我们运行了一个相当大的游戏服务器托pipe公司,大约有60台运行Server 2008的机器,而DDoS攻击已经有很长一段时间了。 不幸的是,由于市场的价格,我们或任何其他公司都不可能在我们所有的数据中心中使用硬件防火墙。
我们的行动方式一直是联系数据中心,并将IP地址/端口路由24小时。 这当然是一个非常吸引人的方式来处理这个问题,特别是对于我们的客户。
据我所知,一个软件防火墙只会使DDoS攻击的问题复杂化。 我已经阅读了一些关于加强TCP / IP协议栈的内容,但是听起来好像Server 2008没有太多东西可以帮助解决这个问题。
我们可以做些什么吗?
我们或任何其他公司都不可能在我们的所有数据中心中安装硬件防火墙
是的,是的。 请重新评估您的经济性(防火墙的成本是多less?当您因DDoS而停机时,您每小时损失多less?当有人发现意外打开的RDP端口时,您的声誉将受到多大的损害,闯入你的networking中的一些关键的框?)。
您应该能够在每个数据中心支付(冗余)专用防火墙 – 防火墙并不昂贵。
正确调整防火墙(stream量限制,整形等)将有助于缓解DDoS攻击。 至less它将为您的系统提供一些保护,防止简单的蠕虫或好奇的黑客窃取远程login。
就减lessDoS而言,您总是可以走上一个阶梯:您的ISP可以将非分布式攻击(如您已经提到的,这是您当前的stream程 – 这是一个很好的stream程)或限速分布式攻击(尽pipe如此,如果经常受到攻击,预计这会变得昂贵 – 他们最终将为这些防火墙更改收费)。
进一步的阶梯,你可以考虑像Arbor Networks提供的DDoS保护/缓解服务,虽然这些服务通常针对的是ISP /服务提供商级别,而不是单个公司。 这些解决scheme的价格往往是比较敲诈的。
如果你能买得起六十台服务器,有六十个Server 2008许可证,系统pipe理员的工资费用支持和开发人员编写足够的需要六十台服务器运行的游戏,那么你可以买得起专用的防火墙。
另外,事实上(几乎)所有其他公司都“在所有的数据中心中都可行地放置了硬件防火墙”。
至于DDoS保护; 如果这只是一个洪水来填补你的带宽,你的链接没有任何帮助。 如果这是一个服务器资源攻击,那么如果能够胜任configuration,防火墙很可能会提供帮助。