请不要回复“这不可能”,因为这是浪费时间。我正在开发云设备,我有充分的理由保护这一层免受 DDoS 攻击,而且很少有公司在做同样的事情,所以请不要告诉我我没有意义,因为很多公司都希望购买这个解决方案而我不查看使用 stock Linux 实现它的问题
由于缺乏 CPU 和 RAM 等资源,我的 Linux 内核在 10.000 个连接上崩溃并出现 oops。我想知道当有人试图从各种主机打开 100.000 个连接时,如何安全地限制它不会在 netfilter 连接跟踪表或其他地方创建 tcp/ip 连接?
网卡为 1GBps 并且具有最大缓冲区,它可以进行大量连接,但我希望同时只有 5.000 个连接,其余的被丢弃,除非有空闲连接插槽。在内核级别,因此它不会污染 netfilter 或任何东西,并且会尽快删除。有这些因素:
- HAProxy 连接数限制为 5.000
- Linux 因 10.000 个打开的连接而崩溃
- 我想承受每分钟 100.000 个打开的连接,所以也许 netfilter 可以处理它,但 HAProxy 不行。
- 现有连接继续运行
这是为了让机器能够抵挡住DDoS攻击而不出现oops,一旦攻击停止,服务会自动恢复到低速率继续正常服务的方式。
这是关于服务器实例的物理层,而不是交换机。假设交换机向我传递了我可以处理的这么多流量,上游提供商并不总是有可能进行调整或完全避免这种情况。
我不同意你无能为力。您可以做很多事情,并且根据攻击的规模和您拥有的硬件的大小,您很有可能保护自己。
对于 SYN floods google 了一下。您可能想要一个全新的 Linux 内核,因为最近有不少改进。选择 3.6 并启用同步 cookie。您可以调整其他几个可调参数。确保首先阅读它,因为随机调整东西从来都不是一个好主意,并且会导致问题。
如果是 HTTP 泛洪,这在当今很常见,您可能需要考虑使用 Varnish。您可能能够通过某种模式识别攻击请求并在 vcl_recv 中将其杀死。您可以部署屏蔽模块以终止这些连接,因为提供错误页面是一种浪费。请注意:这不是一个快速修复,需要您付出大量努力。
祝你好运。
没有真正的方法可以缓解来自受到攻击的主机的 DDOS。
当流量到达您的主机时,它已经通过您的本地网络堆栈并消耗了本地资源。没有多少骇客或旋转可以改变这一点。
您需要与上游提供商合作,以防止流量首先到达您的机器。如果他们不提供该服务,您可以从他们那里购买,或者您可以找到提供该服务的供应商。
您正在遭受哪种 ddos 攻击?如果是 syn flood,您可以启用 syn cookie。
我将支持上游 DDoS 管理的要求,但作为一种中间措施,您可能希望在您自己的路由器上采用某种监管或连接整形,或者在有问题的服务器之前切换一跳左右。从崩溃中恢复过来的最好方法就是一开始就不要崩溃。路由器/防火墙/交换机实际上并没有终止数据包,并且(希望)设计为以更高的速率运行。