我们经营着一家相当大的游戏服务器托管公司,大约有 60 台机器运行 Server 2008,而 DDoS 攻击是我们长期以来一直在应对的问题。不幸的是,由于市场价格,我们或任何其他公司都无法在所有数据中心安装硬件防火墙。
我们的处理方式一直是联系数据中心,然后他们会将 IP 地址/端口路由为零,持续 24 小时。这当然是一种非常不受欢迎的处理方式,尤其是对我们的客户而言。
据我所知,软件防火墙只会使 DDoS 攻击问题变得更加复杂。我读过一些关于强化 TCP/IP 堆栈的文章,但听起来 Server 2008 对此没有多少帮助。
我们可以做些什么吗?
答案1
我们或任何其他公司都不可能在所有数据中心安装硬件防火墙
是的,确实有。请重新评估您的经济状况(防火墙要花多少钱?当您因 DDoS 而停机时,您每小时会损失多少?当有人发现意外打开的 RDP 端口并闯入您网络上的某些关键设备时,会对您的声誉造成多大的损害?)。
您应该能够负担得起每个数据中心的(冗余)专用防火墙 - 防火墙并不昂贵。
适当调整防火墙(流量限制、整形等)将有助于缓解 DDoS 攻击。至少它可以为您的系统提供一些保护,防止简单的蠕虫或好奇的黑客四处寻找远程登录。
在 DoS 缓解方面,您总是可以更进一步:您的 ISP 可以对非分布式攻击进行空路由(正如您已经提到的,这是您当前的流程 - 这是一个很好的流程)或对分布式攻击进行速率限制(尽管如果您经常受到攻击,这会变得昂贵 - 他们最终会为这些防火墙更改收费)。
进一步来说,你可以考虑以下服务:艾伯网络公司用于 DDoS 保护/缓解,尽管这些通常针对的是 ISP/服务提供商级别,而不是单个公司。这些解决方案往往相当昂贵。
答案2
如果您能负担得起 60 台服务器、60 个 Server 2008 许可证以及系统管理员支持和开发人员编写需要 60 台服务器运行的足够游戏的工资成本,那么您就可以负担得起专用防火墙。
此外,几乎所有其他公司都“在其所有数据中心都安装了硬件防火墙”。
至于 DDoS 保护;如果只是洪水攻击来填满您的带宽,您这边的链接没有任何帮助。如果是服务器资源攻击,那么如果配置得当,防火墙很可能能够提供帮助。