В настоящее время я использую (D) DoS-Deflate для управления такими ситуациями на многочисленных удаленных серверах, а также Apache JMeter для нагрузочного тестирования.
В целом, это работает довольно хорошо, хотя я хотел бы услышать некоторые предложения от гуру, которые работают с такими обстоятельствами дольше, чем я. Я уверен, что те, кто работает в сфере веб-хостинга, внесли свою долю в этих ситуациях. Так что мне интересно, каковы лучшие методы решения таких проблем в корпоративной среде?
Ответы:
Предотвращение DDoS в основном сводится к тому, чтобы не быть целью. Не размещает игровые сервера, игорные / порносайты, и другие вещи, которые, как правило, чтобы заставить человек раздражали.
Снижение DDoS-атаки происходит в двух формах:
Первый в некоторой степени зависит от того, что именно вы обслуживаете, но обычно сводится к некоторой комбинации кэширования, обработки переполнения (обнаружение, когда серверы «переполнены» и перенаправление новых соединений на страницу «извините» с низким потреблением ресурсов) и постепенное ухудшение обработки запросов (например, без динамического рендеринга изображений).
Последнее требует хорошей связи с вашими восходящими потоками - имейте номер телефона NOCs ваших вышестоящих элементов, вытатуированный внутри ваших век (или, по крайней мере, в вики, где-то, который не размещен в том же месте, что и ваши производственные серверы). ...) и познакомьтесь с людьми, которые там работают, поэтому, когда вы позвоните, вы сразу же получите внимание как человек, который действительно знает, о чем они говорят, а не просто какой-то случайный Джонни.
источник
Вы не упоминаете, какой тип охраны периметра у вас на месте. С помощью брандмауэров Cisco вы можете ограничить число эмбриональных (половинных сессий), которые ваш брандмауэр разрешит, прежде чем отключить, и в то же время разрешить проходить полные сеансы. По умолчанию он неограничен, что не дает никакой защиты.
источник
Аппаратные балансировщики нагрузки, такие как Foundry ServerIron и Cisco ACE, отлично подходят для борьбы с огромным количеством основных типов атак DOS / DDOS, но не настолько гибки, как программные решения, которые могут быстрее «освоить» новые методы.
источник
Один хороший источник информации на этом сайте . Одной из мер, о которой они только упомянули (и которая заслуживает дальнейшего изучения), является использование файлов cookie SYN. Это предотвращает целый класс DoS-атак, не позволяя злоумышленнику открывать большое количество «полуоткрытых» соединений в попытке достичь максимального числа файловых дескрипторов, разрешенных для каждого процесса. (См. Справочную страницу bash, ищите встроенную команду ulimit с опцией -n)
источник
Отказ от ответственности: я не DDoS гуру защиты.
Я думаю, что это зависит от того, какой у вас на это бюджет, каковы условия работы и как вы или ваши клиенты подвержены такого рода рискам.
Защита от DDoS-атак на основе прокси может быть вариантом. В большинстве случаев это не дешевый вариант, но я думаю, что он наиболее эффективен. Я бы попросил моего хостинг-провайдера для решения. RackSpace, например, предоставляет этот многоуровневый инструмент смягчения последствий . Я уверен, что все крупные хостеры имеют похожие решения.
источник