フォローアップWindows 2008 サーバーに対する DDOS 攻撃の特定。
ホスト環境の Windows 2008 Server に対する DDOS 攻撃を防ぐために、どのような対策を講じていますか?
私は、別個のハードウェア ファイアウォールを使用するのではなく、ソフトウェアまたはサーバー自体の構成で実行できる方法に特に興味があります。
MSには次のような記事があります方法: TCP/IP スタックを強化するこれらのステップが成功した経験(または考え)をお持ちの方はいらっしゃいますか?
答え1
実際には、リソース使用の問題を無視しても、1,000 台のマシンでも非常に大規模な接続を圧倒してしまうことが非常に多いため、小規模では実際の DDOS から保護することはできません。
実際に行うべきことは、標準的な構成と強化を行い、必要なものだけが実行されるようにし、必要なものが最適に構成されていることを確認することだけです。
幸い、ISP / コロケーションプロバイダは、攻撃があった場合に、自社側でいくつかの問題を修正する手順を用意しています。ただし、ギャンブル、ポルノ、その他の (合法的な) 非主流サイトでない限り、このような攻撃が発生する可能性は極めて低いです。
答え2
正直に言うと、サーバー レベルで実際の DDoS 攻撃から身を守るためにできることは多くありません。特定のサーバーをターゲットにしたギガ単位のトラフィックから身を守るために調整できる設定はありません。
DDoS の症状を防ぐには、大量の帯域幅を集約してトラフィックをクリーンにする Prolexic などのサービスを使用するのが最善 (かつ最もコストのかかる) です。また、不正なトラフィックをフィルタリングするのに役立つデバイスもありますが、これも、データ センターにどのようなインターネットが流入しているかによって異なります。OC-3 を使用している場合、DDoS によって複数のプロバイダーからの接続が完全に飽和状態になる可能性があり、世界中のどのデバイスもその状態からあなたを救うことはできません。何ギガものパイプがある場所にいる場合は、これらのアプライアンスの方が便利です。
DDoS の症状を止めるには、データ センターの ISP プロバイダーとの何らかの協力が不可欠です。自分だけでできることは限られています。
答え3
IP スタックを強化することは確かに効果があり、役に立ちます (特に SYN 攻撃保護)。また、組み込みの Windows ファイアウォールが有効になっていることを確認し、必要なものだけを出し入れできるようにします。前の質問で言及されていたことの 1 つは、受信アクセスを無効にすると正常に戻ったが、HTTP 接続ではなかったということです。ファイアウォールは、パブリック インターフェイスでポート 80/443 のみを許可するように設定する必要があります。特定のニーズに応じて、別のファイアウォール/IDS が必要になる場合と、そうでない場合があります。独自の Web サイトをホストしている単一の会社であれば、おそらく気付かれずに済むでしょう。Web ホスティング プロバイダーであれば、別のファイアウォールが必要になることは間違いありません。
答え4
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
IISの「動的IPアドレス制限」拡張機能は、疑わしいアクティビティのIPアドレスをブロックします。HTTPフラッディングの問題を解決するのに役立ちました。