Защита от DDoS [дубликат]
На этот вопрос уже есть ответ:
Мой клиент хотел бы, чтобы его сайт электронной коммерции (сделанный на заказ) был защищен от DDoS-атак. Какие стратегии я могу реализовать? В процессе покупки есть несколько форм - поиск, детализация продукта, информация о пользователе и оплата, и я хочу избежать использования капчи.
Ни один из тех действительно не защитит от DDos-атак. Точка DDoS должна израсходовать большую часть целевой пропускной способности, что никакой правомерный трафик не может пройти.
При наличии капчи или что-то защитит от ботов, но это об этом.
Единственный способ смягчить (но не решить) риск DDos-атак состоит в том, чтобы получить больше пропускной способности и соглашений об обработке отказа с другими поставщиками услуг хостинга.
-
1Но don' t DDos-атаки используют компьютеры зомби для запущения скриптов бота? – gAMBOOKa 31 August 2009 в 20:34
-
2Некоторые делают. Простой DDoS должен узнать, какой сервер Ваш сайт идет, и просто лавинно разошлите его с запросами страницы. Это по существу, что происходит, когда сайт отмечается точкой наклонной чертой. – EBGreen 31 August 2009 в 20:37
-
3@gAMBOOKa: Да, обычно. Ваша капча может кодировать дескриптор миллионы запросов в секунду? Может Ваш поставщик услуг хостинга? – Michael Petrotta 31 August 2009 в 20:38
Нет ничего для предотвращения DDos-атак, нет никакого единственного инструмента для смягчения их, можно только поднять планку, имея хороший брандмауэр и некоторые пороги (автоматические отклонения, даже запретив) для доступа к различным сервисам/страницы, если Вы знаете среднее использование сайта
Сквид может помочь с slashdotting. Это поможет Вашей системе обработать большие объемы идентичных запросов, не загоняя аппаратные средства настолько трудно. http://en.wikipedia.org/wiki/Squid_ (программное обеспечение)
У этого парня есть способ помочь с кодом приложения. Не уверенный, если это работает на Ваш предпочтительный язык, но идея, хорошо. Ничто не способно к остановке всех нападений, но можно попытаться мешать им =)
Хорошие отношения с Вашим поставщиком пропускной способности о единственной вещи, которая может помочь Вам смягчить DDos-атаку. Так как причина состоит в том, что, после того как трафик поражает Ваш провод, он эффективно поднимает пропускную способность, таким образом, нет ничего, что можно поставить сторону, которая поможет. Способность работать с Вашим ISP для отфильтровывания трафика DDoS, прежде чем это снизится провод на Вас, является оба единственным способом избежать трафик Вашей схемы, а также лучший способ нарастить проблему (ISP, вероятно, попытается отфильтровать трафик, входя в их сеть также). Ваш ISP будет значительно более эффективным, если с другим ISPs нужно связаться для закрытия хостов бота...
Можно установить mod_evasive при использовании Apache - краткое описание может быть найдено здесь: http://www.think-security.com/protect-your-apache-web-server-with-mod_evasive/