DDoS攻撃下のVPS

ランブルを始める前に、1つだけ指摘したいと思います。他のほとんどの人がこれに同意すると確信していますが、ハードウェアDDoS緩和システムは、通常、対応するソフトウェアよりも高速です。ハードウェアルートを使用することもできますが、その場合も、DDoS緩和ソフトウェアの方が少し費用効果が高くなります（さらには無料になります）。私はソフトウェアを知っているのと同様にハードウェアの部分も知らないので、DDoS保護などすべてに最適なハードウェアについてぶらぶらすることはありません。

設置できる本当に簡単なシステムの1つは、ConfigServer Security＆Firewall（ http://configserver.com/cp/csf.html ）です。これにより、iptablesを少し簡単に制御でき、SYN/ACK攻撃とポートフラッドを簡単にフィルタリングできます。

Mod_evasive（ http://www.zdziarski.com/blog/?page_id=442 ）のようなApache用のDDoSモジュールを検討したり、Nginxをリバースプロキシとして設定したりすることもできます（- http://www.rackaid.com/resources/using-nginx-to-fight-Apache-ddos-/ ）DDoS緩和を支援します。

少しでもお役に立てば幸いです。以前にDDoS攻撃を受けたことがありますが、個人的に導入しているシステム（HTTPキャッシング、Nginxプロキシ、CSFなど）の一部では、トラフィックのかなりの部分をフィルターで除外できるため、サイトをDDoS攻撃するのははるかに困難です。ただし、大きなボットネットが発生した場合は、ハードウェアDDoSシステムに投資することをお勧めします。 VPSでセットアップする方法については、プロバイダーにお問い合わせください。ほとんどのデータセンターには、DDoS攻撃を防ぐためのシステムとツールがあります。あなたはそれを支払う必要があります。

DDoS攻撃を防ぐ前に、その性質に関する詳細を入手する必要があります。詳細については、ホスティングプロバイダーにお問い合わせください。

SYNフラッドを防ぐには、HTTP攻撃やアプリケーション攻撃とは異なる手法が必要です。

大規模なネットワークフラッドの場合、プロバイダーはアップストリームの攻撃を軽減する必要があります。インバウンドリクエストレートがサーバーのパイプよりも大きい場合、できることはあまりありません。

HTTPまたはアプリケーション攻撃の場合、サーバー上での緩和は可能ですが、困難な場合があります。

アプリケーション/ HTTP攻撃では、Nginxリバースプロキシセットアップを使用して、不要なトラフィックをフィルタリングし、残りを通過させることがよくあります。これは、特定の種類の攻撃に対して非常に効果的です。

ファイアウォールルールは、攻撃が広く分散されていない場合に役立ちます。ただし、ルールチェーンが大きくなると、パフォーマンスが低下する可能性があります。

安価なトリックの1つは、攻撃が主に1つの地域からのものである場合、IPごとにそうするのではなく、国固有のIP範囲を使用してその地域を削除することです。確かにしかし効果的な重いハンマー。

また、タイムアウトを減らすことでTCP/IPスタックを調整できます。これは、ハーフオープン接続状態と長引くTIME_WAIT状態を引き起こすTCPフラッドの場合に特に役立ちます。

最後に、トラフィックをフィルタリングするために$$$を支払うことができる会社があります。これは安くはありませんが、確かに別のオプションです。