使用代理时对DDoS的保护

Question

我们试图使用分布式缓存保护一些主要位于亚洲的站点。这些网站通常受到DDOS攻击。我们正在使用fail2ban，但仍然存在两个问题：

1. 许多用户来自于共同的防火墙/NAT配置，因此他们的地址似乎是相同的。许多合法请求可能会根据每秒请求规则被阻止。
2. 我们看到来自许多不同地址的中度DDOS攻击，例如，6000位无地址每天发出几个请求，都在同一页上。现在还不清楚如何阻止这些请求，因为有那么多的人提出了很少的请求。现在它们并不是一个真正的问题，但是如果客户端的数量增加了，或者应用了积极的缓存破坏，我们就会遇到麻烦。我们如何发现和防范这种攻击？

Answer 1

我建议，最简单的防御措施可能是购买对CDN的访问，以提供对DoS的保护。看看Cloudflare和Cloudfront。您还可以查看MaxCDN、Akamai、EdgeCast、level3、Rackspace、VPS、Cotendo、Limelight、Cachefly、Highwind等。

为什么要使用CDN？有三个原因。

首先，它将有利于性能和安全性。它将使您的网站更快。而且，如果你得到一个闪光灯云或一个意想不到的访问高峰，它将有助于保持您的网站快速，负责，和可用。当然，如果你受到DOS的攻击，CDN有能力吸收流量，并确保你的网站是可用的。因此，这是一个双赢的安全和网站的性能。(你多久见一次？)

第二，它是负担得起的。CDN相对便宜，而且几乎可以肯定地比你花时间为自己防御DOS攻击和跟上最新DOS技术所花的时间更便宜。

第三，CDN可能比你做得更好。由于其规模，CDN每年可能会发生数千次DOS攻击(在数百个或数千个网站上)，因此它有机会积累有关常见模式的统计数据，学习如何检测DOS攻击，并确定哪些防御措施最有效。而且，由于CDN的规模，CDN可能有能力让其员工在野外使用的最新攻击技术上保持最新的水平。而且，CDN可能有能力开发定制的自动防御系统，因为它们将适用于所有客户。

因此，看看CDN作为一种可能的防御。这可能比您所采用的方法更简单、更有效。

Answer 2

如果要区分使用相同IP的客户端，则需要查看正在交换的数据，以便根据用户代理/cookie/ referer对TCP堆栈进行分析或标识。这意味着您仍然暴露在sloloris类型DOS -除非您已经有一个基于事件的服务器(这也将允许您焦油坑DOS请求)。如果这与你现在所处的位置有太大的不同，那么你将不得不忍受禁止IP或者提供足够的能力来吸收惩罚。