VPS снижает риски DDos-атаки по сравнению с общим хостингом?
Прежде чем я сделаю что угодно еще, я проверил бы, делают ли мой порт блоков ISP 80-очень многие, и Вы не собираетесь становиться дальнейшими, если Ваш делает.
В то время как общие знания должны использовать порт 8080 в качестве альтернативного порта, я не делаю - я использую случайный порт такой в качестве 9 120. Сохраните слушание сервера порта 80 и передайте от порта, который Вы хотите, к 80.
Протестируйте его с 'внешним' соединением - скалистая вершина помогает - такой как с оператором, так как это помогает Вам удостовериться, что сайт доступен вне LAN. попробуйте оба порта - domain.name:port/path/, то, как Вы соединяетесь с нестандартным портом.
Риск будет немного снижен, но не устранен, очевидно.
В целом будет меньше клиентов на хосте VPS, чем находятся на общем веб-сервере, делая меньше потенциальных целей. Конечно, это все абсолютно теоретически, и нет буквально ничего, что может остановиться, решительная DDos-атака за исключением масштабирования крупной инфраструктуры любят, говорят Google или Facebook.
Риск нападения является тем же, но
у любого достойного поставщика, который делает некоторый массовый хостинг, должна быть соответствующая инфраструктура для контакта с нападениями. Это означает, что Ваш восходящий поток должен быть более надежным (но то же верно для любого поставщика, который заботится о своей собственной инфраструктуре),
Нет никакого способа, которым любой может выжить, DDos-атака (учитывая нападение является достаточно большим). В основном это сводится к бесконечным ресурсам по сравнению с конечными ресурсами.
Простой пример:
Ваш поставщик имеет:
- полная 10GBit/s строка к каждому серверу
- Серверы, достаточно мощные для насыщения ссылки
Взломщик имеет:
- общее количество bandwith 5GBit/s
Вы можете (в теории), переживают нападение, в отличие от
Взломщик имеет:
- общее количество bandwith 12GBit/s
нет ничего, что можно возможно сделать. Если взломщик просто отправляет простое нападение SYN-лавинной-рассылки Вам веб-сервер, Вы не можете реагировать на нападение, потому что нет никакого способа для Вас войти в систему по строке, это уже насыщало (предположение, что это - единственный способ, которым Вы достигаете того сервера).
Защита от наводнений SYN не поможет, потому что 12GBit поступление будет просто насыщать 10GBit канал чистым объемом данных (ад 12GBit пакетов SYN без полезной нагрузки, которая была отправлена, все же много). Особенно, когда существуют тысячи полей а не 2 или 3 поля....
iptables не поможет Вам, потому что к тому времени, когда iptables может заботиться о ситуации, конвейер Вашей сетевой платы уже полон.
Единственная вещь, которая поможет, является кем-то в восходящем направлении, который может справиться с входящим трафиком для блокирования каждого из полей, отправляющих запросы, но я сомневаюсь, что с дешевым VPS (даже если это - несколько сотен маркеров/месяц) любой будет хотеть принять меры из-за VPS. Они будут только заботиться, потому что это повреждает их собственную инфраструктуру, вероятно, они просто выведут Ваш VPS из эксплуатации так, чтобы взломщик думал, что достиг цели и остановки, нападающей рано.
Следует иметь в виду, что с VPS Вы все еще затронуты нападениями другому (возможно абсолютно не связанный) VPS на том же физическом сервере. При помощи физического сервера Вы, по крайней мере, только подвергнетесь нападениям, которые предназначены для Ваших клиентов не некоторый случайный покупатель Вашего поставщика, который, оказывается, находится на том же физическом хосте, но в другом VPS.
(Я устал и англичанин, не мой родной язык, я приношу извинения, если ни одно из этого не имеет смысл),
Dit gaan nie oor die bronne op die masjiene nie, maar u VPS het sy eie IP en met gedeelde hosting het u geen toegewyde IP-adres nie.
Dit is dus makliker om 'n DDOS na 'n VPS te blokkeer omdat die verkeer 'n unieke IP-bestemming het .
התגובה הראשונה של ספקים להתקפה גדולה של DDoS נמשכת להיות מגבלת נזק. לעיתים קרובות משמעות הדבר היא חסימה לפי כתובת IP של יעד.
אם אתה משתף כתובת IP עם אנשים אחרים, סביר להניח שאתה נתפס בבלוקים אלה.
שירותי אירוח אתרים משותפים, במיוחד כאלה שאינם https משתמשים לעיתים קרובות בכתובות IP משותפות. ל- VM ולשרתים ייעודיים יש ערימות רשת משלהם ולכן בדרך כלל * יש להם כתובות IP משלהם.
ייעודי יש יתרונות על פני VM שאינך חולק משאבי CPU / RAM / אחסון ובעוד שאתה מתישהו הולך לשתף משאבי רשת הקישורים בין התקני רשת ברשת הספקים עשויים להיות גדולים יותר מאשר הקישורים לשרתים בודדים.
* בגלל מחסור ב- IPv4 ספק אחד שאני מודע לו נותן רק כתובת IPv6 כברירת מחדל ומסתמך על פרוקסי הפוך עבור IPv4. התקנה זו עשויה להגביר את הפגיעות ב- DDOS מכיוון ש- proxy ההפוך עשוי להיפגע עם DDOS.