我的一个客户在共享主机帐户上有一个网站,该服务器上的其他帐户之一成为 DDOS 攻击的目标,这当然导致该服务器上的所有网站都关闭了。我们正在讨论迁移到专用服务器或 VPS 以帮助在未来缓解这种情况。我完全意识到这不会阻止 DDOS 攻击的发生,但是在他们自己的服务器上至少会降低风险,因为他们不会陷入其他人的附带损害(尽可能多?)。
但是我想知道在 VPS 上是否会在这方面产生任何影响 - 是的,该系统在软件级别与其他系统隔离,但我的理解是仍然有多个虚拟机共享一台物理机(因此只有一个物理网络连接)。我的问题是:VPS 提供的准隔离是否在减少陷入其他人的 DDOS 攻击的机会方面提供任何好处,或者您是否只能从单独的物理服务器上获得这种好处?
被攻击的风险是一样的,但是
任何进行某种大规模托管的体面提供商都应该拥有适当的基础设施来应对攻击。这意味着你的上游应该更可靠(但对于任何关心它自己的基础设施的供应商来说也是如此)
任何人都无法在 DDoS 攻击中幸存下来(假设攻击足够大)。基本上它归结为无限资源与有限资源。
简单的例子:
您的提供商具有:
攻击者有:
相比之下,您(理论上)可以在攻击中幸存下来
攻击者有:
你无能为力。如果攻击者只是向您的网络服务器发送简单的 SYN-flood 攻击,您将无法对攻击做出反应,因为您无法通过线路登录,它已经饱和(假设这是您到达该服务器的唯一途径)。
SYN 泛洪保护无济于事,因为 12GBit 传入只会让 10GBit 管道充满大量数据(地狱 12GBit 的 SYN 数据包没有已发送的有效负载,这是很多)。尤其是当有数千个盒子而不是 2 个或 3 个盒子时......
iptables 不会帮助你,因为当 iptables 可以处理这种情况时,你的网卡管道已经满了。
唯一有帮助的是上游有人可以处理传入流量以阻止每个发送请求的盒子,但我怀疑使用便宜的 VPS(即使它是几百美元/月),任何人都会关心采取措施,因为你的 VPS。他们只会关心,因为这会损害他们自己的基础设施,可能他们只会让您的 VPS 离线,以便攻击者认为他或她已经达到目标并提前停止攻击。
请记住,使用 VPS,您仍然会受到对同一物理服务器上的另一个(可能完全不相关的)VPS 的攻击的影响。通过使用物理服务器,您至少只会受到针对您的客户的攻击,而不是您的提供商的随机客户,这些客户恰好位于同一台物理主机上,但位于另一个 VPS 中。
(我累了,英语不是我的母语,如果这些都说不通,我深表歉意)
风险会略有降低,但不会明显消除。
一般来说,VPS 主机上的客户比共享网络服务器上的客户少,因此潜在目标更少。当然,这完全是理论上的,没有什么可以阻止确定的 DDoS 攻击,除非拥有像 Google 或 Facebook 这样的大规模基础设施。
| 归档时间: |
|
| 查看次数: |
1890 次 |
| 最近记录: |