我重新联机。 阻止在ISP级别的原始IP保持DDOS到达我的服务器。 然后发起了一个由合法连接构成的二次DDOS攻击,但其中有很多。 我结束了修补我的Linux防火墙的iptables使用ipset更好的性能,因为我阻止了数千个IP。
攻击之后,我testing了各种防火墙(对不起,没有思科)。 PF与BSD系列的synproxy标志相比,效果最好。 与大多数防火墙在攻击过程中只是限制速度不同,psp和synproxy在防火墙上阻止了很多连接。 另外,pf的表格有很好的查找性能,并且可以dynamic更新。 不需要重新加载。 pf也有很多选项可用于调整性能和清理传入数据包/连接。
netfilter与ipset的performance不错,但没有synproxy。
另一种可能性是使用基于云的托pipe服务,让您在攻击中不断投入更多的带宽和硬件,这样您的客户就不会感受到攻击。
真正防止DDOS的唯一方法是让您的服务器不在互联网上。 但是你必须向pipe理层解释为什么没人能看到你公司的网站。 🙂
有很多不同types的拒绝服务(DoS)攻击,没有单一的解决scheme可以解决这个问题。 Web应用程序防火墙(WAF)可用于保护服务器免受分布式拒绝(DDoS)服务攻击产生的大量stream量。 这些攻击通常包含大量相同types的请求。 WAF可以限制甚至阻止发送大量http请求的特定用户。 ICMP ping是另一种常见的DDoStypes,如果您使用数据包过滤防火墙阻止传入的ICMP,则会减轻攻击。
但是最终stream量足够大的时候,你的基础设施将会崩溃,你的服务器将会崩溃。 互联网骨干的路由器已经被蠕虫产生的DDoS攻击所阻塞。 最近,UltraDNS被DDoS攻击,导致Amazon.com崩溃: http : //www.securityfocus.com/brief/1053
芬利,它不需要大量的数据包来取下服务器。 拒绝服务攻击可能只有1个畸形数据包。 缓冲区溢出会导致服务器崩溃,甚至更糟糕的是,您的服务器可以完全访问黑客。 确保你的软件是最新的。
有专门从事这种服务的公司。 他们有巨大的带宽可用,以便他们可以受到打击,只有过滤合法的请求到您的服务器。
更新:如果你真的想尝试自己做,那么首先要考虑的事实是,有50-80Gbit /秒持续带宽的攻击。 而且每年只会变得越来越大。 今年看到100多次袭击我不会感到惊讶。
现在关于防守:
在你的应用程序受到攻击之前 – 尝试认为是攻击者 – 什么是最弱的部分? 攻击者将点击只需要几个字节的页面上传到你的服务器,但是在服务器端执行很多繁重的工作(例如任何使用通配符的search等)。 应该首先检查无需身份validation的页面。 尝试提供一个解决scheme,可以让您快速closures此function,而无需closures整个网站。
一些攻击来自特定国家(如中国,俄罗斯,韩国)。 您可以为路由器准备ACL,以阻止属于特定国家/地区的所有networking块。 但是要小心,在大规模的攻击下,你的防火墙将会随着CPU的负载而变化。
祝你好运!
mod_evasive是最好的服务器端对策之一,如果你正在运行一个Apache Web服务器 – http://www.think-security.com/protect-your-apache-web-server-with-mod_evasive/