서비스 거부 공격을 방지하는 가장 좋은 기술은 무엇입니까?

현재 (D) DoS-Deflate 를 사용 하여로드 테스트를 위해 Apache JMeter 와 함께 수많은 원격 서버에서 이러한 상황을 관리하고 있습니다.

전반적인 상황은 꽤 잘 작동했지만, 내가 가진 것보다 오랫동안 이런 종류의 환경에서 일한 전문가의 제안을 듣고 싶습니다. 웹 호스팅 비즈니스에서 일하는 사람들은 이러한 상황을 처리하는 데 상당한 공평한 참여를했다고 확신합니다. 그래서 회사 환경에서 이러한 종류의 문제에 접근하기위한 모범 사례가 무엇인지 궁금합니다.

DDoS 방지는 주로 목표가되지 않습니다. 게임 서버, 도박 / 포르노 사이트 및 사람들을 화나게하는 다른 것들을 호스팅하지 마십시오.

DDoS 공격 완화는 다음 두 가지 형태로 제공됩니다.

• 트래픽을 무시하고 과도한로드를 흘릴 수 있습니다. 이는 시스템에 과부하를 가하여 사용자를 중단시키려는 공격을받을 때 유용합니다 (또한 "Slashdotted"가 발생하는 경우에도 유용합니다).
• 업스트림의 악의적 인 네트워크 트래픽을 거부 할 수 있으므로 링크가 방해받지 않고 연결이 끊어지지 않습니다.

전자는 정확히 당신이 제공하는 것에 의존하지만, 일반적으로 캐싱, 오버플로 처리 (서버가 "풀"상태를 감지하고 새로운 연결을 리소스 사용량이 적은 "죄송합니다"페이지로 리디렉션)의 조합으로 귀결됩니다. 요청 처리가 정상적으로 저하됩니다 (예 : 이미지의 동적 렌더링을 수행하지 않음).

후자는 상류와의 원활한 통신이 필요합니다. 상류의 NOC 전화 번호를 눈꺼풀 안쪽에 문신하십시오 (또는 최소한 프로덕션 서버와 같은 곳에서 호스팅 되지 않는 위키 에서). ..) 그리고 거기에서 일하는 사람들을 알게되므로 전화를 걸면 임의의 조니가 아니라 그들이 말하는 것에 대해 실제로 아는 사람으로 즉각적인 관심을 얻게 될 것입니다.

어떤 종류의 경계 보안이 있는지 언급하지 않습니다. Cisco 방화벽을 사용하면 방화벽이 차단되기 전에 허용 할 배아 (반 세션) 수를 제한하면서도 전체 세션을 계속 진행할 수 있습니다. 기본적으로 무제한이며 보호 기능을 제공하지 않습니다.

Foundry ServerIron 및 Cisco ACE와 같은 하드웨어 지원로드 밸런서는 수많은 주요 DOS / DDOS 공격 유형을 처리하는 데 적합하지만 최신 기술을 더 빨리 '학습'할 수있는 소프트웨어 솔루션만큼 유연하지는 않습니다.

이 사이트 에는 정보를 얻을 수있는 좋은 소스가 있습니다 . 그들이 통과 할 때 언급하고 측정 할 가치가있는 한 가지 조치는 SYN 쿠키를 활성화하는 것입니다. 이렇게하면 프로세스 당 허용되는 최대 파일 설명자 수에 도달하기 위해 공격자가 많은 '반 개방'연결을 열지 못하게함으로써 전체 DoS 공격 클래스를 방지 할 수 있습니다. (bash 맨 페이지를 참조하십시오. '-n'옵션으로 내장 된 'ulimit'를 찾으십시오)

면책 조항 : 저는 DDoS 보호 전문가가 아닙니다.

예산은 예산, 가동 시간 조건 및 고객 또는 고객이 이러한 종류의 위험에 노출되는 방식에 달려 있다고 생각합니다.

프록시 기반 DDoS 보호는 옵션 일 수 있습니다. 대부분의 경우 저렴한 옵션은 아니지만 가장 효과적이라고 생각합니다. 호스팅 제공 업체에 솔루션을 요청합니다. 예를 들어 RackSpace는이 다중 계층 완화 도구를 제공 합니다. 모든 대형 호스팅 업체가 비슷한 솔루션을 가지고 있다고 확신합니다.