У моего клиента есть веб-сайт на общей учетной записи хостинга, и одна из других учетных записей на этом сервере подверглась DDOS-атаке, которая, конечно же, вызвала сбой всех веб-сайтов на этом сервере. Мы говорим о переходе на выделенный сервер или VPS, чтобы помочь смягчить это в будущем. Я полностью осознаю, что это не предотвратит DDOS-атаки, но их собственный сервер, по крайней мере, снизит риск, потому что они не будут подвергаться чьему-либо побочному ущербу (настолько же?).
Но мне интересно, окажет ли какое-либо влияние использование VPS в этом отношении - да, система изолирована от других систем на уровне программного обеспечения, но я понимаю, что еще несколько виртуальных машин используют одну физическую машину ( и, следовательно, одно физическое сетевое соединение). Мой вопрос: дает ли квазиизоляция, которую предлагает VPS, какую-либо выгоду с точки зрения снижения шансов попасть в чужую DDOS-атаку, или вы получаете такую выгоду только от того, что находитесь на отдельном физическом сервере? ?
Риск нападения такой же но
любой достойный провайдер, который занимается массовым хостингом, должен иметь соответствующую инфраструктуру для защиты от атак. Это означает, что ваш апстрим должен быть более надежным (но то же самое верно для любого провайдера, который заботится о своей собственной инфраструктуре)
Невозможно пережить DDoS-атаку (учитывая, что атака достаточно велика). В основном это сводится к бесконечным ресурсам против ограниченных ресурсов.
Простой пример:
У вашего провайдера есть:
Злоумышленник имеет:
Вы можете (теоретически) пережить атаку, в отличие от
Злоумышленник имеет:
ты ничего не можешь сделать. Если злоумышленник просто отправляет простую атаку SYN-flood на ваш веб-сервер, вы не можете отреагировать на атаку, потому что у вас нет возможности войти в систему через линию, она уже насыщена (при условии, что это единственный способ добраться до этого сервера).
Защита от SYN-флуда не поможет, потому что входящие 12 ГБит просто заполнят 10-гигабитный канал огромным количеством данных (адские 12 ГБ пакетов SYN, которые еще не были отправлены). много). Особенно, когда коробок тысячи, а не 2 или 3 ...
iptables вам не поможет, потому что к тому времени, когда iptables справится с ситуацией, конвейер вашей сетевой карты уже заполнен.
Единственное, что поможет, - это кто-то из апстрима, который может справиться с входящим трафиком и заблокировать каждый из ящиков, отправляющих запросы, но я сомневаюсь, что с дешевым VPS (даже если это несколько сотен долларов в месяц) кто-то позаботится принять меры, потому что вашего VPS. Они будут заботиться только о том, что это вредит их собственной инфраструктуре; вероятно, они просто отключат ваш VPS, чтобы злоумышленник подумал, что он или она достиг цели, и прекратит атаковать раньше.
Имейте в виду, что с VPS вы по-прежнему подвержены атакам на другой (возможно, совершенно не связанный) VPS на том же физическом сервере. Используя физический сервер, вы, по крайней мере, будете подвергаться атакам, нацеленным на ваших клиентов, а не на случайных клиентов вашего провайдера, которые находятся на том же физическом хосте, но на другом VPS.
(Я устал, а английский - не мой родной язык, прошу прощения, если все это не имеет смысла)
Риски будут немного снижены, но явно не устранены.
В общем, на хосте VPS будет меньше клиентов, чем на общем веб-сервере, что делает меньше потенциальных целей. Конечно, все это полностью теоретически, и буквально ничто не может остановить решительную DDoS-атаку, кроме масштабной масштабной инфраструктуры, например, Google или Facebook.
Нет
Дело не в ресурсах на машинах, а в том, что ваш VPS имеет собственный IP-адрес, а с виртуальным хостингом у вас нет выделенного IP-адреса.
Таким образом, проще заблокировать DDOS на VPS, потому что трафик имеет уникальный IP-адрес назначения.
Первым ответом провайдера на крупную DDoS-атаку будет ограничение ущерба. Часто это означает блокировку по IP-адресу назначения.
Если вы поделитесь IP-адресом с другими людьми, вы, вероятно, попадете в эти блоки.
Услуги общего веб-хостинга, особенно не использующие https, часто используют общие IP-адреса. Виртуальные машины и выделенные серверы имеют собственные сетевые стеки и, следовательно, обычно * имеют собственные IP-адреса.
Выделенный имеет преимущества перед виртуальной машиной в том, что вы не разделяете ресурсы ЦП / ОЗУ / хранилища, и хотя в какой-то момент вы собираетесь совместно использовать сетевые ресурсы, ссылки между сетевыми устройствами в сети провайдера, вероятно, будут больше, чем ссылки на отдельные серверы.
* Из-за нехватки IPv4 один провайдер, о котором я знаю, по умолчанию предоставляет только IPv6-адрес и полагается на обратный прокси-сервер для IPv4. Эта настройка может увеличить уязвимость DDOS, поскольку обратный прокси-сервер может быть поражен DDOS.