後續行動識別 Windows 2008 伺服器上的 DDOS 攻擊。
人們正在採取哪些步驟來防止託管環境中的 Windows 2008 Server 遭受 DDOS 攻擊?
我對不涉及單獨硬體防火牆的方法特別感興趣,而是對可以透過軟體或伺服器本身配置來完成的事情感興趣。
MS有一篇文章叫如何:強化 TCP/IP 堆疊。有沒有人對這些步驟的成功有經驗(或想法)?
答案1
實際上,在小規模下,您根本無法防範真正的 DDOS,因為即使忽略資源使用問題,即使是 1000 台機器也很容易淹沒相當大的連接。
唯一真正要做的事情是標準配置和強化,確保只運行所需的內容,並以最佳方式配置所需的內容。
如果發生任何攻擊,希望您的 ISP/colo 能夠制定一些程序來修復某些問題。然而,除非您是賭博、色情或其他(合法)邊緣網站,否則這種攻擊的可能性極小。
答案2
說實話,您可以採取許多措施來防範伺服器層級的真正 DDoS 攻擊。沒有任何可以調整的設定可以保護您免受針對特定伺服器的大量流量的影響。
為了防止 DDoS 的症狀,最好的(也是最昂貴的方法)是使用像 Prolexic 這樣的服務,它可以聚合大量的頻寬並清理您的流量。您也可以使用一些裝置來幫助過濾不良流量,但同樣,這取決於您進入資料中心的網路類型。任何設備可以幫助您避免這種情況。如果您所在的地方有大量的管道,那麼這些設備會更有用。
要阻止 DDoS 的症狀,您確實需要與資料中心的 ISP 提供者進行某種合作。你自己能做的只有這麼多。
答案3
強化 IP 堆疊當然有效且有幫助(尤其是 Syn 攻擊保護),並確保啟用內建 Windows 防火牆並僅允許所需的進出。您上一個問題中提到的一件事是,當您停用入站存取權時,事情會恢復正常,但不是 http 連線。防火牆應設定為僅允許公共介面上的連接埠 80/443。根據您的特定需求,可能需要也可能不需要單獨的防火牆/IDS。如果您是一家託管自己網站的公司,那麼您可能會被忽視。如果您是網站寄存供應商,您肯定需要一個單獨的防火牆。
答案4
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
IIS「動態 IP 位址限制」擴充功能會封鎖可疑活動的 IP 位址。幫助我們解決了HTTP淹水問題