我的一位客户在共享托管帐户上有一个网站,该服务器上的另一个帐户遭到 DDOS 攻击,这当然导致该服务器上的所有网站都瘫痪了。我们正在讨论转移到专用服务器或 VPS,以帮助缓解未来的这种情况。我完全知道这不会阻止 DDOS 攻击的发生,但使用自己的服务器至少可以降低风险,因为他们不会受到其他人的附带损害(那么多?)。
但我想知道使用 VPS 在这方面是否会有任何影响——是的,系统在软件层面与其他系统隔离,但我的理解是仍有几台虚拟机共享一台物理机器(因此只有一个物理网络连接)。我的问题是:VPS 提供的准隔离在减少遭受他人 DDOS 攻击的可能性方面是否有任何好处,还是只有使用单独的物理服务器才能获得这种好处?
答案1
风险会略有减少,但不会明显消除。
一般来说,VPS 主机上的客户数量会比共享网络服务器上的客户数量少,因此潜在攻击目标也会更少。当然,这完全是理论上的,除非拥有像 Google 或 Facebook 那样规模庞大的基础设施,否则几乎没有任何东西可以阻止 DDoS 攻击。
答案2
被攻击的风险是一样的但
任何提供某种大规模托管服务的优质提供商都应该拥有适当的基础设施来应对攻击。这意味着您的上游应该更可靠(但对于任何关心自身基础设施的提供商来说也是如此)
没有人能在 DDoS 攻击中幸存(假设攻击规模足够大)。基本上,这归结为无限资源与有限资源的较量。
简单示例:
您的提供商有:
- 每台服务器都有 10GBit/s 的完整线路
- 足够强大的服务器来饱和链接
攻击者有:
- 总带宽为 5GBit/s
理论上来说,你可以幸存下来,对比
攻击者有:
- 总带宽为 12GBit/s
您什么也做不了。如果攻击者只是向您的 Web 服务器发送简单的 SYN 洪水攻击,您就无法对攻击做出反应,因为您无法通过线路登录,线路已经饱和(假设这是您访问该服务器的唯一方式)。
SYN 洪水保护不会有帮助,因为 12GBit 的传入数据量会直接填满 10GBit 的管道(12GBit 的 SYN 数据包还没有发送任何有效载荷)很多)尤其是当有数千个盒子而不是 2 个或 3 个盒子时……
iptables 不会帮助您,因为当 iptables 可以处理这种情况时,您的网卡管道已经满了。
唯一有帮助的是上游有人能够应对传入流量以阻止每个发送请求的盒子,但我怀疑使用便宜的 VPS(即使每月几百美元)是否会有人关心因为您的 VPS 而采取措施。他们只会关心这会损害他们自己的基础设施,可能他们只会将您的 VPS 脱机,以便攻击者认为他或她已经达到目标并提前停止攻击。
请记住,使用 VPS 时,您仍然会受到对同一物理服务器上另一个(可能完全不相关)VPS 的攻击的影响。通过使用物理服务器,您至少只会受到针对您客户的攻击,而不是您的提供商的某个随机客户(碰巧在同一物理主机上,但在另一个 VPS 上)。
(我很累,而且英语不是我的母语,如果这些都没有意义,我很抱歉)
答案3
不
答案4
提供商对大规模 DDoS 攻击的首要反应是限制损害。这通常意味着通过目标 IP 地址进行阻止。
如果您与其他人共享 IP 地址,那么您很可能会被困在这些阻止之中。
共享网络托管服务(尤其是非 https 服务)通常使用共享 IP 地址。虚拟机和专用服务器有自己的网络堆栈,因此通常*有自己的 IP 地址。
专用服务器相对于虚拟机的优势在于您不共享 CPU/Ram/存储资源,并且虽然您在某些时候需要共享网络资源,但提供商网络中网络设备之间的链接可能比到单个服务器的链接更大。
* 由于 IPv4 短缺,据我所知,一家提供商默认只提供 IPv6 地址,并依赖 IPv4 的反向代理。此设置可能会增加 DDOS 漏洞,因为反向代理可能会受到 DDOS 攻击。