Porównaj ceny domen i usług IT, sprzedawców z całego świata

Jak najlepiej powstrzymać ataki DOS


Szukam sposobów na powstrzymanie ataków DOS. Używam serwera Linux i szukam sposobów, które pozwolą mi ograniczyć skutki ataków i być może ustawić pewne ograniczenia bez wpływu na cokolwiek
dzięki
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Największa liczba ataków DOS jest obecnie szeroko rozpowszechniona. I

pojedynczy

Atakowi DOS (na przykład osobie korzystającej z analizatora obciążenia sieci na swoim komputerze w nocy) można zapobiec dzięki niewielkim kosztom i czasochłonnej usłudze, na przykład opóźniając odpowiedzi. Zablokowanie adresu IP (tymczasowo!) Gdy wysyłanych jest zbyt wiele żądań, również działa, istnieją do tego zautomatyzowane narzędzia (jak fail2ban).
Nic z tego nie działa w przypadku rozproszonego ataku DOS.
Najlepszy sposób na zatrzymanie się

Rozpowszechniane

Atak DOS nie jest celem żadnego z nich. Większość właścicieli serwerów będzie świadkami ataku DOS lub bezpośrednio lub pośrednio na niego wpłynie, to się po prostu dzieje. Wiele z nich jest również w połowie opuszczonych (lub całkowicie wysadzonych, ale wycelowanych w kogoś innego) i po prostu czekasz, aż to się skończy, z lekko poluzowaną konserwacją.

Jednak większość

regularny

ofiary

poważny

Jakoś doszło do ataków DOS. Jeśli regularnie stajesz się celem ataków DDOS, musisz przemyśleć swoje public relations.
Drugim najlepszym sposobem jest skonfigurowanie routera na najwyższym poziomie hierarchii (tego, który łączy centrum danych z siecią szkieletową), aby odrzucał pakiety trafiające do zaatakowanej maszyny. Zapora ogniowa na zaatakowanej maszynie lub w jej pobliżu jest bezużyteczna.
Wszystkie inne narzędzia też są bezużyteczne, bo cokolwiek robisz, jeśli ktoś używa 20 lub 30 maszyn (lub 200 ...) i po prostu fizycznie nasyca drut, nic nie możesz z tym zrobić w zakresie oprogramowania.
Istnieją świetne rozwiązania, takie jak pliki cookie SYN, które teoretycznie mogą nadal zezwalać na usługi o obniżonej jakości pomimo ataków DOS, ale nie może to pomóc w tym, że żadne ramki nie przechodzą, gdy kanał jest zajęty. Tak więc, przy wystarczająco masowym ataku, twoja karta Ethernet nigdy nie otrzyma żadnego z twoich pakietów.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Zapobieganie atakom DOS jest bardziej jak sztuka i praca w toku niż proste rozwiązanie goto. Najlepiej zacząć od czegoś małego, używać typowych narzędzi, analizować dzienniki i ruszyć dalej.
Mogę zasugerować przyjrzenie się temu, aby uzyskać podstawową ochronę i uruchomić ją:

http://blog.lavoie.sl/2012/09/ ... .html
http://blog.lavoie.sl/2012/09/ ... .html

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się