DDOS(ICMP floods)大家都是怎么防御的?

2013-12-04 22:09:21 +08:00
 zxy
其它网络安全方面的知识、建议也请告知,谢谢v友们!
4767 次点击
所在节点    信息安全
15 条回复
xdeng
2013-12-04 22:18:06 +08:00
硬防?
Ansen
2013-12-04 22:19:04 +08:00
拔网线……
PS:玩笑
ywencn
2013-12-04 22:22:41 +08:00
硬防。。。。稍微大点的流量,NGINX都直接打死
zhttty
2013-12-04 22:24:01 +08:00
用nginx编译优化,系统一些连接和文件数也要设置好,防火墙配好,放到cdn后面。
edwinlai
2013-12-04 22:30:47 +08:00
@zhttty 放到cdn后面 这个是关键
zxy
2013-12-04 22:52:44 +08:00
@xdeng
@ywencn
推荐下硬件,对这块不了解,谢谢!
linsk
2013-12-04 23:05:54 +08:00
我也一直在期待 @livid 能给这一系列应对措施来个总结
raincious
2013-12-04 23:15:10 +08:00
@edwinlai 这又得看了。被隔山打牛甚至直接被CDN拍死的也不是没有。还是得选有DDoS防护的CDN。
xiaop
2013-12-04 23:35:00 +08:00
选择有硬防的服务商是关键。2009年,我被竞争对手DDoS,服务商欺骗我说对方攻击流量3G(后来证明只有几百兆的流量攻击,这家IDC根本没有硬防不具备任何防御手段),直接拔线,更奇葩的是拔线后机器被下架,硬盘被格,所有数据丢失。想起就生气。

这家IDC是腾佑,希望大家不要选这家。
zhttty
2013-12-04 23:43:57 +08:00
cdn.v2ex.com ...似乎用的是 http://orca.io/

我用的是 Incapsula....

如果有备案,可以用 http://jiasule.baidu.com/ 也不错

上面三个免费的都足够个人使用了,如果是商务,套餐也足够便宜。

@xiaop

那些所谓有硬防的IDC很多都是骗人的,或者是纯粹的自己用linux搭建出来独立防火墙的忽悠玩意。
xiaop
2013-12-04 23:47:28 +08:00
后来我选了湛江的群英,确实是没问题价格上也不贵多少。我只是想不通为什么这些人要用欺骗来做生意。
Livid
2013-12-05 00:09:29 +08:00
@zhttty 目前 V2EX 用的是 O2。而无论是 O2 还是 O1,目前都不具备防御各种大流量 Flood 的功能。这个东西靠 server 本身的任何软件都是不够的。

Anti-DDoS 是一门大产业,不容易做,很脏很累。

前两天 Akamai 把 Prolexic 收购了。
kevinv
2013-12-05 01:02:46 +08:00
DDOS拼的是带宽,硬件和软件的性能。如果你是几M的带宽、几台服务器,人家一下子过来几十G的流量、几千万的并发,一个回合就over了。从这三个方面着手,只要保证服务不挂就算能防住。
edwinlai
2013-12-05 09:21:19 +08:00
硬防效果这个东西就是生产厂家宣传出来,现在ddos大部分都是拼带宽, 你在机房只要10M出口,你让机房给顶1G流量,机房为了其他客户利益肯定拔网线,1G带宽对机房就是巨大成本,如果放在aws,连续攻击一段时间,账单会猛增,同意@Livid Anti-DDoS 是一门大产业,不容易做,很脏很累, 对付大ddos,也只能分布式,找有Anti-DDoS 的cdn,当然有时候小cdn服务商有时也顶不住,继续找实力牛的cdn,
ShadowStar
2013-12-05 09:36:20 +08:00
如果只有ICMP,很简单,针对协议滤掉或限速就好了,又不影响正常业务。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/91856

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX