V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zxy
V2EX  ›  信息安全

DDOS(ICMP floods)大家都是怎么防御的?

  •  
  •   zxy · 2013-12-04 22:09:21 +08:00 · 4761 次点击
    这是一个创建于 4007 天前的主题,其中的信息可能已经有所发展或是发生改变。
    其它网络安全方面的知识、建议也请告知,谢谢v友们!
    15 条回复    1970-01-01 08:00:00 +08:00
    xdeng
        1
    xdeng  
       2013-12-04 22:18:06 +08:00
    硬防?
    Ansen
        2
    Ansen  
       2013-12-04 22:19:04 +08:00
    拔网线……
    PS:玩笑
    ywencn
        3
    ywencn  
       2013-12-04 22:22:41 +08:00
    硬防。。。。稍微大点的流量,NGINX都直接打死
    zhttty
        4
    zhttty  
       2013-12-04 22:24:01 +08:00
    用nginx编译优化,系统一些连接和文件数也要设置好,防火墙配好,放到cdn后面。
    edwinlai
        5
    edwinlai  
       2013-12-04 22:30:47 +08:00
    @zhttty 放到cdn后面 这个是关键
    zxy
        6
    zxy  
    OP
       2013-12-04 22:52:44 +08:00
    @xdeng
    @ywencn
    推荐下硬件,对这块不了解,谢谢!
    linsk
        7
    linsk  
       2013-12-04 23:05:54 +08:00
    我也一直在期待 @livid 能给这一系列应对措施来个总结
    raincious
        8
    raincious  
       2013-12-04 23:15:10 +08:00
    @edwinlai 这又得看了。被隔山打牛甚至直接被CDN拍死的也不是没有。还是得选有DDoS防护的CDN。
    xiaop
        9
    xiaop  
       2013-12-04 23:35:00 +08:00 via iPad
    选择有硬防的服务商是关键。2009年,我被竞争对手DDoS,服务商欺骗我说对方攻击流量3G(后来证明只有几百兆的流量攻击,这家IDC根本没有硬防不具备任何防御手段),直接拔线,更奇葩的是拔线后机器被下架,硬盘被格,所有数据丢失。想起就生气。

    这家IDC是腾佑,希望大家不要选这家。
    zhttty
        10
    zhttty  
       2013-12-04 23:43:57 +08:00
    cdn.v2ex.com ...似乎用的是 http://orca.io/

    我用的是 Incapsula....

    如果有备案,可以用 http://jiasule.baidu.com/ 也不错

    上面三个免费的都足够个人使用了,如果是商务,套餐也足够便宜。

    @xiaop

    那些所谓有硬防的IDC很多都是骗人的,或者是纯粹的自己用linux搭建出来独立防火墙的忽悠玩意。
    xiaop
        11
    xiaop  
       2013-12-04 23:47:28 +08:00 via iPad
    后来我选了湛江的群英,确实是没问题价格上也不贵多少。我只是想不通为什么这些人要用欺骗来做生意。
    Livid
        12
    Livid  
    MOD
       2013-12-05 00:09:29 +08:00
    @zhttty 目前 V2EX 用的是 O2。而无论是 O2 还是 O1,目前都不具备防御各种大流量 Flood 的功能。这个东西靠 server 本身的任何软件都是不够的。

    Anti-DDoS 是一门大产业,不容易做,很脏很累。

    前两天 Akamai 把 Prolexic 收购了。
    kevinv
        13
    kevinv  
       2013-12-05 01:02:46 +08:00
    DDOS拼的是带宽,硬件和软件的性能。如果你是几M的带宽、几台服务器,人家一下子过来几十G的流量、几千万的并发,一个回合就over了。从这三个方面着手,只要保证服务不挂就算能防住。
    edwinlai
        14
    edwinlai  
       2013-12-05 09:21:19 +08:00
    硬防效果这个东西就是生产厂家宣传出来,现在ddos大部分都是拼带宽, 你在机房只要10M出口,你让机房给顶1G流量,机房为了其他客户利益肯定拔网线,1G带宽对机房就是巨大成本,如果放在aws,连续攻击一段时间,账单会猛增,同意@Livid Anti-DDoS 是一门大产业,不容易做,很脏很累, 对付大ddos,也只能分布式,找有Anti-DDoS 的cdn,当然有时候小cdn服务商有时也顶不住,继续找实力牛的cdn,
    ShadowStar
        15
    ShadowStar  
       2013-12-05 09:36:20 +08:00
    如果只有ICMP,很简单,针对协议滤掉或限速就好了,又不影响正常业务。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2679 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:45 · PVG 11:45 · LAX 19:45 · JFK 22:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.