VPS 遭受 DDoS 攻击

在我开始漫谈之前，我只想指出一件事。我相信大多数人都会同意这一点，但硬件 DDoS 缓解系统通常比软件系统更快。你可以选择硬件路线，但话又说回来，DDoS 缓解软件会更具成本效益（甚至免费）。我对硬件的了解不如对软件的了解，所以我不会漫谈 DDoS 保护的最佳硬件等等。

您可以实施的一个非常简单的系统是 ConfigServer 安全和防火墙 (http://configserver.com/cp/csf.html）。这样，你就可以更轻松地控制 iptables，并且可以轻松过滤 SYN/ACK 攻击和端口泛洪。

您可能还需要考虑一些适用于 Apache 的 DDoS 模块，例如 mod_evasive（http://www.zdziarski.com/blog/?page_id=442）或者将 Nginx 设置为反向代理（http://www.rackaid.com/resources/using-nginx-to-fight-apache-ddos-/) 来帮助缓解 DDoS 攻击。

希望这些能有所帮助。我以前遭受过 DDoS 攻击，而且我个人已经安装了一些系统（如 HTTP 缓存、Nginx 代理、CSF），因此我的网站很难受到 DDoS 攻击，因为它可以过滤掉很大一部分流量。不过请记住，如果大型僵尸网络攻击了你，你可能需要投资硬件 DDoS 系统。至于如何在你的 VPS 上安装一个，只需询问你的提供商。大多数数据中心都有自己的系统和工具来防止 DDoS 攻击；你只需要为此付费。

您需要了解有关 DDoS 攻击性质的更多详细信息，然后才能阻止它。我会向您的托管服务提供商询问更多详细信息。

防止 SYN 洪水攻击需要与 HTTP 或应用程序攻击不同的技术。

如果发生大规模网络洪流，您的提供商通常必须缓解上游攻击。如果入站请求率大于您的服务器管道，您就无能为力了。

对于 HTTP 或应用程序攻击，服务器上的缓解是可能的，但可能很困难。

对于应用程序/HTTP 攻击，我经常使用 Nginx 反向代理设置来过滤不需要的流量并允许其余流量通过。这对某些类型的攻击非常有效。

如果攻击分布不广，防火墙规则可以提供帮助。但是，一旦规则链变得庞大，性能就会受到影响。

一个便宜的伎俩是，如果攻击主要来自一个地区，您可以使用特定国家/地区的 IP 范围来删除该地区，而不是尝试基于每个 IP 进行删除。这肯定是重锤，但很有效。

还可以通过降低超时来调整 TCP/IP 堆栈。这对于导致半开连接状态和持续的 TIME_WAIT 状态的 TCP 泛洪尤其有用。

最后，你可以向一些公司支付 $$$ 来过滤你的流量。这并不便宜，但肯定是另一种选择。