我正在寻找有关以下场景中的 DDoS 的一些信息:
我有一台位于 Cisco Guard 后面的服务器,它将受到 DDoS 攻击,我只关心一组 IPS 列表,这些列表绝不是攻击者。
是否有可能使除此列表之外的所有其他 IP 无效,以便我的服务器真正获得任何响应,或者从长远来看,无论我做什么,如果他们拥有足够的 DDoS 能力,我都会像苍蝇一样倒下?
有没有推荐的公司可以真正应对 DDoS?
我的服务器将主要运行几个连接到外部服务器的客户端,它需要访问的是我的本地 MySQL 和私有网络,这样我就可以访问它。
不会有其他服务运行,例如 web 或 ftp 等,至少不会运行到服务器的外部 ip,如果我需要使用任何这些服务,它们将在私有网络上。
MySQL 仅对外开放给除了我之外没有人知道的 1 个安全 IP,对内则开放给本地主机 + 私有网络。
有什么解决办法吗?
答案1
如果你想将允许的源 IP 限制为已知子集,那么伟大的从 DDoS 保护的角度来看。DDoS 通过使管道饱和来工作;如果您在链条的足够高处阻止恶意流量(管道不是无限的,但对于我们的目的来说它们足够接近),您基本上可以承受任何 DDoS。诀窍是让允许/拒绝列表足够接近互联网的“核心”,以便 DDoS 将流经的管道大小(直到它被丢弃的点)足够大以处理它。
您需要做的是指定任何潜在 DDoS 的最大预期流量(以 BPS 和 PPS 为单位),并与供应商沟通,让他们知道您在流量和响应能力方面需要什么。确保他们能够在需要时立即应用您的黑名单。您要询问的功能通常称为“实时黑洞路由”。如果您以任何形式运行 BGP,那么执行此操作相当简单(如在http://jonsblog.lewis.org/2011/02/05)。如果您没有运行 BGP,则需要与您的提供商确认启动黑洞的机制(如果您必须调用 NOC 来实施它,请不要费心 - 它很容易自动化)。
首次启动并运行时测试此功能,并定期再次测试以确保它仍然有效。你不想因为他们的黑洞停止工作而向你的提供商大喊大叫期间一次大规模 DDoS 攻击。