@rader90

Как защитить от ddos по tcp/udp?

Имеются каналы 100МБит/с и 1ГБит/с, а так же разные приложения на серверах. Как защитить свои сервера от от элементарных ddos атак по tcp/udp? Есть ли бесплатные решения для защиты своими средствами без привлечения посторонних организаций?
  • Вопрос задан
  • 2440 просмотров
Пригласить эксперта
Ответы на вопрос 7
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
От DDoS в принципе защититься нельзя. Были случаи, когда бот-атака просто валила магистральный канал вместе с целой страной, в которой располагалось оборудование сервиса защиты от DDoS'а, пытающегося прикрыть атакуемого клиента. Можно защитится только DoS'а определённого уровня. И тут встаёт вопрос профессионализма ваших админов, которые будут быстро находить действенные решения в момент каждой отдельной атаки и вашей готовности вложить деньги в оборудование, способное справляться с нагрузками. Как показывает опыт, дешевле получается арендовать эту услугу у специализированных сервисов.
Ответ написан
Комментировать
@yaror
10 лет в мобильном телекоме
Без вышестоящего провайдера всё равно не обойтись.

Объясню почему: допустим, ваш умный файрвол DDoS обнаружил, левый трафик зарезал, и до серверов он не дошёл.
Но канал-то всё равно забит с той стороны!
Нужен какой-то способ сообщить провайдеру "Вот этих ко мне не пускай, режь прямо у себя!"

Как вариант автоматизации этого, предлагаю глянуть в сторону BGP Flowspec.
Учитывая, что BGP Flowspec может быть поднят и между операторами связи, появляется возможность задушить DoS на межоператорских стыках, а то и прямо у источника.
Ответ написан
Комментировать
megafax
@megafax
web-программист
отбить маленький ddos своими силами без покупки дорого ПО и железа или аренде, других услуг.

https://www.cloudflare.com/ - этого достаточно будет для начала
Ответ написан
Комментировать
Как защитить свои сервера от от элементарных ddos атак по tcp/udp?
Смотря какой они интенсивности. Если атака на канал или на протокол, то сетевые фильтры ОС не помогут.

Есть ли бесплатные решения для защиты своими средствами без привлечения посторонних организаций?
Был во последнем релизе FreeBSD какой-то инструмент для борьбы с этой напастью. Только этот способ особенно бесплатным не назовёшь: нужно покупать дополнительно сервера, настраивать ПО, поддерживать.

Как защитить от ddos по tcp/udp?
Есть Cloudflare с интересными предложениями и самой распределённой системой фильтрации.
Ответ написан
Комментировать
NeiroNx
@NeiroNx
Программист
Самое простое это менять адрес. И сообщать этот адрес клиентам. Не факт что атакующая система узнает адрес из того же источника что и клиенты.
Ответ написан
Комментировать
@asd111
qrator и тому подобные сервисы
Ответ написан
Комментировать
@res2001
Developer, ex-admin
Кроме смены адреса и работы с оператором можно настроить на своем сервере систему обнаружения атак и сканирования портов (snrot, psad, ...), с тем что бы по данным системы обновлять правила фаервола - это позволит вашему серверу дольше продержаться, а вам вовремя обнаружить атаку и что-нибудь предпринять (например сменить адрес).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы