Назад | Перейти на главную страницу

DDoS-атаки

Как предотвратить DDoS атаки на серверы Windows / IIS?

В этом есть несколько неплохих ответов вопрос

Я обычно устанавливаю перед ним брандмауэр с ограничением количества SYN-пакетов в секунду.

Я понимаю, что то, что я здесь пишу, не является решением для вас. Но я бы посоветовал вам обратить внимание на эти моменты при выборе решения для распределенной защиты от DoS.

DDoS - это обычно сложная проблема. Вы, как правило, каким-то образом ограничиваете обслуживание, одновременно защищая сервер, и в любом случае получаете отказ в обслуживании.

Если был распределенный DoS, который поразил ваш сервер со скоростью (скажем) 100 запросов в секунду (очень консервативная цифра), и ваш сервер обычно видел около 10 действительных запросов в секунду. Если бы вы каким-то образом ограничили количество запросов, вполне вероятно, что действительные запросы будут заблокированы в процессе, что сделает вас частью распределенной операции DoS.

Лучшим решением было бы настроить отслеживание количества запросов на источник или лучшую подсеть источника и начать блокировку или ограничение источников, которые превышают некоторые пороговые значения.

Если DDos попали на ваш сервер, уже слишком поздно. Вы должны поставить защиту перед своим сервером. Как уже упоминалось, многие брандмауэры имеют встроенную защиту от DDos. Для более дешевого решения вы можете поставить перед компьютером коробку Linux или BSD со специализированным дистрибутивом. Проверять, выписываться эта страница для некоторых из этих дистрибутивов

Возможно, вам поможет следующее программное обеспечение: http://www.helicontech.com/ape/doc/mod_evasive.htm

Но мне кажется, что аппаратная защита более эффективна.