У нас есть довольно крупная компания, занимающаяся хостингом игровых серверов, с примерно 60 машинами, работающими под управлением Server 2008, и DDoS-атаками, с которыми мы имеем дело уже давно. К сожалению, из-за рыночных цен ни у нас, ни у какой-либо другой компании нет возможности установить аппаратные брандмауэры во всех наших центрах обработки данных.
Наш курс действий всегда заключался в том, чтобы просто связаться с центром обработки данных, и они обнуляют IP-адрес / порт в течение 24 часов. Это, конечно, очень непривлекательный способ решения проблемы, особенно для наших клиентов.
Насколько я понимаю, программный брандмауэр только усложнит проблему DDoS-атаки. Я читал кое-что об усилении защиты стека TCP / IP, но похоже, что в Server 2008 мало что можно сделать, чтобы помочь с этим.
Что мы можем сделать?
ни у нас, ни у какой-либо другой компании нет возможности установить аппаратные брандмауэры во всех наших центрах обработки данных
Да, да, есть. Пожалуйста, переоцените свою экономику (Сколько стоит брандмауэр? Сколько вы теряете в час, когда вы не работаете из-за DDoS-атак? Какой ущерб будет нанесен вашей репутации, если кто-то обнаружит случайно открытый порт RDP и взламывает какой-то критический ящик в вашей сети?).
Вы должны иметь возможность иметь (избыточные) выделенные брандмауэры в каждом центре обработки данных - брандмауэры НЕ дороги.
Правильная настройка вашего брандмауэра (регулирование трафика, формирование и т. Д.) Поможет смягчить DDoS-атаки. По крайней мере, это обеспечит некоторую защиту ваших систем от простых червей или любопытных хакеров, выискивающих удаленный вход.
Что касается предотвращения DoS-атак, вы всегда можете подняться на одну ступеньку выше: ваш интернет-провайдер может обнулить нераспределенные атаки (как вы уже упоминали, это ваш текущий процесс - он хороший) или распределенные с ограничением скорости (хотя ожидайте, что это обойдется вам дорого, если вы часто подвергаетесь атакам - они в конечном итоге будут взимать плату за эти изменения брандмауэра).
Далее по служебной лестнице вы можете рассмотреть услуги, подобные тем, которые предлагает Arbor Networks для защиты / смягчения DDoS-атак, хотя они обычно нацелены на уровень ISP / поставщика услуг, а не на отдельные компании. Цены на эти решения имеют тенденцию быть довольно грабительскими.
Если вы можете позволить себе шестьдесят серверов с шестьюдесятью лицензиями на Server 2008, а также расходы на выплату заработной платы системным администраторам для поддержки и разработчикам, кодирующим достаточно игр, для работы которых требуется шестьдесят серверов, тогда вы можете позволить себе выделенные брандмауэры.
Кроме того, примите за правду, что (почти) все другие компании «реально устанавливают аппаратные брандмауэры во всех [своих] центрах обработки данных».
Что касается защиты от DDoS-атак; Если это просто наводнение, заполняющее вашу полосу пропускания, ничто на вашей стороне вашей ссылки не поможет. Если это атака на ресурсы сервера, то брандмауэр при грамотной настройке, скорее всего, сможет помочь.