Protección de servidores alojados de Windows 2008 contra ataques DDOS

Question 1

En la práctica, a pequeña escala simplemente no se puede proteger contra un DDOS real, ya que incluso ignorando los problemas de uso de recursos es muy fácil que incluso mil máquinas invadan una conexión bastante grande.

Lo único que realmente hay que hacer es la configuración y el refuerzo estándar, asegurando que solo se esté ejecutando lo que se necesita y que lo que se necesita esté configurado de manera óptima.

Con suerte, su ISP/colo tendrá algunos procedimientos para solucionar algunas cosas si hay algún ataque. Sin embargo, a menos que sea un sitio de juegos de azar, pornografía u otro sitio marginal (legal), un ataque de este tipo es extremadamente improbable.

Answer

En la práctica, a pequeña escala simplemente no se puede proteger contra un DDOS real, ya que incluso ignorando los problemas de uso de recursos es muy fácil que incluso mil máquinas invadan una conexión bastante grande.

Lo único que realmente hay que hacer es la configuración y el refuerzo estándar, asegurando que solo se esté ejecutando lo que se necesita y que lo que se necesita esté configurado de manera óptima.

Con suerte, su ISP/colo tendrá algunos procedimientos para solucionar algunas cosas si hay algún ataque. Sin embargo, a menos que sea un sitio de juegos de azar, pornografía u otro sitio marginal (legal), un ataque de este tipo es extremadamente improbable.

Question 2

A decir verdad, no hay mucho que puedas hacer para protegerte contra un ataque DDoS real a nivel de servidor. No hay ninguna configuración que puedas modificar que te defienda contra los gigas de tráfico dirigidos a un servidor específico.

Para prevenir los síntomas de un DDoS, la mejor forma (y la más cara) es utilizar un servicio como Prolexic que agrega toneladas y toneladas de ancho de banda y limpia su tráfico. También hay dispositivos que puedes usar para ayudar a filtrar el tráfico malo, pero nuevamente, depende del tipo de Internet que tengas ingresando al centro de datos en el que te encuentras. Si están en un OC-3, un DDoS podría saturas por completo la conexión de múltiples proveedores y ningún dispositivo en el mundo te va a salvar de eso. Si estás en un lugar que tiene gigas y gigas de tuberías, entonces esos electrodomésticos pueden ser más útiles.

Para detener los síntomas de un DDoS, realmente necesita algún tipo de cooperación con los proveedores de los ISP de su centro de datos. Hay muchas cosas que puedes hacer por tu cuenta.

Answer

A decir verdad, no hay mucho que puedas hacer para protegerte contra un ataque DDoS real a nivel de servidor. No hay ninguna configuración que puedas modificar que te defienda contra los gigas de tráfico dirigidos a un servidor específico.

Para prevenir los síntomas de un DDoS, la mejor forma (y la más cara) es utilizar un servicio como Prolexic que agrega toneladas y toneladas de ancho de banda y limpia su tráfico. También hay dispositivos que puedes usar para ayudar a filtrar el tráfico malo, pero nuevamente, depende del tipo de Internet que tengas ingresando al centro de datos en el que te encuentras. Si están en un OC-3, un DDoS podría saturas por completo la conexión de múltiples proveedores y ningún dispositivo en el mundo te va a salvar de eso. Si estás en un lugar que tiene gigas y gigas de tuberías, entonces esos electrodomésticos pueden ser más útiles.

Para detener los síntomas de un DDoS, realmente necesita algún tipo de cooperación con los proveedores de los ISP de su centro de datos. Hay muchas cosas que puedes hacer por tu cuenta.

Question 3

Reforzar la pila de IP ciertamente funciona y ayuda (especialmente la protección contra ataques de sincronización), además de garantizar que el firewall integrado de Windows esté habilitado y permita que solo entre y salga lo que se necesita. Una de las cosas mencionadas en su pregunta anterior fue que cuando deshabilitó el acceso entrante, las cosas volvieron a la normalidad, pero no se trataba de conexiones http. El firewall debe configurarse para permitir solo el puerto 80/443 en la interfaz pública. Dependiendo de sus necesidades particulares, es posible que necesite o no un firewall/IDS independiente. Si usted es una sola empresa que aloja su propio sitio web, probablemente pueda pasar desapercibido. Si es un proveedor de alojamiento web, seguramente querrá un firewall independiente.

Answer

Reforzar la pila de IP ciertamente funciona y ayuda (especialmente la protección contra ataques de sincronización), además de garantizar que el firewall integrado de Windows esté habilitado y permita que solo entre y salga lo que se necesita. Una de las cosas mencionadas en su pregunta anterior fue que cuando deshabilitó el acceso entrante, las cosas volvieron a la normalidad, pero no se trataba de conexiones http. El firewall debe configurarse para permitir solo el puerto 80/443 en la interfaz pública. Dependiendo de sus necesidades particulares, es posible que necesite o no un firewall/IDS independiente. Si usted es una sola empresa que aloja su propio sitio web, probablemente pueda pasar desapercibido. Si es un proveedor de alojamiento web, seguramente querrá un firewall independiente.

Question 4

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

La extensión IIS "Restricciones dinámicas de direcciones IP" bloquea las direcciones IP en caso de actividad sospechosa. nos ayudó a resolver el problema de la inundación HTTP

Answer

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

La extensión IIS "Restricciones dinámicas de direcciones IP" bloquea las direcciones IP en caso de actividad sospechosa. nos ayudó a resolver el problema de la inundación HTTP

Protección de servidores alojados de Windows 2008 contra ataques DDOS

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada