阻止 DOS 攻击的最佳方法是什么

Question 1

迄今为止，数量最多的 DOS 攻击是分布式的。单数通过使用低开销服务并消耗攻击者的时间（例如延迟响应），可以阻止 DOS 攻击（例如某人整夜在计算机上运行网络负载分析器）。当发送的请求过多时，禁止某个 IP 地址（暂时！）也是可行的，有自动化工具（例如 fail2ban）可以做到这一点。

所有这些对于分布式 DOS 攻击都不起作用。

阻止分散式DOS 攻击并不是成为攻击目标。大多数服务器所有者最终都会目睹或直接或间接地受到 DOS 攻击的影响，这只是偶然发生的事情。其中许多攻击也只是半途而废（或完全爆发，但针对其他人），您只需等待它结束，服务会略有受损。
然而，大多数常规的受害者严肃的DOS 攻击在某种程度上是命中注定的。如果你经常成为 DDOS 攻击的目标，你就需要重新考虑你的公关了。

第二个最佳方法是在层次结构的上层配置一个路由器（将数据中心连接到主干网的路由器），以丢弃发往受攻击机器的数据包。受攻击机器上或附近的防火墙毫无作用。

所有其他方法也都是无用的，因为无论你做什么，如果有人使用 20 或 30 台机器（或 200 台……）并只是物理地饱和电线，从软件的角度来看你对此无能为力。

存在一些不错的解决方案，例如 SYN cookies，理论上，尽管存在 DOS 攻击，仍然可以提供质量较差的服务，但这些无法解决当线路繁忙时，没有帧通过这一事实。因此，如果攻击规模足够大，您的以太网卡将永远不会收到任何数据包。

Answer

迄今为止，数量最多的 DOS 攻击是分布式的。单数通过使用低开销服务并消耗攻击者的时间（例如延迟响应），可以阻止 DOS 攻击（例如某人整夜在计算机上运行网络负载分析器）。当发送的请求过多时，禁止某个 IP 地址（暂时！）也是可行的，有自动化工具（例如 fail2ban）可以做到这一点。

所有这些对于分布式 DOS 攻击都不起作用。

阻止分散式DOS 攻击并不是成为攻击目标。大多数服务器所有者最终都会目睹或直接或间接地受到 DOS 攻击的影响，这只是偶然发生的事情。其中许多攻击也只是半途而废（或完全爆发，但针对其他人），您只需等待它结束，服务会略有受损。
然而，大多数常规的受害者严肃的DOS 攻击在某种程度上是命中注定的。如果你经常成为 DDOS 攻击的目标，你就需要重新考虑你的公关了。

第二个最佳方法是在层次结构的上层配置一个路由器（将数据中心连接到主干网的路由器），以丢弃发往受攻击机器的数据包。受攻击机器上或附近的防火墙毫无作用。

所有其他方法也都是无用的，因为无论你做什么，如果有人使用 20 或 30 台机器（或 200 台……）并只是物理地饱和电线，从软件的角度来看你对此无能为力。

存在一些不错的解决方案，例如 SYN cookies，理论上，尽管存在 DOS 攻击，仍然可以提供质量较差的服务，但这些无法解决当线路繁忙时，没有帧通过这一事实。因此，如果攻击规模足够大，您的以太网卡将永远不会收到任何数据包。

Question 2

预防 DOS 攻击更像是一门艺术，是一项正在进行的工作，而不是简单的解决方案。最好的方法是从小处着手，使用常用工具，分析日志，然后逐步进行。

我建议您看一下这个，以建立并运行基本保护：http://blog.lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html

Answer

预防 DOS 攻击更像是一门艺术，是一项正在进行的工作，而不是简单的解决方案。最好的方法是从小处着手，使用常用工具，分析日志，然后逐步进行。

我建议您看一下这个，以建立并运行基本保护：http://blog.lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html

阻止 DOS 攻击的最佳方法是什么

答案1

答案2

相关内容