現在、私は (D)DoS-Deflate を使用して、多数のリモートサーバーでこのような状況を管理し、 Apache JMeter を負荷テストに使用しています。
全体的にはかなりうまくいっていますが、私よりも長い間このような状況で働いてきた教祖からいくつかの提案を聞きたいと思います。私はウェブホスティングビジネスで働いている人々がこれらの状況に対処する彼らの公平なシェアを持っていたと確信しています。では、企業環境でこの種の問題に取り組むためのベストプラクティスは何でしょうか。
DDoSを防ぐことは、ほとんどの場合、ターゲットにならないことです。ゲームサーバー、ギャンブル/ポルノサイト、および人々を苛立たせる傾向があるその他のものをホストしないでください。
DDoS攻撃の軽減には、次の2つの形式があります。
前者は、提供しているものに多少依存しますが、通常、キャッシュとオーバーフロー処理(サーバーが「フル」になったことを検出し、新しい接続をリソース使用量の少ない「申し訳ありません」ページにリダイレクトする)の組み合わせになります。 、および要求処理の適切な低下(たとえば、画像の動的レンダリングを行わない)。
後者はあなたのアップストリームとの良好なコミュニケーションを必要とします-あなたのアップストリームのNOCの電話番号をあなたのまぶたの内側に入れ墨してください(または少なくともどこかのウィキでではありませんでホストされていますプロダクションサーバーと同じ場所...)そしてそこで働く人々を知るようになるので、電話をかけると、ただのランダムなジョニーではなく、彼らが話していることを実際に知っている誰かとしてすぐに注目を集めるでしょう。
どのような境界セキュリティを設定しているかについては言及していません。 Ciscoファイアウォールを使用すると、ファイアウォールが遮断する前に許可する初期(ハーフセッション)の数を制限しながら、完全なセッションの通過を許可できます。デフォルトでは無制限であり、保護は提供されません。
FoundryServerIronやCiscoACEなどのハードウェア支援ロードバランサーは、多数の主要なタイプのDOS/DDOS攻撃を処理するのに最適ですが、新しい技術をより迅速に「学習」できるソフトウェアソリューションほど柔軟ではありません。
情報源の1つは、 このサイト にあります。彼らが通過する際にのみ言及する(そしてさらに調査する価値のある)1つの手段は、SYNクッキーを有効にすることです。これにより、攻撃者がプロセスごとに許可されるファイル記述子の最大数に到達しようとして、多数の「ハーフオープン」接続を開くことを防ぐことにより、DoS攻撃のクラス全体を防ぎます。 (bashのマンページを参照し、「-n」オプションが組み込まれた「ulimit」を探してください)
免責事項:私はDDoS防御の第一人者ではありません。
それはあなたがそれのために持っている予算、あなたの稼働時間の条件が何であるか、そしてあなたやあなたの顧客がこの種のリスクにどのようにさらされているかに依存すると思います。
プロキシベースのDDoS保護がオプションになる可能性があります。ほとんどの場合、それは安価なオプションではありませんが、私はそれが最も効果的だと思います。私は私のホスティングプロバイダーに解決策を求めます。たとえば、RackSpaceはこの多層を提供します 緩和ツール 。すべての大規模なホスティング業者が同様のソリューションを持っていると確信しています。