Последующие действия Выявление DDOS-атак на серверах Windows 2008.
Какие шаги предпринимают люди для предотвращения DDOS-атак на свои серверы Windows 2008 в размещенной среде?
Меня особенно интересуют способы, которые не включают отдельный аппаратный брандмауэр, а скорее то, что можно сделать с помощью программного обеспечения или конфигурации самого сервера.
У MS есть статья под названием Как: укрепить стек TCP / IP. Есть ли у кого-нибудь опыт (или мысли) об успехе этих шагов?
На практике в небольшом масштабе вы просто не можете защитить себя от реального DDOS, поскольку даже игнорируя проблемы с использованием ресурсов, даже тысяче машин очень легко затопить довольно большое соединение.
Единственное, что нужно сделать, - это стандартная конфигурация и усиление защиты, гарантирующие, что работает только то, что необходимо, и что все необходимое настроено оптимально.
Надеюсь, у вашего ISP / colo будут какие-то процедуры для исправления некоторых вещей на их стороне, если будут какие-либо атаки. Однако, если вы не в азартных играх, порнографию или другой (юридический) бахрому сайте такой атака крайне маловероятна.
По правде говоря, вы мало что можете сделать, чтобы защититься от реальной DDoS-атаки на уровне сервера. Нет настройки, которую вы можете настроить, чтобы защитить вас от гигабайт трафика, нацеленного на определенный сервер.
Чтобы предотвратить симптомы DDoS, лучший (и самый затратный) способ - использовать такую службу, как Prolexic, которая собирает тонны и тонны пропускной способности и очищает ваш трафик. Существуют также устройства, которые вы можете использовать для фильтрации плохого трафика, но опять же, это зависит от того, какой интернет у вас есть в центре обработки данных, в котором вы находитесь. Если они подключены к OC-3, DDoS может полностью заполнить соединение от нескольких провайдеров, и никакое устройство в мире не спасет вас от этого. Если вы находитесь в месте, где устраивают концерты дудки, эти приборы могут быть более полезными.
Чтобы остановить симптомы DDoS, вам действительно нужно какое-то сотрудничество с поставщиками интернет-провайдеров вашего центра обработки данных. Вы можете сделать так много самостоятельно.
Укрепление IP-стека, безусловно, работает и помогает (особенно защита от синхронных атак), а также гарантирует, что встроенный брандмауэр Windows включен и разрешает только то, что требуется, и выходить. Одна из вещей, упомянутых в вашем предыдущем вопросе, заключалась в том, что когда вы отключили входящий доступ, все вернулось к норме, но это были не HTTP-соединения. Брандмауэр должен быть настроен так, чтобы разрешать только порт 80/443 на общедоступном интерфейсе. В зависимости от ваших конкретных потребностей отдельный брандмауэр / IDS может понадобиться, а может и не потребоваться. Если вы - единственная компания, размещающая свой собственный веб-сайт, вы, вероятно, можете остаться незамеченными. Если вы являетесь провайдером веб-хостинга, вам наверняка понадобится отдельный брандмауэр.
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
Расширение IIS «Динамические ограничения IP-адресов» блокирует IP-адреса при подозрительной активности. помог нам решить проблему HTTP-флуда