目前我一直在使用(D)DoS-放气在众多远程服务器上管理此类情况,以及Apache JMeter进行负载测试。
总体来说,它运行得相当好,尽管我想听听那些比我更早处理此类情况的专家的建议。我相信那些从事网络托管业务的人已经处理过这些情况。所以我想知道在公司环境中处理此类问题的最佳做法是什么?
答案1
防止 DDoS 攻击的关键在于不要成为攻击目标。不要托管游戏服务器、赌博/色情网站和其他容易让人恼火的东西。
缓解 DDoS 攻击有两种形式:
- 能够忽略流量并减轻过载,这在您遭受攻击时非常有用,攻击会试图通过使您的机器过载来使您崩溃(并且如果您遇到“Slashdotted”,它也会派上用场);
- 能够拒绝上游的滥用网络流量,这样它就不会阻塞您的链接并切断您的连接。
前者在某种程度上取决于您所提供的服务到底是什么,但通常归结为缓存、溢出处理(检测服务器何时“已满”并将新连接重定向到低资源使用率的“抱歉”页面)和请求处理的优雅降级(例如,不进行图像的动态渲染)的某种组合。
后者需要与上游保持良好的沟通——将上游 NOC 的电话号码刻在你的眼睑内侧(或者至少在某个 wiki 上)。不是与您的生产服务器托管在同一个地方......)并了解在那里工作的人员,因此当您打电话时,您会立即得到关注,因为有人真正知道他们在说什么,而不仅仅是一个随机的约翰尼。
答案2
您没有提到您已实施了何种边界安全措施。使用 Cisco 防火墙,您可以限制防火墙在切断前允许的初始会话(半会话)数量,同时仍允许完整会话通过。默认情况下,它是无限制的,不提供任何保护。
答案3
硬件辅助负载均衡器(例如 Foundry ServerIron 和 Cisco ACE)非常适合处理大量主要类型的 DOS/DDOS 攻击,但不如可以更快“学习”新技术的软件解决方案那么灵活。
答案4
免责声明:我不是 DDoS 保护专家。
我认为这取决于您的预算、您的正常运行时间条款条件以及您或您的客户如何面临此类风险。
基于代理的 DDoS 保护可能是一种选择。在大多数情况下,这不是一个便宜的选择,但我认为这是最有效的。我会向我的托管服务提供商寻求解决方案。例如,RackSpace 提供了这种多层缓解工具我相信所有大型托管商都有类似的解决方案。