Защита размещенных серверов Windows 2008 от DDOS-атак

Question 1

На практике в небольших масштабах вы просто не сможете защититься от настоящей DDOS-атаки, поскольку даже если игнорировать проблемы с использованием ресурсов, даже тысяча машин очень легко могут завалить довольно крупное соединение.

Единственное, что действительно нужно сделать, — это стандартная конфигурация и усиление защиты, чтобы убедиться, что работает только то, что нужно, и что то, что нужно, настроено оптимально.

Надеюсь, ваш провайдер / colo будет иметь некоторые процедуры, чтобы исправить некоторые вещи на своем конце, если будут какие-либо атаки. Однако, если вы не азартные игры, порнография или другой (легальный) маргинальный сайт, такая атака крайне маловероятна.

Answer

На практике в небольших масштабах вы просто не сможете защититься от настоящей DDOS-атаки, поскольку даже если игнорировать проблемы с использованием ресурсов, даже тысяча машин очень легко могут завалить довольно крупное соединение.

Единственное, что действительно нужно сделать, — это стандартная конфигурация и усиление защиты, чтобы убедиться, что работает только то, что нужно, и что то, что нужно, настроено оптимально.

Надеюсь, ваш провайдер / colo будет иметь некоторые процедуры, чтобы исправить некоторые вещи на своем конце, если будут какие-либо атаки. Однако, если вы не азартные игры, порнография или другой (легальный) маргинальный сайт, такая атака крайне маловероятна.

Question 2

Честно говоря, вы не так уж много можете сделать, чтобы защититься от настоящей DDoS-атаки на уровне сервера. Нет настройки, которую вы можете настроить, чтобы защитить вас от гигабайт трафика, нацеленного на определенный сервер.

Чтобы предотвратить симптомы DDoS, лучшим (и самым дорогим) способом является использование сервиса вроде Prolexic, который агрегирует тонны и тонны пропускной способности и очищает ваш трафик. Существуют также устройства, которые вы можете использовать для фильтрации плохого трафика, но опять же, это зависит от того, какой у вас Интернет, поступающий в центр обработки данных, в котором вы находитесь. Если они на OC-3, DDoS может полностью перегрузить соединение от нескольких провайдеров, и ни одно устройство в мире не спасет вас от этого. Если вы находитесь в месте, где есть гигабайты и гигабайты труб, то эти устройства могут быть более полезными.

Чтобы остановить симптомы DDoS, вам действительно нужно какое-то сотрудничество с провайдерами вашего центра обработки данных. Вы можете сделать не так много самостоятельно.

Answer

Честно говоря, вы не так уж много можете сделать, чтобы защититься от настоящей DDoS-атаки на уровне сервера. Нет настройки, которую вы можете настроить, чтобы защитить вас от гигабайт трафика, нацеленного на определенный сервер.

Чтобы предотвратить симптомы DDoS, лучшим (и самым дорогим) способом является использование сервиса вроде Prolexic, который агрегирует тонны и тонны пропускной способности и очищает ваш трафик. Существуют также устройства, которые вы можете использовать для фильтрации плохого трафика, но опять же, это зависит от того, какой у вас Интернет, поступающий в центр обработки данных, в котором вы находитесь. Если они на OC-3, DDoS может полностью перегрузить соединение от нескольких провайдеров, и ни одно устройство в мире не спасет вас от этого. Если вы находитесь в месте, где есть гигабайты и гигабайты труб, то эти устройства могут быть более полезными.

Чтобы остановить симптомы DDoS, вам действительно нужно какое-то сотрудничество с провайдерами вашего центра обработки данных. Вы можете сделать не так много самостоятельно.

Question 3

Усиление защиты IP-стека, безусловно, работает и помогает (особенно защита от атак Syn), а также обеспечение того, чтобы встроенный брандмауэр Windows был включен и разрешал только то, что требуется. Одна из вещей, упомянутых в вашем предыдущем вопросе, заключалась в том, что когда вы отключили входящий доступ, все вернулось на круги своя, но это были не http-соединения. Брандмауэр должен быть настроен на разрешение только порта 80/443 на публичном интерфейсе. В зависимости от ваших конкретных потребностей может потребоваться или не потребоваться отдельный брандмауэр/IDS. Если вы являетесь одной компанией, размещающей свой собственный веб-сайт, вы, вероятно, можете остаться незамеченными. Если вы являетесь провайдером веб-хостинга, вам наверняка понадобится отдельный брандмауэр.

Answer

Усиление защиты IP-стека, безусловно, работает и помогает (особенно защита от атак Syn), а также обеспечение того, чтобы встроенный брандмауэр Windows был включен и разрешал только то, что требуется. Одна из вещей, упомянутых в вашем предыдущем вопросе, заключалась в том, что когда вы отключили входящий доступ, все вернулось на круги своя, но это были не http-соединения. Брандмауэр должен быть настроен на разрешение только порта 80/443 на публичном интерфейсе. В зависимости от ваших конкретных потребностей может потребоваться или не потребоваться отдельный брандмауэр/IDS. Если вы являетесь одной компанией, размещающей свой собственный веб-сайт, вы, вероятно, можете остаться незамеченными. Если вы являетесь провайдером веб-хостинга, вам наверняка понадобится отдельный брандмауэр.

Question 4

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

Расширение IIS «Dynamic IP Address Restrictions» блокирует IP-адреса при подозрительной активности. помогло нам решить проблему HTTP-флуда

Answer

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

Расширение IIS «Dynamic IP Address Restrictions» блокирует IP-адреса при подозрительной активности. помогло нам решить проблему HTTP-флуда

Защита размещенных серверов Windows 2008 от DDOS-атак

решение1

решение2

решение3

решение4

Связанный контент