防止拒绝服务攻击的最佳技术是什么？

目前，我一直在使用（D）DoS-Deflate来管理众多远程服务器上的这种情况，并使用Apache JMeter进行负载测试。

总体而言，它运行良好，尽管我想听听一些专家的建议，这些专家在这种情况下工作的时间比我更长。我敢肯定，那些在网络托管业务中工作的人在应对这些情况方面应有相当的份额。因此，我想知道在公司环境中解决此类问题的最佳实践是什么？

防止DDoS主要是要成为目标。不要托管游戏服务器，赌博/色情网站以及其他容易让人烦恼的东西。

缓解DDoS攻击有两种形式：

• 能够忽略流量并减轻过多的负载，这在您遭受试图通过使计算机超载而使您瘫痪的攻击时非常有用（如果遇到“ Slashdotted”，这也会派上用场；
• 能够拒绝您上游的滥用网络流量，从而不会阻塞您的链接并断开您的连接。

前者在某种程度上取决于您要提供的服务，但通常归结为缓存，溢出处理（检测服务器何时“已满”以及将新连接重定向到资源匮乏的“抱歉”页面）的某种组合。 ，以及请求处理的正常降级（例如，不进行图像的动态渲染）。

后者需要与上游设备进行良好的通信-将上游设备的NOC的电话号码纹身到眼睑的内部（或者至少在与生产服务器不在同一位置的Wiki中）。 ..）并认识在那里工作的人，所以当您打来电话时，您会立即得到关注，因为他们实际上知道他们在说什么，而不仅仅是一个随意的约翰尼。

您没有提及您所拥有的外围安全类型。使用Cisco防火墙，您可以限制防火墙在切断它们之前允许的胚胎（半个会话）的数量，同时仍然允许完整的会话通过。默认情况下，它是无限的，不提供任何保护。

诸如Foundry ServerIron和Cisco ACE之类的硬件辅助负载均衡器非常适合处理大量主要类型的DOS / DDOS攻击，但不像软件解决方案那样灵活，可以更快地“学习”新技术。

该站点是一个很好的信息来源。他们仅在通过时提到的一项措施（值得进一步研究）是启用SYN cookie。通过阻止攻击者打开大量“半开”连接以试图达到每个进程允许的最大文件描述符数量，这可以防止整个DoS攻击。（请参见bash联机帮助页，使用“ -n”选项查找内置的“ ulimit”）

免责声明：我不是DDoS保护专家。

我认为这取决于您的预算，您的正常运行时间条件以及您或您的客户如何承受这种风险。

基于代理的DDoS保护可能是一种选择。在大多数情况下，这不是一个便宜的选择，但我认为这是最有效的。我会问我的托管服务提供商一个解决方案。例如，RackSpace提供了这种多层缓解工具。我敢肯定所有大型托管服务商都有类似的解决方案。