Я ищу способы помочь остановить атаки DOS. Я запускаю Linux-сервер и ищу способы, которыми я могу помочь ограничить эффект любых атак и, возможно, установить некоторые ограничения на вещи, не влияя ни на что
Спасибо
На сегодняшний день распространено наибольшее количество DOS-атак. А единственное число Атака DOS (например, кто-то запускает анализатор сетевой нагрузки на своем компьютере в ночное время) может быть предотвращена с помощью службы с низкими накладными расходами и затрат времени злоумышленника, например, путем задержки ответов. Запрет IP-адреса (временно!), Когда отправлено слишком много запросов, тоже работает, для этого существуют автоматизированные инструменты (например, fail2ban).
Все это не работает для распределенной атаки DOS.
Лучший способ остановить распределен Атака DOS не является целью одной из них. Большинство владельцев серверов в конечном итоге станут свидетелями или прямо или косвенно затронуты DOS-атакой, это просто происходит. Многие из них тоже наполовину опущены (или полностью взорваны, но направлены на кого-то другого), и вы просто ждете, пока все закончится, со слегка ослабленным обслуживанием.
Однако большинство регулярный жертвы серьезный Атаки DOS каким-то образом произошли. Если вы регулярно становитесь объектом DDOS-атак, вам необходимо пересмотреть свои отношения с общественностью.
Второй лучший способ - настроить маршрутизатор на верхнем уровне иерархии (тот, который соединяет центр обработки данных с магистралью), чтобы отбрасывать пакеты, идущие к атакованной машине. Брандмауэр на атакованной машине или рядом с ней бесполезен.
Все остальные средства также бесполезны, потому что, что бы вы ни делали, если кто-то использует 20 или 30 машин (или 200 ...) и просто физически насыщает провод, вы ничего не можете сделать против этого с точки зрения программного обеспечения.
Существуют некоторые прекрасные решения, такие как, например, файлы cookie SYN, которые теоретически могут по-прежнему допускать услуги пониженного качества, несмотря на атаки DOS, но это не может помочь в том, что, пока канал занят, никакие кадры не проходят. Итак, при достаточно массивной атаке ваша карта Ethernet никогда не получает ни одного из ваших пакетов.
Предотвращение атак DOS - это больше похоже на искусство и незавершенную работу, чем на простое решение goto. Лучший способ - начать с малого, используя общие инструменты, анализировать журналы и двигаться дальше.
Могу я предложить взглянуть на это, чтобы получить базовую защиту и запустить ее: http://blog.lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html