N00b 问题
但是假设我有一个带有两个 IP 地址的专用服务器,并且软件(我们仅使用 Apache 作为示例)使用这两个 IP 地址来提供内容,如果其中一个 IP 地址发生 DoS 攻击,我是否可以使用 IP 表之类的东西来对两个 IP 地址之一的所有传入连接进行空路由/丢弃,从而有效地使攻击无效并仍然为用户提供服务?
答案1
然后攻击者就可以开始攻击其他 IP(如果他们还没有这样做的话)。您可能会阻止一些不太复杂的攻击,但无法阻止任何稍有决心的攻击。
如果您的目标是防止 DoS 而不是 DDoS,您可以考虑使用mod_qos或iptables限制来自单个 IP 的总并发连接数。您还可以查看mod_evasive,它提供了一定程度的 DDoS 保护。
答案2
这是我的第一篇文章,所以请耐心等待,
根据攻击的严重程度和攻击者的决心,您可以减缓他们的速度,但永远不要想着“阻止”他们,攻击可以减缓但不能停止。
IPtables 是一个很好的解决方案,具体取决于您网站的来源流量,如果我不愿意处理来自有问题的国家/地区的不必要流量,我总是使用国家/地区限制。我根据国家/地区和目标受众在所有网络设备上都这样做。
高血压
答案3
不,你无法通过这种方式阻止 DDoS 攻击。
当数据包到达您的服务器时,它们已经消耗了饱和链路上的容量。使用 iptables 丢弃数据包不会让您恢复已使用的链接时间。
为了使针对 DDoS 攻击的措施有效,必须在数据包进入饱和链路之前将其阻止。
不同的 IP 地址(取决于提供商)可以以不同的方式帮助您。沿饱和链路发送数据包的路由器可能配置为在目标 IP 地址之间平均共享容量。如果是这样的话,针对一个 IP 地址的 DDoS 攻击只会对另一个 IP 地址产生很小的影响。
但如果攻击者知道这两个 IP 地址,攻击者就可以轻松地在这两个 IP 地址之间均匀分享攻击流量。