随着最近与维基解密相关的 DDoS 事件,我不禁感到几乎所有在线站点都非常容易受到此类攻击。Visa、万事达卡(仅举几例)因此关闭。
所以我的问题是:
编辑:我想我可能把我的问题表述为“n00bishly”。我知道什么是 DDoS(来自维基百科和其他网站)。
我真正的问题是:为什么那些大公司不应用反 DDOS 技术?不要告诉我,Paypal 和 MasterCard 不怕服务中断或攻击。我查看了其中一些解决方案的成本,但与 Paypal 或 VISA 一年的收入相比,它们似乎根本不贵。真正的问题是,为什么他们如此措手不及?(或者 DDoS 的规模是否比预期的要大得多?)
小智 7
还有一个类似的问题在这里:
这个问题的挑战在于它要求解决一个根本无法解决的问题。您无法采用任何工具或做法来保护您免受决心关闭您的服务的中等能力的攻击者的侵害。
mod_evasive 是一个很好的解决方案,因为您将在短期内解决这个问题。它实现了请求的“最佳实践”节流,并防止您的系统被 5 行 Perl 脚本关闭。
从长远来看,当您的应用程序成功时,您将不可避免地在其前面部署负载均衡器。主流商业负载均衡器(如 F5 的 Big-IP)都实现了“DOS 保护”节流,因此您可以在升级时打开该功能。但是不要仅仅为了获得该功能而升级。
解决现代 DDOS 攻击的问题在于,它们是从许多不相关的非点(通常是巨大的僵尸网络)发起的。像 Citrix/NetScaler、Imperva 和 F5 这样的 Web 应用程序防火墙可以很好地处理预制攻击,但是需要熟练的分析师(最好来自您自己的团队)来阻止知道您名字的“真实”攻击者;您可以通过分析攻击流量、查找攻击者特有的特征并对其进行过滤来完成这项工作。
我认为您在为此提供免费的“即插即用”防御方面走在正确的轨道上,尤其是对于新应用程序。
@tqbf