后续行动识别 Windows 2008 服务器上的 DDOS 攻击。
人们采取什么措施来防止托管环境中针对 Windows 2008 服务器的 DDOS 攻击?
我特别感兴趣的是那些不涉及单独的硬件防火墙的方法,而是可以通过软件或服务器本身的配置来完成的事情。
MS 有一篇文章叫做如何:强化 TCP/IP 堆栈。有谁对这些步骤的成功有经验(或想法)吗?
答案1
实际上,在小规模下,你根本无法防范真正的 DDOS,因为即使忽略资源使用问题,一千台机器也很容易淹没相当大的连接。
唯一真正要做的就是标准配置和强化,确保只运行需要的部分,并且对需要的部分进行最佳配置。
希望您的 ISP/托管商能够制定一些程序,以在受到任何攻击时修复其终端上的某些问题。但是,除非您是赌博、色情或其他(合法)边缘网站,否则此类攻击的可能性极小。
答案2
说实话,在服务器层面,你无法采取很多措施来防范真正的 DDoS 攻击。你无法调整任何设置来保护自己免受针对特定服务器的数千兆流量攻击。
为了防止 DDoS 的症状,最好的(也是最昂贵的)方法是使用 Prolexic 之类的服务,它可以聚合大量带宽并清理您的流量。您还可以使用设备来帮助过滤不良流量,但同样,这取决于您使用的数据中心的互联网类型。如果它们位于 OC-3 上,DDoS 可能会完全饱和来自多个提供商的连接,世界上没有任何设备可以拯救您。如果您所在的地方有数 GB 的管道,那么这些设备会更有用。
要阻止 DDoS 攻击的症状,您确实需要与数据中心的 ISP 提供商进行某种合作。您自己能做的事情非常有限。
答案3
强化 IP 堆栈肯定有效且有帮助(尤其是 syn 攻击保护),同时确保内置的 Windows 防火墙已启用,并且只允许需要的内容进出。您在上一个问题中提到的一件事是,当您禁用入站访问时,一切恢复正常,但不是 http 连接。防火墙应设置为仅允许公共接口上的端口 80/443。根据您的特定需求,可能需要或不需要单独的防火墙/IDS。如果您是一家托管自己网站的公司,您可能可以避开雷达。如果您是网络托管提供商,您肯定会想要一个单独的防火墙。
答案4
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
IIS“动态 IP 地址限制”扩展会阻止可疑活动的 IP 地址。帮助我们解决了 HTTP 泛洪问题