Protegendo servidores Windows 2008 hospedados contra ataques DDOS

Question 1

Na prática, em pequena escala, você simplesmente não pode se proteger de um DDOS real, pois mesmo ignorando os problemas de uso de recursos, é muito fácil que até mil máquinas invadam uma conexão bastante grande.

As únicas coisas reais a fazer é configuração e proteção padrão, garantindo que apenas o que é necessário esteja em execução e que o que é necessário esteja configurado de maneira ideal.

Esperamos que o seu ISP/colo tenha alguns procedimentos para consertar algumas coisas no final, caso haja algum ataque. No entanto, a menos que você seja um site de jogos de azar, pornografia ou outro site marginal (legal), tal ataque é extremamente improvável.

Answer

Na prática, em pequena escala, você simplesmente não pode se proteger de um DDOS real, pois mesmo ignorando os problemas de uso de recursos, é muito fácil que até mil máquinas invadam uma conexão bastante grande.

As únicas coisas reais a fazer é configuração e proteção padrão, garantindo que apenas o que é necessário esteja em execução e que o que é necessário esteja configurado de maneira ideal.

Esperamos que o seu ISP/colo tenha alguns procedimentos para consertar algumas coisas no final, caso haja algum ataque. No entanto, a menos que você seja um site de jogos de azar, pornografia ou outro site marginal (legal), tal ataque é extremamente improvável.

Question 2

Sinceramente, não há muito que você possa fazer para se proteger contra um ataque DDoS real no nível do servidor. Não há nenhuma configuração que você possa ajustar para defendê-lo contra shows de tráfego direcionados a um servidor específico.

Para prevenir os sintomas de um DDoS, a melhor (e mais cara) maneira é usar um serviço como o Prolexic, que agrega toneladas e toneladas de largura de banda e limpa seu tráfego. Existem também dispositivos que você pode usar para ajudar a filtrar o tráfego ruim, mas, novamente, isso depende do tipo de Internet que você tem no data center em que está. Se eles estiverem em um OC-3, um DDoS pode saturar completamente a conexão de vários provedores e nenhum dispositivo no mundo irá salvá-lo disso. Se você estiver em um lugar que tem shows e mais shows de tubos, esses aparelhos podem ser mais úteis.

Para interromper os sintomas de um DDoS, você realmente precisa de algum tipo de cooperação com os provedores dos ISPs do seu data center. Há um limite para o que você pode fazer sozinho.

Answer

Sinceramente, não há muito que você possa fazer para se proteger contra um ataque DDoS real no nível do servidor. Não há nenhuma configuração que você possa ajustar para defendê-lo contra shows de tráfego direcionados a um servidor específico.

Para prevenir os sintomas de um DDoS, a melhor (e mais cara) maneira é usar um serviço como o Prolexic, que agrega toneladas e toneladas de largura de banda e limpa seu tráfego. Existem também dispositivos que você pode usar para ajudar a filtrar o tráfego ruim, mas, novamente, isso depende do tipo de Internet que você tem no data center em que está. Se eles estiverem em um OC-3, um DDoS pode saturar completamente a conexão de vários provedores e nenhum dispositivo no mundo irá salvá-lo disso. Se você estiver em um lugar que tem shows e mais shows de tubos, esses aparelhos podem ser mais úteis.

Para interromper os sintomas de um DDoS, você realmente precisa de algum tipo de cooperação com os provedores dos ISPs do seu data center. Há um limite para o que você pode fazer sozinho.

Question 3

O fortalecimento da pilha de IP certamente funciona e ajuda (especialmente a proteção contra ataques de sincronização), além de garantir que o firewall integrado do Windows esteja ativado e permitindo apenas a entrada e a saída do que é necessário. Uma das coisas mencionadas na sua pergunta anterior foi quando você desativou o acesso de entrada, as coisas voltaram ao normal, mas não eram conexões http. O firewall deve ser configurado para permitir apenas a porta 80/443 na interface pública. Dependendo de suas necessidades específicas, um firewall/IDS separado pode ou não ser necessário. Se você é uma única empresa que hospeda seu próprio site, provavelmente poderá passar despercebido. Se você é um provedor de hospedagem na web, certamente desejará um firewall separado.

Answer

O fortalecimento da pilha de IP certamente funciona e ajuda (especialmente a proteção contra ataques de sincronização), além de garantir que o firewall integrado do Windows esteja ativado e permitindo apenas a entrada e a saída do que é necessário. Uma das coisas mencionadas na sua pergunta anterior foi quando você desativou o acesso de entrada, as coisas voltaram ao normal, mas não eram conexões http. O firewall deve ser configurado para permitir apenas a porta 80/443 na interface pública. Dependendo de suas necessidades específicas, um firewall/IDS separado pode ou não ser necessário. Se você é uma única empresa que hospeda seu próprio site, provavelmente poderá passar despercebido. Se você é um provedor de hospedagem na web, certamente desejará um firewall separado.

Question 4

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

A extensão "Restrições de endereço IP dinâmico" do IIS bloqueia endereços IP em atividades suspeitas. nos ajudou a resolver o problema de inundação de HTTP

Answer

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

A extensão "Restrições de endereço IP dinâmico" do IIS bloqueia endereços IP em atividades suspeitas. nos ajudou a resolver o problema de inundação de HTTP

Protegendo servidores Windows 2008 hospedados contra ataques DDOS

Responder1

Responder2

Responder3

Responder4

informação relacionada