Prevenir um DDoS é principalmente sobre não ser um alvo. Não hospede servidores de jogos, sites de jogos de azar / pornografia e outras coisas que tendem a incomodar as pessoas.
A atenuação de um ataque DDoS ocorre de duas formas:
- ser capaz de ignorar o tráfego e perder o excesso de carga, o que é útil quando você está sob um ataque que tenta derrubá-lo sobrecarregando suas máquinas (e também é útil se você tiver "Slashdotted";
- sendo capaz de rejeitar o tráfego de rede abusivo de seu usuário, para que ele não obstrua seus links e tire sua conectividade.
O primeiro é um pouco dependente do que exatamente você está servindo, mas geralmente se resume a uma combinação de cache, manipulação de overflow (detectando quando os servidores estão "cheios" e redirecionando novas conexões para um uso de baixo recurso "desculpe "página", e degradação graciosa do processamento de pedidos (portanto, não fazendo renderização dinâmica de imagens, por exemplo).
O último requer uma boa comunicação com seus upstreams - tenha o número de telefone dos NOCs de upstream do seu corpo tatuados na parte interna das pálpebras (ou, no mínimo, em um wiki em algum lugar que não seja hospedado no mesmo local que seus servidores de produção ...) e conhecer as pessoas que trabalham lá, então quando você ligar, você receberá atenção imediata como alguém que realmente sabe do que está falando, em vez de ser apenas aleatório. johnny.