Antes de mais nada, entendo que é melhor ter proteções DDoS no nível do data center. Mas nossa DC não está pronta para fornecer boa qualidade de proteção. Então pensamos em usar algum serviço externo de proteção contra DDoS.
Eu pesquisei vários, como (desculpe, não posso postar muitos links):
A idéia geral é que você está alterando o DNS para apontar o serviço de proteção contra DDoS. Eles filtram o tráfego para você e redirecionam para o back-end. Então, isso adiciona um pequeno tempo de atraso, mas permite que o site fique ativo mesmo sob DDoS.
Mas é muito fácil escrever algo no site. Minha pergunta é: alguém tem experiência com esse serviço? É realmente ajudar contra o DDoS?
Esses tipos de serviços podem ser bem caros e, a menos que você tenha o dinheiro para absorvê-los, os script kiddies podem aumentar rapidamente seu poder de fogo aumentando o ataque na zona de multi-gbps, o que lhe custará bastante. pouco. A maioria deles tende a exigir que você o execute antes de encontrar problemas, pois eles funcionam analisando padrões no tráfego.
Eu consegui me defender de um ataque DDoS de nível médio (10K req / seg) há um ano, configurando o NGINX como um proxy reverso na frente do apache. Quase todo o tráfego de DDoS tem algo em comum, geralmente a string User-Agent . Basta identificar a semelhança e usar um proxy c10k - como o NGINX para eliminar o tráfego de ataque enquanto encaminhando o tráfego real para o servidor web normal.
FWIW: Minha experiência foi usando hardware de 10 anos rodando o Fedora Core 1 em um uplink de internet de 100Mbit. A taxa de tráfego de ataque foi mantida por 1 semana, mas os clientes reais nunca notaram qualquer queda no desempenho do site. Apenas tome cuidado com as taxas de largura de banda.
Quanto a operações comerciais que supostamente fazem praticamente a mesma coisa, não consigo imaginar por que elas não funcionariam. Não é uma cirurgia de foguetes.
Thumbs up para prolexic - eles fazem um bom trabalho. - é caro, mas eles foram cedo para o jogo e da minha experiência fornecer um bom serviço.
Eu nunca usei esses serviços, mas depende dos tipos de ataques que você está recebendo. Se eles são puramente ataques de estilo de largura de banda e apenas preenchem o seu pipe, a única maneira de ir é contratar um serviço como eles ou distribuir seus servidores em muitos pipes e datacenters.
Se eles estiverem explorando um aplicativo ou protocolo, eu lidaria com isso com alterações de configuração.
Tenho experiência com os serviços de mitigação de DDoS da Verisign. Eles são caros, mas funciona bem.
Tags firewall web-server ddos