Каковы лучшие методы для предотвращения атак "отказ в обслуживании"?

Предотвращение DDoS главным образом о том, чтобы не быть целью. Не размещайте игровые серверы, азартную игру/порносайты и другие вещи, которые имеют тенденцию раздражать людей.

Смягчение DDos-атаки происходит в две формы:

• способность проигнорировать трафик и потерять избыточную нагрузку, которая полезна, когда Вы находитесь под ударом, который пытается удалить Вас путем перегрузки машин (и также пригождается, если Вы когда-нибудь получаете "Slashdotted";
• способность отклонить оскорбительный сетевой трафик в восходящем направлении Вас, так, чтобы это не забило Ваши ссылки и вынуло Вашу возможность соединения.

Первый несколько зависит от того, чему точно Вы служите, но обычно сводится к некоторой комбинации кэширования, обработки переполнения (обнаруживающий, когда серверы являются "полными" и перенаправляющими новыми соединениями с низким использованием ресурсов "жаль" страница), и постепенное ухудшение обработки запросов (так не выполнение динамического рендеринга изображений, например).

Последний требует, чтобы хорошая связь с Вашими восходящими потоками - имела номер телефона NOCs Ваших восходящих потоков, татуированного к внутренней части Ваших век (или по крайней мере в Wiki где-нибудь, которая не размещается в том же месте как Ваши рабочие серверы...), и узнайте людей, которые работают там, поэтому когда Вы будете звонить, Вы привлечете пристальное внимание как, кто-то, кто на самом деле знает то, о чем они говорят вместо того, чтобы просто быть некоторым случайным johnny.

Вы не упоминаете, какую безопасность периметра Вы имеете в распоряжении. С брандмауэрами Cisco можно ограничить количество эмбриональных (половина сессий), который позволит брандмауэр, прежде чем это отключит их, все еще позволяя полным сессиям пройти. По умолчанию это неограниченно, который не предлагает защиты.

Помогшие с аппаратными средствами подсистемы балансировки нагрузки, такие как Литейный завод ServerIron и Cisco ТУЗЫ являются большими для контакта с огромными числами основных типов DOS/DDos-атак, но не являются столь же гибкими как программные продукты, которые могут 'изучить' более новые более быстрые методы.

Один хороший источник для получения информации на этом сайте. Одна мера, которую они только упоминают мимоходом (и который стоит исследовать далее) включает куки SYN. Это предотвращает весь класс DoS-атак, препятствуя тому, чтобы взломщик открыл большое количество 'полуоткрытых' соединений в попытке достигнуть, максимальное количество дескрипторов файлов разрешило для каждого процесса. (См. страницу справочника удара, ищите 'ulimit' встроенное с '-n' опция),

Отказ от ответственности: Я не гуру DDoS protecion.

Я думаю, что это зависит от бюджета, который Вы имеете для него, что Ваши сроки времени работы условий и как Вы или Ваши клиенты подвергаетесь этому виду риска.

Основанная на прокси защита DDoS могла быть опцией. В большинстве случаев это не дешевая опция, но я думаю, что это является самым эффективным. Я попросил бы у своего поставщика услуг хостинга решения. RackSpace, например, обеспечивает этот многоуровневый инструмент смягчения. Я уверен, что все большие hosters имеют аналогичные решения.