识别 Windows 2008 服务器上的 DDOS 攻击的后续行动。
人们正在采取哪些措施来防止在托管环境中对其 Windows 2008 服务器进行 DDOS 攻击?
我对不涉及单独的硬件防火墙的方式特别感兴趣,而是可以通过软件或服务器本身的配置来完成的事情。
MS 有一篇名为How To: Harden the TCP/IP Stack的文章。有没有人对这些步骤的成功有经验(或想法)?
AskOverflow.Dev
识别 Windows 2008 服务器上的 DDOS 攻击的后续行动。
人们正在采取哪些措施来防止在托管环境中对其 Windows 2008 服务器进行 DDOS 攻击?
我对不涉及单独的硬件防火墙的方式特别感兴趣,而是可以通过软件或服务器本身的配置来完成的事情。
MS 有一篇名为How To: Harden the TCP/IP Stack的文章。有没有人对这些步骤的成功有经验(或想法)?
实际上,在小范围内,您根本无法防御真正的 DDOS,因为即使忽略资源使用问题,即使是一千台机器也很容易淹没相当大的连接。
唯一真正要做的事情是标准配置和强化,确保只运行需要的东西,并且优化配置所需的东西。
如果有任何攻击,希望您的 ISP / colo 将有一些程序来修复一些问题。但是,除非您是赌博、色情或其他(合法)边缘网站,否则此类攻击极不可能发生。
实话实说,在服务器级别防范真正的 DDoS 攻击您无能为力。您无法调整任何设置来保护您免受针对特定服务器的流量演出。
为了防止 DDoS 的症状,最好(也是最昂贵的方法)是使用像 Prolexic 这样的服务,它可以聚合大量带宽并清理您的流量。您还可以使用一些设备来帮助过滤不良流量,但同样,这取决于您进入数据中心的互联网类型。如果它们在 OC-3 上,则 DDoS 可以使来自多个提供商的连接完全饱和,世界上没有任何设备可以让您摆脱困境。如果您所在的地方有很多演出和演出,那么这些设备可能会更有用。
要阻止 DDoS 的症状,您确实需要与数据中心 ISP 的提供商进行某种合作。你一个人能做的只有这么多。
强化 IP 堆栈确实有效并且有帮助(尤其是 syn 攻击保护),以及确保启用内置的 Windows 防火墙并只允许进出所需的内容。您之前的问题中提到的一件事是,当您禁用入站访问时,事情恢复正常,但不是 http 连接。防火墙应设置为仅允许公共接口上的端口 80/443。根据您的特定需求,可能需要也可能不需要单独的防火墙/IDS。如果您是一家托管自己网站的公司,您可能会被忽视。如果您是网络托管服务提供商,您肯定会想要一个单独的防火墙。
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
IIS“动态 IP 地址限制”扩展阻止可疑活动的 IP 地址。帮助我们解决了 HTTP 泛洪问题