分享一些防DDoS的经验，以及海盗VPN的设置教程

RT，这是一个技术分享主题。分享了 **即将到来** 的海盗VPN的教程，并且是海盗CDN的公告。还有我对防止DDoS的一些心得。很符合V2EX技术社区的定位。谁“删帖”谁傻逼。

基于这么长时间的折腾我对防范DoS也有了一些心得，本来打算过一段时间发一个图文教程，但是因为一个原因（下面说）我就现在简单说说吧，有不明白的邮件问我。

防DoS （CC）：
大部分DDoS其实都是来源于一个IP，或者一个内网。所以其实是DoS。然后大部分DoS都是CC攻击。
CC攻击有2个目标：
1. 服务器超载
这个主要是让你的web服务器超载，不能正常响应。但在一些没有很好配置的vps上，由于web服务器吃光了内存导致整个服务器不可用。
抵抗方案（仅对常见的中小型攻击有效）：
1) 配置web服务器的最大child个数，保证不会吃光内存导致thrash
2) 在服务器层面部署防范措施，比如mod_security，以及可以在程序逻辑中恰当地返回403
3) 在系统层面可以写一个脚本定期观察，比如 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n ，之后用fail2ban还是iptables还是什么办法自行想象。

2. 带宽超载
这个没法根治。
一个偏方是配合服务器模块（mod_invasive或者nginx的limit_req）和fail2ban在出现403多次后用iptables Drop掉该IP或网段所有访问包。
这样在有的IDC处即使有很大的带宽（30m左右）打过来都不会null route

防DoS （非CC，比如SYN Flood）：
现在这种Dos其实很少了，因为这种攻击不怎么消耗带宽，而对于一个比较小流量网站收益小、容易恢复。以及现在很多地方的路由在发现不合法来源后会直接丢包。
如果说防范的话，在 sysctl.conf 里打开 SYN_COOKIE 可以抵挡中小型的General攻击。另外在fail2ban里也有这类DoS专门针对SSH等端口攻击的filter，可以打开。（不过目前真没人这么搞，就算是防范于未然吧）


然后说一些海盗VPN和CDN的时间点：
海盗VPN **下个礼拜** 会更新首页和服务器自动部署教程，之后就可以算一个相对能用的、能让大家明白是干嘛的系统了。届时大家可以根据教程了解我配置VPN的一些经验、VPN集群的搭建方法、VPN限速、限并发、限连接数、限P2P的一些方法。

之后会在twitter上发邀请码。有兴趣的同学可以关注@pirate_vpn
**下月初** 部分节点会支持L2TP，如果顺利的话也会顺带支持上Cisco/IPSec。并会在4月前支持pac。

本来我不喜欢提前报时间点的，都是先做再宣传，免得被骂期货。不过因为同样原因我不得不提前说了。

然后海盗CDN（只能做美国空间经由日本和香港节点对国内加速）在我压力测试过服务的稳定性后开始内测。需要的同学邮件我。

好现在说一下我这么仓促发布的原因：
是因为我心眼特别小。
虽然有人说V2EX的价值在大家创造的氛围，但被上帝@livid莫名其妙一通撵真忍不过去。于是我瞬间从他的粉丝变成黑了：
http://www.v2ex.com/t/60538#reply56 别看主题，我压根不想关心这些事。看下面上帝对我的回复。
所以这应该是我在V2EX的最后一个分享贴，以后可能会套马甲在二手版收点pp。

各位再见。