VPS下的DDoS攻击

在我开始讨论之前，我只想指出一件事。 我相信大多数人都会同意这一点，但硬件DDoS缓解系统通常比其软件速度更快。 你可以走硬件路线，但是再一次，DDoS缓解软件将会更具成本效益（甚至免费）。 我不了解硬件部分，也不了解我所知道的软件，所以我不会为了DDoS保护和所有硬件而讨论最好的硬件。

ConfigServer Security＆Firewall（ http://configserver.com/cp/csf.html ）是一个非常简单的系统。 这样，你可以更轻松地控制iptables，你可以很容易地过滤SYN / ACK攻击和端口泛滥。

你也可以考虑使用Apache的一些DDoS模块，比如mod_evasive（ http://www.zdziarski.com/blog/?page_id=442 ），甚至把Nginx设置为反向代理（ http://www.rackaid.com / resources / using-nginx-to-fight-apache-ddos- / ）来帮助减轻DDoS攻击。

希望有一点帮助。 在我个人拥有的一些系统（比如HTTPcaching，Nginx代理，CSF）之前，我遭受过DDoS攻击，对我的站点进行DDoS攻击要困难得多，因为它可以过滤很大一部分stream量。 请记住，如果一个巨大的僵尸networking击中你，你可能想投资一个硬件DDoS系统。 至于如何让你的VPS上设置一个，只要问你的供应商。 大多数数据中心都有其系统和工具来防止DDoS攻击; 你只需要付钱。

您需要获得有关DDoS攻击本质的更多详细信息，然后才能预防。 我会问你的托pipe服务提供商的更多细节。

防止SYN泛滥需要与HTTP或应用程序攻击不同的技术。

如果是大型networking泛滥，您的供应商往往不得不缓解上游的攻击。 如果入站请求率大于服务器的pipe道，则可以做的事情不多。

对于HTTP或应用程序攻击，服务器上的缓解是可能的，但可能很困难。

对于应用程序/ HTTP攻击，我经常使用Nginx反向代理设置来过滤不需要的stream量，并允许其余的stream量通过。 这对于某些types的攻击可能非常有效。

如果攻击分布不广泛，防火墙规则可以提供帮助。 但是，一旦你的规则链变大，性能就会受到影响。

一个便宜的窍门是，如果攻击主要来自一个地区，那么可以使用国家特定的IP范围来放弃该地区，而不是在每个IP地址上尝试这样做。 一个肯定但有效的重锤。

您的TCP / IP堆栈也可以通过降低超时进行调整。 这对于导致半打开连接状态和延迟TIME_WAIT状态的TCP溢出特别有用。

最后，有些公司可以支付$$$来过滤stream量。 这并不便宜，但另一种select。