DDoS-атаки на игровые серверы [дубликат]
На этот вопрос уже есть ответ:
Мы управляем довольно крупной компанией, занимающейся хостингом игровых серверов, с примерно 60 машинами, работающими под управлением Server 2008, и DDoS-атаками, с которыми мы имеем дело уже долгое время. К сожалению, из-за рыночных цен ни у нас, ни у какой-либо другой компании нет возможности установить аппаратные брандмауэры во всех наших центрах обработки данных.
Наши действия всегда заключались в том, чтобы просто связаться с центром обработки данных, и они обнуляют IP-адрес / порт на 24 часа. Это, конечно, очень непривлекательный способ решения проблемы, особенно для наших клиентов.
Насколько я понимаю, программный брандмауэр только усложнит проблему DDoS-атаки. Я читал кое-что об усилении защиты стека TCP / IP, но похоже, что в Server 2008 мало что можно сделать, чтобы помочь с этим.
Что мы можем сделать?
нет никакого пути, который нас или любую другую компанию мог осуществимо поместить аппаратные брандмауэры во все наши центры обработки данных
Да, да существует. Переоцените свою экономику (Сколько стоит брандмауэр? Сколько Вы теряете в час, когда Вы снижаетесь из-за DDoS? Сколько ущерба будет нанесено Вашей репутации, когда кто-то найдет случайно открытый порт RDP и ворвется в некоторое критическое поле в Вашей сети?).
Необходимо смочь позволить себе (избыточные) выделенные брандмауэры в каждом центре обработки данных - Брандмауэры НЕ являются дорогими.
Надлежащая настройка Вашего брандмауэра (транспортная регулировка, формирование, и т.д.) поможет смягчить DDos-атаки. По крайней мере это предложит некоторую защиту для Ваших систем против простых червей или любопытных хакеров, вводящих по абсолютному адресу вокруг для удаленных входов в систему.
С точки зрения смягчения DoS можно всегда делать один шаг лестничная структура: Ваш ISP может, пустой маршрут не распределил нападения (как Вы уже упомянули, это - Ваш текущий процесс - это - хорошее), или ограничение скорости распределило (хотя ожидают, что это станет дорогим, если Вы часто будете под ударом то - они будут в конечном счете взимать за те изменения брандмауэра).
Далее лестничная структура, можно рассмотреть сервисы как предлагаемые Arbor Networks для защиты/смягчения DDoS, хотя они обычно предназначаются для уровня ISP/поставщика услуг, а не отдельных компаний. Цены за эти решения имеют тенденцию быть довольно грабительскими.
Если можно позволить себе шестьдесят серверов с шестьюдесятью лицензиями Server 2008 и расходы по заработной плате для системных администраторов для поддержки и разработчики для кодирования достаточного количества игр, для которых нужны шестьдесят серверов для выполнения, то можно позволить себе выделенные брандмауэры.
Кроме того, возьмите его в качестве истины, что (почти) все другие компании "осуществимо помещают аппаратные брандмауэры во все [их] центры обработки данных".
До защиты DDoS; Если это - просто лавинная рассылка для заполнения пропускной способности, ничто на стороне ссылки не собирается помочь этому. Если это будет нападение ресурса сервера, то брандмауэр, скорее всего, сможет помочь, если настроено со знанием дела.