サービス拒否攻撃を防ぐための最良のテクニックは何ですか？

現在、私は（D）DoS-Deflateを使用して、負荷テスト用のApache JMeterとともに、多数のリモートサーバーでこのような状況を管理しています。

全体的にはかなりうまくいっていますが、私がこのような状況で私より長い間取り組んできたグルからのアドバイスを聞きたいと思います。Webホスティングビジネスで働いている人々は、これらの状況に対処するという公平なシェアを持っていたと思います。では、企業環境でこのような問題に取り組むためのベストプラクティスは何なのでしょうか。

DDoSの防止は、ほとんどの場合、ターゲットにならないことです。ゲームサーバー、ギャンブル/ポルノサイトなど、人々を苛立たせるようなものをホストしないでください。

DDoS攻撃の緩和には2つの形態があります。

• トラフィックを無視して過剰な負荷を軽減できること。これは、マシンをオーバーロードしてダウンさせようとする攻撃を受けている場合に役立ちます（また、「スラッシュドット」が発生した場合にも役立ちます。
• 上流の不正なネットワークトラフィックを拒否できるため、リンクが詰まって接続が切断されません。

前者は、提供している内容に多少依存しますが、通常は、キャッシュ、オーバーフロー処理（サーバーが「フル」になったことを検出し、新しいリソースへの接続をリソース使用量の少ない「申し訳ありません」ページにリダイレクトする）の組み合わせになります。 、および要求処理の優雅な低下（たとえば、画像の動的レンダリングを行わない）。

後者は、アップストリームとの良好な通信を必要とします-アップストリームのNOCの電話番号をまぶたの内側に入れます（または、少なくとも、運用サーバーと同じ場所でホストされていない Wikiのどこかに入れます）。 ..）そしてそこで働く人々を知るので、あなたが電話をかけるとき、あなたはただのランダムなジョニーではなく、彼らが話していることを実際に知っている誰かとしてすぐに注意を引くでしょう。

どのような境界セキュリティを実施しているかについては触れません。シスコのファイアウォールを使用すると、完全なセッションの通過を許可しながら、ファイアウォールが遮断する前に許可する初期（ハーフセッション）の数を制限できます。デフォルトでは無制限であり、保護は提供されません。

Foundry ServerIronやCisco ACEなどのハードウェア支援のロードバランサーは、多数の主要なタイプのDOS / DDOS攻撃に対処するのに最適ですが、より新しい技術をより早く「学習」できるソフトウェアソリューションほど柔軟ではありません。

情報源の1つはこのサイトにあります。彼らがついでに言及する（そしてさらに調査する価値がある）1つの方法は、SYN Cookieを有効にすることです。これにより、プロセスごとに許可されているファイル記述子の最大数に到達しようとして、攻撃者が多数の「ハーフオープン」接続を開くのを防ぎ、DoS攻撃のクラス全体を防ぎます。（bashのマンページを参照し、「-n」オプションを使用して組み込みの「ulimit」を探してください）

免責事項：私はDDoS保護の第一人者ではありません。

それはあなたがそれのために持っている予算、あなたのアップタイム条件が何であるか、そしてあなたやあなたの顧客がこの種のリスクにどのようにさらされているかに依存すると思います。

プロキシベースのDDoS保護がオプションになる可能性があります。ほとんどの場合、それは安価なオプションではありませんが、私はそれが最も効果的だと思います。ホスティングプロバイダーに解決策を尋ねます。たとえば、RackSpaceはこの多層軽減ツールを提供します。私はすべての大規模なホスティング会社が同様のソリューションを持っていると確信しています。