阻止 DOS 攻击的最佳方法是什么

阻止 DOS 攻击的最佳方法是什么

我正在寻找帮助阻止 DOS 攻击的方法。我正在运行一个 Linux 服务器,正在寻找可以帮助限制任何攻击影响的方法,并可能在不影响任何东西的情况下设置一些限制

谢谢

答案1

迄今为止,数量最多的 DOS 攻击是分布式的。单数通过使用低开销服务并消耗攻击者的时间(例如延迟响应),可以阻止 DOS 攻击(例如某人整夜在计算机上运行网络负载分析器)。当发送的请求过多时,禁止某个 IP 地址(暂时!)也是可行的,有自动化工具(例如 fail2ban)可以做到这一点。

所有这些对于分布式 DOS 攻击都不起作用。

阻止分散式DOS 攻击并不是成为攻击目标。大多数服务器所有者最终都会目睹或直接或间接地受到 DOS 攻击的影响,这只是偶然发生的事情。其中许多攻击也只是半途而废(或完全爆发,但针对其他人),您只需等待它结束,服务会略有受损。
然而,大多数常规的受害者严肃的DOS 攻击在某种程度上是命中注定的。如果你经常成为 DDOS 攻击的目标,你就需要重新考虑你的公关了。

第二个最佳方法是在层次结构的上层配置一个路由器(将数据中心连接到主干网的路由器),以丢弃发往受攻击机器的数据包。受攻击机器上或附近的防火墙毫无作用。

所有其他方法也都是无用的,因为无论你做什么,如果有人使用 20 或 30 台机器(或 200 台……)并只是物理地饱和电线,从软件的角度来看你对此无能为力。

存在一些不错的解决方案,例如 SYN cookies,理论上,尽管存在 DOS 攻击,仍然可以提供质量较差的服务,但这些无法解决当线路繁忙时,没有帧通过这一事实。因此,如果攻击规模足够大,您的以太网卡将永远不会收到任何数据包。

答案2

预防 DOS 攻击更像是一门艺术,是一项正在进行的工作,而不是简单的解决方案。最好的方法是从小处着手,使用常用工具,分析日志,然后逐步进行。

我建议您看一下这个,以建立并运行基本保护:http://blog.lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html

相关内容