首先,我知道最好在数据中心级别提供 DDoS 保护。但我们的 DC 尚未准备好提供高质量的保护。因此,我们考虑使用一些外部 DDoS 保护服务。
我已经在 Google 上搜索了几个,例如(抱歉不能发布很多链接):
- http://blockdos.net/
- http://www.armoraid.com/
- http://www.blacklotus.net/
- http://ddosprotection.com/
- http://www.level3.com/index.cfm?pageID=555
总体思路是,您要更改 DNS 以指向 DDoS 保护服务。它们会为您过滤流量,然后将其重定向到您的后端。因此,它会增加一些时间开销,但即使在 DDoS 下也能让您的网站保持活跃。
但在网站上写点东西真的很容易。我的问题是:有人用过这种服务吗?它真的有助于抵御 DDoS 攻击吗?
答案1
这些类型的服务可能非常昂贵,除非你有足够的现金来承担这些费用,否则脚本小子可以通过增加对多 gbps 区域的攻击来快速增加他们的火力,这将花费你不少钱。大多数这些服务往往要求你在遇到问题之前先运行它,因为它们通过分析流量模式来工作。
答案2
一年前,我通过在 Apache 前面设置 NGINX 作为反向代理,成功抵御了一次中级 DDoS 攻击(每秒 10K 次请求)。几乎所有 DDoS 流量都某物共同点通常是User-Agent字符串。只需识别共同点并使用c10k像 NGINX 这样的代理可以丢弃攻击流量,同时转发真实的流量到正常的网络服务器。
FWIW:我的经验是使用 10 年前的硬件运行Fedora 核心 1在 100Mbit 互联网上行链路上。攻击流量率持续了 1 周,但实际客户从未注意到网站性能有任何下降。只需小心带宽费用。
至于商业运作,大概也能做同样的事情,我无法想象为什么它们行不通。这不是火箭手术。
答案3
为 prolexic 点赞 - 他们做得很好。- 虽然价格昂贵,但他们很早就进入了这一市场,并且根据我的经验,他们提供了良好的服务。
答案4
我使用过 Verisign 的 DDoS 缓解服务。虽然价格昂贵,但效果很好。