Windows-Server-2008
對遊戲伺服器的 DDoS 攻擊
我們經營著一家相當大的遊戲伺服器託管公司,大約有 60 台機器執行 Server 2008,並且 DDoS 攻擊我們長期以來一直在處理的事情。不幸的是,由於市場價格的原因,我們或任何其他公司都無法在我們所有的數據中心中安裝硬體防火牆。
我們的做法一直是只聯繫數據中心,他們會在 24 小時內將 IP 地址/埠設為空路由。這當然是一種非常不吸引人的處理問題的方式,尤其是對我們的客戶而言。
據我了解,軟體防火牆只會使 DDoS 攻擊的問題複雜化。我已經閱讀了一些關於強化 TCP/IP 堆棧的內容,但聽起來 Server 2008 無法幫助解決這個問題。
我們可以做些什麼嗎?
我們或任何其他公司都無法在我們所有的數據中心中安裝硬體防火牆
是的,是的。請重新評估您的經濟性(防火牆的成本是多少?當您因 DDoS 宕機時每小時損失多少?當有人發現意外打開的 RDP 埠和闖入您網路上的某個關鍵框?)。
您應該能夠在每個數據中心購買(冗餘)專用防火牆——防火牆並不昂貴。
適當調整防火牆(流量限制、整形等)將有助於緩解 DDoS 攻擊。至少它會為您的系統提供一些保護,防止簡單的蠕蟲或好奇的黑客四處尋找遠端登錄。
在 DoS 緩解方面,您總是可以更上一層樓:您的 ISP 可以對非分佈式攻擊進行空路由(正如您已經提到的,這是您目前的流程 - 這是一個很好的流程)或速率限制分佈式攻擊(儘管如果您經常受到攻擊,預計這會變得昂貴——他們最終會為這些防火牆更改收費)。
更進一步,您可以考慮像Arbor Networks提供的用於 DDoS 保護/緩解的服務,儘管這些服務通常針對 ISP/服務提供商級別,而不是個別公司。這些解決方案的價格往往相當高昂。